Il faut revoir la loi sur les renseignements personnels
Techno

Il faut revoir la loi sur les renseignements personnels

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) doit être revue pour protéger les Canadiens à l’ère des mégadonnées, estime Maxime Johnson. 

L’arrivée en mai d’une loi musclée en Europe, le dépôt récent d’un rapport par un comité parlementaire canadien et la révélation par Facebook que les données de 622 161 Canadiens auraient été partagées avec la société Cambridge Analytica représentent une tempête parfaite pour les défenseurs du droit à la vie privée.

Le gouvernement ne peut l’ignorer.

Les données personnelles sont principalement protégées au Canada par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui date de 2000. Elle précède l’avènement des mégadonnées, ces ensembles d’informations produits en continu dans le monde et qui ont une telle ampleur qu’ils nécessitent des moyens informatiques avancés pour les analyser.

« La loi ne répond plus à nos besoins, elle est dépassée », affirme d’emblée Michael Geist, professeur de droit à l’Université d’Ottawa et titulaire de la Chaire de recherche du Canada en droit d’Internet et du commerce électronique.

C’est vraisemblablement la conclusion à laquelle est arrivé le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Il a publié le rapport Vers la protection de la vie privée dès la conception : Examen de la Loi sur la protection des renseignements personnels et les documents électroniques le 28 février, soit deux semaines avant qu’éclate le scandale entourant Facebook et Cambridge Analytica.

Le rapport propose 19 recommandations pour revoir la LPRPDE, dont plusieurs changements majeurs, qui s’inspirent parfois du Règlement général sur la protection des données (RGPD), une loi musclée qui entrera en vigueur en Europe le 25 mai.

Le document suggère notamment d’instaurer un droit à l’effacement des données et un droit à la portabilité des données, où les entreprises sont tenues d’offrir aux utilisateurs la possibilité de télécharger toutes leurs informations personnelles dans un format facilement utilisable par d’autres outils.

La question du consentement

À la lumière des révélations sur Cambridge Analytica, ignorer ces recommandations serait une erreur. La question du consentement lorsque les usagers acceptent les conditions d’utilisation d’un service y est aussi abordée. « Le consentement est au cœur du problème actuel », croit d’ailleurs Michael Geist.

Pour s’assurer que les Canadiens peuvent prendre une décision éclairée, le rapport du comité parlementaire conseille entre autres que la cueillette de renseignements personnels à des fins secondaires soit toujours facultative. Il recommande également que les autorités publiques du Canada mettent en place des mesures pour améliorer la transparence algorithmique. En saisissant par exemple pourquoi une information est affichée sur son fil Facebook plutôt qu’une autre, un utilisateur peut plus facilement assimiler comment ses données personnelles sont exploitées.

Le comité parlementaire propose aussi de renforcer les pouvoirs du Commissaire à la protection de la vie privée pour qu’il puisse rendre des ordonnances et imposer des amendes. Ces amendes devront évidemment être salées pour avoir un quelconque effet dissuasif. C’est d’ailleurs ce qui a été compris en Europe, où les pénalités en cas de non-conformité au RGPD peuvent atteindre 4 % des revenus mondiaux d’une entreprise. Pour un géant comme Google, cela représenterait une peine de plus de quatre milliards de dollars américains.

Une recommandation de taille manque toutefois à l’appel dans le rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, composé notamment de députés libéraux, conservateurs et du NPD. Ni la LPRPDE ni la Loi sur la protection de la vie privée, qui vise le secteur public fédéral, ne s’appliquent aux partis politiques.

Quand on sait que Cambridge Analytica aurait influencé le Brexit et les élections présidentielles américaines avec les données Facebook amassées, force est de constater qu’une refonte de la LPRPDE devrait aussi encadrer la façon dont les partis politiques peuvent utiliser les informations personnelles des citoyens canadiens. Ou du moins que des règles similaires s’étendent aux partis également.

Est-ce suffisant ?

Une loi de protection des renseignements personnels modernisée ne préviendra pas forcément le prochain scandale lié aux mégadonnées. La complexité des systèmes informatiques modernes fait qu’il est difficile d’en prévoir les excès. « Nous ne réglerons pas tous les problèmes de vie privée avec une nouvelle loi, mais ce n’est pas une raison pour ne pas la changer », note Michael Geist.

Affermir la LPRPDE serait un pas dans la bonne direction, qui permettrait aux gens de prendre des décisions plus éclairées et qui équilibrerait un peu le rapport de force entre les entreprises et leurs clients.

Une réponse d’ici quelques semaines

Les astres ont rarement été aussi bien alignés pour forcer la révision d’une loi. Le gouvernement est en effet tenu de fournir au Parlement une réponse au rapport Vers la protection de la vie privée dès la conception : Examen de la Loi sur la protection des renseignements personnels et les documents électroniques d’ici la fin juin, soit 120 jours après son dépôt.

Rappelons que le Canada a récemment amendé la LPRPDE. Plus tard cette année, les entreprises auront ainsi l’obligation d’informer les particuliers si leurs renseignements personnels ont été perdus ou volés, ou s’ils ont été mis en danger.

« Après l’examen du rapport du Comité parlementaire, si le gouvernement décide que d’autres modifications à une loi sont nécessaires pour régler un problème particulier, un projet de loi proposant des changements précis devra être déposé au Parlement pour examen par la Chambre des communes et le Sénat », explique Karl Sasseville, attaché de presse du ministre de l’Innovation, des Sciences et du Développement économique, Navdeep Singh Bains.

Avec l’arrivée entre-temps du RGPD en Europe et l’éclatement du scandale planétaire Cambridge Analytica, il sera difficile pour le gouvernement Trudeau de prétendre le contraire. Reste à voir s’il n’apportera que des changements mineurs à la loi ou s’il en profitera pour lui donner la refonte complète dont elle a besoin.