Le gouvernement fédéral a présenté un nouveau projet de loi ambitieux qui vise à protéger la vie privée des Canadiens tout en promouvant et en facilitant l’innovation fondée sur les données. Il s’agit de la Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, ou Loi de 2020 sur la mise en œuvre de la Charte du numérique(le « projet de loi C-11 »).
Vous trouverez un résumé détaillé des principales dispositions du projet de loi C-11 dans notre bulletin intitulé « The Canadian Government Proposes Significant Changes to Privacy Law: Key Features include New Requirements, Orders, Penalties and a Private Right of Action ».
Dans le présent bulletin, nous abordons plus en détail une disposition en particulier de ce projet : le nouveau droit à la mobilité des données. Ce droit serait nouveau au Canada, mais la mobilité des données s’inscrit dans une tendance internationale visant à donner aux individus un plus grand contrôle sur leurs renseignements personnels. Il s’inspire du considérant 68 et de l’article 20 du Règlement général sur la protection des données de l’Union européenne (ci-après désigné « RGPD ») ainsi que de la California Consumer Privacy Act (la « CCPA ») qui prévoient tous deux le droit à la portabilité des données. Un droit similaire figure également dans le projet de loi n° 64 du Québec[1], qui vise à moderniser les lois québécoises sur la protection des renseignements personnels.
Droit à la mobilité des données aux termes du projet de loi C-11
L’article 72 du projet de loi C-11 confère aux individus le droit à la mobilité de leurs renseignements personnels et leur permet de transférer leurs renseignements personnels d’une organisation à une autre. L’article 72 dispose ce qui suit :
Sous réserve des règlements et sur demande de l’individu, une organisation communique, dès que possible, les renseignements personnels qu’elle a recueillis auprès de lui à l’organisation que ce dernier désigne si ces deux organisations sont soumises à un cadre de mobilité des données prévu par règlement.
Tout comme les législations européenne et californienne, ainsi que le projet de loi n° 64, le droit à la mobilité semble viser un double objectif :
- augmenter le contrôle du citoyen sur ses renseignements personnels ; et
- stimuler la concurrence en facilitant le transfert des renseignements et donc la possibilité, pour le citoyen, de changer plus aisément de fournisseur.
Il est à noter que l’article 72 du projet de loi concerne la communication directe de renseignements personnels d’une organisation à une autre. Il ne confère pas à un individu le droit d’obtenir une copie de ses propres renseignements personnels dans un format utilisable, comme le prévoit la loi n° 64 du Québec aux termes de laquelle les individus peuvent demander et obtenir leurs propres renseignements personnels dans un « format technologique structuré et couramment utilisé ».
Il est également important de noter que le projet de loi C-11 soumet le droit à la portabilité à des règlements ultérieurs. Les articles du projet de loi C-11 relatifs à la portabilité des données devraient entrer en vigueur séparément du reste du projet de loi C-11 (par exemple, une fois que de tels règlements auront été pris).
Restrictions relatives au droit à la mobilité
Le nouveau droit pourrait avoir un champ d’application étendu. Il pourrait s’appliquer à tous les renseignements personnels qu’une organisation a recueillis auprès d’un individu ; de même, il pourrait s’appliquer à toute organisation régie par la nouvelle loi. Toutefois, il est également possible que le droit à la mobilité s’applique de manière plus restreinte. La portée de ce nouveau droit sera déterminée par voie de règlement.
En y regardant de près, ce nouveau droit prévu par le projet de loi C-11 présente néanmoins des limites évidentes :
- il ne s’applique qu’aux renseignements personnels recueillis auprès des individus (c’est‑à‑dire qu’il ne s’appliquerait pas aux renseignements personnels recueillis auprès de tiers) ;
- il ne s’applique que si l’organisation qui communique les renseignements personnels et celle qui les reçoit sont toutes deux assujetties à un « cadre de mobilité des données » prévu par voie de règlement ;
- selon l’article 120 du projet de loi C-11 (qui présente ce que les règlements régissant la mobilité des données pourraient contenir) :
- les règlements pourraient préciser que certaines organisations en particulier ou certains secteurs précis sont assujettis aux cadres de mobilité des données ; et
- les règlements pourraient prévoir des exceptions à l’obligation de communiquer des renseignements personnels, y compris des exceptions liées à la protection des renseignements commerciaux exclusifs ou confidentiels — ce qui signifie que certains renseignements personnels pourraient être exclus du champ d’application de la mobilité des données.
De plus, le projet de loi C-11, contrairement au RGPD, ne confère pas le même statut au droit à la mobilité des données que celui conféré au droit d’accès aux renseignements personnels, ou au nouveau droit permettant de demander le retrait de renseignements personnels. Plus précisément, le projet de loi C-11 n’exige pas que le droit à la mobilité soit mentionné dans les déclarations sur la protection des renseignements personnels destinées au public (c’est-à-dire le résumé des politiques et pratiques d’une organisation en matière de protection des renseignements personnels généralement affiché sur les sites Web). Le projet de loi n° 64 du Québec adopte la même ligne de conduite — probablement parce que, comme nous l’avons déjà mentionné, ce projet de loi traite la mobilité des données comme une version améliorée du droit d’accès plutôt que comme un droit véritablement distinct.
Questions en suspens
Le droit à la mobilité des données sera certes accueilli favorablement dans certains milieux, mais il soulève néanmoins un certain nombre de questions importantes.
En effet, il convient de se demander quelles organisations seraient assujetties aux cadres de mobilité des données (et donc au droit à la mobilité) ? Ces cadres s’appliqueront-ils aux entreprises en général ou seulement aux entreprises de certains secteurs, comme ceux des télécommunications, des services financiers, des soins de santé, des médias sociaux ou du commerce de détail ?
Il y a également la question de savoir si tous les renseignements personnels peuvent faire l’objet d’une demande en matière de mobilité des données ou si celle-ci sera limitée à certains types de renseignements personnels, à une quantité précise de tels renseignements, à des fins particulières de collecte ou de communication des renseignements personnels ou à certaines périodes.
Une fois qu’une demande portant sur la mobilité des données est satisfaite, l’organisation qui communique les renseignements doit-elle les détruire ou les anonymiser ? Par exemple, selon l’interprétation de l’article 20(3) du RGPD, l’entreprise qui fait l’objet d’une demande de portabilité des données n’est pas tenue de supprimer ces renseignements. Nous nous attendons à ce qu’il en soit de même en vertu de la législation fédérale proposée : le fait de répondre à une demande en matière de mobilité des données ne devrait pas prévaloir sur le besoin impérieux de l’organisation divulgatrice de conserver les renseignements personnels, par exemple, pour respecter ses obligations contractuelles ou réaliser autrement la finalité pour laquelle les renseignements personnels ont été recueillis. Bien entendu, si cette fin n’est plus pertinente ou si un individu a exercé le nouveau droit prévu par le projet de loi C-11 de demander à l’organisation de retirer ses renseignements personnels, la situation serait alors tout autre.
Conclusion
Le droit à la mobilité des données pourrait avoir une incidence importante sur les entreprises si le projet de loi C-11 était adopté. L’ampleur de cette incidence est tributaire des futurs règlements sur la mobilité des données et de la manière dont ils résoudront les questions soulevées ci-dessus. Les organisations assujetties à des cadres de mobilité des données devront mettre en œuvre de nouvelles procédures et éventuellement adopter de nouvelles technologies pour répondre aux exigences de ces cadres. Jusqu’à ce que ces règlements soient adoptés, les organisations qui mettent au point de nouvelles technologies ou de nouveaux systèmes devraient veiller à faciliter l’extraction des données dans des formats de fichier communs (p. ex. en format CSV), car cela pourrait alléger le fardeau éventuel lié à la conformité réglementaire si le projet de loi C-11 était promulgué.
Il s’est avéré assez complexe d’exercer le droit à la portabilité des données sur le territoire de l’UE. En effet, des interrogations ont été soulevées quant aux modalités de transmission des données personnelles dans un « format technologique structuré et couramment utilisé », ce qui constitue un enjeu avec lequel il faudra composer pour la mise en place de cadres de mobilité des données aux termes du projet de loi C-11. En définitive, le Groupe de travail « Article 29 », prédécesseur du Comité européen de la protection des données, ainsi que les autorités nationales de protection des données, telles que les autorités françaises et britanniques[2], ont fourni des orientations à ce sujet. Les gouvernements et les commissaires à la protection de la vie privée du Canada n’ont jusqu’à maintenant émis aucune directive technique, aucune norme ni aucun de code en matière de protection des renseignements personnels. Il s’agira donc d’un nouveau domaine sur lequel ils devront se pencher pour assurer l’efficacité du droit à la mobilité.
[1] Veuillez consulter le Centre de ressources de Fasken sur le projet de loi n° 64 pour obtenir de plus amples renseignements sur le sujet.
[2] J. Uzan-Naulin, Le droit à la portabilité, une réelle portabilité ou une simple modernisation du droit d’accès?, bulletin Fasken.
