Le cadre rĂ©glementaire canadien sur la protection de la vie privĂ©e se caractĂ©rise par une dĂ©marche fondĂ©e sur des principes plutĂ´t que sur des règles prĂ©cises, laissant aux organisations la responsabilitĂ© de leur mise en Ĺ“uvre, et par un modèle d’ombudsman qui fait des recommandations plutĂ´t que d’imposer des peines. Ce caractère distinctif s’estompe pour laisser place Ă un autre modèle canadien. Nous explorons ici les grandes lignes des nouvelles convergences et divergences entre le droit Ă la vie privĂ©e canadien et Ă©tranger.
Le contexte mondial
On assiste Ă l’uniformisation du droit Ă la vie privĂ©e Ă travers le monde pour rejoindre le modèle europĂ©en. Les États adoptent ou modifient leurs lois relatives Ă la protection des donnĂ©es personnelles sur le calque du Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) europĂ©en. L’impulsion est Ă la fois politique et Ă©conomique.
Politiquement, les gouvernements sentent la pression de leurs citoyens à remédier au déséquilibre de pouvoir entre les individus et les organisations qui détiennent leurs données, à créer de nouveaux outils de gestion de la réputation devant les répercussions mondiales et permanentes de la dissémination des données personnelles sur internet, et à baliser le potentiel apparemment infini de commercialisation des données. Internationalement, le RGPD est perçu comme étant le nouvel étalon en ce sens.
Aux États-Unis, la Californie a également renforcé son cadre législatif sur la protection des données avec le California Consumer Privacy Act (CCPA). Cependant, son ancrage est la protection des consommateurs alors que le RGDP est ancré dans la protection des droits fondamentaux.
Économiquement, les pays veulent harmoniser leurs rĂ©gimes de protection des donnĂ©es avec celui de l’Europe pour faciliter l’accès au marchĂ© europĂ©en de plus de 700 millions de consommateurs. Ă€ l’intĂ©rieur de leurs frontières, leur objectif est de permettre une exploitation responsable des donnĂ©es en faveur de l’innovation.
C’est Ă travers cette mouvance que la modernisation du droit canadien et Ă©tranger sur le droit Ă la vie privĂ©e arrivent Ă de nouvelles convergences et divergences.
Quelques convergences avec l’Ă©tranger
Au Canada, les propositions de modernisation de la protection des donnĂ©es personnelles se retrouvent dans la Charte numĂ©rique du Canada, Ă©mise en 2019 par le gouvernement fĂ©dĂ©ral, dans le projet de loi 64, Loi modernisant des dispositions lĂ©gislatives en matière de protection des renseignements personnels dĂ©posĂ© en juin 2020 par le gouvernement du QuĂ©bec, et dans les « Consultations pour renforcer la protection des donnĂ©es personnelles » entreprises en aoĂ»t 2020 par le gouvernement de l’Ontario.
Comme ailleurs, les trois initiatives empruntent largement au RGPD. En particulier, les exigences de transparence et de consentement sont rehaussĂ©es selon le modèle des Articles 7, 12 et 13 du RGPD, il est proposĂ© de crĂ©er un droit Ă la portabilitĂ© comme Ă l’Article 20 du RGPD, ainsi qu’un droit Ă la dĂ©sindexation, inspirĂ© du droit d’effacement de l’Article 17 du RGPD. Chaque initiative entreprend d’accorder ou d’accroĂ®tre les pouvoirs d’exĂ©cution de la loi. Le projet de loi quĂ©bĂ©cois prĂ©voit des amendes Ă concurrence de « 4 % du chiffre d'affaires annuel mondial total de l'exercice prĂ©cĂ©dent », essentiellement un copier-coller de l’Article 83.5 du RGPD.
Le QuĂ©bec prĂ©voit Ă©galement d’exiger une Ă©valuation des facteurs relatifs Ă la vie privĂ©e dans certaines circonstances, comme l’Analyse d'impact relative Ă la protection des donnĂ©es prĂ©vue Ă l’article 35 du RGPD. Le projet de loi quĂ©bĂ©cois bonifie Ă©galement l’article 17 actuel de sa Loi sur la protection des renseignements personnels dans le secteur privĂ© concernant la communication des renseignements personnels hors QuĂ©bec avec des conditions d’Ă©quivalence qui rappellent le Chapitre V du RGPD sur le transfert transfrontalier des donnĂ©es. L’octroi du pouvoir au ministre de la Justice de publier une liste d’États dont le cadre rĂ©glementaire rĂ©gissant la protection des donnĂ©es serait « Ă©quivalent » Ă celui du QuĂ©bec imite la notion d’adĂ©quation du RGPD.
La proposition fĂ©dĂ©rale de modernisation suit le modèle de la section 5 du Chapitre IV du RGPD et envisage d’encourager l’adoption de bonnes pratiques comme des mĂ©canismes d’autorĂ©glementation et des normes techniques comme des codes de pratique, de rĂ©gimes d'accrĂ©ditation, de certification et de normes par leur reconnaissance dans la loi.
Quelques divergences
Par le biais de cet alignement avec le droit europĂ©en, et Ă©tranger, puisque tant d’États adoptent des lois inspirĂ©es du RGPD, le Canada maintient sa recherche traditionnelle d’Ă©quilibre entre les droits des individus et les droits des organisations. Ses propositions de modernisation bĂ©nĂ©ficient des dĂ©veloppements depuis l’entrĂ©e en vigueur du RGPD en mai 2018. Le modèle canadien prend une nouvelle forme.
D’abord, le Canada donne suite Ă son engagement explicite Ă « favoriser l'innovation responsable ». Alors que le RGPD affirme au ConsidĂ©rant 7 le principe gĂ©nĂ©ral « qu’il importe de susciter la confiance qui permettra Ă l'Ă©conomie numĂ©rique de se dĂ©velopper dans l'ensemble du marchĂ© intĂ©rieur » et accorde, Ă l’Article 6, aux États membres un droit de dĂ©rogation en faveur d’un traitement Ă©largi des donnĂ©es pourvu qu’il soit « licite et loyal », le Canada fait des propositions concrètes. La Charte numĂ©rique et les Consultations de l’Ontario mettent de l’avant la rĂ©conciliation de l’innovation et de la protection de la vie privĂ©e par la crĂ©ation de structures de fiducies des donnĂ©es afin de rehausser l’usage des donnĂ©es personnelles sans compromettre le droit Ă la vie privĂ©e qui s’y rattache.
De plus, l’adhĂ©sion du Canada Ă une dĂ©marche Ă©quilibrĂ©e, fondĂ©e sur les principes et technologiquement neutre, qui fait la force de son rĂ©gime actuel, est clairement Ă©noncĂ© dans la Charte numĂ©rique du Canada. Les dĂ©fis particuliers des petites et moyennes entreprises sont expressĂ©ment pris en compte comme l’est la rĂ©alitĂ© de l’Ă©volution des modèles d’affaires.
Le Canada démontre également avoir appris des deux ans de mise en œuvre du RGPD par son insistance pour que les responsabilités et les obligations soient bien reparties.
Finalement, alors que le RGPD ne prĂ©voit que la collaboration entre les autoritĂ©s de protection des donnĂ©es, la Charte numĂ©rique du Canada tient compte de l’intersection entre le droit Ă la vie privĂ©e et d’autres domaines. Par exemple, le droit de la concurrence et le droit de la protection de la vie privĂ©e sont en jeu au regard de la monopolisation du pouvoir de commercialisation des donnĂ©es personnelles et du manque de transparence inhĂ©rent aux politiques de confidentialitĂ© mensongères. La proposition fĂ©dĂ©rale prĂ©voit donc la possibilitĂ© pour le Commissariat Ă la protection de la vie privĂ©e du Canada de collaborer avec des rĂ©gulateurs de domaines connexes.
En somme, on reconnaĂ®t dans la modernisation du droit Ă la protection de la vie privĂ©e canadien, surtout dans la proposition fĂ©dĂ©rale, le maintien d’une orientation rĂ©solument pragmatique et Ă©quilibrĂ©e, toute canadienne.
Chantal Bernier, Chef de pratique nationale, Vie privée et cyber sécurité, Dentons