En 2019, les commissaires à l’information et à la protection de la vie privée de l’Alberta et de l’Ontario ont dû répondre à la même question : les adresses Twitter bloquées constituent-elles des renseignements personnels?
Malgré l’application de législation provinciale semblable sur la protection des renseignements personnels dans le secteur public, les deux commissariats ont donné des réponses différentes. Le commissaire à l’information et à la protection de la vie privée de l’Alberta a conclu, dans son ordonnance Order F2019-02 (en anglais seulement) que la preuve n’était pas suffisante pour établir une [traduction] « dimension personnelle » dans les adresses Twitter et a par conséquent ordonné la divulgation des renseignements. Le commissaire à l’information et à la protection de la vie privée de l’Ontario quant à lui a conclu dans l’ordonnance Order PO-3997 (en anglais seulement) qu’il est raisonnable de s’attendre à ce que les personnes puissent être identifiées à partir des renseignements et a par conséquent confirmé la décision de l’institution de ne pas la divulguer.
Contexte
Les faits de chacune des espèces étaient très similaires. Une institution publique (respectivement Alberta Education et le ministère du Solliciteur général de l'Ontario) a reçu une demande d’accès à une liste de comptes Twitter qu’elle avait bloqué. S’appuyant sur l’exemption obligatoire pour les renseignements personnels énoncée dans leur Loi sur l'accès à l'information et la protection de la vie privée1 respective, les institutions ont refusé de fournir les renseignements au demandeur au motif que leur divulgation révélerait des renseignements personnels au sujet des détenteurs des comptes Twitter. Les décisions des institutions ont été portées en appel devant les commissaires à l’information et à la protection de la vie privée.
Le commissaire à l’information et à la protection de la vie privée de l’Ontario est l’un des rares organes de réglementation doté d’un ensemble de lignes directrices ( en anglais seulement) concernant la dépersonnalisation. Dans de nombreuses régions, les organisations fonctionnent en l’absence de ce genre d’orientation dans un contexte de technologies et de méthodes d’analyse de l’information avancées et de plus en plus complexes. Alors que le contexte de la vie privée continue à être aux prises avec la notion de « dépersonnalisation » et la question de savoir quand, exactement, une donnée devient « anonyme », deux récentes décisions judiciaires rendues au Canada ont ajouté quelques éléments à cette énigme, bien que sans doute pas dans le domaine de la clarté.
Les importantes discussions concernant l’identifiabilité, qu’elles aient trait aux adresses Twitter, IP ou autres dans le contexte des mégadonnées, sont loin de se tarir, particulièrement en raison du fait que le gouvernement fédéral cherche à moderniser la législation fédérale sur la protection des renseignements personnels dans le secteur privé et dans le secteur public. Un examen de documents de consultation récemment publiés par Innovation, Sciences et Développement économique Canada et par le Commissariat à la protection de la vie privée du Canada révèle que les mesures de l’identifiabilité et le traitement des données dépersonnalisées vont probablement demeurer l’un des points de mire des efforts de réforme.
Poursuivre la lecture de cet article (en anglais seulement).
Katelyn Smith est conseillère juridique, Renseignements personnels, chez Symcor Inc. Elle est l’agente de liaison pour les affaires publiques du Comité de direction de la Section du droit de la protection de la vie privée de l’ABO et membre à titre particulier du Comité de direction de la Section du droit de la vie privée et de l’accès à l’information de l’ABC.