Open in app

Sign in

Write

Sign in

Comparution devant le Comité ETHI de la Chambre des communes au sujet de la LPRPDE

Ottawa, ON — 23 février 2017

Florian Martin-Bariteau
7 min readFeb 23, 2017
Matthew Henry

Cet après-midi, j’ai comparu devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) de la Chambre des communes dans le cadre de la révision de la Loi sur la protection des renseignements personnels et des documents électroniques, LC 2000, c. 5.

Les notes de mon allocution d’introduction sont ci-dessous (une version anglaise est disponible ici).

Un enregistrement audio des présentations faites par Michael Karanicolas, Teresa Scassa et moi-même, ainsi que des échanges qui ont suivis, est disponible sur le site de la Chambre. Les notes de la Pre Scassa sont disponibles ici (en anglais seulement).

J’aimerai remercier les membres du Parlement pour leur invitation et les échanges conviviaux qui ont lieu lors de cette comparution.

(Le lien vers la transcription des échanges sera ajouté dès que celle-ci sera disponible.)

[MÀJ 25 mars] Une transcription complète des échanges est disponible ici.

[MÀJ 30 avril] À la suite de mon audition, j’ai soumis un mémoire résumant mes commentaires et mes recommandations. Ce mémoire est disponible sur le site de la Chambre.

Notes d’allocution

Thank you, Mr. Chair.

Je vous remercie pour cette occasion de contribuer à vos travaux sur la révision de la Loi sur la protection des renseignements personnels et des documents électroniques (« LPRPDE ») et ainsi de m’offrir l’opportunité de partager avec vous mes réflexions sur un sujet d’importance pour les Canadiennes et Canadiens.

Je suis professeur adjoint en droit et technologie à la Section de common law de la Faculté de droit de l’Université d’Ottawa, où j’enseigne notamment le droit de l’économie numérique, et directeur du Centre de recherche en droit, technologie et société. C’est néanmoins à titre personnel que je comparais aujourd’hui.

Mes commentaires prendront pour point de départ la lettre que vous adressait le Commissaire le 2 décembre dernier. Je me concentrerais sur les questions de pouvoirs d’exécution et de réputation. Je m’intéresserais ensuite au champ d’application de la loi, avant de terminer sur des réflexions relatives à son accessibilité et à sa lisibilité.

Tout au long de ma présentation, je ferrai un lien avec le nouveau Règlement général sur la protection des données de l’Union européenne (« RGPD ») notamment à raison des questions d’adéquation soulevées par le Commissaire.

– SUR LA QUESTION DES POUVOIRS D’EXÉCUTION :

Il m’apparaît essentiel de renforcer les pouvoirs du Commissaire afin d’assurer l’efficacité de la loi notamment en lui octroyant des pouvoirs d’ordonnance et de sanction financière.

La possibilité d’imposer des amendes apparaît être la mesure la plus efficace pour assurer une protection effective. Comme tout, la protection des renseignements personnels fait l’objet d’une analyse coût-avantage. Il s’agit aujourd’hui de choisir entre investir dans une protection dès la conception et l’éventualité de… se faire taper sur les doigts. Face au risque de sanctions financières, l’analyse coût-avantage basculera vers une protection dès l’origine.

Évidemment, la détermination du montant de cette amende sera un paramètre essentiel de son efficacité — il faut un montant prohibitif. Par exemple, si une amende de 500 000$ peut sembler importante — et le sera pour les petites et moyennes entreprises –, elle sera négligeable pour des sociétés comme Amazon, Facebook ou Google. Ainsi, c’est par une amende de 22,5 millions de dollars que la US FTC a amené Google à modifier son programme de publicité DoubleClick.

Pour être efficace face aux gros joueurs, il faudrait que le montant maximum de l’amende soit basé sur un pourcentage du chiffre d’affaires mondial — par exemple 1%. Pour éviter que l’amende soit ridicule pour les petites et moyennes entreprises, on devrait également prévoir un deuxième seuil chiffré — par exemple 500 000 $; la limite la plus élevée devant être retenue. Le RGPD se base d’ailleurs sur une telle approche mixte.

À mon sens, cela ne présente pas de risque d’atteinte à la relation de collaboration des acteurs avec le Commissaire. Au contraire, je suis d’avis que l’existence d’un pouvoir renforcé incitera les acteurs à une plus grande collaboration — en amont de tout dommage. Du reste, ces pouvoirs m’apparaissent nécessaires pour obtenir une décision d’adéquation RGPD.

Pour éviter les apparences de conflit d’intérêts, les amendes devraient être payables au Receveur général.

Pour sécuriser les petites entreprises ou pour ne pas freiner l’innovation, on pourrait par ailleurs prévoir une procédure d’avis de conformité préalable. En cas de dommage, il ne pourrait alors y avoir de sanction qu’après l’émission d’une recommandation qui n’aurait pas été suivie dans un délai raisonnable.

Finalement, je suis d’avis qu’aucun pouvoir du Commissaire, y compris ceux d’ordonnance et de sanction, ne devrait être limité à la réception préalable d’une plainte formelle — l’ensemble de ces pouvoirs restant évidemment soumis à un possible contrôle judiciaire.

– SUR LES DROITS DES INDIVIDUS ET LA RÉPUTATION EN LIGNE :

Certains voudraient créer un « droit à l’oubli »… — Telle qu’elle est imaginée et demandée par certains je trouve la proposition dangereuse. L’Internet c’est les archives et les bibliothèques de demain, la nouvelle mémoire collective. On n’a jamais effacé les archives seulement parce qu’elles étaient dérangeantes — du moins pas légalement dans une démocratie. Il s’agit là d’un terrain dangereux tout comme il est également dangereux de vouloir déléguer un pouvoir de censure à des acteurs privés ou de ne donner le droit qu’à certains acteurs de décider ce qui doit être accessible ou pas. Dans la même veine, le droit au déréférencement m’apparaît illogique en ce sens qu’on supprimerait l’entrée d’index, mais pas le contenu lui-même.

La législation sur la protection des renseignements personnels ne doit pas être un outil de gestion de la réputation pour faire disparaître ce qui est gênant, mais uniquement tout ce qui présente un caractère injustifié ou inexact. À défaut, je ne suis pas certain que de tels mécanismes passent le test de la Charte.

Le réel problème du droit canadien est que la LPRPDE recommande, mais n’oblige pas, en tant que telle, la suppression des données inexactes ou non nécessaires. Certes, dans sa récente et déjà célèbre décision Globe24h, la Cour fédérale est venue contourner cette lacune par l’intermédiaire du caractère illégitime et non autorisé de la divulgation.

Il conviendrait néanmoins de rendre obligatoire — et non plus recommandable — la suppression des données dès lors qu’elles ne sont plus nécessaires ou à jour en encadrant plus strictement la rétention des données dans le temps.

Je préciserai que ce besoin ne concerne pas qu’Internet, mais bien toutes les bases de données, informatisées ou non.

Il me semble encore que ces modifications seraient nécessaires — mais suffisantes — pour une adéquation au RGPD.

– SUR LA QUESTION DU CHAMP D’APPLICATION :

Les Canadiennes et Canadiens devraient être assurés que toute récolte, utilisation ou communication de données pouvant leur porter préjudice soit assujettie à des normes exigeantes de protection. La détermination du champ d’application des deux lois fédérales ne répond pas à cette attente de protection des citoyens dans un monde global et interconnecté, notamment quant aux données protégées et en particulier à l’égard des organisations concernées.

Pour les organisations, une solution serait de redéfinir le champ d’application de la LPRPDE de manière négative en la rendant applicable à toutes les organisations œuvrant dans le champ de la compétence fédérale et non couvertes par la loi sur le secteur public, ou une autre loi fédérale. Évidemment, et de manière similaire à nos partenaires, la loi devrait conserver les exceptions d’utilisation à des fins personnelles ou journalistiques.

– SUR LA PROBLÉMATIQUE DE L’ACCÈS AU DROIT :

S’il est certain que la loi a besoin d’ajustements pour s’adapter aux nouvelles réalités, le législateur devrait se saisir de l’opportunité de cette réforme pour opérer une réécriture complète de loi et non y faire de simples amendements.

En effet, la LPRPDE appartient sans aucun doute au tableau d’honneur des lois les plus mal rédigées du corpus fédéral — et on sait pourtant qu’il y a là une certaine compétition.

Le cœur de la LPRPDE se trouve dans une annexe qui est le copier-coller d’un document rédigé par un organisme privé de normalisation. La loi ne vient que compléter ce document et les autres annexes en opérant des renvois incessants. Cela pose un problème en termes d’accès au droit pour le public. Il serait ainsi bienvenu de refondre la loi en expliquant clairement les droits et obligations de chacun — et notamment de rendre contraignant tout ce qui est aujourd’hui conditionnel.

En termes de rédaction, la loi devra rester conçue selon un principe d’indépendance technologique et se fonder sur des principes d’application générale. Une telle approche est essentielle afin de permettre au cadre juridique canadien de s’adapter aux évolutions sociales et technologiques à venir, notamment avec le développement de la robotique, de l’Internet des objets et de l’intelligence artificielle.

En termes de lisibilité, il serait également bon que la loi ne concerne que la protection des renseignements personnels. Les règles d’équivalence fonctionnelle pour les documents électroniques n’y ont pas leur place et devraient être transférées ailleurs.

À l’inverse, il serait souhaitable qu’une seule loi contienne tout le régime de protection des renseignements personnels, c’est-à-dire tant pour le secteur privé que pour le secteur public. La réouverture concomitante de l’étude de ces deux lois par ce Comité en offre l’opportunité. Cela permettrait d’ailleurs d’établir un cadre cohérent, tant dans la protection des renseignements personnels que dans le rôle du Commissaire — quitte à prévoir plusieurs parties… s’il était jugé nécessaire de conserver un régime dérogatoire pour le secteur public.

CONCLUSION

Je terminerai en attirant votre attention sur le besoin de prévoir des droits d’actions et des dommages et intérêts statutaires.

De même, je soulignerai qu’il convient certes de mettre à jour notre droit pour passer le test d’adéquation du RGPD, mais qu’il faut néanmoins garder en tête deux paramètres importants : tout d’abord que le test d’adéquation ne demande pas une copie carbone du RGPD et qu’ensuite celui-ci concerne tous les régimes de protection, et non simplement la LPRPDE.

J’espère que ces quelques réflexions et recommandations seront utiles au Comité.

Malheureusement, je n’ai pas été en mesure de finaliser à temps un court document bilingue avec mes exemples et recommandations. Néanmoins, je pourrais vous le communiquer par la suite.

Je vous remercie et je serais heureux de répondre à vos éventuelles questions.

Note: J’aimerai remercier Me Marie-Christine Robert pour les échanges en amont de ma comparution. Les opinions et les erreurs restent de mon entière responsabilité.

Ethi
Pipeda
Privacy
Canada

--

--

Florian Martin-Bariteau

Written by Florian Martin-Bariteau

73 Followers

University Research Chair in Technology and Society, Associate Professor & Director, @uOttawaTechLaw, @uOttawa | http://f-mb.org

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams