Le 16 septembre dernier, une décision de la Cour supérieure du Québec[1] impliquant le Registraire des Entreprises du Québec (REQ) et OpenCorporates (OC), gestionnaire de l’une des plus grandes bases de données relatives aux compagnies d’à travers le monde entier, était rendue accessible sur la toile après avoir été délivrée par les tribunaux une dizaine de jours plus tôt. L’enjeu de ce jugement déclaratoire était de déterminer si le défendeur, le REQ, avait le droit ou non d’obliger OC à se conformer rétroactivement aux nouvelles conditions d’utilisation son Registre, datant de mars 2016 et auxquelles OC ne s’est jamais conformé. Les comportements reprochés à OC sont d’avoir rendus publiques et aisément accessibles par divers modes de recherche par nom, adresse, numéros (et autres) les informations contenues sur le REQ ainsi que d’avoir utilisé ces données dans un but commercial, et ce, en contravention de la Loi sur la publicité légale des entreprises[2](LPLE) et de la Loi concernant le cadre juridique des technologies de l’information[3](LCCJTI).  

Qui est OpenCorporates?

OC gère depuis 2010 une base de données, située au Royaume-Uni, contenant des informations sur support technologique relatives à quelques 178 millions de sociétés et compagnies de 130 pays et accessibles gratuitement par quiconque possédant un accès à Internet. De plus, OC tire des revenus de sa base de données en vendant des données structurées à des personnes intéressées par ces données, comme des agences gouvernementales, des journalistes ou des institutions financières. Mais qu’est-ce que des données structurées?Marie-Anne Chabin, archiviste et diplomatiste française, nous explique sur son site web que les données structurées sont des :

 « informations (mots, signes, chiffres…) contrôlées par des référentiels et présentées dans des cases (les champs d’une base de données) qui permettent leur interprétation et leur traitement par des machines »[4].

Pour sa part, le youtubeur, blogueur et chroniqueur au Journal du Net Louis Maîtreau décrit les données structurées comme étant « du code dans un format spécifique, écrit de telle manière que les moteurs de recherche les comprennent »[5].

Ainsi, des données structurées permettent d’établir des tendances et prévisions avec beaucoup de rapidité et d’efficacité. Leur exploitation par la machine plutôt que l’humain, ainsi que leur énorme potentiel de rentabilité ( que ce soit dans leur revente, l’établissement d’un profil de consommateur moyen, l’élaboration de plans d’affaires ultra-efficaces ou qui sait, l’influence sur une élection…) les rendent – nous le comprenons beaucoup mieux à la suite du scandale Facebook/Cambridge Analytica – très prisées et ce, par plusieurs différentes personnes et organisations de tous horizons.   

La petite histoire entre les parties

Entre 2012 et 2016, OC procède à la collecte en continu d’informations sur la base de données du REQ, majoritairement grâce un programme informatique permettant de faire des demandes successives en dehors de ses heures d’ouverture du REQ et de recueillir beaucoup plus efficacement les données du Registre[6].

En mars 2016, le REQ modifie les conditions d’utilisation de sa base de données, rendant dorénavant impossibles la collecte des données via des programmes informatiques comme celui utilisé jusqu’alors par OC, la collecte massive de données, la collecte des données à des fins de publication ainsi que l’utilisation des données du REQ à des fins lucratives. Face à la nouvelle politique du REQ, OC décide de cesser sa collecte de données auprès du Registraire. Néanmoins, toutes les données recueillies avant l’arrivée de la nouvelle politique du REQ restent à ce jour disponibles gratuitement sur l’interface d’OC et les revenus rattachés à la vente de ces données persiste, ce qui n’enchante évidemment pas le Registraire. Ce dernier demande alors à OC, en novembre 2016, de cesser toute activité entrant en conflit avec sa nouvelle politique et de retirer de sa banque toutes les données provenant du REQ et recueillies entre 2012 et 2016. Cette demande n’a pas été acceptée et constitue le point de départ de la demande en jugement déclaratoire d’OC.

Le litige et son issue

Se pose alors la question des pouvoirs conférés au REQ dans cette situation épineuse. Quel est le degré de contrôle du REQ sur les données colligées par OC avant la date de modification des conditions d’utilisation de sa plateforme? L’Honorable Karen M. Rogers, juge à la Cour supérieure du Québec, indique d’entrée de jeu dans son jugement qu’aucune disposition législative issue de la loi institutive du REQ, la Loi sur la publicité légale des entreprises (LPLE), n’habilite le Registraire à intervenir et forcer OC à retirer de sa banque de données les renseignements obtenus durant sa période de collecte de 5 ans[7]. Rogers explique que la démarche de collecte respectait entièrement la LPLE :

« […] OpenCorporates n’a pas éludé la procédure prévue par la LPLE, en ce qu’elle n’a pas obtenu l’information avec l’aide de fonctions de recherche extensive, mais a simplement consulté le Registre et a recueilli l’information par assujetti, grâce à l’évolution des technologies de collectes de données.

[65]        Cette consultation, qui s’est faite conformément à l’article 99 de la LPLE, ainsi que la diffusion des données récoltées, ne violent pas le texte de la LPLE, bien qu’il soit possible qu’elles transgressent d’autres textes législatifs. De plus, aucun article de la LPLE n’a pour effet de créer un monopole sur la tenue d’un Registre contenant des informations sur les entreprises québécoises. Les restrictions qui y sont énoncées ne concernent que le Registraire, à titre d’officier public, les entités gouvernementales, ou les tiers, identifiés dans la LPLE, avec qui il est autorisé à conclure des ententes pour fournir les données du Registre »[8].

Le REQ a de plus soutenu qu’au-delà de la lettre de la loi, l’objet et la finalité de la LPLE, en phase avec les objectifs découlant de la Loi concernant le cadre juridique des technologies de l’information (LCCJTI), lui permettaient de jouer un rôle de protecteur des renseignements personnels contenus sur la base de données dont il est le responsable[9].

Le Tribunal est d’un autre avis, confirmant que le Registraire a plutôt la responsabilité, suivant l’essence de la LPLE, de tenir le Registre, de procéder à l’immatriculation des personnes y étant assujetties et assurer une transparence des entreprises québécoises envers les personnes avec qui elles font affaires[10]. La juge Rogers ajoute que l’article 24 LCCJTI habilite le REQ à restreindre, à l’aide de moyens technologiques adéquats, l’utilisation de fonctions de recherches extensives dans son Registre afin de limiter la diffusion des renseignements personnels y existant.

24. L’utilisation de fonctions de recherche extensive dans un document technologique qui contient des renseignements personnels et qui, pour une finalité particulière, est rendu public doit être restreinte à cette finalité. Pour ce faire, la personne responsable de l’accès à ce document doit voir à ce que soient mis en place les moyens technologiques appropriés. Elle peut en outre, eu égard aux critères élaborés en vertu du paragraphe 2° de l’article 69, fixer des conditions pour l’utilisation de ces fonctions de recherche.

Cependant, cette habilitation, nous confirme la juge Rogers, ne confère en rien le pouvoir au REQ de forcer le retrait des renseignements personnels rendus accessibles plus facilement sur une autre base de données (celle d’OC) par suite d’une consultation du Registre par ailleurs complètement légale[11].

À qui la faute?

C’est donc dire, en des termes moins hiéroglyphiques, que si le REQ avait voulu que la collecte de données d’OC ne se déroule pas comme elle s’est déroulée en réalité, il aurait dû procéder plus rapidement à l’implantation de conditions d’utilisation plus restreintes de son Registre. Le jugement rendu confirme de plus la possibilité pour OC de permettre l’utilisation de fonctions de recherches extensives à l’entière communauté web, alors que le REQ avait pourtant la tâche précise de tout mettre en place pour que ce mode de recherche ne soit pas accessible au public consultant le Registre[12].

Point alors la grande question : Devrait-on reprocher la présente situation :

• au laxisme du REQ dans l’implantation de ses politiques de protection des renseignements personnels? ;
• au Législateur n’ayant pas pu prévoir et restreindre la possibilité de telles collectes de données? ; ou
• aux cerveaux derrière OC, démontrant leur capacité de se faufiler entre les mailles du filet législatif?  

Pour ma part, j’opterais probablement pour « toutes ces réponses ».

Quoi qu’il en soit, le jugement déclaratoire en faveur d’OpenCorporates illustre de manière saillante comment l’Institution gouvernementale peut être prise de vitesse par les gestionnaires d’outils technologiques avancés, et ce, au détriment des gens d’affaires dont les renseignements personnels sont rendus plus facilement accessibles. 

[1] Opencorporates Ltd. c. Registraire des entreprises du Québec, 2019 QCCS 3801.

[2] RLRQ, c. P-44.1.

[3] RLRQ, c. C-1.1.

[4] Chabin, Marie-Anne, « données structurées et données non-structurées », https://www.arcateg.fr/2018/09/06/donnees-structurees-et-donnees-non-structurees/, dernière consultation le 17 septembre 2019.

[5] Maîtreau, Louis, « Les données structurées : définition », https://www.louismaitreau.fr/definition/donnees-structurees/ , dernière consultation le 17 septembre 2019.

[6] 2019 QCCS 3801, préc., note 1, par. 9.

[7] Ibid, par. 27.

[8] Ibid, par. 64-65.

[9] Ibid, par. 26.

[10] Ibid, par.68.

[11] Ibid, par. 89.

[12] LCCJTI, préc. note 3, art. 24.