This is the re-posting of a comment first appeared on Gautrais.com.
Jean-François Ouellette est étudiant dans le cadre du cours DRT 6929O.
Le 1er mars dernier, Google annonçait sa nouvelle politique de confidentialité. Dans un souci de clarté et d’uniformisation, l’entreprise rassemble tous ses services sous l’égide d’une seule politique. Il convient de souligner l’effort soutenu de Google pour amener la nouvelle politique à la connaissance de l’utilisateur. Aussi, il ne saurait être reproché à Google d’avoir voulu simplifier et de rendre intelligible ses politiques. Cela dit, la nouvelle politique soulève certaines préoccupations. La commissaire à la protection de la vie privée au Canada a envoyé une lettre à Google le 24 février dernier faisant état de ses inquiétudes.
Il est intéressant de se demander sur quels fondements juridiques peuvent s’appuyer ces préoccupations. Les deux lois qui s’appliquent directement à Google dans ce cas-ci sont les suivantes :
- Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5. Aussi connu sous LPRPDE ou l’acronyme anglais PIPEDA.
- Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q., chapitre P-39.1 et les articles 35 à 40 du Code civil du Québec.
Voici les trois principales préoccupations énoncées par la commissaire :
1) Conservation et destruction des données
La commissaire reproche à Google d’avoir supprimé les calendriers de suppression des données. En fait, la politique ne prévoit rien sur l’élimination des données personnelles. C’est pourtant là un aspect important de l’obligation de conservation. La croissance constante des espaces de stockage ne contraint pas à détruire les documents, comme c’est le cas dans l’univers papier. Pourtant, la destruction des documents non pertinents constitue bel et bien une obligation légale en vertu de la l’annexe 1 de la LPRPDE :
4.5 : « Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. »
(…)
4.5.3 : « On devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels. »
2) Consolidation des profils d’utilisateur
Curieusement, ce n’est pas la communication auprès des tiers qui soulève des inquiétudes ici, c’est la communication au sein même de Google. En consolidant sa politique, Google a aussi pris la décision de consolider l’échange d’information entre ses différentes plateformes. En fait, l’utilisateur aura un profil qui sera utilisé sur les différentes plateformes de Google.
En consolidant les différents services, Google sera en mesure de constituer un portrait extrêmement fidèle de l’utilisateur, ce qui soulève des inquiétudes majeures quant au respect de la vie privée. Cette consolidation rappelle un projet de Fichier Longitudinal initié par le gouvernement fédéral. Ce projet visait à consolider toutes les informations des différents ministères. Un article de mai 2000, paru dans le Devoir, rapporte le démantèlement de ce projet qui avait suscité beaucoup de controverse.
Malheureusement, la consolidation de plusieurs informations éparses détenues par une seule entité ne semble pas avoir été prévue spécifiquement par la loi. En effet, les interdictions concernant la communication des renseignements visent avant tout les échanges envers les tiers. Il faudrait alors se tourner vers les arguments concernant la finalité de la communication ou de l’utilisation. Dans la mesure où les renseignements personnels sont utilisés de façon conforme à la finalité de la collecte, à savoir l’affichage de publicité visée, la consolidation serait très probablement conforme à la loi canadienne et québécoise. Un argument juridique pourrait alors s’appuyer sur une disposition plus générale du respect de la vie privée, comme l’article 35 du Code civil du Québec.
35. « Toute personne a droit au respect de sa réputation et de sa vie privée.
Nulle atteinte ne peut être portée à la vie privée d’une personne sans que celle-ci y consente ou sans que la loi l’autorise. »
Cela dit, il n’en demeure pas moins qu’un tel argument doit remettre en cause le consentement donné par l’utilisateur. Il convient d’aborder la troisième préoccupation de la commissaire, plus explicite au sujet du consentement.
3) Consentement
La troisième préoccupation de la commissaire concerne la plateforme Android. Rappelons que Google a fait l’acquisition d’Android, un système d’exploitation pour téléphones intelligents. Or, ces téléphones requièrent d’être liés à un compte Google pour la plupart de leurs fonctions. De plus, la plupart de ces téléphones sont désormais munis de systèmes GPS, qui permettent de recueillir des données de géolocalisation. La commissaire soulève que les utilisateurs n’auraient pas réellement le choix de souscrire à un compte Google lorsqu’ils s’équipent d’un téléphone Android. Est-ce qu’il y a un réel consentement ? En effet, les deux lois qui nous intéressent prévoient que le consentement doit être libre et éclairé :
a) Consentement dans la loi québécoise
14. « Le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. »
Un consentement qui n’est pas donné conformément au premier alinéa est sans effet.
b) Consentement dans la LPRPDE
Le principe 4.3 de l’annexe 1 de la loi énonce les différents critères et cas de figure du consentement. Il convient d’attirer l’attention sur l’article 4.3.3 :
4.4.3. « Une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. »
Conclusion
Deux des préoccupations énoncées par la commissaire prennent racines d’obligations légales, à savoir l’obligation de destruction des renseignements et l’obligation d’obtenir un consentement éclairé à la collecte des données. Pour ce qui est du profil consolidé, la commissaire énonce une préoccupation bien réelle et inquiétante quant à la vie privée. Comme les lois en matière de protection des renseignements personnels n’ont pas prévu ce cas spécifique, il faudrait s’appuyer sur des dispositions plus générales de respect de la vie privée, et remettre en question les finalités de la collecte et le consentement donné par l’utilisateur.
Enfin, malgré les inquiétudes soulevées, l’effort de transparence de Google mérite d’être souligné.
—
Pour aller plus loin :
Vincent GAUTRAIS et Pierre TRUDEL, Circulation des renseignements personnels et Web 2.0, Montréal, Éditions Thémis, 2010.