Le cadre réglementaire canadien sur la protection de la vie privée se caractérise par une démarche fondée sur des principes plutôt que sur des règles précises, laissant aux organisations la responsabilité de leur mise en œuvre, et par un modèle d’ombudsman qui fait des recommandations plutôt que d’imposer des peines. Ce caractère distinctif s’estompe pour laisser place à un autre modèle canadien. Nous explorons ici les grandes lignes des nouvelles convergences et divergences entre le droit à la vie privée canadien et étranger.
Le contexte mondial
On assiste à l’uniformisation du droit à la vie privée à travers le monde pour rejoindre le modèle européen. Les États adoptent ou modifient leurs lois relatives à la protection des données personnelles sur le calque du Règlement général sur la protection des données (RGPD) européen. L’impulsion est à la fois politique et économique.
Politiquement, les gouvernements sentent la pression de leurs citoyens à remédier au déséquilibre de pouvoir entre les individus et les organisations qui détiennent leurs données, à créer de nouveaux outils de gestion de la réputation devant les répercussions mondiales et permanentes de la dissémination des données personnelles sur internet, et à baliser le potentiel apparemment infini de commercialisation des données. Internationalement, le RGPD est perçu comme étant le nouvel étalon en ce sens.
Aux États-Unis, la Californie a également renforcé son cadre législatif sur la protection des données avec le California Consumer Privacy Act (CCPA). Cependant, son ancrage est la protection des consommateurs alors que le RGDP est ancré dans la protection des droits fondamentaux.
Économiquement, les pays veulent harmoniser leurs régimes de protection des données avec celui de l’Europe pour faciliter l’accès au marché européen de plus de 700 millions de consommateurs. À l’intérieur de leurs frontières, leur objectif est de permettre une exploitation responsable des données en faveur de l’innovation.
C’est à travers cette mouvance que la modernisation du droit canadien et étranger sur le droit à la vie privée arrivent à de nouvelles convergences et divergences.
Quelques convergences avec l’étranger
Au Canada, les propositions de modernisation de la protection des données personnelles se retrouvent dans la Charte numérique du Canada, émise en 2019 par le gouvernement fédéral, dans le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels déposé en juin 2020 par le gouvernement du Québec, et dans les « Consultations pour renforcer la protection des données personnelles » entreprises en août 2020 par le gouvernement de l’Ontario.
Comme ailleurs, les trois initiatives empruntent largement au RGPD. En particulier, les exigences de transparence et de consentement sont rehaussées selon le modèle des Articles 7, 12 et 13 du RGPD, il est proposé de créer un droit à la portabilité comme à l’Article 20 du RGPD, ainsi qu’un droit à la désindexation, inspiré du droit d’effacement de l’Article 17 du RGPD. Chaque initiative entreprend d’accorder ou d’accroître les pouvoirs d’exécution de la loi. Le projet de loi québécois prévoit des amendes à concurrence de « 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent », essentiellement un copier-coller de l’Article 83.5 du RGPD.
Le Québec prévoit également d’exiger une évaluation des facteurs relatifs à la vie privée dans certaines circonstances, comme l’Analyse d'impact relative à la protection des données prévue à l’article 35 du RGPD. Le projet de loi québécois bonifie également l’article 17 actuel de sa Loi sur la protection des renseignements personnels dans le secteur privé concernant la communication des renseignements personnels hors Québec avec des conditions d’équivalence qui rappellent le Chapitre V du RGPD sur le transfert transfrontalier des données. L’octroi du pouvoir au ministre de la Justice de publier une liste d’États dont le cadre réglementaire régissant la protection des données serait « équivalent » à celui du Québec imite la notion d’adéquation du RGPD.
La proposition fédérale de modernisation suit le modèle de la section 5 du Chapitre IV du RGPD et envisage d’encourager l’adoption de bonnes pratiques comme des mécanismes d’autoréglementation et des normes techniques comme des codes de pratique, de régimes d'accréditation, de certification et de normes par leur reconnaissance dans la loi.
Quelques divergences
Par le biais de cet alignement avec le droit européen, et étranger, puisque tant d’États adoptent des lois inspirées du RGPD, le Canada maintient sa recherche traditionnelle d’équilibre entre les droits des individus et les droits des organisations. Ses propositions de modernisation bénéficient des développements depuis l’entrée en vigueur du RGPD en mai 2018. Le modèle canadien prend une nouvelle forme.
D’abord, le Canada donne suite à son engagement explicite à « favoriser l'innovation responsable ». Alors que le RGPD affirme au Considérant 7 le principe général « qu’il importe de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur » et accorde, à l’Article 6, aux États membres un droit de dérogation en faveur d’un traitement élargi des données pourvu qu’il soit « licite et loyal », le Canada fait des propositions concrètes. La Charte numérique et les Consultations de l’Ontario mettent de l’avant la réconciliation de l’innovation et de la protection de la vie privée par la création de structures de fiducies des données afin de rehausser l’usage des données personnelles sans compromettre le droit à la vie privée qui s’y rattache.
De plus, l’adhésion du Canada à une démarche équilibrée, fondée sur les principes et technologiquement neutre, qui fait la force de son régime actuel, est clairement énoncé dans la Charte numérique du Canada. Les défis particuliers des petites et moyennes entreprises sont expressément pris en compte comme l’est la réalité de l’évolution des modèles d’affaires.
Le Canada démontre également avoir appris des deux ans de mise en œuvre du RGPD par son insistance pour que les responsabilités et les obligations soient bien reparties.
Finalement, alors que le RGPD ne prévoit que la collaboration entre les autorités de protection des données, la Charte numérique du Canada tient compte de l’intersection entre le droit à la vie privée et d’autres domaines. Par exemple, le droit de la concurrence et le droit de la protection de la vie privée sont en jeu au regard de la monopolisation du pouvoir de commercialisation des données personnelles et du manque de transparence inhérent aux politiques de confidentialité mensongères. La proposition fédérale prévoit donc la possibilité pour le Commissariat à la protection de la vie privée du Canada de collaborer avec des régulateurs de domaines connexes.
En somme, on reconnaît dans la modernisation du droit à la protection de la vie privée canadien, surtout dans la proposition fédérale, le maintien d’une orientation résolument pragmatique et équilibrée, toute canadienne.
Chantal Bernier, Chef de pratique nationale, Vie privée et cyber sécurité, Dentons