Si tous s’accordent pour dire que définir le trust n’est pas une tâche aisée[32], tel est également le cas du data trust.

Tout d’abord, le data trust fait son apparition pour la première fois en 2004 dans un texte de Lilian Edwards[33] dans lequel l’auteure dénonçait l’absence de consentement libre et éclairé en matière de commerce en ligne. Face aux lacunes du droit du numérique, Edwards suggéra de retourner au droit commun afin de trouver des moyens pour restaurer la confiance des consommateurs. Le trust lui parut l’outil tout approprié. Ceci tient au fait que, de toutes les différentes définitions proposées de l’institution, il ressort que le trust constitue une manière bien particulière de détenir des biens[34] : leur détenteur (le trustee) est soumis au respect d’obligations dites fiduciaires, qui garantissent que celui-ci agisse dans le respect des objectifs de la mise en fiducie.

Toutefois, cette proposition resta lettre morte, jusqu’à ce qu’elle refasse surface en 2016[35]. Le professeur Neil Lawrence, expert reconnu en machine learning, recommanda la création de data trusts afin de contrer les dysfonctionnements du marché des données. Ce mécanisme permettait de palier à certains risques tels que la concentration de la valeur générée par ce marché entre les mains de quelques acteurs économiques, le manque de démocratisation de l’accès aux données, l’absence de redistribution de la valeur au profit des personnes à partir desquelles les données sont collectées et plus largement, la perte de contrôle de chacun sur ses données. Ainsi, la raison du recours au data trust est simple : confier à une personne la mission d’administrer l’usage des données selon des modalités précises et à charge de responsabilité personnelle[36]. Dès lors, le data trust est non seulement perçu comme le moyen de garantir une gestion plus transparente des données, mais également comme le moyen d’arrimer l’exploitation des données au respect des intérêts et des droits des personnes[37]. Plus largement, l’outil ouvre la voie à un possible rééquilibrage des rapports de pouvoirs entre les personnes et ceux qui collectent et utilisent leurs données personnelles. Ceci est vrai puisque, rappelons-le, c’est l’agrégation de données qui augmente leur valeur[38]. En devenant le support de cette agrégation, le data trust renforcerait les pouvoirs de négociations des personnes par l’intermédiaire des trustees et vis-à-vis des institutions qui les exploitent.  

Ces éléments justifient ainsi que le data trust connut un réel engouement, à commencer au Royaume-Uni. Alors que deux rapports publics se succédant dans un court intervalle débattent de l’applicabilité du data trust[39], le concept évolue et se complexifie, oscillant entre solution technique et concept paradigmatique de la gouvernance des données. C’est ainsi que le data trust renvoie aujourd’hui à une réalité plurielle. Pour certains, ceci fait obstacle à sa compréhension.

Au sens figuré, le data trust désigne un mode de gouvernance des données qui favorise et encadre le partage des données[40]. De ce point de vue, le data trust est une notion métaphorique matérialisant juridiquement le but recherché par la gouvernance des données : rétablir la confiance et l’acceptabilité sociale vis-à-vis de l’usage fait par les organisations des données collectées auprès des personnes[41]. Le data trust est alors un objectif de gestion, un cadre conceptuel transposable prônant un traitement juste, sécuritaire et équitable des données[42].

Dans un sens technique, la notion de data trust jouit d’un autre degré de complexité. Elle ne renvoie plus exclusivement au trust comme institution fondamentale de common law, mais à une pluralité de véhicules juridiques au gré desquels l’utilisation des données est confiée à un tiers de confiance afin d’en assurer une gestion encadrée, indépendante et surveillée. Dans son rapport de 2018, l’Open Data Institute (ODI) souligne en effet que le trust ne saurait être le véhicule juridique privilégié pour encadrer le partage des données et invoque divers arguments[43], dont un attire particulièrement notre attention. Il est mentionné que le but de la gouvernance des données n’est pas de satisfaire les intérêts de personnes déterminées, mais plus largement de répondre à des finalités précises et collectives : la confiance en matière de traitement des données, et par là, le respect des droits des personnes. Les data trusts relèvent davantage de la catégorie des purpose trusts, qui hormis du cas précis des charitable trusts, ne sont pas admis en dehors d’une loi particulière[44]. Cette catégorie de trust connaît une définition restrictive puisque la liste des finalités charitables admises se trouve circonscrite. Une telle restriction s’explique par la structure même du trust. En l’absence de bénéficiaires, sa structure vacille. En effet le trustee est libre de toute contrainte, puisqu’il n’est plus contraint à agir dans le respect de l’acte constitutif. Sa situation « s’apparent[e] à la propriété plutôt qu’à la fiducie »[45]. Dans le cas des charitable purpose trust, l’absence de bénéficiaires se trouve compensée par un contrôle institutionnalisé des fiduciaires[46]. De telles considérations amènent l’ODI à conclure que le data trust stricto sensu ne peut pas connaître un déploiement en dehors des cas où il est utilisé à des fins éducatives, telles que la recherche et l’innovation, à moins qu’une loi particulière ne l’y autorise[47].

Ainsi, et non sans une certaine pointe d’ironie, ce rapport a pour effet d’écarter au profit d’autres types de modèles fiduciaires le trust. C’est ainsi que la notion de data trust s’est élargie au point d’intégrer une pluralité d’institutions d’inspiration fiduciaire (ex : data commons, data cooperatives). Ces modèles permettent de déléguer la prise de certaines décisions à un tiers indépendant concernant les données collectées, notamment qui peut y avoir accès, dans quel objectif et pour quelle durée. Ce tiers indépendant — qui pourrait être une entité publique ou privée — tirerait, par exemple, son pouvoir d’un contrat (et non d’un trust) tout en étant soumis à des obligations essentiellement similaires à celles du trustee. Tout comme le data trust stricto sensu, ces autres modèles fiduciaires jouissent du potentiel de circonscrire l’utilisation et le partage des données personnelles selon une finalité précise et à laquelle les individus ont consenti. Ils permettent également d’établir la responsabilité personnelle de ceux qui administrent les données d’une manière non conforme au bien commun. Cette extension du concept de data trust lui octroie une plus grande flexibilité et polyvalence[48]. La notion du data trust se meut en un concept générique[49] non circonscrit au droit des trusts tel quel.

Si cette incertitude conceptuelle et sémantique s’est trouvée largement décriée au point que certains aient récemment proposé de resserrer le concept de data trust autour de sa notion initiale[50], celle-ci n’a pas empêché son effervescence[51]. Notamment, au Canada, plusieurs tentatives de déploiement ont été récemment élaborées. Le data trust fut par exemple la solution offerte par l’entreprise Sidewalk Labs pour administrer les données urbaines collectées dans son projet d’écoquartier connecté au sein de la ville de Toronto. Toutefois, les modalités du civic data trust ont fait l’objet de vives critiques, notamment quant au manque d’indépendance suffisante entre les fiduciaires et l’entreprise responsable du projet[52]. Le data trust est également une solution avancée par le gouvernement fédéral canadien pour favoriser « l’innovation responsable »[53].

Si le data trust est le fruit d’un cadre conceptuel propre à la tradition de common law, l’engouement qu’il suscite s’est propagé au-delà pour trouver une assise particulière au Québec. Au risque d’affligeantes banalités, on ne saurait trop rappeler que l’environnement bijuridique du Canada exerce une forte influence sur l’évolution du droit civil québécois. C’est d’ailleurs dans le but de permettre aux Québécois de réaliser ce que les Canadiens des autres provinces pouvaient accomplir par trust que la civilisation du trust de common law[54] en droit québécois s’imposait avec ferveur comparativement à d’autres juridictions de droit civil[55]. Fort de ces éléments, la fiducie fait depuis longtemps partie du paysage juridique québécois[56], au point que le Québec jouit d’une position privilégiée pour conduire la transposition des réflexions relatives au data trust en droit civil.

Depuis la réforme du Code civil, le cadre juridique de la fiducie, qui s’est vu modernisé et consolidé[57], présente de réels avantages pour conduire la réception du data trust en droit civil.

D’une part, la notion de fiducie de données est dépourvue de toute incertitude conceptuelle en droit civil québécois. Elle ne revêt pas de sens métaphorique, comme en anglais. Plus encore, sa singularité conceptuelle fait, comme nous allons le voir, qu’elle ne saurait être associée à d’autres techniques juridiques en droit civil québécois.

D’autre part, comme nous l’avons vu précédemment, l’admission restrictive des purpose trusts a pour conséquence de réduire les hypothèses de déploiement des data trusts stricto sensu. La fiducie de données québécoise ne connaît pas de telles restrictions. Conformément à l’article 1260 du Code civil, la présence de bénéficiaires n’est pas un critère pour la constitution d’une fiducie. En revanche, l’affectation — soit la finalité pour laquelle la fiducie est constituée — l’est. Par conséquent, en établissant la fiducie au moyen d’un patrimoine d’affectation (notion sur laquelle nous reviendrons sous peu), la fiducie s’apparente à un purpose trust dont le champ des finalités admises ne se cantonne pas au domaine de l’intérêt général, mais embrasse aussi des finalités d’utilité privée[58]. Autrement dit, contrairement au trust, et a fortiori au data trust, « la forme paradigmatique de la fiducie québécoise est la fiducie établie pour une fin particulière »[59], ce qui lui confère une très grande polyvalence.

C’est bien entendu vis-à-vis de ce dernier aspect que la fiducie de données présente son plus fort intérêt. Car, si la finalité constitue la clé de voute du modèle fiduciaire québécois, elle est également un pilier des règlementations encadrant le traitement des renseignements personnels[60]. La finalité circonscrit les raisons et les modalités de leur collecte, de leur utilisation et de leur partage. De plus, c’est au regard de cette finalité que le consentement des personnes peut être véritablement exprimé. Faute de finalité explicite, le consentement est donné à titre général, ce qui le prive de tout intérêt et de légalité[61]. De son côté, l’ensemble du régime juridique de la fiducie s’agrège autour du respect de la finalité pour laquelle cette dernière fut constituée. Celle-ci détermine les contours des prérogatives du fiduciaire[62] et constitue le critère au travers duquel s’apprécie l’effectivité de la mission qui lui est confiée[63]. De même, l’extinction de la fiducie n’est pas un acte de volonté, mais est tributaire de l’atteinte de l’objectif ou de l’impossibilité de l’atteindre[64]. Dès lors, la fiducie jouit du potentiel de renforcer la mise en oeuvre du respect de la finalité quant au traitement des données personnelles puisque le principe en constitue également la pierre angulaire de son régime. Pour ce faire, encore faut-il que la finalité de la fiducie soit suffisamment précise pour être compatible avec les exigences législatives en matière de la protection des renseignements personnels. Notamment, la fiducie ne saurait avoir une finalité à vocation générale telle que la protection de la vie privée des individus. Une telle stipulation serait contraire à l’article 14 de la Loi sur le secteur privé qui pose comme condition de validité du consentement à la collecte, à la communication ou à l’utilisation d’un renseignement le respect de finalités spécifiques[65]. Ainsi, la fiducie de données devra, au contraire, être précisément établie en fonction du type de données que la fiducie a vocation à regrouper et des cas d’usage de données visés. Pour ces raisons, il ne saurait y avoir de modèles types de fiducie des données, celles-ci devant être établies au cas par cas, ce qui peut certes présenter une difficulté en pratique.

Enfin, cette nature objective de la fiducie fonde l’intérêt comme l’originalité de la fiducie québécoise de données. Alors qu’elle présente un potentiel d’intérêts pour les juristes de common law en quête de nouvelles perspectives pour les data trusts, la fiducie québécoise de données se démarque également au sein de la tradition civiliste. Originalité du droit québécois[66], elle occupe une place unique dans la tradition civiliste[67] et, comparativement à d’autres formalisations civilistes de la fiducie, elle jouit d’un cadre de déploiement bien plus large[68]. En d’autres termes, son étude permettra tant de faire rayonner l’avant-gardisme et la pertinence du droit civil québécois en matière de gouvernance des données au sein des pays de droit civil que de construire un discours juridique dans lequel les juristes civilistes et de common law sauront trouver des réponses aux enjeux globaux de la gouvernance des données[69]. La fiducie de données emporte également l’étude des fiducies dans un contexte différent de celui de leur déploiement traditionnel (c’est-à-dire la gestion d’actifs fonciers et financiers) au point de renouveler la fonction du droit des biens comme vivier de la protection des droits des personnes[70].

Cela étant dit, débutons notre immersion en droit des fiducies pour en révéler tant ses particularités que son potentiel à répondre aux enjeux et dysfonctionnements du marché des données.

Au moment de la révision du Code civil, la fiducie constitue une des préoccupations majeures des codificateurs qui souhaitent combler les lacunes de son régime sous le Code civil du Bas-Canada pour lui donner la « flexibilité enviée »[71] de son homologue de common law tout en préservant la tradition civiliste[72]. Dans cette délicate entreprise de conciliation, les codificateurs définissent la fiducie comme un patrimoine d’affectation[73], soit comme une universalité de droits et d’obligations affectée à un but précis.

La création d’une fiducie requiert un transfert de biens du patrimoine du constituant au patrimoine fiduciaire[74]. Ce transfert est primordial, car il initie la création du patrimoine d’affectation[75], laquelle se finalisera par l’acceptation du fiduciaire de la mission qui lui est demandée d’assumer[76]. Deux remarques doivent être faites. D’une part, peu importe la nature ou la valeur des biens qui composent son patrimoine, la fiducie de données existe indépendamment des fluctuations de son contenu[77]. D’autre part, la fiducie peut être créée par n’importe quel type de biens nonobstant la valeur du transfert initial. Ce transfert initial permet la création du patrimoine fiduciaire comme contenant. Son contenu peut ensuite varier dans le temps puisque le patrimoine fiduciaire peut être augmenté en cours d’existence[78]. Les droits relatifs aux données personnelles peuvent donc être transmis a posteriori. De plus, le patrimoine ne saurait exclusivement se composer des droits relatifs aux données personnelles afin de couvrir les frais de fonctionnement de la fiducie.

Il importe de bien noter que la fiducie procède de l’affectation[79] d’une universalité juridique à un but particulier[80], laquelle constitue un patrimoine autonome et distinct de tout sujet de droit[81]. En effet, ni le constituant ni le fiduciaire ou le bénéficiaire — autrement dit, les trois acteurs de la fiducie sur lesquels nous reviendrons dans la suite des développements — ne jouissent de droits réels sur les biens qui le composent[82]. Dès lors, la fiducie ne saurait être assimilée à une personne morale même si elle en partage quelques caractéristiques[83] et qu’elle jouit d’une existence réelle sur la scène juridique[84]. La fiducie n’est également pas un contrat[85], même si sa source peut être conventionnelle[86]. Elle est donc une institution originale au sein de l’ordonnancement juridique québécois. On lui a attribué à ce titre la mention de « nouveau sujet de droit » afin de clarifier sa place et tempérer sa marginalité[87].

Ainsi, quand l’on parle de fiducie de données, il faut bien comprendre que c’est de patrimoine d’affectation dont il est question, ce qui n’est pas sans poser de difficultés quand la fiducie a pour fin d’administrer des renseignements personnels.

Un renseignement est personnel s’il « concerne une personne physique et permet de l’identifier »[88]. Compte tenu de la « texture [...] de la composante d’identité et de personnalité »[89], les renseignements personnels se rapprochent de la catégorie des droits de la personnalité[90] et tombent sous le joug des droits extrapatrimoniaux. Leur nature contrevient donc, en principe, à toute mise en fiducie.

Toutefois, cette affirmation tend à méconnaître une certaine réalité des données personnelles. En effet, les données personnelles sont l’objet d’échanges monétisés entre les entreprises. Compte tenu de leur fort potentiel économique, nombre d’entre elles ont bâti leurs modèles d’affaires sur leur exploitation si bien qu’un marché international des données personnelles s’est progressivement constitué, nonobstant les catégories juridiques et les droits et intérêts des personnes[91]. Outre cette exploitation, l’échange des données personnelles fait l’objet d’une vive demande du fait du potentiel d’innovation tel que mentionné plus haut. À cela s’ajoute également la question des données primaires. Bien que ne répondant pas de la définition du renseignement personnel, celles-ci peuvent a posteriori de leur traitement renfermer un lien étroit avec des personnes et être exploitées dans l’ombre du cadre légal veillant à la protection des renseignements personnels. Tel est l’exemple des « J’aime » sur Facebook et autres manifestations d’intérêt qui, faciles à collecter pour les entreprises et a priori anodins pour les individus, sont exploités sans le consentement des utilisateurs de services de réseaux sociaux[92]. Le croisement de ces données a permis à des chercheurs de révéler des attributs détaillés sur les personnes (genre, âge, ethnicité, appartenance religieuse…) au point de définir des profils pseudo-démographiques[93]. Fort de ces éléments, c’est bel et bien pour encadrer ces pratiques qui ignorent ou échappent au droit des renseignements personnels que le droit des fiducies est invoqué avec l’idée sous-jacente que la patrimonialisation des données personnelles constitue une voie alternative pour renforcer la protection des droits et intérêts des personnes.

Aussi vives que puissent être les réactions face à une telle proposition, il importe, tout d’abord, de préciser que la notion de patrimonialisation n’équivaut pas systématiquement à celle d’appropriation. Cette dernière constitue le point culminant de la patrimonialité dans la mesure où le droit de propriété confère la maitrise la plus étendue qu’un sujet de droit peut exercer sur un bien[94]. La patrimonialisation peut avoir une assiette plus réduite, en se cantonnant notamment aux droits d’usage d’un bien[95]. Cette option est pertinente en matière de fiducie de données dont la raison d’être est d’établir un cadre juridique au sein duquel l’utilisation des données est définie, encadrée, surveillée et sujette à la responsabilité d’un acteur précis. L’idée n’est donc pas de transformer l’entièreté de la donnée personnelle en droit patrimonial : c’est seulement l’exercice de certains droits sur les données (collecte, cession, partage, effacement…) qui revêtirait éventuellement une valeur pécuniaire et serait confié au fiduciaire. Ainsi, la patrimonialisation ne porte pas sur le droit, mais sur l’exercice du droit[96]. Elle ne se fait pas non plus au détriment du lien fondamental entre la donnée et la personne : au contraire, elle le renforce vis-à-vis du fonctionnement du marché.

À cela, il convient d’ajouter que la patrimonialisation partielle des droits extrapatrimoniaux n’est pas un phénomène nouveau ; les juristes s’interrogent sur la patrimonialisation du corps humain et des éléments de la personnalité (nom, image, vie privée) depuis de nombreuses années et en des termes somme toute assez proches. C’est ainsi que le droit des biens se trouve aujourd’hui invoqué en doctrine pour renforcer la protection de chacun sur les éléments du corps[97]. Plus encore, il a été démontré que la patrimonialisation d’un droit extrapatrimonial n’équivaut pas à sa renonciation et donc à son extinction. Elle est, au contraire, une manifestation de la vigueur de ce droit puisqu’elle est le résultat de son exercice[98]. Le droit extrapatrimonial peut donc être hybride sans qu’il y ait lieu d’en abdiquer sa nature et d’en dénoncer un changement radical de qualification juridique[99].

L’acceptation d’une patrimonialisation partielle des données personnelles dans l’unique dessein de renforcer leur protection est cruciale en ce qu’elle détermine le potentiel des fiducies de données à oeuvrer pour la protection des renseignements personnels. Sans la condamner, il adviendrait que la fiducie de données se serait exclusivement cantonnée aux champs des données non personnelles ce qui en réduit beaucoup l’intérêt. À cela, ajoutons que le contenu de la fiducie de données détermine le potentiel de l’outil à répondre aux promesses dont elle est l’objet. La valeur d’une donnée personnelle est, rappelons-le, dérisoire lorsqu’elle est prise de façon isolée. Ainsi, comme en matière de data trust, la fiducie de données ne saurait bénéficier d’un pouvoir de négociation suffisant vis-à-vis des organisations qui exploitent les données si le contenu de son patrimoine jouit d’une valeur économique résiduelle. Plus largement, pour que les fiducies de données modifient en profondeur le fonctionnement du marché des données personnelles, un écosystème de fiducie de données au sein duquel les personnes auront la possibilité de choisir le modèle de gouvernance qui répond le mieux à leurs attentes et volontés est nécessaire[100].

La fiducie constitue également une manière de détenir des biens dans un but précis[101]. Le Code civil dispose en effet qu’à défaut de jouir de droits réels sur le patrimoine fiduciaire[102], le fiduciaire jouit de pouvoirs juridiques (et plus précisément des pouvoirs propres[103]) à l’égard des biens. Le fiduciaire n’est donc pas un propriétaire, mais un administrateur du bien d’autrui dont la nature et l’étendue des prérogatives sont définies aux articles 1299 et suivant du Code civil. Ce statut, certes non limité au seul cas du fiduciaire puisqu’il s’applique à « [t]oute personne qui est chargée d’administrer un bien ou un patrimoine qui n’est pas le sien »[104], conforte l’intérêt pour la fiducie de données à un double niveau.

En premier lieu, cet intérêt découle de la nature même du pouvoir juridique lequel se définit comme la prérogative exercée dans un intérêt autre que celui de son titulaire[105]. Le pouvoir juridique est donc une prérogative fondamentalement désintéressée[106]. Par conséquent, contrairement au droit de propriété dont l’exercice est à la convenance de son titulaire[107], le pouvoir juridique ne jouit pas d’un caractère absolu : son étendue se voit nécessairement délimitée par la finalité de l’administration[108] et son exercice se trouve soumis au respect d’une série d’obligations juridiques qui en définissent les modalités. Notamment, en plus d’agir avec prudence et diligence, le fiduciaire doit faire preuve d’honnêteté et de loyauté[109]. Le fiduciaire est d’ailleurs tenu de rendre régulièrement compte de sa gestion[110]. En cas de manquement à ses obligations, celui-ci peut se voir contraint d’agir, s’expose à une destitution[111] et, en cas de faute, engage sa responsabilité personnelle[112].

Le pouvoir juridique, dont on ne saurait ignorer les similitudes avec les pouvoirs d’un fiduciaire en common law[113], octroie au fiduciaire « la maîtrise et l’administration exclusive du patrimoine fiduciaire »[114], lui permettant ainsi d’« exerce[r] tous les droits afférents au patrimoine et [de] prendre toute mesure propre à en assurer l’affectation »[115]. Il constitue donc un autre type de rapport entre une personne et un bien[116], parallèle à la propriété[117], et qui, dans le cas du fiduciaire, puise sa source dans l’affectation[118]. Il induit une administration des droits qui est encadrée, sujette à responsabilité, mais surtout au profit de personnes déterminées ou d’une finalité précise. Dès lors, le pouvoir juridique se révèle pertinent au regard des raisons qui poussent à la création de fiducies de données.

En second lieu, il faut également reconnaître que le pouvoir juridique présente de nombreux avantages dans le contexte des données personnelles. Les limites quant à l’efficacité des règles veillant à leur protection et à leur valorisation appellent à la recherche de nouvelles solutions, comme nous avons pu le voir précédemment. C’est ainsi que l’idée de réifier les données personnelles en objets de propriété est parfois avancée, de sorte que les personnes soient davantage en mesure d’en contrôler l’usage et l’accès, d’en disposer, mais aussi de jouir de la valeur économique qu’elles génèrent[119]. Cependant, aussi attrayante par sa finalité que soit cette thèse, celle-ci présente de nombreuses limites théoriques et pratiques. Sans en dresser un inventaire exhaustif, on se cantonnera ici à souligner l’incompatibilité de la nature non rivale des données avec l’exclusivité du droit de propriété[120] ainsi que la dénaturation de la donnée personnelle par son appropriation, tel que discuté plus haut. Ce second contre-argument est fondamental, car on ne saurait trop rappeler « [qu’] on ne défend pas qu’un avoir, qu’une valeur économique, en défendant ses données personnelles ; on protège la personne, dans sa liberté d’agir, [...] dans la maitrise de ses composantes d’identité »[121]. À cela s’ajoute que l’effectivité de la propriété à restaurer la maitrise des personnes sur leurs données semble hypothétique. Non seulement la personne propriétaire de ses données serait un propriétaire de biens à faible valeur[122], mais agissant seule, celle-ci serait de facto dépourvue de toute force de négociations vis-à-vis des entreprises qui exploitent les données personnelles. Dès lors, la propriété ne saurait remplir les objectifs qui justifient l’appropriation des données personnelles[123]. Ces considérations attisent l’intérêt pour le pouvoir juridique puisqu’il présente l’avantage de ne pas transformer la donnée personnelle en un objet d’appropriation pour en restaurer la maitrise.

Il convient également de préciser que, bien que le législateur ait réduit la portée du pouvoir juridique au domaine des biens, certains avancent l’opportunité de son application au domaine de la protection des personnes. Notamment, il fut très justement démontré que rien ne justifie techniquement que le pouvoir juridique se cantonne à l’administration des biens[124]. Au contraire, son régime juridique a tout autant intérêt à être appliqué dans les cas où une personne exerce des pouvoirs qui se rapportent aux droits extrapatrimoniaux d’autrui[125] en ce que cela permettrait à la personne représentée de bénéficier d’un plus haut degré de protection. Comme le souligne la professeure Madeleine Cantin Cumyn,

le régime du contrat de mandat [...] est construit sur l’hypothèse de pouvoirs de représentation conférés volontairement par une personne ayant la capacité juridique. Notamment, c’est le mandant qui veille lui-même à la bonne exécution du mandat qu’il a donné. Le contrat de mandat ne comporte donc pas de mécanisme de contrôle de l’usage des pouvoirs par le mandataire autre que la faculté reconnue au mandant de révoquer le mandat s’il n’est pas satisfait de son exécution et la reddition de compte à la fin du mandat[126].

De ce point de vue, le régime de l’administration du bien d’autrui dépasse les lacunes du régime contractuel du mandat[127]. Ceci renforce l’intérêt pour la fiducie de données personnelles puisque l’exercice des droits afférents à ces données par le fiduciaire est soumis à un plus fort degré de contrôle que si ces derniers étaient confiés à un mandataire[128]. Dès lors, d’aucuns pourraient prétendre que c’est véritablement le régime de l’administration du bien d’autrui qui présente un fort intérêt en matière de données personnelles et, plus largement, en matière de gouvernance des données. La nature comme l’intensité des obligations fiduciaires présentent des avantages que les solutions contractuelles ne peuvent offrir ce qui explique qu’elles soient délaissées dès lors qu’il est question d’administrer les droits d’autrui. Toutefois, il faut relever que la fiducie de données présente un attrait qui dépasse la seule application du régime de l’administration du bien d’autrui. En effet, la fiducie constitue un cadre rigoureusement délimité, finalisé et désintéressé de détention des biens dont le fiduciaire ne peut s’abstraire sous peine d’engager sa responsabilité personnelle. C’est donc par la conjonction de sa nature (patrimoine d’affectation) avec la soumission du fiduciaire au régime de l’administration du bien d’autrui que la fiducie se démarque et constitue une avenue intéressante en matière de protection des données personnelles.

Ainsi, bien que la compatibilité de l’outil avec l’ensemble du cadre normatif relatif à la protection des renseignements personnels doive encore être davantage explorée pour en préciser le régime juridique et confirmer ses modalités de déploiement, le droit des fiducies offre en l’état des solutions prometteuses aux enjeux qui animent l’économie des données. Aussi, convient-il de poursuivre ces réflexions préliminaires sur la potentialité de la fiducie de données en droit civil québécois, notamment pour en esquisser quelques traits. Tel est l’objet de la dernière section.

Le Code civil du Québec retient trois espèces de fiducies en fonction de la nature de l’affectation[129] : les fiducies personnelles[130], les fiducies d’utilité privée (FUP)[131] et les fiducies d’utilité sociale (FUS)[132]. Les fiducies personnelles ne semblent pas un cas de figure approprié en matière de gouvernance des données. Visant à procurer un avantage direct à une personne déterminée ou déterminable, la fiducie personnelle est un mode de transmission à titre gratuit du patrimoine dans un contexte essentiellement familial ou amical[133]. Compte tenu de sa finalité, la fiducie de données semble davantage avoir vocation à être constituée sous la forme d’une FUP ou d’une FUS puisque les biens sont affectés dans une fin précise sans que des bénéficiaires ne soient prévus dans l’acte constitutif. En effet, les bénéficiaires ne sont pas des acteurs indispensables pour la fiducie. Si dans le cas de la fiducie personnelle ils personnifient l’affectation, la fiducie peut être constituée de façon objective, c’est-à-dire sans aucun bénéficiaire[134]. Il importe de préciser ici que la notion de bénéficiaire est entendue dans le sens technique des articles 1284 et 1280 du Code civil : est bénéficiaire celui qui jouit d’un droit de créance vis-à-vis du patrimoine fiduciaire et répond des conditions définies dans l’acte constitutif. Autrement dit, même si la finalité de la FUS ou de la FUP peut avoir pour conséquence d’avantager une communauté de personnes du fait de la nature collective de sa finalité, ces dernières ne répondent pas nécessairement de la définition de bénéficiaire au sens du Code civil.

S’agissant de la FUS, celle-ci a pour fin de favoriser un but d’intérêt général tel que culturel, éducatif ou encore scientifique et n’a pas pour objet essentiel la réalisation de profits[135]. Ces caractéristiques font d’ailleurs que la FUS est un instrument de plus en plus sollicité pour la conservation et la gestion de biens communs[136], une qualification familière aux données[137]. Plus encore, elle est certainement une forme pertinente pour la gouvernance de données de santé ou de données urbaines, ces données présentant des enjeux particuliers du point de vue de la collectivité. Elle revêt également un intérêt pour la collecte de données à des fins de recherche scientifique.

S’agissant cette fois de la FUP, celle-ci constitue une catégorie résiduelle de fiducies. Tombent dans cette catégorie celles qui ne répondent pas de finalités d’intérêt général[138]. La FUP fait dès lors preuve de souplesse puisqu’elle permet à la volonté de conférer un avantage indirect à des personnes déterminées ce qui la distingue de la fiducie personnelle. Quand elle est constituée à titre gratuit, la FUP permet de définir l’utilisation de certains biens, mais dans un but qui ne répond pas légalement des champs de l’utilité sociale. Une entreprise pourrait ainsi recourir à la FUP afin d’assurer la transparence sur l’usage des données qu’elle collecte, et ce pour des finalités privées. Quand elle est constituée à titre onéreux — soit en vue de réaliser des profits ou de procurer des avantages monétaires à des personnes déterminées par l’acte constitutif — , la FUP forme le véhicule juridique adapté pour une valorisation encadrée et surveillée des données[139]. Elle est donc théoriquement un levier à explorer pour que les personnes obtiennent une rétribution financière de l’exploitation par les organisations de leurs données personnelles ; ces dernières étant dès lors érigées au rang de bénéficiaires indirects de la fiducie.

En empruntant la forme d’une FUS ou d’une FUP, la fiducie de données pourra être perpétuelle, c’est-à-dire sans limite de temps[140]. Ceci ne veut pas dire que les données doivent être conservées pour une durée indéterminée. La nature objective de l’affectation commande la durabilité de la fiducie comme contenant, et ce nonobstant le contenu de son patrimoine.

Toutefois, plusieurs raisons poussent à affirmer qu’une fiducie de données perpétuelle n’est pas souhaitable. D’une part, le droit des fiducies ne permet que de façon très restrictive une modification de l’affectation en cours d’existence de la fiducie[141]. La perpétuité induit dès lors le risque d’avoir des fiducies de données aux finalités périmées. D’autre part, la perpétuité des fiducies présente également, dans le cas précis des fiducies de données, un risque de non-conformité avec les dispositions relatives à la protection des renseignements personnels. Notamment, la loi dispose que les renseignements personnels ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis, à moins du consentement de la personne concernée[142]. Ainsi, une fiducie perpétuelle ne saurait être un moyen de contourner la finalité protectrice de ces dispositions en permettant une utilisation sans limites de temps des renseignements personnels[143].

Par ailleurs, en marge du type de fiducie dans laquelle la fiducie de données est susceptible de s’inscrire, se pose la question de qui est à l’origine de la fiducie. La personne du constituant influe beaucoup sur l’architecture et l’économie de l’opération. C’est ainsi que la doctrine oppose deux types de fiducie de données : celle résultant d’une approche descendante et celle résultant d’une approche ascendante[144].

Au titre de l’approche descendante, ce sont les organismes qui collectent et exploitent les données qui seraient à l’origine de la fiducie de données. Pour certains auteurs, cette approche descendante des fiducies des données restreint le potentiel social de l’outil[145]. Une telle approche ne permettrait pas de corriger suffisamment les asymétries de pouvoirs sur le marché de données lesquelles jouent à l’encontre des individus. Selon ces mêmes auteurs, seule une approche ascendante des fiducies de données selon laquelle les individus sont à la fois bénéficiaires et constituants de la fiducie serait plus à même de permettre une redistribution plus équitable de la valeur générée et de renforcer la protection des droits des personnes puisque ces dernières deviendraient des acteurs de la gouvernance des données[146]. Une telle approche est conceptuellement admissible : les individus pourraient décider de mettre en fiducie leurs données, la patrimonialisation n’étant que l’exercice de leurs droits. En revanche, c’est en pratique qu’on peut douter de cette solution. La force de la fiducie réside dans sa capacité à agréger les droits sur les données. Plus le patrimoine fiduciaire est volumineux, plus la fiducie de données est en mesure de veiller au respect des intérêts et des droits des personnes dans les processus d’exploitation des données personnelles. En effet, comme nous l’avons mentionné, la valorisation des données procède de leur agrégation. Dès lors, à moins de répondre d’une initiative collective suffisante, les fiducies de données créées par des individus risquent d’être sans portée en pratique. À cela, il convient de préciser que le plaidoyer pour une approche ascendante des fiducies de données a été fait dans un contexte de common law où les purpose trusts ne sont admis qu’à titre exceptionnel. Au Québec, la forme paradigmatique de la fiducie (c’est-à-dire établie dans un but et sans bénéficiaires directs) permettrait de mettre en oeuvre les buts visés par l’approche ascendante.

Dans la suite de ces considérations, il importe à présent de se concentrer sur le fiduciaire puisque c’est par son entremise que s’opérationnalise le cadre de gouvernance mis en oeuvre par la fiducie.

Quand bien même la fiducie de données constitue un patrimoine autonome de tout sujet de droit, la fiducie est tributaire de son fiduciaire. D’ailleurs, celle-ci n’existe pas tant que le fiduciaire n’a pas accepté d’exercer la mission qui lui est confiée[147]. Surtout, la fiducie requiert la présence du fiduciaire qui, rappelons-le, « exerce tous les droits afférents au patrimoine et peut prendre toute mesure propre à en assurer l’affectation »[148]. C’est donc sur ses épaules que repose la mise en oeuvre de l’affectation du patrimoine fiduciaire.

En matière de fiducie de données, sa mission est d’autant plus complexe que c’est par son entremise que s’opère le consentement des personnes quant à l’utilisation de leurs données. En effet, la fiducie de données induit une délégation du consentement des personnes qui acceptent de mettre leurs données en fiducie. Autrement dit, les personnes donnent leur consentement au moment de la mise en fiducie des données et conformément aux finalités de traitement qui ont été prévues, mentionnées et approuvées par les personnes. Elles consentent donc à un cadre d’exercice de leurs droits dont elles connaissent les contours avec un niveau suffisant de détail et dont le fiduciaire a la charge de mettre en oeuvre conformément à leurs volontés[149]. À la lumière des conditions posées dans ce cadre d’exercice des droits (lequel n’est autre que l’affectation définissant la fiducie, le fiduciaire consent aux usages subséquents des données. Là encore, il importera de veiller à ce que ce cadre d’exercice n’induise pas une utilisation perpétuelle des données personnelles.

En d’autres termes, les personnes « octroient » à la fiducie[150] un métaconsentement[151] et s’affranchissent dès lors du besoin de renouveler leur consentement pour chaque nouvel usage sous réserve que cette utilisation demeure conforme aux finalités admises[152]. Le consentement n’est pas écarté[153], mais rendu dynamique. En effet, les personnes retrouvent une forme de contrôle de l’usage qui est fait de leurs données par le biais du fiduciaire qui réalise le cadre d’usage de leurs données auquel ils ont consenti en mettant leurs données en fiducie. Ce contrôle est bien réel puisque les données sont centralisées au sein de la fiducie et que les personnes peuvent s’adresser au fiduciaire pour obtenir des précisions sur les usages concédés[154] ou s’y opposer[155]. Certes, il faut reconnaître que la maitrise sur les données n’est qu’indirecte puisque le consentement des personnes est décliné par l’entremise du fiduciaire. Toutefois, il est potentiellement plus effectif qu’en l’état du droit positif dans la mesure où il est de la mission exclusive du fiduciaire de déterminer une utilisation des données conforme aux directives contenues dans l’acte constitutif[156].

En marge des réflexions sur le contenu de la mission du fiduciaire de données, la question du profil du fiduciaire semble tout aussi fondamentale.

En effet, le recours à la fiducie de données se justifie par la recherche d’une gestion encadrée, indépendante et surveillée. L’indépendance du fiduciaire est cruciale en ce qu’elle répond au besoin de confiance des personnes quant à l’utilisation qu’il est fait de leurs données. Le droit positif veille déjà scrupuleusement à l’indépendance du fiduciaire en prévoyant des mesures spécifiques relatives au conflit d’intérêts. Au titre de ces dispositions, le fiduciaire ne saurait jamais agir dans son propre intérêt[157]. S’il est lui-même un bénéficiaire de la fiducie, il ne peut agir seul[158] ni faire valoir son intérêt au détriment de celui de ses cobénéficiaires[159]. De même, le fiduciaire ne saurait utiliser les biens qu’il administre à son profit à moins que le bénéficiaire, la loi ou l’acte constitutif ne l’y autorise[160]. Cette disposition impose de faire preuve de vigilance au moment de la rédaction de l’acte constitutif en ce qu’elle pourrait mettre en échec la finalité initiale de la fiducie de données. Enfin, rien n’empêche que le fiduciaire soit le constituant. Dans ce cas, il ne pourra agir seul conformément à l’article 1275 du Code civil du Québec[161].

Lorsqu’une fiducie de données est constituée dans le but d’aligner le partage des données avec la recherche du bien commun, il importe que l’administration fiduciaire soit à l’image de cette finalité. L’échec du projet de Sidewalk Labs mentionné plus haut est un exemple manifeste de cette exigence, notamment compte tenu du manque d’implication citoyenne dans le modèle fiduciaire offert[162].

Fort de ces éléments, une réflexion de fond doit être opérée sur l’ensemble des qualités et compétences que doivent présenter le fiduciaire de données compte tenu des enjeux éthiques, juridiques et technologiques que sous-tend l’administration des droits relatifs aux données personnelles. Notamment, peu importe l’étendue des pouvoirs qui lui incombe, la conservation du patrimoine fiduciaire est au coeur de sa mission, risquant autrement de mettre en péril l’affectation[163]. Une telle obligation a une résonance particulière en matière de gouvernance des données pour laquelle la cybersécurité et la protection de l’intégrité des systèmes d’information revêtent une importance capitale, comme attestent les discussions autour du projet de loi 64[164]. Au regard de ces enjeux, il semble plus approprié que le fiduciaire soit une personne morale, notamment pour des raisons d’assurance[165], mais au risque de coûts d’administration élevés. À défaut, il serait recommandé d’adopter une administration collective de la fiducie[166] au sein de laquelle les fiduciaires jouiraient de compétences complémentaires et à l’image des finalités de la fiducie de données. La composition de l’administration fiduciaire se doit d’être conforme à la nature particulière de la fiducie de données et ainsi regrouper tant des scientifiques et des architectes des données que des juristes experts en protection des renseignements personnels et en droit des fiducies[167].

Finalement, il importe de conclure ces réflexions autour du fiduciaire de données en s’attardant quelque peu aux modalités de surveillance dans la mesure où les FUP et les FUS présentent communément le risque d’une surveillance parcellaire voire insuffisante du fiduciaire. Ceci constitue une faiblesse majeure pour les fiducies des données comme nous allons le voir.

Selon le Code civil du Québec, il appartient au constituant, aux bénéficiaires ou à toute autre personne ayant un intérêt à agir de veiller à ce que le fiduciaire exerce ses pouvoirs conformément à l’acte constitutif et qu’il ne contrevienne pas à ses obligations dans l’exercice de ses fonctions. La fiducie de données perd l’opportunité d’un contrôle par les bénéficiaires si elle se trouve constituée sous la forme d’une FUP ou d’une FUS. Il est vrai qu’en cette hypothèse, la loi compense l’absence de bénéficiaires par un contrôle de personnes ou d’organismes, lesquels doivent être désignés par la loi[168]. Notamment, dans le cas d’une FUP, une telle responsabilité revient au curateur public, ce qui semble peu adapté en matière de fiducie des données, l’administration des données semblant de prime abord trop éloignée du mandat de cet acteur[169]. En revanche, aucun organisme n’a à ce jour été désigné ou constitué dans le contexte des FUS[170]. Si l’on peut imaginer un tel rattachement auprès de la Commission d’accès à l’information du Québec[171] ou encore la Commission des droits de la personne et de la jeunesse[172], ces hypothèses requièrent que le législateur modifie le mandat de ces institutions[173]. Surtout, elles se révèlent difficilement envisageables actuellement compte tenu des limites institutionnelles et financières de ces deux institutions. Il conviendrait de repenser le mandat de ces commissions et de leur donner les moyens d’assurer de telles fonctions. Mais là encore, cela suppose que les fiducies de données constituent un écosystème de taille suffisante pour imposer de tels changements.

Reste dès lors l’option du contrôle par le constituant ou par tout intéressé jouissant d’un intérêt au respect de l’affectation des biens[174]. Ainsi, sans répondre de la qualité de bénéficiaire selon le droit des fiducies[175], les personnes dont les droits sur leurs données personnelles sont en fiducie jouissent sans conteste d’un intérêt qui leur donne un « droit de regard »[176] sur la gouvernance des données. Titulaires d’un droit extrapatrimonial sur la donnée, ces derniers disposent d’un droit de recours individuel lorsque l’administration des données leur porte directement préjudice[177]. Toutefois, la portée d’une telle action vis-à-vis de l’administration fiduciaire risque d’être limitée. Une action collective serait davantage bienvenue, mais encore faut-il que les personnes concernées aient connaissance des modalités de l’administration fiduciaire, les comprennent et identifient une atteinte à leurs droits. Ce droit de regard se trouve à ce stade hypothétique, d’où la nécessité qu’un organisme désigné par la loi ait la charge de surveiller les fiduciaires.

Par conséquent, en l’absence de bénéficiaire et d’organisme désigné par la loi et du fait de la faible probabilité que les personnes concernées demandent au fiduciaire de rendre compte de sa mission, la surveillance et le contrôle de l’administration échoient exclusivement au constituant. Il importe ici de distinguer deux séries d’hypothèses pour apprécier l’effectivité du contrôle du constituant. En premier lieu, considérons la situation où le constituant de la fiducie est également le fiduciaire. En l’espèce, cela renvoie au cas où l’organisme qui collecte les données se nomme fiduciaire de la fiducie qu’il a lui-même constituée. Selon l’article 1275 du Code civil, le constituant peut être également fiduciaire, mais il ne peut l’être seul. Il doit agir conjointement avec un tiers fiduciaire qui ne peut être un bénéficiaire non plus[178]. Cette disposition est d’ordre public[179] et a été introduite pour prévenir la survenance de conflits d’intérêts dans l’administration fiduciaire[180]. Ici, la collégialité du corps fiduciaire imposée par le Code civil garantit une autosurveillance des fiduciaires entre eux et une gestion indépendante du patrimoine fiduciaire. La surveillance du fiduciaire de données devrait donc être opérante. En second lieu, considérons cette fois la situation où le constituant et le fiduciaire sont des acteurs distincts. Comparativement à l’hypothèse antérieure, la surveillance du fiduciaire présente le risque d’atteindre ses limites. En effet, que se passe-t-il quand le constituant n’a pas d’intérêt à dénoncer les carences de l’administration du fiduciaire de données ? Faute de bénéficiaires, de tiers et d’organisme de surveillance, le fiduciaire se trouve dans une position où il échappe à tout contrôle. Il semble dès lors nécessaire d’affiner les modalités de contrôle du fiduciaire afin d’éviter que le fiduciaire échappe de facto à tout type de contrôle. Plus encore, une telle clarification permettrait d’assurer que la fiducie de données établisse, en toutes circonstances et quelle que soit son ossature, le lien de confiance escompté entre ceux qui collectent et exploitent les données et ceux qui en sont les sujets[181].