Le citoyen qui dépose des ordures au bord du chemin conserve-t-il son droit à la vie privée ? Peut-il exiger que seuls les éboueurs s’emparent du sac ? Ou livre-t-il les restes de son intimité à la curiosité de tous les passants – voisins fouineurs, itinérants, galopins et policiers ? La Cour suprême a statué sur cette question. Sa réponse est claire : la protection de la vie privée ne s’applique pas aux poubelles.

Ce jugement s’applique à des déchets, et non à des renseignements personnels enregistrés sur support informatique. Néanmoins, il montre bien à quel point la gestion des documents peut se révéler délicate. Vincent Gautrais et Pierre Trudel, professeurs à la Faculté de droit de l’Université de Montréal, estiment toutefois que la loi est assez souple pour s’adapter à toutes les situations. Dans leur ouvrage Circulation des renseignements personnels et Web 2.0, ils entreprennent de démontrer que la venue de nouvelles technologies ne crée pas de vide juridique. Les lois relatives à la protection des renseignements personnels, même quand elles ont été promulguées avant l’arrivée d’Internet, peuvent garantir la protection des renseignements personnels lorsqu’elles sont correctement interprétées, et ce, sans freiner la circulation de l’information.

Le droit évolue, comme en témoigne l’adoption de la Loi concernant le cadre juridique des technologies de l’information. Il convient donc de concilier les lois datant d’avant le Web 2.0 avec les plus récentes. Pour ce faire, les auteurs s’attachent à décrire des notions comme celles de contrôle et de consentement et définissent six opérations associées à la circulation des renseignements personnels : communication, transmission, conservation, détention, collecte, utilisation. Ces termes peuvent sembler similaires, mais leurs implications juridiques varient selon le statut des intervenants (usagers, prestataires de services et intermédiaires).

Dans l’introduction, les auteurs rappellent à quel point l’avènement d’Internet a transformé le travail des employés des administrations publiques ainsi que la façon dont les citoyens interagissent avec les services gouvernementaux. Le gouvernement en ligne joue maintenant un rôle majeur et un nombre grandissant d’internautes apprécient sa valeur ajoutée : réduction des déplacements, gain de temps, horaires flexibles, etc.

Cette révolution technologique qui s’est déroulée durant les deux dernières décennies place cependant la protection des renseignements personnels à la croisée des chemins. La tendance des gouvernements à offrir une prestation de services en ligne complète et diversifiée exige une plus grande circulation des renseignements personnels. Or cette circulation accrue de données sensibles dans des réseaux informatiques soulève des défis. Dans cet environnement, « l’information qui circule n’est pas nécessairement sous l’entier contrôle de l’entité qui se trouve à avoir la possession physique du support » (p. 16). Une organisation gouvernementale peut collecter l’information, mais cela ne signifie pas pour autant qu’elle peut y accéder et en faire usage. Les différentes lois sur la protection des renseignements personnels encadrent chaque action liée à la circulation des données.

Dans le premier chapitre, les auteurs montrent de façon exhaustive les subtilités du contrôle de l’information. D’abord, cette notion ne figure pas en toutes lettres dans les lois sur la protection des renseignements personnels. Elle est néanmoins implicitement présente. Les auteurs la documentent à l’aide d’exemples concrets issus de diverses décisions de justice et analysent ces cas de jurisprudence en en soulignant les passages clés.

Les organismes publics exercent de manière inégale leur contrôle sur les renseignements personnels. Il est plutôt rare que leur contrôle soit total, comme il est rare qu’il soit inexistant, surtout dans une administration en réseau. Cette variabilité module naturellement le degré de responsabilité des acteurs qui jouent un rôle dans la circulation des renseignements personnels, à commencer par le citoyen lui-même. Par exemple, un bureau de tourisme qui demande à un voyageur consentant son opinion sur une région donnée exerce un contrôle sur l’utilisation de cette information : il n’est pas obligé de publier les propos du touriste. En revanche, les fournisseurs d’accès Internet n’ont aucun droit de regard sur l’information transmise par leurs services. Ils ne font que la détenir afin de la transmettre du point d’expédition au point de réception.

Les auteurs détaillent les diverses étapes du cycle de traitement d’un document dans un réseau. Examinant d’abord la notion de mouvement, ils font ressortir des textes de loi les subtilités légales concernant la communication et la transmission. Ainsi, un citoyen peut avoir transmis un document à une entité gouvernementale sans que la communication ait eu lieu. Cela se produit quand le destinataire a le document en sa possession, mais n’en a pas encore pris connaissance. Ensuite, trois étapes mènent à l’immobilisation des renseignements personnels : la collecte, la détention et la conservation. Les auteurs soulignent la gravité des enjeux soulevés par la détention d’un document. Ce terme implique directement la protection des renseignements personnels, car l’organisme qui détient une information est responsable juridiquement du support sur lequel celle-ci est consignée. Enfin, le mot utilisation signifie que le destinataire a pris connaissance des données transmises.

Pour les auteurs, la définition légale de ces six termes (communication, transmission, conservation, détention, collecte, utilisation) revêt une importance capitale afin de bien interpréter les lois sur la protection des renseignements personnels. L’environnement informatique étant intangible, ils vulgarisent le sujet en établissant des analogies avec le monde physique, comme le service postal.

Ces concepts théoriques sont ensuite étudiés dans trois types de services gouvernementaux en ligne :

• Dans le premier type de services, les renseignements personnels circulent à des fins d’identification sous la responsabilité d’un ministère ou d’une entité publique ;

• Dans le deuxième, les renseignements personnels sont générés par un usager et gardés par une entité gouvernementale, comme c’est le cas pour le CV commun canadien (un système accessible par Internet qui permet aux chercheurs de gérer les données de leur curriculum vitae) ;

• Finalement, les renseignements personnels proviennent de témoignages d’usagers, ils sont ensuite publiés par un organisme gouvernemental faisant la promotion du tourisme, par exemple.

La dernière partie de l’ouvrage explique en détail la notion de consentement, lequel doit être obtenu pour que les gestionnaires puissent faire circuler les renseignements personnels. Les auteurs demeurent cependant critiques envers cette notion. Les notices légales de consentement – que l’usager accorde souvent en cochant une case à la fin d’un long texte rédigé en caractères fins – sont parfois nuisibles. Étourdi par la multitude des stipulations, l’usager renonce à lire attentivement les conditions d’utilisation. Les demandes de consentement sont souvent interminables et remplies d’hyperliens. Certaines comprennent même des clauses illégales ! Des solutions pratiques sont offertes pour mieux informer l’usager, de façon à ce que celui-ci puisse donner un consentement éclairé.

Les auteurs présentent ensuite les autres mécanismes autorisant la circulation des renseignements personnels. Ainsi, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels donne à un organisme le droit de partager certaines données privées dans des circonstances précises. Ce droit peut être octroyé par le consentement de l’usager, par l’entente de partage de renseignements personnels entre les entités gouvernementales ou par certaines habilitations spécifiques, comme lors d’une poursuite criminelle.

Il est malheureux que le titre de cet essai bien étayé porte à confusion. Le Web 2.0 évoqué par Gautrais et Trudel est une chose encore mal définie. Dans le langage de tous les jours, il est souvent employé pour faire référence aux réseaux sociaux. Le lecteur s’attend donc à une réflexion sur la circulation des renseignements personnels, notamment dans Facebook. Attente déçue, puisque ce livre se concentre sur les interactions des citoyens avec les services gouvernementaux en ligne.

Cela dit, l’ouvrage couvre de façon exhaustive les notions légales entourant le traitement des renseignements personnels dans le cadre d’une prestation de services gouvernementaux interactifs ou transactionnels. Il analyse plusieurs décisions judiciaires, ce qui permet de mieux saisir l’incidence de certaines lois ou de certains cas de jurisprudence, surtout dans le chapitre sur le contrôle de l’information. Les auteurs auraient pu expliquer d’autres notions en présentant des jugements plutôt que seulement y référer, et les nombreuses notes de bas de page alourdissent quelque peu la lecture. De fait, le livre s’adresse davantage aux chercheurs. La quatrième de couverture précise d’ailleurs qu’il est issu d’une étude subventionnée par le ministère des Services gouvernementaux.

Enfin, Circulation des renseignements personnels et Web 2.0 propose quelques solutions pour faciliter le consentement éclairé. Une entreprise de vulgarisation dont le public a grand besoin, car pour l’instant les formules de consentement en ligne sont si obscures que cocher la case « J’ai lu et j’accepte les conditions d’utilisation » demeure un mensonge couramment proféré.