Les provinces s'attaquent à la réglementation en matière de protection de la vie privée ; les autorités fédérales doivent prendre le relais

Par Abu Kamat Conseiller politique de l'ICC

‍

Au Québec, en Ontario, en Alberta et en Colombie-Britannique, les gouvernements provinciaux en sont à divers stades de consultations publiques sur la réforme de la législation relative à la protection de la vie privée. Étant donné que le principal cadre juridique du Canada, la loi sur la protection de la vie privée, a été créé avant l'avènement de l'internet, cette démarche est non seulement naturelle, mais elle aurait dû être entreprise depuis longtemps.

Cependant, au lieu d'une approche provinciale disparate, alors que les députés retournent à Ottawa, une réglementation raisonnable en matière de protection de la vie privée devrait être une priorité fédérale urgente, et l'ICC espère quelque chose de bien mieux que le projet de loi C-11, qui est mort au Feuilleton cet été, lorsque la campagne a été lancée.

Nous vivons une révolution, dans laquelle les appareils connectés à l'internet et les services basés sur des logiciels sont intégrés dans toutes les facettes de notre vie. La révolution numérique est sans doute la tendance la plus transformatrice du monde d'aujourd'hui. Elle affecte notre façon de travailler, d'apprendre, de nous divertir et de percevoir le monde. À mesure que ces technologies numériques prolifèrent et deviennent de plus en plus l'épine dorsale de notre société, elles génèrent d'énormes quantités de données, dont une grande partie est incroyablement personnelle - votre localisation, vos antécédents médicaux et vos désirs les plus profonds.

Naturellement, les implications en matière de respect de la vie privée constituent une dimension essentielle de ce paysage en mutation.

Pour l'ICC, l'écrasante majorité de ses membres est concernée d'une manière ou d'une autre par les réglementations en matière de protection de la vie privée et, en tant qu'experts de premier plan dans le domaine de l'innovation et de la commercialisation des technologies, nos PDG sont très investis et bien informés sur l'utilisation responsable des données et sur la protection de la vie privée.

C'est pourquoi nos membres demandent au gouvernement fédéral de mettre en œuvre une stratégie nationale en matière de données depuis 2018. Comme l'a souligné notre président Jim Balsillie à d'innombrables reprises: "Les données ne sont pas le nouveau pétrole - c'est le nouveau plutonium. Étonnamment puissantes, dangereuses lorsqu'elles se répandent, difficiles à nettoyer et lourdes de conséquences lorsqu'elles sont mal utilisées."

Si un élu avait l'impression que du plutonium radioactif volait autour de sa communauté et risquait de nuire à ses concitoyens, il se sentirait obligé d'intervenir et de faire quelque chose pour y remédier. De même, à mesure que les décideurs politiques comprennent que les données sont la ressource économique la plus puissante de notre économie numérique, ils sont désireux de s'impliquer.

Les mêmes sentiments d'urgence et d'empressement se reflètent dans le secteur technologique. La manière dont la vie privée et les données sont traitées aura sans aucun doute un impact transformateur sur la façon dont les entreprises technologiques à forte croissance interagissent, opèrent et se développent au sein des écosystèmes d'innovation provinciaux.

Par conséquent, au nom de nos membres, si un gouvernement canadien organise des consultations sur les réglementations en matière de données et de protection de la vie privée, nous serons présents pour offrir notre expertise et notre contribution. En [Ontario](https://www.dropbox.com/s/wsywopppz27bsaj/CCI Response to Modernizing Privacy in Ontario.pdf?dl=0), [Québec](https://www.dropbox.com/s/gbe5e6o8xdb00e2/MémoireCCI - PL 64 - 5 Oct 2020.pdf?dl=0), [Alberta](https://www.dropbox.com/s/82ox0uloxmbue5y/Council of Canadian Innovators Submission- Guiding Principles for PIPA Review .pdf?dl=0) et [B.C.](https://www.dropbox.com/s/q8d46c6ruyjh7yb/PIPA submission - July 30 2021[66].pdf?dl=0), nous avons déjà participé activement au processus.

Au cours des derniers mois, l'ICC a présenté à chaque gouvernement provincial des mémoires exposant les principes clés qui devraient guider l'élaboration de leurs réformes en matière de protection de la vie privée. Les décideurs politiques doivent tenir compte de l'impact réel de ces réglementations sur les entreprises opérant dans l'économie des données, en particulier les entreprises canadiennes axées sur les données. Toute nouvelle réglementation devrait éviter des problèmes tels que la fragmentation des politiques entre les provinces, les définitions floues, l'application inefficace des règles et réglementations, et les formalités administratives inutiles qui étoufferaient le potentiel des entreprises technologiques nationales.

Dans l'ensemble, les innovateurs nationaux veulent être de bons gestionnaires de la vie privée. Nous pensons que l'innovation et la protection de la vie privée ne sont pas incompatibles. Nos membres saluent les efforts de chaque gouvernement pour concevoir un cadre nouveau et actualisé qui lui permette de régir les effets économiques et non économiques du monde axé sur les données, dans lequel la collecte, l'utilisation et la monétisation des données personnelles sont au cœur de nouveaux modèles commerciaux.

Cela étant dit, si ces consultations provinciales représentent un effort courageux pour mieux aligner les politiques sur les réalités d'une économie fondée sur les données, le fait que les différents gouvernements du Canada établissent indépendamment des réglementations relatives aux données et à la protection de la vie privée en ligne est une recette pour le désastre. Le pire résultat possible pour les entreprises innovantes concernées par les nouvelles règles serait une approche "patchwork", avec des normes différentes d'une province à l'autre.

Les entreprises technologiques opèrent à l'échelle mondiale, vendant des logiciels et des services sur l'internet à des dizaines de pays. Même s'ils sont bien intentionnés, les différents gouvernements qui créent des réglementations divergentes sur la collecte, l'utilisation et la confidentialité des données créeront des obstacles considérables pour les entreprises. Dans le meilleur des cas, une approche disparate entraînera des coûts de mise en conformité élevés ; dans le pire des cas, les entreprises refuseront tout simplement de vendre leurs produits dans des juridictions plus petites, si le marché n'est pas assez important pour justifier les coûts de mise en conformité.

Une conversation mondiale est déjà en cours sur la manière dont les gouvernements devraient aborder la protection de la vie privée de manière synergique, avec des juridictions telles que l'Europe et la Californie qui prennent les devants. Le règlement général sur la protection des données (RGPD) de l'UE, en particulier, est le cadre de gouvernance des données le plus largement adopté et est souvent considéré comme l'étoile polaire à suivre pour une bonne législation en matière de protection de la vie privée. L'objectif principal du GDPR est de renforcer le contrôle et les droits des individus sur leurs données personnelles tout en simplifiant l'environnement réglementaire pour les entreprises.

Nous pensions que le gouvernement fédéral travaillait sur un cadre similaire pour le Canada lorsque, fin 2020, le ministre de l'époque, Navdeep Bains, a présenté le projet de loi C-11 à la Chambre des communes. Franchement, la "mise à jour générationnelle" des lois canadiennes sur la protection de la vie privée qui en a résulté n'a pas reçu un accueil chaleureux de la part des experts.

Le commissaire fédéral à la protection de la vie privée, Daniel Therrien, a qualifié la législation actualisée de "pas en arrière dans l'ensemble" pour la réglementation sur la protection de la vie privée au Canada. En fait, les provinces ont indiqué que leur recherche d'un cadre régional de protection de la vie privée est une mesure réactionnaire visant à combler les lacunes critiques du projet de loi C-11. Ross Romano, ministre des Services au gouvernement et aux consommateurs de l'Ontario, a récemment déclaré à The Logic que la province s'apprêtait à adopter sa propre loi parce que "nous avons besoin de cette législation dans ce domaine, car malheureusement, le gouvernement fédéral n'a pas réussi à protéger le droit à la vie privée des gens".

Pour les membres de CCI, les échecs du projet de loi C-11 reflètent le manque d'engagement entre le gouvernement fédéral et les innovateurs nationaux dont l'enjeu est trop important pour être ignoré. Une communication minimale a effectivement conduit à un texte législatif "transformateur" qui, dans sa première version, n'a pas réussi à équilibrer efficacement le bien public et le potentiel économique des entreprises et des marchés axés sur les données.

Compte tenu des réactions au projet de loi C-11, nous félicitons les provinces d'avoir pris les devants et de vouloir s'engager dans cette conversation. Mais ce que nous faisons est aussi important que la manière dont nous le faisons, et même avec les meilleures intentions du monde, une approche fragmentée, avec des normes différentes en Colombie-Britannique et en Ontario, en Alberta et au Québec, serait un cauchemar pour les entreprises.

Cela ne veut pas dire que les provinces n'ont pas un rôle à jouer. En fait, certains éléments importants comme la mobilité des données ou la localisation nécessiteront certainement que les gouvernements provinciaux mettent en place une réglementation régionale. Toutefois, pour guider l'élaboration de la législation provinciale, le gouvernement fédéral doit s'impliquer et jouer un rôle de premier plan dans le débat en cours sur la protection de la vie privée numérique.

La première étape consisterait à consulter l'industrie et le Commissaire fédéral à la protection de la vie privée et à combler les lacunes identifiées dans le projet de loi C-11 afin de fixer les normes appropriées à suivre par les provinces - et non l'inverse. Cela permettra d'établir une synergie entre les nouvelles législations provinciales et d'encourager l'interopérabilité. Une copie conforme du GDPR n'est pas la solution. Bien que le GDPR contienne de nombreux principes importants dont le Canada peut s'inspirer pour élaborer sa propre législation en matière de protection de la vie privée, l'ampleur du cadre de conformité du GDPR s'est avérée, dans la pratique, difficile à interpréter pour les entreprises et fastidieuse à mettre en œuvre de manière efficace. Il est essentiel que le Canada prenne les précautions et les mesures d'évaluation nécessaires pour tirer les leçons de l'impact du GDPR lors de l'élaboration de son propre cadre réglementaire. Cela permettra aux entreprises canadiennes de ne pas tomber dans les mêmes pièges.

Alors que le gouvernement reprend ses activités après les élections fédérales, les Canadiens ont l'occasion de faire une pause et de réfléchir aux questions cruciales qui se posent à notre économie. La protection de la vie privée et la croissance de l'industrie peuvent se renforcer mutuellement et l'ICC est déterminée à poursuivre les discussions sur la meilleure façon de renforcer les droits fondamentaux à la vie privée tout en positionnant le Canada comme un leader dans l'économie de l'innovation du 21e siècle.

‍

‍

Abu Kamat soutient les responsables fédéraux et provinciaux de l'ICC en tant que conseiller politique. Il peut être contacté à l'adresse suivante : akamat@canadianinnovators.org

‍