Bienvenue

Bienvenue sur le Blogue du CRL du Jeune Barreau de Montréal (JBM)! Ce blogue est dédié à la diffusion de contenu juridique pour tous les avocats du Québec et plus spécifiquement pour les membres du JBM. Le contenu est offert grâce à une communauté d'avocats bénévoles impliqués sur le Comité recherche et législation du JBM. Si vous désirez devenir auteur ou contribuer au succès de ce blogue, faites-nous part de votre intérêt.

mardi 12 novembre 2019

Chronique du CTI - Banques de données publiques : la LCCJTI ne vous protège pas contre le web scraping*

 Simon du Perron, étudiant à la maîtrise en droit des technologies de l'information
Soleïca Monnier, avocate, Ministère de la justice du Québec





La confiance n’exclut pas le contrôle.
-          Vladimir Ilitch Lénine

L’article 24 de la LCCJTI, garde-fou de la protection de la vie privée en matière de banques de données publiques

La protection de la vie privée est primordiale dans une société démocratique, droit d’ailleurs constitutionnellement protégé par la Charte des droits et libertés de la personne[1] et reconnu par le Code civil du Québec[2]. En application de ce droit, les renseignements personnels[3] sont généralement confidentiels[4]. Néanmoins, dans certaines circonstances exceptionnelles, ils peuvent être communiqués ou rendus publics pour une finalité particulière, laquelle devrait conséquemment également régir leur réutilisation, le cas échéant. Nous appellerons ce principe la « règle de la finalité particulière ».
En harmonie avec ce qui précède, l’article 24 de la Loi concernant le cadre juridique des technologies de l’information[5] (ci-après « LCCJTI ») prévoit que :

L’utilisation de fonctions de recherche extensive dans un document technologique qui contient des renseignements personnels et qui, pour une finalité particulière, est rendu public doit être restreinte à cette finalité. Pour ce faire, la personne responsable de l’accès à ce document doit voir à ce que soient mis en place les moyens technologiques appropriés. Elle peut en outre, eu égard aux critères élaborés en vertu du paragraphe 2 de l’article 69, fixer des conditions pour l’utilisation de ces fonctions de recherche.

[nos soulignements]

En matière d’accès à l’information, le deuxième alinéa de l’article 55 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels[6] (ci-après « Loi sur l’accès ») prévoit qu’ :

[...] un organisme public qui détient un fichier de tels renseignements peut en refuser l’accès, en tout ou en partie, ou n’en permettre que la consultation sur place si le responsable a des motifs raisonnables de croire que les renseignements seront utilisés à des fins illégitimes.

[nos soulignements]
Ces dispositions, complétées par certains articles spécifiques parsemés à travers le corpus législatif[7], constituent des garde-fous de la règle de la finalité particulière dans le secteur public. Seulement, l’article 24 de la LCCJTI s’intéresse spécifiquement au « document technologique »[8] rendu public pour une finalité particulière (ex. le Registre des lobbyistes, le tableau d’un ordre professionnel[9] ou encore le rôle d’évaluation d’une municipalité[10]), tandis que l’article 55 de la Loi sur l’accès régit les demandes d’accès aux documents des organismes publics[11].
À vrai dire, à l’époque de son adoption en 2001, l’article 24 avait justement pour objectif de contrer les risques liés aux potentialités technologiques conjuguées à l’accessibilité d’un document contenant des renseignements personnels sur la toile (web scrapping[12], croisement de données à des fins de désanonymisation, etc.)[13]. Autrement dit, il ne devait pas être possible, par le biais de fonctions de recherche dans un document technologique, d’obtenir des renseignements personnels auxquels il n’aurait pas autrement été possible d’accéder sur support papier.
Sans doute en raison de l’importance du droit sous-jacent à l’article 24, les décideurs qui ont interprété cette restriction depuis son entrée en vigueur l’ont fait de façon large et libérale. En effet, la quasi-unanimité des décisions se basant sur la disposition ont statué à la négative quant à la possibilité de partager un document technologique contenant des renseignements personnels[14].
Péripéties jurisprudentielles du Registraire des entreprises du Québec

Deux décisions récentes de la Cour supérieure, qui portent sur le Registraire des entreprises du Québec (ci-après « REQ »), soulèvent des doutes quant à la portée de l’article 24.

Dans l’affaire Société Radio-Canada c. Registraire des entreprises[15], la Cour est saisie d’un pourvoi en contrôle judiciaire visant notamment à faire annuler les conditions d’utilisation établies par le REQ pour son service en ligne de recherche sur le Registre des entreprises (ci-après « Registre »).

Les conditions d’utilisation adoptées par le REQ en mars 2016 interdisent par exemple aux utilisateurs d’effectuer des regroupements d’information à partir des données du Registre, ainsi que d’utiliser ces données à des fins lucratives. Radio Canada prétend que les conditions d’utilisation violent la liberté de presse et l’empêchent d’accomplir sa mission de diffuseur public.

La Cour est d’avis qu’il n’y a pas lieu d’annuler les conditions d’utilisation, puisque le REQ, en adoptant celles-ci, ne fait qu’accomplir le devoir que le législateur lui impose en vertu de l’article 24 LCCJTI. En effet, l’article 24 oblige le REQ à restreindre l’utilisation des fonctions de recherche extensive dans le Registre à sa finalité particulière qui consiste à « donner les renseignements sur les entreprises assujetties et non de permettre d’effectuer des recherches sur les personnes physiques et leur implication au sein d’entreprises »[16]. Autrement dit, les fonctions de recherche du REQ ne devraient pas permettre de dresser des profils détaillés sur les individus, car cette fonction ne sert pas la finalité du Registre[17].

Qu’en est-il des données recueillies à même le Registre avant l’adoption des conditions d’utilisation limitatives en mars 2016 ? C’est la question au cœur de la décision Opencorporates Ltd c. Registraire des entreprises du Québec[18] rendue le 6 septembre dernier.

OpenCorporates est une entreprise britannique qui gère une importante base de données accessible gratuitement au public sur plus de 160 millions de sociétés réparties dans 130 juridictions à travers le monde. Le modèle d’affaires de l’entreprise consiste à vendre des « données structurées »[19] aux personnes intéressées, comme des agences gouvernementales, des institutions financières, des journalistes, des ONG, etc.

De 2012 à 2016, OpenCorporates recueille une quantité importante de données du Registre au moyen d’un programme informatique automatisé, sans toutefois limiter la capacité de recherche d’un utilisateur à même la base de données ainsi constituée. Tel que mentionné, en mars 2016, le REQ modifie ses conditions d’utilisation afin d’interdire notamment à ses utilisateurs d’effectuer des prélèvements massifs de données. OpenCorporates cesse alors d’extraire les données du Registre, mais conserve celles recueillies avant l’adoption des conditions. Les données demeurent à ce jour disponibles gratuitement sur la plateforme, y compris à des fins lucratives.

Le REQ demande à ce que les données recueillies entre 2012 et 2016 soient retirées de la base de données. En effet, il prétend être habilité à surveiller l’utilisation de données extraites par les utilisateurs sur le Registre et à intervenir s’il considère que celles-ci sont utilisées en violation de la Loi sur la publicité légale des entreprises[20] (ci-après « LPLE ») ou de la LCCJTI[21].

Or, cette fois-ci, la Cour est d’avis que le REQ va trop loin dans l’interprétation des responsabilités qui lui incombent. De l’avis de la juge Rogers, la responsabilité du REQ se limite à restreindre les fonctions de recherche extensives au sein du Registre[22]. Une fois ce devoir accompli, le REQ ne dispose plus d’aucun intérêt pour forcer le retrait de renseignements personnels rendus accessibles plus facilement sur la base de données d’un tiers (OpenCorporates) à la suite d’une consultation du Registre effectuée en conformité avec la loi[23]. Le message de la Cour est sans équivoque : si le REQ avait voulu empêcher la réutilisation de ses données, il n’avait qu’à modifier ses conditions d’utilisation plus tôt.

La protection des renseignements personnels : l’éléphant blanc d’Opencorporates

La juge Rogers précise d’entrée de jeu que sa décision ne porte pas sur la légalité de la base de données d’OpenCorporates au regard de lois en matière de vie privée[24], mais uniquement sur la capacité du REQ d’interdire l’utilisation des données extraites du Registre par un tiers avant l’entrée en vigueur des nouvelles conditions d’utilisation[25]. Bien que le choix de la juge Rogers soit justifié dans le contexte d’une demande de jugement déclaratoire, il nous laisse sur notre faim du point de vue de la protection des renseignements personnels.

En effet, le précédent formé par la décision Opencorporates semble créer une exception surprenante à la règle de la finalité particulière en permettant la réutilisation de renseignements personnels issus du Registre sur une plateforme privée qui ne limite pas leur réutilisation à la finalité pour laquelle celui-ci a initialement été rendu public.

Ainsi, pour citer la juge Rogers, OpenCorporates réalise indirectement ce qu’elle ne pourrait faire directement[26]. D’une part, la technologie utilisée par OpenCorporates exploite en réalité une faille dans les mesures de sécurité mises en place par le REQ en vertu de l’article 24 LCCJTI, et ce, afin d’extraire un volume important de données qui n’auraient pu être obtenues par la voie d’une demande d’accès traditionnelle (voir Radio-Canada précitée)[27]. De l’autre, en laissant aux utilisateurs de sa plateforme la liberté d’effectuer des recherches à partir des renseignements personnels extraits du Registre, l’entreprise fait fi des obligations qui lui sont imposées en vertu de l’article 24 LCCJTI à titre de responsable de l’accès à un document qui contient des renseignements personnels.

Des leçons à tirer pour les organismes publics
En somme, la conclusion de la Cour à l’effet que le REQ n’a pas l’intérêt pour agir afin de remédier à l’insuffisance de ses mesures antérieures à 2016[28] devrait sonner l’alarme aux organismes publics qui détiennent des banques de données accessibles publiquement et contenant des renseignements personnels. Afin d’éviter une pareille perte de contrôle, les conditions d’utilisation de ces banques de données doivent sans doute être actualisées de manière à prévoir une interdiction formelle des techniques apparentées au web scraping ainsi que la réutilisation desdites données aux fins d’un regroupement d’information, y compris à des fins lucratives. Autrement, et en supposant l’absence d’un recours individuel devant la Commission d’accès à l’information[29], c’est le citoyen qui perd au change en voyant ses droits fondamentaux menacés.

Sachant qu’une étude sur l’application de la LCCJTI est en cours[30], il est également loisible de réfléchir à la pertinence d’une modification à l’article 24. Ainsi, faudrait-il octroyer au responsable de l’accès à un document technologique contenant des renseignements personnels le droit exprès d’agir pour remédier à une brèche dans les mesures qu’il met en place en vertu de l’article 24 ?

Quoi qu’il en soit, il semble paradoxal que l’article 24 de la LCCJTI, qui a été adopté justement pour éviter que les technologies soient utilisées afin d’accéder à des renseignements personnels auxquels il n’aurait pas été possible d’accéder autrement, puisse être contourné par….. l’utilisation de technologies !

Ces deux affaires soulignent ainsi la difficulté de concilier la protection des renseignements personnels et la transparence de l’État. Ce modèle d’extractivisme de renseignements personnels à caractère public, validé par nos tribunaux, doit-il être perçu comme un phagocytage, par le privé, d’actifs qui sont la propriété des gouvernements et des administrations publiques ? Ou faut-il, à l’instar des auteurs Garapon et Lassègue[31], percevoir le privé comme un instrument nécessaire pour « faire parler » ces biens publics informationnels que sont les données ?

--------

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI) dans le but de susciter les discussions et de soulever les réflexions au sein de la communauté juridique à propos des nouvelles technologies et le droit. Les auteurs sont donc seuls responsables du contenu des articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez un courriel au cti@ajbm.qc.ca.

* Les auteurs tiennent à remercier Me Antoine Guilmain pour ses commentaires lors de la rédaction de l’article. Les opinions exprimées dans le présent article n’engagent que les auteurs et ne représentent pas nécessairement celles de leurs employeurs respectifs.
[1] RLRQ, c. C-12, art. 5 : « Toute personne a droit au respect de sa vie privée ».
[2] RLRQ, c. C-1991 (ci-après « C.c.Q »). Voir notamment les articles 3 et 35 à 37 C.c.Q.
[3] Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c. A-2.1, art. 54 (ci-après « Loi sur l’accès ») : « sont personnels les renseignements qui concernent une personne physique et permettent de l’identifier ».
[4] Id., art. 59.
[5] RLRQ, c. C-1.1 (ci-après « LCCJTI »).
[6] Loi sur l’accès, préc. note 3.
[7] Par exemple, voir Règlement sur le rôle d’évaluation foncière, RLRQ, c. F-2.1, r. 13, art. 20 ; Code des professions, RLRQ, c. C-26, art. 108.8, al. 2 ; art. 37 et 3018 C.c.Q.
[8] LCCJTI, art. 3.
[9] L.D. c. Ministère de la Santé et des Services sociaux, 2017 QCCAI 256 ; Toronto Star c. Collège des médecins, 2019 QCCAI 224.
[10] Gyulai c. Cour du Québec, 2008 QCCS 1454 ; D. (M.) c. Montréal (Ville de), 2014 QCCAI 165.
[11] Interprétation confirmée dans D. (M.) c. Montréal (Ville de), 2014 QCCAI 165 ;
[12] Le web scraping est une technique d’extraction automatisée d’un contenu pour le transformer et l’utiliser dans un autre document technologique. 
[13] Opencorporates Ltd. c. Registraire des entreprises du Québec, 2019 QCCS 3801, par. 76 à 80.
[14] Gyulai c. Cour du Québec, préc. note 10 ; Gourde c. Ordre des comptables professionnels agréés du Québec, 2019 QCCAI 207 ; L.D. c. Ministère de la Santé et des Services sociaux, préc. note 9 ; Toronto Star c. Collège des médecins, préc. note 9.
[15] 2019 QCCS 514 (ci-après « Radio-Canada »).
[16] Id. par. 84.
[17] Id. par. 88.
[18] 2019 QCCS 3801 (ci-après « Opencorporates »).
[19] Les données structurées sont des informations qui permettent aux algorithmes des moteurs de recherche comme Google de mieux « comprendre » le contenu d’une page et ainsi optimiser son référencement. Voir « Comprendre le fonctionnement des données structurées | Recherche », Google Developers, en ligne : <https://developers.google.com/search/docs/guides/intro-structured-data> (page consultée le 6 octobre 2019).
[20] RLRQ c. P-44.1
[21] Opencorporates, préc. note 18, par. 24 à 26.
[22] Id., par. 60.
[23] Id., par. 89.
[24] Par exemple, on pourrait questionner le fait qu’OpenCorporates possède l’ « intérêt sérieux et légitime » requis par l’article 4 de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) pour extraire des données d’un registre public afin d’ensuite les regrouper sur sa propre base de données sans obtenir le consentement des intéressés. À cet égard, la Commission d’accès à l’information a jugé qu’un institut n’avait pas l’intérêt sérieux et légitime pour constituer une base de données sur des individus adoptés à partir du registre de l’état civil en l’absence de leur consentement, dans Institut généalogique Drouin inc., Commission d’accès à l’information, no 091570, 6 février 2015, Diane Poitras, en ligne : www.cai.gouv.qc.ca/documents/CAI_DSV_091570.pdf (décision consultée le 16 octobre 2019) confirmée en appel dans Institut généalogique Drouin inc. c. Commission d'accès à l'information du Québec, 2017 QCCQ 7573.
[25] Opencorporates, préc. note 18, par. 44 à 47.
[26] Opencorporates, préc., note 18, par. 25.
[27] Loi sur l’accès, préc. note 3, art. 55.
[28] Opencorporates, préc. note 18, par. 89.
[29] Évoquons la possibilité d’appliquer l’article 63.1 de la Loi sur l’accès au REQ; ou encore les articles 4 et 14 de la Loi sur le secteur privé à l’égard d’OpenCorporates, tel que mentionné à la note 24.
[30] « Étude préliminaire », LCCJTI.ca, 2019, en ligne : « https://www.lccjti.ca/sondage/ » (consulté le 4 octobre 2019).
[31] GARAPON, A., LASSÈGUE, J. Justice digitale: révolution graphique et rupture anthropologique, 1e édition, Paris, Presses universitaires de France, 2018, p. 86 à 88.
 

Aucun commentaire:

Publier un commentaire

L'équipe du Blogue vous encourage à partager avec nous et nos lecteurs vos commentaires et impressions afin d'alimenter les discussions sur le Blogue. Par ailleurs, prenez note du fait qu'aucun commentaire ne sera publié avant d'avoir été approuvé par un modérateur et que l'équipe du Blogue se réserve l'entière discrétion de ne pas publier tout commentaire jugé inapproprié.