L’évolution des distinctions entre le droit à la vie privée canadien et étranger

  • 19 novembre 2020
  • Chantal Bernier

Le cadre rĂ©glementaire canadien sur la protection de la vie privĂ©e se caractĂ©rise par une dĂ©marche fondĂ©e sur des principes plutĂ´t que sur des règles prĂ©cises, laissant aux organisations la responsabilitĂ© de leur mise en Ĺ“uvre, et par un modèle d’ombudsman qui fait des recommandations plutĂ´t que d’imposer des peines. Ce caractère distinctif s’estompe pour laisser place Ă  un autre modèle canadien.  Nous explorons ici les grandes lignes des nouvelles convergences et divergences entre le droit Ă  la vie privĂ©e canadien et Ă©tranger.

Le contexte mondial

On assiste Ă  l’uniformisation du droit Ă  la vie privĂ©e Ă  travers le monde pour rejoindre le modèle europĂ©en. Les États adoptent ou modifient leurs lois relatives Ă  la protection des donnĂ©es personnelles sur le calque du Règlement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) europĂ©en. L’impulsion est Ă  la fois politique et Ă©conomique.

Politiquement, les gouvernements sentent la pression de leurs citoyens à remédier au déséquilibre de pouvoir entre les individus et les organisations qui détiennent leurs données, à créer de nouveaux outils de gestion de la réputation devant les répercussions mondiales et permanentes de la dissémination des données personnelles sur internet, et à baliser le potentiel apparemment infini de commercialisation des données. Internationalement, le RGPD est perçu comme étant le nouvel étalon en ce sens.

Aux États-Unis, la Californie a Ă©galement renforcĂ© son cadre lĂ©gislatif sur la protection des donnĂ©es avec le California Consumer Privacy Act (CCPA). Cependant, son ancrage est la protection des consommateurs alors que le RGDP est ancrĂ© dans la protection des droits fondamentaux. 

Économiquement, les pays veulent harmoniser leurs rĂ©gimes de protection des donnĂ©es avec celui de l’Europe pour faciliter l’accès au marchĂ© europĂ©en de plus de 700 millions de consommateurs. Ă€ l’intĂ©rieur de leurs frontières, leur objectif est de permettre une exploitation responsable des donnĂ©es en faveur de l’innovation.

C’est Ă  travers cette mouvance que la modernisation du droit canadien et Ă©tranger sur le droit Ă  la vie privĂ©e arrivent Ă  de nouvelles convergences et divergences.

Quelques convergences avec l’Ă©tranger

Au Canada, les propositions de modernisation de la protection des donnĂ©es personnelles se retrouvent dans la Charte numĂ©rique du Canada, Ă©mise en 2019 par le gouvernement fĂ©dĂ©ral, dans le projet de loi 64, Loi modernisant des dispositions lĂ©gislatives en matière de protection des renseignements personnels dĂ©posĂ© en juin 2020 par le gouvernement du QuĂ©bec, et dans les « Consultations pour renforcer la protection des donnĂ©es personnelles » entreprises en aoĂ»t 2020 par le gouvernement de l’Ontario.

Comme ailleurs, les trois initiatives empruntent largement au RGPD. En particulier, les exigences de transparence et de consentement sont rehaussĂ©es selon le modèle des Articles 7, 12 et 13 du RGPD, il est proposĂ© de crĂ©er un droit Ă  la portabilitĂ© comme Ă  l’Article 20 du RGPD, ainsi qu’un droit Ă  la dĂ©sindexation, inspirĂ© du droit d’effacement de l’Article 17 du RGPD. Chaque initiative entreprend d’accorder ou d’accroĂ®tre les pouvoirs d’exĂ©cution de la loi. Le projet de loi quĂ©bĂ©cois prĂ©voit des amendes Ă  concurrence de « 4 % du chiffre d'affaires annuel mondial total de l'exercice prĂ©cĂ©dent », essentiellement un copier-coller de l’Article 83.5 du RGPD.

Le QuĂ©bec prĂ©voit Ă©galement d’exiger une Ă©valuation des facteurs relatifs Ă  la vie privĂ©e dans certaines circonstances, comme l’Analyse d'impact relative Ă  la protection des donnĂ©es prĂ©vue Ă  l’article 35 du RGPD. Le projet de loi quĂ©bĂ©cois bonifie Ă©galement l’article 17 actuel de sa Loi sur la protection des renseignements personnels dans le secteur privĂ© concernant la communication des renseignements personnels hors QuĂ©bec avec des conditions d’Ă©quivalence qui rappellent le Chapitre V du RGPD sur le transfert transfrontalier des donnĂ©es. L’octroi du pouvoir au ministre de la Justice de publier une liste d’États dont le cadre rĂ©glementaire rĂ©gissant la protection des donnĂ©es serait « Ă©quivalent » Ă  celui du QuĂ©bec imite la notion d’adĂ©quation du RGPD. 

La proposition fĂ©dĂ©rale de modernisation suit le modèle de la section 5 du Chapitre IV du RGPD et envisage d’encourager l’adoption de bonnes pratiques comme des mĂ©canismes d’autorĂ©glementation et des normes techniques comme des codes de pratique, de rĂ©gimes d'accrĂ©ditation, de certification et de normes par leur reconnaissance dans la loi. 

Quelques divergences

Par le biais de cet alignement avec le droit europĂ©en, et Ă©tranger, puisque tant d’États adoptent des lois inspirĂ©es du RGPD, le Canada maintient sa recherche traditionnelle d’Ă©quilibre entre les droits des individus et les droits des organisations. Ses propositions de modernisation bĂ©nĂ©ficient des dĂ©veloppements depuis l’entrĂ©e en vigueur du RGPD en mai 2018. Le modèle canadien prend une nouvelle forme.

D’abord, le Canada donne suite Ă  son engagement explicite Ă  « favoriser l'innovation responsable ». Alors que le RGPD affirme au ConsidĂ©rant 7 le principe gĂ©nĂ©ral « qu’il importe de susciter la confiance qui permettra Ă  l'Ă©conomie numĂ©rique de se dĂ©velopper dans l'ensemble du marchĂ© intĂ©rieur » et accorde, Ă  l’Article 6, aux États membres un droit de dĂ©rogation en faveur d’un traitement Ă©largi des donnĂ©es pourvu qu’il soit « licite et loyal », le Canada fait des propositions concrètes. La Charte numĂ©rique et les Consultations de l’Ontario mettent de l’avant la rĂ©conciliation de l’innovation et de la protection de la vie privĂ©e par la crĂ©ation de structures de fiducies des donnĂ©es afin de rehausser l’usage des donnĂ©es personnelles sans compromettre le droit Ă  la vie privĂ©e qui s’y rattache.

De plus, l’adhĂ©sion du Canada Ă  une dĂ©marche Ă©quilibrĂ©e, fondĂ©e sur les principes et technologiquement neutre, qui fait la force de son rĂ©gime actuel, est clairement Ă©noncĂ© dans la Charte numĂ©rique du Canada. Les dĂ©fis particuliers des petites et moyennes entreprises sont expressĂ©ment pris en compte comme l’est la rĂ©alitĂ© de l’Ă©volution des modèles d’affaires.

Le Canada dĂ©montre Ă©galement avoir appris des deux ans de mise en Ĺ“uvre du RGPD par son insistance pour que les responsabilitĂ©s et les obligations soient bien reparties. 

Finalement, alors que le RGPD ne prĂ©voit que la collaboration entre les autoritĂ©s de protection des donnĂ©es, la Charte numĂ©rique du Canada tient compte de l’intersection entre le droit Ă  la vie privĂ©e et d’autres domaines. Par exemple, le droit de la concurrence et le droit de la protection de la vie privĂ©e sont en jeu au regard de la monopolisation du pouvoir de commercialisation des donnĂ©es personnelles et du manque de transparence inhĂ©rent aux politiques de confidentialitĂ© mensongères. La proposition fĂ©dĂ©rale prĂ©voit donc la possibilitĂ© pour le Commissariat Ă  la protection de la vie privĂ©e du Canada de collaborer avec des rĂ©gulateurs de domaines connexes.

En somme, on reconnaĂ®t dans la modernisation du droit Ă  la protection de la vie privĂ©e canadien, surtout dans la proposition fĂ©dĂ©rale, le maintien d’une orientation rĂ©solument pragmatique et Ă©quilibrĂ©e, toute canadienne.      

Chantal Bernier, Chef de pratique nationale, Vie privée et cyber sécurité, Dentons