Parfois, un cadeau tant attendu qui arrive emballé dans du papier scintillant déçoit lorsqu’il est ouvert. C’est le cas du projet de loi C-11, présenté en novembre 2020, qui incluait la Loi sur la protection de la vie privée des consommateurs (CPPA).
Présenté comme une mise en œuvre des promesses en matière de vie privée faites dans la Charte numérique, et comme une réponse à une décennie d’appels pour une réforme significative des lois sur la vie privée dans le secteur privé, le projet de loi contient à première vue plusieurs caractéristiques souhaitées par les défenseurs de la vie privée : intégrer les données non identifiées dans le champ d’application de la loi, aborder la transparence pour les décisions automatisées, l’ajout de dispositions pour la portabilité des données et d’importantes améliorations aux pouvoirs d’application du Bureau du commissaire à la protection de la vie privée du Canada (OPC).
Mais ce vieux cliché, le diable dans les détails, n’est jamais plus vrai que lorsqu’il est appliqué à un texte de loi de 122 pages. Une analyse des particularités de ces dispositions révèle leurs lacunes. Considérez le traitement des données non identifiées par le C-11, qui, bien fait et bien réglementé, peut protéger la vie privée et renforcer la sécurité. Les données désidentifiées sont traitées de façon à ne pas pouvoir être utilisées pour identifier une personne. C’est indéniablement un processus qui fonctionne sur des informations personnelles, générées par des transactions et des comportements personnels—mais s’il est traité correctement, il ne devrait pas pouvoir être lié à une personne identifiable. Cependant, de nombreuses recherches confirment que la désidentification ne sera jamais infaillible à l’ère du big data. Et ces données sont de plus en plus utilisées pour prendre des décisions importantes concernant les individus et les groupes. Donc, compte tenu des risques et des impacts, le fait que les données soient dédéfinies et intégrées sans ambiguïté dans le champ d’application de la loi serait une victoire en matière de vie privée. Sans interdire son utilisation, mais pour s’assurer que le traitement et l’utilisation de ces données se fassent dans un cadre de responsabilité et de transparence, avec des conséquences pour les préjudices s’ils surviennent et des interdictions fermes de réidentification.
Le C-11, cependant, n’est pas sans ambiguïté. Elle permet de désidentifier des données sans consentement pour trois objectifs : pour la recherche interne, pour une transaction commerciale prospective, ou lorsqu’elles sont divulguées à des fins socialement bénéfiques prescrites. Cela signifie-t-il que des données désidentifiées ne peuvent être utilisées que sans consentement à ces fins? Le consentement serait-il requis à d’autres fins? Ou d’autres usages sont-ils interdits?
Avec assez d’espace et de temps, nous pourrions passer en revue chacune des autres victoires « au premier regard » du projet de loi. Et ensuite, nous pourrions nous tourner vers toutes les pertes flagrantes — notamment une tentative ratée de remédier à l’insuffisance croissante d’un régime purement basé sur le consentement en ajoutant une série d’exceptions pour les « opérations commerciales » qui, contrairement à des dispositions similaires du Règlement général européen sur la protection des données, ne sont pas limitées par la reconnaissance de la vie privée comme un droit humain. Les exceptions dans les cas où « obtenir le consentement de l’individu serait impraticable parce que l’organisation n’a pas de relation directe avec l’individu » évoquent le fournisseur de reconnaissance faciale Clearview AI, l’entreprise qui a extrait sans consentement des milliards d’images d’Internet et qui a fait l’objet de conclusions cinglantes de la part de l’OPC, la qualifiant de facilitateur de la surveillance de masse.
En fin de compte, le vrai critère est le suivant : si le C-11 était devenu loi, les protections de la vie privée seraient-elles plus fortes pour les gens partout au Canada? Le déséquilibre de pouvoir entre les collecteurs de données corporatifs et les particuliers serait-il atténué? Plus concrètement, les récents scandales impliquant des informations personnelles — l’affaire Facebook/Cambridge Analytica tentant de saper les élections démocratiques, la fourniture d’outils de reconnaissance faciale Clearview AI à la police à travers le pays, l’utilisation non consentie de l’analytique faciale par Cadillac Fairview — auraient-ils été évités, ou, du moins, les responsables auraient-ils été plus efficacement tenus d’en faire face aux conséquences? La triste réponse est non. Non seulement il aurait été plus facile d’invoquer des exceptions au consentement, mais le commissaire à la vie privée note que les violations du consentement seraient hors du cadre des sanctions administratives.
Le C-11 est insuffisant pour répondre à la réalité que les modèles d’affaires du 21e siècle nous présentent non seulement comme des consommateurs, mais aussi comme des consommateurs. Des protections renforcées sont nécessaires pour garantir que l’innovation axée sur les données respecte les droits à la vie privée, notamment en raison des impacts en aval sur les droits associés, y compris l’égalité. Le Canada accuse un retard en matière d’adoption technologique, en partie parce que la confiance sociale dans les technologies innovantes basées sur les données est actuellement à un faible reflux. Meilleures lois sur la vie privée, meilleure protection, plus de confiance, meilleures affaires. La bonne nouvelle, c’est que ce cadeau qui n’avait l’air bon qu’à l’extérieur a été retourné à l’expéditeur lorsque le Parlement a été dissous. Espérons que ses créateurs tiendront des leçons de son accueil et que son remplacement vaut la peine d’être conservé.
[Cet article a été publié par The Hill Times le 27 octobre 2021 sous la forme d’une opinion : Parfois, un cadeau tant attendu qui arrive emballé dans du papier brillant déçoit lorsqu’il est ouvert. C’est le cas du projet de loi C-11, présenté en novembre 2020, qui incluait la Loi sur la protection de la vie privée des consommateurs (CPPA).Présenté comme une mise en œuvre des promesses en matière de vie privée faites dans la Charte numérique, et comme une réponse à une décennie d’appels pour une réforme significative des lois sur la vie privée dans le secteur privé, le projet de loi contient à première vue plusieurs caractéristiques souhaitées par les défenseurs de la vie privée : intégrer les données non identifiées dans le champ d’application de la loi, aborder la transparence pour les décisions automatisées, l’ajout de dispositions pour la portabilité des données et d’importantes améliorations aux pouvoirs d’application du Bureau du commissaire à la protection de la vie privée du Canada (OPC).
Mais ce vieux cliché, le diable dans les détails, n’est jamais plus vrai que lorsqu’il est appliqué à un texte de loi de 122 pages. Une analyse des particularités de ces dispositions révèle leurs lacunes. Considérez le traitement des données non identifiées par le C-11, qui, bien fait et bien réglementé, peut protéger la vie privée et renforcer la sécurité. Les données désidentifiées sont traitées de façon à ne pas pouvoir être utilisées pour identifier une personne. C’est indéniablement un processus qui fonctionne sur des informations personnelles, générées par des transactions et des comportements personnels—mais s’il est traité correctement, il ne devrait pas pouvoir être lié à une personne identifiable. Cependant, de nombreuses recherches confirment que la désidentification ne sera jamais infaillible à l’ère du big data. Et ces données sont de plus en plus utilisées pour prendre des décisions importantes concernant les individus et les groupes. Donc, compte tenu des risques et des impacts, le fait que les données soient dédéfinies et intégrées sans ambiguïté dans le champ d’application de la loi serait une victoire en matière de vie privée. Sans interdire son utilisation, mais pour s’assurer que le traitement et l’utilisation de ces données se fassent dans un cadre de responsabilité et de transparence, avec des conséquences pour les préjudices s’ils surviennent et des interdictions fermes de réidentification.
Le C-11, cependant, n’est pas sans ambiguïté. Elle permet de désidentifier des données sans consentement pour trois objectifs : pour la recherche interne, pour une transaction commerciale prospective, ou lorsqu’elles sont divulguées à des fins socialement bénéfiques prescrites. Cela signifie-t-il que des données désidentifiées ne peuvent être utilisées que sans consentement à ces fins? Le consentement serait-il requis à d’autres fins? Ou d’autres usages sont-ils interdits?
Avec assez d’espace et de temps, nous pourrions passer en revue chacune des autres victoires « au premier regard » du projet de loi. Et ensuite, nous pourrions nous tourner vers toutes les pertes flagrantes — notamment une tentative ratée de remédier à l’insuffisance croissante d’un régime purement basé sur le consentement en ajoutant une série d’exceptions pour les « opérations commerciales » qui, contrairement à des dispositions similaires du Règlement général européen sur la protection des données, ne sont pas limitées par la reconnaissance de la vie privée comme un droit humain. Les exceptions dans les cas où « obtenir le consentement de l’individu serait impraticable parce que l’organisation n’a pas de relation directe avec l’individu » évoquent le fournisseur de reconnaissance faciale Clearview AI, l’entreprise qui a extrait sans consentement des milliards d’images d’Internet et qui a fait l’objet de conclusions cinglantes de la part de l’OPC, la qualifiant de facilitateur de la surveillance de masse.
En fin de compte, le vrai critère est le suivant : si le C-11 était devenu loi, les protections de la vie privée seraient-elles plus fortes pour les gens partout au Canada? Le déséquilibre de pouvoir entre les collecteurs de données corporatifs et les particuliers serait-il atténué? Plus concrètement, les récents scandales impliquant des informations personnelles — l’affaire Facebook/Cambridge Analytica tentant de saper les élections démocratiques, la fourniture d’outils de reconnaissance faciale Clearview AI à la police à travers le pays, l’utilisation non consentie de l’analytique faciale par Cadillac Fairview — auraient-ils été évités, ou, du moins, les responsables auraient-ils été plus efficacement tenus d’en faire face aux conséquences? La triste réponse est non. Non seulement il aurait été plus facile d’invoquer des exceptions au consentement, mais le commissaire à la vie privée note que les violations du consentement seraient hors du cadre des sanctions administratives.
Le C-11 est insuffisant pour répondre à la réalité que les modèles d’affaires du 21e siècle nous présentent non seulement comme des consommateurs, mais aussi comme des consommateurs. Des protections renforcées sont nécessaires pour garantir que l’innovation axée sur les données respecte les droits à la vie privée, notamment en raison des impacts en aval sur les droits associés, y compris l’égalité. Le Canada accuse un retard en matière d’adoption technologique, en partie parce que la confiance sociale dans les technologies innovantes basées sur les données est actuellement à un faible reflux. Meilleures lois sur la vie privée, meilleure protection, plus de confiance, meilleures affaires. La bonne nouvelle, c’est que ce cadeau qui n’avait l’air bon qu’à l’extérieur a été retourné à l’expéditeur lorsque le Parlement a été dissous. Espérons que ses créateurs tiendront des leçons de son accueil et que son remplacement vaut la peine d’être conservé.
[Publié à l’origine dans The Hill Times, le 27 octobre 2021]
