Mardi 10 décembre 2012. Le Commissariat à la protection de la vie privée du Canada (CPVPC) publie son rapport annuel dans lequel le commissaire Daniel Therrien exhorte les parlementaires à moderniser les lois sur la protection des renseignements personnels pour mieux protéger les Canadiens dans un contexte où les technologies axées sur les données créent de graves risques d’atteinte à la vie privée.
En plus de revenir brièvement sur plusieurs enquêtes menées cette année et sur certaines décisions des tribunaux canadiens, ce rapport propose un plan d’action pour mettre à jour les lois fédérales sur la protection des renseignements personnels, soit la Loi sur la protection des renseignements personnels (LPRP) et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Selon le commissaire Therrien, « [l]a question n’est plus de savoir si l’on doit ou non moderniser les lois sur la protection des renseignements personnels. Il s’agit maintenant de déterminer comment procéder. »
Une approche plus interventionniste
D’abord, le Commissaire appelle le législateur à être plus interventionniste et à rejeter l’argument selon lequel les lois fondées sur le respect des droits nuisent à la croissance économique ou à d’autres objectifs sociétaux importants. Selon lui, on ne devrait pas laisser les individus seuls face aux entreprises. La protection de la vie privée repose actuellement sur une « forme imparfaite du consentement » qui « défavorise nettement les individus lorsqu’ils sont confrontés à des organisations ayant infiniment plus de connaissances et de pouvoir » :
« [N]ous observons de plus en plus de limites au modèle de consentement dans un environnement où l’on cherche, afin d’innover ou de générer des profits, à utiliser les données à des fins autres que celles pour lesquelles elles ont été recueillies. Cette situation fait en sorte que les individus subissent un fardeau excessif, et un transfert déraisonnable de responsabilité, en raison des demandes de consentement souvent formulées en des termes vagues et incompréhensibles. »
Selon le Commissariat, la législation devrait mettre un frein à ce genre d’entreprises dont le modèle d’affaires s’étend aux dépens des droits fondamentaux. En conséquence, la loi « ne devrait pas autoriser les utilisations de la technologie qui sont incompatibles avec ces valeurs et ces droits ». Le législateur devrait plutôt « reconnaître et protéger la liberté de vivre et de s’épanouir de façon autonome, à l’abri du regard scrutateur d’un État de surveillance ou d’entreprises commerciales ». Une telle approche ne freine « ni l’innovation ni la prestation des services gouvernementaux à l’ère numérique ». Au contraire, elle les favorise tout « en renforçant la confiance dans les activités gouvernementales et commerciales ».
Le Commissariat en appelle ainsi à une énonciation plus claire des droits qui augmenteront en nombre pour accorder une protection supplémentaire à l’ère des métadonnées et de l’intelligence artificielle. Il cite ainsi des exemples internationaux, dont « le droit à l’oubli, le droit à la portabilité des données, et les droits en matière de transparence et d’explication quant à l’algorithme ».
Cela dit, ce plaidoyer pour un resserrement des lois reste nuancé. Ainsi, le Commissariat estime « qu’il devrait toujours y avoir une place dans la loi pour le consentement lorsqu’il s’agit d’un moyen efficace permettant aux individus d’exercer un contrôle sur leurs renseignements » et dans la mesure où il est valable. Le Commissariat va même plus loin en proposant une approche plus laxiste dans certaines « circonstances limitées définies dans la législation, lorsque les avantages pour la société l’emportent manifestement ». Il est ainsi proposé au Parlement d’envisager « l’insertion de nouvelles exceptions au consentement pour permettre des activités d’utilité sociale ». Le RGPD est encore cité en exemple.
Une approche principielle à l’épreuve du temps et des avancés technologiques
Pour mettre en place cette législation plus interventionniste, le Commissariat suggère quatre pistes de solutions. Premièrement, les lois devraient adopter une approche principielle à l’épreuve du temps et des avancées technologiques, lesquelles adoptent un rythme tel qu’« il est tout simplement impossible de modifier la loi à la même vitesse ». La législation doit ainsi définir la protection de la vie privée dans son sens le plus large et le plus véritable. Cette protection ne peut reposer seulement sur la validité du consentement, ce qui s’avère souvent inefficace. Il faut plutôt donner un sens à la vie privée en se basant sur ses valeurs sous-jacentes, lesquelles sont moins susceptibles de changer. Une telle approche serait ainsi fondée sur les droits des Canadiennes et Canadiens ce qui implique, selon le Commissariat, de reconnaître la nature quasi constitutionnelle des lois sur la protection des renseignements personnels.
La fin de l’autoréglementation
Deuxièmement, le Commissaire estime qu’il faut « résolument mettre fin à l’autoréglementation » dans le secteur privé. Selon lui, les lois actuelles sont rédigées « comme un code de conduite de l’industrie [..] qui prévoit certaines obligations mais aussi plusieurs recommandations, exemples et pratiques exemplaires qui ne constituent pas des droits juridiquement protégés ». Cette rédaction juridique est peu contraignante et difficilement accessible en plus de prévoir « pas ou très peu » de balises d’interprétation :
« Les codes de l’industrie et les règles d’éthique ont leur place, ils peuvent offrir une plus grande transparence et une plus grande uniformité dans l’application de la loi, mais ils ne sont pas juridiquement contraignants ni exécutoires et ils ne peuvent remplacer les règles adoptées par l’État dans l’intérêt public. Sans règles subsidiaires contraignantes, les organisations ont un pouvoir discrétionnaire excessif leur permettant d’appliquer les principes comme bon leur semble, ce qui revient en quelque sorte à vider ces principes de leur substance et à établir une forme d’autoréglementation. Or, nous avons pu observer au cours des dernières années les risques et les limites de cette approche. »
Le rapport annuel cite en exemple les enquêtes de Facebook et d’Equifax qui démontrent les déficiences des lois canadiennes face aux entreprises « qui prétendent agir de manière responsable alors que ce n’est manifestement pas le cas ». Le commissaire en appelle ainsi à une « loi qui assure une responsabilité démontrable » à un organisme de réglementation indépendant.
En d’autres mots, le Commissariat appelle à l’élargissement de ses pouvoirs pour « inspecter de son propre chef les pratiques des organisations » et « établir des règles subsidiaires contraignantes, concrétisant ainsi les principes dans des contextes particuliers » de manière à ce que les droits et obligations de chacun soient clairement établis.
Les principes de nécessité et de proportionnalité
Troisièmement, le Commissaire propose d’adopter les principes de nécessité et de proportionnalité pour le secteur public, et ce, afin de limiter « efficacement le risque de collecte excessive de renseignements personnels au palier fédéral ». Ce risque a été révélé par l’enquête Statistique Canada qui a mis en évidence une tendance à la collecte excessive par ces institutions fédérales. Un tel excès a été rendu possible, car la LPRP n’exige pas de consentement préalable aux institutions fédérales. Celles-ci peuvent ainsi « recueillir des renseignements tant et aussi longtemps qu’ils ont un lien direct avec [leurs] programmes ou [leurs] activités ».
Plus de mordant
Quatrièmement, le rapport annuel propose d’élargir les pouvoirs du Commissariat afin qu’il puisse réellement exercer son rôle de chien de garde de la vie privée. Il est vrai qu’actuellement, ce dernier n’a pas le même niveau de mordant que ses collègues internationaux :
« Malheureusement, les lois canadiennes accusent un énorme retard par rapport à celles des partenaires commerciaux du Canada en ce qui concerne l’application des lois sur la protection des renseignements personnels. Par ailleurs, la plupart des Canadiens estiment que les organisations ne respectent pas leur droit à la vie privée. Il s’agit là d’un blâme accablant et, à mon avis, d’une situation intolérable dans un pays régi par la primauté du droit. Cet état de choses ne favorise certes pas la confiance des consommateurs, qui constitue l’un des objectifs déclarés du gouvernement. »
Le Commissaire se compare ainsi à ces homologues européens et américains « qui peuvent ordonner directement aux entreprises de se conformer à la loi et leur imposer des amendes assez lourdes, bien entendu sous réserve d’un contrôle judiciaire ». Du même souffle, le Commissaire critique le projet de Charte numérique du gouvernement qui prévoit l’étape additionnelle d’un examen par le procureur général. Selon lui, cette étape supplémentaire est inutile et « complètement inefficace puisque les individus ne pourraient jouir de leur droit à la vie privée que plusieurs années après avoir déposé une plainte. Justice différée, justice refusée. »
Dans ce contexte, le rapport annuel dénonce l’affront à l’état de droit que permettent tant le cadre existant que celui proposé par le gouvernement. Ceux-ci sont qualifiés par le Commissaire « d’excellents incitatifs pour les entreprises à ne pas prendre la vie privée au sérieux ».
Une position partagée
Cette position n’est pas nouvelle. Une réforme « fondamentale » est, depuis plusieurs années, réclamée par le Commissariat. Le commissaire Therrien se joint donc à ses prédécesseurs, mais aussi au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI), aux scientifiques, aux universitaires et même aux géants de la haute technologie. Tous abondent dans le même sens : « l’ère de l’autoréglementation est révolue ». Le rapport cite plusieurs experts du milieu : Tim Cook, directeur général d’Apple; Shoshana Zuboff, professeure à l’Université Harvard; et Yoshua Bengio, professeur à l’Université de Montréal.
Selon Tim Cook,
Shoshana Zuboff a poussé plus loin la réflexion sur ce « nouveau modèle économique ». Ce que Tim Cook qualifie de « surveillance », elle le qualifie de « surveillance capitalism » :
« The age of surveillance capitalism is a titanic struggle between capital and each one of us. It is a direct intervention into free will, an assault on human autonomy. [It] sell certainty to business customers who would like to know with certainty what we do. Targeted adverts, yes, but also businesses want to know whether to sell us a mortgage, insurance, what to charge us, do we drive safely? They want to know the maximum they can extract from us in an exchange. They want to know how we will behave in order to know how to best intervene in our behaviour. »
Pour ce faire, les entreprises ont de plus en plus recours à l’intelligence artificielle qui permet de déterminer, plus efficacement et plus précisément que l’humain, les attributs de la personnalité d’une personne afin d’ultimement influencer ses comportements et ses choix ou de tirer profit de ses faiblesses personnelles. À cet effet, Yoshua Bengio, spécialiste en intelligence artificielle, appelle aussi à une intervention gouvernementale :
Ces experts soutiennent ainsi un courant de doctrine bien établi qui, face aux carences et aux déficiences des législations actuelles, appelle à une régulation qui dépasse le stade du consentement et qui s’intéresse aux pratiques des entreprises qui génèrent de la valeur à partir des données.
Commentaires