Protection des données et conséquences indésirables

Le projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique, a été déposé en novembre 2020, puis est mort au feuilleton avec le déclenchement des élections de 2021. Un nouveau projet de loi devrait être déposé au Parlement en 2022. La Section du droit de la vie privée et de l’accès à l’information de l’Association du Barreau canadien avait répondu au document de consultation Renforcer la protection de la vie privée dans l’ère numérique en 2019 (disponible uniquement en anglais). Elle offre maintenant ses commentaires (disponibles uniquement en anglais; les citations qui en sont tirées sont des traductions) sur le projet de loi C-11 afin d’orienter le gouvernement dans la présentation du nouveau projet de loi.

La section appuie de façon générale le projet de loi C-11, mais considère que certains points pourraient entraîner des conséquences indésirables si le même projet de loi était déposé de nouveau. Voici un résumé des principaux points d’achoppement et de la manière dont la section suggère de les résoudre.

Dépersonnalisation

Le libellé de la définition de la dépersonnalisation préoccupe la section. Celle-ci estime que la barre est placée trop haut et que les activités commerciales ordinaires subiront de trop grandes restrictions. La section suggère plutôt l’adoption d’une définition comme celle de la pseudonymisation dans le Règlement général sur la protection des données (RGPD).

Dans le projet de loi C-11, dépersonnaliser signifie « [m]odifier des renseignements personnels – ou créer des renseignements à partir de renseignements personnels – au moyen de procédés techniques afin que ces renseignements ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d’autres renseignements, pour identifier un individu ».

De tels renseignements ne sont plus « personnels » s’ils sont anonymisés, ajoute la section, et ne doivent donc pas être soumis à la Loi sur la protection de la vie privée des consommateurs proposée ou à toute autre loi régissant les renseignements personnels. « En outre, la confusion des concepts de renseignements anonymisés et de renseignements dépersonnalisés risque d’engendrer des problèmes d’interprétation et de conformité en droit international », peut-on lire dans la lettre de la section.

Exonération des transactions commerciales

L’exigence selon laquelle les renseignements doivent être dépersonnalisés avant d’être partagés dans le cadre d’une transaction commerciale est impraticable, selon la section. En particulier lors des fusions et acquisitions, des investissements et d’autres transactions commerciales où il est souvent nécessaire de divulguer certains renseignements personnels pour que l’acheteur puisse exercer la diligence requise.

L’article 7.2 de la Loi sur la protection des renseignements personnels et les documents électroniques, en revanche, fonctionne bien. « La section n’a été informée d’aucune enquête ou décision du Commissariat à la protection de la vie privée où une utilisation abusive de renseignements personnels divulgués en vertu de ces dispositions aurait été en cause », précise la lettre.

Flux de données interprovincial

La section souhaite que les références aux flux de données interprovinciaux soient supprimées, puisqu’il ne devrait pas y avoir d’obstacles au commerce interprovincial et que la Loi sur la protection de la vie privée des consommateurs proposée s’appliquerait aux transferts interprovinciaux.

La section demande également que le pouvoir d’ordonnance provisoire du Commissariat à la protection de la vie privée soit retiré de la Loi sur la protection de la vie privée des consommateurs. « Comme les enquêtes du Commissariat sont déclenchées par des plaintes, explique-t-elle, elles peuvent porter sur une pratique courante de l’industrie. Si le Commissariat interdisait l’action à un stade précoce et prenait des mois, voire des années, pour rendre une décision, cela entraînerait des conséquences importantes pour la compétitivité des organisations. »

La création d’un cadre réglementaire pour certains types de systèmes décisionnels automatisés est souhaitable, mais l’approche doit être intersectionnelle et nuancée. La section recommande une révision de la définition des systèmes décisionnels automatisés « afin de viser plus particulièrement les technologies qui se substituent à l’évaluation et aux prises de décisions humaines ». En outre, les obligations des organisations devraient être limitées à la prise de décision automatisée « ayant un impact matériel réel sur les individus ou présentant un risque de préjudice important pour eux », indique-t-on dans la lettre.