Il aura fallu moins de quelques heures pour que les conclusions de la Cour suprême du Canada dans Bykovets, rendues le 1er mars 2024, fassent le tour des quotidiens et des médias sociaux. C'est dire à quel point la protection de la vie privée sur Internet suscite l'intérêt. Dans son opinion majoritaire (5 juges contre 4), la Cour a jugé que la pratique des autorités, dans les enquêtes pénales et criminelles, de demander aux entreprises de divulguer des adresses IP sur une base volontaire, sans d'abord obtenir une ordonnance de communication, enfreignait la protection constitutionnelle contre les fouilles, perquisitions et saisies abusives (art. 8 de la Charte canadienne des droits et libertés).
Les motifs de l'opinion majoritaire sont parlants : l'adresse IP, cet identifiant unique assigné à chaque appareil connecté à Internet, est le sésame de la cybervie privée, non pas pour la série de chiffres dont cette adresse est composée, mais pour les renseignements privés qu'elle peut révéler sur les « cyberpérégrinations » des internautes (paragr. 69). Le message est sans équivoque : le droit à « l'intimité informationnelle » sur Internet est toujours bien vivant, malgré l'augmentation « exponentielle [de] la qualité [et de] la quantité de renseignements stockés à propos des internautes » (paragr. 73).
Nous avons identifié 5 points importants à retenir pour les entreprises.
- Bykovets est un énième
rappel de la Cour suprême aux autorités d'user de
leurs pouvoirs contraignants pour obtenir des renseignements
personnels privés auprès des entreprises. Dans le
contexte d'une vérification administrative, la
contrainte prendra généralement la forme d'une
lettre (p. ex. une demande péremptoire ou une citation
à comparaître) invoquant les pouvoirs administratifs
du régulateur de contraindre la divulgation de certains
renseignements liés à sa mission. Dans le contexte
d'une enquête pénale ou criminelle, la contrainte
prendra plutôt la forme d'une autorisation judiciaire (p.
ex. une ordonnance de communication ou un mandat de perquisition)
délivrée par un juge de paix dans l'un des
formulaires prévus par le Code criminel ou les lois
pénales. Comme le souligne la Cour, « le fardeau que
l'on impose à l'État [en le forçant
à obtenir une autorisation judiciaire préalable en
contexte d'enquêtes pénales ou criminelles] est
dérisoire par comparaison avec les préoccupations
importantes relatives à la vie privée qui sont en
cause en l'espèce », d'autant plus que les
autorisations judiciaires peuvent être obtenues rapidement
« à l'ère des télémandats et
de l'accès 24 h sur 24 à des juges de paix
» (paragr.
86).
- L'arrêt tient compte, sans le nommer
expressément, de l'effet mosaïque selon lequel une
information a priori anodine peut « tendre à
révéler des renseignements très privés
[...] [voire] un éventail d'activités en ligne
très personnelles [...] [l]orsqu'elle est mise en
corrélation avec d'autres renseignements en ligne qui y
sont associés » (paragr. 9). Selon
l'opinion majoritaire, « [v]u l'omniprésence
d'Internet, nous devons examiner de plus en plus 'les
façons dont différents ensembles de données
combinés à d'autres ensembles de données
portent atteinte aux droits à la vie privée'
» (paragr. 74).
L'arrêt invite donc les autorités et les
entreprises, dans leur analyse du caractère privé
d'un renseignement personnel, à regarder au-delà
du renseignement, voire à éviter une approche en vase
clos « fragment par fragment » (paragr. 6), et à
considérer « toute inférence que l'on peut
tirer de ces renseignements » (paragr. 38).
- Bykovets devrait
particulièrement interpeller les entreprises qui font
affaire au Québec ainsi que leurs dirigeants et leurs
administrateurs. Certes, l'arrêt présente les
entreprises comme des tiers aux enquêtes « qui ne sont
pas eux-mêmes assujettis à la Charte
[canadienne] » (paragr. 10). Or, Bykovets est un dossier qui provient
de l'Alberta, où l'interdiction des fouilles
abusives prévue à l'art. 8 de la Charte
canadienne ne s'applique qu'à
l'État, tandis que la Charte des droits et
libertés de la personne du Québec prévoit
non seulement des droits, mais aussi des obligations pour les
entreprises. On peut donc raisonnablement se demander si les
entreprises faisant affaire au Québec seraient davantage que
des « tiers aux enquêtes » et si elles auraient
elles-mêmes l'obligation constitutionnelle
d'éviter de participer aux fouilles, perquisitions et
saisies abusives de l'État.
- Après Bykovets, il apparaît encore
moins probable que les lois sur la protection des renseignements
personnels dans le secteur privé permettent
d'échanger volontairement avec les autorités des
renseignements personnels qui pourraient révéler
– en soi, par inférence ou en les couplant à
d'autres données – des renseignements intimes,
sauf peut-être dans le cadre de dénonciation
d'infractions. Même dans ce cas, il serait prudent de
s'en tenir aux seuls renseignements qui sont nécessaires
pour permettre aux autorités de démarrer leur
enquête. À tout événement, les
entreprises devraient faire preuve de circonspection et, en cas de
doute, exiger des autorités une demande ou une ordonnance
contraignante avant de leur communiquer des renseignements
personnels.
- Alors que Bykovets est d'actualité,
il serait opportun pour les entreprises de :
a) sensibiliser leurs employés à l'importance d'acheminer les demandes de renseignements des autorités, quelles qu'elles soient, formelles et informelles, aux personnes responsables d'assurer la protection des renseignements personnels;
b) réviser leurs politiques internes relatives à la protection des renseignements personnels afin de s'assurer qu'elles sont à jour; et
c) mettre à jour la formation des employés assignés à la gestion des perquisitions et au traitement des demandes de renseignements des autorités.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.