Chronique du CTI – Banques de données publiques : la LCCJTI ne vous protège pas contre le web scraping*

Par Soleïca Monnier, avocate, Fasken et Simon Du Perron, étudiant à la maîtrise en droit des technologies de l’information

 Simon du Perron, étudiant à la maîtrise en droit des technologies de l’information

Soleïca Monnier, avocate, Ministère de la justice du Québec

La confiance n’exclut pas le
contrôle.
–         
Vladimir Ilitch Lénine

L’article 24 de la
LCCJTI, garde-fou de la protection de la vie privée en matière de banques de
données publiques

La protection de la vie privée est primordiale dans une
société démocratique, droit d’ailleurs constitutionnellement protégé par la Charte des droits et libertés de la personne^[1] et
reconnu par le Code civil du Québec^[2]. En
application de ce droit, les renseignements personnels^[3]
sont généralement confidentiels^[4].
Néanmoins, dans certaines circonstances exceptionnelles, ils peuvent être communiqués
ou rendus publics pour une finalité particulière, laquelle devrait
conséquemment également régir leur réutilisation, le cas échéant. Nous
appellerons ce principe la « règle de la finalité particulière ».

En harmonie avec ce qui précède, l’article 24 de la Loi concernant le cadre juridique des
technologies de l’information^[5] (ci-après « LCCJTI ») prévoit que :

L’utilisation de fonctions de
recherche extensive dans un document technologique qui contient des
renseignements personnels et qui, pour une finalité particulière, est rendu
public doit être restreinte à cette finalité. Pour ce faire, la personne responsable
de l’accès à ce document doit voir à ce que soient mis en place les moyens
technologiques appropriés. Elle peut en outre, eu égard aux critères élaborés
en vertu du paragraphe 2 de l’article 69, fixer des conditions pour
l’utilisation de ces fonctions de recherche.

[nos soulignements]

En matière d’accès à
l’information, le deuxième alinéa de l’article 55 de la Loi sur l’accès aux documents des organismes
publics et sur la protection des renseignements personnels^[6] (ci-après
« Loi sur l’accès ») prévoit qu’ :

[…] un organisme public qui
détient un fichier de tels renseignements peut en refuser l’accès, en tout ou
en partie, ou n’en permettre que la consultation sur place si le responsable a
des motifs raisonnables de croire que les renseignements seront utilisés à
des fins illégitimes.

[nos soulignements]
Ces dispositions, complétées par certains articles
spécifiques parsemés à travers le corpus législatif^[7],
constituent des garde-fous de la règle de la finalité particulière dans le
secteur public. Seulement, l’article 24 de la LCCJTI s’intéresse
spécifiquement au « document technologique »[8]
rendu public pour une finalité particulière (ex. le Registre des lobbyistes, le
tableau d’un ordre professionnel^[9] ou
encore le rôle d’évaluation d’une municipalité^[10]),
tandis que l’article 55 de la Loi
sur l’accès régit les demandes d’accès aux
documents des organismes publics^[11].
À vrai dire, à l’époque de son adoption en 2001, l’article 24
avait justement pour objectif de contrer les risques liés aux potentialités
technologiques conjuguées à l’accessibilité d’un document contenant des
renseignements personnels sur la toile (web
scrapping[12],
croisement de données à des fins de désanonymisation, etc.)^[13].
Autrement dit, il ne devait pas être possible, par le biais de fonctions de
recherche dans un document technologique, d’obtenir des renseignements
personnels auxquels il n’aurait pas autrement été possible d’accéder sur
support papier.
Sans doute en raison de l’importance du droit sous-jacent à
l’article 24, les décideurs qui ont interprété cette restriction depuis
son entrée en vigueur l’ont fait de façon large et libérale. En effet, la quasi-unanimité
des décisions se basant sur la disposition ont statué à la négative quant à la
possibilité de partager un document technologique contenant des renseignements
personnels^[14].
Péripéties
jurisprudentielles du Registraire des entreprises du Québec

Deux décisions récentes de la Cour supérieure, qui portent
sur le Registraire des entreprises du Québec (ci-après « REQ »), soulèvent des
doutes quant à la portée de l’article 24.

Dans l’affaire Société
Radio-Canada c. Registraire des
entreprises^[15], la
Cour est saisie d’un pourvoi en contrôle judiciaire visant notamment à faire
annuler les conditions d’utilisation établies par le REQ pour son service en
ligne de recherche sur le Registre des entreprises (ci-après « Registre »).

Les conditions d’utilisation adoptées par le REQ en mars
2016 interdisent par exemple aux utilisateurs d’effectuer des regroupements
d’information à partir des données du Registre, ainsi que d’utiliser ces
données à des fins lucratives. Radio Canada prétend que les conditions
d’utilisation violent la liberté de presse et l’empêchent d’accomplir sa
mission de diffuseur public.

La Cour est d’avis qu’il n’y a pas lieu d’annuler les
conditions d’utilisation, puisque le REQ, en adoptant celles-ci, ne fait
qu’accomplir le devoir que le législateur lui impose en vertu de l’article 24
LCCJTI. En effet, l’article 24 oblige le REQ à restreindre l’utilisation
des fonctions de recherche extensive dans le Registre à sa finalité
particulière qui consiste à « donner les renseignements sur les entreprises
assujetties et non de permettre d’effectuer des recherches sur les personnes
physiques et leur implication au sein d’entreprises »^[16].
Autrement dit, les fonctions de recherche du REQ ne devraient pas permettre de
dresser des profils détaillés sur les individus, car cette fonction ne sert pas
la finalité du Registre^[17].

Qu’en est-il des données recueillies à même le Registre
avant l’adoption des conditions d’utilisation limitatives en mars 2016 ? C’est
la question au cœur de la décision Opencorporates
Ltd c. Registraire des entreprises du
Québec^[18]
rendue le 6 septembre dernier.

OpenCorporates est une entreprise britannique qui gère une
importante base de données accessible gratuitement au public sur plus de 160
millions de sociétés réparties dans 130 juridictions à travers le monde. Le modèle
d’affaires de l’entreprise consiste à vendre des « données structurées »^[19] aux
personnes intéressées, comme des agences gouvernementales, des institutions
financières, des journalistes, des ONG, etc.

De
2012 à 2016, OpenCorporates recueille une quantité importante de données du
Registre au moyen d’un programme informatique automatisé, sans toutefois
limiter la capacité de recherche d’un utilisateur à même la base de données
ainsi constituée. Tel que mentionné, en mars 2016, le REQ modifie ses
conditions d’utilisation afin d’interdire notamment à ses utilisateurs
d’effectuer des prélèvements massifs de données. OpenCorporates cesse alors
d’extraire les données du Registre, mais conserve celles recueillies avant
l’adoption des conditions. Les données demeurent à ce jour disponibles
gratuitement sur la plateforme, y compris à des fins lucratives.

Le
REQ demande à ce que les données recueillies entre 2012 et 2016 soient retirées
de la base de données. En effet, il prétend être habilité à surveiller
l’utilisation de données extraites par les utilisateurs sur le Registre et à
intervenir s’il considère que celles-ci sont utilisées en violation de la Loi sur la publicité légale des entreprises^[20]
(ci-après « LPLE ») ou de la LCCJTI^[21].

Or, cette fois-ci, la Cour est d’avis que le REQ va trop
loin dans l’interprétation des responsabilités qui lui incombent. De l’avis de
la juge Rogers, la responsabilité du REQ se limite à restreindre les fonctions
de recherche extensives au sein du
Registre^[22].
Une fois ce devoir accompli, le REQ ne dispose plus d’aucun intérêt pour forcer
le retrait de renseignements personnels rendus accessibles plus facilement sur
la base de données d’un tiers (OpenCorporates) à la suite d’une consultation du
Registre effectuée en conformité avec la loi^[23].
Le message de la Cour est sans équivoque : si le REQ avait voulu empêcher
la réutilisation de ses données, il n’avait qu’à modifier ses conditions
d’utilisation plus tôt.

La protection
des renseignements personnels : l’éléphant blanc d’Opencorporates

La juge Rogers précise d’entrée de jeu que sa décision ne
porte pas sur la légalité de la base de données d’OpenCorporates au regard de
lois en matière de vie privée[24],
mais uniquement sur la capacité du REQ d’interdire l’utilisation des données
extraites du Registre par un tiers avant l’entrée en vigueur des nouvelles
conditions d’utilisation[25].
Bien que le choix de la juge Rogers soit justifié dans le contexte d’une
demande de jugement déclaratoire, il nous laisse sur notre faim du point de vue
de la protection des renseignements personnels.

En effet, le précédent formé par la décision Opencorporates semble créer une
exception surprenante à la règle de la finalité particulière en permettant la réutilisation de renseignements
personnels issus du Registre sur une plateforme privée qui ne limite pas leur
réutilisation à la finalité pour laquelle celui-ci a initialement été rendu
public.

Ainsi, pour citer la juge Rogers, OpenCorporates réalise
indirectement ce qu’elle ne pourrait faire directement^[26].
D’une part, la technologie utilisée par OpenCorporates exploite en réalité une
faille dans les mesures de sécurité mises en place par le REQ en vertu de
l’article 24 LCCJTI, et ce, afin d’extraire un volume important de données
qui n’auraient pu être obtenues par la voie d’une demande d’accès
traditionnelle (voir Radio-Canada
précitée)^[27]. De
l’autre, en laissant aux utilisateurs de sa plateforme la liberté d’effectuer
des recherches à partir des renseignements personnels extraits du Registre,
l’entreprise fait fi des obligations qui lui sont imposées en vertu de
l’article 24 LCCJTI à titre de responsable de l’accès à un document qui
contient des renseignements personnels.

Des leçons à
tirer pour les organismes publics
En somme, la conclusion de la Cour à l’effet que le REQ n’a
pas l’intérêt pour agir afin de remédier à l’insuffisance de ses mesures
antérieures à 2016^[28] devrait
sonner l’alarme aux organismes publics qui détiennent des banques de données accessibles
publiquement et contenant des renseignements personnels. Afin d’éviter une pareille
perte de contrôle, les conditions d’utilisation de ces banques de données doivent
sans doute être actualisées de manière à prévoir une interdiction formelle des
techniques apparentées au web scraping ainsi
que la réutilisation desdites données aux fins d’un regroupement d’information,
y compris à des fins lucratives. Autrement, et en supposant l’absence d’un
recours individuel devant la Commission d’accès à l’information[29],
c’est le citoyen qui perd au change en voyant ses droits fondamentaux menacés.

Sachant qu’une étude sur l’application de la LCCJTI est en
cours^[30], il
est également loisible de réfléchir à la pertinence d’une modification à
l’article 24. Ainsi, faudrait-il octroyer au responsable de l’accès à un
document technologique contenant des renseignements personnels le droit exprès
d’agir pour remédier à une brèche dans les mesures qu’il met en place en vertu
de l’article 24 ?

Quoi qu’il en soit, il semble paradoxal que l’article 24
de la LCCJTI, qui a été adopté justement pour éviter que les technologies
soient utilisées afin d’accéder à des renseignements personnels auxquels il
n’aurait pas été possible d’accéder autrement, puisse être contourné par…..
l’utilisation de technologies !

Ces deux affaires soulignent ainsi la difficulté de
concilier la protection des renseignements personnels et la transparence de
l’État. Ce modèle d’extractivisme de renseignements personnels à caractère
public, validé par nos tribunaux, doit-il être perçu comme un phagocytage, par
le privé, d’actifs qui sont la propriété des gouvernements et des
administrations publiques ? Ou faut-il, à l’instar des auteurs Garapon et
Lassègue^[31],
percevoir le privé comme un instrument nécessaire pour « faire parler » ces
biens publics informationnels que sont les données ?

——–

Les chroniques du CTI sont rédigées par un ou plusieurs membres du Comité Technologies de l’information (CTI)
dans le but de susciter les discussions et de soulever les réflexions
au sein de la communauté juridique à propos des nouvelles technologies
et le droit. Les auteurs sont donc seuls responsables du contenu des
articles et l’opinion qui y est véhiculée n’est pas celle du JBM, mais
bien celle des auteurs. Si vous désirez rédiger une chronique, envoyez
un courriel au cti@ajbm.qc.ca.

---

* Les auteurs tiennent
à remercier Me Antoine Guilmain pour ses commentaires lors de la rédaction de
l’article. Les opinions exprimées dans le présent article n’engagent que les
auteurs et ne représentent pas nécessairement celles de leurs employeurs
respectifs.
^[1] RLRQ, c. C-12, art. 5 :
« Toute personne a droit au respect de sa vie privée ».
^[2]
RLRQ, c. C-1991
(ci-après « C.c.Q »). Voir notamment les articles 3 et
35 à 37 C.c.Q.
^[3] Loi
sur l’accès aux documents des organismes publics et sur la protection des
renseignements personnels, RLRQ c. A-2.1, art. 54 (ci-après « Loi sur l’accès ») : « sont personnels les renseignements
qui concernent une personne physique et permettent de l’identifier ».
^[4]
Id., art. 59.
^[5]
RLRQ, c. C-1.1
(ci-après « LCCJTI »).
^[6]
Loi sur l’accès, préc. note 3.
^[7]
Par exemple, voir Règlement sur le rôle d’évaluation foncière,
RLRQ, c. F-2.1, r. 13, art. 20 ; Code des
professions, RLRQ, c. C-26, art. 108.8, al. 2 ; art. 37 et 3018 C.c.Q.
[8]
LCCJTI, art. 3.
^[9]
L.D. c. Ministère de la
Santé et des Services sociaux, 2017 QCCAI 256 ; Toronto Star c. Collège des
médecins, 2019 QCCAI 224.
^[10]
Gyulai c. Cour du Québec,
2008 QCCS 1454 ; D. (M.) c. Montréal (Ville de), 2014 QCCAI 165.
^[11] Interprétation confirmée dans D. (M.) c. Montréal (Ville de), 2014 QCCAI 165 ;
[12] Le web scraping est une technique d’extraction automatisée d’un
contenu pour le transformer et l’utiliser dans un autre document
technologique. 
^[13] Opencorporates
Ltd. c. Registraire des entreprises
du Québec, 2019 QCCS 3801, par. 76 à 80.
^[14]
Gyulai c. Cour du Québec, préc. note 10 ; Gourde c. Ordre des comptables professionnels agréés du Québec, 2019 QCCAI
207 ; L.D. c. Ministère de la Santé et des Services sociaux, préc. note 9 ;
Toronto Star c. Collège des médecins, préc. note 9.
^[15] 2019 QCCS 514 (ci-après « Radio-Canada »).
^[16] Id.
par. 84.
^[17] Id.
par. 88.
^[18] 2019 QCCS 3801 (ci-après « Opencorporates »).
^[19] Les données structurées sont des
informations qui permettent aux algorithmes des moteurs de recherche comme
Google de mieux « comprendre » le contenu d’une page et ainsi optimiser
son référencement. Voir « Comprendre le fonctionnement des données
structurées | Recherche », Google
Developers, en ligne : <https://developers.google.com/search/docs/guides/intro-structured-data> (page consultée le 6 octobre
2019).
^[20] RLRQ c. P-44.1
^[21] Opencorporates,
préc. note 18, par. 24 à 26.
^[22] Id.,
par. 60.
^[23] Id.,
par. 89.
[24] Par exemple, on pourrait
questionner le fait qu’OpenCorporates possède l’ « intérêt sérieux et légitime
» requis par l’article 4 de la Loi sur la
protection des renseignements personnels dans le secteur privé (RLRQ, c.
P-39.1) pour extraire des données d’un registre public afin d’ensuite les
regrouper sur sa propre base de données sans obtenir le consentement des
intéressés. À cet égard, la Commission d’accès à l’information a jugé qu’un institut
n’avait pas l’intérêt sérieux et légitime pour constituer une
base de données sur des individus adoptés à partir du registre de l’état civil en
l’absence de leur consentement, dans Institut
généalogique Drouin inc., Commission d’accès à l’information, n^o
091570, 6 février 2015, Diane Poitras, en ligne : www.cai.gouv.qc.ca/documents/CAI_DSV_091570.pdf (décision consultée le 16 octobre 2019)
confirmée
en appel dans Institut généalogique
Drouin inc. c. Commission d’accès à l’information du Québec, 2017 QCCQ 7573.
[25] Opencorporates, préc. note 18, par. 44 à 47.
^[26]
Opencorporates, préc., note 18, par. 25.
^[27] Loi
sur l’accès, préc. note 3, art. 55.
^[28] Opencorporates,
préc. note 18, par. 89.
[29] Évoquons
la possibilité d’appliquer l’article 63.1 de la Loi sur l’accès au REQ; ou encore les articles 4 et 14 de la Loi sur le secteur privé à l’égard
d’OpenCorporates, tel que mentionné à la note 24.
^[30] « Étude préliminaire », LCCJTI.ca, 2019, en ligne : « https://www.lccjti.ca/sondage/ » (consulté le 4 octobre 2019).
^[31] GARAPON, A., LASSÈGUE, J. Justice digitale: révolution graphique et
rupture anthropologique, 1e édition, Paris, Presses universitaires de
France, 2018, p. 86 à 88.