Par Alexia Argiolas
Doctorante, Faculté de droit, Université de Montréal
Chercheure, Chaire Justice sociale et IA
Le droit québécois de la protection des renseignements personnels s’est construit autour de la notion de consentement de la personne concernée par les renseignements personnels [1]. Répondant d’une démarche fondamentalement individualiste, le consentement est analysé comme le symbole ultime de l’exercice de notre autonomie personnelle, à savoir le pouvoir de décider pour nous même, en tant qu’expression du droit à décider de la diffusion de ses données. Cet exercice se matérialise, par la nécessité d’un recueil de consentement à plusieurs étapes du traitement de la donnée. En effet, le traitement des données doit s’exécuter, pour des fins déterminées, par l’obtention d’un consentement libre et éclairé de la personne concernée avec la possibilité pour celle-ci d’accéder aux données collectées [2]. Toutefois, à l’ère des données massives, la construction du droit autour du seul consentement ne permet plus de garantir une véritable autonomie des individus vis-à-vis de leur donnée, le consentement étant même qualifié de véritable fiction [3]. La réforme récente du droit de la protection des renseignements personnels, dont certaines dispositions sont entrées en vigueur en septembre 2022, a cherché à développer davantage l’autonomie des individus vis-à-vis du traitement qui peut être fait de leurs données, et par ce biais à renforcer leur contrôle sur l’usage qu’il peut être fait de leur donnée. Si cette réforme réitère l’importance que doit revêtir le consentement, elle intègre également toute une série de nouveaux droits aux individus. Le consentement n’étant plus, dès lors, considéré comme le seul levier offert aux individus pour exercer leur autonomie. Face à ce changement de perspective, il importe de revenir sur les origines de la notion de contrôle en matière de données pour apprécier son étendue et effectivité en droit québécois.
L’origine de la notion de contrôle en droit québécois
Le contrôle, ou la maîtrise, sur ses données, doit être compris comme la capacité de déterminer les renseignements collectés sur sa propre personne ainsi que la façon dont ceux-ci sont utilisés, accessibles, conservés, divulgués ou détruits [4]. Le contrôle que l'on exerce sur ses renseignements personnels présente un enjeu majeur en ce que « la relation qu’entretiennent les personnes avec leurs données est au cœur de l’enjeu de la protection » [5].
Lorsque la personne concernée opère un contrôle sur ses données, elle exerce de manière plus large son autonomie individuelle, comme liberté de chacun de penser, d’agir et de décider par lui-même [6]. Le principe de l’autonomie, dont une des manifestations se retrouve dans la notion de contrôle, répond d’un schéma de valeur important et d’une protection juridique forte. En effet, l’autonomie est une valeur sous-jacente permettant d’interpréter la notion de vie privée en droit québécois. Elle est donc rattachée au droit au respect de la vie privée [7] et est protégée au titre de l’article 5 de la Charte des droits et liberté de la personne qui a une valeur quasi-constitutionnelle [8].
Le concept de vie privée demeure « flou et difficile à circonscrire » [9]. Toutefois, et dépendant d’une vision individualiste, elle a été qualifiée comme l’un des droits les plus fondamentaux des droits de la personnalité [10]. En l’absence de définition formelle, il est tout de même possible d’en relever ses diverses composantes. En effet, il s’agit du droit à l’anonymat et à l’intimité, le droit à l’autonomie dans l’aménagement de sa vie personnelle et familiale ou encore le droit au secret et à la confidentialité [11]. Le droit à la vie privée a pour fonction ultime la préservation de chaque personne à son autonomie. Ainsi, et comme l’écrit la Cour suprême dans Alberta c. T.U.A.C, « l’objectif de fournir à une personne un certain droit de regard sur les renseignements personnels la concernant est intimement lié à son autonomie, à sa dignité et à son droit à la vie privée, des valeurs sociales dont l’importance va de soi. »[12].
La matérialisation de la notion de contrôle en droit québécois des données
Le contrôle dont dispose la personne concernée par les renseignements personnels s’articule, concrètement, à travers différents droits spécifiques [13]. D’une part, on le retrouve déjà dans le droit d’accès à ses données [14], le droit de rectification [15] et le droit à l’anonymat [16]. D’autre part, il retrouve garanti par certaines obligations découlant des règles régissant le droit des données. En effet, le contrôle ne peut s’exercer sans informations sur le traitement qui est fait des données, impliquant ainsi des obligations d’informations de la part de celui qui collecte les données [17], et a plus forte raison, de transparence.
L’adoption de la loi 25, dont la vocation est de réformer les lois protectrices des renseignements personnels et dont certains mécanismes sont déjà entrés en vigueur, s’inscrit dans cette démarche en créant de nouveaux droits aux profits des détenteurs des données [18]. En admettant ces nouveaux droits, le Québec veut rattraper, notamment, la législation européenne en matière de données qui les avait déjà admis dans le règlement général sur la protection des données [19].
Dans cette intention, la loi 25, répond tout d’abord, à l’idée que sans information, il ne peut y avoir de contrôle. En conséquence, elle incorpore de nouvelles obligations d’information et de transparence préalablement au consentement lors de la collecte des renseignements personnels. Les diverses informations devront être fournies dans des termes simples et clairs pour pouvoir collecter les renseignements personnels [20]. Dans le même ordre d’idée, la loi introduit d’autres dispositions qui entreront en vigueur le 22 septembre 2023 [21]. Nous soulevons deux séries de disposition. En premier lieu, le droit à l’information quant au traitement de ses données. Il s’agit plus précisément du droit d’être informé d’un traitement automatisé qui comprends le droit de demander des informations supplémentaires sur la prise de décision automatisée, ainsi que le droit de soumettre des observations à une personne désignée au sein de l’entreprise ou de l’organisme détentrice des données [22]. Elle intègre également le droit d’obtenir de plus amples informations sur le traitement de leurs données et, notamment, de savoir quels renseignements personnels ont pu être recueillis et comment ils sont traités par l’organisme ou l’entreprise [23]. En second lieu, la loi promeut un droit à l’oubli. Ce nouveau droit, qui entrera en vigueur en septembre 2024 [24], reste limitée en ce qu’il n’équivaut pas à un droit général d’effacement des renseignements personnels. En effet, il ne permet pas aux individus d’exiger, peu importe la raison, la suppression de leurs renseignements personnels auprès d’un organisme ou entreprise, mais plutôt, de limiter la diffusion de ses renseignements dans certains cas. Ainsi, les dispositions juridiques entourant la suppression des données restent inchangées. Au Québec, il existe trois situations où il est possible de demander la suppression d’un renseignement personnel [25] : lorsque celui-ci est périmé ; lorsque la conservation du renseignement n’est plus justifiée au regard de la finalité pour laquelle il a été recueilli ; lorsque le renseignement a été recueilli de manière non conforme à la loi.
La loi souhaite, enfin, faciliter la réutilisation des données en introduisant un droit à la portabilité des données qui entrera en vigueur en septembre 2024 [26]. Ce dernier confère aux personnes concernées la possibilité de recevoir leurs renseignements personnels informatisés qui ont été collectés dans un format technologique structuré et couramment utilisé. Cette possibilité offre davantage de contrôle aux individus en ce que, transmis sous une forme écrite et intelligible, le transfert et la réutilisation des données se trouve facilité. Toutefois, il existe une exemption à cette portabilité. En effet, lorsque des renseignements personnels d’une tierce personne sont susceptibles d’être révélés par cette divulgation, ceux-ci pourront être exclus [27].
CONCLUSION
Le droit québécois de la protection des renseignements personnel, par la réforme, tente de promouvoir davantage l’autonomie individuelle des individus en renforçant le contrôle qu’ils peuvent détenir sur leurs données. Si l’on peut considérer que la réforme apporte de nombreux changements au droit des données, elle reste tout de même limitée. À titre comparatif, la notion de contrôle en droit européen des données dispose d’une assise juridique bien plus large. Découlant du principe d’autodétermination informationnelle, la notion de contrôle avait déjà infusé le règlement général sur la protection des données européen. En effet, l’autodétermination informationnelle est un principe en droit européen des données qui consacre le pouvoir de l’individu de décider de lui-même quand et dans quelle mesure une information relative à sa vie privée peut être communiqué à autrui [28]. Plus récemment, le nouveau règlement européen sur la gouvernance des données [29] élargit les modalités de contrôle d’une personne sur le traitement de ses données en structurant le marché des données (y compris personnelles), notamment par la soumission des intermédiaires de partage des données et des organismes d’altruisme des données à des exigences institutionnelles et opérationnelles strictes et diverses modalités de surveillance.
BIBLIOGRAPHIE
[1] Définition du renseignement personnel : « Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l’identifier », Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ. p-39.1, art. 2.
[2] Code civil du Québec, Art.37 ; Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ. p-39.1, Art.14, dite « loi sur le privé »; Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ. A-2.1, Art. 9, Art.23, Art.24, dite « loi sur l’accés ».
[3] Thomas BIZET, « L’ambition individualiste de l’autodétermination informationnelle », (2017), International Journal of digital and Data Law 1-3, 49-60, p.51.
[4] Elise DEBIES, « Big data de santé et autodétermination informationnelle : quelle articulation possible pour une innovation protectrice des données personnelles ? » (2018) Revue française d'administration publique 167-3, p. 576.
[5] Marie BERNHARD, Le code informatique fait-il la loi dans l'Union européenne ? Le droit européen des données personnelles à l'heure d’internet, Mémoire de maitrise, Institue d’études politiques d’Aix en Provence, Université Aix-Marseille, 2020, p.106.
[6] R. c. Dyment, [1988] 2 R.C.S. 417, à la p. 427
[7] Ana I. VICENTE, La convergence de la sécurité informatique et la protection des données à caractère personnelle : Vers une nouvelle approche juridique, Mémoire de maitrise, Montréal, Université de Montréal, 2003. p.7.
[8] Godbout c. Longueil (Ville), [1997] 3 R.C.S 844, par. 95 ; et Centre de réadaptation en déficience intellectuelle de Québec c. Groupe TVA Inc., [2005] R.J.Q 2327.
[9] Gazette (The) (Division Southam inc.) c. Valiquette, 1996 CanLII 6064 (QC CA)
[10] Lacroix, M. (2016). L’atteinte à la vie familiale est la violation d’un droit de la personnalité au Québec : second mouvement. Revue générale de droit, 46 (1), 5–26. https://doi.org/10.7202/1036572ar.
[11] Gazette (The) (Division Southam inc.) c. Valiquette, 1996 CanLII 6064 (QC CA)
[12] Alberta (Information and Privacy Commissioner) c. Travailleurs et travailleuses unis de l’alimentation et du commerce, section locale 401, [2013] 3 R.C.S. 733 (« TTUAC »), par. 24.
[13] Alexandre Flückiger, « L'autodétermination en matière de données personnelles : un droit (plus si) fondamental à l'ère digitale ou un nouveau droit de propriété ? », (2013) 22-6 Aktuelle juristische Praxis 837, p.852.
[14] Loi sur le privé, art. 27 ; art. 29 ; Loi sur l’accès, art. 9 à 14.
[15] Loi sur le privé, art. 28 et futur art. 28.1, art. 29 ; Loi sur l’accès, art. 89.
[16] Loi sur le privé, art.81 ; Loi sur l’accès, art. 73.
[17] Loi sur le privé, art. 8 ; Loi sur l’accès, art. 65.
[18] Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, LQ 2021, c.25.
[19] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Art. 16., Art. 17., Art. 20.
[20] Loi sur le privé art. 8 ; Loi sur l’accès, art. 53.1.
[21] Loi sur le privé, art. 8, art. 8.1, art. 8.2 ; Loi sur l’accès, art. 65.
[22] Loi sur le privé, art. 12.1 ; Loi sur l’accès, art. 65.2
[23] Loi sur le privé, art. 7, art. 8 ; Loi sur l’accès, art. 65.
[24] Loi sur le privé, art. 28.1
[25] Code civil du Québec, art. 40. Loi sur le privé, art. 28 ; Loi sur l’accès, art. art. 89.
[26] Loi sur le privé, art. 27. Loi sur l’accès art. 84.
[27] Loi sur le privé, art. 40; Loi sur l’accès art. 24.
[28] Cour européenne des droits de l’homme. (Gde Ch.), 27 juin 2017, Satakunnan Markkinapörssi Oy et Satamedia Oy c. Finlande, n°931/13 ; Cour européenne des droits de l’homme. (Gde Ch.), 27 juin 2017, Satamedia Oy c. Finlande, n°931/13, par.137. Ains que : Antoinette ROUVROY, Yves POULLET, « Le droit à l'autodétermination informationnelle et la valeur du développement personnel: une réévaluation de l'importance du droit à la protection de la vie privée pour la démocratie », Dans Karim BENYEKHLEF et Pierre TRUDEL. (eds), Etat de droit et virtualité. Montréal, Thémis, p. 159.
[29] Règlement (UE) 2022/868 du parlement européen et du conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) dit DGA.
