La Chaire L. R. Wilson organise une série de conférences qui ont pour but de mener une réflexion sur l’état actuel des lois du numérique et de se questionner sur une éventuelle évolution de ces lois. La première conférence a eu lieu ce 5 novembre 2018 et abordait plus spécifiquement les lois de protection de la vie privée et des renseignements personnels et l’impact de la prolifération des nouvelles technologies sur celles-ci.
Quatre intervenants étaient invités à exposer leur vision prophétique de l’avenir de ces lois. Yves Poullet, ancien recteur de l’Université de Namur et ancien directeur du CRIDS, est un expert en droit des technologies de l’information et de la communication et particulièrement, dans le domaine de la vie privée. Il a collaboré de près avec les instances européennes pour l’élaboration du RGPD. Jennifer Stoddart a été la sixième commissaire à la vie privée du Canada, de fin 2003 à fin 2013. Elle est notamment connue pour avoir lancer une enquête sur les politiques de confidentialité de Facebook en 2008. Cynthia Chassigneux est commissaire à la Commission d’accès à l’information du Québec. Depuis son doctorat concernant la protection des données face aux technologies, elle s’intéresse aux enjeux relatifs à la protection des renseignements personnels. Antoine Guilmain détient un doctorat en droit des technologies de l’information et est désormais avocat en protection des renseignements personnels chez Faksen à Montréal.
Un bouleversement se fait actuellement dans nos sociétés. « Le virtuel est en train de croiser le réel », nous dit Yves Poullet. Les nouvelles technologies se multiplient et impactent nos vies. Se pose alors la question de l’adéquation de la protection actuelle des données personnelles. L’Union européenne vient de se doter du Règlement Général sur la Protection des Données qui se veut être un modèle pour le reste du monde. Le changement radical par rapport à la directive de 1995 est que le règlement veille à son effectivité via divers mécanismes comme l’appel à la co-régulation ou des sanctions dissuasives. Cependant, le RGPD n’a pas la capacité d’appréhender les défis technologiques qui nous attendent. Alors qu’il vient d’entrer en vigueur cette année, il n’est pas adapté aux dernières avancées comme le Big Data ou les intelligences artificielles utilisant le deep learning.
Sans en nier les avantages, Yves Poullet met l’accent sur les impacts négatifs des nouvelles technologies de l’information et de la communication : la surveillance de masse, la mémoire éternelle des ordinateurs, le profilage, les algorithmes biaisés… D’après lui, il faudrait changer le prisme des lois. S’attarder uniquement sur la protection des données personnelles, c’est passer à côté de l’homme, de la personne humaine qui se trouve derrière. Les lois devraient, dans le futur, répondre aux questions éthiques du numérique en adoptant des concepts tels que la dignité humaine pour s’attaquer à la problématique de manière plus globale. Ceux qui fournissent les outils technologiques doivent pouvoir être tenus responsables et plus uniquement le responsable du traitement des données. Yves Poullet suggère une régulation du numérique, qui est partout autour de nous, semblable à ce qui existe déjà en droit de l’environnement. Le principe de précaution mettrait certes à mal l’innovation technologique mais assurerait une meilleure protection des individus.
Selon Jennifer Stoddart, il est clair que le RGPD est un instrument important, même au Canada. Elle va jusqu’à dire que c’est devenu « la norme internationale de fait ». Il est certain que cette législation va en inspirer d’autres comme on l’a vu avec la loi californienne adoptée cet été. Cependant, au Canada, les lois sur la protection des données sont figées depuis un certain temps. Le Canada est un pays commerçant sans grand marché interne, il a besoin du marché international. Il se trouve dès lors pris entre deux conceptions radicalement différentes de la vie privée. Culturellement plus proche des Etats-Unis, la protection accordée aux données personnelles est moins forte au Canada qu’en Europe. Il faut aussi noter à quel point l’économie canadienne est archi-intégrée avec l’économie américaine. L’accent est mis sur l’accès à l’information, c’est une autre philosophie juridique. Néanmoins, le Canada a besoin du marché européen et pour ce faire, d’un rapprochement de sa législation avec le RGPD, notamment en ce qui concerne les transferts ultérieurs de données.
Antoine Guilmain, pour sa part, met en garde devant la déférence religieuse accordée, selon lui, au RGPD. Tout le monde veut se conformer au RGPD, même en n’y étant pas soumis juridiquement. Pourtant, dans la pratique, le règlement a des défauts et est déjà considéré par certains comme obsolète. Le règlement demande à être retravaillé. Maitre Guilmain condamne l’universalisme du RGPD. Ce n’est qu’une conception, une vision et chaque législateur doit pouvoir faire preuve de créativité. Il y a des enjeux culturels derrière cela. Les législations au Canada sont loin d’être mauvaises. « Le Canada arrive à apporter des choses à la conversation internationale dans ce domaine » nous confie Jennifer Stoddart. La notion de privacy by design, par exemple, a été reprise dans le RGPD. Le Canada a aussi élaboré le notion d’accountability, de responsabilité, qu’on retrouve dans la loi fédérale. Le contexte d’utilisation des données et l’effet du traitement sont primordiaux : on ne distingue pas entre données sensibles et non-sensibles, tout est fonction du contexte.
Néanmoins, il faut des changements dans la loi canadienne dans le futur et même, rapidement. Cynthia Chassigneux dénonce la vétusté des lois et leur manque d’effectivité. Selon elle, il faudra recadrer certains principes pour se faire approuver par l’Union européenne. Cependant, elle reconnaît également qu’il existe une spécificité canadienne et même québécoise, au même titre qu’il existe une spécificité européenne. Elle met l’accent sur la vision prospective que devront avoir les nouvelles lois afin de ne pas devenir obsolètes avant même leur adoption.
Cette conférence met en lumière que les législations futures en matière de protection des renseignements personnels ne pourront certainement pas être adoptées au niveau international. La conception de la vie privée est profondément culturelle. Vincent Gautrais résume la situation comme suit : les Européens se méfient du sort de leurs données quand elles sont dans les mains d’acteurs privés alors que les Nord-Américains se soucient davantage de l’utilisation de ces données par les institutions publiques. A partir de ce constat, il est clair que les législations ne seront pas construites de la même façon de chaque côté de la planète.
Au final, tous les intervenants sont d’accord pour dire qu’il y a des améliorations à faire, que ce soit au RGPD ou aux lois canadiennes. Les lois dans 10, 20 ou 30 ans devront intégrer toutes les avancées technologiques. L’espoir est que, dans un futur proche, le droit puisse rattraper la technologie plutôt que de, sans cesse, lui courir après. Ainsi, il sera possible d’avoir une discussion sur les lois numériques, notamment celles concernant la vie privée, qui ne nous laisse pas un sentiment d’amertume et de déception.
Commentaires