Retour à la table des matières
Revue Droits & Libertés, Automne 2020 / Hiver 2021
Anne Pineau,
Comité sur la surveillance des populations
Ligue des droits et libertés
Refonte des lois de protection des renseignements personnels
Le capitalisme de surveillance peut dormir tranquille!
Consultez le mémoire sur le PL64, déposé par la LDL, le 23 septembre 2020
Les lois de protection des renseignements personnels (Loi sur l’accès à l’information (LAI) et Loi sur la protection des renseignements personnels dans le secteur privé (Loi privée)) ont été adoptées dans les années 80 et 90. Autrement dit, à l’époque du papier, du classeur, du téléphone fixe et du fax. Quand les ordinateurs étaient de grosses machines non reliées par Internet. Si les principes qui sous-tendent ces lois demeurent pertinents, elles peinent à protéger adéquatement la vie privée à l’ère numérique, particulièrement dans le contexte du développement de l’intelligence artificielle.
En 2011, le rapport quinquennal de la Commission d’accès à l’information (CAI) signalait l’urgence d’adapter les lois de protection des données personnelles à l’environnement numérique. En 2016, la CAI réitérait sa supplique pour une réforme législative afin d’ « apporter des réponses aux questions préoccupantes et urgentes entourant notamment la collecte, le consentement, l’utilisation, la sécurité et l’exportation de ces renseignements ».
La solution du gouvernement face à cette problématique? Le projet de loi 64[1] (PL 64) déposé le 12 juin dernier à l’Assemblée nationale.
Le PL 64 comporte certaines avancées, notamment quant aux pouvoirs de la CAI en cas de fuite de données. Cela dit, le PL ambitionne de mettre à niveau la législation québécoise avec le Règlement général sur la protection des données (RGPD)[2] de l’Union européenne. Il introduit nombre de ses concepts (portabilité, effacement, déréférencement, profilage, traitement automatisé de décision) encore peu ou pas débattus au Québec alors qu’ils sont l’objet de discussions depuis au moins 2012 en Europe. Qui plus est, il modifie tant la LAI que la Loi privée, en plus de modifier dix-neuf autres lois, notamment la Loi concernant le cadre juridique des technologies de l’information et la Loi électorale. Le gouvernement a choisi de discuter l’ensemble de ces questions importantes dans le cadre d’un projet de loi de 60 pages et d’une consultation parlementaire de quelques jours, fin septembre. Autrement dit, d’expédier l’exercice[3].
La Ligue des droits et libertés (LDL) a tout de même déposé un mémoire[4] abordant plusieurs éléments du projet de loi. Elle a aussi pris part aux auditions particulières de la Commission des institutions le 23 septembre dernier. Nous exposons ici quelques-unes des critiques de la LDL à l’endroit de cette réforme législative: la libéralisation dans la communication et l’utilisation des données personnelles ; la fin du contrôle préalable de la CAI en matière de recherche et l’affermissement d’un modèle d’affaires compromettant les droits humains.
Libéralisation dans la communication et l’utilisation des données personnelles
Par son projet de loi, le gouvernement dit vouloir « redonner aux citoyens le plein contrôle de leurs renseignements personnels[5] ». Pourtant, il libéralise l’utilisation et la communication des données personnelles sans le consentement des personnes, ce que dénonce la LDL.
Ainsi, il sera maintenant possible d’utiliser un renseignement personnel (RP) sans le consentement de la personne concernée lorsque son utilisation est :
- à des fins compatibles avec celles pour lesquelles il a été recueilli ;
- manifestement au bénéfice de la personne concernée ;
- nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.
Le PL 64 permet la communication de RP sans consentement :
- lorsque cette communication est effectuée dans le cadre d’une transaction commerciale ;
- en cas d’incident de confidentialité à toute personne ou tout organisme susceptible de diminuer le risque de préjudice ;
- si cette communication est nécessaire à l’exercice d’un mandat ou à l’exécution d’un contrat de service ou d’entreprise ;
- si cette communication est effectuée au bénéfice d’un conjoint ou d’un proche parent d’une personne décédée.
Du côté de l’administration publique, le projet de loi autorise de multiples échanges de RP entre ministères et organismes publics (OP), le tout sans consentement de la personne concernée. Certains OP pourraient même être désignés, par décret, gestionnaires de RP ce qui, comme le signale la CAI, rendrait possible « la concentration de renseignements personnels au sein d’un seul organisme ou de quelques-uns, incluant les renseignements médicaux, sociaux et fiscaux de tous les Québécois, sous réserve de ce qui serait prévu par décret du gouvernement[6] ». Dans cette perspective, comment savoir à qui et à quoi serviront les RP que nous fournissons à l’État? Il s’agit pourtant là d’une composante essentielle du pouvoir de contrôle des citoyen-ne-s sur leurs données personnelles[7].
Fin du contrôle préalable de la CAI en matière de recherche, études et statistiques
Actuellement, la communication de RP (sans le consentement de la personne concernée) à des fins d’étude, de recherche ou de statistique est sous contrôle de la CAI.
Le PL64 abolit ce mécanisme de contrôle préalable. Désormais tout entreprise, ministère ou OP pourra communiquer des RP sans consentement à des fins d’étude, de recherche ou de statistiques après avoir effectué une analyse de risques (Évaluation des Facteurs relatifs à la Vie Privée (EFVP)).
On passe donc d’un régime d’autorisation à un régime d’autorégulation. Le tout pour la communication sans consentement de renseignements nominatifs possiblement très sensibles (santé, éducation, etc.). Il suffit d’exposer des motifs pouvant soutenir que les critères sont remplis. La supervision des travaux par un comité d’éthique parait facultative. Nul besoin de démontrer que la recherche vise le bien commun. Il suffit d’établir que l’objectif de l’étude l’emporte sur l’impact de la communication des renseignements sur la vie privée des personnes concernées. Et c’est le demandeur qui répondra lui-même à cette question…
De même pour les données contenues dans les banques de renseignements de santé des domaines cliniques. Celles-ci échapperont à l’avenir au contrôle préalable de la CAI et pourront être communiquées[8] par le ministre de la Santé et des Services sociaux à des fins d’étude, de recherche ou de production de statistiques (après une ÉEFVP)[9].
La LDL s’oppose à ces amendements. Les demandes d’autorisation pour la recherche sont en hausse à la CAI. Les amendements proposés visent tant la recherche universitaire encadrée éthiquement que la recherche à des fins commerciales. Ils s’appliqueraient également aux demandes pour fins d’étude ou de statistiques, sans autres précisions.
L’encadrement mis en place par la CAI au fil des ans est sérieux[10]. Plusieurs chercheurs critiquent la lourdeur du processus et les longs délais avant autorisation. Ces reproches sont fondés, mais la solution ne passe pas par l’autorégulation. Au contraire, la vigilance s’impose.
Les données que détiennent les organismes publics et les ministères constituent un bien collectif qui suscite la convoitise. Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft), de même que d’autres entreprises pharmaceutiques et technologiques investissent de plus en plus le domaine médical[11].
En octobre dernier, le Rapporteur spécial sur le droit à la vie privée de l’Organisation des Nations Unies alertait les États membres sur le fait « que la nature très sensible des données sur la santé ainsi que leur énorme valeur commerciale rendent extrêmement préoccupante l’industrie « largement cachée » de collecte, d’utilisation, de vente et de sécurisation de ces données, notamment au vu de son impact sur la vie privée[12]. »
La déclaration récente du ministre de l’Économie et de l’Innovation, M. Fitzgibbon, est pour le moins préoccupante. Qualifiant de mine d’or les données que détient la Régie de l’assurance maladie du Québec (RAMQ), il ajoutait que « La stratégie du gouvernement, c’est carrément de vouloir attirer les pharmas, quelques pharmas, à venir jouer dans nos platebandes, profiter de ça. Et je pense qu’on a une chance incroyable d’y arriver[13] ».
Cette annonce du ministre a suscité de vives réactions et mis à jour la nécessité d’un large débat de société sur le partage des données et la recherche au service du bien commun[14]. Comme l’affirment des chercheurs du secteur public et universitaire :
[…] des balises sont nécessaires, et face aux récentes dérives d’usages inappropriés des données par des entreprises privées (ex. Cambridge Analytica), la rhétorique aveugle de l’accès ubiquitaire, ou libre accès, aux données personnelles convient de moins en moins, plus particulièrement si la compréhension de la notion de bien commun n’est pas partagée socialement[15].
Pour l’heure, la LDL réclame le maintien et l’amélioration du pouvoir de surveillance de la CAI : l’organisme devrait servir de guichet unique pour les demandes ; celles-ci devraient se limiter aux recherches financées par un organisme de subvention de la recherche publique[16] ; une simplification du processus pourrait être entreprise ; l’ajout de ressources humaines et financières permettrait de réduire le délai de traitement des requêtes. L’autorisation devrait aussi être conditionnelle au fait que la divulgation ne soit pas préjudiciable aux personnes concernées et que « les bénéfices attendus de la recherche sont clairement d’intérêt public », comme le recommande la CAI dans le rapport quinquennal 2016[17].
Affermissement d’un modèle d’affaires compromettant les droits humains
La longue inaction des gouvernements sur le plan législatif, tant ici que dans le reste du monde, a malheureusement permis le déploiement de modèles d’affaires liberticides, une « nouvelle forme de commerce dépendant de la surveillance en ligne à grande échelle[18]».
Ce modèle d’affaires, fondé sur l’espionnage et l’extraction de données, n’est pas remis en cause par le PL64. Pourtant ce « capitalisme de surveillance » parait en voie d’anéantir toute possibilité de vie privée. Il affecte aussi les autres droits humains. La surveillance extrême des individus (tant par des entreprises privées que par l’État) peut altérer le libre arbitre, réduire l’autonomie des personnes et compromettre la liberté d’expression, la liberté d’association et la démocratie.
Le PL64 laisse dans l’ombre ces enjeux névralgiques, notamment l’illégitimité d’une industrie fondée sur la surveillance et l’appropriation des données personnelles. Pour la LDL, un chantier de réflexion s’impose sur cette nouvelle économie des données.
Le projet de loi fera prochainement l’objet d’une étude article par article par la Commission des institutions. Il pourrait donc faire l’objet de modifications.
Retour à la table des matières
[1] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Entré en vigueur le 23 mai 2018, https://www.cnil.fr/fr/reglement-europeen-protection-donnees.
[3] Au point que des intervenants majeurs n’ont pas été auditionnés en commission. Notamment le Barreau du Québec et la Protectrice du citoyen qui ont toutefois déposé des mémoires. La Commission des droits de la personne et des droits de la jeunesse n’a pas participé à l’exercice.
[4] Ligue des droits et libertés, mémoire PL64, 23 septembre 2020, https://liguedesdroits.ca/memoire-consultations-pl64-protection-renseignements-personnels/.
[5] Communiqué, Ministère de la Justice, 12 juin 2020, Projet de loi 64 – Le gouvernement du Québec redonne aux citoyens le plein contrôle de leurs renseignements personnels. https://www.quebec.ca/nouvelles/actualites/details/projet-de-loi-64-le-gouvernement-du-quebec-redonne-aux-citoyens-le-plein-controle-de-leurs-renseigne/
[6] Mémoire de la Commission d’accès à l’information présenté à la Commission des institutions dans le cadre des consultations particulières et auditions publiques sur le projet de loi 64. 29 septembre 2020. p.40, https://www.cai.gouv.qc.ca/documents/CAI_M_projet_loi_64_modernisation_PRP.pdf
[7] « Sans étanchéité de leurs fichiers de renseignements personnels, les organismes publics ne seront plus en mesure de garantir aux citoyens qu’ils respectent leur droit de savoir à quelles fins sont utilisés les renseignements personnels qui les concernent ». CAI. Rapport quinquennal 2002. p.101, https://www.cai.gouv.qc.ca/documents/CAI_RQ_2002.pdf
[8] À l’exception des numéros d’identification unique.
[9] L’article 106 de la Loi sur le partage des renseignements de santé–article non encore en vigueur– est modifié en vue d’écarter le contrôle de la CAI sur les données contenues dans les banques de renseignements de santé des domaines cliniques.
[10] Voir : CAI. Louise Ringuette, M.Sc. Analyste. Les demandes d’autorisation à la Commission d’accès à l’information: comment améliorer la qualité des demandes? https://www.cai.gouv.qc.ca/documents/CAI_PR_20141107_LR.pdf
[11] Voir : Mydigitalweek -22 février 2020. Les stratégies des GAFAM et des bigtech dans la santé, https://mydigitalweek.com/les-strategies-des-gafam-et-des-bigtech-dans-la-sante/
[12] Soixante-quatorzième session, 36e & 37e séances plénières, matin & après-midi. 29 Octobre 2019. Troisième Commission: le respect des données médicales et le versement de réparations pour l’esclavage dominent le débat, https://www.un.org/press/fr/2019/agshc4276.doc.htm.
[13] https://ici.radio-canada.ca/nouvelle/1728106/pierre-fitzgibbon-compagnies-pharmaceutiques-donnes- medicales-mila
[14] Le gouvernement de la CAQ a refusé la tenue d’une commission parlementaire au sujet de la vente des données de la RAMQ à des compagnies pharmaceutiques le 23 septembre dernier, https://www.quebec.ca/nouvelles/actualites/details/vente-des-donnees-de-la-ramq-la-caq-refuse-de-faire-la-lumiere-en-commission-parlementaire/
[15] Louise Ringuette, Bryn Williams-Jones, Victoria Doudenkova. Au nom du bien commun, vos renseignements de santé peuvent être utilisés sans votre consentement. The conversation. 25 avril 2019, https ://theconversation.com/au-nom-du-bien-commun-vos-renseignements-de-sante-peuvent-etre-utilises-sans-votre-consentement-114267
[16] « S’agissant de recherches financées par un organisme de subvention de la recherche public (au fédéral ou au Québec) ou se déroulant dans un établissement public, il est assujetti au respect des normes d’éthique en recherche et il a une obligation éthique de traiter de manière confidentielle les données qui lui sont confiées. » Le Scientifique en chef et les Fonds de recherche du Québec. Mémoire formulant des commentaires sur le projet de loi 64 – quant à l’accès aux renseignements personnels, à des fins de recherche. Déposé à la Commission des institutions, 28 septembre 2020. p.8.
[17] Voir Rapport Quinquennal 2016, p.170.
[18] Shoshana Zuboff, Un capitalisme de surveillance. Le Monde diplomatique. Janvier 2019, https://www.monde-diplomatique.fr/2019/01/ZUBOFF/59443