Parfois, un cadeau tant attendu qui arrive emballé dans du papier scintillant déçoit lorsqu'il est ouvert. C'est le cas du projet de loi C-11, déposé en novembre 2020, qui comprenait la Loi sur la protection de la vie privée des consommateurs (CPPA).
Présenté comme une mise en œuvre des promesses de confidentialité faites dans la Charte numérique et comme une réponse à une décennie d'appels en faveur d'une réforme significative de la législation sur la confidentialité dans le secteur privé, à première vue, le projet de loi contient un certain nombre de fonctionnalités que les défenseurs de la confidentialité souhaitent : données dans le champ d'application de la loi, en abordant la transparence des décisions automatisées, en ajoutant des dispositions sur la portabilité des données et en apportant d'importantes améliorations aux pouvoirs d'exécution du Commissariat à la protection de la vie privée du Canada (CPVP).
Mais ce vieux cliché, le diable est dans les détails, n'est jamais plus vrai que lorsqu'il est appliqué à un projet de loi de 122 pages. Une plongée dans les particularités de ces dispositions révèle leurs lacunes. Considérez le traitement par C-11 des données anonymisées, qui est bien fait et bien réglementé, peut protéger la vie privée et renforcer la sécurité. Les données anonymisées sont traitées de manière à ne pas être utilisées pour identifier un individu. Il s'agit indéniablement d'un processus qui s'appuie sur des informations personnelles, telles que générées par des transactions personnelles et des comportements, mais s'il est traité correctement, il ne devrait pas être possible de le lier à une personne identifiable. Cependant, de nombreuses recherches confirment que l'anonymisation ne sera jamais infaillible à l'ère des mégadonnées. Et ces données sont de plus en plus utilisées pour prendre des décisions conséquentes sur des individus et des groupes. Ainsi, compte tenu des risques et des impacts, le fait de faire entrer sans ambiguïté des données anonymisées dans le champ d'application de la loi serait une victoire en matière de confidentialité. Non pas pour interdire leur utilisation, mais pour garantir que le traitement et l'utilisation de ces données se déroulent dans un cadre de responsabilité et de transparence, avec des conséquences pour les préjudices s'ils surviennent et des interdictions fermes de ré-identification.
C-11, cependant, n'est pas sans ambiguïté. Il permet aux données d'être anonymisées sans consentement à trois fins : pour la recherche interne, pour une transaction commerciale potentielle ou lorsqu'elles sont divulguées à des fins socialement bénéfiques prescrites. Cela signifie-t-il que les données anonymisées ne peuvent être utilisées sans consentement qu'à ces fins ? Le consentement serait-il requis à d'autres fins? Ou d'autres fins sont-elles interdites ?
Avec suffisamment d'espace et de temps, nous pourrions passer en revue chacune des autres victoires «au premier coup d'œil» du projet de loi. Et puis nous pourrions nous tourner vers toutes les pertes pures et simples, notamment une tentative infructueuse de remédier à l'inadéquation croissante d'un régime purement basé sur le consentement par l'ajout d'une série d'exceptions pour les « opérations commerciales » qui, contrairement à des dispositions similaires dans la loi générale européenne Règlement sur la protection des données, ne sont pas contraints par la reconnaissance de la vie privée en tant que droit de l'homme. Les exceptions dans les cas où "l'obtention du consentement de l'individu serait irréalisable parce que l'organisation n'a pas de relation directe avec l'individu" rappellent le fournisseur de reconnaissance faciale Clearview AI, la société qui a récupéré de manière non consensuelle des milliards d'images sur Internet et a été l'objet de conclusions cinglantes de l'OPC, le qualifiant de catalyseur de la surveillance de masse.
En fin de compte, le véritable test est le suivant : si C-11 était devenu loi, les protections de la vie privée seraient-elles plus solides pour les gens partout au Canada ? Le déséquilibre de pouvoir entre les collecteurs de données des entreprises et les particuliers serait-il atténué ? Plus concrètement, les récents scandales impliquant des informations personnelles - l'affaire Facebook / Cambridge Analytica tentant de saper les élections démocratiques, la fourniture d'outils de reconnaissance faciale Clearview AI à la police à travers le pays, l'utilisation non consensuelle de l'analyse faciale par Cadillac Fairview - auraient-ils ont-ils été empêchés ou, du moins, les responsables auraient-ils été plus efficacement tenus de faire face aux conséquences ? La triste réponse est non. Non seulement il aurait été plus facile de réclamer des exceptions au consentement, mais le commissaire à la protection de la vie privée note que les violations du consentement seraient hors de portée des sanctions administratives.
C-11 est inadéquat pour répondre à la réalité selon laquelle les modèles commerciaux du 21e siècle nous présentent non seulement comme des consommateurs, mais comme des consommés. Des protections plus solides sont nécessaires pour garantir que l'innovation basée sur les données respecte les droits à la vie privée, notamment en raison des impacts en aval sur les droits associés, y compris l'égalité. Le Canada accuse un retard dans l'adoption des technologies, en partie parce que la confiance sociale dans les technologies novatrices axées sur les données est actuellement au plus bas. De meilleures lois sur la confidentialité, une meilleure protection, une meilleure confiance, de meilleures affaires. La bonne nouvelle est que ce cadeau qui n'avait l'air bien qu'à l'extérieur a été renvoyé à l'expéditeur lorsque le Parlement a été dissous. Espérons que ses créateurs apprennent de sa réception et que son remplaçant vaut la peine d'être conservé.
[Cet article a été publié par The Hill Times le 27 octobre 2021 sous forme d'opinion, Parfois, un cadeau tant attendu qui arrive emballé dans du papier scintillant déçoit lorsqu'il est ouvert. C'est le cas du projet de loi C-11, déposé en novembre 2020, qui comprenait la Loi sur la protection de la vie privée des consommateurs (CPPA).Présenté comme une mise en œuvre des promesses de confidentialité faites dans la Charte numérique et comme une réponse à une décennie d'appels en faveur d'une réforme significative de la législation sur la confidentialité dans le secteur privé, à première vue, le projet de loi contient un certain nombre de fonctionnalités que les défenseurs de la confidentialité souhaitent : données dans le champ d'application de la loi, en abordant la transparence des décisions automatisées, en ajoutant des dispositions sur la portabilité des données et en apportant d'importantes améliorations aux pouvoirs d'exécution du Commissariat à la protection de la vie privée du Canada (CPVP).
Mais ce vieux cliché, le diable est dans les détails, n'est jamais plus vrai que lorsqu'il est appliqué à un projet de loi de 122 pages. Une plongée dans les particularités de ces dispositions révèle leurs lacunes. Considérez le traitement par C-11 des données anonymisées, qui est bien fait et bien réglementé, peut protéger la vie privée et renforcer la sécurité. Les données anonymisées sont traitées de manière à ne pas être utilisées pour identifier un individu. Il s'agit indéniablement d'un processus qui s'appuie sur des informations personnelles, telles que générées par des transactions personnelles et des comportements, mais s'il est traité correctement, il ne devrait pas être possible de le lier à une personne identifiable. Cependant, de nombreuses recherches confirment que l'anonymisation ne sera jamais infaillible à l'ère des mégadonnées. Et ces données sont de plus en plus utilisées pour prendre des décisions conséquentes sur des individus et des groupes. Ainsi, compte tenu des risques et des impacts, le fait de faire entrer sans ambiguïté des données anonymisées dans le champ d'application de la loi serait une victoire en matière de confidentialité. Non pas pour interdire leur utilisation, mais pour garantir que le traitement et l'utilisation de ces données se déroulent dans un cadre de responsabilité et de transparence, avec des conséquences pour les préjudices s'ils surviennent et des interdictions fermes de ré-identification.
C-11, cependant, n'est pas sans ambiguïté. Il permet aux données d'être anonymisées sans consentement à trois fins : pour la recherche interne, pour une transaction commerciale potentielle ou lorsqu'elles sont divulguées à des fins socialement bénéfiques prescrites. Cela signifie-t-il que les données anonymisées ne peuvent être utilisées sans consentement qu'à ces fins ? Le consentement serait-il requis à d'autres fins? Ou d'autres fins sont-elles interdites ?
Avec suffisamment d'espace et de temps, nous pourrions passer en revue chacune des autres victoires «au premier coup d'œil» du projet de loi. Et puis nous pourrions nous tourner vers toutes les pertes pures et simples, notamment une tentative infructueuse de remédier à l'inadéquation croissante d'un régime purement basé sur le consentement par l'ajout d'une série d'exceptions pour les « opérations commerciales » qui, contrairement à des dispositions similaires dans la loi générale européenne Règlement sur la protection des données, ne sont pas contraints par la reconnaissance de la vie privée en tant que droit de l'homme. Les exceptions dans les cas où "l'obtention du consentement de l'individu serait irréalisable parce que l'organisation n'a pas de relation directe avec l'individu" rappellent le fournisseur de reconnaissance faciale Clearview AI, la société qui a récupéré de manière non consensuelle des milliards d'images sur Internet et a été l'objet de conclusions cinglantes de l'OPC, le qualifiant de catalyseur de la surveillance de masse.
En fin de compte, le véritable test est le suivant : si C-11 était devenu loi, les protections de la vie privée seraient-elles plus solides pour les gens partout au Canada ? Le déséquilibre de pouvoir entre les collecteurs de données des entreprises et les particuliers serait-il atténué ? Plus concrètement, les récents scandales impliquant des informations personnelles - l'affaire Facebook / Cambridge Analytica tentant de saper les élections démocratiques, la fourniture d'outils de reconnaissance faciale Clearview AI à la police à travers le pays, l'utilisation non consensuelle de l'analyse faciale par Cadillac Fairview - auraient-ils ont-ils été empêchés ou, du moins, les responsables auraient-ils été plus efficacement tenus de faire face aux conséquences ? La triste réponse est non. Non seulement il aurait été plus facile de réclamer des exceptions au consentement, mais le commissaire à la protection de la vie privée note que les violations du consentement seraient hors de portée des sanctions administratives.
C-11 est inadéquat pour répondre à la réalité selon laquelle les modèles commerciaux du 21e siècle nous présentent non seulement comme des consommateurs, mais comme des consommés. Des protections plus solides sont nécessaires pour garantir que l'innovation basée sur les données respecte les droits à la vie privée, notamment en raison des impacts en aval sur les droits associés, y compris l'égalité. Le Canada accuse un retard dans l'adoption des technologies, en partie parce que la confiance sociale dans les technologies novatrices axées sur les données est actuellement au plus bas. De meilleures lois sur la confidentialité, une meilleure protection, une meilleure confiance, de meilleures affaires. La bonne nouvelle est que ce cadeau qui n'avait l'air bien qu'à l'extérieur a été renvoyé à l'expéditeur lorsque le Parlement a été dissous. Espérons que ses créateurs apprennent de sa réception et que son remplaçant vaut la peine d'être conservé.
[Publié à l'origine dans The Hill Times, 27 octobre 2021]
Français du Canada 
English (Canada)