Refonte de la loi canadienne en matière de renseignements personnels: le projet de loi C-11 défectueux selon le Commissaire canadien

Bien qu’on présente le projet de loi fédéral C-11 comme une refonte législative visant à favoriser les droits des individus quant à leurs données, le Commissaire canadien à la protection de la vie privée se montrait sceptique, lors d’une conférence récente organisée par Option consommateurs. Selon lui, le projet de loi C-11 s’avère en réalité un pas de recul, notamment parce qu’il n’offrirait pas de contrôle suffisant aux individus relativement à leurs renseignements.

Comme on s’en souviendra, l’automne dernier, le gouvernement fédéral déposait un projet de loi visant à complètement remplacer la loi actuelle en matière de renseignements personnels, une loi adoptée il y a plus de 20 ans et désormais désuète.

Selon le commissaire Therrien, ce projet de loi comporterait de nombreuses lacunes que nous aurions avantage à corriger avant de l’adopter, notamment en matière de consentement éclairé. Sa critique à ce sujet est notamment que la nouvelle loi continuerait de permettre aux entreprises d’utiliser une langue qui s’avère trop souvent vague, opaque ou même obscure, quand on déclare le genre d’utilisation qu’on entend faire des renseignements des personnes qui consentiraient. Alors que dans d’autres juridictions (comme l’Europe) chaque entreprise doit nommer de façon claire ses fins explicites, précises et légitimes pour utiliser des données personnelles, pour l’instant, le projet de loi C-11 ne l’exigerait pas. C’est ce qui fait notamment dire au Commissaire qu’on est à affaiblir notre régime de protection en matière de renseignements personnels.

Sans grande surprise, le Commissaire critique aussi l’idée de confier le pouvoir d’imposer des amendes non pas à sa propre Commission, mais plutôt à un nouveau tribunal administratif qui sera créé de toute pièce. Selon lui, cette nouvelle structure alourdira inutilement le processus (en plus d’encourager les entreprises à interjeter appel afin de contester ses décisions éventuelles, plutôt que de régler les litiges), ce qui défavorisera les personnes dans leurs tentatives de protéger leurs renseignements.

De plus, force est de constater (et suis bien d’accord) que C-11 cible un nombre trop restreint de violations de cette loi éventuelle comme base possible d’un recours pouvant mener à des amendes pour les entreprises délinquantes. Par exemple, aucune obligation liée à la validité des consentements qu’on aurait cherché à obtenir ne serait placée dans cette catégorie selon le projet tel qu’il existe actuellement. À ce sujet, d’ailleurs, le Commissaire critique aussi la panoplie d’exceptions au prérequis d’un consentement que prévoit le projet C-11, notamment parce que plusieurs de ces exceptions sont trop vagues pour bien servir les intérêts des individus une fois la loi en vigueur.

Le Commissaire se montre aussi réfractaire à l’approche qu’adopte C-11 en visant à permettre aux entreprises de s’autoréglementer, en quelque sorte, en adoptant des protocoles qu’elles choisissent elles-mêmes.

Pour prendre un pas de recul, le Commissaire réitère d’ailleurs qu’un problème fondamental de l’approche canadienne actuelle a trait à l’absence du droit à la protection de nos renseignements dans nos Chartes, alors que leur inclusion en ferait un droit fondamental de l’individu.

L’outil iVe et la quantité effarante de données qu’emmagasine votre véhicule, notamment en les téléchargeant de votre cellulaire

Le magazine en ligne The Intercept publiait récemment un excellent article intitulé YOUR CAR IS SPYING ON YOU, AND A CBP CONTRACT SHOWS THE RISKS que je vous recommande. Si vous l’ignoriez, oui, votre voiture génère, enregistre et télécharge pas mal de renseignements, y compris lorsque vous branchez votre téléphone cellulaire – c’est très réel.

L’article en question parle surtout d’enquêtes par les forces de l’ordre (enquêtant sur des crimes), mais l’histoire va en réalité bien plus loin que cela. En effet, chose intéressante qu’ignorent la plupart des gens: ce genre de chose se produit aussi (et plus souvent encore) du côté privé. En fait, l’accès aux données contenues dans les véhicules s’avère possible pour quiconque veut vraiment s’en donner la peine, ce qui peut comprendre, par exemple, votre assureur auto. Si vous avez un accident ou même une simple réclamation, eh oui, l’assureur pourrait très bien demander à voir le véhicule et alors y brancher un appareil lui permettant d’en extraire toutes les données qui pourraient s’avérer pertinentes, incluant toutes celles du genre énumérées ci-après. Bienvenue en 2021!

L’article discute spécifiquement d’un outil qu’utilisent allègrement les policiers et les assureurs, qui se nomme iVe, le produit d’une société nommée Berla. La boîte à outils d’iVe comporte des composantes matérielles et des composantes logicielles, dont sa propre appli mobile, question de faciliter la vie aux enquêteurs, eh oui.

Cet outil, on l’utilise ni plus ni moins que pour siphonner toute l’information et tous les renseignements qui pourraient subsister dans les modules électroniques des véhicules, à des fins d’enquête. Ce produit identifie, acquiert et analyse toutes sortes d’information issue des véhicules modernes – vous en seriez renversés. On peut d’ailleurs voir sur le site du producteur de l’outil un aperçu du genre de données qu’on peut aller chercher, incluant :

  • Les données de géolocalisation quant à là où le véhicule a circulé (évidemment), incluant les routes et rues empruntées, etc.;
  • Les événements rencontrés par le véhicule et que ses capteurs peuvent déceler;
  • Les fichiers de médias (contenus) qu’on a chargés dans le système d’infodivertissement (la musique, les balados, etc.);
  • La liste des appareils qu’on y a branchés au fil du temps, incluant la signature individuelle de chacun, etc.

En pratique, il semble qu’on peut même aller chercher par l’entremise de cet outil des listes de contacts stockées dans les appareils mobiles qui ont été branchés, l’historique et des copies de SMS ou de courriels, des listes d’appels entrants ou sortants, la liste des chansons qu’on a écoutées, etc. En gros, votre véhicule est une passoire à renseignements personnels, du moins pour ceux qui se donnent la peine de se munir du bon outil pour les extraire.

Parmi les «incidents» qui sont enregistrés par les véhicules, on peut notamment penser au déploiement des coussins gonflables ou des choses uniquement liées à des accidents (évidemment), mais aussi, et c’est peut-être plus surprenant, des comportements du conducteur tels :

  • la vitesse du véhicule à tel ou tel moment;
  • l’engagement ou la progression des changements de vitesse;
  • les accélérations ou les freinages brusques;
  • le fait d’éteindre ou d’allumer les phares;
  • l’ouverture ou la fermeture des portières; etc.

Vous écoutiez la chanson PARANOID de Black Sabbath, en textant votre ami Simon, pendant que vous conduisiez à 163 km/h sur telle route de campagne quand vous avez perdu le contrôle? Eh oui, l’assureur peut le savoir, très précisément, sans aucune difficulté. Oui, à peu près tout ce que fait le conducteur d’un véhicule est enregistré dans les véhicules modernes (et plus encore quand on y a branché son cellulaire), souvent à l’insu de Monsieur et Madame Tout-le-Monde. Cela s’avère évidemment fort utile, notamment, pour les assureurs désirant refuser la couverture au moment d’un incident.

Si cela peut vous rassurer (un peu), l’outil iVe n’est pas à la portée de tous. L’article mentionne l’achat de trousses pour une somme de près de 100000$US chacune*.  À ce prix, votre assureur (ou ses enquêteurs) en possède – votre voisin (même amateur de voitures), probablement pas.

*Un contact me dit que le prix serait en réalité de quelques dizaines de milliers de dollars seulement, mais même à ce prix, on s’entend que ce n’est pas à la portée de tous.

Un ami ingénieur qui travaille dans les reconstitutions d’accidents et d’incidents impliquant des véhicules me confirme d’ailleurs que l’outil en question s’avère bien réel et fait effectivement partie de la trousse des experts comme lui. On ne parle pas de science-fiction, c’est très réel et concret, et l’information qu’on tire de ces outils est réellement utilisée par les forces de l’ordre et les assureurs quand ils mettent le grappin sur un véhicule après un incident, comme un accident ou un incendie.

La réalité, c’est que les modules embarqués sur nos véhicules modernes et la capacité d’y brancher des appareils mobiles s’avèrent des mines d’or pour ceux qui veulent se donner la peine d’y accéder.

Il semble d’ailleurs que certaines données sont nécessairement générées et/ou communiquées au véhicule, et ce, même si on répond NON au moment de brancher l’appareil, lorsque le véhicule nous demande si l’appareil mobile devrait en communiquer. Bref, tout ce qu’on fait avec nos appareils et véhicules laisse désormais des traces, prenez-en note!

Donc, si vous pensiez qu’un véhicule n’est qu’un véhicule ou que vos données personnelles sont protégées quand vous branchez votre mobile dans votre véhicule, ou encore qu’on ne peut accéder aux données que les véhicules accèdent ou génèrent quand vous les utilisez, détrompez-vous! Dans le monde actuel, plutôt qu’une batterie de tests sophistiqués effectués par une équipe d’experts dignes de la série CSI, tout ce dont auront souvent besoin les enquêteurs, c’est de se brancher à votre voiture.

Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement sur le fond, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suivant une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici une vraie de vraie décision se prononçant quant au comportement d’une organisation qui a subi une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu faisant partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées, ordinateur et égaré par un préposé de la défenderesse (l’«OCRCVM»). Son recours visait à être indemnisé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée de l’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaires (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être indemnisés par nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subi un véritable préjudice. Or, ici, ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas comme étant de véritables dommages en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé, mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soi, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, notamment au Québec.

Ici, le requérant n’est pas parvenu non plus à démontrer de lien de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité qui seraient survenus. Ainsi, le tribunal ne pouvait pas non plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non seulement doit-on toujours démontrer une faute et un préjudice, mais aussi un lien causal entre les deux. Ce troisième ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non seulement une faute suffisante, mais aussi (et surtout) de véritables dommages qui soient susceptibles d’indemnisation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclut qu’on était ici non seulement pas dans un cas de faute intentionnelle, mais aussi que l’OCRCVM a été suffisamment diligent dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délai les services d’un consultant spécialisé afin de cerner l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, notamment celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.