Hier après-midi (mercredi 9 janvier 2019), j’ai eu la chance d’intervenir en tant qu’expert en matières de protection des données personnelles devant une commission de l’Assemblée Nationale de Québec. Pas devant des députés ordinaires, non : devant des jeunes de Cégep qui se prêtaient au jeu sérieux des échanges de la vie démocratique. Le sujet du jour, Données personnelles et réseaux sociaux, était à même de catalyser nombre de préoccupations du moment, préoccupations éminemment politiques.

Un aperçu de la table de la Commission (dans la salle du Caucus de l’Assemblée Nationale)

J’accompagnais donc à cette occasion le professeur en droit Pierre-Luc Déziel, lequel a récemment sorti un ouvrage relatif au Droit à la vie privée avec le professeur et directeur du laboratoire de Cyberjustice, Karim Benyekhlef. Le professeur Déziel a apporté un point il me semble très important quant à la réflexion actuelle : une donnée n’a pas a être personnelle (au sens où elle n’a pas à désigner précisément une personne, comme le requiert la définition usuelle) pour pouvoir heurter sa vie privée. Ce point me semble fondamental. Cambridge Analytica n’avait pas besoin de connaitre les noms ou les adresses des utilisateurs américains de Facebook, mais seulement d’être capable de créer des catégories adéquates qui cibleraient ces personnes.

Les Parlementaires (dont la Présidente de la Commission, en veste rose)

De mon côté, j’ai particulièrement apprécié pouvoir approfondir la question du Règlement Général des Données Personnelles mis en place par l’Union Européenne depuis le 25 mai 2018 dernier. Ce fut l’occasion d’expliciter quelques principes de bon sens : en tant qu’entreprise fondée sur un service de ciblage (marketing, politique, etc.), une compagnie qui traite de données personnelles (comme le sont de facto tous les réseaux sociaux) est fondée sur un principe de maximisation des données personnelles. Et met en place toutes sortes de stratégies pour en obtenir davantage. Le RGPD se fonde sur un principe inverse, de minimisation des données personnelles. Sans vouloir trop approfondir ce principe, la « Loi » supra-nationale que constitue le RGPD se distingue surtout de la loi canadienne en ce qu’elle consacre un droit d’effacement dans son article 17 (publicisé sous le nom de Droit à l’oubli), lequel n’est pas consacré par la loi canadienne. Cette dernière n’autorise qu’un droit de retrait de listes nominatives, une différence importante, expliquée notamment par des philosophies politiques et économiques différentes en Europe et en Amérique du Nord.

En bref, un très bel évènement, et de belles rencontres. La relève a de beaux jours devant elle avec des jeunes aussi allumés que ce que j’ai rencontrés hier.