Printer Friendly

Vie privee et "droit a l'oubli": que fait le Canada?

L'arret Google Spain c. AEPD et Gonzalez (1), rendu en mai 2014, met en lumiere le fosse qui separe les regimes de protection des donnees personnelles sur Internet en Europe et au Canada. De fait, cette decision de la Cour europeenne de Justice de l'Union Europeenne (CJUE) met en lumiere l'existence, en Europe, d'un regime effectif de protection du droit a la vie privee et qui cherche a s'adapter aux nouvelles realites technologiques. Cette decision introduit ainsi un droit nouveau, afin de tenir compte de la multiplication des donnees personnelles susceptibles d'exister sur Internet et de l'importance, pour un individu, de conserver un certain controle sur les donnees qui le concernent. Or, le <<droit a l'oubli>> numerique, tel que consacre par cette decision, n'existe nullement en droit canadien, que ce soit en vertu de la common law ou des lois actuelles sur la protection de la vie privee. Au surplus, l'introduction d'un tel droit dans le corpus juridique canadien ne semble pas veritablement envisagee par les partisans, de plus en plus nombreux, d'une reforme de la loi federale sur la protection des renseignements personnels (2). Il faut avouer que les nombreux appels a la modernisation de la loi federale sur la vie privee, notamment par la voix de Jennifer Stoddart (3)--qui etait encore recemment Commissaire a la protection de la vie privee du Canada--se fondent avant tout sur le constat que la loi actuelle (4), dont l'economie generale n'a pas ete revue depuis son adoption, est cruellement insuffisante et inadaptee au monde numerique. L'introduction d'une nouvelle forme de protection des donnees personnelles peut donc paraitre superflue dans ce contexte ou la desuetude de la loi face aux defis de l'Internet est criante.

Pourtant, l'arret Google Spain, comme le projet de Reglement general sur la protection des donnees actuellement etudie par le Parlement europeen, comportent plusieurs elements interessants qui gagneraient a etre etudies dans le cadre de l'inevitable reforme de la Loi sur la protection des renseignements personnels canadienne. Afin de mettre en lumiere les eventuels avantages de la mise en place d'un tel <<droit a l'oubli>> au Canada, nous analyserons tout d'abord les implications de l'affaire Google Spain et du projet de reglement europeen, avant de s'attarder sur la maniere par laquelle cette nouvelle forme de protection de la vie privee pourrait etre integree en droit canadien.

Le <<droit a l'oubli>> en Europe

L'affaire Google Spain prend naissance en 1998 quand un journal espagnol, La Vanguardia, publie deux brefs avis legaux annoncant la mise aux encheres de biens immobiliers. Ceux-ci, propriete d'un avocat nomme Mario Costeja Gonzalez, ont ete saisis en recouvrement de dettes de securite sociale et la publication de l'avis de vente a ete requis, suivant la procedure habituelle, par le ministere du Travail et des Affaires sociales. M. Gonzalez regla eventuellement ses dettes et la vente n'eut pas lieu. Neanmoins, dix ans plus tard, M. Gonzalez constate que lorsqu'il recherche son nom sur Google, des liens vers ces avis publies par La Vanguardia s'affichent toujours. En 2010, estimant que ces informations anciennes ne sont plus pertinentes, M. Gonzalez entreprend une procedure devant l'autorite espagnole de regulation des donnees personnelles (ci-apres l'AEPD5), pour exiger que le site Internet du journal fasse disparaitre les avis legaux en question et que Google Inc. (la compagnie mere, basee en Californie) et Google Spain (la filiale, basee en Espagne) suppriment ou occultent les resultats de recherche le concernant et que le moteur de recherche cesse de publier les liens menant vers les articles de La Vanguardia. L'AEPD accueille la reclamation de M. Gonzalez a l'endroit de Google Spain et Google Inc., mais refuse que soient supprimes les articles de journaux, puisque la publication de ceux-ci etait legalement justifiee. Les deux branches de Google introduisent alors un recours contestant la decision devant la Cour nationale espagnole (6) qui se tourne, a son tour, vers la CJUE pour trancher certaines questions preliminaires portant sur l'application du texte legislatif de reference en l'espece, soit la Directive 951461CE7, dont une portant sur l'existence et la portee d'un eventuel <<droit a l'oubli>> numerique en droit europeen.

Devant faire face a un texte passablement ancien, dont l'adoption est anterieure au developpement fulgurant des technologies de l'information, la CJUE se livre alors a une interpretation large et extensive du champ d'application et du contenu de la Directive. Elle estime ainsi que meme si les serveurs de Google sont situes en dehors du territoire europeen, la legislation europeenne s'applique au moteur de recherche, dans la mesure ou celui-ci dispose, dans un des Etats membres de l'Union, d'une filiale (soit, en l'espece, Google Spain) qui assure la promotion et la vente d'espaces publicitaires. Pour la Cour, ces filiales constituent clairement des <<etablissements>> au sens de l'article 4 de la Directive et celle-ci leur est, des lors, applicable (8). D'autre part, la Cour se livre a une analyse du role des moteurs de recherche et estime qu'ils exercent un controle certain sur toute une serie d'informations concernant une personne physique identifiee ou identifiable et qu'ils peuvent donc etre considerees comme <<responsable du traitement de donnees a caractere personnel>> au sens de la Directive (9).

Dans un troisieme temps, la Cour conclut que pour respecter l'esprit de la Directive, <<qui vise a garantir un niveau eleve de protection des libertes et des droits fondamentaux des personnes physiques, notamment de leur vie privee, a l'egard du traitement des donnees a caractere personnel (10),>> des obligations s'imposent aux differentes entites qui effectuent le traitement de telles donnees. Parmi celles-ci figure l'obligation de prendre en compte les demandes, emanant d'individus--les personnes morales ne pouvant invoquer ce droit--et visant a supprimer des informations personnelles les concernant, parce qu'elles sont inexactes, inadequates, excessives ou qu'elles ne sont pas ou plus pertinentes. Cette procedure est accessible sans qu'il soit necessaire, pour le demandeur, de prouver que la diffusion de ces informations lui porte prejudice. Le moteur de recherche doit alors examiner le bien-fonde de ces requetes et, le cas echeant, supprimer les liens vers le contenu en cause. Lorsque le moteur de recherche ne donne pas suite a ces demandes, la personne concernee peut alors saisir les autorites competentes pour qu'elles tranchent le litige (11). La Cour estime d'ailleurs qu'a titre de responsables de traitement de donnees personnelles, les moteurs de recherche ont des obligations particulierement importantes. En effet, la Cour considere qu'en raison de la myriade de possibilites d'acces et d'interconnexion des donnees fournies par les differents sites web, les moteurs de recherche rendent les donnees personnelles en question pratiquement omnipresentes, celles-ci pouvant etre consultees instantanement par un nombre indefini d'internautes partout dans le monde, en dehors de tout controle par l'emetteur (12). L'atteinte aux droits fondamentaux des citoyens peut ainsi etre demultipliee. En consequence, la Cour estime que l'ingerence dans ces droits ne saurait etre justifiee par le seul interet economique de l'exploitant d'un moteur de recherche (13).

Consciente des difficultes d'application du processus, mais aussi des risques de demandes abusives qui pourraient porter atteinte au droit a l'information du public ou a la liberte de la presse, la Cour precise que ce <<droit a l'effacement>> n'est pas absolu et qu'il devra toujours etre mis en balance avec les autres droits fondamentaux susceptibles d'etre atteints, comme la liberte d'expression et la liberte de la presse. Devront ainsi etre pris en compte, au cas par cas, le type d'information concernee, la sensibilite des donnees pour la personne concernee et l'interet du public (14). Sur ce dernier point, la Cour precise d'ailleurs que le role joue par un individu dans la vie publique pourrait justifier le refus de supprimer certaines donnees, au nom de l'interet preponderant du public a avoir acces a l'information en question.

Pour un observateur canadien, cette decision de la CJUE est etonnante a plusieurs titres. Tout d'abord, l'interpretation large et evolutive que la Cour fait de la Directive de 1995 demontre un parti pris certain envers une protection active du droit a la vie privee des citoyens de l'Union europeenne, en suivant une demarche passablement etrangere au systeme juridique canadien, plus enclin, comme le sont d'autres pays de common law, a faire primer la liberte d'expression sur la protection de la vie privee. De fait, comme le souligne un auteur, la Cour se livre, dans cette decision, a une <<veritable reecriture de la directive pour permettre son applicabilite territoriale et materielle (15) >> au nom de la garantie des droits fondamentaux des citoyens. Elle reussit d'ailleurs a s'appuyer, dans son raisonnement, sur les garanties offertes par la Charte des droits fondamentaux de l'Union, pourtant inapplicable en l'espece (16). D'autre part, par cette decision, la CJUE semble vouloir prendre de vitesse la Commission europeenne en jetant les bases juridiques d'un <<droit a l'oubli>> que celle-ci cherche, depuis des mois, a definir et encadrer dans son projet de reglementation, encore a l'etude devant le Parlement europeen. De fait, en consacrant un <<droit a l'oubli>> qui ne soit ni conditionnel ni lie a l'existence d'un prejudice cause par la publication des donnees, ni meme a l'illiceite du traitement de celles-ci (17), la Cour etablit certaines balises qui seront desormais difficilement contournables par les parlementaires.

En effet, depuis plusieurs annees, les instances politiques europeennes militent pour le renforcement de la Directive de 1995. Un projet de Reglement europeen sur la protection des donnees personnelles a d'ailleurs ete introduit en janvier 2012, a l'initiative de Viviane Redding (18), la vice-presidente de la Commission europeenne chargee de la Justice. Il a recemment ete adopte en premiere lecture par le Parlement europeen (19) et son etude se poursuit. Il est important de souligner qu'au contraire d'une directive--qui doit etre incorporee en droit interne pour s'appliquer et qui permet aux pays membres d'appliquer certains amenagements au texte--un reglement europeen s'impose tel quel aux 28 Etats membres. En consequence, son adoption garantira l'existence d'un corpus legislatif uniforme et coherent sur l'ensemble du territoire europeen. Vu le poids demographique du continent europeen, force est d'admettre que l'adoption de la reforme proposee constituera un tournant dans la conception internationale du droit a la vie privee et a la protection des donnees personnelles et dans les pratiques commerciales des grands acteurs de l'Internet, a qui un seul cadre de reference s'imposera desormais sur tout le continent europeen.

Mais que contient ce fameux projet? Tout d'abord, il vise a permettre la portabilite des donnees, soit le fait de garantir la conservation et le transfert aise des donnees personnelles lors du passage, par un individu, d'un fournisseur de service a un autre. Ensuite, on cherche, avec ce texte legislatif, a elargir la protection offerte aux citoyens de l'Union, en definissant plus largement le concept de <<donnees personnelles>>, pour que soient proteges le contenu d'un courriel, mais aussi les informations qui s'y rattachent, comme le lieu de l'envoi, par exemple. On souhaite egalement s'assurer que toutes ces regles s'appliqueront a tous les prestataires par qui ces donnees sont susceptibles de transiter (20). D'autre part, on souhaite consacrer le <<droit a l'oubli>> numerique, soit le droit de reclamer l'effacement total de donnees personnelles, par une simple demande, voire a l'obtenir de maniere automatique apres un certain temps. De fait, dans le cadre legislatif europeen actuel (comme c'est egalement le cas au Canada) l'effacement des donnees n'est possible que s'il est demontre que celles-ci sont erronees ou incompletes. Avec le droit a l'oubli, tel que propose par le projet de reglement, toutes les donnees incorrectes, excessives, inutiles, ou ayant perdu leur pertinence, ouvriront le droit a l'effacement. Dans le cas ou une compagnie refuserait d'effacer certaines donnees, il lui appartiendra de demontrer que la publication de l'information est pertinente et necessaire et qu'elle ne devrait pas faire l'objet d'une suppression. Il est finalement a souligner que le projet prevoit l'imposition d'amendes punitives et dissuasives importantes pour les entreprises fautives qui se verraient condamnees, allant jusqu'a representer 5 % du chiffre d'affaire global de l'entreprise (21).

Chaque innovation proposee par ce projet ambitieux fait, bien sur, l'objet de critiques dans les pays membres de l'Union europeenne et ailleurs. Neanmoins, la plus vive polemique qu'il souleve concerne certainement la question de l'effacement, sur demande, des donnees personnelles (le terme de <<droit a l'oubli>>, mis de l'avant par les institutions europeennes, reste absent du texte officiel). Entre ceux qui craignent que ne soit brimee la liberte d'entreprendre des geants du web et ceux qui s'inquietent d'une atteinte a la liberte de presse ou la liberte d'expression, il est evident que le projet est loin de faire l'unanimite. De fait, il semble legitime de craindre que certains individus soient tentes d'utiliser le <<droit a l'oubli>> pour cacher ou supprimer des informations d'interet public, incluant des personnalites publiques dont l'election serait peut-etre facilitee par un dossier de presse expurge d'eventuelles informations desavantageuses, ou des artistes souhaitant faire oublier des critiques negatives emises a leur endroit (22). Neanmoins, ni le jugement de la CJUE, ni le projet de reglement europeen ne font du droit a l'oubli un droit absolu qui primerait sur le droit a l'information ou la liberte d'expression. En effet, la Cour a bien specifie que toute demande d'effacement doit faire l'objet d'une analyse au cas par cas et qu'un equilibre doit etre recherche entre le droit a la vie privee et la liberte d'expression et de la presse. La CJUE etablit, au surplus, une serie de criteres devant guider les moteurs de recherche dans leur decision de proceder ou non a la suppression des donnees. Ils devront, par exemple, s'interroger sur la pertinence des donnees, compte tenu du temps ecoule depuis leur publication initiale, ou sur leur exactitude. D'autre part, la Cour precise que des restrictions plus importantes aux droits fondamentaux des personnalites publiques pourraient etre justifiee, vu l'interet preponderant du public a avoir acces a ce type d'information (23). Cependant, les modalites concretes de la mise en balance promise, au cas par cas, entre la liberte d'expression et le droit a la vie privee, restent inconnues. De meme, on ignore encore de quelle maniere le Parlement europeen decidera, dans la version finale du Reglement europeen sur la protection des donnees personnelles, de baliser ce droit nouveau et si la protection de l'acces du public a l'information sera assuree, malgre l'introduction du <<droit a l'oubli>>.

Un <<droit a l'oubli>> au Canada?

Au Canada, la Loi sur la protection des renseignements personnels (24) est entree en vigueur en 1983. Neanmoins, il fallut attendre jusqu'en 2001 pour que le Canada se dote d'une legislation visant la protection des donnees personnelles opposable au secteur prive, soit la Loi sur la protection des renseignements personnels et les documents electroniques (25). Ce delai semble assez revelateur de la conception de la vie privee generalement en vigueur au Canada ou, traditionnellement, ce droit visait surtout a proteger les citoyens contre les intrusions de l'Etat, comme les ecoutes electroniques ou les fouilles abusives, par exemple (26). C'est sans doute ce qui explique, d'ailleurs, que la protection du droit a la vie privee soit aussi succincte dans la Charte canadienne. En effet, les seuls articles traitant de la vie privee dans la Charte concernent les garanties contre les atteintes aux principes de justice fondamentale ou contre les abus policiers (27). La plupart des decisions de la Cour supreme traitant de la protection de la vie privee portent d'ailleurs sur ces dernieres questions. Elle a neanmoins eu l'occasion, en 1998, de se pencher sur la collecte de donnees personnelles dans le secteur prive, dans son jugement Aubry c. Vice-Versa (28).

Dans cette affaire, la photo d'une jeune fille, prise a son insu alors qu'elle etait assise dans la rue, avait ete mise en couverture d'un magazine artistique sans son consentement. Celle-ci intenta un recours contre l'editeur du magazine en vertu de la Charte quebecoise (29), qui garantit notamment, a son article 5, la protection de la vie privee. Ce jugement a permis a la Cour d'elargir quelque peu la protection du droit a la vie privee, dans un contexte non gouvernemental, et d'y inclure la faculte de controler son image et l'utilisation de celle-ci. Elle y affirme notamment que chacun doit avoir un certain controle sur son identite et que la sphere d'autonomie personnelle ou se forme des choix intrinsequement prives doit etre protegee, y compris en droit prive (30). Elle rappelle egalement que le droit a la vie privee est un droit de la personnalite--et un interet de nature extrapatrimoniale--susceptible de mettre en cause la responsabilite civile d'un tiers (31). Neanmoins, elle ne va guere plus loin dans l'extension du champ de protection de la vie privee et reaffirme surtout les principes de bases deja developpes, en droit public, dans ses arrets R. c. Dyment de 198832 et Godbout c. Longueuil (33) rendu en 1997. Soulignons, finalement, que depuis cette decision de 1998, alors qu'Intemet n'en etait encore qu'a ses balbutiements, la Cour supreme n'a pas reellement eu l'opportunite de se prononcer sur l'etendue de la protection legislative des renseignements personnels au Canada, en droit prive (34).

Force est donc d'admettre qu'au Canada, malgre une certaine ouverture des tribunaux, le contexte legislatif est largement insuffisant pour proteger les citoyens contre les intrusions excessives dans leur vie privee et contre la manipulation sans consentement de leurs donnees personnelles dans une epoque ou celles-ci sont demultipliees par l'utilisation d'Internet. S'il est possible de se proteger de certaines intrusions par le biais de lois provinciales (35) ou par le delit civil d'intrusion dans la vie privee, reconnu notamment par la Cour d'appel de l'Ontario en 201236, il reste que la protection de la vie privee des canadiens ne semble pas, a l'heure actuelle, adaptee a l'ere numerique, ou tant les donnees que les moyens d'y acceder se multiplient. Comme l'a souligne l'ex-commissaire a la protection de la vie privee du Canada, Jennifer Stoddart (37), les lois relatives a la protection de la vie privee et des donnees personnelles au Canada sont ainsi totalement inadaptees a la realite actuelle, puisqu'elles ne prevoient a peu pres aucun pouvoir d'enquete, parce que les entreprises n'ont aucunement a faire la preuve qu'ils mettent en place des procedures responsables de collecte et traitement des donnees personnelles, et surtout, parce qu'aucune loi ne donne le pouvoir au Commissariat de sanctionner les entreprises fautives autrement qu'en les nommant publiquement. Par exemple, aucune sanction pecuniaire consequente n'est prevue.

Les autres lois provinciales (38) de protection des renseignements personnels restent, elles aussi, peu efficaces face a la numerisation galopante de notre societe et a la proliferation des entites creatrices ou gestionnaires de donnees personnelles. Au surplus, l'absence de <<droit a l'effacement>> de ces donnees, meme lorsque celles-ci sont susceptibles de causer un prejudice a l'individu, pose un serieux probleme a l'heure ou les donnees numeriques sur tous les canadiens se multiplient et s'echangent entre les acteurs du Web, bien souvent a leur insu. Or, aucune de ces lois (tant federales que provinciales) n'offrent la possibilite de faire supprimer, sur simple demande, des renseignements publies ou traites par un tiers, si ce n'est dans un contexte de << rectification>> d'une information erronee. Or, on peut aisement envisager une plethore de situations ou l'impossibilite d'obtenir la suppression de donnees personnelles pourrait devenir problematique pour un individu: pensons notamment aux adolescents qui publient aujourd'hui sur les reseaux sociaux, avec l'inconscience qui sied a leur age, des photos ou des renseignements qui ne refleteront plus, dans quelques annees, les adultes qu'ils seront devenus. Comme il appert de la liste fournie par le journal anglais The Telegraph et faisant reference a une serie de liens, menant vers un de leurs articles et ayant ete supprimes de google.uk en conformite avec la decision Google Spain, la plupart des requetes ont un point commun: elles cherchent a estomper les effets d'une <<erreur de jeunesse>> qui, sans les precieux algorithmes de Google, serait oubliee depuis longtemps. On y remarque notamment l'histoire d'un vicaire ayant quitte sa paroisse apres avoir ete surpris, nu et ivre, par ses paroissiens ou celle d'une femme agee ayant epouse un jeune marocain rencontre sur Internet et dont le visa avait --prealablement a leur rencontre--ete refuse a trois reprises (39). Il y a quelques annees, des histoires semblables s'effacaient des memoires avec le seul passage du temps. Les individus touches pouvaient, de fait, legitimement esperer que ces anecdotes honteuses seraient un jour oubliees et qu'ils pourraient reprendre le fil de leur vie sans etre inexorablement lies a cette erreur. En ce sens, le droit a l'oubli constitue peut-etre <<l'antidote moderne contre l'effet glacant de la memoire parfaite>> qu'engendre le numerique, comme le souligne Viktor Mayer-Schonberger (40), considere comme l'un des peres du droit a l'oubli europeen.

Si, comme l'a etablit la Cour supreme, la notion de vie privee decoule de l'hypothese que toute l'information concernant une personne lui appartient fondamentalement et que le droit a la vie privee se fonde sur les notions de dignite humaine et d'integrite de la personne (41), il semble logique de penser que la propriete que nous avons sur ces donnees devrait nous conferer le droit d'en demander la suppression, a tout le moins lorsque l'acces generalise du public a celles-ci nous cause un prejudice. Or, vu les reticences des parlementaires face a une reforme en profondeur de la legislation sur la protection des donnees personnelles, il semble que les seuls developpements que l'on peut esperer, a court terme, relativement a l'introduction d'un <<droit a l'effacement>> en droit canadien, ne pourront emaner que des tribunaux. En effet, il semble que malgre l'incertitude qui regne au Canada sur la portee des <<droits de la personnalite (42) >>, seule la voie jurisprudentielle semble pour l'instant prete a s'ouvrir a une telle possibilite, comme le demontre la lecture parallele de deux recents arrets de la Cour supreme de Colombie-Britannique. Bien que ces arrets ne portent pas directement sur le droit a l'oubli, ils confirment neanmoins une sensibilite accrue des tribunaux aux problemes souleves par la toute puissance des geants du Web (en l'espece, Facebook et Google) dans la gestion des donnees numeriques.

En premier lieu, la Cour a eu a se pencher, en mai dernier, sur une question mettant en cause le consentement presume des utilisateurs de reseaux sociaux face a l'utilisation de leurs donnees. En effet, les conditions d'utilisation de ces sites sont generalement fort larges et a l'avantage indeniable de l'entreprise. Ainsi, dans l'affaire Douez v. Facebook (43), la Cour a accepte la requete d'une femme qui souhaite entreprendre un recours collectif a l'encontre du celebre reseau social. La requerante, Deborah Douez, affirme ainsi que Facebook a utilise, sans leur consentement explicite, le nom et les photos de profil de ses utilisateurs a des fins publicitaires. Elle affirme qu'en procedant de la sorte, l'entreprise californienne a porte atteinte a l'article 3(2) du Privacy Act, qui se lit comme suit:
   It is a tort, actionable without proof of damage, for a person to
   use the name or portrait of another for the purpose of advertising
   or promoting the sale of, or other trading in, property or
   services, unless that other, or a person entitled to consent on his
   or her behalf, consents to the use for that purpose.


Compte tenu des faits exposes devant elle, la Cour a estime que la cause d'action etait suffisante a ce stade, et que le recours devait etre autorise, surtout, precise-t-elle, lorsque l'on considere la portee et la duree de vie presque infinie des images disponibles sur Internet. Compte tenu des prejudices que des violations de la vie privee peuvent causer, elle a juge que les habitants de la province avaient un interet plus que legitime a tenter de limiter l'utilisation abusive de leurs donnees personnelles par les geants de l'Internet (44).

Si la question en litige concerne essentiellement le degre de consentement reellement donne par les utilisateurs, il reste que l'affaire Douez pose egalement la question de l'impossibilite de controler l'information personnelle publiee par un individu une fois que celle-ci est diffusee sur Internet. Les suites de cette affaire sont donc susceptibles de soulever, au-dela des questions d'application juridictionnelle de la loi provinciale a une societe americaine et d'expression du consentement (45), la problematique de l'impossible controle des donnees personnelles d'un individu une fois que celles-ci sont sur Internet.

Dans une autre affaire rendue quelques semaines plus tard, la Cour eut a se prononcer sur une requete demandant l'effacement de certains liens a un moteur de recherche. Le litige portait cette fois sur une atteinte a la propriete intellectuelle, ou un industriel accusait un concurrent de continuer a vendre sur son site web, malgre de multiples injonctions, un produit contrefait en utilisant ses secrets de fabrications et en utilisant des techniques deloyales pour inciter les acheteurs a favoriser ce produit illegal (46). L'industriel a alors requis une injonction interlocutoire contre Google Canada --aucunement implique dans le litige--afin que le moteur de recherche cesse de referencer le site web de vente du produit contrefait. La Cour accorda la demande d'injonction et enjoignit Google.ca de faire disparaitre les liens litigieux des resultats produits par son moteur de recherche. En l'espece, la decision ne fait pas reference au <<droit a l'oubli>>, l'effacement des donnees relevant clairement de l'illegalite des pratiques commerciales du defendeur et non du droit d'un individu de faire effacer certaines donnees le concernant parce que celles-ci ne seraient plus pertinentes ou necessaires. Neanmoins, la Cour s'appuie, dans son raisonnement, sur la decision de la CJUE dans l'affaire Google Spain c. Gonzalez*1 et demontre, ce faisant, une nette ouverture a la limitation, par les tribunaux, de l'acces a certaines informations rendues exponentiellement accessibles par l'action des moteurs de recherche.

Sans porter directement sur le <<droit a l'oubli>>, tel que le concoivent la Cour de justice de l'Union europeenne ou le Parlement europeen, ces deux decisions de la Cour supreme de Colombie-Britannique demontrent pourtant que la question de l'omnipresence et l'intemporalite des informations personnelles dans le monde numerique se pose avec acuite, tant en Europe qu'au Canada. Or, pour l'instant, bien que le developpement, en common law, du delit d'intrusion dans la vie privee (48) soit egalement prometteur, il reste que la protection de la vie privee offerte aux citoyens par les lois et la common law canadienne est incomplete et que les tribunaux semblent, malgre toute leur bonne volonte, mal outilles pour garantir aux canadiens un certain controle sur les renseignements personnels qui les concernent.

Conclusion

Cet etat des lieux de la protection des donnees personnelles sur Internet demontre bien que le droit a la vie privee ne peut plus etre aborde uniquement comme un droit de la personnalite, donnant eventuellement ouverture a un recours en responsabilite civile. En effet, la jurisprudence de la CJUE et la demarche du Parlement europeen en faveur du <<droit a l'oubli>> demontrent que le droit a la vie privee est egalement un droit fondamental en vertu duquel un individu peut revendiquer le controle des informations personnelles le concernant. L'instauration d'un <<droit a l'effacement>> des donnees personnelles semble ainsi etre une consequence logique de cette conception moderne de la vie privee.

Bien que le Canada, de par sa tradition juridique, soit plus enclin a faire primer le droit a l'information publique et a la liberte d'expression sur le droit a la vie privee, il nous semble que l'experience europeenne demontre que l'on ne peut negliger plus longtemps l'impact considerable qu'entraine l'acces incroyablement facile, generalise et intemporel aux donnees personnelles, tel que le permettent aujourd'hui les grands moteurs de recherche sur Internet. La jurisprudence canadienne recente semble d'ailleurs demontrer une certaine prise de conscience des difficultes soulevees, aujourd'hui, par la multiplication des donnees numeriques relatives a chaque citoyen et par l'omnipresence qu'acquierent ces donnees sur Internet. Le developpement d'un <<droit a l'effacement>> dans le cadre de la legislation federale sur la vie privee, particulierement lorsque l'acces illimite a ces donnees est susceptible de causer un prejudice a l'individu concerne, semble donc etre un outil que l'on aurait tort de negliger. Neanmoins, l'introduction d'un <<droit a l'oubli>> au Canada, meme limite, n'aura pourtant aucun sens si l'on ne reforme pas, par ailleurs, la loi federale sur la protection des renseignements personnels en profondeur. Comme l'a souligne l'excommissaire a la vie privee, il est urgent de remedier au fait que la loi actuelle ne donne aucun reel pouvoir d'enquete ou de sanction au commissaire sur les agissements des entreprises qui effectuent le traitement de donnees a caractere personnel. En effet, ce n'est qu'une fois dote de tels outils que le Canada pourra imposer plus de transparence aux geants du Web et que l'on pourra envisager une protection reellement effective du droit a la vie privee des canadiens et canadiennes.

Genevieve Saint-Laurent, Doctorante, Universite Laval (Quebec, Canada) et Aix- Marseille Universite (Aix-en-Provence, France)

(1) Google Spain SL, Google Inc c Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez, Cour de Justice de l'Union Europeenne (Grande Chambre), affaire C-131/12, 13 mai 2014.

(2) Parmi les organismes militant pour une telle reforme du Privacy Act federal, citons notamment le B.C. Civil Liberties Association, en ligne: <http://bccla.org/>, le Canadian Bar Association, en ligne: <https://www.cba.org>, mais aussi des partis politiques comme le NPD federal, en ligne: <http://www.ndp.ca/news/new-democrats-part-growing-consensus-privacy-law- reforms>. Meme la Commissaire a la protection de la vie privee, qui vient de quitter son poste apres plus de dix ans, milite activement en ce sens, Commissaire a la protection de la vie privee, Communique, en ligne: <https://www.priv.gc.ca/media/nr-c/2013/nr-c_130523_f.asp>.

(3) Jennifer Stoddart, La renaissance necessaire de la Loi sur la protection des renseignements personnels commentaires a la Bibliotheque du Parlement, allocution prononcee a Ottawa, le 29 novembre 2013, en ligne: <https://www.priv.gc.ca/media/sp-d/2013/sp-d_20131129_02_f.asp>.

(4) Loi sur la protection des renseignements personnels, LRC (1985), ch P-21.

(5) Soit Y Agenda Espanola de Proteccion de Datos.

(6) L'Audiencia Nacional est un tribunal superieur espagnol charge, notamment, d'exercer un pouvoir de surveillance et de controle sur les decisions rendues par Y Agenda Espanola de Proteccion de Datos.

(7) Directive 951461CE du Parlement europeen et du Conseil, du 24 octobre 1995, relative a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel et a la libre circulation de ces donnees, Celex 31995L0046.

(8) Google Spain SL, Google Inc c Agenda Espanola de Proteccion de Datos, Mario Costeja Gonzalez, op.cit., par 60.

(9) Ibid, par 33 et 41.

(10) Ibid, par 66.

(11) Ibid, par 77.

(12) La Cour traitait deja de l'aspect <<ubiquitaire>> des donnees referencees par les moteurs de recherche dans la decision eDate Advertising Gmbh, CJUE, affaire C-509/09, 25 octobre 2011.

(13) Google Spain SL, Google Inc c Agenda Espanola de Proteccion de Datos, Mario Costeja Gonzalez, op.cit., par 80.

(14) Google Spain SL, Google Inc c Agenda Espanola de Proteccion de Datos, Mario Costeja Gonzalez, op.cit., par 81 et 98.

(15) Jean-Philippe Foegle, <<La CJUE, magicienne europeenne du <<droit a l'oubli>> numerique>>, La Revue des droits de l'Homme, Actualites Droits-Libertes, 16 juin 2014, en ligne: <http://revdh.revues.org/840> (page consultee le 13 janvier 2015).

(16) <<Les dispositions de la Directive 95/46, en ce qu'elles regissent le traitement de donnees a caractere personnel susceptibles de porter atteinte aux libertes fondamentales et, en particulier, au droit a la vie privee, doivent necessairement etre interpretees a la lumiere des droits fondamentaux qui, selon une jurisprudence constante, font partie integrante des principes generaux du droit dont la Cour assure le respect et qui sont desormais inscrits dans la Charte>>, Google Spain SL, Google Inc. c Agenda Espanola de Proteccion de Datos. Mario Costeja Gonzalez, op.cit., par 68.

(17) Op. cit., note 13.

(18) Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), COM(2012) 11 final, Bruxelles, 25 janvier 2012, 118 p.

(19) Le 12 mars 2014.

(20) Par la technologie du <<cloud>> par exemple.

(21) Voir l'amendement 188 relatif a l'article 79 de la proposition de reglement. Le projet initial proposait des amendes allant jusqu'a 2% du chiffre d'affaire, montant juge insuffisant par les deputes lors de l'etude du projet: Resolution legislative du Parlement europeen du 12 mars 2014 sur la proposition de reglement du Parlement europeen et du Conseil relatif a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel et a la libre circulation de ces donnees (reglement general sur la protection des donnees), COM(2012)0011 -C7-0025/2012, 12 mars 2014.

(22) C'est d'ailleurs ce qui est arrive au Washington Post, en novembre 2014, quand un pianiste--visiblement peu au fait de la mecanique du droit a l'oubli, telle qu'etablie par la CJUE-- critique dans les pages culturelles du journal, a souhaite obtenir la surpression de l'article en question. Sophian Fanen, <<vexe par une mauvaise critique, un pianiste reclame le droit a l'oubli>>, Liberation, 3 novembre 2014, en ligne: <http://ecrans.liberation.fr/ecrans/2014/! 1/03/un-pianiste-vexe-veut-faire- oublier-un-mauvais concert 1135174>.

(23) Google Spain SL, Google Inc c Agenda Espanola de Proteccion de Datos, Mario Costeja Gonzalez, op.cit., par 93.

(24) Loi sur la protection des renseignements personnels, LRC (1985), ch P-21.

(25) Loi sur la protection des renseignements personnels et les documents electroniques, LC 2000, 120 Canadian Human Rights Yearbook ch 5.

(26) Sur l'economie generale de la loi, voir Peter Gillis, <<The Privacy Act ; A Legislative History and Overview>>, (1987) Can Hum Rts YB 119.

(27) Voir les articles 7 et 8 de la Charte canadienne des droits et libertes, partie I de la Loi constitutionnelle de 1982 [annexe B de la Loi de 1982 sur le Canada (1982), R-U, c.l 1)]. Sur le concept de vie privee en tant que droit fondamental selon la Charte canadienne, voir notamment Diane Veilleux, <<Le droit a la vie privee --sa portee face a la surveillance de l'employeur>>, Revue du Barreau, Tome 60, Printemps 2000, p 1-46.

(28) Aubry c Editions Vice-Versa, [1998] 1 RCS 591.

(29) Charte des droits et libertes de la personne, LRQ, ch C-l 2. Rappelons que la Charte quebecoise s'applique tant aux rapports entre l'administration et les administres qu'entre personnes privees.

(30) Aubry c Editions Vice-Versa, op.cit., par 21.

(31) Ibid, par 22.

(32) R. c Dyment, [1988] 2 RCS 417.

(33) Godbout c Longueuil (Ville), [1997] 3 RCS 844.

(34) Elle l'a cependant fait, a quelques reprises, en droit public. Le plus recent jugement en ce sens statuait que la police ne peut, sans mandat, exiger des renseignements personnels sur un internaute a un fournisseur de service Internet: R. c Spencer, 2014 CSC 43.

(35) Le Quebec protege specifiquement le droit a la vie privee a l'article 5 de la Charte des droits et libertes de la personne et y prevoit le droit a reparation en cas d'atteinte (LRQ, c-12).

(36) Jones v Tsige, 2012 ONCA 32. Voir notamment, sur le developpement de ce nouveau delit: Jared A. Mackey, <<Privacy and the Canadian Media: Developing the New Tort of Intrusion Upon Seclusion with Charter Values>>, Western Journal of Legal Studies, Vol 2, Issue 1 (July 19, 2012), 1-26 ; Josh Blackman, <<Omniveillance, Google, Privacy in Public, and the Right to Your Digital Identity: A Tort for Recording and Disseminating an Individual's Image over the Internet>>, Santa Clara Law Review, (2009) Vol.49, Issue 2 313-392.

(37) Jennifer Stoddart, <<Dix ans au poste de commissaire a la vie privee du Canada--Regards sur le passe et l'avenir>>, Commentaire dans le cadre du Symposium sur la protection de la vie privee par le chapitre canadien de l'International Association of Privacy Professionals (IAPP), 23 mai 2013, en ligne: <https://www.priv.gc.ca/media/sp-d/2013/sp-d 20130523_f.asp>.

(38) A ce jour, quatre provinces disposent de lois generales sur la protection des renseignements personnels: la Colombie-Britannique (Privacy Act, RSBC 1996, c 373), le Manitoba (The Privacy Act, CCSM c P125), Terre-Neuve (Privacy Act, RSNL 1990, c P-22) et la Saskatchewan (The Privacy Act, RSS 1978, c P-24). Par ailleurs, trois provinces disposent d'une loi sur la protection des donnees personnelles dans le secteur prive de nature semblable a la loi federale: l'Alberta (Personal Information Protection Act, SA, 2003, Ch P-6.5), la Colombie-Britannique (Personal Information Protection Act, SBC 2003, Ch 63) et le Quebec (Loi sur la protection des renseignements personnels dans le secteur prive, ch.P-39). Il est a souligner qu'au Quebec, la protection legislative de la vie privee passe egalement par la Charte quebecoise, qui protege le droit a la sauvegarde de la dignite, de l'honneur et de la reputation a son article 4 et, plus generalement, le droit au respect de la vie privee. Le Code civil, a ses articles 35 a 41, protege egalement le droit a la vie privee et encadre la possibilite, pour un tiers, de constituer un dossier sur un individu. Finalement, d'autres provinces disposent, quant a elles, de lois visant la protection de la vie privee dans le domaine de la sante, comme le Nouveau-Brunswick, l'Ontario et Terre-Neuve.

(39) The Telegraph, Telegraph stories affected by EU 'right to be forgotten', en ligne: <http://www.telegraph.co.Uk/technology/google/l 1036257/Telegraph-stories- affected-by-EU-right-to-beforgotten.html>.

(40) Viktor Mayer-Schonberger est l'auteur de Delete. The Virtue of Forgetting in the Digital Age, Princeton, Princeton University Press, 2009,272 p.

Propos tires d'un article de Fabienne Dumontet, <<Le droit a l'oubli numerique inquiete les historiens>>, Le Monde, 3 octobre 2013, en ligne:

<http://www.lemonde.fr/technologies/article/2013/10/03/le-droit-a-l-oubli- numerique-inquiete-leshistoriens_3489513 651865.html>.

(41) Aubry c Editions Vice-Ver sa, op.cit., par 21.

(42) Amy M Conroy, <<Protecting Your Personality Rights in Canada: A Matter of Property or Privacy?>> (2012) 1 UWO J Leg Stud 3.

(43) Douez v Facebook Inc, 2014 BCSC 953, rendu le 30 mai 2014.

(44) Ibid, par 360-361

(45) Mike Wagner and Yun Li-Reilly, <<The Right to be Forgotten>>, 72 Advocate Vancouver 823 (2014), p 827.

(46) Equustek Solutions Inc. v Jack, 2014 BCSC 1063, par 1-9.

(47) Ibid. Voir notamment les par 57-60.

(48) La Cour ontarienne utilise l'expression <<intrusion upon seclusion>>. Jones v Tinge, op.cit., note 36.
COPYRIGHT 2015 University of New Brunswick Law Journal
No portion of this article can be reproduced without the express written permission from the copyright holder.
Copyright 2015 Gale, Cengage Learning. All rights reserved.

 
Article Details
Printer friendly Cite/link Email Feedback
Title Annotation:An Update in the Law of Privacy
Author:Saint-Laurent, Genevieve
Publication:University of New Brunswick Law Journal
Date:Jan 1, 2015
Words:6350
Previous Article:The common law's hodgepodge protection of privacy.
Next Article:When the court finds a breach of fiduciary obligations, should equitable or legal remedies flow?
Topics:

Terms of use | Privacy policy | Copyright © 2018 Farlex, Inc. | Feedback | For webmasters