ATTENTION : Les archives du Journal du Barreau vous sont présentées telles qu'elles ont été déposées sur le Web au moment de leur publication. Il est donc possible que certains liens soient non fonctionnels et que certains renseignements soient périmés.

Pour toute question ou commentaire concernant le Journal, communiquez avec journaldubarreau@barreau.qc.ca

Visitez la page officielle du Journal du Barreau sur le site Web du Barreau du Québec.

 

Vie privée et commerce électronique II : l'oxymoron

Alain-Robert Nadeau, avocat*

Il y a deux semaines, j'affirmais dans cet espace que la Loi sur la protection des renseignements personnels et les documents électroniques (projet de loi C-6 devenu le chapitre 5 des lois du Canada pour l'année 2000) m'apparaissait réductionniste par rapport à son objectif de protéger le droit à la vie privée, et plus particulièrement les données à caractère personnel, dans le cadre des transactions effectuées par le commerce électronique.

L'objet de la loi est énoncé à l'article 3 et il se lit ainsi: « La présente partie a pour objet de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l'échange de renseignements personnels, des règles régissant la collecte, l'utilisation et la communication de renseignement personnels d'une manière qui tient compte du droit des individus à la vie privée à l'égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. » Wow! Comme fromage gruyère, on ne peut demander mieux.

L'obligation de respecter le droit à la vie privée des individus est prévue à l'article 5 de la loi selon lequel « toute organisation doit se conformer aux obligations énoncées dans l'annexe 1 » lorsque, précise-t-on plus loin, le conditionnel n'est pas utilisé! Or, fondé sur Code type sur la protection des renseignements personnels de la CSA, les normes qui y sont énoncées ne sont que des principes vagues et imprécis.

Le consentement

L'un des écueils les plus sérieux consiste en cette permissivité de déroger à l'application de la loi par le biais du consentement, lequel consentement peut être explicite, tacite ou même présumé. Voyons donc, ensemble, le fonctionnement concret de cette loi. Le troisième principe énoncé, en annexe, est celui du consentement. Au paragraphe liminaire de l'article 4.3., on peut lire ce qui suit: « Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. »

On peut se demander, d'entrée de jeu, ce que signifie la dernière partie de ce principe « à moins qu'il ne soit pas approprié de le faire ». Je pensais qu'il s'agissait essentiellement d'exceptions analogues à celles formulées à la Loi sur la protection des renseignements personnels, lesquelles exceptions s'appuient sur la confidentialité de certains types de renseignements, telles les affaires internationales, la sécurité nationale, etc. Détrompez-vous! La portée de l'interprétation va beaucoup plus loin. On y précise notamment ce qui suit: « De plus, les organisations qui ne sont pas en relation directe avec la personne concernée ne sont pas toujours en mesure d'obtenir le consentement prévu. Par exemple, il peut être peu réaliste pour une œuvre de bienfaisance ou une entreprise de marketing direct souhaitant acquérir une liste d'envoi d'une autre organisation de chercher à obtenir le consentement des personnes concernées. »

Avez-vous saisi l'idée? On explique, noir sur blanc, que la loi qui est censée protéger vos renseignements personnels ne s'appliquera pas s'il est peu commode à une entreprise de marketing direct d'acquérir subrepticement et à votre insu des renseignements personnels vous concernant! Ce principe voulant que la tierce partie n'ait pas à se préoccuper de votre consentement s'appuie sur le principe que l'organisation qui a d'abord recueilli les renseignements personnels vous concernant a probablement fait, comme le prescrit le Code, un « effort raisonna-ble » pour s'assurer d'obtenir votre consentement.

La question qu'il faut se poser à ce point est la suivante: quel type d'effort faut-il faire? L'article 4.3.6. prévoit que cela va dépendre du contexte et des circonstances, mais « en général, l'organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d'être considérés comme sensibles ». Néanmoins, « lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant ».

Puis, à l'article suivant du même Code, on précise que le consentement peut revêtir différentes formes. À titre d'illustration, « on peut prévoir une case où la personne pourra indiquer qu'elle refuse que ses nom et adresse soient communiqués à d'autres organisations. Si la personne ne coche pas la case, il sera présumé qu'elle consent à ce que les renseignements soient communiqués à des tiers » (opting out). De plus, « le consentement peut être donné de vive voix ».

Dites-moi, pouvez-vous concevoir une situation où une entreprise de marketing direct estimera que des renseignements personnels font partie de cette catégorie jugée sensible? Comment concevoir que le Parlement ait opté pour cette solution, qualifiée d'opting out, selon laquelle le défaut de poser un acte positif équivaut à une permission de transmettre les renseignements personnels à des tiers? On le conçoit aisément, il n'y a rien dans ce projet de loi, malgré la formulation d'apparence généreuse de ses principes, qui est véritablement susceptible d'empêcher la dissémination de renseignements personnels. C'est là où le bât blesse!

En pratique...

À une époque où le déséquilibre contractuel entre les entreprises et les consommateurs constitue la norme, la Loi sur la protection des renseignements personnels et les documents électroniques ne fait que cautionner cette pratique. Voilà en pratique ce qui risque de se produire. Un consommateur désire faire le louage d'un service de télécommunication. Il s'empresse de modifier le contrat d'adhésion (certaines clauses écrites en petits caractères qui permettent à l'entreprise de communiquer, transmettre et même vendre des renseignements personnels à une tierce partie) ou de cocher la case dont nous parlions précédemment, mais l'entreprise lui signifie que « c'est à prendre ou à laisser »: il s'engage sans restriction ou « il va se faire voir ailleurs ».

Science-fiction, me direz-vous. C'est ce que je croyais jusqu'au moment que j'en fasse personnellement l'expérience. Bref, l'application restreinte aux sites hébergés au Canada, l'imprécision du libellé, la rédaction vague et imprécise de la loi et l'absence de protection des renseignements personnels dans les mains des tiers feront en sorte de créer ce « sentiment de fausse sécurité » dont je parlais. À vrai dire, on l'aura compris, la Loi sur la protection des renseignements personnels et les documents électroniques est un oxymoron. Le Parlement tente, en juxtaposant ces notions contradictoires de « vie privée » et de « commerce électronique », de conférer une plus grande force expressive à la notion de protection, alors qu'il n'en est rien.


* Alain-Robert Nadeau est avocat et docteur en droit constitutionnel.