Il s’agit d’une particularité mystérieuse, un peu effrayante de la vie en ligne : recherchez sur l’Internet des appareils d’exercice, des chaussures de sport ou d’autres articles personnels, et vos réseaux sociaux seront aussitôt inondés de publicités de bandes élastiques, de tongs et de tondeuses à barbe. Si l’on ajoute à ces expériences les histoires de fuites de données massives et d’obscurs opérateurs qui exploitent les médias sociaux pour influencer les élections, il n’est pas étonnant que quatre-vingt-quatre pour cent de Canadiens craignent que les entreprises communiquent volontairement les données personnelles des utilisateurs à des tiers sans le consentement des intéressés.
Nos renseignements personnels et nos préférences constituent la monnaie de l’ère numérique, la source de la fabuleuse richesse de plusieurs géants de l’Internet. Mais les lois afférentes à la protection de notre vie privée et des données sont dépassées.
La Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE) qui régit la façon dont les entreprises doivent recueillir et traiter les renseignements personnels a été établie il y a vingt ans, bien longtemps avant l’émergence des médias sociaux et de l’intelligence artificielle. Nous avons désespérément besoin de respecter les besoins de vie privée des Canadiens en cette ère numérique.
Malheureusement, alors qu’une mise à jour semblait imminente, celle-ci a encore été reportée.
En novembre 2020, le gouvernement fédéral a introduit le projet de loi C-11, La Loi de 2020 sur la mise en œuvre de la Charte du numérique, une mesure législative destinée à permettre aux Canadiens de reprendre le contrôle de leurs renseignements, tout en favorisant l’innovation.
Selon CIRA et plusieurs autres organismes, le projet de loi C-11 est une mesure qui aurait dû être prise depuis longtemps pour sécuriser le droit fondamental des Canadiens à la vie privée et une occasion en or de restaurer la confiance fortement ébranlée des utilisateurs en l’Internet.
Cependant, lorsque la Chambre des communes ajourna ses travaux en fin juin, et que beaucoup s’attendaient à une élection, il est apparu que la proposition de loi ne serait pas adoptée. C’est décevant.
Le projet de loi comportait deux parties. Premièrement, il permettrait d’édicter la Loi sur la protection de la vie privée des consommateurs (LPVPC) qui remplacerait la LPRPDE. Deuxièmement, il permettrait l’application la Loi sur le Tribunal de la protection des renseignements personnels qui constituerait un tribunal administratif pour faire appliquer les décisions du Commissaire à la protection de la vie privée.
Le choix des mots importe et, par conséquent, la LPVPC devrait plus convenablement s’intituler la Loi sur la protection de la vie privée des citoyens, car les enjeux dépassent la simple question de transactions de détail.
La LPVPC établirait de nouvelles règles à suivre pour la protection des données au Canada, et conférerait de nouveaux pouvoirs au Commissaire à la protection de la vie privée pour réprimer les infractions. Le commissaire pourrait proposer l’imposition d’amendes par le nouveau tribunal de la protection des renseignements et des données personnels. Les montants proposés pour les amendes étaient importants : jusqu’à trois pour cent du revenu total pour les entreprises réfractaires, et jusqu’à cinq pour cent du revenu total pour les infractions graves. Elle a répondu à une critique générale de la LPRPDE selon laquelle des entreprises comme Facebook qui empiètent sur les droits de la protection des renseignements personnels ne sont pas sanctionnées à la hauteur des préjudices.
À l’instar de la LPRPDE, un élément central de la LPVPC était qu’il soit exigé des entreprises qu’elles obtiennent un consentement pour la collecte, la rétention et l’utilisation des renseignements personnels, au moment ou avant la collecte des renseignements. En d’autres termes, les Canadiens doivent être avisés et donner leur accord avant que leurs renseignements personnels confidentiels soient recueillis. La validité de ce consentement dépend de l’explication en langage simple des raisons, de la façon et du type de renseignements personnels recueillis, ainsi que de la divulgation à des tiers et des éventuelles conséquences d’un partage de ces renseignements.
La LPVPC accordait également aux individus le droit à la prétendue « mobilité des données. » Cela signifiait que les utilisateurs pourraient demander aux entreprises de transmettre leurs renseignements à une autre de leur choix. Par exemple : cela vous aurait permis de transférer toutes vos transactions et votre historique financiers d’une institution financière à une autre. En outre, il y avait une modification du « droit à l’oubli, » au nom duquel des personnes pourraient demander que les entreprises suppriment leurs renseignements de leurs bases de données, par exemple, après qu’un utilisateur décide de quitter une plateforme.
Reconnaissant que les utilisateurs ne comprennent pas pourquoi certains contenus leur sont conseillés en ligne, le projet de loi C-11 visait à rendre le processus plus ouvert et plus compréhensible. La LPVPC a défini des exigences de transparence les systèmes de décision automatisés comme les algorithmes de recommandation. Les plateformes devront expliquer pourquoi une recommandation a été faite à un individu.
Certes, le projet de loi comportait des lacunes. Par exemple, selon CIRA, il fallait mettre plus l’accent sur les personnes que les plateformes.
L’ambition de la loi d’améliorer la protection des données a été ruinée par une longue liste d’activités de collecte n’exigeant pas des personnes qu’elles donnent leur consentement ou qu’elles sachent à quelles fins serviraient leurs données, par exemple : la collecte d’informations pour assurer la sécurité d’un produit ou d’un service. Ces exceptions relatives à la connaissance et au consentement visaient à faciliter l’innovation commerciale, mais à l’ère de l’Internet des objets où les renseignements personnels sont recueillis par le biais des habitudes de conduite d’une voiture et l’utilisation d’appareils médicaux, il faut craindre que ce soit l’occasion rêvée pour les entreprises de recueillir trop de données personnelles.
La Dre Teresa Scassa, titulaire de la Chaire de recherche du Canada en politiques et droit de l’information les a qualifiées de « désastre en matière de protection des données. » Chris Parsons de Citizen Lab et le commissaire à la protection de la vie privée Daniel Therrien ont tous les deux souligné que les nombreuses lacunes du projet de loi sont dues au fait qu’il repose sur des intérêts commerciaux, plutôt que sur l’utilisation d’un cadre relatif aux droits de la personne. Parson a également demandé l’apport d’amendements au projet de loi pour renforcer les exigences pour l’ouverture, la transparence et la responsabilité des entreprises.
Après la première lecture du projet de loi en novembre, le programme politique sur le numérique a été supplanté par le projet de loi controversé C-10 qui vise à soumettre les plateformes en ligne comme Netflix et Disney+ à des règlements pris en application de la Loi sur la radiodiffusion du Canada. CIRA a soutenu que le projet de loi C-11 était trop important pour être mis de côté.
Cela fait longtemps qu’une réforme sur la protection de la vie privée aurait dû être réalisée et elle est absolument nécessaire. Bien qu’il y ait encore des améliorations à apporter au projet de loi C-11, une élection ne devrait pas signifier la fin de la procédure. En effet, si cette loi n’est pas adoptée, les députés devraient s’engager à la réintroduire lorsque la session parlementaire reprendra, avec les amendements nécessaires, et à l’adopter le plus rapidement possible pour offrir aux Canadiens les protections adéquates qu’ils méritent en matière de vie privée. Il s’agit d’un droit fondamental en cette ère numérique, et cela est indispensable pour assurer un Internet fiable axé sur les citoyens.
Le projet de loi C-11 est l’occasion pour le Canada de devenir un leader mondial en matière de protection des renseignements personnels, tout en aidant notre économique numérique à prospérer.
CIRA appelle à le faire sans tarder.
Byron Holland (MBA, ICD.D) est président et chef de la direction de CIRA, l’organisme national à but non lucratif mieux connu pour sa gestion du domaine .CA et pour l’élaboration de nouveaux services de cybersécurité, de registre et de DNS.
Byron est un expert de la gouvernance de l’Internet et un entrepreneur aguerri. Sous l’égide de Byron, CIRA est devenue un des principaux ccTLD au monde en gérant plus de 3 millions de domaines. Au cours de la dernière décennie, il a représenté CIRA à l’échelle internationale et occupé de nombreux postes de dirigeant au sein de l’ICANN. Il siège présentement sur le conseil d’administration de TORIX en plus d’être membre du comité des mises en candidature de l’ARIN. Il habite à Ottawa en compagnie de son épouse, de leurs deux fils et de Marley, leur berger australien.
Les opinions partagées sur ce blogue sont celles de Byron sur des enjeux qui touchent l’Internet et ne représentent pas nécessairement celles de l’entreprise.
