Il aura fallu moins de quelques heures pour que les conclusions de la Cour suprême du Canada dans Bykovets, rendues le 1er mars 2024, fassent le tour des quotidiens et des médias sociaux. C'est dire à quel point la protection de la vie privée sur Internet suscite l'intérêt. Dans son opinion majoritaire (5 juges contre 4), la Cour a jugé que la pratique des autorités, dans les enquêtes pénales et criminelles, de demander aux entreprises de divulguer des adresses IP sur une base volontaire, sans d'abord obtenir une ordonnance de communication, enfreignait la protection constitutionnelle contre les fouilles, perquisitions et saisies abusives (art. 8 de la Charte canadienne des droits et libertés).

Les motifs de l'opinion majoritaire sont parlants : l'adresse IP, cet identifiant unique assigné à chaque appareil connecté à Internet, est le sésame de la cybervie privée, non pas pour la série de chiffres dont cette adresse est composée, mais pour les renseignements privés qu'elle peut révéler sur les « cyberpérégrinations » des internautes (paragr. 69). Le message est sans équivoque : le droit à « l'intimité informationnelle » sur Internet est toujours bien vivant, malgré l'augmentation « exponentielle [de] la qualité [et de] la quantité de renseignements stockés à propos des internautes » (paragr. 73).

Nous avons identifié 5 points importants à retenir pour les entreprises.

  1. Bykovets est un énième rappel de la Cour suprême aux autorités d'user de leurs pouvoirs contraignants pour obtenir des renseignements personnels privés auprès des entreprises. Dans le contexte d'une vérification administrative, la contrainte prendra généralement la forme d'une lettre (p. ex. une demande péremptoire ou une citation à comparaître) invoquant les pouvoirs administratifs du régulateur de contraindre la divulgation de certains renseignements liés à sa mission. Dans le contexte d'une enquête pénale ou criminelle, la contrainte prendra plutôt la forme d'une autorisation judiciaire (p. ex. une ordonnance de communication ou un mandat de perquisition) délivrée par un juge de paix dans l'un des formulaires prévus par le Code criminel ou les lois pénales. Comme le souligne la Cour, « le fardeau que l'on impose à l'État [en le forçant à obtenir une autorisation judiciaire préalable en contexte d'enquêtes pénales ou criminelles] est dérisoire par comparaison avec les préoccupations importantes relatives à la vie privée qui sont en cause en l'espèce », d'autant plus que les autorisations judiciaires peuvent être obtenues rapidement « à l'ère des télémandats et de l'accès 24 h sur 24 à des juges de paix » (paragr. 86).

  2. L'arrêt tient compte, sans le nommer expressément, de l'effet mosaïque selon lequel une information a priori anodine peut « tendre à révéler des renseignements très privés [...] [voire] un éventail d'activités en ligne très personnelles [...] [l]orsqu'elle est mise en corrélation avec d'autres renseignements en ligne qui y sont associés » (paragr. 9). Selon l'opinion majoritaire, « [v]u l'omniprésence d'Internet, nous devons examiner de plus en plus 'les façons dont différents ensembles de données combinés à d'autres ensembles de données portent atteinte aux droits à la vie privée' » (paragr. 74). L'arrêt invite donc les autorités et les entreprises, dans leur analyse du caractère privé d'un renseignement personnel, à regarder au-delà du renseignement, voire à éviter une approche en vase clos « fragment par fragment » (paragr. 6), et à considérer « toute inférence que l'on peut tirer de ces renseignements » (paragr. 38).

  3. Bykovets devrait particulièrement interpeller les entreprises qui font affaire au Québec ainsi que leurs dirigeants et leurs administrateurs. Certes, l'arrêt présente les entreprises comme des tiers aux enquêtes « qui ne sont pas eux-mêmes assujettis à la Charte [canadienne] » (paragr. 10). Or, Bykovets est un dossier qui provient de l'Alberta, où l'interdiction des fouilles abusives prévue à l'art. 8 de la Charte canadienne ne s'applique qu'à l'État, tandis que la Charte des droits et libertés de la personne du Québec prévoit non seulement des droits, mais aussi des obligations pour les entreprises. On peut donc raisonnablement se demander si les entreprises faisant affaire au Québec seraient davantage que des « tiers aux enquêtes » et si elles auraient elles-mêmes l'obligation constitutionnelle d'éviter de participer aux fouilles, perquisitions et saisies abusives de l'État.

  4. Après Bykovets, il apparaît encore moins probable que les lois sur la protection des renseignements personnels dans le secteur privé permettent d'échanger volontairement avec les autorités des renseignements personnels qui pourraient révéler – en soi, par inférence ou en les couplant à d'autres données – des renseignements intimes, sauf peut-être dans le cadre de dénonciation d'infractions. Même dans ce cas, il serait prudent de s'en tenir aux seuls renseignements qui sont nécessaires pour permettre aux autorités de démarrer leur enquête. À tout événement, les entreprises devraient faire preuve de circonspection et, en cas de doute, exiger des autorités une demande ou une ordonnance contraignante avant de leur communiquer des renseignements personnels.

  5. Alors que Bykovets est d'actualité, il serait opportun pour les entreprises de :
    a) sensibiliser leurs employés à l'importance d'acheminer les demandes de renseignements des autorités, quelles qu'elles soient, formelles et informelles, aux personnes responsables d'assurer la protection des renseignements personnels;
    b) réviser leurs politiques internes relatives à la protection des renseignements personnels afin de s'assurer qu'elles sont à jour; et
    c) mettre à jour la formation des employés assignés à la gestion des perquisitions et au traitement des demandes de renseignements des autorités.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.