Mémoire reçu dans le cadre de la consultation sur le consentement en vertu de la LPRPDE (Bernier)

Chantal Bernier (Avocale-conseil, Dentons)

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada.

Sommaire

Mes commentaires s’articulent autour de cette prémisse : la LPRPDE crée déjà un régime de consentement qui en permet i) l’adaptation à des modalités d’exercice variées selon les circonstances et ii) la dérogation dans des cas exceptionnels. Je n’aborde donc pas la question comme un « remplacement du consentement » mais comme une adaptation de ses modalités d’exercice, selon les circonstances. Quatre modalités d’exercice du consentement émergent de l’expérience pratique :

Consentement général ou particulier,
Consentement explicite ou implicite.

Le choix de l’une de ces modalités est guidé par l’article 6.1 de la LPRPDE qui exige, pour que le consentement soit valable, que

‘l’individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti’.

Chacune des quatre modalités de consentement est donc valable pourvu que l’individu comprenne la portée du consentement. C’est à la lumière de cette prémisse que j’aborde les quatre questions soumises aux fins de consultation.

À partir de mon expérience au Commissariat à la protection de la vie privée du Canada, jumelée à mon expérience comme avocate-conseil dans le secteur privé, la validité du consentement en ligne me paraît procéder des priorités suivantes :

Puisque l’essence même du droit à la vie privée est le droit de contrôler la communication de nos renseignements personnels, la notion de ‘remplacement du consentement’ ou ‘alternatives to consent’ doit être délaissée en faveur de la notion de ‘modalités de consentement’ ou ‘modalities of consent’.
Les modalités de consentement, générique, ou spécifique, exprès ou implicite, varient selon le caractère sensible des renseignements et les attentes raisonnables de confidentialité.
Le « test » de légitimité d’une modalité est celui-ci : l’individu était-il dûment informé, au moment de son consentement, pour en comprendre les conséquences? Ceci exige, en priorité, un rehaussement des exigences de transparence.
La désidentification exclue l’application de la LPRPDE.

Mémoire complète:

Remarque : Comme ce mémoire a été soumis par une entité non assujettie à la Loi sur les langues officielles, la version intégrale n’est disponible que dans la langue dans laquelle il a été rédigé.

Introduction

Ce mémoire est présenté en ma qualité d’avocate-conseil auprès du Groupe mondial sur la vie privée et la cyber sécurité de Dentons Canada LLP. Mon objectif est exclusivement de contribuer à la Discussion engagée par le CPVP parce que je la considère d’une grande pertinence. Je ne parle donc au nom d’aucune organisation, individu ou association et ne représente aucun mandant.

J’espère apporter à cette discussion ma perspective privilégiée de deux expériences complémentaires, d’abord comme ancienne commissaire chargée de l’application de la Loi sur la protection des renseignements personnels et documents électroniques (LPRPDE) et maintenant comme avocate-conseil auprès des organisations assujetties à cette même loi.

Consentement général ou particulier,
Consentement explicite ou implicite.

Le choix de l’une de ces modalités est guidé par l’article 6.1 de la LPRPDE qui exige, pour que le consentement soit valable, que

Parmi les solutions proposées dans le présent rapport, lesquelles présentent selon vous le plus d’avantages?

Plutôt que de choisir parmi les quatre solutions possibles mises de l’avant dans le Document de discussion, je préfère souligner l’importance de chacune d’entre elles comme une modalité d’exercice et de protection du consentement valable selon les circonstances.

1) Amélioration du consentement

La proposition ayant le plus de mérite à cet égard est celle se rapportant à l’accroissement de la transparence. Elle englobe, à mon avis, les mécanismes de gestion des préférences et l’adaptation du mode de consentement aux fonctions de la technologie en cause. Les premiers répondent à la fois aux exigences de transparence et au droit d’accès. La deuxième appuie l’exercice du consentement. Quant à la protection de la vie privée dès la conception (PrivacybyDesign en anglais), j`y vois de bonnes pratiques qui illustrent les règles déjà énoncées à l’Annexe I de la LPRPDE.

Mon expérience tant au CPVP que dans le secteur privé m’amène à insister sur la nécessité de simplifier les politiques de confidentialité pour plus de transparence. C’est la solution maitresse dans le maintien du consentement valable en ligne.

En particulier, le document du CPVP Dix conseils pour améliorer votre politique de confidentialité en ligne et la transparence de vos pratiques en matière de protection de la vie privée doit guider le CPVP dans son application de la clause 4.8 de l’Annexe I de la LPRPDE comme une série d’exigences découlant du Huitième Principe, plutôt que comme de simples recommandations. Mon expérience dans le secteur privé m’amène à suggérer la concentration des efforts à l’égard des trois conseils suivants aux entreprises, contenus au document du CPVP:

Développer des politiques de confidentialité propres et adaptées à leurs activités.
Utiliser un langage clair et non juridique. J’ajouterais que le ton doit être celui de l`engagement envers l’individu, plutôt que celui d’une cession de l’individu face à l`organisation.
Structurer la politique pour en faciliter la consultation. A cet égard, j’aimerais souligner le double mérite de la suggestion du CPVP d’adopter des politiques « à niveaux »: sur le plan juridique, elles résolvent le « paradoxe de la transparence » et sur le plan du marketing, elles réalisent les objectifs de communication fluide.

Observation: le CPVP doit continuer de concentrer ses efforts sur le rehaussement de la transparence de façon prioritaire. Dans ses enquêtes, sa recherche et ses activités d’éducation, le CPVP doit exiger la simplification des politiques de confidentialité pour assurer l’amélioration réelle du consentement, ainsi qu’aborder les mécanismes de gestion des préférences comme étant inhérents à la réalisation des clauses 4.8 et 4.9 de l’Annexe I de la LPRPDE sur les devoirs de transparence et d’accès.

2) Les solutions de remplacement

Selon ma prémisse, les solutions mises de l’avant dans le document de discussion ne remplacent pas le consentement. Plutôt, elles clarifient les exigences quant à la nécessité de consentement et, le cas échéant, les modalités d’exercice qui s’appliquent selon les circonstances. En particulier,

La désidentification ne remplace pas le consentement. Elle exclut les renseignements de la portée de la LPRPDE. Ceci découle de la définition de « renseignements personnels » qui est clairement limitée, à l’article 2 de la LPRPDE, aux renseignements qui se rapportent à une personne identifiable. Il en découle que la désidentification (c’est-à-dire le processus selon lequel il devient improbable que les renseignements se rapportent à une personne identifiable) exclut l’application de la LPRPDE et donc l’exigence de consentement.
La Directive 95/46/EC de l’Union européenne stipule cette règle de façon non-équivoque : les principes de protection ne s’appliquent pas aux données rendues anonymes de telle manière que l’individu n’est plus identifiable. Cette conclusion ressort également de la clause 4.5.3 de l’Annexe I de la LPRPDE qui associe l’anonymisation à la destruction des renseignements personnels. Les arguments cités au Document de discussion selon lesquels ‘les renseignements ne peuvent jamais être parfaitement ‘désidentifiés’ ne correspondent pas à la règle jurisprudentielle selon laquelle la LPRPDE doit être interprétée de façon pragmatique. Il en va de même des arguments selon lesquels la désidentification constitue un usage secondaire. Cette interprétation est paradoxale et illogique. Le législateur a clairement limitée la portée de la LPRPDE aux renseignements identifiables. Toute notion contenue dans la loi ne peut s’appliquer à ce qui en a été exclue. Cet état du droit offre une protection accrue de la vie privée en encourageant la désidentification qui permet l’analyse de renseignements extrêmement valables, dans l’intérêt de tous.
Les ‘zones interdites’ et les ’zones de prudence’ proposées dans le Document de discussion sont en fait déjà balisées par la LPRPDE :i) le paragraphe 5(3) de la LPRPDE interdit tout usage qu’une personne raisonnable jugerait inapproprié; ii) le Principe 4.3 de l’Annexe I de la LPRPDE crée des zones de prudence et des zones interdites selon la compatibilité de l’usage aux fins déterminées au moment du consentement. Il découle de ces principes une souplesse qu´il ne faut pas perdre devant les avancées technologiques et les changements sociaux. Par exemple, le partage des données génétiques est de plus en plus populaire dans une mouvance générale de quantification du soi : les athlètes veulent ajuster leur entraînement à leurs dispositions génétiques et partager ces renseignements avec leurs entraineurs; les individus, et surtout les personnes adoptées, cherchent à découvrir leurs origines grâce à l’analyse de leurs données génétiques. L’exercice est légitime tant qu’il est accompagné d’un consentement valable, c’est-à-dire explicite et particulier vu le caractère sensible des données. Par conséquent, des zones interdites ou de prudence absolues, plutôt que relatives aux circonstances du consentement valable, équivaudraient en fait à une perte d’autonomie de l’individu sur ses renseignements personnels en lui retirant des choix. Ce résultat est fondamentalement contraire au principe d’autonomie central au droit à la vie privée.
La notion d’intérêts commerciaux légitimes inspirée du droit européen s’inscrit déjà dans la LPRPDE par l’accommodement établi à l’article 3 selon le besoin de l’organisation et le caractère acceptable des fins poursuivies. Les « intérêts légitimes » envisagés par l’Union européenne est un assouplissement nécessaire dans un régime de protection des données personnelles beaucoup plus prescriptif que le droit canadien. Il n’ajoute rien, à mon avis, au modèle canadien qui est déjà bien ancré dans un juste équilibre des besoins de l`organisation et des droits fondamentaux de l’individu. Le caractère hybride de la LPRPDE entre la protection des droits fondamentaux et l’équité contractuelle, ainsi que ses règles d’interprétation pragmatique, font que la notion d’intérêts légitimes est déjà incorporée dans la LPRPDE.

Observation : Il est urgent de clarifier que la désidentification constitue la séparation robuste des identifiants du reste des données personnelles et qu’elle retire cette information désidentifiée de l’application de la LPRPDE.

3) Gouvernance :

Tout régime règlementaire ne vaut que par l’efficacité de sa structure de gouvernance : i) elle doit être fondée sur des règles claires et pertinentes; ii) une autorité efficace, c’est-à-dire pourvue des pouvoirs et des ressources correspondantes aux exigences de mise en œuvre du régime; iii) des organisations responsabilisées à se conformer au régime et à démontrer leur conformité et iv) des usagers bien informés, en mesure d’exercer leur choix selon qu’ils jugent une organisation conforme ou non.

Cette architecture de gouvernance est articulée dans la LPRPDE : elle édicte les règles et les pouvoirs du CPVP; elle responsabilise les organisations par la clause 4.1.de l’Annexe I de la LPRPDE et elle accorde au CPVP des pouvoirs d’éducation du public pour munir les individus d’information qui les habilite à exercer leur choix de façon éclairée dans le partage de leurs renseignements personnels.

En comparaison à cette architecture globale et adaptable, les instruments décrits dans le document de discussion me paraissent étriqués et peu pratiques :

les codes de pratiques n’ajoutent rien au cadre réglementaire actuel qui définit les critères de conformité tout en laissant à l’organisation la souplesse de développer ces propres politiques et pratiques selon ses activités; ils risquent d’alourdir le cadre règlementaire et fragmenter son application par la création d’instruments parallèles;
les marques de confiance, adoptées par certains pays européens où les programmes de gestion des données doivent être approuvés par l’autorité de protection des données personnelles ne trouvent pas de résonnance au Canada qui n’a pas cette exigence. La philosophie du régime canadien est de responsabiliser les organisations, laissant au Commissariat le devoir de représenter les droits des individus par les pouvoirs d’enquête, de vérification et de recherche, d’assurer leur conformité et de les appuyer par l’éducation. Cette responsabilisation des entreprises, sans intermédiaire, correspond à leur obligation continue de se conformer à la loi quel que soient les changements technologiques. Les marques de confiance s’appliquent mal à l’exigence de l’évolution continue de la protection selon l’évolution des risques;
Finalement, les évaluations éthiques sont déjà exigées par la LPRPDE dans toutes les dispositions qui imposent à l’organisation un principe plutôt qu’une règle. Par exemple, chacune de ces dispositions exigent de l’organisation un jugement éthique :
- Le caractère ‘acceptable’ des fins de collecte, utilisation et communication, posé à l’article 3; ou
- Les ‘motifs raisonnables’ de croire qu’un individu pourrait être victime d’exploitation qui permettent la communication en vertu de l’article 7(3) d.3); ou,
- lorsqu’elle entrera en vigueur, l’obligation de signaler une atteinte aux mesures de sécurité si l’organisation a des motifs raisonnables de croire que l’atteinte présenterait un risque réel de préjudice grave à l’endroit d’un individu.

Toutes ces marges de discrétion sont autant de jalons pour chaque organisation dans l’élaboration de son cadre éthique de protection de la vie privée.

Observation : Le régime canadien de protection de la vie privée constitue un modèle : la loi est à la fois claire et souple, le CPVP est indépendant et muni de pouvoirs qui ont fait leurs preuves. Les organisations sont conscientes des exigences des individus et voient leur intérêt à s’y conformer. Le CPVP devrait concentrer ses ressources à l’application optimale du régime actuel.

4) Avez-vous d’autres solutions à proposer pour relever les défis associés au consentement?

Tel qu’il ressort de ma réponse à la première question, je privilégie le maintien du cadre règlementaire actuel, intact, appliqué avec toute sa souplesse à la nouvelle réalité du consentement en ligne. Ceci tient en partie de trois observations: i) le régime canadien actuel offre la latitude nécessaire à la réglementation d’un domaine en évolution, ii) les modifications récentes à la LPRPDE, si longues à obtenir, permettent difficilement d’espérer d’autres modifications législatives à court terme et iii) la pression de l’acceptabilité sociale, qui s’accroit avec les exigences des individus, constitue un levier puissant de conformité aux obligations de protection de la vie privée. En réponse à cette question visant d’autres solutions pour assurer le consentement valable, je concentrerai mes commentaires sur ce dernier phénomène.

Nous voyons, particulièrement depuis les révélations Snowden, un engagement actif des entreprises dans la défense de la vie privée. Au Canada, nous avons vu des entreprises émettre des rapports de transparence sans y être obligées et même à l’encontre des remontrances du gouvernement. Certaines ont même opposé avec succès des mandats judiciaires de communication des données personnelles jugés excessivement larges. Aux États-Unis, les géants de la technologie ont tenu tête aux forces de l'ordre dans la communication des données personnelles. Dans ma pratique, je conseille des entreprises qui, justement, veulent s’assurer d`être parfaitement conformes à leurs obligations de protection de la vie privée. Cet élan procède à la fois de positions éthiques et de calcul commercial : les entreprises cherchent à gagner ou préserver l’acceptabilité sociale à opérer (Social License to Operate). La notion d’acceptabilité sociale repose sur trois critères: i) les individus affectés sont consultés, ii) le bénéfice est également partagé entre l’entreprise et l’individu et iii) les répercussions sur les individus sont évaluées et atténuées. La transposition de ce modèle à la protection de la vie privée fait ressortir les conclusions suivantes en regard du consentement valable :

Quelle que soit la technologie utilisée, la « consultation de l’individu » passe par l’information claire sur les conséquences du consentement au moment de son obtention;
À l’égard de la collecte autonome, par exemple par la géolocalisation, l’internet des objets ou les caméras en circuit fermé, une alerte doit informer l’individu en temps opportun; par exemple, dans le cas de la géolocalisation intégrée dans les voitures, même le petit écran qui sert de GPS doit contenir, à l’allumage, le rappel de la collecte de la géolocalisation avec une option de refus; dans le cas de l’Internet des objets, les recommandations du Groupe de travail de l’article 29 ainsi que les solutions mises de l’avant par la Federal Trade Commission des États Unis sont à la fois pratiques et fidèles à la protection de la vie privée. Comme exemple concret, je vous réfère à l`analyse de conformité de la poupée Hello Barbie en vertu du S. Children’s Online Privacy Protection Act. La poupée ‘converse’ avec l’enfant et enregistre les paroles de l’enfant mais avec les précautions suivantes :
- L’activation de la fonction de `conversation` exige qu’un parent, après l’achat de la poupée, y souscrive en ligne de façon explicite; l’activation est accompagnée d’une politique de confidentialité;
- La poupée ne recueille aucun identifiant; en fait, les 1800 phrases qu’elle a enregistré ont été conçues pour éviter la cueillette d’identifiants;
- Les données sont anonymisées aux fins d’analyse des données massives.
- La collecte est donc minimisée et la communication est interdite.
Concernant le consentement à la publicité en ligne, le rapport d’enquête du CPVP sur Bell Canada en 2015, correspond aux critères d’acceptabilité sociale : les attentes de vie privée sont plus élevées face à un service payant, comme le CPVP le conclut, et le développement d’un profil personnel sans consentement exprès ne peut constituer une consultation valable de l’individu.
Quant au deuxième critère, d’un partage équitable des bénéfices, le rapport du CPVP à l’égard de Bell Canada est également pertinent : lorsque le service est déjà payé, l’utilisation des données personnelles à d’autres fins que le service constitue un bénéfice à l’organisation sans un retour équivalent à l’individu. Le consentement exprès est donc exigé pour s’assurer que les individus qui consentent le font parce qu’ils y trouvent leur compte.
Finalement, le critère de l’acceptabilité sociale concernant l’évaluation des répercussions sur les individus est également reflétée dans le rapport du CPVP sur Bell Canada : la collecte ou la constitution de données sensibles (via le profilage) comporte des répercussions sur les individus qui rehaussent les exigences du consentement.

Observation : LE CPVP et ses homologues, pour assurer la pertinence et la légitimité de leur interprétation de la loi, devraient s’inspirer des critères de la notion « d’acceptabilité sociale à opérer ».

5) Quel rôle, responsabilités et pouvoirs devrait-on attribuer aux parties chargées de promouvoir l’élaboration et l’adoption de solutions pour mettre en place le système le plus efficace possible?

A titre de commissaire, je n’ai ressenti qu’une seule fois la limite des pouvoirs du CPVP : une compagnie américaine, sous la menace d’amendes de la FTC, avait produit un rapport de vérification à la FTC selon les délais impartis. En contraste, le rapport que nous avions exigé ne nous a été soumis que très en retard, soit selon le calendrier de la FTC, et non le nôtre. De plus, il était la copie exacte de ce rapport à la FTC, sans adaptation à nos recommandations. Le rapport était somme toute valable et nous avons résolu la plainte. Cependant, je ne pouvais m’empêcher de croire que le pouvoir d’amende de la FTC avait peut-être favorisé la conformité à son égard plutôt qu’au nôtre…

D’autre part, j’ai toujours senti le poids sur les entreprises, en faveur de la conformité, du pouvoir du Commissaire de nommer. Ayant été renforcé par les modifications de la LPRPDE de 2015, il peut être utilisé de façon efficace. La recherche de l’acceptabilité sociale, mentionnée plus haut, vient consolider la valeur du pouvoir de nommer.

La répartition des rôles actuels entre le législateur et l’autorité Indépendante qu’est le CPVP me paraissent suffisants. Ceci étant dit, le CPVP devra toujours recevoir les ressources nécessaires à la réalisation de son mandat et au maintien de son indépendance.

6) Le cas échéant, quelles modifications devrait-on apporter à la législation?

Tel que mentionné dès le départ, pour des raisons de fond comme de forme, je suggère que le CPVP continue à concentrer ses efforts dans la réalisation des objectifs de la LPRPDE. Sa souplesse permet d’assurer la protection de la vie privée quelle que soit la plateforme d’échange de renseignements.

En conclusion, à partir de mon expérience au CPVP jumelée à mon expérience dans le secteur privé, j’aimerais mettre l’accent sur les points suivants :

Puisque l’essence même du droit à la vie privée est le droit de contrôler la communication de nos renseignements personnels, la notion de ‘remplacement du consentement’ ou ‘alternatives to consent’ doit être délaissée en faveur de la notion de ‘modalités de consentement’ ou ‘modalities of consent’.
Les modalités de consentement, générique, ou spécifique, exprès ou implicite, varient selon le caractère sensible des renseignements et les attentes raisonnables de confidentialité.
Le « test » de légitimité d’une modalité et celui-ci : l’individu était-il dûment informé, au moment de son consentement, pour en comprendre les conséquences? Ceci exige, en priorité, un rehaussement des exigences de transparence.
La désidentification exclue l’application de la LPRPDE.

Je tiens à féliciter le CPVP pour l’excellence de son document de discussion et la pertinence de son initiative.

Date de modification :: 2016-10-05

Sélection de la langue

Recherche et menus

Recherche