Enjeux Européens Et Mondiaux De La Protection Des Données Personnelles
La protection des données personnelles des utilisateurs d ...Master (M. ) La protection des...
110
© Camille Saunier, 2020 La protection des données personnelles des utilisateurs d'enceintes connectées «intelligentes» par le Règlement européen no 2016/679, le droit canadien et le droit québécois - Approche comparatiste Mémoire Maîtrise en droit - avec mémoire Camille Saunier Université Laval Québec, Canada Maître en droit (LL. M.) et Université Paris-Sud Orsay,France Master (M.)
Transcript of La protection des données personnelles des utilisateurs d ...Master (M. ) La protection des...
© Camille Saunier, 2020
La protection des données personnelles des utilisateurs d'enceintes connectées «intelligentes» par le Règlement
européen no 2016/679, le droit canadien et le droit québécois - Approche comparatiste
Mémoire Maîtrise en droit - avec mémoire
Camille Saunier
Université Laval Québec, Canada
Maître en droit (LL. M.)
et
Université Paris-Sud Orsay,France Master (M.)
La protection des données personnelles des utilisateurs d’enceintes connectées « intelligentes » par le
Règlement européen n°2016/679, le droit canadien et le droit québécois
Approche comparatiste
Mémoire Cheminement bi-diplômant – Propriété intellectuelle fondamentale et
technologies numériques
Camille Saunier
Sous la direction de :
Pierre-Luc Déziel, Université Laval Alexandra Bensamoun, Université Paris-Sud – Paris-Saclay
ii
Résumé
Le présent travail de recherche porte sur la protection des renseignements
personnels des utilisateurs d’enceintes connectées « intelligentes ». Au regard de cet objet
connecté particulier, l’étude se penchera sur la manière dont la protection des données
personnelles est envisagée par le Règlement européen n°2016/679 (RGPD), la Loi sur la
protection des renseignements personnels et les documents électroniques (LPRPDE) et la
Loi québécoise sur la protection des renseignements personnels dans le secteur privé
(LPRPSP) tout au long du cycle de vie de la donnée. Ces différentes législations divergent
tant sur leurs dates d’adoption que sur leurs systèmes juridiques. Pourtant, les rapports de
faits qui les animent en font une des objets de comparaison particulièrement intéressants. Il
ressort de cette étude que l’enceinte connectée « intelligente » met en évidence les
insuffisances des législations étudiées vis-à-vis du rapport au temps, de la masse de
données collectées mais aussi de l’opacité de la machine.
iii
Table des matières
RÉSUMÉ ..................................................................................................................................................... II
TABLE DES MATIÈRES ........................................................................................................................... III
REMERCIEMENTS .................................................................................................................................... V
INTRODUCTION ....................................................................................................................................... 1
I. CONSTATS RELATIFS À LA PROTECTION DES DONNÉES PERSONNELLES DES UTILISATEURS D’ENCEINTES
CONNECTÉES « INTELLIGENTES » PAR LE RGPD, LE DROIT CANADIEN ET LE DROIT QUÉBÉCOIS .............................. 3
1. L’enceinte connectée « intelligente », un objet connecté soumis à l’intelligence
artificielle .......................................................................................................................................................................... 4
2. L’enceinte connectée « intelligente », une source de collecte et de traitements massifs
de données personnelles ......................................................................................................................................... 7
3. Le RPGD, la LPRPDE et la LPRPSP, trois législations poursuivant un même objectif de
conciliation des intérêts ......................................................................................................................................... 10
II. LES DÉMARCHES MÉTHODOLOGIQUES POUR RÉPONDRE AU PROBLÈME DE L’ENCADREMENT DE LA VIE
PRIVÉE DES UTILISATEURS D’ENCEINTES CONNECTÉES « INTELLIGENTES » ................................................................. 14
1. La problématisation du projet de recherche .................................................................................... 14
2. La question de recherche : les législations sont-elles adéquates pour protéger
efficacement les utilisateurs d’enceintes connectées « intelligentes » ? ........................................ 18
3. Le cadre théorique ........................................................................................................................................ 19
4. Hypothèse de recherche............................................................................................................................. 24
CHAPITRE 1 – UNE BASE INTÉRESSANTE OFFERTE PAR LE RGPD, LE DROIT CANADIEN ET
LE DROIT QUÉBÉCOIS EN MATIÈRE DE PROTECTION DES RENSEIGNEMENTS PERSONNELS
..................................................................................................................................................................26
A. DES PRINCIPES DE PROTECTION APPLICABLES TOUT AU LONG DU CYCLE DE VIE DE LA DONNÉE ................ 26
1. Le principe de limitation des finalités .................................................................................................. 26
2. Le principe de transparence ..................................................................................................................... 33
B. DES PRINCIPES DE PROTECTION APPLICABLES EN AMONT DE LA COLLECTE .................................................... 40
1. Le consentement ............................................................................................................................................ 40
2. Le principe de minimisation des données ......................................................................................... 44
C. DES PRINCIPES DE PROTECTION APPLICABLES EN AVAL DE LA COLLECTE ......................................................... 47
1. La limitation de la conservation des données ................................................................................. 47
2. Les règles applicables au profilage ....................................................................................................... 53
iv
CHAPITRE 2 - LES INSUFFISANCES DU RGPD, DU DROIT CANADIEN ET DU DROIT
QUÉBÉCOIS AU REGARD DE L’ENCEINTE CONNECTÉE « INTELLIGENTE » ................................61
B. DES INSUFFISANCES LIÉES À LA QUANTITÉ DE DONNÉES COLLECTÉES .............................................................. 61
1. Le principe de minimisation des données ......................................................................................... 63
2. Les règles applicables au profilage ....................................................................................................... 65
B. DES INSUFFISANCES LIÉES L’OPACITÉ DE L’OBJET CONNECTÉ ............................................................................. 69
1. Le principe de transparence ..................................................................................................................... 69
2. Le consentement ............................................................................................................................................ 73
C. DES INSUFFISANCES LIÉES AU RAPPORT AU TEMPS .............................................................................................. 77
1. Le principe de limitation des finalités .................................................................................................. 77
2. La limitation de la conservation des données ................................................................................. 80
CONCLUSION..........................................................................................................................................86
BIBLIOGRAPHIE ......................................................................................................................................89
v
Remerciements
Je tiens tout d’abord à remercier mes directeurs de recherche, les professeurs
Alexandra Bensamoun et Pierre-Luc Déziel, pour leur disponibilité, leur bienveillance et
leurs précieux conseils tout au long de ces mois de recherche.
Je souhaiterais également à remercier tous les professeurs ayant contribué à faire de
ce bi-diplôme Propriété intellectuelle fondamentale et technologies numériques de
l’Université Laval et l’Université Paris-Saclay une formation si enrichissante et d’une telle
qualité.
J’aimerais remercier mes parents de m’avoir permis de réaliser des études que
j’aimais, et pour m’avoir encouragée et soutenue durant toutes ces années. Je remercie
également mes sœurs, et tout particulièrement Chloé, sans qui cette expérience au Canada
n’aurait pas été la même.
Je remercie mes amis pour leur soutien, et ce, même à l’autre bout de la planète.
Une chaleureuse pensée s’adresse également à mes précieuses camarades du master 2
PIFTN, pour leur aide, leur bienveillance mais aussi tous les beaux moments passés
ensemble à découvrir le Québec.
Enfin, je tiens à adresser un merci tout particulier à Louis, pour son soutien
inconditionnel, sa patience et son enthousiasme à l’égard de mon sujet.
1
Introduction
« Il y a à peine une décennie, l’idée de dialoguer avec nos objets du quotidien relevait
encore de la science-fiction ». C’est avec cette affirmation très parlante que Nicolas
Santolaria, auteur de l’ouvrage « Dis Siri »1
, amorce son récent article2
consacré à
l’intrusion des enceintes connectées « intelligentes » (ci-après « ECI ») au sein du foyer de
ses utilisateurs. En effet, il y a encore quelques années, notre imaginaire se limitait, entre
autres, à l’image de l’ordinateur de bord de la série Star Trek avec lequel les personnages
interagissaient. Les ingénieurs de chez Google ne s’en cachent pas3, c’est notamment cet
ordinateur qui les a inspirés pour créer la Google Home.
Avec l’ECI, les individus ont désormais dans leur salon un objet auquel ils peuvent
formuler des requêtes, avec lequel ils peuvent dialoguer et qui peut même leur raconter des
blagues ! Pour Nicolas Maynard, le responsable France d’Echo, l’ECI commercialisée par
Amazon, le développement de ces enceintes n’est pas une surprise :
Les technologies vocales s’inscrivent dans un mouvement d’évolution des
interfaces. On est passé par le clavier et la souris, puis le toucher, mais,
quand on y réfléchit bien, l’interaction la plus logique, la plus naturelle, est
vocale. On est câblé pour apprendre le langage depuis la naissance. Avec la
voix, il n’y a pas de gap générationnel : tout le monde peut s’en servir4.
Selon Yves Poullet, directeur du Centre de recherche information, droit et société de
l’Université de Namur, « le virtuel est en train de croiser le réel5 ». Dans une époque où
1 Nicolas Santolaria, « Dis Siri »: enquête sur le génie à l’intérieur du smartphone, Paris, Anamosa, 2016.
2 Nicolas Santolaria, « “Alexa, passe-moi le sel !” : comment les enceintes connectées s’incrustent peu à peu
dans nos foyers » (29 mars 2019), en ligne : Le Monde <https://www.lemonde.fr/m-perso/article/2019/03/29/avec-alexa-siri-ou-djingo-la-famille-sous-assistance-artificielle_5443154_4497916.html> (consulté le 24 juin 2019). 3 Farhad Manjoo, « A High-Stakes Bet: Turning Google Assistant Into a ‘Star Trek’ Computer », The New York
Times, sect Technology (28 septembre 2018), en ligne : The New York Times <https://www.nytimes.com/2016/09/29/technology/google-assistant.html> (consulté le 24 juin 2019). 4 Santolaria, supra note 2.
5 Chair LR Wilson, Conférence Loi + vie privée dans 10, 20, 30 ans..., Montréal, 5 novembre 2018, en ligne :
<https://www.youtube.com/watch?v=eIXpeUzxRS8&feature=player_embedded>.
2
l’utilisation intelligence artificielle est de plus en plus fréquente et où les données
personnelles sont le nouvel « or noir », l’évolution des interfaces s’inscrit plus largement
dans un mouvement de multiplication croissante des nouvelles technologies. Ces dernières
s’immiscent de plus en plus dans la vie des individus et bouleversent leur quotidien à une
échelle plus ou moins importante.
Selon une étude6 de l’institut iDATE, réalisée pour le Ministère de l’économie
français, 42 milliards d’objets sont déjà connectés aujourd’hui (dont les ECI) et plus de 80
milliards le seront en 2020, date à laquelle le volume de données annuel produit sera de
l’ordre de 44 zettaoctets (soit 44 000 milliards de gigaoctets). Ce chiffre est loin d’être
négligeable et fait de ces évolutions technologiques un phénomène sociétal nécessitant, à ce
titre, d’être juridiquement encadré.
Dans le cas des objets connectés, et plus particulièrement des ECI, le principal enjeu
juridique repose sur la protection des données personnelles7 et de la vie privée. En effet,
l’enceinte enregistre la voix de son utilisateur, qui constitue un renseignement personnel,
ainsi qu’un certain nombre de données associées. La régulation de la collecte et de
l’exploitation des données à caractère personnel est confrontée à des problèmes de plus en
plus complexes avec la multiplication incessante des sources de collecte, la capacité
technologique de les traiter et d’individualiser ce traitement, et l’extension de leur
exploitation aux domaines les plus divers8. Comme souvent en droit, les textes peinent à
rattraper la technique.
À raison, les enjeux liés à la vie privée préoccupent de plus en plus les individus et
font désormais régulièrement l’actualité. À titre d’exemple, il y a près d’un an, un couple
d’américains a vu sa conversation enregistrée à son insu par l’enceinte Echo, qui l’a ensuite
6 Ministère de l’économie et des finances, Marché des objets connectés à destination du grand public, 2018.
7 Dans le corps de ce mémoire, nous utiliserons indifféremment les termes « données personnelles »,
« renseignements personnels » et « données à caractère personnel », ces trois expressions ayant la même signification. 8 Philippe Pucheral et al, « La Privacy by design : une fausse bonne solution aux problèmes soulevés par l’Open data et les objets connectés ? » 56 2016/1 Légicom à la p 90.
3
transmise à un employé de l’époux9. Si la société Amazon s’est défendue d’un simple (et
soi-disant rare) bug de compréhension de la machine, il ne semble pas étonnant qu’un tel
incident soit de nature à inquiéter les individus.
De ce fait, l’encadrement de la vie privée des utilisateurs d’ECI dépasse le seul cadre
juridique et constitue une vraie réflexion autour des évolutions de monde numérique. Tout
au long de nos développements, nous tenterons de faire état des mécanismes de protection
des données personnelles applicables aux ECI. Nous tenterons également de vérifier
l’efficacité de la loi face à aux nouvelles technologies. C’est ainsi que nous verrons que les
textes en vigueur ne sont pas toujours adaptés aux évolutions numériques. Pour amorcer
notre raisonnement, nous mettrons en avant les constats relatifs à la protection des
renseignements personnels des utilisateurs d’ECI par le RGPD, le droit canadien et le droit
québécois (i), puis nous exposerons les démarches méthodologiques utilisées pour répondre
au problème soulevé (ii).
i. Constats relatifs à la protection des données personnelles des utilisateurs d’enceintes connectées « intelligentes » par le RGPD, le droit canadien et le droit québécois
Un triple constat est à l’origine des problématiques qui découlent de l’encadrement de
la vie privée des utilisateurs d’ECI. Tout d’abord, l’enceinte est un objet connecté soumis à
l’intelligence artificielle (1). Elle est également la source d’une collecte et de traitements
massifs de données personnelles (2). Enfin, le Règlement général sur la protection des
données (RGPD)10
, la Loi sur la protection des renseignements personnel et les documents
électroniques (LPRPDE) et la Loi québécoise sur la protection des renseignements
personnels dans le secteur privé (LPRPSP) constituent trois législations différentes de
9 Nicolas Six, « Une enceinte connectée d’Amazon envoie une conversation privée par erreur » (25 mai
2018), en ligne : <https://www.lemonde.fr/pixels/article/2018/05/25/une-enceinte-connectee-d-amazon-envoie-une-conversation-privee-par-erreur_5304453_4408996.html> (consulté le 24 juin 2019). 10
UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
4
protection de renseignements personnels qui poursuivent pourtant un même objectif de
conciliation de différents intérêts (3).
1. L’enceinte connectée « intelligente », un objet connecté soumis à l’intelligence artificielle
L’ECI appartient à la famille des objets connectés. Ces derniers sont définis comme
des « objets qui captent, stockent, traitent et transmettent des données, qui peuvent recevoir
et donner des instructions et qui ont pour cela la capacité à se connecter à un réseau
d’information11
».
Selon la Commission nationale de l'informatique et des libertés (CNIL)12
, une ECI
est un dispositif équipé d’un haut-parleur et d’un micro qui intègre un assistant vocal. Ce
dernier peut être défini13
comme un assistant virtuel doté d’un moteur de reconnaissance
vocale et d’un module de synthèse de la parole qui lui permettent de reconnaitre des
commandes vocales et d’y répondre au moyen d’une voix de synthèse. Il s’agit d’une forme
d’intelligence artificielle qui, dans le cas de l’ECI, constitue le logiciel, le software, de cette
dernière. Ces assistants vocaux sont pour la plupart disponibles sur nos smartphones
puisqu’il s’agit notamment de Siri (Apple), Google Assistant (Google) ou encore Alexa
(Amazon). Grâce à cet équipement, l’enceinte est capable d’interagir avec l’utilisateur pour
lui délivrer un service suite à une requête vocale.
De manière générale, l’intelligence artificielle correspond à « l’ensemble des
théories et techniques mises en œuvre pour permettre aux machines de simuler
l’intelligence14
». On peut appliquer le terme « simuler » à la machine lorsqu’elle imite les
fonctions cognitives qu’on associe à l’être humain, comme la résolution de problèmes ou
l’apprentissage.
11
Arnaud de Baynast, Jacques Lendrevie et Julien Lévy, Mercator, 12e édition, Malakoff, Dunod, 2017 à la p 212. 12
CNIL, « Enceintes intelligentes : des assistants vocaux connectés à votre vie privée » (20 décembre 2018), en ligne : <https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee> (consulté le 19 juin 2019). 13
Office québécois de la langue française, « Assistant vocal personnel », en ligne : <http://www.gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26541747> (consulté le 21 juin 2019). 14
Céline Castets-Renard, « Régulation des algorithmes et gouvernance du Machine learning : vers une transparence et “explicabilité” des décisions algorithmiques ? » [2018] 15 Revue Droit & Affaires à la p 33.
5
Dans le cas de l’ECI, le type d’intelligence artificielle qui est utilisé est le machine
learning. Ce terme est utilisé pour la première fois en 195915
par Arthur Samuel qui le
définit comme le « champ d’étude qui donne aux ordinateurs la capacité d’apprendre sans
être explicitement programmés à apprendre16
». En outre, le machine learning permet de
s’attaquer à des problèmes qui sont trop complexes à résoudre pour les humains en
transférant une partie de la charge à l’algorithme. L’objectif de la plupart des algorithmes
de machine learning est de développer un moteur de prédiction pour un cas d’utilisation
particulier. L’algorithme recevra des informations sur un domaine (par exemple, toutes les
requêtes musicales formulées à l’ECI) et analysera ces données pour en faire une prédiction
utile (par exemple, suggérer de la musique qui pourrait plaire à l’utilisateur de cette même
ECI).
Les algorithmes du machine learning apprennent par l’entrainement. Un algorithme
reçoit d’abord des exemples dont les résultats sont connus, note la différence entre ses
prévisions et les résultats corrects, et s’accorde avec des pondérations pour affiner sa
précision de ses prédictions jusqu’à ce qu’elles soient optimisées. La caractéristique des
algorithmes en machine learning est que la qualité de leurs prédictions s’améliore avec
l’expérience : « Plus nous leurs fournissons de données (jusqu’à un certain point), meilleurs
sont les moteurs de prédiction17
».
Ainsi, le fonctionnement18
concret de l’ECI peut être schématisé comme ceci : il est
tout d’abord nécessaire qu’elle soit allumée, branchée sur secteur et connectée à internet.
Lorsque c’est le cas, l’utilisateur prononce un mot prédéfini, un wake word, qui lance
l’assistant vocal. Pour les plus connues, il s’agit des fameux « Ok Google » ou « Alexa ».
La requête formulée à la suite du wake work est envoyée aux serveurs de l’ECI, lesquels se
trouvent aux États-Unis dans la majorité des cas. L’étape suivante est le speech to text :
l’intelligence artificielle transcrit la commande vocale en une demande écrite, qui va elle-
15
« Introduction au machine learning – Partie 1/3 – Histoire » (17 avril 2019), en ligne : Blog Clevy <https://blog.clevy.io/nlp-et-ia/introduction-machine-learning-1-3-histoire/> (consulté le 24 juin 2019). 16
Ludovic Louis, « Machine learning et deep learning, comment ça marche ? » (22 décembre 2016), en ligne : Siècle Digital <https://siecledigital.fr/2016/12/22/machine-learning-deep-learning-ca-marche/> (consulté le 24 juin 2019). 17
Ibid. 18
CNIL, supra note 12.
6
même subir un traitement statistique permettant d’en identifier les mots-clés. L’assistant
contenu dans l’enceinte répond ensuite avec une proposition qu’il sera en mesure de
générer grâce au machine learning. Il s’agit de l’opération inverse, le text to speech, qui
nécessite que la machine transforme une information en son à l’aide d’un synthétiseur
vocal.
Les possibilités sont alors nombreuses : demander l’heure, le temps qu’il fera
demain, lancer de la musique, allumer la lumière dans le salon alors que l’on se trouve dans
la cuisine, faire une recherche internet… L’ECI agit comme un véritable « couteau suisse
numérique19
». L’idée est de faciliter la vie de l’utilisateur en mettant à sa disposition un
panel de fonctionnalités de plus en plus important20
et en lui garantissant une expérience
personnalisée au maximum. Le tout, proposé à un coût relativement peu élevé puisque les
entrées de gamme, comme la Google Home Mini, sont vendues pour une cinquantaine
d’euros21
. Tout est donc fait pour que l’objet soit attractif et qu’un maximum de foyers s’en
équipe. C’est déjà particulièrement le cas aux États-Unis, où près d’un foyer sur quatre22
possède une ECI. La France comptait quant à elle plus de 1,7 million d’utilisateurs23
fin
2018.
Au vu de l’essor actuel de l’internet des objets24
, il est peu étonnant de constater que
de plus en plus d’entreprises se lancent sur le marché. En effet, début avril 2019, plus d’une
trentaine de modèles étaient disponibles sur le marché25
. Les enceintes connectées les plus
19
Santolaria, supra note 2. 20
Scott Huffman, « Here’s how the Google Assistant became more helpful in 2018 » (1 janvier 2019), en ligne : Google <https://www.blog.google/products/assistant/heres-how-google-assistant-became-more-helpful-2018/> (consulté le 24 juin 2019). 21
Google Home Mini, en ligne : <https://store.google.com/fr/product/google_home_mini>. 22
Nielsen, « (Smart) Speaking My Language: Despite Their Vast Capabilities, Smart Speakers Are All About the Music » (27 septembre 2018), en ligne : <http://www.nielsen.com/us/en/insights/news/2018/smart-speaking-my-language-despite-their-vast-capabilities-smart-speakers-all-about-the-music> (consulté le 21 juin 2019). 23
Médiamétrie, Étude sur les enceintes à commande vocale, Levallois, 2018 à la p 1. 24
Ministère de l’économie et des finances, supra note 6. 25
Hadopi et CSA, Assistants vocaux et enceintes connectées, l’impact de la voix sur l’offre et les usages culturels et médias, 2019 à la p 32.
7
connues et utilisées restent cependant Google Home (Google) et Echo (Amazon), qui ont
capté plus de 60% des ventes mondiales d’ECI au dernier trimestre26
.
Pour autant, quel que soit son modèle ou son fabricant, l’ECI reste une source de
collecte et de traitements massifs de données personnelles.
2. L’enceinte connectée « intelligente », une source de collecte et de traitements massifs de données personnelles
Dans nos sociétés ultra-connectées, les services sont de plus en plus gourmands en
renseignements, faisant des individus des générateurs de données presque infinis, souvent à
leurs dépens. À de nombreux égards, les enceintes connectées illustrent bien les enjeux de
vie privée et de protection de données personnelles qui découlent du monde numérique.
Selon un sondage Mediartis datant de mai 201927
, 82 % des Français ignorent que
leur voix constitue une donnée personnelle à part entière, comme leur adresse, leur
empreinte digitale ou leur numéro de téléphone. Les résultats de cette étude sont tout à fait
significatifs du manque de connaissance qu’ont les individus vis-à-vis des questions de
données à caractère personnel.
Lorsqu’on se penche sur la définition d’un renseignement personnel en droit de
l’Union européenne, en droit canadien et en droit québécois, une première lecture des
articles qui leur sont consacrés pourrait laisser penser que les définitions proposées sont
sensiblement les mêmes. Or, ce n’est pas le cas, il existe des nuances parlantes entre ces
différentes législations. En effet, l’article 2(1) de la Loi sur la protection des
renseignements personnels et les documents électroniques28
(ci-après « LPRPDE » ou « Loi
26
Ben Kinsella, « Amazon Increases Global Smart Speaker Sales Share in Q4 2018, While Google’s Rise Narrows the Gap and Apple Declines » (20 février 2019), en ligne : Voicebot <https://voicebot.ai/2019/02/20/amazon-increases-global-smart-speaker-sales-share-in-q4-2018-while-googles-rise-narrows-the-gap-and-apple-declines/> (consulté le 24 juin 2019). 27
Nina Gosse et Louis de Gaulle, « Non, notre voix n’est pas libre de droits ! » (17 juin 2019), en ligne : <https://www.lesechos.fr/idees-debats/cercle/non-notre-voix-nest-pas-libre-de-droits-1029775> (consulté le 19 juin 2019). 28
Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000.
8
fédérale ») définit un renseignement personnel comme « tout renseignement concernant un
individu identifiable » alors que l’article 2 de la Loi québécoise sur la protection des
renseignements personnels dans le secteur privé29
(ci-après « LPRPSP » ou « Loi
québécoise ») dispose qu’ « est un renseignement personnel, tout renseignement qui
concerne une personne physique et permet de l’identifier ». Cette dernière définition est
plus protectrice que la définition offerte par le droit fédéral puisqu’elle permet d’inclure
une variété plus importante de renseignements. En effet, l’utilisation du « permet de
l’identifier » dans la LPRPSP induit l’idée que ne sont pas concernée que les
renseignements sur une personne déterminée mais également des éléments qui pourrait
permettre de l’identifier. Ainsi, un plus grand nombre de renseignements se retrouvent
concernés par cette définition. En ce qui concerne la définition de l’article 4 paragraphe 1er
du RGPD, elle est particulièrement longue par rapport à ses homologues québécois et
canadien et apporte un certain nombre de précisions sur ce qu’est une « personne physique
identifiable ».
« Données à caractère personnel », toute information se rapportant à une
personne physique identifiée ou identifiable (ci-après dénommée «personne
concernée»); est réputée être une «personne physique identifiable» une
personne physique qui peut être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation, un identifiant en ligne, ou à un
ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou sociale30
;
De telles précisions permettent d’inclure un grand nombre d’informations dans la
catégorie « données à caractère personnel » et donc, de faire bénéficier de la protection
offerte par le RGPD aux données personnelles à un maximum d’informations.
L’enceinte connectée, du fait de sa nature, collecte un nombre extrêmement
conséquent de renseignements personnels. En effet, l’appareil (ou plutôt ses serveurs situés
29
Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-391. 30
Art. 4 para. 1er, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
9
aux États-Unis dans la plupart des cas) peut être amené à conserver un historique des
requêtes transcrites, censées permettre à l’éditeur d’adapter les fonctionnalités du service. Il
conserve également un historique des requêtes audio, supposées permettre à l’éditeur
d’améliorer ses technologies de traitement de la parole. Enfin, il sauvegarde les
métadonnées associées à la requête comme par exemple, la date, l’heure, le nom du
compte… Cet historique est censé être consultable par l’utilisateur via l’application reliée à
son enceinte, mais l’expérience31
nous prouve qu’il n’est pas si évident à dénicher. Il nous
est également permis de douter de la conscience qu’ont les individus de cette sauvegarde
mais surtout de la quantité de données qui s’y trouvent.
Cette énorme quantité de renseignements est inhérente à la confrontation à
l’intelligence artificielle. Nous l’avons vu dans nos développements précédents,
l’intelligence artificielle tente de « simuler l’intelligence32
» humaine. Alexandra
Bensamoun et Grégoire rappellent à juste titre que « dans ce cadre, le robot intelligent sera
amené à se nourrir de données à caractère personnel, voire de données sensibles33
». Ils
poursuivent en expliquant que « la collecte massive et le traitement de données sont de
l'essence même des robots intelligents : l'apprentissage est à ce prix […], il nécessite une
grande masse de données34
». Avec le développement croissant de l’intelligence artificielle
et des nouvelles technologies, cette collecte massive de donnée s’inscrit plus largement
dans un phénomène de société Big Data. Ceci n’est pas à prendre à la légère puisque,
« apprendre de l'humain, c'est donc d'abord apprendre l'humain. Dans ce cadre, le robot
intelligent sera amené à se nourrir de données à caractère personnel, voire de données
sensibles35
».
Il semble ainsi nécessaire que le droit s’intéresse à la protection des données
personnelles. Malgré leurs différences, les lois existantes en la matière poursuivent pourtant
31
Afin de comprendre au mieux le fonctionnement des ECI, nous avons fait l’acquisition d’une enceinte Google Home. Les tests effectués sur cette dernière nous permettent d’illustrer de façon concrète nos développements. 32
Castets-Renard, supra note 14 à la p 33. 33
Alexandra Bensamoun et Grégoire Loiseau, « L’intégration de l’intelligence artificielle dans certains droits spéciaux » [2017] Dalloz IP/IT à la p 295. 34
Ibid. 35
Ibid.
10
un objectif commun : la conciliation de la protection des individus, d’une part, et le soutien
de l’innovation, d’autre part.
3. Le RPGD, la LPRPDE et la LPRPSP, trois législations poursuivant un même objectif de conciliation des intérêts
Dans un souci de délimitation du sujet, il a été choisi de se concentrer sur le droit
canadien et québécois applicables en la matière, à savoir la Loi sur la protection des
renseignements personnels et les documents électroniques36
et la Loi québécoise sur la
protection des renseignements personnels dans le secteur privé37
, et sur le Règlement
européen sur la protection des données38
. Nous reviendrons sur le choix de ces législations
dans la partie de nos développements consacrée au cadre théorique.
La loi québécoise sur la protection des renseignements personnels dans le secteur
privé est entrée en vigueur en 1994. Cette dernière fut créée dans le but d’encadrer la
collecte de renseignements effectuée dans le cadre des activités d’une entreprise. À cet
effet, elle a pour but d’établir, pour l’exercice des droits conférés par les articles 35 à 40 du
Code civil, des règles particulières à l’égard des renseignements personnels sur autrui
qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de
l’exploitation d’une entreprise (1525 Code civil). Il s’agit de la première législation de ce
type en Amérique du Nord.
Les règles établies par la loi visent à établir un équilibre entre le droit d’un individu
au respect de sa vie privée, droit fondamental protégé par l’article 5 de la Charte des droits
et libertés de la personne39
, et les besoins d’une entreprise en matière de collecte,
d’utilisation et de communication de renseignements personnels dans le cadre de l’exercice
de ses activités.
36
Loi sur la protection des renseignements personnels et les documents électroniques, supra note 28. 37
Loi sur la protection des renseignements personnels dans le secteur privé, supra note 29. 38
Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 10. 39
Art. 5, Charte des droits et libertés de la personne, C‑12.
11
C’est le 13 avril 2000, quelques années plus tard, que la LPRPDE est entrée en
vigueur. À cette époque, le but poursuivi par le législateur canadien était d'augmenter la
confiance des consommateurs envers le commerce électronique sans pour autant brider
l’innovation. Cette loi, dont le respect des dispositions est assuré par le Commissariat à la
protection de la vie privée du Canada (ci-après CPVP), visait également à rassurer l'Union
européenne en établissant une loi canadienne sur les renseignements personnels
suffisamment forte pour protéger les données obtenues de citoyens européens.
Au Canada, la reconnaissance du droit à la protection des renseignements
personnels en tant que droit fondamental est le fruit d’un certain nombre de décisions
juridiques. Dans la Charte canadienne, l’article 840
dispose que « Chacun a droit à la
protection contre les fouilles, les perquisitions ou les saisies abusives »41
. Cet article
protège la vie privée informationnelle. Cette dernière s’article en fonction de la protection
du cœur biographique et non du concept de renseignements personnels. En effet, selon la
doctrine du cœur biographique, on s’intéresse à la valeur informationnelle du
renseignements pris de manière individuelle42
. Dans l’arrêt Hunter c. Southam43
, le juge
Dickson énonce que la Charte doit pouvoir être interprétée de manière à pouvoir assurer «
la protection constante des droits et libertés individuelles44
», de plus il est dégagé de
l’article 8 un droit général à la vie privée. En vertu d’une interprétation extensive de la
Charte, le juge Dikson dans cette décision, considèrera que l’article 8 sous-entend
l’existence d’un « droit de s’attendre « raisonnablement » à la protection de la vie privée
»56. En reprenant l’ouvrage Freedom and Privacy45
d’Alan F. Westin, la Cour Suprême
confirme cette position dans l’affaire R. c Dyment46
, en donnant une valeur fondamentale
au droit à la protection de la vie privée47
. Cependant, si le droit à la vie privée est reconnu
comme un droit fondamental au Canada, il n’est pas précisé que le droit à la protection des
renseignements personnels l’est également. Même si elle ne porte pas sur l’article 8 de la
40
Art. 8, Charte canadienne des droit et libértés, c 11, 1982. 41
Art. 8, Charte canadienne des droit et libértés, c. 11, 1982. 42
R. c. Plant, [1993] 3 RCS 281. 43
Hunter c Southam Inc, [1984] 2 RCS 145. 44
Ibid à la p 155. 45
Alan F Westin, Privacy and freedom, Londre, Bodley Head, 1970. 46
R c Dyment, [1988] 2 RCS 417 . 47
Ibid au para 17.
12
Charte canadienne, il faudra attendre l’affaire Dagg c Canada48
, pour que la divulgation de
renseignements personnels soit rapprochée de la vie privée. Dans cette affaire, la Cour
Suprême va définir la notion de vie privée comme : « l’expression de la personnalité ou de
l’identité unique d’une personne »49
. Dans son raisonnement, la Cour Suprême rattache
alors cette définition avec les objectifs des lois de protections des données personnelles50
.
La protection des renseignements personnels se retrouve alors liée à un droit fondamental,
le droit à la protection de la vie privée. C'est seulement en 2002 que le caractère
fondamental du droit à la protection des données personnelles est confirmé par la décision
Lavigne c. Canada51
.
Près de 15 ans plus tard, le RGPD est adopté le 14 avril 2016. Il est applicable en
Europe depuis le 25 mai 2018e et vient remplacer la directive européenne de 1995 sur la
protection des données à caractère personnel (95/46/CE)52
, par une législation unique, afin
de mettre fin à la fragmentation juridique qui pouvait exister entre les États membres.
L’ambition du nouveau Règlement va plus loin puisqu’elle entend faire face aux géants du
Net, notamment via son champ d’application. Le RGPD s’articule autour d’une logique de
responsabilisation de l’ensemble des acteurs traitant des données sur des personnes située
dans l’Union européenne. Ainsi, de très nombreux organismes doivent prendre en compte
les principes posés par cette règlementation protectrice. Pour autant, si les sanctions
dissuasives53
permettent d’augmenter l’efficacité de cette législation, on retrouve assez peu
de nouveautés par rapport à la directive de 1995.
Le législateur européen s’est retrouvé confronter à deux impératifs en apparence
contradictoires : encadrer l’activité des acteurs du numérique sans nuire à leur croissance.
D’un côté, le droit à la vie privée et à la protection des données sont deux droits
48
Dagg c Canada, [1997] 2 RCS 403 . 49
Ibid au para 65. 50
Ibid au para 67. 51
Lavigne c Canada, [2002] 2 RCS 773 au para 24. 52
CE, Directive (CE) 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [1995] JO L 281, 23 novembre 1995. 53
Art. 83, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
13
fondamentaux consacrés dans les traités de l’UE (à l’article 16 du TFUE54
) et dans la
Charte des droits fondamentaux de l’UE (à l’article 7 et 855
). De l’autre, l’Union
européenne voit dans les acteurs du numérique une source de richesse et d’attractivité ainsi
qu’un facteur d’intégration économique56
. Pour résumer, l’idée est donc de susciter la
confiance des utilisateurs dans ces nouveaux acteurs57
en imposant à ces derniers des
obligations, mais des obligations limitées, se concentrant sur l’essentiel. Ce double objet
ressort d’ailleurs dans le titre même du règlement : « relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel et à la libre circulation
de ces données58
».
Cette conciliation des intérêts n’a pas été de tout repos puisque l’adoption du RGPD
a fait l’objet de la plus violente campagne de lobbying américains jamais connue. Il aura
fallu quatre ans de discussion et près de 4 000 amendements (un taux record dans toute
l’histoire de la législation européenne) pour arriver au texte applicable aujourd’hui.
Ainsi, les différentes législations que nous étudierons ont parfois plus de vingt ans
d’écart, et pourtant, elles résultent toute de la conciliation de deux intérêts a priori
antagonistes. D’une part, la protection des données personnelles des individus, élevée au
rang de droit fondamental. D’autre part, la volonté de ne brider ni la croissance économique
ni l’innovation. C’est notamment la mise en balance de ces intérêts qui sera source de
difficultés dans ces régulations.
L’exploration du contexte de ce travail de recherche nous a permis de dégager un
triple constat. En premier lieu, les ECI constituent des objets connectés soumis à
l’intelligence artificielle (et plus précisément au machine learning). Elles sont également la
source d’une collecte massive de données personnelles. Enfin, malgré leurs différentes
54
Art. 16, Traité sur l’Union européenne et du traité sur le fonctionnement de l’Union européenne, 2012/C 326/01, 9 mai 2008. 55
Art. 7 et 8, Charte des droits fondamentaux de l’Union européenne, 2000/C 364/01, 18 décembre 2000. 56
Communication UE sur Les plateformes en ligne et le marché unique numérique - Perspectives et défis pour l’Europe, COM(2016)288. 57
Ibid à la p 5. 58
Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 10.
14
dates d’adoption, les lois régissant la protection des renseignements personnels applicables
aux ECI sont le fruit d’une conciliation entre la protection des individus et la volonté de
favoriser l’innovation. À partir de ces éléments, il semble pertinent de s’attarder sur les
problématiques liées à la protection des données personnelles des utilisateurs d’ECI.
ii. Les démarches méthodologiques pour répondre au problème de l’encadrement de la vie privée des utilisateurs d’enceintes connectées « intelligentes »
Les spécificités de l’ECI vont soulever des problématiques au regard des
législations actuelles de protection des données personnelles (1). Ceci nous permettra
d’établir les questions de recherche (générale et spécifiques) de notre développement
(2). À partir de notre cadre théorique (3), il nous sera possible de formuler des
hypothèses aux questions posées (4).
1. La problématisation du projet de recherche
L’ECI est particulièrement intéressante à étudier car ses utilisateurs lui accordent
une place de choix : une place dans leur intimité. La commande vocale la personnifie et lui
offre une place importante dans le foyer de l’utilisateur. En effet, il s’agit d’un mode de
commande de l’objet connecté particulièrement intuitif, qui lève un certain nombre de
barrières techniques. Il n’y a rien de plus facile que de poser directement une question, si
bien que tous les membres du foyer, du plus jeune au plus vieux, peuvent se prêter au jeu.
De plus, le fait que l’ECI réponde d’une certaine manière, fasse des blagues, s’adapte aux
spécificités culturelles de langage du pays de son utilisateur, etc., peut en faire un objet
sympathique ou du moins plus « humain ». De ce fait, il ne semble pas si étonnant que
certains foyers considèrent l’ECI comme un « nouveau membre » de la famille. Le rapport
entretenu avec l’enceinte peut donc s’avérer complexe.
Au-delà de la complexité technique (via l’intelligence artificielle qui la compose), la
complexité de l’ECI repose sur le fait que l’objet connecté n’a pas d’écran. On assiste à une
15
sorte d’opacité de la machine. Elle est certes reliée à une application, mais la plupart des
interactions se font uniquement par la voix. Ces interactions rendent l’ECI beaucoup plus
intégrée dans la vie de l’individu, puisqu’il n’y presque rien d’aussi intuitif que la parole.
De ce fait, l’ECI peut potentiellement collecter des données à tout moment. Les individus
ont-ils vraiment conscience de ça ? Ont-ils vraiment conscience que de la quantité
d’informations qui est transmise ? Ont-ils conscience de la sensibilité des informations qui
sont collectées ? Cette question ne touche pas que le propriétaire de l’ECI. Du fait de sa
spécificité, l’enceinte connectée s’immisce dans l’intime, au cœur de la vie de l’individu et
donc de son entourage par extension. Que penser du consentement de ces derniers ?
Le modèle actuel du consentement n’est pas forcément adéquat. Il l’est pour les
données personnelles collectées à destination de traitements simples comme les
renseignements donnés lors de la création d’une carte de fidélité. Dans ce genre de cas, le
traitement est compréhensible, transparent… Pourtant, dans le monde numérique, il n’est
pas rare que certaines compagnies collectent des données sur les habitudes des
consommateurs en lignes sans que ces dernières y aient réellement consenti, ni ne sachent
quelle utilisation sera faite de leurs données. A ce titre, il est permis de s’interroger sur
l’effectivité du mécanisme du consentement.
De plus, les données collectées par l’ECI sont potentiellement plus sensibles
puisqu’elles peuvent concerner à peu près tous les pans de la vie privée d’un individu. Mais
aussi parce qu’il y « un lien très étroit, consubstantiel, entre la donnée collectée par l’objet
connecté et l’intimité de la personne, car le service fourni repose sur la consubstantialité de
ce lien (je révèle ma localisation ou ma consommation électrique via l’objet connecté, car
le service qu’il me rend le présuppose)59
». En cela, un parallèle peut être fait avec les
réseaux sociaux : « l’exposition de soi est un élément intrinsèque du service obtenu. Ils ne
sont pas dissociables. Contrôler la divulgation des données à caractère personnel devient un
problème redoutable, bousculant la notion même de consentement60
».
59
Pucheral et al, supra note 8 à la p 95. 60
Ibid.
16
L’exposition de soi via les objets connectés et l’accumulation de données qu’ils
produisent diminuent fortement la capacité d’attention rationnelle des individus rendant très
problématique l’application d’une réglementation qui repose sur cette capacité61
. Selon
Célia Zolynski, cette capacité d’attention est en outre altérée par la mise en réseau
consubstantielle au fonctionnement des objets connectés dont beaucoup reposent sur des
communications machine to machine qui peuvent transformer un traitement routinier en un
traitement particulièrement sensible in fine.
Que peut-il se passer alors ? Doit-on craindre que les protections offertes par le
RGPD ne se voient affaiblies par les avancées incontrôlées de l’intelligence artificielle et
son usage démesuré (et imprévisible) des données personnelles ? Ou bien à l’inverse que la
technologie ne se bride pour rester dans les clous du RGPD ? En effet, l’appropriation des
données traitées de manière automatisée tend à devenir de plus en plus difficile à délimiter.
Le règlement peut-il évoluer suffisamment vite pour tenir compte de manière constructive
de l’extrême complexité, par exemple, d’un monde multi-Cloud dans lequel les décisions
de stockage et de routage sont prises par une intelligence artificielle62
?
Dans un thème sur la protection des données personnelles, l’ECI est un objet
d’étude de choix puisqu’il se trouve être une technologie récente qui inclue une intelligence
artificielle reposant sur le machine learning. L’apprentissage constant qui fait l’essence de
ce type d’intelligence artificielle perturbe le rapport au temps du cycle de vie des données
personnelles. En effet, au lieu d’un schéma simple (collecte, utilisation, atteinte de la
finalité, suppression/archivage), le rapport est distendu. Les données acquises au fur et à
mesure sont toujours potentiellement « nécessaires » pour faire évoluer la machine.
Pourtant, est-ce vraiment nécessaire de conserver toutes ces informations ? Il nous est
objectivement permis de dire que ce sont plutôt les derniers mois de notre vie qui
influencent nos choix. Pourtant la machine elle, les garde indéfiniment. Cela parait
dangereux. En cas de piratage ou de toute autre atteinte à la sécurité des données, cela
61
Pucheral et al, supra note 8. 62
Patrick Berdugo, « La législation peut-elle vraiment évoluer au même rythme que la technologie ? », Les Echos (27 juin 2018), en ligne : Les Echos <https://www.lesechos.fr/idees-debats/cercle/la-legislation-peut-elle-vraiment-evoluer-au-meme-rythme-que-la-technologie-133837> (consulté le 1 juin 2019).
17
voudrait dire qu’on pourrait retrouver toutes les informations sur l’individu depuis des
années. De plus, les finalités ont du mal à définies puisqu’elles ne correspondent plus
réellement à une fin « temporelle ». Du fait de sa spécificité, l’ECI altère donc les principes
de conservation des données et de limitations des données. Ces principes apparaissent
pourtant comme des remparts essentiels à la protection efficace de la vie privée.
L’étude de l’ECI est également pertinente en ce qu’elle collecte un nombre
extrêmement conséquent de données (nécessaires pour « nourrir » l’intelligence artificielle
contenue dans son assistant vocal). En effet, les algorithmes de Big Data portent la
promesse d’analyser ces nouveaux déluges de données et d’en extraire une connaissance
enfouie échappant à l’expertise humaine. Mais ils placent en porte-à-faux la réglementation
fondée à l’inverse sur des principes de limitation : minimisation des données collectées et
du traitement à l’égard de cette finalité (comme le profilage) …
Il apparaît nécessaire d'adapter la protection des droits et des libertés à cette
nouvelle donne. Le droit des données reste aujourd'hui largement centré sur l'individu alors
que ces systèmes fonctionnent le plus souvent à l'échelle des groupes d'individus, par
l'analyse d'une masse considérable d'informations afin d'identifier des tendances et des
comportements masqués.
Au regard de ces différentes problématiques, il semble donc intéressant d’étudier ce
que les différentes législations choisies offrent comme protection au cours du cycle de vie
de la donnée.
18
2. La question de recherche : les législations sont-elles adéquates pour protéger efficacement les utilisateurs d’enceintes connectées « intelligentes » ?
Les problèmes que nous venons de soulever ne relève pas uniquement de l’ordre
juridique ; ils sont également sociologiques et techniques. Afin de les synthétiser, nous
proposons la question de recherche générale suivante :
Le règlement européen sur la protection des données, la LPRDE et la loi
québécoise sont-ils suffisamment protecteurs de la vie privée des utilisateurs d’enceintes
connectées « intelligentes » ?
Notre raisonnement tentera d’offrir une réponse pertinente à cette question de
recherche. Pour ce faire, nous tenterons également de répondre à différentes questions de
recherches spécifiques :
1) La masse de données collectées et traitées par l’ECI affaiblit-elle certains principes
de protection des données personnelles ?
2) L’opacité de l’ECI a-t-elle une incidence sur la transparence et, de fait, le
consentement de l’individu utilisateur ?
3) L’intelligence artificielle basée sur le machine learning modifie-t-elle le rapport au
temps du cycle de vie de la donnée ?
19
3. Le cadre théorique
Afin de répondre à nos questions de recherche, il convient d’expliquer le choix des
législations étudiées ainsi que les rapports que ces dernières entretiennent les unes avec les
autres. L’objectif de notre étude est de savoir si les législations choisies sont efficaces quant
à la protection des renseignements personnels des utilisateurs d’ECI. En effet, même si les
règles sont différentes dans leur contenu, il s’agira de rechercher si elles convergent (ou
non) quant à leur résultat, à savoir, la protection des renseignements personnels.
Tout d’abord, le RGPD concerne tous les organismes, publics et privés, quels que
soient leur taille ou leurs secteurs d’activité63
. Le traitement de la donnée peut être mis en
œuvre par l’organisation elle-même, elle sera alors le responsable de traitement. Ce
traitement peut également être réalisé par un sous-traitant, pour le compte d’une autre
entreprise. Concernant le champ d’application territorial, d’après l’article 3 du RGPD, la
règlementation s’applique aux traitements de données personnelles effectuées par un
organisme établi sur le territoire de l’Union européenne, que le traitement ait lieu ou non
dans l’Union européenne. Ce critère est appelé critère de l’établissement. D’autre part, le
RGPD s’applique aux traitements effectués par un organisme dont l’activité cible des
personnes qui se trouvent sur le territoire de l’Union européenne. Les organismes sont donc
concernés dès lors que le traitement vise à offre des biens ou des services à de telles
personnes. On parle alors de critère de ciblage.
Tout cela participe à son rayonnement, si bien que le RGPD est devenu un
instrument important au-delà de l’Europe, et notamment au Canada. Jennifer Stoddart,
ancienne commissaire à la vie privée, va même jusqu’à qualifier le RGPD de « norme
internationale de fait64
».
63
Art. 2, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 64
Solène Navet, « Loi + vie privée dans 10, 20, 30 ans: une conférence qui met en avant les différences culturelles Canada / Europe » (7 novembre 2018), en ligne : Droitdu.net <https://droitdu.net/2018/11/loi-
20
Pourtant, selon certains65
, le RGPD n’a pas la capacité d’appréhender les défis des
technologiques qui attendent nos sociétés et il ne serait pas adapté aux avancées
technologiques comme le Big Data ou les intelligences artificielles qui utilisent le machine
learning. C’est pourtant exactement ce qui intéresse les ECI qui, nous le rappelons, sont
une technologie dont le fonctionnement même est une intelligence artificielle qui utilise le
machine learning, notamment pour répondre au mieux aux demandes de l’utilisateur.
Concernant maintenant la LRPPDE, dans son dernier rapport66
, le Comité
permanent de l’accès à l’information, de la protection des renseignements personnels et de
l’éthique (ci-après Comité ETHI), chargé d’examiner la loi, prône une réforme de cette
dernière afin de la rendre plus protectrice de la vie privée des individus. Cette loi fédérale
datant du début des années 2000 nécessite à de nombreux égards d’être modernisée, de
prendre en considération les nouveaux enjeux liés au monde numérique et de renforcer la
protection des renseignements personnels des individus. En effet, au moment de l’adoption
de la LPRPDE, les interactions avec les entreprises étaient généralement prévisibles,
transparentes et bilatérales. Les consommateurs comprenaient bien pourquoi l’entreprise
avec laquelle ils faisaient affaires avait besoin de certains renseignements personnels.
Aujourd’hui, il est bien plus difficile de savoir avec certitude qui traite nos données et,
surtout, à quelles fins.
Il est nécessaire de noter qu’en vertu de l’alinéa 26(2)b) de la LPRPDE, le
gouverneur en conseil peut exclure une organisation, une catégorie d’organisations, une
activité ou une catégorie d’activités de l’application de ses dispositions à l’égard de la
collecte, de l’utilisation ou de la communication de renseignements personnels qui
s’effectuent à l’intérieur d’une province qui a adopté une loi considérée comme
vie-privee-dans-10-20-30-ans-une-conference-qui-met-en-avant-les-differences-culturelles-canada-europe/> (consulté le 23 juin 2019). 65
Denise Lebeau-Marianna et Yaël Hirsh, « Intelligence artificielle : quel encadrement ? » (7 juin 2019), en ligne : Les Echos Executives <https://business.lesechos.fr/directions-juridiques/partenaire/partenaire-2238-intelligence-artificielle-quel-encadrement-329798.php#Xtor=AD-6000> (consulté le 2 juillet 2019). 66
Comité permanent de l’accès à l’information, de la protection des renseignements personnels et l’éthique, Vers la protection de la vie privée dès la conception : examen sur la Loi sur la protection des renseignements personnels et les documents électroniques, Ottawa, Chambre des Communes, 2018.
21
essentiellement similaire à la LPRPDE. C’est le cas de la Loi québécoise sur la protection
des renseignements personnels dans le secteur privé.
Au Canada, les lois sur la protection des données sont figées depuis un certain
temps. Le Canada est un pays commerçant qui a cependant besoin du marché international
et notamment européen67
. Vincent Gautrais résume la situation comme suit : les européens
se méfient du sort de leurs données quand elles sont dans les mains d’acteurs privés alors
que les Nord-Américains se soucient davantage de l’utilisation de ces données par les
institutions publiques. À partir de ce constat, il est clair que les législations ne seront pas
construites de la même façon de chaque côté de la planète68
. Culturellement plus proche des
États-Unis, la protection accordée aux données personnelles différente au Canada et en
Europe. Il faut aussi noter à quel point l’économie canadienne est très intégré dans
l’économie américaine. A côté de cela, le droit québécois est essentiellement francophone
et civiliste, tout en conservant des spécificités du droit canadien. Les différentes
conceptions juridiques de ces législations en font donc des objets d’étude particulièrement
intéressants, permettant d’apporter différentes nuances à notre réflexion.
Au-delà de ces conceptions juridiques, le Canada a besoin du marché européen et
pour ce faire, d’un rapprochement de sa législation avec le RGPD, notamment en ce qui
concerne les transferts ultérieurs de données. En effet, le RGPD encadre les transferts de
données hors de l’Union européenne en y consacrant tout son chapitre V. En effet, pour le
législateur européen, les principes permettant d’assurer une protection maximale des
renseignements personnels doivent être respectés à tout moment et ce même si les données
sortent de l’Union européenne. L’idée est notamment d’autoriser les responsables de
traitement et les sous-traitants à transférer les données personnelles hors de l’Union
européenne ou de l’Espace économique européen à la condition qu’un niveau de protection
équivalent soit assuré aux données. On parle alors de transfert fondé sur une décision
67
Navet, supra note 63. 68
Chair LR Wilson, supra note 5.
22
d’adéquation. À l’heure actuelle, le Canada (tout comme les États-Unis) n’est qu’en
adéquation partielle puisque celle-ci est limitée au secteur commercial69
.
Cette qualification d’adéquation partielle du Canada est antérieure à l’entrée en
vigueur du RGPD. Il semble donc évident qu’un nouveau contrôle de l’adéquation soit à
prévoir dans les années à venir. À l’heure actuelle, si un tel examen avait lieu au Canada, il
nous est permis de douter que la décision conclurait à une équivalence essentielle entre la
protection offerte par la législation canadienne et celle du RGPD.
Dans ce contexte, il n’est donc pas étonnant que le dernier rapport du Comité
ETHI70
consacre près de la moitié de ses recommandations à des solutions visant à rendre
la protection des renseignements personnels offerte par LPRPDE essentiellement
équivalente à celle du RGPD. En effet, on retrouve une réelle volonté du gouvernement
canadien de travailler main dans la main avec l’Union européenne pour dégager les critères
qui permettent une adéquation la LPRPDE au regard du RGPD (recommandations 17 et
18). Il est utile de noter que la loi québécoise se trouve nécessairement impliqué dans ce
processus, dans la mesure où, pour continuer à exister, elle doit être considérée comme
essentiellement similaire à la LPRPDE. On se retrouve alors avec une sorte de phénomène
en cascade : la LPRPDE doit être équivalente au RGPD et la loi québécoise doit être
équivalente à la LPRPDE. L’imbrication certaine de ces législations en fait donc un choix
d’étude pertinent.
Enfin, dans un souci de délimitation du sujet, nous nous concentrerons plus
particulièrement sur l’étude des deux ECI les plus connues et utilisées : Google Home et
Echo d’Amazon. L’étude de leurs fonctionnements, de leurs conditions générales
d’utilisation ainsi que de leurs politiques de confidentialité nous permettront d’étayer notre
propos en nous basant sur des informations concrètes.
69
CE, Décision de la Commission (2002/2/CE) constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la loi canadienne sur la protection des renseignements personnels et les documents électroniques, C(2001) 4539, 20 décembre 2001. 70
Comité permanent de l’accès à l’information, de la protection des renseignements personnels et l’éthique, supra note 65.
23
Amazon Echo fût la première enceinte apparue sur le marché mondial. Elle est
disponible aux États-Unis depuis novembre 201471
. Google Home, quant à elle, est
disponible depuis novembre 201672
. L’enceinte Google Home est conçue comme un outil
assez généraliste, qui sert de relai pour commander un panel d’objets connectés
domestiques comme les éclairages, la télévision, les prises électriques… Cette stratégie
axée sur la polyvalence et le contrôle de plusieurs équipements résulte du modèle
économique global de Google, lequel est centré sur la collecte de données (notamment
personnelles)73
. Le modèle économique d’Amazon repose quant à lui davantage sur le
commerce en ligne74
. De ce fait, l’offre proposée sur les enceintes connectées Echo est
davantage accès sur le divertissement. Pour autant, la collecte de données via les terminaux
équipés d’Alexa (comme Echo) demeure un enjeu majeur pour Amazon, qui occupe une
place importante sur le marché de la publicité en ligne. Il semble pertinent de relever les
différences de stratégie et de modèle économique de ces deux entreprises (et donc de ces
deux ECI) puisqu’elles se reflèteront parfois dans le traitement et la protection qui sont
accordés aux données personnelles collectées par l’ECI.
Ces différents éléments, constitutifs de notre cadre théorique, offrent une base de
réflexion nécessaire pour mener à bien notre étude et notamment pour répondre à notre
question de recherche. Pour ce faire, nous émettrons d’abord une hypothèse de travail.
71
Hadopi et CSA, supra note 25 à la p 6. 72
Ibid. 73
Ibid à la p 8. 74
Ibid.
24
4. Hypothèse de recherche
En réponse anticipée à notre question de recherche, nous posons l’hypothèse
générale suivante : Même si les textes étudiés ont près de vingt ans d’écart, ils sont
finalement assez équivalents. En effet, le RGPD n’apporte pas tant de nouveautés à la
protection des renseignements personnels. Les textes choisis sont pertinents et efficaces
pour la plupart des traitements de donnée, à savoir les traitements prévisibles, bilatéraux,
etc. A ce titre, ils ne doivent d’ailleurs pas être remis en question. En revanche, ils
présentent des lacunes lorsqu’il s’agit du traitement par des technologies numériques plus
poussées telles que les enceintes connectées. Ces insuffisances sont dues à l’intelligence
artificielle, au traitement de données personnelles en masse généré de fait par l’objet
connecté mais également à l’opacité de la machine.
A partir de cette hypothèse générale, nous pouvons également offrir des réponses
anticipées à nos questions de recherche spécifiques :
1) Il semblerait que les masses de données collectées par l’ECI affaiblissent certains
principes de protection des données personnelles. En effet, ces principes ont été
pensés selon des traitements et des collectes de données beaucoup moins
importants. Les principes se trouvent ainsi ébranlés en ce qu’ils sont censés régir
une masse qui les dépasse. Les principes qui se retrouvent particulièrement touchés
sont le principe de minimisation des données et les règles relatives au profilage.
2) L’ECI, dans sa conception même, semble être extrêmement opaque. Cette opacité se
ressent tant dans sa manière de fournir les informations à l’utilisateur que dans la
complexité des algorithmes qui la composent. De ce fait, l’individu qui utilise une
ECI se retrouve avec une information et une compréhension limitée de la machine
auquel il est pourtant « obligé » de consentir s’il veut utiliser les services proposés.
En ce sens, l’opacité inhérente à l’ECI met à mal les principes de transparence et de
consentement pourtant nécessaire à une bonne protection des renseignements
personnels des individus.
25
3) Il semble que l’intelligence artificielle basée sur le maching learning modifie le
rapport au temps du cycle de vie de la donnée. En effet, traitement algorithmique est
incertain et peu compréhensible, ce qui rend la définition d’une finalité complexe.
La définition d’une finalité est pourtant essentielle à une bonne protection des
renseignements personnels puisque c’est de cette finalité que découle tout un
ensemble de principe. C’est le cas du principe de conservation des données qui se
voit alors complètement bouleversé voire remis en cause.
Afin de tester ces différentes hypothèses, notre étude sera axée autour de deux
grands chapitres. Le premier tentera de démontrer que le RGPD, la LPRPDE et la
LPRPSP offrent une bonne base de protection des données personnelles (I). A
l’intérieur de ce chapitre, le développement se subdivisera en trois parties : les principes
de protection applicables tout au long du cycle de vie de la données (I.A), ceux
applicable en amont de la collecte (I.B) et enfin ceux applicable en aval (I.C).
Le second chapitre de notre développement sera consacré à la démonstration des
insuffisances des législations étudiées au regard de l’enceinte connectée « intelligente »
(II). Une fois encore, notre étude se subdivisera en trois parties : les insuffisances liées à
la grande quantité de données collectée (II.A), les insuffisances liées à l’opacité de la
machine (II.B) pour terminer par les insuffisances liées au rapport au temps (II.C).
26
Chapitre 1 – Une base intéressante offerte par le RGPD, le droit canadien et le droit québécois en matière de protection des renseignements personnels
Le RGPD, la LPRPDE et la LPRPSP sont trois législations dont les modes
fonctionnements diffèrent. Pourtant, on retrouve chez chacune d’elles des principes de
protection des renseignements personnels similaires qui s’appliquent tout au long du cycle
de vie de la donnée (A), en amont de la collecte (B), mais aussi en aval de celle-ci (C).
A. Des principes de protection applicables tout au long du cycle de vie de la donnée
Le droit des données personnelles compte deux principes de protection particulièrement
importants. L’une des raisons de cette importance réside dans le fait que plusieurs autres
principes de protection découlent de leur application. Du fait de leur importance, ces
principes sont applicables tout au long du cycle de vie de la donnée. Il s’agit du principe de
limitation des finalités et du principe de transparence.
1. Le principe de limitation des finalités
Malgré leurs différentes interprétations du principe de limitation des finalités par les
législations étudiées, la raison d’être du principe de limitation des finalités reste la
protection des droits fondamentaux.
Les différentes interpretations du principe de limitation des finalités par la loi québécoise,
la loi canadienne et le RGPD
La finalité indique à quoi vont servir les données collectées. Il s’agit des objectifs qui
sont poursuivis par le traitement, et non des opérations techniques ou aux fonctionnalités
27
des logiciels. Un traitement peut avoir plusieurs finalités75
. Pour résumer, la notion de
finalité répond à la question : « à quoi sert le traitement ? ».
Selon Florence Gaullier76
, principe de limitation des finalités (communément appelé
principe de finalité) est la « pierre angulaire » du droit des données personnelles. En effet,
un grand nombre des principes de protection découlent de son existence et le non-respect de
ce principe entraîne de manière quasi-automatique le non-respect des autres principes.
C’est à l’aune des finalités du traitement (que le principe de finalité impose au
responsable du traitement de déterminer) que les autres notions, principes et obligations de
la législation doivent s’analyser77
. Ce seront ces finalités qui seront le « point de référence78
» à partir duquel il conviendra de vérifier la licéité du traitement, l’adéquation, l’exactitude
et la pertinence des données, le respect des principes de transparence ou de minimisation
des données, la durée de conservation des données, etc.
Pour cette raison, le principe de finalité chapeaute le traitement avant même la collecte
et jusqu’à (l’éventuelle) destruction des données. En 1980, le principe de finalité apparait
explicitement dans les lignes directrices régissant la protection de la vie privée de
l’OCDE79
. Ce texte est d’ailleurs l’une des sources d’inspiration de la rédaction du RGPD.
En outre, il n’est pas étonnant qu’on retrouve 101 occurrences du terme « finalité » dans le
RGPD80
.
75
Art. 6.a, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 76
Florence Gaullier, « Le principe de finalité dans le RGPD : beaucoup d’ancien et un peu de nouveau » [2018] 4 Communication - Commerce électronique 9 à la p 1. 77
Ibid à la p 2. 78
Anne Debet, Jean Massot et Nathalie Métallinos, Informatique et libertés : la protection des données à caractère personnel en droit français et européen, n°10, Issy-les-Moulineaux, Lextenso, 2015, n
o 697.
79 Art. 9 et 10, OCDE, Les Lignes directrices sur la protection de la vie privée et les flux transfrontières de
données de caractère personnel, 23 septembre 1980. 80
Gaullier, supra note 76 à la p 2.
28
Le RGPD reconnait une double portée à ce principe puisque d’une part les données
personnelles doivent répondre au principe de détermination ou spécification des finalités81
,
mais aussi à la compatibilité des traitements ultérieurs82
.
En effet, l’article 5, b) du RGPD83
dispose que les données peuvent être collectées que
« pour des finalités déterminées, explicites et légitimes ». Ceci signifie que la finalité ne
doit être ni trop large ni trop détaillée. Elle ne doit pas être formulée de manière ambigüe
ou équivoque, et doit permettre aux personnes concernées d’identifier les objectifs réels du
traitement et d’en comprendre les conséquences84
. Le responsable de traitement doit donc
porter une attention accrue à la finalité ou aux finalités pour lesquelles il collecte les
données à caractère personnel. Selon le G2985
, il ne saurait collecter des données qui ne
seraient pas nécessaires, pertinentes ou appropriées au regard des finalités poursuivies. De
ce fait, la formulation tient une place particulièrement importante, puisque l’exigence
d’identification pourrait perdre son intérêt. En effet, une finalité exprimée de manière
équivoque ou vague ne peut pas permettre à la personne concernée de s’opposer
efficacement à ce que le responsable traite les données à des fins qu’elle n’envisageait pas
initialement86
. Ainsi, dans le cas de l’ECI, des finalités formulées comme ceci ne serait pas
suffisamment déterminées : « amélioration de l’expérience utilisateur », « offre de publicité
personnalisée », « offrir des services personnalisés » …
D’autre part, on retrouve le principe de la compatibilité des traitements ultérieurs87
.
L’article 5 du RGPD dispose, comme la directive 95/46/CE, que les données ne doivent pas
« être traitées ultérieurement d’une manière incompatible » avec les finalités initiales
déterminées lors de la collecte. La raison d’être de ce principe est à la fois de protéger les
81
Gaullier, supra note 76. 82
Ibid à la p 1. 83
Art. 5, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 84
Benjamin Bénézeth, dir, Protection des données personnelles, coll Dossiers pratiques, Levallois, Éditions Francis Lefebvre, 2018 à la p 33. 85
Groupe de travail « article 29 » sur la protection des données, Lignes directrices sur la limitation de la finalité, WP203, 2 avril 2013 à la p 15. 86
Bénézeth, supra note 84 à la p 33. 87
Gaullier, supra note 76 à la p 1.
29
individus contre des détournements de finalité des traitements et leur permettre de
conserver un contrôle sur leurs données, mais également d’offrir une certaine flexibilité aux
responsables de traitement en leur permettant d’effectuer des opérations de traitements au-
delà de la collecte des données initiale, dès lors que ces traitements sont compatibles avec
la finalité initiale. C’est-à-dire qu’ils présentent notamment un lien suffisant avec la finalité
initiale de la collecte88
. Ceci est un bon exemple de la mise en balance des intérêts dans la
rédaction du RGPD : d’un côté, la protection des individus, de l’autre la volonté de ne pas
trop brider les acteurs du numérique.
Selon le G29, la notion de traitement ultérieur est une notion technique qui renvoie à
toute opération sur les données qui est subséquente à la collecte des données, tel que le
stockage des données89
. Il peut s’agir d’un usage subséquent, secondaire ou nouveau, et ce,
même si le traitement est effectué dans le cadre de la finalité initiale. En revanche le test de
compatibilité qu’impose l’article 5 du RGPD ne sera nécessaire que si le traitement
ultérieur répond à une finalité différente de la finalité initialement prévue lors de la collecte.
Ainsi, des finalités différentes ne sont pas nécessairement incompatibles.
Compte tenu des divergences d’interprétation des différents pays de l’Union
européenne de la notion de compatibilité dans le cadre de la directive 95/46/CE, le G29 a
adopté un avis en 2013, dans lequel il a précisé les critères permettant d’identifier si un
traitement ultérieur est compatible ou non avec la finalité ayant présidé lors de la collecte
des données traitées90
.
Cependant, le principe de finalité au sens où l’entend le RGPD, se retrouve disséminé
dans deux principes de traitement de l’information en droit canadien. En effet, dans la
LPRPDE, le deuxième principe relatif à l’équité dans le traitement de l’information est la
détermination des fins de la collecte de renseignement. Il correspond au principe qui se
rapproche le plus du principe spécification ou détermination des finalités puisqu’il se
définit comme suit : « Les fins auxquelles des renseignements personnels sont recueillis
88
Lignes directrices sur la limitation de la finalité, supra note 85 aux pp 3, 4 et 11. 89
Ibid à la p 21. 90
Gaullier, supra note 76 à la p 5.
30
doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci91
».
Ce principe est complété par l’article 5(3) de la loi qui dispose que « L’organisation ne peut
recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une
personne raisonnable estimerait acceptables dans les circonstances » ainsi que par le
principe de transparence énoncé dans l’annexe 192
. La protection offerte est relativement
équivalente à celle du RGPD, même si, dans les faits, une formulation plus vague de la
finalité peut être acceptable. Ceci induit que le responsable de traitement peut collecter un
nombre plus important de données personnelles.
La compatibilité des traitements ultérieurs entendue par le RGPD se retrouve alors au
cinquième principe relatif à l’équité dans le traitement de l’information. Il s’agit de la
limitation de l’utilisation, de la communication et de la conservation. En vertu de ce
principe, « les renseignements personnels ne doivent pas être utilisés ou communiqués à
des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée
n’y consente ou que la loi ne l’exige93
». Ici, le principe est plus strict que ce que qui est
imposé par le RGPD puisque la possibilité n’est pas offerte au responsable du traitement
d’utiliser les données pour d’autres fins que celles prévues. Ceci contrebalance le fait que le
responsable de traitement puisse collecter un nombre plus important de renseignements
personnels.
Dans les faits, donc, le résultat et la protection accordée aux individus sur leurs données
personnels sont assez similaires à ceux du principe de limitation des finalités tel qu’il est
dégagé dans le RGPD. De plus, encore une fois, on retrouve l’idée que le principe de
finalité chapeaute l’intégralité du traitement de la donnée, pas seulement avant la collecté.
La LPRPSP quant à elle prévoit qu’une entreprise qui, en raison d’un intérêt sérieux et
légitime peut constituer un dossier sur autrui, doit, lorsqu’elle constitue le dossier, en
91
Annexe 1, art. 4.2, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 92
Annexe 1, art. 4.8, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 93
Annexe 1, art. 4.5, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000.
31
inscrire l’objet94
. Tout comme pour le droit canadien et le RGPD, il découle de ce principe
tout une série d’obligation concernant la collecte, l’utilisation, la communication et la
conservation des renseignements personnels qui se rapportent à ce « dossier ». Selon les
chercheurs du Centre de recherche en droit public de l’Université de Montréal, cette notion
de dossier est suffisant englobante pour pouvoir s’interpréter de façon extensive et
s’appliquer au numérique95
.
La rédaction actuelle de l’article 4 de la loi québécoise est la suivante :
Toute personne qui exploite une entreprise et qui, en raison d’un intérêt
sérieux et légitime, peut constituer un dossier sur autrui doit, lorsqu’elle
constitue le dossier, inscrire son objet. Cette inscription fait partie du dossier.
Si le fond est bon, la Commission d’accès à l’information, dans son rapport
quinquennal de 2016, invite cependant à ce que la notion de finalité soit plus explicitement
mentionnée et suggère la rédaction suivante pour remplacer l’actuelle : « Toute personne
qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, recueille des
renseignements personnels, doit, au préalable, déterminer les finalités poursuivies par cette
collecte96
». Pour la Commission, cette notion de finalité devrait également s’intégrer à
d’autres articles97
(5, 7, 8, 11, 12 13 et 27) afin de donner à ce principe plus de force dans la
loi. Cette obligation semble cruciale pour permettre une protection adéquate des
renseignements personnels des individus.
La raison d’être du principe : la protection des droits fondamentaux
Comme nous avons pu le voir dans nos propos introductifs, la protection des données
personnelles et le droit à la vie privée ont acquis le statut de droit fondamental, que ce soit
en droit canadien, en droit québécois ou en droit de l’Union européenne. De ce fait, il est
nécessaire de limiter les atteintes à ces droits fondamentaux. L’idée est donc de limiter les
94
Art. 4, Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-391. 95
Centre de recherche en droit public, Consultation relative à l’actualisation de la Loi sur la protection des renseignements personnels dans le secteur privé, Montréal, 2015 aux p 4 à 6. 96
Commission d’accès à l’information du Québec, Rapport quinquennal 2016 - Rétablir l’équilibre, Québec, 2016 à la p 81. 97
Commission d’accès à l’information du Québec, Rapport quinquennal 2016 - Rétablir l’équilibre, Québec, 2016 aux p 81 et 82.
32
usages et pour ce faire, le principe de finalités des traitements vient limiter les usages avant
même que la collecte de renseignements ne débute.
Le principe de finalité constitue l’un des remparts fondamentaux face aux risques de
dérives que l’usage des données personnelles peut comporter en termes de violation de la
vie privée et des principes d’égalité ou de non-discrimination. En France, par exemple, le
respect du principe de finalité a été considéré comme une garantie légale du droit à la vie
privée par le Conseil constitutionnel98
.
Comme l’a rappelé le Groupe de travail article 29 sur la protection des données (G29)99
dans ses lignes directrices sur la limitation de la finalité100
:
Il faut garder à l’esprit que le traitement de données personnelles a des effets
sur les droits fondamentaux des individus en termes de vie privée et de
protection des données personnelles. Ces effets sur les droits des individus
doivent nécessairement être encadrés par une limitation des usages qui
peuvent être faits des données et donc par la limitation des finalités des
traitements. Une érosion du principe de limitation des finalités entraînerait
nécessairement une érosion de tous les autres principes de protection des
données personnelles qui en sont les corollaires101
.
Les données personnelles collectées constituent des éléments immatériels, auxquels
il est facile d’accéder. De ce fait, il est pour ainsi dire impossible de pouvoir disposer d’une
maîtrise physique ou matérielle sur les données collectées numériquement, comme c’est le
cas avec l’ECI. Le principe de finalité permet alors d’imposer au responsable de traitement
de limiter les usages des données à un périmètre précis afin d’en maîtriser et d’en contrôler
la destination102
. A cet égard, un parallèle peut être fait avec la notion de « droit de
destination » en droit d’auteur qui permet de contrôler les usages des exemplaires de son
98
Cons. Const., 21 février 2008, n°2008‑562 DC. 99
Le G29 est un organe consultatif européen indépendant sur la protection des données et de la vie privée. Son organisation et ses missions sont définies par les articles 29 et 30 de la directive 95/46/CE, dont il tire sa dénomination, et par l’article 14 de la directive 97/66/CE. Depuis l’entrée en application du RGPD en mai 2018, il est remplacé par le Comité européen de la protection des données. 100
Lignes directrices sur la limitation de la finalité, supra note 85 à la p 14. 101
La traduction a été réalisée par Florence Gaullier pourr l’article « Le principe de finalité dans le RGPD : beaucoup d’ancien et un peu de nouveau ». 102
Gaullier, supra note 76 à la p 2.
33
œuvre103
. C’est que les professeurs Benabou et Rochfeld dénomment « le contrôle juridique
de l’affectation » des données104
. En ce sens, Florence Gaullier105
estime qu’il est plus
pertinent de parler de principe de limitation des finalités que de principe de finalité. C’est
d’ailleurs cette expression qui est retenue par le RGPD.
Ce principe apparait donc comme une bonne base pour protéger les individus qui
utilisent l’ECI, tout au long du traitement des données qui sont collectées. Cependant, il ne
s’agit pas du seul principe qui a vocation à encadrer la protection durant tout le cycle de vie
de la donnée. A ce titre, il est nécessaire d’évoquer le principe de transparence.
2. Le principe de transparence
La transparence est une obligation globale au sens du RGPD qui s’applique à trois
domaines centraux106
: la communication aux personnes concernées d’informations
relatives au traitement équitable de leurs données, la façon dont les responsables du
traitement communiquent avec les personnes concernées sur leurs droits au titre du RGPD
et la façon dont les responsables du traitement facilitent l’exercice par les personnes
concernées de leurs droits. Ainsi, au même titre que le principe de limitation des finalités, le
principe de transparence est un principe qui transcende le traitement de la donnée du début
à la fin de son cycle de vie.
On retrouve la notion de transparence au huitième principe relatif à l’équité dans le
traitement de l’information de la LPRPDE. En vertu de ce principe, « une organisation doit
faire en sorte que des renseignements précis sur les politiques et ses pratiques concernant la
103
Valérie-Laure Benabou et Judith Rochfeld, À qui profite le clic ? Le partage de la valeur à l’ère du numérique, coll Collection Corpus, Paris, Odile Jacob, 2015. 104
Ibid. 105
Gaullier, supra note 76 à la p 1. 106
Art. 12, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
34
gestion des renseignements personnels soient facilement accessibles à toute personne107
».
Une disposition relativement similaire se retrouve à l’article 8 de la LPRPSPS.
Quelles informations doivent-elles être communiquées à la personne concernée ?
Traditionnellement, selon le RGPD, que la collecte ait été effectuée ou non auprès
d’elle108
, la personne concernée doit être informée de l'existence du traitement, de l'identité
du responsable, sa finalité, les conséquences d'un défaut de réponse, des destinataires des
données ainsi que de ses droits. S'y ajoutent des informations en cas de transfert des
données vers un pays tiers à l'Union européenne. L’information due à l'utilisateur doit
également porter sur la base juridique du traitement, éventuellement les intérêts légitimes
poursuivis, ses droits notamment celui de saisir une autorité de contrôle, l'existence
éventuelle d'un délégué à la protection des données. Il est aussi nécessaire de retrouver des
informations sur le caractère contractuel notamment de la collecte, précisant si celle-ci
conditionne la conclusion du contrat109
. Le règlement prévoit de manière spécifique une
information en cas de rectification ou d'effacement des données110
. La personne concernée
doit également être informée en cas de prise de décision automatisée y compris un
profilage, non seulement sur l'existence même de ce processus mais également sur sa
« logique sous-jacente » et ses conséquences111
. Elle doit aussi être informée de toute autre
finalité au cas où le responsable du traitement aurait l'intention d'effectuer un traitement
ultérieur pour des finalités non prévues. L'information est enfin due en cas de failles de
107
Annexe 1, art. 4.8, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 108
Art. 13 et 14, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 109
Hélène Claret, « Plateformes numériques et protection des données personnelles du consommateur » (2018) étude 10:7 Contrats Concurrence Consommation au para 22. 110
Art. 19, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 111
Art. 13 au para. 2, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
35
sécurité112
. L’information est donc particulièrement étendue et est censée pouvoir donner à
l’individu une connaissance maximale sur ses données, nécessaire à une bonne maîtrise de
ces dernières.
Dans l’ensemble, les informations imposées par la LPRPDE113
sont relativement
limitées par rapport aux exigences du RGPD. Ici, le strict minimum est assuré à l’individu
qui fournit ses renseignements personnels. A titre d’exemple, à la différence du RGPD,
l’organisme n’est pas obligé de préciser à la personne auprès de laquelle les renseignements
sont collectés (avant la collecte ou au moment de celle-ci) les fins auxquelles ils sont
destinés. Il s’agit seulement d’une recommandation de la loi, puisqu’on peut remarquer
l’utilisation du conditionnel. De plus, on ne retrouve pas d’obligation d’informer la
personne concernée sur ses droits. Il existe un principe d’accès aux renseignements
personnels114
mais, à la différence du RGPD, le responsable de traitement n’a pas
l’obligation d’en informer l’individu.
Concernant la LPRPSP, en vertu de l’article 8, une entreprise doit, lorsqu’elle
constitue un dossier sur une personne, l’informer de l’objet du dossier, de l’utilisation qui
sera faite des renseignements, des catégories de personnes qui y auront accès dans
l’entreprise, de l’endroit où sera détenu son dossier ainsi que de ses droits d’accès à ces
renseignements ainsi qu’à ceux de rectification. Cette obligation d’information se
rapproche du principe de transparence dégagé dans le RGPD. En effet, si les obligations
sont moins précises, on retrouve l’idée d’une transparence la communication aux personnes
concernées d’informations relatives au traitement équitable de leurs données, la façon dont
les responsables du traitement communiquent avec les personnes concernées sur leurs
droits au titre du RGPD, la façon dont les responsables du traitement facilitent l’exercice
par les personnes concernées de leurs droits.
112
Art. 34, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 113
Annexe 1, art. 4.8.2, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 114
Annexe 1, art. 4.9, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000.
36
Comment les informations doivent-elles être communiquées à la personne
concernée ?
Dans le RGPD, le responsable de traitement doit prendre des « mesures
appropriées115
» pour fournir ces informations. On retrouve ici les exigences
traditionnellement posées pour l'information du consommateur : celle-ci doit être concise,
claire, compréhensible, aisément accessible. Le standard sera celui de l'utilisateur moyen,
au prix d'une adaptation de l'information lorsqu'elle s'adresse à des mineurs116
.
De plus, pour améliorer la clarté, éviter la « lassitude informative117
», le G29
recommande une hiérarchisation : les informations n'apparaissent pas toutes à l'écran,
l'utilisateur pouvant accéder de manière spécifique à la section qui l'intéresse. D'autres
méthodes peuvent être utilisées : bulles, liens hypertextes, notices push118
... C’est d’ailleurs
les méthodes qui sont utilisées pour délivrer l’information lorsqu’on utilise une ECI, que ce
soit une Google Home ou une Echo d’Amazon. Encore faut-il que l'information soit
compréhensible, ce qui suppose déjà qu'elle soit rédigée dans la langue de l'utilisateur. En
effet, ce n’est pas toujours le cas, mais dans les cas précis que nous étudions, Google et
Amazon fournissent cette information dans la langue de l’utilisateur. Dans cet ordre d'idée,
pour améliorer la compréhension, notamment en cas d'accès à un site étranger,
le RGPD prévoit la possibilité de fournir certaines de ces informations sous la forme
d'icônes normalisées dont la définition incombera à la Commission119
. Cela étant, le G29
fait remarquer que ces icones ne sauraient remplacer l’information due120
.
115
Art. 12 au para. 1er, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 116
Claret, supra note 108 au para 23. 117
Groupe de travail « article 29 » sur la protection des données, Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, WP260, 29 novembre 2017, au pt. 30. 118
Claret, supra note 108 au para 24. 119
Art. 12 au para 8, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 120
Groupe de travail « article 29 » sur la protection des données, Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, WP260, 29 novembre 2017, au pt. 42.
37
Dans la LPRPDE, le principe relatif à la transparence énonce qu’une organisation
doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques
concernant la gestion des renseignements personnels soient facilement accessibles à toute
personne. Ces informations doivent pouvoir être obtenues « sans effort déraisonnables121
».
De plus, ces renseignements doivent être fournis sous une forme généralement
compréhensible. En cela, il s’agit d’une conception relativement proche idéologiquement
du RGPD.
L’article 4.8.3 de l’annexe 1 offre quelques lignes directrices concernant la manière
dont l’information peut être communiquée aux individus. De telles lignes directrices se
retrouvent également dans le RGPD. De telles précisions sont les bienvenues. D’autant
plus, dans le contexte des ECI. Pour rappel, cet objet ne possède pas d’écran, seule une
application et une petite notice. La loi canadienne reste pourtant assez ancrée dans le passé
sur les moyens à utiliser pour communiquer. On propose des brochures à l’établissement,
des informations envoyées par courrier, ou encore un numéro de téléphone sans frais122
.
Ces techniques peuvent certes être efficaces, mais elles ne sont que peu tournées vers les
nouvelles technologies et le progrès. Le rapport de 2019 du CPVP « Enquête conjointe du
CPVP et du Bureau du Commissaire à l’information et à la protection de la vie privée de la
Colombie-Britannique au sujet de Facebook, Inc. 123
» fait cependant état du manque de
transparence des clauses de la firme Facebook et procède à une analyse précise à ce sujet.
121
Annexe 1, art. 4.8.1, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 122
Annexe 1, art. 4.8.3, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 123
Commissariat à la protection de la vie privée du Canada, « Rapport de conclusions d’enquête en vertu de la LPRPDE no 2019-002 : Enquête conjointe du Commissariat à la protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique au sujet de Facebook, Inc. » (25 avril 2019), en ligne : <https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2019/lprpde-2019-002/> (consulté le 1 juillet 2019).
38
Selon le rapport quinquennale124
, l’information communiquée à l’utilisateur devrait
être « claire, compréhensible, accessible et adaptée au support », mais ce n’est pas inscrit à
proprement parler dans la loi canadienne.
Quand les informations doivent-elles être communiquées à la personne concernée ?
Dans le RGPD, une bonne transparence suppose aussi que l'information soit donnée
en temps utile c'est-à-dire au plus tard au moment de la collecte. En effet, l'obligation
d'information est précontractuelle. Pour le cas d'évolution dans les finalités, cette
information doit être donnée avant traitement. La principale limite, d'application stricte125
, à
cette obligation réside dans l'hypothèse où la personne aurait déjà eu accès à l'information.
Pour que l'exception joue, l'information doit être suffisamment précise. L'information des
consommateurs quant au traitement de leurs données n'est rien s'ils n'ont pas la possibilité
de consentir126
.
Dans la loi canadienne, on retrouve cette obligation d’information seulement en
amont du traitement. Alors que l’article 8 de la loi québécoise n’apporte, quant à lui, pas de
précision sur le moment où l’information doit être donnée à la personne concernée.
La notion d’explicabilité
Dans le RGPD, il existe un droit d’obtenir une information générale concernant un
procédé de traitement automatisé de données personnelles127
. Il s’agit de la notion
124
Commission d’accès à l’information du Québec, supra note 95 à la p 83. 125
Groupe de travail « article 29 » sur la protection des données, Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, WP260, 29 novembre 2017, au pt. 44. 126
Claret, supra note 108 au para 25. 127
Art. 13 à 15 et 22, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
39
d’explicabilité. Elle est différente du droit à une explication quant à la décision prise à
l’issue de ce type d’évaluation128
, qui ne fait pas l’objet d’une disposition.
Cette notion consiste à être capable de retracer le processus de décision du traitement
automatisé depuis les données d’entrée jusqu’au résultat de sortie. Le RGPD préconise,
sauf cas particulier, d’éviter l’usage des algorithmes opaques. Ceci donne également
matière à réflexion lorsqu’il s’agit des enceintes connectées puisque nous pouvons nous
demander comment assurer une telle transparence lorsque la plupart des interactions sont
réalisées sans écran et via des algorithmes peu compréhensibles.
Dans les lois québécoise et fédérale on ne retrouve pas de mention du concept
d’explicabilité des algorithmes, intimement lié à la transparence. Dans le RGPD, on ne
retrouve pas non plus de mention à proprement parler du concept. Pourtant, pour la
doctrine, ce principe est induit par le texte ; il est nécessaire d’expliquer les algorithmes
pour être tout à fait transparent avec les individus qui utilisent les ECI (ou toute autre forme
de traitement des données qui intègre des algorithmes complexes). Il semble que les
imprécisions à ce sujet dans la loi québécoise et la loi fédérale permettent d’englober de
manière plus large toutes les éventuelles avancées technologiques.
Sur le principe cette notion d’explicabilité semble être une bonne base, en particulier au
regard des nouvelles technologies comme l’ECI. La compréhension de la machine peut
permettre aux individus de mieux comprendre les enjeux et se responsabiliser face à ces
questions de protection des données personnelles.
Pour conclure, les lois québécoise et canadienne sont perfectibles mais peuvent
s’inspirer des apports du RGPD (surtout la loi canadienne, la québécoise se rapproche
beaucoup plus des obligations qu’impose le RGPD). C’est d’ailleurs l’idée qui est proposée
par le Comité d’éthique129
. Il faut garder en tête les décisions d’adéquation qui poussent
notamment le Canada à se doter d’une législation plus modernisée en termes de protection
128
Considérant 71, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 129
Comité permanent de l’accès à l’information, de la protection des renseignements personnels et l’éthique, supra note 65.
40
des données personnelles. Pour autant, ces différentes législations offrent une base de
protection intéressante puisque c’est en ayant les bonnes informations qu’un individu peut
bien exercer ses droits et être en partie acteur de la protection de ses données personnelles.
Après avoir abordé les principes de protection des données personnelles qui
chapeautent l’intégralité du cycle de vie de la donnée. Il semble intéressant de se pencher
sur ceux qui s’appliquent plus particulièrement en amont de la collecte.
B. Des principes de protection applicables en amont de la collecte
Le consentement et le principe de minimisation des données constituent deux principes
de protection des données personnelles particulièrement important au regard de l’utilisation
de l’ECI. Il s’agit de deux principes applicables en amont de la collecte.
1. Le consentement
Pour que le traitement d’une donnée soit licite, il nécessite une base légale. Le
consentement de la personne concernée permet au traitement d’être légitime. Le caractère
sensible des données collectées par l’ECI justifie notamment la nécessité d’un
consentement et permet de déterminer la manière dont le consentement doit être exprimé.
L’expression de ce consentement constitue un rempart dans la protection des
renseignements personnels.
La licéité du traitement basée sur le consentement
La biométrie peut être définie comme la technique qui permet d’associer à une
identité une personne voulant procéder à une action, grâce à la reconnaissance automatique
d’une ou de plusieurs caractéristiques physiques et comportementales de cette personne
préalablement enregistrées130
.
130
Commission d’accès à l’information du Québec, La biométrie au Québec, janvier 2016.
41
Les données biométriques sont produites par le corps. Elles sont universelles,
uniques et permanentes, et constituent, à ce titre, des renseignements personnels. Ces
caractéristiques des données biométriques des moyens d’identifications uniques composés
d’informations intimes. De ce fait, elles sont des renseignements personnels qu’on peut
qualifier de sensibles131
en raison des graves conséquences que pourraient entrainer le vol,
la perte, la divulgation ou encore l’utilisation à mauvaise escient de ces informations pour
la personne concernée.
L’article 4 alinéa 14 du RGPD, définit les « données biométriques » comme :
« Les données à caractère personnel résultant d’un traitement technique
spécifique, relatives aux caractéristiques physiques, physiologiques ou
comportementales d’une personne physique qui permettent ou confirment
son indentification unique (…) »
À la lecture de cette définition, les données vocales collectées par l’enceinte connectée
peuvent être qualifiées de données biométriques, puisque que la voix permet bien
l’indentification unique d’une personne. Ainsi, les données vocales appartiennent aux
« catégories particulières de données à caractère personnel » envisagées à l’article 9 du
RGPD. Le traitement portant sur ces catégories de données est a priori interdit (alinéa 1),
mais est assorti d’un certain nombre d’exceptions (alinéa 2). Parmi elles, l’alinéa 2, a)
dispose que l’alinéa 1 ne s’applique pas si la personne concernée a donné son consentement
explicite au traitement de ces données pour une ou plusieurs finalités spécifiques. D’autres
exceptions sont visées par l’alinéa 2, mais, dans le cas de l’ECI, à supposer qu’on se place
dans le cadre d’une utilisation normale de l’objet, seule le consentement explicite se trouve
être la base légale qui correspond. En effet, les autres exceptions comme le traitement
nécessaire à la sauvegarde des intérêts vitaux (alinéa 2, b)), celui nécessaire pour des motifs
d’ordre public (alinéa 2 g)), celui nécessaire pour des motifs d’intérêts public (alinéa 2, i)),
ou à des fins archivistiques (alinéa 2, j)), ne trouve pas à s’appliquer dans ce cas d’étude.
On comprend ainsi que les données vocales collectées par l’enceinte connectées doivent
faire l’objet d’un consentement explicite de l’utilisateur pour que leur traitement soit licite.
131
Ibid.
42
En droit canadien, « toute personne doit être informée de toute collecte, utilisation
ou communication des renseignements personnels qui la concernent et y consentir, à moins
qu’il ne soit pas approprié de le faire132
». Le principe est donc celui du consentement. Il
existe cependant dans la loi une liste limitative d’exceptions133
qui autorisent le responsable
de traitement à collecter des données sans l’autorisation de la personne concernée. Ces
exceptions ne s’appliquent cependant pas au cas de l’ECI.
Le droit provincial en la matière se rapproche de la conception fédérale. En effet,
selon l’article 6 de la loi québécoise, les renseignements doivent être recueillis auprès de la
personne concernée, sauf si ce dernier consent à ce que cette collecte soit faite auprès d’un
tiers ou si la loi l’autorise.
La manifestation du consentement
Comme nous avons pu le voir précédemment, dans le cadre de l’utilisation de l’ECI,
c’est le consentement explicite de l’individu qui doit être recueilli. L’article 4 alinéa 11 du
RGPD ajoute que le consentement de la personne concernée correspond à toute
manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne
concernée accepte, par une déclaration ou par un acte positif clair, que des données à
caractère personnel la concernant fassent l’objet d’un traitement.
En droit canadien, les renseignements dits « sensibles » ne sont pas réellement
définis. Au titre des principes énoncés dans l’annexe 1 de la LPRPDE, on retrouve l’idée
que la forme de consentement à obtenir (implicite ou explicite) varie en fonction des
circonstances et de la nature des renseignements. Cependant, on ne trouve que des
exemples et pas de réelle définition de ce que peut être un renseignement « sensible »134
.
De plus, l’article 4.3.6 de l’annexe 1 dispose que « l’organisation devrait chercher à obtenir
un consentement explicite si les renseignements sont susceptibles d’être considérés comme
132
Annexe 1, art. 4.3, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 133
Art. 7 (1), Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 134
Annexe 1, art. 4.3.4, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000.
43
sensibles ». L’utilisation du conditionnel « devrait » signifie qu’il s’agit là d’une
recommandation et non d’une obligation pour les organisations. L’article poursuit en
énonçant que « lorsque les renseignements sont moins sensibles, un consentement implicite
serait normalement jugé suffisant ». Le principe est donc bien plus celui d’un consentement
implicite. Cependant, la sensibilité d’un renseignement s’apprécie au cas par cas135
, et pour
se faire, les organisations devraient aussi tenir compte des attentes raisonnables de
l’intéressé dans les circonstances136
. Ainsi, au regard des illustrations fournies par la loi, il
semble tout de même que nous puissions qualifier de « sensibles » les données vocales
collectées par l’enceinte connectée. L’article 4.3.7 de l’annexe 1 offre également des
orientations quant aux différentes formes que peuvent revêtir le consentement.
Le droit québécois offre une conception encore différente du droit fédéral, puisque
la loi sur le secteur privé ne fait pas de distinction entre les données dites « sensibles » et
les autres. En effet, quelle que soit la donnée qui est collectée, on nécessitera le
consentement « manifeste » de la personne concernée. Cela signifie que, contrairement au
droit fédéral, il n’y a pas de consentement implicite. Ceci permet donc d’offrir une
protection relativement forte à toutes les données puisque le consentement est toujours
nécessaire. Cependant, le fait qu’il n’y ait pas de distinction concernant la sensibilité des
données semble poser problème à la Commission d’accès à l’information qui souhaiterait
que la loi soit modifiée pour « Prévoir que la communication des renseignements sensibles
ou leur utilisation à d’autres fin qu’à celles de leur collecte ne soit possible qu’avec le
consentement explicite de la personne concernée ou l’autorisation de la loi137
».
Quoi qu’il en soit, la loi québécoise se prononce tout de même sur la manière dont le
consentement doit être recueilli. De telles précisions sont les bienvenues :
135
Commissariat à la protection de la vie privée du Canada, « Lignes directrices pour l’obtention d’un consentement valable » (24 mai 2018), en ligne : <https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/collecte-de-renseignements-personnels/consentement/gl_omc_201805/> (consulté le 11 juin 2019). 136
Annexe 1, art. 4.3.5, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 137
Recommandation 27, Commission d’accès à l’information du Québec, Rapport quinquennal 2016 - Rétablir l’équilibre, Québec, 2016 à la p 89.
44
Le consentement à la collecte, à la communication ou à l’utilisation d’un
renseignement personnel doit être manifeste, libre, éclairé et être donné à des
fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la
réalisation des fins pour lesquelles il a été demandé138
.
A la lumière des éléments développés, il semble que le principe de consentement
permette de protéger efficacement les utilisateurs d’ECI et leurs données « sensibles ». Il
s’agit d’un mécanisme qui offre une bonne base de protection. Cependant, un autre
mécanisme intervenant en amont de la collecte de donnée permet de préserver la vie privée
des individus : le principe de minimisation des données.
2. Le principe de minimisation des données
Le principe de minimisation des données a un intérêt tout particulier lorsqu’il s’agit des
protéger les données personnelles d’un individu (d’autant plus dans le cas de l’ECI).
Pourtant, l’appréhension de ce principe est relativement différente selon qu’on se place face
au droit canadien, au droit québécois ou au RGPD.
De l’intérêt d’un principe de minimisation des données
Le principe de minimisation des données est un principe qui oblige le responsable de
traitement à collecter le minimum de données possibles pour la finalité prévue lors de la
collecte. La collecte est censée être réduite au strict minimum. Ce principe découle du
principe de limitation du traitement, puisque c’est la finalité qui permet d’établir une limite
à la quantité de données qui doivent être collectée.
Le principe est nécessaire pour préserver la vie privée des individus ; il permet de créer
une sorte de rempart autour de ces derniers. En effet, il est souvent dans l’intérêt des
responsables de traitement ou organisations de collecter un maximum de données sur
l’individu. Ceci est compréhensible. D’autant plus dans le cadre d’un traitement
commercial comme c’est le cas avec l’ECI. On comprend l’intérêt que pourrait avoir une
138
Art. 14, Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-391.
45
collecte importante de données, notamment dans un cadre publicitaire. Les entreprises
commerciales cherchent à rendre la publicité la plus efficace possible et, par conséquent,
plus ciblée, personnalisée et pertinente pour le consommateur visé.
L’appréhension du principe de minimisation des données par le RGPD, la loi québécoise et
la LPRPDE
Le RGPD impose que « les données à caractère personnel soient c) adéquates,
pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles
sont traitées139
». Le principe de minimisation des données, comme le laisse entendre
l’article 5.1.c), est mis en œuvre exclusivement au regard des finalités pour lesquelles les
données sont traitées. Dans cette perspective, le principe de minimisation des données a
vocation à intervenir au moment de la définition intellectuelle, théorique, du traitement et
encadre la manière de le concevoir. Une fois que la finalité est définie, la minimisation des
données veut que la question qui suive soit : « quelles sont les données sans lesquelles je ne
pourrai pas atteindre cette finalité ? ». Il s’agit, à partir de là, de limiter les données à celles
qui sont strictement nécessaires au regard de la finalité140
.
Le quatrième principe relatif à l’équité dans le traitement de l’information de la
LPRPDE est la limitation de la collecte. Dans son contenu, il s’agit du principe qui se
rapproche le plus du principe de minimisation des données au sens du RGPD puisqu’il est
énoncé comme tel : « l’organisation ne peut recueillir que les renseignements personnels
nécessaire aux fins déterminées et doit procéder de façon honnête et licite141
». Ceci se
rapproche du concept dégagé du RGPD, puisqu’on y retrouve l’idée du strict minimum. En
ce sens, l’article 4.4.1 de l’annexe 1 de la LPRPDE dispose que « on doit restreindre tant la
139
Art. 5, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 140
Hugo Ruggieri, Adrien Aulas et Mathias le Masne de Chermont, « Protection par défaut et minimisation des données... quelles différences ? » (22 janvier 2018), en ligne : Aeon <https://aeonlaw.eu/protection-par-defaut-minimisation-des-donnees-quelles-differences/> (consulté le 19 juin 2019). 141
Annexe 1, art. 4.1, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000.
46
quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les
fins déterminés ».
Dans la LPRPSP, on ne retrouve pas de mention à proprement parler de la notion de
minimisation des données personnelles. On parle de principe de nécessité. En matière de
protection des renseignements personnels, une entreprise privée ne doit recueillir que les
renseignements nécessaires à l’objet du dossier.
Le critère de nécessité est un principe fondamental dans la loi québécoise, ayant pour
objectif de réduire les atteintes à la vie privée des personnes concernées par les
renseignements personnels recueillis notamment par les entreprises privées. Il n’est pas
donc possible de déroger à ce principe, même avec le consentement de la personne
concernée.
Ce principe doit s’interpréter au regard de la finalité poursuivie par l’entreprise privée
ou par l’organisme public. Un renseignement personnel est nécessaire si la finalité
poursuivie est légitime, importante, urgente et réelle et si l’atteinte au droit à la vie privée
consécutive à la collecte, la communication ou la conservation de chaque élément de
renseignement est proportionnelle à cette finalité. Pour apprécier ce caractère proportionnel,
il est nécessaire de se poser trois questions : la collecte des renseignements est-elle
rationnellement liée aux objectifs visés ? L’atteinte au droit à la vie privée est-elle
minimisée ? La divulgation du renseignement requis est-elle nettement plus utile à
l’entreprise que préjudiciable à la personne concernée ?142
La jurisprudence québécoise apprécie parfois le critère de nécessité. Cependant, la
Commission d’accès à l’information du Québec a déterminé des renseignements
nécessaires pour certains cas particuliers143
.
142
Commission d’accès à l’information du Québec, « La collecte de renseignements personnels », en ligne : <http://www.cai.gouv.qc.ca/la-collecte-de-renseignements-personnels/> (consulté le 14 mai 2019). 143
Commissariat à la protection de la vie privée du Canada, « Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec » (7 juillet 2008), en ligne : <https://www.priv.gc.ca/fr/a-propos-du-commissariat/publications/dec_050816/#009> (consulté le 14 mai 2019).
47
Une fois encore, les trois législations ont une manière un petit peu différente d’aborder
la question de la minimisation des données. Ces différences peuvent se comprendre, au
regard du contexte juridique. Quoi qu’il en soit, il semble que la protection des
renseignements personnels des individus reste assurée par ce principe. En effet, pour un
utilisateur d’ECI, dont l’objet connecté aspire à collecter le plus de données possibles, un
tel principe apparait comme une base de protection intéressante. Pourtant, il apparait
comme nécessaire que les données personnelles de l’utilisateur bénéficient également de
mécanismes de protection après la collecte de leurs données.
C. Des principes de protection applicables en aval de la collecte
Comme nous venons de le voir, des principes de protection s’appliquent en amont de la
collecte de données personnelles. Pourtant, la protection ne doit pas s’arrêter là. C’est pour
cette raison qu’il existe également des principes de protection applicables en aval de la
collecte. C’est le cas du principe de limitation de la conservation des données et des règles
relatives au profilage.
1. La limitation de la conservation des données
La conservation des données doit être limitée. Mais ce n’est pas tout ; il est également
pertinent de savoir ce qu’il doit être fait des données une fois que la finalité pour laquelle
elles ont été collectées est atteinte.
La conservation des données doit être limitée
Dans le RGPD, la conservation des données s’inscrit dans le chapitre II
« Principes » et plus précisément à l’article 5 consacré aux « principes relatifs au traitement
des données à caractère personnel ». Selon l’alinéa 1° e), les données à caractère personnel
doivent être :
Conservées sous une forme permettant l’identification des personnes
concernées pendant une durée n’excédant pas celle nécessaire au regard des
48
finalités pour lesquelles elles sont traitées; les données à caractère personnel
peuvent être conservées pour des durées plus longues dans la mesure où elles
sont traitées exclusivement à des fins archivistiques dans l’intérêt public, à
des fins de recherche scientifique ou historique ou à des fins statistiques
conformément à l’article 89, paragraphe 1, pour autant que soient mises en
œuvre les mesures techniques et organisationnelles appropriées requises par
le présent règlement afin de garantir les droits et libertés de la personne
concernée (limitation de conservation).
La dernière partie de la disposition concernant la conservation à des fins
d’archivage, de recherche ou de fins statistiques est à exclure de nos développements
puisqu’elle ne concerne en aucun cas les ECI.
Le principe dégagé par le RGPD concernant la conservation n’est pas nouveau : les
données personnelles ne peuvent pas être conservées, sous une forme directement ou
indirectement identifiante, de façon indéfinie par un organisme. Ce principe de durée
limitée de conservation des données participe notamment à la consécration d’un « droit à
l’oubli » (ou droit à l’effacement)144
pour les personnes concernées par les traitements.
L’idée est de protéger ces individus tout en limitant le risque d’une utilisation détournée des
informations. Les données doivent être traitées pendant une durée limitée et cohérente avec
l’objectif qui est poursuivi. Pour se faire, l’organisme doit déterminer une durée fixe de
conservation (par exemple, deux ans) ou le critère objectif utilisé pour déterminer cette
durée (par exemple, le temps de la relation contractuelle).
Ceci est assez directement lié à la finalité du traitement. Pour notamment éviter une
conservation inadéquate, il est nécessaire que la formulation de la finalité soit acceptable
puisque les données sont conservées tant que cette dernière n’est pas atteinte. Ceci justifie
ce que nous avons pu voir précédemment : les finalités de traitement doivent donc être
précises.
144
Art. 17, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
49
De plus, dans certains cas, la loi définit la durée pendant laquelle les données
doivent être conservées par l’organisme. Par exemple : conversation des doubles des
bulletins de paie pendant 5 ans à compter de leur remise aux salariés, la conservation des
données contenues dans un dossier médical pendant 10 ans à compter de la consolidation
du dommage… Il existe également des recommandations de la CNIL. Par exemple, trois
ans de conservation pour les données relatives à un prospect (non client), à compter de leur
collecte ou du dernier contact émanant de ce dernier…
Dans la LPRPDE, le cinquième principe que l’on retrouve dans l’annexe 1 est la
limitation de l’utilisation, de la communication et de la conservation. Selon ce principe,
« on ne doit conserver les renseignements nécessaires qu’aussi longtemps que nécessaire
pour la réalisation des fins déterminées145
». Ce principe est très similaire au principe
dégagé par le RGPD.
L’article 4.5.2 recommande aux organismes d’élaborer des lignes directrices et
d’appliquer des procédures pour la conservation des renseignements personnels. Ces lignes
directrices devraient préciser les durées minimales et maximales de conservation. Il s’agit
seulement d’une recommandation et non d’une obligation. Comme pour le RGPD, un
organisme (appelé « organisation » dans la LPRPDE) peut être assujetti à des exigences
prévues par la loi en ce qui concerne les périodes de conservation146
.
Concernant maintenant la loi québécoise, l’article 12 dispose que :
L’utilisation des renseignements contenus dans un dossier n’est permise, une
fois l’objet du dossier accompli, qu’avec le consentement de la personne
concernée, sous réserve du délai prévu par la loi ou par un calendrier de
conservation établi par un règlement du gouvernement.147
Malgré les diverses obligations qu’elle impose aux entreprises pour protéger les
renseignements personnels des individus, la loi québécoise sur la protection des
145
Annexe 1, art. 4.5, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 146
Annexe 1, art. 4.5.2, Loi sur la protection des renseignements personnels et les documents électroniques, LPRPDE, LC 2000. 147
Art. 12, Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-391.
50
renseignements personnels dans le secteur privé, ne prévoit aucune obligation pour les
entreprises de détruire les renseignements personnels une fois l’objet du dossier accompli.
Au mieux, l’article 12 de la Loi québécoise limite leur utilisation et seule une référence à
l’adoption d’un calendrier de conservation par le gouvernement à l’article 90 laisse
entendre qu’une obligation de destruction des renseignements personnels pourrait en
découler.
Le principe est donc que les documents contenant des renseignements personnels
doivent être détruits dès que la finalité pour laquelle ils ont été collectés est accomplie, sous
réserve du délai prévu par la loi ou par un calendrier de conservation. Autrement dit, les
données doivent être conservées jusqu’à ce moment-là.
Dans son rapport quinquennal sur l’application de la Loi sur l’accès aux documents
des organismes publics et sur la protection des renseignements personnel et de la Loi sur la
protection des renseignements personnels dans le secteur privé, la Commission d’accès à
l’information du Québec rappelle148
que selon la décision Equifax Canada inc. c. Fugère149
,
ses pouvoirs en ce domaine sont limités.
En effet, dans cette affaire, la Cour du Québec a conclu, d’une part, que le pouvoir
d’établir les délais de conservation appartient exclusivement au gouvernement en vertu de
l’article 90 alinéa 1, paragraphe 3e de la LPRPSP, et d’autre part, que l’article 12 de cette
même loi reconnaît le droit, pour une entreprise, de conserver des renseignements caducs
dans un dossier, même si elle ne peut plus les utiliser selon la loi. Depuis cette décision, la
Commission a invariablement statué qu’elle ne peut ordonner la destruction des
renseignements personnels au motif que leur conservation ou leur utilisation n’est plus
autorisée par la loi, en l’absence de règles de conservation des renseignements adoptées par
règlement.
Pourtant, plus de 20 ans après l’adoption de la LPRPSP, force est de constater
l’absence de règlement établissant un calendrier de conservation des renseignements
148
Commission d’accès à l’information du Québec, supra note 95 à la p 109. 149
Equifax c Fugère, 1998, CAI 510 (C.Q.).
51
personnels détenus par les entreprises. Cette absence de calendrier a une conséquence
majeure : à défaut de règles prescrites dans une autre loi, les entreprises sont libres de
conserver les renseignements personnels qu’elles ont collectés aussi longtemps qu’elles le
souhaitent, et ce, même si elles n’en ont plus l’utilité. Ainsi, en pratique, à moins que
l’entreprise ait volontairement adopté des règles internes qui limitent la durée de
conservation des renseignements recueillis, la détention peut se prolonger indéfiniment
puisque la Loi québécoise n’interdit pas l’utilisation de renseignements personnels à des
fins non pertinentes à l’objet du dossier avec le consentement de la personne concernée150
.
Article 10 de la loi québécoise précise néanmoins que :
Toute personne qui exploite une entreprise doit prendre les mesures
de sécurité propres à assurer la protection des renseignements personnels
collectés, utilisés, communiqués, conservés ou détruits et qui sont
raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de
leur utilisation, de leur quantité, de leur répartition et de leur support.
Quel sort pour les données une fois leur finalité atteinte ?
Dans le RGPD, une fois que l’organisme a satisfait l’objectif poursuivi par la
collecte des données, plusieurs possibilités attendent les données. Elles doivent être
effacées, faire l’objet d’un processus d’anonymisation afin de rendre impossible pour
quiconque la « ré-identification » des personnes ou être archivées sous certaines conditions
(comme nous l’avons vu plus haut, mais cette hypothèse est à exclure pour l’utilisation des
ECI).
Le cycle de vie des données peut être divisé en trois phases successives distinctes :
la conservation en base active, l’archivage intermédiaire et l’archivage définitif. Pour
autant, les deux dernières phases de ce cycle ne sont pas du tout systématique. C’est la
raison pour laquelle il est nécessaire d’évaluer chaque traitement. On décide alors si les
données doivent être conservées, si elles doivent être détruites ou encore si elles doivent
être anonymisées.
150
Art. 12, Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-391.
52
La première étape, à savoir la conservation en base active, concerne donc toutes les
données. Il s’agit de la conservation tout le temps de leur utilisation courant par le ou les
services opérationnels en charge de leur traitement. Il s’agit de l’étape que nous avons vu
précédemment.
Concernant maintenant l’étape de l’archivage intermédiaire. Lorsque l’objectif
initial qui a justifié la collecte dans un premier lieu est atteint/satisfait, les données
collectées doivent être supprimée ou anonymisées. Seule exception à ce principe : quand
des obligations légales (celles évoquées précédemment) justifient une conservation plus
longue. Cette deuxième étape de conservation court, s’agissant des données produites ou
reçues pour la gestion des services publics, jusqu’à l’expiration de leur « durée d’utilité
administrative ». Elle obéit à des conditions particulières, garantissant que les données ne
seront pas utilisées à d’autres fins que celles pour lesquelles elles sont archivées. La
conservation a pour finalité de permettre à l’organisme d’assurer sa défense en cas de
contentieux.
Dans cette optique, les données archivées doivent être isolées des données présentes
dans la « base active », c’est-à-dire la base de gestion courante. Pour se faire, la CNIL151
suggère deux moyens permettant cet isolement. D’une part, une séparation physique c’est-
à-dire une extraction et un stockage de données sur un support physiquement distinct
comme une base d’archive spécifique. D’autre part, une séparation logique, laquelle est
mise en place par une restriction des habilitations et droits d’accès aux données.
Nous pouvons notamment citer un exemple qui intéresse l’enceinte connectée
d’Amazon Echo puisque cette ECI, à la différence de Google Home, axe beaucoup ça
manière de fonctionner sur l’achat en ligne. Lors d’un achat sur internet, les coordonnées de
la carte bancaire du client ne peuvent être conservées en base active que le temps de la
réalisation de l’opération de paiement. Cependant, et pour une durée de 13 mois
conformément aux dispositions du Code monétaire et financier, une fois la transaction
effectuée, les numéros de carte bancaire pourront être archivés dans la perspective d’une
151
Module 2, CNIL, MOOC - L’atelier RGPD, en ligne : <https://atelier-rgpd.cnil.fr/> (consulté le 10 décembre 2018).
53
éventuelle contestation de la transaction. A l’issue de ce délai de 13 mois, les données sont
définitivement supprimées.
La dernière étape est l’archivage définitif. Par exception au principe de durée de
conservation limitée, il peut arriver que l’intérêt public, historique, scientifique ou
statistique justifie que certaines données ne fassent l’objet d’aucune destruction. La
conservation et le traitement des données à des fins archivistes dans l’intérêt public, à des
fins de recherche scientifique ou historique ou à des fins statistiques est soumise à des
conditions et garanties pour que soient respectés les droits et libertés des personnes
concernées. Encore une fois, cette hypothèse ne concerne pas l’enceinte connectée, mais il
semblait nécessaire d’en faire part dans ces développements pour offrir une information
complète sur la question.
L’article 4.5.3 de la LPRPDE recommande quant à lui de détruire, effacer ou
dépersonnaliser les renseignements personnels dont le besoin n’est plus justifié par des fins
précisées. S’il s’agit seulement d’une recommandation, cela veut dire qu’il ne s’agit pas
d’une obligation. Pourtant, concernant la destruction des données, les organisations ont
l’obligation d’élaborer des lignes directrices et appliquer des procédures régissant la
destruction des renseignements personnels.
Au regard de l’ECI et des problématiques qui pourraient découler d’une mauvaise
conservation des données de l’utilisateur, il semble que les législations étudiées offrent une
bonne base de protection. Si on s’en tient aux mécanismes qui protègent la vie privée des
individus en aval de la collecte, il semble désormais pertinent d’étudier les règles relatives
au profilage. En effet, dans le cas de l’ECI, le profilage est particulièrement important
puisqu’il permet, via le profil de l’utilisateur qui est réalisé, d’offrir un service personnalisé
à ce dernier.
2. Les règles applicables au profilage
Il convient d’étudier la notion particulière de profilage, notamment au regard de
l’utilisation de l’ECI, avant d’aborder son appréhension par les différentes législations
étudiées.
54
La notion de profilage
Le RGPD offre une définition du profilage à l’article 4 alinéa 4) :
« Profilage », toute forme de traitement automatisée de données à caractère
personnel consistant à utiliser ces données à caractère personnel pour évaluer
certains aspects personnels relatifs à une personne physique, notamment
pour analyser ou prédire des éléments concernant le rendement au travail, la
situation économique, la sante, les préférences personnelles, les intérêts, la
fiabilité, le comportement, la localisation ou les déplacements de cette
personne physique.
A la lecture de cette définition, le profilage se compose de trois éléments : une
forme automatisée de traitement ; portant sur des données personnelles ; afin d’évaluer des
aspects personnels d’un individu. Il est intéressant de noter que l’article 4 alinéa 4 du
RGPD se réfère à « toute forme de traitement automatisé » plutôt qu’à une « décision
fondée exclusivement sur un traitement automatisé » comme c’est le cas à l’article 22
alinéa 1. De plus, en offrant cette définition, le RGPD met l’accent sur l’autonomie de la
notion et sur l’importance de prévoir un encadrement spécifique152
. Il devient alors clair
que la production de profils en tant que telle est soumise au RGPD. A ce titre, le
considérant 72 du Règlement rappelle que les règles relatives au fondement juridique du
traitement ou les principes en matière de protection des données s’appliquent au profilage.
Un traitement de profilage repose sur l’établissement d’un profil individualisé,
concernant une personne en particulier : il vise à évaluer certains de ses aspects personnels,
en vue d’émettre un jugement ou de tirer des conclusions sur elle. Il a pour but d’évaluer un
individu et de prédire ses réactions et ses préférences. Il s’agit d’un traitement
individualisé. De ce fait, il ne comprend pas les traitements purement statistiques ayant
pour objectif d’obtenir d’une vue d’ensemble sur un groupe.
152
Nathalie Metallinos, « Commentaire - Lignes directrices du G29 sur le profilage » [2018] 2 Communication - Commerce électronique à la p 1.
55
Dans cet optique, le G29 a adopté des lignes directrices sur « Les décisions fondées
exclusivement sur un traitement automatisé et le profilage153
» (révisée le 6 février 2018).
Selon le G29, le RGPD précise que le profilage est un processus automatique de données
personnelles destiné à évaluer les aspects personnels, en particulier l’analyse et la
prédiction portant sur les individus. L’usage du terme « évaluation » suggère que le
profilage implique certaines formes d’études ou jugement sur une personne. Dès lors, de
façon générale, le profilage signifie l’agrégation d’informations sur un individu (ou groupe
d’individus) et l’évaluation de certaines caractéristiques ou comportements, dans l’objectif
de placer les individus dans certaines catégories ou groupes, en particulier pour analyser et
faire des prédictions, par exemple sur leur capacité à réussir une tâche, leurs intérêts ou
comportements154
. C’est bien ce qu’il se passe avec l’ECI : grâce aux données collectées au
cours de son utilisation, les algorithmes sont capables d’établir un profil précis de
l’individu concernant ses gouts, ses intérêts, etc. Ce profil est ensuite utilisé pour suggérer,
par exemple, de la musique qui pourrait plaire à l’utilisateur.
Finalement, d’après ces lignes directrices, il y a potentiellement trois façons de
considérer l’utilisation du profilage155
: le profilage en général, la décision automatisée
basée sur le profilage, les décisions prises exclusivement sur le fondement de procédés
automatiques, y compris le profilage, produisant des effets juridiques la concernant ou
l’affectant de manière significative de façon similaire156
. Dans le cas des ECI, ce dernier
type de profilage ne trouve pas à s’appliquer, puisque, a priori, l’utilisation normale de
l’enceinte se limite à un cadre purement commercial.
L’appréhension du profilage dans les législations étudiées
L’article 22 du RGPD est consacré aux décisions automatisées, y compris le
profilage. Selon cet article, la personne concernée a le droit de ne pas faire l’objet d’une
153
Groupe de travail « article 29 » sur la protection des données, Lignes directrices relatives à la prise de décision automatisée et au profilage aux fins du règlement (UE) 2016/679, WP251 rev01, 3 octobre 2017. 154
Castets-Renard, supra note 14 à la p 38. 155
Ibid. 156
Art. 22 alinéa 1, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
56
décision fondée exclusivement sur un traitement automatisé, y compris le profilage,
produisant des effets juridiques la concernant ou l’affectant de manière significative de
façon similaire (paragraphe 1). Toutefois, ce principe est assorti d’exceptions. En effet, le
paragraphe 1 ne s’applique notamment pas quand la décision est nécessaire à la conclusion
ou à l’exécution du contrat entre la personne concernée et un responsable de traitement
(paragraphe 2, a) ou lorsque cette décision est fondée sur le consentement explicite de la
personne concernée (paragraphe 2, c). Ces exceptions ne peuvent s’appliquer aux données
personnelles considérées comme sensibles que dans le cas où le consentement explicite de
la personne concernée a été accordé ou que le traitement est nécessaire pour des motifs
d’intérêt public (paragraphe 4).
On parle de décision entièrement automatisée lorsqu’une décision est prise à l’égard
d’une personne uniquement par le biais d’algorithmes qui sont appliqués à ses données
personnelles et ce, sans qu’aucun être humain n’intervienne dans le processus de décision.
Une décision a un effet juridique sur une personne lorsqu’elle impacte ses droits
et/ou ses libertés. Une décision qui ne produirait pas d’effet juridique peut tout de même
avoir un impact significatif. L’idée dégagée par le RGPD est de prévoir des règles
restrictives dans le cas où une décision entièrement automatisée impacte les droits et
libertés d’un individu afin d’éviter que l’individu ne subisse des décisions émanant
uniquement de machines. Pourtant, dans le cas de l’ECI, il semble assez peu probable
qu’une utilisation normale puisse conduire à une décision entièrement automatisée
impactant les droits et libertés de l’utilisateur.
Dans la loi canadienne, il n’y a pas de mention de la notion de profilage. Pourtant,
en plus des dix principes relatifs à l’équité dans le traitement de l’information de la
LPRPDE, le Commissariat à la protection de la vie privée (CPVP) a estimé que certaines
fins seraient généralement jugées comme non acceptables par une personne raisonnable.
Dans le document qu’il publie157
, le CPVP énonce à la lumière des décisions judiciaires
157
Commissariat à la protection de la vie privée du Canada, « Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE » (16 septembre 2011), en ligne : <https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-
57
antérieures les principes directeurs de l’interprétation du paragraphe 5 (3) de la LPRPDE. Il
définit également une série de zone interdites qui, d’après les conclusions tirées et les
consultations menées sur le territoire canadien, contreviennent selon lui la LPRPDE du
point de vue d’une personne raisonnable.
Pour rappel, le paragraphe 5(3) de la LPRPDE dispose que « l’organisation ne peut
recueillir, utiliser ou communiquer ses renseignements personnels qu’à des fins qu’une
personne estimerait acceptables dans les circonstances ».
Ce paragraphe est un élément clé qui permet de déterminer si les organisations sont
autorisées ou non à recueillir, à utiliser et à communiquer des renseignements personnels
selon les fins visées. Ceci constitue la limite législative qui protège les individus contre les
pratiques inacceptables des entreprises concernant les données. Ce paragraphe dissocie,
d’une part, les pratiques légitimes de gestion des renseignements que les organisations
peuvent adopter en conformité avec la loi et, d’autre part, les zones où elles ne peuvent
s’aventurer, aussi appelées « zones interdites158
». Parmi ces fins qualifiées de « zones
interdites », on retrouve le fait de « procéder au profilage ou au classement de personnes de
manière pouvant se traduire par un traitement inéquitable, non éthique ou discriminatoire
contraire aux lois relatives aux droits de la personne »159
.
À l’ère des mégadonnées, il est de plus en plus important de comprendre le lien
entre la collecte, l’utilisation et la communication de renseignements personnels
en amont et leurs effets discriminatoires en aval. Une analyse des données – ou tout autre
type de profilage ou de catégorisation – donnant lieu à des conclusions concernant des
individus ou des groupes, dans le but d’établir leur profil d’une manière qui pourrait aboutir
à une discrimination fondée sur des motifs interdits en vertu de la législation sur les droits
protection-des-renseignements-personnels-et-les-documents-electroniques-lprpde/p_principle/> (consulté le 21 juin 2019). 158
Commissariat à la protection de la vie privée du Canada, « Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) » (24 mai 2018), en ligne : <https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/collecte-de-renseignements-personnels/consentement/gd_53_201805/#fn10> (consulté le 10 juin 2019). 159
Ibid.
58
de la personne ne serait pas jugée acceptable selon le critère de la « fin acceptable » prévu
au paragraphe 5(3)160
.
Le profilage qui entraîne une discrimination interdite par la législation sur les droits
de la personne sera toujours inacceptable en vertu du paragraphe 5(3), mais une évaluation
au cas par cas s’impose pour déterminer si un résultat est injuste ou contraire à l’éthique.
Toutefois, les organisations devraient savoir qu’un profilage ou une catégorisation injuste
ou contraire à l’éthique sera aussi généralement jugé inacceptable en vertu du paragraphe
5(3).
Cette logique est conforme à l’esprit de la résolution sur les mégadonnées adoptée
par des commissaires à la protection des données et à la vie privée du monde entier au
cours de leur conférence annuelle tenue à Maurice en 2014. Les commissaires se sont alors
engagés à exhorter toutes les parties à montrer que les décisions concernant l’utilisation des
mégadonnées sont équitables, transparentes et responsables ; que les résultats du profilage
sont responsables, équitables et éthiques ; et que tout préjudice subi par des individus en
raison de résultats entièrement automatisés faussement positifs ou négatifs est évité161
.
Enfin, Commission d’accès à l’information rappelle que les entreprises qui utilisent
des systèmes de profilage et de publicité ciblée sur Internet sont soumises à la Loi sur la
protection des renseignements personnels dans le secteur privé162
. Les entreprises ont donc
l’obligation de ne recueillir que les renseignements nécessaires à l’objet du dossier qu’elles
détiennent sur une personne. L’entreprise doit informer cette personne de l’objet du dossier
et de l’utilisation qui sera faite des renseignements. Ainsi, si une entreprise constitue un
dossier sur vous afin de vous offrir des biens ou des services, elle doit vous informer des
renseignements personnels qu’elle entend collecter et obtenir votre consentement. Elle peut,
dès lors, recueillir les renseignements vous concernant nécessaires à l’exécution de ce
contrat. L’entreprise ne doit collecter que les renseignements nécessaires à l’objet du
160
Ibid. 161
Ibid. 162
Commission d’accès à l’information du Québec, Le profilage et la publicité ciblée, octobre 2013.
59
contrat, elle ne peut donc recueillir d’autres renseignements, et ce, même avec votre
consentement.
On ne retrouve donc pas de partie dédiée particulièrement au profilage dans la LPRPSP.
Le terme « profilage » n’apparait à pas. La loi est large mais elle permet donc d’encadrer le
profilage. C’est en tout cas l’avis du Centre de recherche en droit public de l’Université de
Montréal, auquel la question l’opportunité d’encadrer le profilage et le traitement massif
des mégadonnées dans la loi sur le secteur privé avait été soumise163
.
Quoi qu’il en soit, concernant les ECI, on ne peut pas considérer qu’à l’heure
actuelle certaines décisions entièrement automatisées portent atteinte aux droits et libertés
des individus. On peut cependant bien considérer qu’il y a du profilage puisqu’un profil est
établi, en fonction des requêtes prononcées et de toutes les métadonnées associées. L’ECI
collecte un nombre considérable de données personnelles sur l’utilisateur. Ces informations
collectées sont « digérées » par des algorithmes qui permettent d’établir le profil de
l’individu, ses gouts, ses préférences, ses centres d’intérêts et de lui proposer une offre
personnalisée au maximum. C’est notamment ce profilage qui fait l’intérêt de la machine.
En affichant une position restrictive sur les décisions entièrement automatisées, les
législations étudiées offrent un rempart certain aux éventuelles dérives qui pourraient
découler de l’usage d’une ECI. En effet, on pourrait imaginer un futur plus ou moins
proche où les compagnies d’assurance ou de crédit auraient accès d’une manière ou d’une
autre au profil que l’ECI a constitué sur l’individu. Ceci pourrait avoir des conséquences
sur l’octroi d’un crédit ou autre, puisque, du fait de sa position si particulière au sein de
l’intimité de l’individu, l’ECI peut détenir des informations potentiellement très
intéressantes pour ce genre d’organismes.
Avec ces dispositions, nous avons donc à faire à un dispositif qui permet de protéger
les individus de façon assez efficace et qui permet d’éviter les dérives. Le règlement
163
Q°4, Centre de recherche en droit public, Consultation relative à l’actualisation de la Loi sur la protection des renseignements personnels dans le secteur privé, Montréal, 2015.
60
général contient aussi des règles importantes au regard de l'intelligence artificielle, en
particulier sur le profilage. « Mais la réflexion doit, sur ces questions, être poursuivie164
».
Malgré la base intéressante qu’offrent le RGPD, la LPRDPE et la loi québécoise
aux utilisateurs d’ECI pour la protection de leurs données personnelles nous nous
efforcerons maintenant de mettre en évidence les limites de ces différentes législations face
aux évolutions du monde numérique, et plus particulièrement face au cas des ECI.
164
Bensamoun et Loiseau, supra note 33 à la p 295.
61
Chapitre 2 - Les insuffisances du RGPD, du droit canadien et du droit québécois au regard de l’enceinte connectée « intelligente »
Au regard de l’utilisation d’une enceinte connectée « intelligente », trois grands types
d’insuffisances des législations choisies peuvent être mis en évidence : les insuffisances
liées à la quantité de données collectées (A), insuffisances liées à l’opacité de la machine
(B) et les insuffisances liées au rapport au temps (C).
B. Des insuffisances liées à la quantité de données collectées
On caractérise souvent les mégadonnées par la règle des 3V165
: volume considérable de
données, variété d’informations (provenant de sources diverses) et vélocité (fréquence de
création, de partage, de mise à jour). Selon les professeurs Alexandra Bensamoun et Célia
Zolynski :
Si les données numériques sont par essence reproductibles, disponibles
partout et tout le temps, presque fuyantes, le phénomène Big Data a accentué
encore ces traits. L’intérêt n’est d’ailleurs plus réellement la donnée, prise en
tant qu’unité, multiple et isolée, mais la concentration, la masse de données,
mises en réseau, appréhendées de manière unitaire et non granulaire166
.
Pourtant, la plupart des dispositifs relatifs aux données envisagent le traitement
juridique unitaire de la donnée, sans nécessairement chercher à le distinguer de celui que
l’on pourrait être amené à réserver aux masses de données167
. Les qualificatifs « massif », «
de masse », « à grande échelle » sont récurrents dans les discours relatifs aux données
personnelles : on parle de grandes masses de données, de collectes massives, de traitements
à grande échelle, ou encore de surveillance de masse. De fait, une grande partie des
difficultés nouvelles en la matière est liée au volume important de données personnelles en
165
Certains auteurs parlent parfois des 5V, pour volume, variété, vélocité, véracité (pour désigner leur manque de fiabilité), valeur. 166
Alexandra Bensamoun et Célia Zolynski, « Cloud computing et big data - Quel encadrement pour ces nouveaux usages des données personnelles ? » [2015] 189 La Découverte - « Réseaux » à la p 109, en ligne : La Découverte - « Réseaux » <https://www.cairn.info/revue-reseaux-2015-1-page-103.htm>. 167
Jean-Sylvestre Bergé et Daniel Le Métayer, « Phénomènes de masse et droit des données » [2018] 12 Communication - Commerce électronique à la p 1.
62
jeu. Cependant, cette notion de masse ou de quantité ne semble pas être en soi consacrée
par le droit des données personnelles168
.
Les espoirs suscités par les mégadonnées sont liés au fait qu’il est possible, en les
analysant, de découvrir des corrélations jusqu’alors insoupçonnées ou de réaliser des
statistiques fines sur les comportements humains. Les craintes les plus fortes concernent
des traitements qui n’ont pas pour but d’inférer des connaissances générales, mais des
informations individuelles. Les traitements recouvrent le plus souvent des intérêts purement
commerciaux tels que le ciblage publicitaire, l’utilisation de scores de crédit, ou la
tarification personnalisée des assurances. Mais ce n’est pas tout ; les traitements recouvrent
de plus en plus des aspects politiques voire juridiques, ce qui n’est pas sans soulever
d’importantes inquiétudes sur le plan démocratique. Par ailleurs, le simple fait de traiter de
grandes masses de données, notamment quand celles-ci sont centralisées, représente un
risque accru en matière de sécurité. Nul besoin d’insister sur ce point, les révélations de la
presse en matière de fuites massives de données personnelles font régulièrement
l’actualité169
.
Dans le cas de l’enceinte connectée « intelligente », le fonctionnement du système
repose sur l’utilisation, et donc le traitement, des stocks de données massifs et mouvants.
Pour Alexandra Bensamoun et Grégoire Loiseau, « les données, dont certaines seront sans
aucun doute personnelles, ne sont plus appréhendées comme des unités statiques, mais
comme des masses unitaires et dynamiques. L’analyse n’est plus tant qualitative que
quantitative170
».
Dans cette sous-partie nous verrons en quoi la masse de données collectées par l’ECI
remet en cause le principe de minimisation des données ainsi que les règles sur le profilage.
168
Ibid. 169
Ibid à la p 2. 170
Bensamoun et Loiseau, supra note 33 à la p 295.
63
1. Le principe de minimisation des données
Afin d’exposer au mieux nos propos, nous ferons état des problèmes soulevés par ce
principe au regarde de l’ECI avant des proposer des solutions pour pallier ces insuffisances.
Les problématiques posées par le principe de minimisation des données
Comme nous avons pu le voir au cours de nos précédents développements, le RGPD
impose un principe de minimisation des données (article 5.1.c). Il en va de même la
législation canadienne (Annexe 1, article 4.1). La loi québécoise quant à elle, use du critère
de nécessité afin de déterminer quelles doivent être les données collectées. Ces différentes
législations imposent donc, à leur manière, que la collecte de renseignements personnels
soit réduite au strict « nécessaire ». Dans un système de Big Data, de collecte massive,
comme l’ECI, un tel principe se trouve ébranlé dans la mesure où l’objet collecte un
nombre extrêmement conséquent de renseignements personnels.
Les professeurs Alexandra Besnsamoun et Grégoire Loiseau posent à juste titre la
question : « Est-il bien réaliste de vouloir garantir, par défaut, que le traitement se limite au
strict nécessaire au regard de la finalité spécifique du traitement dans un domaine où c'est
justement l'accumulation, l'étendue et la durée qui font l'intelligence ?171
»
Pour ces auteurs, la résolution adoptée par le Parlement européen ignore un aspect
fondamental de l'intelligence artificielle, qui tient à son lien avec les données massives ou
le Big Data. Ceci semble assez évident lorsqu’on se penche sur la question de l’ECI.
L’intelligence artificielle qui compose l’assistant vocal (software de l’ECI) a, par nature,
besoin d’une accumulation d’informations sur l’individu utilisateur pour pouvoir offrir un
service personnalisé et pertinent. De plus, ces informations sont incluses dans un processus
plus large qui permet à toutes les enceintes connectées du fabricant (en l’occurrence,
Amazon et Google) de pouvoir se perfectionner.
171
Ibid.
64
Dans ce cadre, c'est le point d'entrée de la législation spéciale qui est susceptible de
poser problème : quelle pertinence il y a à faire de la donnée personnelle la condition de la
protection alors que le traitement Big Data permettra, par recoupements, de transformer a
posteriori des données brutes ou neutres en données identifiantes ? Selon les professeurs
Bensamoun et Loiseau, « la conjugaison de l'intelligence artificielle et du Big Data
dédouanera, à terme, de l'amont - et donc de la condition de mise en œuvre de la législation
- pour finalement obtenir, en aval, le même résultat ».172
Dans le même esprit, Charly Berthet173
résume assez bien l’idée que le droit des
données reste aujourd'hui largement centré sur l'individu alors que ces systèmes
fonctionnent le plus souvent à l'échelle des groupes d'individus, par l'analyse d'une masse
considérable d'informations afin d'identifier des tendances et des comportements masqués.
Les solutions permettant de pallier les insuffisances du principe de minimisation des
données au regard de l’ECI
Pour atténuer ce décalage, le rapporteur de la mission Villani sur l’intelligence
artificielle préconise de penser de nouveaux droits collectifs sur les données174
. A titre
d’exemple, l’article 43 ter de la loi française n°78-17 du 6 janvier 1978 qui consacre un
renforcement de l’action de groupe des individus sur leurs données. Ce recours à l’action
collective en matière de sécurité des données est également une tendance émergente au
Canada et au Québec. En effet, les recours collectifs relatifs aux renseignements personnels
sont de plus en plus nombreux depuis ces dernières années. On peut citer par exemple
l’action exercée contre Facebook en raison de la collecte et de la divulgation abusive de
renseignements sur les utilisateurs à la firme de consultation politique Cambridge Analytica
et ses entités liées175
. Il s’agit là d’une solution plus générale.
172
Ibid. 173
Charly Berthet, « Vers une politique de l’intelligence artificielle ? » [2018] Recueil Dalloz à la p 1640. 174
Ibid. 175
« Violation de confidentialité par Facebook », en ligne : Siskinds Law Firm <https://www.siskinds.com/class-action/violation-de-confidentialite-par-facebook/?lang=fr> (consulté le 31 juillet 2019).
65
Concernant la minimisation des données à proprement parler, il pourrait être
envisagé de faire appel à des éléments de droits mous comme des accords signés par les
fabricants d’ECI. Il serait pertinent que ces accords soient le fruit d’une consultation entre
ces grandes entreprises mais aussi des réels utilisateurs ayant à cœur de protéger au mieux
la vie privée des individus.
En la matière, les solutions restent malgré tout difficile à envisager puisqu’il n’y a
pas une seule « bonne » solution. La protection des renseignements personnels des
individus doit être une priorité. Pourtant, il ne faut pas non plus diaboliser les nouvelles
technologies, ni brider l’innovation, qui apporte sans nul doute son lot d’éléments positifs.
A ce titre, le principe de minimisation des données n’est pas le seul à souffrir
d’insuffisance au regard du grand nombre de données collectées par l’ECI. En effet, c’est
également le cas du profilage.
2. Les règles applicables au profilage
L’étude du profilage au regard de l’ECI met en évidence des insuffisances. Nous
tenterons d’y apporter des solutions.
Les insuffisances du profilage au regard de l’utilisation de l’ECI
Selon la CNIL,
La collecte et l’analyse de l’activité des personnes, par exemple sur Internet,
les réseaux sociaux ou les sites marchands, permettent de construire des
profils pour mieux cerner leur personnalité, leurs habitudes d'achat ou leur
comportement. Ces processus sont toutefois susceptibles d’aboutir à des
analyses et prédictions inexactes, voire à des refus de services injustifiés ou à
d’autres décisions défavorables aux personnes, de perpétuer des stéréotypes
et d’enfermer des personnes dans leurs choix176
.
176
CNIL, « Profilage et décision entièrement automatisée » (29 mai 2018), en ligne : <https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee> (consulté le 19 juin 2019).
66
En effet, les Big Data sont utilisées par les grandes entreprises dans une pure logique
économique, soit pour identifier et étudier les tendances générales d’un marché déterminé,
soit pour prédire le comportement des clients et leur fournir une publicité ciblée, et ce en
combinant simultanément ces trois techniques du marketing direct qui sont « le marketing
contextuel adapté au contenu que l’utilisateur voit ou auquel il accède […], le marketing
segmenté [qui] consiste à diffuser des publicités à des groupes d’utilisateurs ciblés [et où]
l’utilisateur est placé dans un groupe en fonction des informations qu’il a communiquées
directement. Enfin, le marketing comportemental [qui] sélectionne les publicités par
l’observation et l’analyse des activités de l’utilisateur au cours du temps177
.
Lié à cette notion de profilage, on retrouve le phénomène de « monétisation de
l’intime178
». En effet, l’ECI étant essentiellement destinée à être placée au domicile de
l’individu pour contrôler d’autres objets connectés ou permettre d’utiliser des services de
divertissement. Elle se retrouve ainsi au cœur du foyer. Le profil publicitaire se retrouve
alors enrichi de tout un tas d’informations particulièrement précises et personnelles comme
les déplacements hors de la maison, les horaires de lever et de coucher, les centres
d’intérêts, les préférences… Pour utiliser les services « gratuits » offerts pas l’ECI,
l’utilisateur paye en fait le prix fort en communiquant des données particulièrement
sensibles : son profil.
De plus, à l’image des applications qui canalisent l’accès aux contenus sur internet pour
les utilisateurs finaux, la multiplication des assistants vocaux à la maison pourrait
restreindre davantage l’accès à internet dans un nombre croissant de configurations179
. En
effet, si ces équipements présentent l’avantage de permettre d’accéder à certains contenus
de l’internet de façon extrêmement fluide et personnalisée, leur usage est susceptible de se
faire au détriment de la capacité de choix de l’utilisateur final. Des enjeux commerciaux,
mais surtout le profilage, pourraient biaiser les réponses des assistants vocaux, avec des
effets qui s’accroîtront au fur et à mesure que ces assistants gagneront en compétence. Ils
177
Groupe de travail « article 29 » sur la protection des données, Avis 5/2009 sur les réseaux sociaux en ligne, WP163, 12 juin 2009. 178
CNIL, supra note 12. 179
Autorité de régulation des communications électroniques et des postes, Les terminaux, maillon faible de l’ouverture d’internet, 2018 à la p 49.
67
sont d’ores et déjà capables d’acheter directement des biens ou des services pour
l’utilisateur, en contrepartie, le cas échéant, d’une commission sur la transaction.
En juin 2017, la société Google a notamment été condamnée par la Commission
européenne pour abus de position dominante, l’algorithme de son moteur de recherche
privilégiant de manière déloyale sa filiale Google Shopping dans la présentation des
résultats concernant des comparateurs de prix180
. Une condamnation pour abus de position
de dominante n’est pas en soi une nouveauté mais le point intéressant dans le contexte qui
nous concerne ici est le fait que cette position dominante découle en grande partie de la
personnalisation précise que Google peut réaliser grâce aux volumes massifs de données
collectées181
.
Dans le cas de l’ECI, tout ceci est encore plus biaisé puisque l’enceinte est un moteur
de résultat, pas un moteur de recherche182
. En effet, en se basant sur le profil de l’individu,
l’ECI ne propose qu’un seul et unique résultat à la requête. Certes, ce résultat unique est
inhérent à l’objet même puisqu’il n’y a pas d’écran permettant d’afficher plusieurs
résultats. Pourtant, le problème n’est pas que là ; c’est surtout l’idée que, via le profil qui a
été établi sur lui, l’utilisateur d’ECI se retrouve « enfermé » / « cerné » par ses choix. D’une
certaine manière, cet enfermement dans l’algorithme apparait comme une atteinte au
principe de neutralité du Net.
La neutralité du Net, est un principe qui régit Internet depuis ses débuts, et qui
« garantit un traitement technique identique à tous les fournisseurs de contenus, petits ou
grands, consensuels ou dérangeants183
». Il s’agit d’un principe simple de non-
discrimination : tout le monde doit avoir un égal accès à Internet et aucun contenu ne doit
bénéficier d'un traitement préférentiel et s'afficher plus rapidement que les autres. Cette
180
Alexandre Joux, « Google sanctionné par la Commission européenne » (20 février 2018), en ligne : La revue européenne des médias et du numérique <https://la-rem.eu/2018/02/google-sanctionne-commission-europeenne/> (consulté le 21 juin 2019). 181
Bergé et Le Métayer, supra note 165 à la p 2. 182
Hadopi et CSA, supra note 25 à la p 10. 183
Le Monde, « Qu’est-ce que la neutralité du Net ? » (4 juillet 2014), en ligne : <https://www.lemonde.fr/vie-en-ligne/article/2014/07/04/la-neutralite-du-net-qu-est-ce-que-c-est_4451153_4409015.html> (consulté le 21 juin 2019).
68
règle empêche le fournisseur d’accès à Internet d’influer sur l’activité de l’internaute ou sur
la vitesse à laquelle sont transmis les paquets de données sur le réseau184
. Ainsi, puisque
l’ECI est entrainée à offrir à son utilisateur la réponse la plus adaptée, l’accès aux contenus
sur Internet de ce dernier se trouve biaisé.
Les solutions à envisager pour pallier les insuffisances des règles applicables au profilage
Une fois encore, il est difficile d’apporter une « bonne » réponse aux
problématiques que posent l’ECI en ce qui concerne le profilage. D’une certaine manière,
le profilage est nécessaire à l’utilisation de cet objet connecté, c’est même l’un des
éléments majeurs qui permet d’obtenir un service personnalisé. Pourtant, un profilage si
intrusif, si précis est dérangeant. Mais il est également contraignant dans la mesure où il
« enferme » l’utilisateur dans ses choix.
Sur l’aspect intrusif, la CNIL185
préconise de rester vigilant à l’égard des ECI et
propose des recommandations pour limiter ce profilage. Il s’agit de solutions qui placent
l’utilisateur de l’ECI au centre de sa propre protection en le responsabilisant. Il est ainsi
conseiller de ne se connecter qu’à des services qui présentent réellement une utilité, tout en
considérant les risques à partager des données intimes ou des fonctionnalités sensibles. Il
est également suggéré d’être vigilant sur le fait que les propos tenus peuvent enrichir le
profil publicitaire.
Concernant l’ « enfermement » de l’utilisateur dans ses propres choix, la solution
peut encore une fois se trouver du côté de l’utilisateur de l’ECI. Ce dernier devrait se rendre
régulièrement sur le tableau de bord pour supprimer l’historique des
conversations/questions posées et personnaliser l’outil selon ses besoins186
. Par exemple,
définir le moteur de recherche ou la source d’informations utilisées par défaut par
l’assistant.
184
Ibid. 185
CNIL, supra note 12. 186
Ibid.
69
Les solutions pourraient également se trouver du côté du fabricant, qui pourrait tirer
profit de l’évolution de la technique pour mettre en place des solutions pour limiter ces
problématiques.
Cependant, les insuffisances des législations étudiées face à l’utilisation des ECI ne
s’arrêtent pas là. En effet, il existe également des insuffisances liées à l’opacité de l’objet
connecté.
B. Des insuffisances liées l’opacité de l’objet connecté
L’ECI se trouve être un objet connecté particulièrement opaque. Cette opacité se
ressent tant dans la manière de communiquer les informations importantes à l’utilisateur
que dans son fonctionnement même. Cette opacité entraine alors des conséquences lorsqu’il
s’agit d’appliquer les principes de transparence et de consentement.
1. Le principe de transparence
Dans le monde numérique, force est de constater que la situation est souvent la
suivante : on a d’une part l’utilisateur qui est très peu informé sur le fonctionnement de du
produit ou service, et d’autre part, l’entreprise qui a accès à un nombre croissant
d’informations sur l’utilisateur, notamment car son modèle économique se base sur la
collecte de données187
. Cette situation prend en considération tant l’obligation
d’information qui incombe aux responsables de traitement en vertu du principe de
transparence, que l’explicabilité des algorithmes qui composent les nouvelles technologies
(comme l’ECI).
Les insuffisances relatives à l’obligation d’information
Concernant d’abord l’obligation d’information, nous avons pu voir que les
différentes législations étudiées imposent toutes, à une échelle plus ou moins importante, un
certain nombre d’informations qui doivent être communiquées à la personne concernée.
187
Claret, supra note 108.
70
Dans le cas de l’ECI, la plupart des interactions se font sans écran, il n’est donc pas
possible d’obtenir des informations par le biais de l’enceinte à proprement parler. Ce sont
donc la notice, l’application et les sites internet des fabricants qui font office de mine à
informations pour l’utilisateur. En ce qui concerne la notice de la Google Home, cette
dernière se révèle être très courte et ne contenant presque pas d’informations sur les
données personnelles. Reste alors l’application, dont le design se veut épuré et n’offre que
des informations très simplifiées à l’utilisateur, et les pages internet qui offre un support
particulièrement éclaté et complexe à comprendre. Il faut ainsi aux utilisateurs d’Echo et de
Google Home faut plusieurs documents et supports différents pour espérer avoir toutes les
informations nécessaires. Le recours à de tels outils pour obtenir l’information est tout à fait
légal, pourtant, nous ne pouvons nous empêcher de penser que l’information « éclatée » qui
est offerte à l’utilisateur nous renvoie une idée d’opacité. Cette impression d’opacité est
renforcée par le fait que l’ECI, l’objet même, ne délivre quant à lui aucune information.
Certes, l’utilisateur peut trouver l’information s’il le souhaite, mais peut-on vraiment
considérer que toutes les diligences sont faites pour qu’il obtienne réellement les
renseignements nécessaires ?
La principale conséquence de cette opacité est que l’individu se retrouve dépourvu
des informations importantes, éventuellement « gênantes » dont il serait nécessaire qu’il ait
conscience. En outre, les fabricants d’ECI ne respecte même pas vraiment leur obligation
d’information puisqu’on a pu récemment découvrir que les extraits vocaux enregistrés par
la machine étaient en fait écoutés par des employés du fabricant. En avril dernier, c’est le
magazine Bloomberg188
qui révélait que les employés d’Amazon écoutaient toute une partie
des enregistrements vocaux des utilisateurs dans le but d’améliorer l’intelligence artificielle
de l’ECI. Une découverte similaire a été faite début juillet par le magazine belge VRT189
concernant cette fois la Google Home. Au-delà de l’aspect « dérangeant » qui frappe au
premier abord, le problème réside dans le fait qu’il n’était fait mention nulle part (pour la
188
Matt Day, Giles Turner et Natalia Drozdiak, « Amazon Workers Are Listening to What You Tell Alexa » (10 avril 2019), en ligne : <https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio> (consulté le 12 avril 2019). 189
Lente Van Hee et al, « Google employees are eavesdropping, even in your living room, VRT NWS has discovered » (10 juillet 2019), en ligne : <https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-eavesdropping-even-in-flemish-living-rooms/> (consulté le 12 juillet 2019).
71
Google Home comme pour l’Echo d’Amazon) que les enregistrements vocaux des
utilisateurs pouvaient être écoutés par des humains. Dans ce contexte, peut-on vraiment
considérer que l’obligation d’information qui découle du principe de transparence a bien été
respectée ? Il semble que non.
Les solutions propres aux insuffisances relatives à l’obligation d’information
Afin de pallier ces défauts d’informations, nous pourrions d’abord envisager une
solution qui se place du côté de la technique. En effet, on pourrait imaginer que les
informations « importantes » soient communiquées à haute voix par l’enceinte connectée.
Pour aller plus loin dans cette idée, il pourrait être envisager que la voix de la machine
change lorsqu’il s’agit d’informations « importantes ». Ceci pourrait permettre d’attirer
l’attention des individus. Par exemple, quand la voix devient grave, c’est qu’il s’agit d’une
information importante sur la vie privée.
L’autre solution pourrait reposer dans la contrainte des fabricants d’ECI. En effet, il
pourrait être pertinent que des sanctions leur soient automatiquement imposées lorsque des
révélations telles que celles des médias Bloomberg et VRT apparaissent. Les sanctions
contraignantes imposées par les organismes de contrôle existent déjà avec le RGPD, mais
ce n’est pas le cas dans les lois canadienne et québécoise. Une telle mise-à-jour de la loi sur
ce point serait la bienvenue.
Les insuffisances relatives au principe d’explicabilité
Pour Charly Berthet, « les techniques d’IA les plus prometteuses fonctionnent
souvent comme des « boites noires », en ce qu’il est très difficile de retracer clairement le
raisonnement qui les font aboutir à telle ou telle décision, y compris pour leurs
concepteurs190
».
190
Berthet, supra note 171 à la p 1640.
72
Le plus souvent, aucune information n’est donnée sur l’architecture du programme
ou les instructions données à la machine, ce qui peut être facilement une source de biais,
erreurs ou discriminations191
.
Au-delà du problème des biais, l’opacité des modèles doit également être dénoncée.
Pour certains, nous serions rentrés dans une société fondée sur une « boîte noire » (« Black
Box Society »)192
, compte tenu de l’opacité des données et instructions mis en œuvre par
les procédés algorithmiques. En outre, les résultats obtenus ne peuvent le plus souvent pas
être étudiés, a fortiori en présence de droits de propriété intellectuelle et secrets d’affaire
portant sur les systèmes et parfois sur les données elles-mêmes. Tout ceci constitue autant
d’obstacles à la transparence. Si le principe d’explicabilité existe, il semble qu’il soit
compliqué à réellement mettre en œuvre dans les faits.
L’ennui repose également dans le fait que les data scientists eux-mêmes ne sont en
mesure d’expliquer la plupart des processus algorithmiques et ne peuvent que constater une
meilleure efficacité des résultats obtenus193
. Selon Céline Castets-Renard, « les modèles
fréquemment utilisés sont effectivement construits sur des corrélations et inférences plutôt
que sur des causalités, ce qui rend impossible toute explication claire et compréhensible par
l’homme194
». En conséquence, ces obstacles juridiques et techniques créent une asymétrie
d’information entre, d’une part, les utilisateurs des systèmes algorithmiques et, d’autre part,
les personnes qui se voient impactées par les résultats ainsi obtenus.
Céline Castets-Renard poursuit :
Eu égard à l’émergence des risques associés aux procédés algorithmiques,
s’est exprimé le besoin d’une gouvernance du machine learning, autrement
appelé « éthique » des algorithmes, afin de garantir une meilleure
transparence, loyauté, ou encore « explicabilité » ou obligation de rendre
compte (accountability) des décisions prises sur le fondement de telles
méthodes195
.
191
Castets-Renard, supra note 14 à la p 35. 192
Franl Pasquale, The Black Box Society : The Secret Algoritms That Control Money and Information, Harvard University Press, 2015. 193
Castets-Renard, supra note 14 à la p 36. 194
Ibid. 195
Ibid.
73
Les solutions propres aux insuffisances du principe d’explicabilité
Si le RGPD accorde des droits qui vont dans le sens d’une plus grande transparence, le
rapporteur de la mission Villani sur l’intelligence artificielle, Charly Berthet, suggère un
investissement massif dans la recherche sur l’explicabilité196
.
Au Canada, la loi a été rédigée de manière à ce que les évolutions techniques
puissent être prises en considération. Cependant, un investissement massif sur la recherche
sur la transparence et plus particulièrement l’explicabilité serait le bienvenu.
Ces problématiques de transparence ne sont pas sans conséquence. En effet, sans
information ni compréhension claire de l’objet connectée, comment consentir
valablement ?
2. Le consentement
Le consentement recueilli lors de l’utilisation de l’ECI est particulièrement
complexe. Cette complexité est accrue par la diversité des individus qui seront amené à
utiliser l’enceinte.
Le consentement du propriétaire de l’ECI
Le consentement représente un des moteurs de la protection des données
personnelles. En principe, il permet aux utilisateurs de contrôler ce que les entreprises
peuvent faire et ne pas faire avec leurs renseignements personnels. Ceci constitue
uniquement le principe, puisque la notion de consentement est de plus en plus critiquée et
jugée inadaptée dans certains contextes comme l’univers numérique197
(et les ECI). C’est
notamment le caractère incompréhensible et complexe des formules de consentement ou
des politiques des entreprises ainsi que l’absence de véritable choix qu’ils offrent au
citoyen qui constituent les principales critiques à l’égard du modèle du consentement.
196
Berthet, supra note 171 à la p 1640. 197
Christophe Lazaro et Daniel Le Métayer, « Le consentement au traitement des données personnelles, perspective comparative sur l’autonomie du sujet » (2014) 48:765 RJTUM.
74
En effet, comme nous avons pu le voir, avec l’ECI, les informations qui sont
offertes aux utilisateurs sont particulièrement opaques. Elles ne sont pas fournies par l’objet
même, elles difficiles à trouver, complexes et disséminées sur plusieurs supports. Dans ces
conditions peut-on réellement que l’utilisateur a consenti ? Plus encore, il nous ait permis
de douter que certaines personnes auraient consenti s’ils avaient eu connaissance des
révélations des magazines Bloomberg et VRT précédemment évoquées.
Mais encore, comment considérer qu’il y a consentement alors que l’utilisateur n’a
pas vraiment le choix ? Il peut certes moduler certaines préférences, mais la plupart des
fonctionnalités qui peuvent poser problème ne sont pas optionnelles. Pour accéder à tous les
services, l’utilisateur est « obligé » de consentir et d’accepter des conditions d’utilisation
qu’il n’a ni le temps ni la capacité de déchiffrer.
On se retrouve alors face au privacy paradox : les individus se sentent concernés par
la protection de leurs données personnelles mais à côté de ça, ils acceptent des conditions
improbables les yeux fermés. A ce titre, 62% des utilisateurs français d’ECI craignent pour
la confidentialité de leurs données personnelles198
et 61% à estimer que les ECI constituent
une menace pour leur vie privée199
. Malgré ça, force est de constater que les utilisateurs
continuent à utiliser leurs ECI et à communiquer des informations particulièrement
sensibles. La volonté d’utiliser le service supplante la volonté de protéger ses données. On
assiste ainsi à une crise plus globale du consentement au regard des nouvelles technologies.
Le consentement de l’entourage et des mineurs
À supposer que la question du consentement de l’individu qui possède une ECI ne
soit pas problématique (ce qui est loin d’être le cas), une seconde interrogation nous vient à
l’esprit. Celle de l’entourage du propriétaire. En effet, le présent mémoire ne se limite pas à
la protection du propriétaire d’ECI mais à celui de l’utilisateur. Prenons l’exemple d’un
individu qui rendrait visite à un de ses amis qui possède une ECI. La possibilité qu’il utilise
cette dernière est loin d’être improbable. Cet individu se retrouverait donc utilisateur actif,
198
Hadopi et CSA, supra note 25 à la p 45. 199
Ibid.
75
sa voix serait enregistrée dans le cloud de la machine… À ce titre, son consentement ne
devrait-il pas être recueilli ? Lorsqu’un individu possède une enceinte connectée et qu’il
reçoit des invités, comment considérer que ces derniers ont consenti ? A titre d’exemple, la
notice papier de l’ECI Google suggère simplement de tenir informer les individus de la
présence d’une ECI. Il semble que cette simple mention sur une notice soit loin d’être
suffisante.
La question du consentement des enfants se pose également. En effet, l’ECI a un
aspect gadget presque jouet. L’aspect ludique est renforcé par l’utilisation de la voix qui
rend l’utilisation extrêmement simple et intuitive. De plus, l’ECI est entrainée pour faire
des blagues, ce qui accroit son potentiel attractif auprès les enfants. L’utilisation d’un tel
objet par un enfant peut pourtant être dangereuse. On pense tout de suite à la possibilité de
pirater l’enceinte, de parler à l’enfant ou plus simplement qu’il ait accès à des informations
qui ne sont pas de son âge. Un rapprochement peut être fait avec l’affaire de la poupée
connectée qu’on pouvait hacker200
et pour laquelle la CNIL avait publié une mise en
garde201
.
L’usage par les mineurs de services numériques suppose forcément la question de
leur consentement. L’information doit être adaptée à leur âge, ce qui suppose que
l’opérateur de plateforme prenne en compte la variété des publics auxquels il s’adresse. En
dehors de toute considération sur les droits nationaux, certaines plateformes ont fixé un âge
minimum d’utilisation de 13 ans. Pourtant la question de l’âge auquel l’enfant peut
consentir seul au traitement de ses données fait partie de celles sur lesquelles le RGPD
accorde une marge de manœuvre aux États membres, tout en fixant une limite à 16 ans202
.
Quoi qu’il en soit, les obligations de l’organisme sont finalement limitées car le responsable
de traitement doit seulement « s’efforcer raisonnablement de vérifier » le respect de cette
200
Anne-Laure Villedieu et Benjamin Benezeth, « La poupée trop connectée, une Toy’s Story qui dérape » [2018] 140 Petites affiches. 201
CNIL, « Jouets connectés : quels conseils pour les sécuriser ? », en ligne : <https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser> (consulté le 15 février 2019). 202
Art. 8, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
76
exigence « compte tenu des moyens technologiques disponibles203
» (RGPD, art 8 para 2).
Ceci met forcément la barre de l’exigences assez basse.
Les solutions envisageables pour pallier les insuffisances du principe de consentement
À titre de fondement des règles relatives à la protection des renseignements
personnels, il importe de préserver et de réaffirmer ce principe du consentement dans les
législations à la lumière des nouvelles possibilités offertes par les technologies. Toutefois, à
l’heure actuelle le citoyen est souvent laissé seul face à une multitude de choix pouvant être
lourds de conséquences au regard de sa vie privée. De plus, il ne bénéficie pas toujours
d’informations claires et suffisantes pour lui permettre de faire ces choix. La Commission
d’accès à l’information québécoise est d’avis que le fardeau doit être renversé et remis sur
les épaules des acteurs qui développent des technologies potentiellement attentatoires à la
vie privée. Elle estime également que la notion de consentement doit être repensée en
tenant compte de la réalité numérique et de la multiplication des usages possibles des
renseignements personnels204
.
Une des idées dégagées de la consultation sur la LPRPDE serait de créer une sorte
d’organisme liaison entre les entreprises et les individus. Les individus choisissent ce à
quoi ils consentent et l’organisme de liaison fait le lien entre l’individu et le responsable de
traitement. Un tel système aurait l’avantage d’offrir un contrôle plus fort et non contraint
des individus concernant leurs renseignements personnels puisqu’ils auraient la possibilité
de choisir à des niveaux de détails précis les traitements et collectes pour lesquels ils
souhaitent consentir. Un tel système, s’il semble attrayant, se heurte à des contraintes
techniques de mise en place. Comment s’assurer de la neutralité de l’organisme de liaison ?
Serait-il mis en œuvre par le gouvernement ? Par une entité privée ? Comment assurer
techniquement la liaison entre l’organisme et les responsables de traitement ?
203
Art. 8 au para 2, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016. 204
Commission d’accès à l’information du Québec, Pour un développement responsable de l’intelligence artificielle qui respecte le droit et la vie privée et responsabilise tous les acteurs impliqués, Montréal, 2018 à la p 4.
77
Concernant le consentement de l’entourage du propriétaire d’une ECI, il serait
possible d’imaginer des sortes de smart contacts pour consentir à la collecte des données
personnelles. Ce serait peut-être un peu disproportionné, mais la solution est envisageable.
Il semble opportun de mettre à profit les avancées technologiques pour régler les problèmes
justement dû à ces technologies.
Enfin, en ce qui concerne le consentement des enfants, il pourrait être fait en sorte
que la reconnaissance vocale détecte qu’il s’agit d’un enfant. On pourrait imaginer un
système où l’enfant ne peut utiliser l’ECI que si un consentement valable à préalablement
été obtenu et que sa voix a bien été enregistrée. Cette possibilité peut se heurter à des
erreurs technologiques, mais il s’agit d’une piste possible. En ce sens, on se rapproche de
l’idée d’une privacy by design.
Malgré cela, il existe un dernier type d’insuffisances qui découlent de l’utilisation de
l’ECI. Il s’agit des insuffisances liées au rapport au temps. Ces dernières sont induites par
l’intelligence artificielle contenue dans l’ECI.
C. Des insuffisances liées au rapport au temps
Le principe de limitation des finalités et celui de minimisation des données se
retrouvent inexorablement liés dans leurs insuffisances. En effet, les délais de conservation
et l’éventuelle destruction des données se retrouvent subordonnés aux fins pour lesquelles
la collecte a été effectuée. Pendant longtemps, le cycle de vie de la donnée a été envisagé
de façon simple, avec un début et une fin (une finalité). Or avec les technologies
numériques telles que l’ECI, ce rapport au temps se retrouve perturbé et les principes de
limitation des finalités ainsi que de minimisation des données laissent apparaitre des
insuffisances.
1. Le principe de limitation des finalités
Avant de proposer des solutions, il est nécessaire de faire étant des insuffisances liées
au principe de limitation des finalités au regard de l’ECI.
Les insuffisances liées au principe de limitation des finalités
78
Le développement du Big Data, de l’ouverture et de la réutilisation des données,
associé au progrès de l’intelligence artificielle, vient remettre en cause ce principe de
détermination des finalités au moment de la collecte des données205
. Certains traitements
mis en œuvre dans ce nouveau cadre reposent en effet sur des corrélations, des mises en
relation et des calculs sur des données qui sont découverts en cours de processus. En effet,
les algorithmes « apprennent » notamment en se « nourrissant » des données. De ce fait,
tout ou partie des finalités de ces traitements n’apparaîent souvent qu’après avoir traité des
données. Le RGPD ne répond pas de manière générale à cette problématique, mais
reconnaît que :
Souvent, il n’est pas possible de cerner entièrement la finalité du traitement
des données à caractère personnel à des fins de recherche scientifique au
moment de la collecte des données. Par conséquent, les personnes
concernées devraient pouvoir donner leur consentement en ce qui concerne
certains domaines de la recherche scientifique, dans le respect des normes
éthiques reconnues en matière de recherche scientifique. Les personnes
concernées devraient pouvoir donner leur consentement uniquement pour ce
qui est de certains domaines de la recherche ou de certaines parties de projets
de recherche, dans la mesure où la finalité visée le permet206
.
Ainsi, le RGPD ouvre la possibilité, dans le domaine de la recherche scientifique, de ne
pas déterminer spécifiquement les finalités d’un traitement de données, à la triple condition
d’obtenir un consentement des personnes concernées en spécifiant si possible le ou les
domaines de recherche auxquels sont destinées les données et que les recherches
scientifiques respectent les normes éthiques du secteur. Cependant, ce cas de figure ne
correspond pas à notre objet d’étude. En effet, l’ECI est un objet connecté qui se situe
uniquement dans le domaine commercial.
En dehors du de la recherche scientifique, la nécessité de définir les finalités du
traitement dès la collecte des données demeure applicable. Dans certains cas, comme le cas
des données considérées comme sensibles, les traitements de données massives devraient
pouvoir répondre à cette exigence en étant le plus transparent possible sur le type de
205
Gaullier, supra note 76 à la p 4. 206
Considérant 33, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
79
données traitées, la quantité de données, quels jeux de données peuvent être combinés, le
contexte, les destinataires des données, les liens qui seront recherchés entre les données207
.
Cette hypothèse s’applique au cas de l’ECI.
Même si cela ne se présente pas de la même manière dans les différentes législations
étudiées et que la place qui leur est accordée n’est pas toujours la même, la LPRPDE, le
RGPD et la LPRPSP impose tous au responsable du traitement une limitation des finalités
pour lesquelles les données seront collectées puis traitées. Nous l’avons vu, dans l’idée, ce
principe est une bonne idée, qui semble offrir un rempart contre les abus. Pourtant, dans le
cas de l’ECI, qui n’est qu’une illustration d’un phénomène qui touche bien d’autres objets
connectés et nouvelles technologies, ce principe se trouve ébranlé.
En effet, ce principe de protection des renseignements personnels est efficace lorsque le
traitement est prévisible. On retrouve l’idée d’un rapport au temps classique avec un début
et une fin (une finalité !). Mais quand il s’agit d’intelligence artificielle, et plus précisément
de machine learning, la fin du traitement ne peut jamais vraiment être atteinte puisque le
but de la machine est de s’améliorer sans cesse. De plus, comme nous avons pu le voir,
certains processus sont « découverts » en cours de route, ce qui empêche encore une fois de
pouvoir réellement prévoir une finalité. Sur la page « Sécurité des données et
confidentialité sur Google Home », dans les finalités, il est énoncé que « Tout d'abord, nous
utilisons les données pour rendre nos services plus rapides, plus intelligents et plus utiles,
par exemple, en fournissant de meilleurs résultats de recherche et des mises à jour de
circulation en temps opportun208
». A quel moment peut-on considérer qu’une telle
« finalité » est accomplie ?
Pour certains auteurs209
, pris à la lettre, le principe de finalité est très contraignant et les
promoteurs du Big Data mettent souvent en avant qu’ils s’opposent de manière frontale à
leur démarche et risquent d’entraver toute innovation et de pénaliser l’industrie européenne
207
Gaullier, supra note 76 à la p 4. 208
Google, « Sécurité des données et confidentialité sur Google Home - Aide Google Nest », en ligne : <https://support.google.com/googlenest/answer/7072285?hl=fr-CA&ref_topic=7173611> (consulté le 14 avril 2019). 209
Bergé et Le Métayer, supra note 165 aux pp 2 et 3.
80
de la donnée. De fait, l’esprit du Big Data est justement d’accumuler le plus de données
possibles afin de les utiliser ultérieurement pour des finalités diverses, non prévisibles au
moment de la collecte, ce qui pourrait se résumer en un principe de « maximisation des
données 210
».
Les solutions à envisager pour pallier les insuffisances liées au principe de limitation des
finalités
Pour les cas où les finalités ne peuvent pas du tout être connues à l’avance, notamment
parce qu’elles se dégageront au fur et à mesure des avancées de l’analyse par l’algorithme,
une des options préconisées par Florence Gaullier211
est de procéder à l’anonymisation des
données. Il est néanmoins nécessaire de préciser que l’anonymisation est de plus en plus
délicate à atteindre, compte tenu de l’augmentation exponentielle des risques de ré-
identification des données à l’ère du Big Data, par le biais notamment de recoupements de
données. En outre, l’anonymisation ne sera pas adaptée à tous les projets... Pour le cas de
l’ECI, les données sont censées permettre à la machine de s’améliorer pour offrir à
l’utilisateur une offre la plus personnalisée possible. Il semble donc que l’anonymisation ne
soit pas vraiment applicable.
Dans ce cas-là, faudrait-il suggérer de revoir intégralement le principe de limitation des
finalités ? Il semble que non. En effet, ce principe est bien trop important pour la protection
des données personnelles. L’orientation canadienne, qui admet des finalités plus larges
mais qui répondent à des conditions particulières pourrait être une piste de réflexion.
Quoi qu’il en soit, cette question va de pair avec celle de la conservation des données
des individus qui utilisent les ECI.
2. La limitation de la conservation des données
L’utilisation de l’ECI met en évidence les insuffisances des législations étudiées, c’est
le cas du principe de limitation de la conservation des données. Ces insuffisances peuvent
210
Ibid. 211
Gaullier, supra note 76 à la p 4.
81
entrainer des risques particulièrement graves. Pour cette raison, il semble pertinent d’y
apporter des solutions.
Insuffisances et risques liés au principe de l’imitation de la conservation des données
La conservation des données n’est pas sans soulever des inquiétudes dans un contexte
où les technologies numériques, telles que l’ECI, permettent d’amasser et stocker
d’immenses quantités de données personnelles. Il est peu étonnant et même assez
compréhensible que les entreprises soient tentées de conserver de façon prolongée, voire
permanente, les données en sa possession en prévision d’un éventuel usage, différent de
celui pour lequel elles avaient été recueillies. En droit canadien, c’est notamment la
possibilité pour les entreprises d’utiliser des formulations de type « à toute autre fin dans le
cadre de ses activités » au moment de recueillir le consentement qui permet aux entreprises
de conserver quasi-indéfiniment les données.
Selon le RGPD, le principe est le suivant : les données personnelles ne peuvent être
conservées de façon indéfinie dans les fichiers informatiques212
. Pour ce faire, une durée de
conservation doit être déterminée par avance en fonction de l’objectif ayant conduit à la
collecte de ces données. Une fois cet objectif atteint, ces données doivent être archivées,
supprimées ou anonymisées (notamment afin de produire des statistiques).
Force est de constater, qu’avec l’ECI, ce principe se retrouve remis en cause. En effet,
dans les conditions d’utilisation de Google, les données collectées par l’ECI sont
conservées plus ou moins indéfiniment : « l'historique des conversations avec Google
Home et l'Assistant Google est sauvegardée jusqu'à ce que vous choisissiez de la
supprimer213
». On retrouve le même fonctionnement chez Echo d’Amazon214
.
212
CNIL, « Limiter la conservation des données » (28 mai 2018), en ligne : <https://www.cnil.fr/fr/limiter-la-conservation-des-donnees> (consulté le 19 juin 2019). 213
Google, « Sécurité des données et confidentialité sur Google Home - Aide Google Nest », Rubrique “Combien de temps Google conserve-t-il mes données ?” en ligne : <https://support.google.com/googlenest/answer/7072285?hl=fr-CA&ref_topic=7173611> (consulté le 14 avril 2019).
82
En soi, l’assistant vocal qui équipe l’ECI est une intelligence artificielle qui se nourrit
des interactions avec son utilisateur. Avec ces informations que la machine engrange, elle
permet de proposer une offre extrêmement personnalisée. C’est l’argument qu’avance
Google215
mais aussi Amazon216
pour justifier la conservation des données. Cette
expérience personnalisée est censée être ce que l’utilisateur recherche avec une enceinte
connectée.
Or on peut se questionner sur la pertinence de conserver ces données. Un individu est
en général plus influencé par les derniers mois de sa vie. Est-ce alors donc pertinent de
garder des informations qui datent de plusieurs années ? Est-ce que l’intelligence artificielle
contenue dans les ECI prend en considération tout cela ?
Le droit canadien et québécois n’a pas été créer en prenant en considération ces
problématiques. En effet, pour rappel, les deux lois étudiées datent plus ou moins du début
des années 2000, époque où ce genre de problématique de l’intelligence artificielle était
bien loin de l’esprit du législateur. Les règles ont été rédigées dans une optique assez large,
si bien qu’elles permettent d’appréhender la plupart des traitements de données. Cependant,
on peut se poser la question face à des technologies telles que l’ECI.
Le RGPD a été rédigé bien plus récemment. Il introduit un ensemble de règles
technologiquement neutres et ouvertes sur l’avenir qui sont censées s’appliquer quelle que
soit l’évolution de l’environnement numérique. Il faut garder à l’esprit que le RGPD est le
fruit d’un lobbying sans précédent et qu’il est une conciliation entre les intérêts des
individus (protection de leurs données personnelles et de leur vie privée) et l’innovation. De
ce fait, certaines dispositions sont volontairement peu précises et permettent d’englober des
214
Amazon, Lettre au gouverneur Christopher A. Coons concernant les services Alexa et Echo d’Amazon, 28 juin 2019. 215
Google, « Sécurité des données et confidentialité sur Google Home - Aide Google Nest », Rubrique “Utilisation des données” en ligne : <https://support.google.com/googlenest/answer/7072285?hl=fr-CA&ref_topic=7173611> (consulté le 14 avril 2019). 216
Amazon, « FAQs Alexa et Appareils Alexa - Amazon.fr Aide », en ligne : <https://www.amazon.fr/gp/help/customer/display.html?nodeId=201602230#GUID-1CDA0A16-3D5A-47C1-9DD8-FDEDB10381A3__SECTION3> (consulté le 14 avril 2019).
83
choses qui ne devraient pas forcément l’être. Le RGPD est peut-être déjà trop en retard ou
n’a pas bien pris en considération les évolutions de l’intelligence artificielle.
Pourtant, le rapport au temps est distendu avec l’intelligence artificielle. Dans le RGPD
par exemple, les données doivent être activement conservées tant que les fins pour
lesquelles ces dernières ont été recueillies n’ont pas accomplies. Pour un traitement de
données « classique », une telle règle est tout à fait justifiée. La donnée est collectée pour
un but bien précis, et quand ce but est atteint, la donnée n’est a priori plus utile. À dire vrai,
une fois la but atteint, la donnée peut en soi toujours être utile dans un usage commercial,
notamment pour le profilage, la prospection, etc. Cependant, afin de protéger les données
personnelles des individus, on limite tout de même à la ou les finalités pour lesquelles les
données ont été collectées. À première vue, cette vision des choses protège bien l’individu
quand on se trouve dans une sorte de gestion du temps linéaire : collecte pour une finalité,
utilisation, finalité atteinte, archivage/destruction des données. Pourtant, avec les
technologies numériques et notamment l’intelligence artificielle, le rapport au temps dans le
traitement des données personnelles se retrouve ébranlé…
En effet, l’intelligence artificielle telle que nous la connaissons actuellement fonctionne
notamment sur le mécanisme de machine learning, dont nous avons expliqué le
fonctionnement dans nos propos introductifs. Pour rappel, le machine learning ou
« apprentissage machine » correspond à la mise en place d’un certain nombre d’algorithmes
qui « apprenne » une multitude de scénarios à partir d’une grande masse de données (ce
qu’on appelle Big Data).
A ce titre, le professeur Céline Castets-Renard explique217
que les techniques sont
supposées donner à l’ordinateur la capacité de progressivement améliorer ses performances
sur une tâche spécifique par la fouille de données, rendue possible par l’agrégation de
données massives, sans être explicitement programmé, c’est-à-dire un apprentissage non-
supervisé. Les méthodes de machine learning sont basées sur les représentations des
données d’apprentissage, par opposition aux algorithmes fondés sur des tâches spécifiques.
Cela signifie que la machine « apprend » par elle-même, en considération d’un but
217
Castets-Renard, supra note 14 à la p 33.
84
précédemment défini par le programmeur. L’intervention humaine est donc principalement
focalisée sur la définition des buts et les données utilisées. Par ailleurs, les outils sont aussi
capables d’analyser des faits historiques et actuels permettant aux modèles de faire des
prédictions (modèles prédictifs).
C’est le cas de l’ECI. En effet, ce n’est pas un secret puisque Google et Amazon le
revendique clairement et justifient même l’utilisation de données personnelles comme ceci,
pour que l’ECI soit la plus performante, qu’elle offre un service personnalisé au maximum,
elle doit s’enrichir de toutes les requêtes et éléments qu’elle enregistre. Mais comme il
s’agit d’intelligence artificielle, ces données sont compilées comme indéfiniment. En effet,
la finalité est la fourniture de service et pour atteindre ce but toutes les données agrégées
jusqu’à présent sont potentiellement utiles pour réaliser la finalité. Tout ceci contribue à
alimenter les problématiques plus générales des algorithmes face au droit.
Enfin, si cette conservation des données pose tant problème, c’est qu’il existe des
risques majeurs. En effet, si la conservation est « infinie », en cas d’hacking ou de piratage,
le pirate informatique pourrait se retrouver avec un nombre d’informations extrêmement
important. Qui plus est, des informations sont très personnelles. On retrouve ici l’idée de
données sensibles qui révèlent beaucoup sur un individu (informations d’identifications
primaires, orientation politique, sexuelle, habitudes, relations, présence ou non à la
maison…) mais aussi sur son entourage. Les risques pour la vie privée apparaissent donc
extrêmement importants.
Les solutions envisageables pour pallier les insuffisances du principe de limitation de la
conservation des données
En ce qui concerne le droit québécois, l’absence d’obligation limitant la conservation
des données personnelles dans le secteur privé augmente les risques d’atteinte à la
protection des renseignements personnels avec les conséquences susceptibles d’en
découler. Il semblerait donc opportun que la loi québécoise soit modifiée pour limiter par
exemple la durée de conservation aux fins pour lesquelles les renseignements ont été
recueillis. Il s’agirait déjà d’une bonne base, qui mettait cette loi sur un pied d’égalité avec
les autres législations étudiées. Ceci fait d’ailleurs l’objet de la recommandation 45 du
85
rapport quinquennal de la Commission218
: « modifier la Loi sur le privé afin qu’une
disposition soit ajoutée à la section VI de cette loi quant au délai de conservation des
renseignements personnels détenus par les agents de renseignements personnels ».
Il ne s’agit d’ailleurs pas des seules recommandations concernant la conservation,
puisqu’il la Commission prescrit également de modifier la loi pour y ajouter une disposition
visant à obliger les entreprises à détruire les renseignements personnels une fois que les fins
pour lesquelles ils ont été recueillis sont accomplies, sous réserve des obligations contenues
dans d’autres lois219
. Ainsi que d’autres recommandations220
visant à rendre la conservation
plus respectueuse de la protection des renseignements
Concernant les solutions plus spécifiques à l’enceinte connectée, il pourrait être imagine
que l’ECI ne conserve qu’un temps les informations, comme la dernière année. Cela serait
sûrement largement suffisant pour offrir des résultats pertinents et personnalisés tout en
limitant quelque peu l’atteinte à la vie privée de l’utilisateur en cas de problème de
conservation.
Au regard de tous les éléments développés au cours de ce chapitre, il nous est permis de
dire que l’ECI constitue un élément de recherche intéressant en ce qu’il aura permis de
mettre en évidence les insuffisances des législations étudiées, à savoir, le RPGPD, la
LPRPDE et la loi québécoise sur la protection des renseignements personnels dans le
secteur privé. Si certaines insuffisances sont spécifiques à l’usage de l’ECI, la plupart des
insuffisances s’inscrivent plus largement dans l’inadéquation des législations au monde
numérique.
218
Commission d’accès à l’information du Québec, supra note 95. 219
Recommandation 42, Commission d’accès à l’information du Québec, Rapport quinquennal 2016 - Rétablir l’équilibre, Québec, 2016. 220
Recommandations 42 à 44, Commission d’accès à l’information du Québec, Rapport quinquennal 2016 - Rétablir l’équilibre, Québec, 2016.
86
Conclusion
Pour conclure, malgré leurs différentes dates d’adoption et leur appartenance à
différents systèmes juridiques, il apparait au regard de nos développements que le RGPD,
la LPRPDE et la loi québécoise sont relativement similaires quant aux effets qu’elles
produisent. En effet, elles offrent aux utilisateurs d’enceintes connectées « intelligentes »
une bonne base de protection.
À la lumière de notre étude, il apparait cependant que ces législations nécessitent
parfois d’être modernisées. Elles ont des fonctionnements et des approches différents sur de
nombreux points. Plus de 25 ans séparent certaines de ces législations, et pourtant, à la fin
le constat est le même : elles sont, en partie, un peu obsolètes. Si certains points et principes
ne doivent en aucun cas bouger puisqu’ils constituent des pierres angulaires de la protection
des renseignements personnels, d’autres nécessitent des aménagements et des
modifications…
D’un côté les lois canadienne et québécoise sont souvent rédigées avec moins de
détails, ce qui permet d’être plus englobante et éventuellement de faire face aux avancées
technologiques. De l’autre, le récent RGPD comprend de très nombreuses dispositions
relativement détaillées et consacre de nouveaux droits censés protéger les renseignements
personnels des individus.
À ce titre, la législation canadienne221
, devra s’inspirer du RGPD si elle espère
continuer d’être considérée comme adéquate222
au RGPD. Il lui sera donc nécessaire
d’adopter certains principes. Cependant, le législateur canadien devra faire bien attention à
intégrer les lacunes que présente le RGPD. L’idée sera de rester critique vis-à-vis de ce
texte. De plus, il ne semble pas non plus tout à fait pertinent que le droit canadien de la
221
Et, par conséquent, la législation québécoise, puisqu’il existe un rapport « en cascade » entre ces deux lois. 222
Décision de la Commission (2002/2/CE) constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la loi canadienne sur la protection des renseignements personnels et les documents électroniques, supra note 69.
87
protection des renseignements personnels perde toute sa spécificité. Notamment, car cette
spécificité est due à une appartenance à un système juridique différent. En effet, on a d’un
côté le droit de l’Union européenne, civiliste, et de l’autre le droit canadien qui se trouve
plus proche d’un système de Common law. Le droit québécois vient apporter une petite
nuance à tout ça, car il prend en considération son origine civiliste.
Néanmoins le droit ne peut pas tout, entre autres car le « temps du droit est bien plus
long que celui du code223
». De plus, il serait parfois trop complexe de remettre entièrement
en cause certains principes fondateurs du droit des données personnelles. Il est donc
essentiel que les « architectes » de la société numérique - chercheurs, ingénieurs et
développeurs - qui conçoivent et commercialisent les technologies telles que l’ECI
prennent leur juste part dans cette mission en agissant de manière responsable. Cela
implique qu'ils soient pleinement conscients des possibles effets négatifs de leurs
technologies sur la société et qu'ils œuvrent activement à les limiter. On retrouve ici une
idée de responsabilisation des acteurs du monde numérique.
Si le droit des données personnelles actuel ne permet de protéger parfaitement les
utilisateurs d’ECI, tout n’est pourtant pas perdu. Les solutions sont à rechercher ailleurs.
Cela passe d’abord par la technique. En effet, quoi de mieux que les technologies
numériques pour participer à l’encadrement des problématiques justement causée par
l’évolution du monde numérique. Pour la Commission d’accès à l’information du
Québec224
, investir dans le développement de techniques protectrices de la vie privée
s’impose comme une solution de choix. De plus, comme nous avons pu le voir au cours de
nos développements, il existe tout un tas de mesures techniques envisageable pour
permettre d’assurer une protection efficace des renseignements personnels des utilisateurs
d’ECI.
Le concours des acteurs du monde numérique est donc essentiel. Il est nécessaire que
ces derniers soient responsabilisés. En ce sens, les sanctions proposées par le RGPD sont
une bonne avancée. Dans un registre beaucoup moins contraignant, la Commission d’accès
223
Berthet, supra note 171 à la p 1640. 224
Commission d’accès à l’information du Québec, supra note 77 à la p 2 et 3.
88
à l’information québécoise suggère également de valoriser/mettre l’accent sur les
entreprises qui protègent les renseignements personnels225
.
Enfin, une bonne protection des individus doit nécessairement passer par l’éducation.
Le manque de connaissance (impacté par un bon nombre d’idées reçues) des populations
face aux question de données personnelles devrait être une priorité. En effet, une personne
bien informée est une personne qui peut prendre réellement consciences des dangers qui
peuvent impacter sa vie privée.
225
Ibid à la p 3.
89
Bibliographie
LÉGISLATION
Législation européenne
UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données, [2016] JOUE, L 119, 4 mai 2016.
UE, Traité sur l’Union européenne et du traité sur le fonctionnement de l’Union
européenne, 2012/C 326/01, 9 mai 2008.
Charte des droits fondamentaux de l’Union européenne, 2000/C 364/01, 18 décembre
2000.
CE, Directive (CE) 95/46/CE relative à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de ces données,
[1995] JO L 281, 23 novembre 1995.
Législation canadienne
Charte canadienne des droit et libértés, c 11, 1982.
Loi sur la protection des renseignements personnels et les documents électroniques,
LPRPDE, LC 2000.
Législation québécoise
Charte des droits et libertés de la personne, C12.
Loi concernant le cadre juridique des technologies de l’information, LCCJTI, C-1.1.
90
Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-391.
ACTES JURIDIQUES
Actes juridiques européens
Commission Nationale de l’Informatique et des Libertés, Délibération de la formation
restreinte prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC,
n°SAN-2019-001, 21 janvier 2019.
UE, Communication UE sur Les plateformes en ligne et le marché unique numérique -
Perspectives et défis pour l’Europe, 2016, COM (2016) 288.
CE, Décision de la Commission (2002/2/CE) constatant, conformément à la directive
95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des
données à caractère personnel assuré par la loi canadienne sur la protection des
renseignements personnels et les documents électroniques, C(2001) 4539, 20 décembre
2001.
Groupe de travail « article 29 » sur la protection des données, Avis 5/2009 sur les réseaux
sociaux en ligne, WP163, 12 juin 2009.
———, Lignes directrices sur la limitation de la finalité, WP203, 2 avril 2013.
———, Avis 8/2014 sur les récentes évolutions relatives à l’internet des objets, WP223, 16
septembre 2014.
———, Lignes directrices relatives à la prise de décision automatisée et au profilage aux
fins du règlement (UE) 2016/679, WP251 rev01, 3 octobre 2017.
———, Lignes directrices sur le consentement au sens du règlement 2016/679, WP259 rèv
01, 28 novembre 2017.
91
———, Lignes directrices sur la transparence au sens du règlement (UE) 2016/679,
WP260, 29 novembre 2017.
———, Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du
règlement (UE) 2016/679, 25 mai 2018.
OCDE, Les Lignes directrices sur la protection de la vie privée et les flux transfrontières
de données de caractère personnel, 23 septembre 1980.
JURISPRUDENCE
Décisions européennes
France, Conseil constitutionnel, 21 février 2008, DC 2008562.
France, TGI de Paris, 12 février 2019, n°14/07224.
Décisions canadiennes
Dagg c Canada, [1997] 2 RCS 403.
Hunter c Southam Inc, [1984] 2 RCS 145.
Lavigne c Canada, [2002] 2 RCS 773.
R c Dyment, [1988] 2 RCS 417.
R c Plant, [1993] 3 RCS 281.
Décisions québécoises
Equifax c Fugère, 1998.
92
OUVRAGES
Baynast, Arnaud de, Jacques Lendrevie et Julien Lévy. Mercator, 12e édition, Malakoff,
Dunod, 2017.
Benabou, Valérie-Laure et Judith Rochfeld. À qui profite le clic ? Le partage de la valeur à
l’ère du numérique, coll Collection Corpus, Paris, Odile Jacob, 2015.
Bénézeth, Benjamin, dir. Protection des données personnelles, coll Dossiers pratiques,
Levallois, Éditions Francis Lefebvre, 2018.
Bensoussan, Alain. Règlement européen sur la protection des données: textes,
commentaires et orientations pratiques, 2e édition, Bruxelles, Bruylant, 2018.
Benyekhlef, Karim et Pierre-Luc Déziek. Le droit à la vie privée en droit québécois et
canadien, Montréal, Éditions Yvon Blais, 2018.
Bourgeois, Matthieu et Amira Bounedjoum. Droit de la donnée: principes théoriques et
approche pratique, coll Droit & professionnels, Paris, LexisNexis, 2017.
Conseil de recherche en sciences humaines du Canada. Le droit et le savoir, Ottawa,
Division de l’information, 1983.
Debet, Anne, Jean Massot et Nathalie Métallinos. Informatique et libertés : la protection
des données à caractère personnel en droit français et européen, n°10, Issy-les-
Moulineaux, Lextenso, 2015.
Granosik, Lukasz. Loi sur la protection des renseignements personnels dans le secteur
privé: édition annotée: législation, jurisprudence, Cowansville, Éditions Yvon Blais, 2008.
93
Gratton, Eloise. Understanding Personal Information: Managing Privacy Risks, Markham,
LexisNexis, 2013.
Pasquale, Franl. The Black Box Society: The Secret Algoritms That Control Money and
Information, Harvard University Press, 2015.
Power, Michael. The Law of Privacy, Markham, LexisNexis, 2013.
Santolaria, Nicolas. « Dis Siri »: enquête sur le génie à l’intérieur du smartphone, Paris,
Anamosa, 2016.
Westin, Alan F. Privacy and freedom, Londre, Bodley Head, 1970.
REVUES ET ENCYCLOPÉDIES
Augagneur, Luc-Marie. « Les clauses abusives des conditions de Google » [2019] AJ
Contrat.
Bensamoun, Alexandra. « Stratégie européenne sur l’intelligence artificielle : toujours à la
mode éthique... » [2018] Dalloz IP/IT.
Bensamoun, Alexandra et Grégoire Loiseau. « L’intégration de l’intelligence artificielle
dans certains droits spéciaux » [2017] Dalloz IP/IT.
Bensamoun, Alexandra et Célia Zolynski. « Cloud computing et big data - Quel
encadrement pour ces nouveaux usages des données personnelles ? » [2015] 189 La
Découverte - « Réseaux », en ligne : La Découverte - « Réseaux »
<https://www.cairn.info/revue-reseaux-2015-1-page-103.htm>.
Bergé, Jean-Sylvestre et Daniel Le Métayer. « Phénomènes de masse et droit des données »
[2018] 12 Communication - Commerce électronique.
Berthet, Charly. « Vers une politique de l’intelligence artificielle ? » [2018] Recueil Dalloz.
94
Berthet, Charly, Célia Zolynski, Nicolas Anciaux et Philippe Pucheral. « Contenus
numériques, récupération de données et empouvoirement du consommateur » [2017]
Dalloz IP/IT.
Bensamoun, Alexandra et Grégoire Loiseau. « La gestion des risques de l’intelligence
artificielle, de l’éthoique à la responsabilité », JCP 2017, no46.
Bounedjoum, Amira. « Les traitements existants à l’aune du nouveau règlement sur la
protection des données » [2016] 22 La Semaine Juridique Entreprise et Affaires.
Castets-Renard, Céline. « Régulation des algorithmes et gouvernance du Machine learning :
vers une transparence et “explicabilité” des décisions algorithmiques ? » [2018] 15 Revue
Droit & Affaires.
Claret, Hélène. « Plateformes numériques et protection des données personnelles du
consommateur » (2018) étude 10:7 Contrats Concurrence Consommation.
Delpech, Xavier. « Un premier bilan décevant, mais pas désespéré » [2019] 591 Juris
associations.
DPO Consulting. « Les difficultés d’application du RGPD dans les entreprises - La
conservation des données, un casse-tête pour les entreprises ? » [2019] 1.
Falque-Pierrotin, Isabelle. « La CNIL face à l’économue de la donnée » [2016] AJ Contrats
d’affaires - Concurrence - Distribution.
Forest, David. « L’empire des données » [2018] Dalloz IP/IT.
———. « L’intelligence artificielle au feu de la critique radicale » [2019] Dalloz IP/IT.
Gaullier, Florence. « Le principe de finalité dans le RGPD : beaucoup d’ancien et un peu de
nouveau » [2018] 4 Communication - Commerce électronique 9.
95
Geffray, Edouard. « Quelle protection des données personnelles dans l’univers de la
robotique ? » [2016] Dalloz IP/IT.
Gingras, Patrick et François Senécal. « Métadonnées : Plaidoyer pour des mal aimées et des
incomprises » [2015] 74 Revue du Barreau.
Lazaro, Christophe et Daniel Le Métayer. « Le consentement au traitement des données
personnelles, perspective comparative sur l’autonomie du sujet » (2014) 48:765 RJTUM.
Lecourt, Arnaud. « RGPD : nouvelles contraintes, nouvelles stratégies pour les
entreprises » [2019] Dalloz IP/IT.
Martial-Braz, Nathalie. « Le renforcement des droits de la personne concernée » [2017]
Dalloz IP/IT.
Mekki, Mustapha. « Le contrat, objet des smart contracts (Partie 1) » [2018] Dalloz IP/IT.
———. « Le smart contract, objet du droit (Partie 2) » [2019] Dalloz IP/IT.
Metallinos, Nathalie. « Commentaire - Lignes directrices du G29 sur le profilage » [2018] 2
Communication - Commerce électronique.
Pucheral, Philippe, Alain Rallet, Fabrice Rochelandet et Célia Zolynski. « La Privacy by
design : une fausse bonne solution aux problèmes soulevés par l’Open data et les objets
connectés ? » 56 2016/1 Légicom.
Scottez, Clémence. « Le RGPD, un nouveau paradigme de la protection des données
personnelles pour les professionnels et le régulateur » [2019] Dalloz IP/IT.
Sirinelli, Pierre et Stéphane Prévost. « Êtres à l’écoute » [2019] Dalloz IP/IT.
Soltani, Sarra. « “Big data” et le principe de finalité » [2013] 97 RLDI.
Stucke, Maurice E. et Ariel Ezrachi. « How Digital Assistants Can Harm Our Economy,
Privacy and Democracy » 32:1239 Berkeley Tech L J.
96
Villedieu, Anne-Laure et Benjamin Benezeth. « La poupée trop connectée, une Toy’s Story
qui dérape » [2018] 140 Petites affiches.
Zaitay, Imre. « Problèmes méthodologiques du droit comparé » dans Aspects nouveaux de
la pensée juridique : recueil en hommage à Marc Ancel, A. Pedone, 1, 1975.
THÈSES ET MÉMOIRES DE RECHERCHE
Dauverchain, Mathieu. Le consentement dans le contexte du traitement de données
personnelles sur les sites de réseautage, Mémoire, Univeristé Laval / Université Paris-Sud,
2018.
Lifrange, Marie. Protection des données à caractère personnel : le consentement à
l’épreuve de l’ère numérique, Université de Liège, 2018.
RAPPORTS
Autorité de régulation des communications électroniques et des postes. Les terminaux,
maillon faible de l’ouverture d’internet, 2018.
Centre de recherche en droit public. Consultation relative à l’actualisation de la Loi sur la
protection des renseignements personnels dans le secteur privé, Montréal, 2015.
Chair L.R. Wilson. Conférence Loi + vie privée dans 10, 20, 30 ans..., Montréal, 5
novembre 2018.
Comité permanent de l’accès à l’information, de la protection des renseignements
personnels et l’éthique. Vers la protection de la vie privée dès la conception : examen sur la
Loi sur la protection des renseignements personnels et les documents électroniques,
Ottawa, Chambre des Communes, 2018.
97
Commissariat à la protection de la vie privée du Canada. « Rapport de conclusions
d’enquête en vertu de la LPRPDE no 2019-002 : Enquête conjointe du Commissariat à la
protection de la vie privée du Canada et du Bureau du Commissaire à l’information et à la
protection de la vie privée de la Colombie-Britannique au sujet de Facebook, Inc. » (25
avril 2019), en ligne : <https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-
commissariat/enquetes/enquetes-visant-les-entreprises/2019/lprpde-2019-002/> (consulté le
1 juillet 2019).
Commission d’accès à l’information du Québec. Le profilage et la publicité ciblée, octobre
2013.
———. La destruction des documents contenant des renseignements personnels, mars
2014.
———. La biométrie au Québec, janvier 2016.
———. Rapport quinquennal 2016 - Rétablir l’équilibre, Québec, 2016.
———. Évaluation des facteurs relatifs à la vie privée : savoir détecter et attenuer les
irsques d’atteinte aux renseignements personnels, janvier 2018.
———. Pour un développement responsable de l’intelligence artificielle qui respecte le
droit et la vie privée et responsabilise tous les acteurs impliqués, Montréal, 2018.
———. « La collecte de renseignements personnels », en ligne :
<http://www.cai.gouv.qc.ca/la-collecte-de-renseignements-personnels/> (consulté le 14 mai
2019).
Hadopi et CSA. Assistants vocaux et enceintes connectées, l’impact de la voix sur l’offre et
les usages culturels et médias, 2019.
Médiamétrie. Étude sur les enceintes à commande vocale, Levallois, 2018.
Ministère de l’économie et des finances. Marché des objets connectés à destination du
grand public, 2018.
98
Option consommateurs. Le prix de la gratuité : doit-on imposer des limites à la collecte de
renseignements personnels dans le cadre de la publicité comportementale, Montréal, 2015.
———. La révision de la Loi sur la protection des renseignements personnels et les
documents électroniques : Tout vient à point..., 2017.
ARTICLES DE PRESSE
Berdugo, Patrick. « La législation peut-elle vraiment évoluer au même rythme que la
technologie ? », Les Echos (27 juin 2018), en ligne : Les Echos
<https://www.lesechos.fr/idees-debats/cercle/la-legislation-peut-elle-vraiment-evoluer-au-
meme-rythme-que-la-technologie-133837> (consulté le 1 juin 2019).
Januel, Pierre. « CNIL et RGPD : retour sur une année de transition », Dalloz actualité (19
avril 2019).
Gosse, Nina et Louis de Gaulle. « Non, notre voix n’est pas libre de droits ! » (17 juin
2019), en ligne : <https://www.lesechos.fr/idees-debats/cercle/non-notre-voix-nest-pas-
libre-de-droits-1029775> (consulté le 19 juin 2019).
Le Monde. « Qu’est-ce que la neutralité du Net ? » (4 juillet 2014), en ligne :
<https://www.lemonde.fr/vie-en-ligne/article/2014/07/04/la-neutralite-du-net-qu-est-ce-
que-c-est_4451153_4409015.html> (consulté le 21 juin 2019).
RESSOURCES ÉLECTRONIQUES
Amazon. « FAQs Alexa et Appareils Alexa - Amazon.fr Aide », en ligne :
<https://www.amazon.fr/gp/help/customer/display.html?nodeId=201602230#GUID-
1CDA0A16-3D5A-47C1-9DD8-FDEDB10381A3__SECTION3> (consulté le 14 avril
2019).
99
CNIL. « Transparence et Transferts internationaux de données : contribuez aux nouveaux
thèmes de la consultation RGPD » (27 septembre 2017), en ligne :
<https://www.cnil.fr/fr/transparence-et-transferts-internationaux-de-donnees-contribuez-
aux-nouveaux-themes-de-la> (consulté le 21 juin 2019).
———. « Limiter la conservation des données » (28 mai 2018), en ligne :
<https://www.cnil.fr/fr/limiter-la-conservation-des-donnees> (consulté le 19 juin 2019).
———. « Profilage et décision entièrement automatisée » (29 mai 2018), en ligne :
<https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee> (consulté le 19 juin
2019).
———. « Enceintes intelligentes : des assistants vocaux connectés à votre vie privée » (20
décembre 2018), en ligne : <https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-
vocaux-connectes-votre-vie-privee> (consulté le 19 juin 2019).
———. « La formation restreinte de la CNIL prononce une sanction de 50 millions d’euros
à l’encontre de la société GOOGLE LLC » (21 janvier 2019), en ligne :
<https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-
millions-deuros-lencontre-de-la> (consulté le 31 mai 2019).
———. « Définir une finalité », en ligne : <https://www.cnil.fr/fr/definir-une-finalite>
(consulté le 19 juin 2019).
———. « Jouets connectés : quels conseils pour les sécuriser ? », en ligne :
<https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser> (consulté le 15
février 2019).
———. MOOC - L’atelier RGPD, en ligne : <https://atelier-rgpd.cnil.fr/>
Commissariat à la protection de la vie privée du Canada. « Leçons tirées de dix ans
d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé
du Québec » (7 juillet 2008), en ligne : <https://www.priv.gc.ca/fr/a-propos-du-
commissariat/publications/dec_050816/#009> (consulté le 14 mai 2019).
100
———. « Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE »
(16 septembre 2011), en ligne : <https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-
vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/la-loi-sur-la-
protection-des-renseignements-personnels-et-les-documents-electroniques-
lprpde/p_principle/> (consulté le 21 juin 2019).
———. Consentement et protection de la vie privée - Document de discussion sur les
améliorations possibles au consentement sous le régime de la Loi sur la protection des
renseignements personnels et les documents électroniques, Gatineau, 2016, en ligne :
<www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/recherche/consulter-
les-travaux-de-recherche-sur-la-protection-de-la-vie-privee/2016/consent_201605/>.
———. « Document d’orientation sur les pratiques inacceptables du traitement des
données : Interprétation et application du paragraphe 5(3) » (24 mai 2018), en ligne :
<https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/collecte-de-
renseignements-personnels/consentement/gd_53_201805/#fn10> (consulté le 10 juin
2019).
———. « Lignes directrices pour l’obtention d’un consentement valable » (24 mai 2018),
en ligne : <https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/collecte-
de-renseignements-personnels/consentement/gl_omc_201805/> (consulté le 11 juin 2019).
Day, Matt, Giles Turner et Natalia Drozdiak. « Amazon Workers Are Listening to What
You Tell Alexa » (10 avril 2019), en ligne :
<https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-
alexa-a-global-team-reviews-audio> (consulté le 12 avril 2019).
———. « Is Anyone Listening to You on Alexa? A Global Team Reviews Audio » (11
avril 2019), en ligne : Bloomberg <https://www.bloomberg.com/news/articles/2019-04-
10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio> (consulté le 24 juin
2019).
101
Google. « Sécurité des données et confidentialité sur Google Home - Aide Google Nest »,
en ligne : <https://support.google.com/googlenest/answer/7072285?hl=fr-
CA&ref_topic=7173611> (consulté le 14 avril 2019).
Huffman, Scott. « Here’s how the Google Assistant became more helpful in 2018 » (1
janvier 2019), en ligne : Google <https://www.blog.google/products/assistant/heres-how-
google-assistant-became-more-helpful-2018/> (consulté le 24 juin 2019).
Jee, Charlotte. « A man asked for his data from Amazon—and they sent him 1,700
recordings of someone else », en ligne : MIT Technology Review
<https://www.technologyreview.com/f/612660/a-man-asked-for-his-data-from-amazon-
and-they-sent-him-1700-recordings-of/> (consulté le 24 juin 2019).
Joux, Alexandre. « Google sanctionné par la Commission européenne » (20 février 2018),
en ligne : La revue européenne des médias et du numérique <https://la-
rem.eu/2018/02/google-sanctionne-commission-europeenne/> (consulté le 21 juin 2019).
Kinsella, Ben. « Amazon Increases Global Smart Speaker Sales Share in Q4 2018, While
Google’s Rise Narrows the Gap and Apple Declines » (20 février 2019), en ligne :
Voicebot <https://voicebot.ai/2019/02/20/amazon-increases-global-smart-speaker-sales-
share-in-q4-2018-while-googles-rise-narrows-the-gap-and-apple-declines/> (consulté le 24
juin 2019).
Lebeau-Marianna, Denise et Yaël Hirsh. « Intelligence artificielle : quel encadrement ? » (7
juin 2019), en ligne : Les Echos Executives <https://business.lesechos.fr/directions-
juridiques/partenaire/partenaire-2238-intelligence-artificielle-quel-encadrement-
329798.php#Xtor=AD-6000> (consulté le 2 juillet 2019).
Louis, Ludovic. « Machine learning et deep learning, comment ça marche ? » (22 décembre
2016), en ligne : Siècle Digital <https://siecledigital.fr/2016/12/22/machine-learning-deep-
learning-ca-marche/> (consulté le 24 juin 2019).
102
Magro, Sébastien. « Enceintes connectées : l’IA n’existe pas » (16 février 2016), en ligne :
[Nouveau titre en cours] <https://blog.sebastienmagro.net/2019/02/16/enceintes-
connectees-lia-nexiste-pas/> (consulté le 24 juin 2019).
———. « Enceintes connectées et confidentialité des données : entretien avec Nina Gosse,
avocate » (16 février 2019), en ligne : [Nouveau titre en cours]
<https://blog.sebastienmagro.net/2019/02/16/enceintes-connectees-entretien-avec-nina-
gosse-avocate/> (consulté le 19 juin 2019).
Manjoo, Farhad. « A High-Stakes Bet: Turning Google Assistant Into a ‘Star Trek’
Computer », The New York Times, sect Technology (28 septembre 2018), en ligne : The
New York Times <https://www.nytimes.com/2016/09/29/technology/google-
assistant.html> (consulté le 24 juin 2019).
Navet, Solène. « Loi + vie privée dans 10, 20, 30 ans: une conférence qui met en avant les
différences culturelles Canada / Europe » (7 novembre 2018), en ligne : Droitdu.net
<https://droitdu.net/2018/11/loi-vie-privee-dans-10-20-30-ans-une-conference-qui-met-en-
avant-les-differences-culturelles-canada-europe/> (consulté le 23 juin 2019).
Nielsen. « (Smart) Speaking My Language: Despite Their Vast Capabilities, Smart
Speakers Are All About the Music » (27 septembre 2018), en ligne :
<http://www.nielsen.com/us/en/insights/news/2018/smart-speaking-my-language-despite-
their-vast-capabilities-smart-speakers-all-about-the-music> (consulté le 21 juin 2019).
Office québécois de la langue française. « Assistant vocal personnel », en ligne :
<http://www.gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26541747> (consulté le 21 juin
2019).
Ruggieri, Hugo, Adrien Aulas et Mathias le Masne de Chermont. « Protection par défaut et
minimisation des données... quelles différences ? » (22 janvier 2018), en ligne : Aeon
<https://aeonlaw.eu/protection-par-defaut-minimisation-des-donnees-quelles-differences/>
(consulté le 19 juin 2019).
103
Santolaria, Nicolas. « “Alexa, passe-moi le sel !” : comment les enceintes connectées
s’incrustent peu à peu dans nos foyers » (29 mars 2019), en ligne : Le Monde
<https://www.lemonde.fr/m-perso/article/2019/03/29/avec-alexa-siri-ou-djingo-la-famille-
sous-assistance-artificielle_5443154_4497916.html> (consulté le 24 juin 2019).
Six, Nicolas. « Une enceinte connectée d’Amazon envoie une conversation privée par
erreur » (25 mai 2018), en ligne : <https://www.lemonde.fr/pixels/article/2018/05/25/une-
enceinte-connectee-d-amazon-envoie-une-conversation-privee-par-
erreur_5304453_4408996.html> (consulté le 24 juin 2019).
Tétreault, Vicky. « Trop, c’est comme pas assez! » (31 octobre 2017), en ligne : Droitdu.net
<https://droitdu.net/2017/10/trop-cest-comme-pas-assez/> (consulté le 24 juin 2019).
Untersinger, Martin. « Que s’est-il passé en un an de RGPD, loi censée protéger vos
données ? », Le Monde (25 mai 2019), en ligne : Le Monde
<www.lemonde.fr/pixels/article/2019/05/25/protection-des-donnees-plaintes-amendes-
enquetes-que-s-est-il-passe-en-un-an-de-rgpd_5466987_4408996.html>.
Van Hee, Lente, Ruben Van Den Heuvel, Tim Verheyden et Denny Baert. « Google
employees are eavesdropping, even in your living room, VRT NWS has discovered » (10
juillet 2019), en ligne : <https://www.vrt.be/vrtnws/en/2019/07/10/google-employees-are-
eavesdropping-even-in-flemish-living-rooms/> (consulté le 12 juillet 2019).
Vaugarny, Camille. « Les données personnelles face au lobbying : les dessous du RGPD »
(5 mai 2019), en ligne : Économie numérique <http://blog.economie-
numerique.net/?p=35112&preview=true&preview_id=35112> (consulté le 25 juin 2019).
Vilain, Zoé. « Le RGPD risque de renforcer le pouvoir des GAFAM », Le Monde (12
septembre 2018), en ligne : Le Monde <www.lemonde.fr/idees/article/2018/09/12/le-rgpd-
risque-de-renforcer-le-pouvoir-des-gafam_5354042_3232.html>.
« Introduction au machine learning – Partie 1/3 – Histoire » (17 avril 2019), en ligne : Blog
Clevy <https://blog.clevy.io/nlp-et-ia/introduction-machine-learning-1-3-histoire/>
(consulté le 24 juin 2019).
104
« Violation de confidentialité par Facebook », en ligne : Siskinds Law Firm
<https://www.siskinds.com/class-action/violation-de-confidentialite-par-
facebook/?lang=fr> (consulté le 31 juillet 2019).
AUTRES
Amazon. Lettre au gouverneur Christopher A. Coons concernant les services Alexa et Echo
d’Amazon, 28 juin 2019.
