droitdu.net

Un site utilisant Plateforme OpenUM.ca

Changer la loi canadienne en matière de vie privée

cc Ruth Suehle

16 avril 2013
Commentaires
Permalien

gautrais.com

Le parlement canadien va avoir à étudier un projet de loi «privé» (C-475) (pdf) porté par Madame la députée Charmaine Borg, porte-parole des enjeux numériques pour le NPD. Comme le titre l’indique (Loi modifiant la Loi sur la protection des renseignements personnels et documents électroniques (pouvoir de rendre des ordonnances)), il s’agit d’envisager les aménagements qui pourraient être apportés à la loi actuelle, à savoir, la Loi sur la protection des renseignements personnels et les documents électroniques (LC 2000, c.5). Dans la mesure où celui-ci origine de la minorité et que la vie privée n’a pas été une priorité hautement affirmée par le Gouvernement actuel, nous ne nous prononcerons pas sur les chances de survie d’une telle initiative. En revanche, il est possible de dire quelques mots, élogieux, sur ce projet de loi qui présente assurément des atouts qu’il importe de mentionner; il est peut-être aussi possible d’identifier quelques omissions aussi.

Les + du projets de loi

En premier lieu, le texte est court. Dans la lignée de propos tenus précédemment, dans un livre prenant prétexte de déconstruire la notion « molle » de neutralité technologique, il importe d’avoir en tête que chaque changement législatif est source de dérangements et que la «main tremblante» chère à Montesquieu que le législateur se doit de garder est le meilleur moyen de résister à la patine du temps.  En l’occurrence, le projet de loi s’attaque à la Loi a minima. Un 4-5 pages, qui choisi ses batailles, et ce, avec une sagesse que j’ai du mal à retrouver dans la logorrhée européenne qui existe actuellement avec la proposition de Règlement européen (pdf) pour revamper en profondeur le monde de la protection des renseignements personnels. Le tout en 135 pages …

En deuxième lieu, le projet introduit la notion de «préjudice» qui est souvent conçu comme un moyen intéressant d’éviter que la protection des renseignements personnels ne s’immisce dans des domaines peu à risque et s’applique pleinement dans d’autres où au contraire les dangers sont réels. Comme l’affirme l’excellente thèse d’Éloïse Gratton, récemment publiée, cette notion serait même inhérente à la définition même de renseignement personnel. Bien évidemment, dans le cadre de ce projet de loi, on ne s’attaque pas à la définition de renseignement personnel mais on applique la notion de dommage à un cadre beaucoup plus précis. Qu’importe. Son introduction est assurément salutaire dans la mesure où elle laisse la souplesse dont le juge a besoin.

En troisième lieu, et c’est justement à ce sujet que la notion de dommage s’applique, le projet de loi introduit une obligation active de déclaration de l’organisation qui apprend que des renseignements personnels dont elle a la charge ont été perdus, volés. Cette déclaration s’adresse évidemment au Commissariat et dans un  second temps aux intéressés. Aussi étrange que cela puisse paraître, et même si cela se fait déjà de façon volontaire, une telle mesure qui est généralement considérée comme le meilleur moyen de mitiger les dommages n’est pas obligatoire.

«10.01 (2) L’organisation qui a la gestion de renseignements personnels avise le commissaire de tout incident ayant entraîné la perte ou la communication de renseignements personnels ou l’accès non autorisé à ceux-ci, lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour une personne en raison de cette perte ou communication ou de cet accès non autorisé.»

Dr. Éloïse Gratton le signale dans un récent billet, cette mesure est demandée par plusieurs instances dont la CAI (Commission d’accès à l’information) qui en a fait une de ses recommandations (recommandation 7, 8 et 9) dans un récent rapport quinquenal (2011).

«Recommandation 7: La Commission recommande que la Loi sur l’accès et la Loi sur la protection dans le secteur privé soient modifiées par l’ajout d’une obligation de lui déclarer les failles de sécurité qui surviennent dans les organismes publics et les entreprises et qui impliquent des renseignements personnels.»

En quatrième lieu, avec cet amendement à la loi fédérale, on va aussi s’assurer que la loi en question ne soit pas considérée trop souvent comme une loi «Mickey Mouse». Un durcissement des amendes est en effet préconisé et l’organisation qui refuse de se plier aux mesures du présent amendement peut se voir imposer des pénalités conséquentes (qui ne sont certes pas celles que l’on trouve en Europe), en plus de dommages punitifs éventuels. Trop souvent en effet, dans l’état actuel du droit, les décisions du Commissariat fédéral à la protection de la vie privée, même lorsqu’il considère les plaintes comme fondées, sont généralement dénuées de toute sanction pécuniaire; d’aucune sanction réputationnelle non plus, les décisions étant anonymes. Bien entendu, il est possible d’aller ensuite devant la Cour fédérale mais ce long processus est loin d’être gagné d’avance, là encore avec des sommes qui sont parfois dérisoires.

Les du projets de loi

En fait, eu égard à la forme du présent billet, je vais me limiter à identifier un défaut; un seul. Plus précisément une omission dont le projet de loi ne traite pas. En effet, dans l’état actuel des choses, l’utilisation des renseignements personnels se fait par les entreprises au travers un hypothétique consentement de la part des intéressés, des individus. Que celui qui a déjà lu les politiques de Facebook me jette la première pierre, mais c’est une vue de l’esprit de croire que les usagers sont capables ou intéressés à lire des textes qui sont plus longs que la constitution américaine. De manière totalement insidieuse, le consentement qui a été au départ introduit dans les lois pour protéger les individus, sur la base du contrôle qu’il sont supposés avoir sur leurs données, est utilisé pour au contraire protéger les entreprises qui peuvent par ce biais «polluer» le contrat de centaine de lignes incompréhensibles, de centaines de possibilités d’utiliser leurs données. D’ailleurs, lors des audiences qui avaient été organisées en juin 2012 à Ottawa au Parlement du Canada, le professeur Avner Levin (professeur associé et directeur, Institut de la cybercriminalité et de la vie privée, Ryerson University) et Ian Kerr (professeur titulaire, University of Ottawa)) abondaient tous dans le même sens: contrôlons les contrats en matière de protection des renseignements personnels. Un contrôle d’autant plus important que les juges n’effectuent pas vraiment dans les faits, pour diverses raisons, ce travail de correction.

Il importe donc de soutenir ce projet fort intéressant qui j’espère saura rallier les partis politiques, qu’importe leur obédience.

Je finirais en signalant qu’une rencontre d’information est organisée par Madame Borg le 20 avril prochain; je finirais surtout en saluant la qualité de ce projet.

Sur le même sujet

Derniers tweets