Introduction
Si le marché des données est communément décrit comme celui du nouvel or noir et que leur partage se révèle une condition sine qua non pour la création de nouveaux biens et services[1], l’usage des données est aussi largement décrié face aux risques avérés d’atteintes à la vie privée[2] des individus et, plus largement, de perte de contrôle de ces derniers sur les données qu’ils génèrent au quotidien[3]. Au Canada, les récentes affaires en lien avec la gouvernance des données urbaines[4] ou encore le projet de cession des données médicales de la RAMQ à des entreprises pharmaceutiques[5] semblent conforter ces divers constats tout en renforçant la défiance sociale envers leur utilisation[6]. Fort de ces éléments se pose la question de la (re)conciliation de ces enjeux afin que l’usage des données soit socialement acceptable et digne de confiance, mais surtout respectueux des droits et intérêts des personnes.
Le droit québécois dispose d’un cadre normatif protecteur des données personnelles. En sus du droit au respect de la vie privée consacré à l’article 5 de la Charte des droits et des libertés de la personne[7] et à l’article 35 du Code civil du Québec, la protection des renseignements personnels[8] s’articule essentiellement autour de deux lois particulières[9] dont la finalité est la suivante : établir le contrôle des personnes sur leur « vie privée informationnelle »[10] en leur donnant, par le biais de leur consentement, la faculté de décider quand, qui, pourquoi et comment les données personnelles les concernant sont collectées, utilisées ou partagées[11]. Le principe du consentement constitue la clé de voute de cette protection puisque c’est par son truchement que « s’opérationnalise » le contrôle de chacun sur ses renseignements personnels[12].
Toutefois, le passage à l’ère des données massives a progressivement remis en question cette affirmation dans la mesure où l’obtention du consentement des personnes rencontre depuis d’importantes difficultés pratiques[13]. Notamment, les flux de données sont devenus aussi prodigieux qu’imprévisibles et la collecte de données personnelles par les entreprises de service numériques est rendue quasi systématique[14]. De plus, les conditions générales des services numériques renferment une grande complexité. Il est alors difficile pour les personnes de véritablement comprendre ce à quoi elles consentent[15]. Ce consentement hasardeux est le seul moyen d’accéder à des services numériques, certains desquels on ne saurait se passer[16]. Le consentement se trouve donc dans les faits ni véritablement libre ni véritablement éclairé, contrairement à ce que la loi exige[17].
À cela, plusieurs soulignent le fondement individualiste du cadre juridique de la protection des renseignements personnels pour en dénoncer ses limites. Par exemple, les données créent de la valeur à partir du moment où une grande quantité est agrégée[18], car prises de façon isolée, elles ont une valeur quasi nulle. Parallèlement, certains auteurs ont identifié des cas où le droit à la vie privée peut s’imprégner d’une composante collective en ce qui a trait à la gestion et l’utilisation des données personnelles[19]. Au regard de ces éléments, le fonctionnement de l’économie des données se révèle à contre-courant du fondement individualiste de la protection des renseignements personnels.
Ainsi, il apparaît que le droit en vigueur ne permet plus de répondre de façon adéquate aux enjeux qui entourent l’usage des données personnelles. D’ailleurs une réforme du cadre législatif régissant la protection des renseignements personnels est en cours afin de l’actualiser au contexte des données massives[20]. Toutefois, dans l’attente que le processus législatif aboutisse et sous réserve que son résultat réponde aux différents besoins et enjeux en matière de données personnelles[21], le droit privé jouit de pistes intéressantes pour (re)concilier l’utilisation (et tout particulièrement le partage) des données avec les droits et intérêts des individus dans le but notamment de renforcer la protection des données personnelles.
De là est né récemment le concept de fiducie de données au Québec[22], fruit de la rencontre de deux mondes qui s’ignorent habituellement : le droit des biens et le droit du numérique. En effet, la fiducie[23], plus connue en matière de gestion de patrimoine foncier et financier, est ici transposée au contexte des données numériques pour devenir le support juridique de projets de mutualisation de données en vue de les valoriser[24] et, le cas échéant, de les céder.
L’idée de recourir à la fiducie (plutôt qu’au contrat ou à la personne morale) tient au fait que la fiducie est un mode dérogatoire de détention des biens articulé autour d’une finalité précise. En outre, elle établit un cadre restrictif et responsable d’utilisations des biens. L’ensemble de ces éléments justifie son intérêt quant aux enjeux d’usage et de partage de données personnelles mentionnés, au point que la fiducie de données est aujourd’hui proposée comme une solution de droit privé en renfort du cadre normatif relatif à la protection des renseignements personnels.
Toutefois, nul ne saurait oublier que la fiducie est une institution originale tant au regard de ses sources, de sa nature et de son régime juridique, ce qui lui vaut une place unique en droit civil québécois[25]. Elle repose en effet sur des concepts dérogatoires du point de vue de la tradition civiliste (patrimoine d’affectation, pouvoir juridique), faisant également de cette dernière une notion aux contours difficilement, voire imparfaitement, saisissables[26]. Nul ne saurait également négliger que l’outil fut façonné aux enjeux de la gestion de patrimoine et que plusieurs de ses dispositions devront être adaptées à son nouvel objet — les données — comme nous aurons l’occasion de le voir.
À cela se rajoute que le concept même de fiducie de données fait l’objet d’interrogations donnant lieu à de vives controverses théoriques. Notamment, peut-on admettre que le besoin de restituer une forme de contrôle de chacun sur ses données justifie que les données personnelles deviennent la composante d’un patrimoine fiduciaire et donc voient leur nature juridique altérée ? Compte tenu de cet enjeu, la fiducie de données jouit-elle d’un potentiel suffisant pour restaurer le lien de confiance entre ceux qui collectent et/ou exploitent les données personnelles et les personnes concernées ?
En dépit de ces interrogations, l’intérêt pour la fiducie de données ne cesse de croître au Québec[27], si bien que quelques acteurs travaillent à l’élaboration de prototypes[28]. Toutefois, malgré cet engouement, la fiducie de données reste pour certains un concept nébuleux dont la réalisation présente de nombreux défis théoriques et opérationnels. À ce stade, il semble donc opportun d’opérer un premier défrichage du concept afin d’identifier les fondements de son cadre théorique de déploiement, à cheval sur le droit privé et le droit des renseignements personnels. Si ce texte ne saurait répondre à l’ensemble des problématiques que pose l’articulation de cet outil avec le droit des renseignements personnels, il se veut tout au moins une réflexion préliminaire sur le potentiel de l’outil en droit civil québécois. C’est pourquoi il se concentrera essentiellement à démontrer la pertinence du droit québécois des fiducies pour traiter des enjeux relatifs au marché des données.
Dès lors, notre propos se divisera en trois temps. D’abord, nous tâcherons de revenir sur les origines de la fiducie de données dans le but d’en identifier quelques-unes de ses caractéristiques fondamentales en droit civil québécois, et ce grâce à la comparaison juridique (Partie II). Cela étant établi, nous pourrons ensuite préciser la notion de fiducie de données (Partie III) avant d’en livrer quelques traits d’ébauche (Partie IV).
I. Aux origines de la fiducie québécoise de données
La fiducie de données puise sa source dans des réflexions qui ont débuté en common law. En effet, quelques experts ont recommandé l’application du traditionnel et emblématique trust[29] pour contrer la perte de confiance quant à l’utilisation des données. La confiance est inhérente aux modèles fiduciaires[30], lesquels permettent, de manière générale, une gestion encadrée, indépendante et supervisée d’actifs. La prise en compte de l’ensemble de ces éléments a donné naissance au concept de data trust. Véritable buzzword depuis quelques années, ce concept occupe aujourd’hui une place majeure dans les réflexions relatives à la gouvernance des données[31], incitant à la définition d’un équivalent civiliste : la fiducie de données. Compte tenu de ces éléments, il importe de retracer l’émergence et l’évolution du concept de data trust (1). Ce détour par la common law constitue un préliminaire nécessaire à notre objet d’étude : la présentation du data trust permettra en effet d’apporter d’importants éclairages sur l’émergence et l’originalité du modèle québécois de fiducie de données (2).
A. Le data trust
Si tous s’accordent pour dire que définir le trust n’est pas une tâche aisée[32], tel est également le cas du data trust.
Tout d’abord, le data trust fait son apparition pour la première fois en 2004 dans un texte de Lilian Edwards[33] dans lequel l’auteure dénonçait l’absence de consentement libre et éclairé en matière de commerce en ligne. Face aux lacunes du droit du numérique, Edwards suggéra de retourner au droit commun afin de trouver des moyens pour restaurer la confiance des consommateurs. Le trust lui parut l’outil tout approprié. Ceci tient au fait que, de toutes les différentes définitions proposées de l’institution, il ressort que le trust constitue une manière bien particulière de détenir des biens[34] : leur détenteur (le trustee) est soumis au respect d’obligations dites fiduciaires, qui garantissent que celui-ci agisse dans le respect des objectifs de la mise en fiducie.
Toutefois, cette proposition resta lettre morte, jusqu’à ce qu’elle refasse surface en 2016[35]. Le professeur Neil Lawrence, expert reconnu en machine learning, recommanda la création de data trusts afin de contrer les dysfonctionnements du marché des données. Ce mécanisme permettait de palier à certains risques tels que la concentration de la valeur générée par ce marché entre les mains de quelques acteurs économiques, le manque de démocratisation de l’accès aux données, l’absence de redistribution de la valeur au profit des personnes à partir desquelles les données sont collectées et plus largement, la perte de contrôle de chacun sur ses données. Ainsi, la raison du recours au data trust est simple : confier à une personne la mission d’administrer l’usage des données selon des modalités précises et à charge de responsabilité personnelle[36]. Dès lors, le data trust est non seulement perçu comme le moyen de garantir une gestion plus transparente des données, mais également comme le moyen d’arrimer l’exploitation des données au respect des intérêts et des droits des personnes[37]. Plus largement, l’outil ouvre la voie à un possible rééquilibrage des rapports de pouvoirs entre les personnes et ceux qui collectent et utilisent leurs données personnelles. Ceci est vrai puisque, rappelons-le, c’est l’agrégation de données qui augmente leur valeur[38]. En devenant le support de cette agrégation, le data trust renforcerait les pouvoirs de négociations des personnes par l’intermédiaire des trustees et vis-à-vis des institutions qui les exploitent.
Ces éléments justifient ainsi que le data trust connut un réel engouement, à commencer au Royaume-Uni. Alors que deux rapports publics se succédant dans un court intervalle débattent de l’applicabilité du data trust[39], le concept évolue et se complexifie, oscillant entre solution technique et concept paradigmatique de la gouvernance des données. C’est ainsi que le data trust renvoie aujourd’hui à une réalité plurielle. Pour certains, ceci fait obstacle à sa compréhension.
Au sens figuré, le data trust désigne un mode de gouvernance des données qui favorise et encadre le partage des données[40]. De ce point de vue, le data trust est une notion métaphorique matérialisant juridiquement le but recherché par la gouvernance des données : rétablir la confiance et l’acceptabilité sociale vis-à-vis de l’usage fait par les organisations des données collectées auprès des personnes[41]. Le data trust est alors un objectif de gestion, un cadre conceptuel transposable prônant un traitement juste, sécuritaire et équitable des données[42].
Dans un sens technique, la notion de data trust jouit d’un autre degré de complexité. Elle ne renvoie plus exclusivement au trust comme institution fondamentale de common law, mais à une pluralité de véhicules juridiques au gré desquels l’utilisation des données est confiée à un tiers de confiance afin d’en assurer une gestion encadrée, indépendante et surveillée. Dans son rapport de 2018, l’Open Data Institute (ODI) souligne en effet que le trust ne saurait être le véhicule juridique privilégié pour encadrer le partage des données et invoque divers arguments[43], dont un attire particulièrement notre attention. Il est mentionné que le but de la gouvernance des données n’est pas de satisfaire les intérêts de personnes déterminées, mais plus largement de répondre à des finalités précises et collectives : la confiance en matière de traitement des données, et par là, le respect des droits des personnes. Les data trusts relèvent davantage de la catégorie des purpose trusts, qui hormis du cas précis des charitable trusts, ne sont pas admis en dehors d’une loi particulière[44]. Cette catégorie de trust connaît une définition restrictive puisque la liste des finalités charitables admises se trouve circonscrite. Une telle restriction s’explique par la structure même du trust. En l’absence de bénéficiaires, sa structure vacille. En effet le trustee est libre de toute contrainte, puisqu’il n’est plus contraint à agir dans le respect de l’acte constitutif. Sa situation « s’apparent[e] à la propriété plutôt qu’à la fiducie »[45]. Dans le cas des charitable purpose trust, l’absence de bénéficiaires se trouve compensée par un contrôle institutionnalisé des fiduciaires[46]. De telles considérations amènent l’ODI à conclure que le data trust stricto sensu ne peut pas connaître un déploiement en dehors des cas où il est utilisé à des fins éducatives, telles que la recherche et l’innovation, à moins qu’une loi particulière ne l’y autorise[47].
Ainsi, et non sans une certaine pointe d’ironie, ce rapport a pour effet d’écarter au profit d’autres types de modèles fiduciaires le trust. C’est ainsi que la notion de data trust s’est élargie au point d’intégrer une pluralité d’institutions d’inspiration fiduciaire (ex : data commons, data cooperatives). Ces modèles permettent de déléguer la prise de certaines décisions à un tiers indépendant concernant les données collectées, notamment qui peut y avoir accès, dans quel objectif et pour quelle durée. Ce tiers indépendant — qui pourrait être une entité publique ou privée — tirerait, par exemple, son pouvoir d’un contrat (et non d’un trust) tout en étant soumis à des obligations essentiellement similaires à celles du trustee. Tout comme le data trust stricto sensu, ces autres modèles fiduciaires jouissent du potentiel de circonscrire l’utilisation et le partage des données personnelles selon une finalité précise et à laquelle les individus ont consenti. Ils permettent également d’établir la responsabilité personnelle de ceux qui administrent les données d’une manière non conforme au bien commun. Cette extension du concept de data trust lui octroie une plus grande flexibilité et polyvalence[48]. La notion du data trust se meut en un concept générique[49] non circonscrit au droit des trusts tel quel.
Si cette incertitude conceptuelle et sémantique s’est trouvée largement décriée au point que certains aient récemment proposé de resserrer le concept de data trust autour de sa notion initiale[50], celle-ci n’a pas empêché son effervescence[51]. Notamment, au Canada, plusieurs tentatives de déploiement ont été récemment élaborées. Le data trust fut par exemple la solution offerte par l’entreprise Sidewalk Labs pour administrer les données urbaines collectées dans son projet d’écoquartier connecté au sein de la ville de Toronto. Toutefois, les modalités du civic data trust ont fait l’objet de vives critiques, notamment quant au manque d’indépendance suffisante entre les fiduciaires et l’entreprise responsable du projet[52]. Le data trust est également une solution avancée par le gouvernement fédéral canadien pour favoriser « l’innovation responsable »[53].
B. La réception du data trust en droit civil
Si le data trust est le fruit d’un cadre conceptuel propre à la tradition de common law, l’engouement qu’il suscite s’est propagé au-delà pour trouver une assise particulière au Québec. Au risque d’affligeantes banalités, on ne saurait trop rappeler que l’environnement bijuridique du Canada exerce une forte influence sur l’évolution du droit civil québécois. C’est d’ailleurs dans le but de permettre aux Québécois de réaliser ce que les Canadiens des autres provinces pouvaient accomplir par trust que la civilisation du trust de common law[54] en droit québécois s’imposait avec ferveur comparativement à d’autres juridictions de droit civil[55]. Fort de ces éléments, la fiducie fait depuis longtemps partie du paysage juridique québécois[56], au point que le Québec jouit d’une position privilégiée pour conduire la transposition des réflexions relatives au data trust en droit civil.
Depuis la réforme du Code civil, le cadre juridique de la fiducie, qui s’est vu modernisé et consolidé[57], présente de réels avantages pour conduire la réception du data trust en droit civil.
D’une part, la notion de fiducie de données est dépourvue de toute incertitude conceptuelle en droit civil québécois. Elle ne revêt pas de sens métaphorique, comme en anglais. Plus encore, sa singularité conceptuelle fait, comme nous allons le voir, qu’elle ne saurait être associée à d’autres techniques juridiques en droit civil québécois.
D’autre part, comme nous l’avons vu précédemment, l’admission restrictive des purpose trusts a pour conséquence de réduire les hypothèses de déploiement des data trusts stricto sensu. La fiducie de données québécoise ne connaît pas de telles restrictions. Conformément à l’article 1260 du Code civil, la présence de bénéficiaires n’est pas un critère pour la constitution d’une fiducie. En revanche, l’affectation — soit la finalité pour laquelle la fiducie est constituée — l’est. Par conséquent, en établissant la fiducie au moyen d’un patrimoine d’affectation (notion sur laquelle nous reviendrons sous peu), la fiducie s’apparente à un purpose trust dont le champ des finalités admises ne se cantonne pas au domaine de l’intérêt général, mais embrasse aussi des finalités d’utilité privée[58]. Autrement dit, contrairement au trust, et a fortiori au data trust, « la forme paradigmatique de la fiducie québécoise est la fiducie établie pour une fin particulière »[59], ce qui lui confère une très grande polyvalence.
C’est bien entendu vis-à-vis de ce dernier aspect que la fiducie de données présente son plus fort intérêt. Car, si la finalité constitue la clé de voute du modèle fiduciaire québécois, elle est également un pilier des règlementations encadrant le traitement des renseignements personnels[60]. La finalité circonscrit les raisons et les modalités de leur collecte, de leur utilisation et de leur partage. De plus, c’est au regard de cette finalité que le consentement des personnes peut être véritablement exprimé. Faute de finalité explicite, le consentement est donné à titre général, ce qui le prive de tout intérêt et de légalité[61]. De son côté, l’ensemble du régime juridique de la fiducie s’agrège autour du respect de la finalité pour laquelle cette dernière fut constituée. Celle-ci détermine les contours des prérogatives du fiduciaire[62] et constitue le critère au travers duquel s’apprécie l’effectivité de la mission qui lui est confiée[63]. De même, l’extinction de la fiducie n’est pas un acte de volonté, mais est tributaire de l’atteinte de l’objectif ou de l’impossibilité de l’atteindre[64]. Dès lors, la fiducie jouit du potentiel de renforcer la mise en œuvre du respect de la finalité quant au traitement des données personnelles puisque le principe en constitue également la pierre angulaire de son régime. Pour ce faire, encore faut-il que la finalité de la fiducie soit suffisamment précise pour être compatible avec les exigences législatives en matière de la protection des renseignements personnels. Notamment, la fiducie ne saurait avoir une finalité à vocation générale telle que la protection de la vie privée des individus. Une telle stipulation serait contraire à l’article 14 de la Loi sur le secteur privé qui pose comme condition de validité du consentement à la collecte, à la communication ou à l’utilisation d’un renseignement le respect de finalités spécifiques[65]. Ainsi, la fiducie de données devra, au contraire, être précisément établie en fonction du type de données que la fiducie a vocation à regrouper et des cas d’usage de données visés. Pour ces raisons, il ne saurait y avoir de modèles types de fiducie des données, celles-ci devant être établies au cas par cas, ce qui peut certes présenter une difficulté en pratique.
Enfin, cette nature objective de la fiducie fonde l’intérêt comme l’originalité de la fiducie québécoise de données. Alors qu’elle présente un potentiel d’intérêts pour les juristes de common law en quête de nouvelles perspectives pour les data trusts, la fiducie québécoise de données se démarque également au sein de la tradition civiliste. Originalité du droit québécois[66], elle occupe une place unique dans la tradition civiliste[67] et, comparativement à d’autres formalisations civilistes de la fiducie, elle jouit d’un cadre de déploiement bien plus large[68]. En d’autres termes, son étude permettra tant de faire rayonner l’avant-gardisme et la pertinence du droit civil québécois en matière de gouvernance des données au sein des pays de droit civil que de construire un discours juridique dans lequel les juristes civilistes et de common law sauront trouver des réponses aux enjeux globaux de la gouvernance des données[69]. La fiducie de données emporte également l’étude des fiducies dans un contexte différent de celui de leur déploiement traditionnel (c’est-à-dire la gestion d’actifs fonciers et financiers) au point de renouveler la fonction du droit des biens comme vivier de la protection des droits des personnes[70].
Cela étant dit, débutons notre immersion en droit des fiducies pour en révéler tant ses particularités que son potentiel à répondre aux enjeux et dysfonctionnements du marché des données.
II. La nature juridique de la fiducie québécoise de données
La fiducie de données est une fiducie de droit commun dont la particularité relève de son contexte de déploiement : le monde des données. Ainsi, à l’instar de toute fiducie, la fiducie de données constitue un patrimoine d’affectation (1) auquel est associé un mode dérogatoire de détention des biens (2).
A. Un patrimoine d’affectation
Au moment de la révision du Code civil, la fiducie constitue une des préoccupations majeures des codificateurs qui souhaitent combler les lacunes de son régime sous le Code civil du Bas-Canada pour lui donner la « flexibilité enviée »[71] de son homologue de common law tout en préservant la tradition civiliste[72]. Dans cette délicate entreprise de conciliation, les codificateurs définissent la fiducie comme un patrimoine d’affectation[73], soit comme une universalité de droits et d’obligations affectée à un but précis.
La création d’une fiducie requiert un transfert de biens du patrimoine du constituant au patrimoine fiduciaire[74]. Ce transfert est primordial, car il initie la création du patrimoine d’affectation[75], laquelle se finalisera par l’acceptation du fiduciaire de la mission qui lui est demandée d’assumer[76]. Deux remarques doivent être faites. D’une part, peu importe la nature ou la valeur des biens qui composent son patrimoine, la fiducie de données existe indépendamment des fluctuations de son contenu[77]. D’autre part, la fiducie peut être créée par n’importe quel type de biens nonobstant la valeur du transfert initial. Ce transfert initial permet la création du patrimoine fiduciaire comme contenant. Son contenu peut ensuite varier dans le temps puisque le patrimoine fiduciaire peut être augmenté en cours d’existence[78]. Les droits relatifs aux données personnelles peuvent donc être transmis a posteriori. De plus, le patrimoine ne saurait exclusivement se composer des droits relatifs aux données personnelles afin de couvrir les frais de fonctionnement de la fiducie.
Il importe de bien noter que la fiducie procède de l’affectation[79] d’une universalité juridique à un but particulier[80], laquelle constitue un patrimoine autonome et distinct de tout sujet de droit[81]. En effet, ni le constituant ni le fiduciaire ou le bénéficiaire — autrement dit, les trois acteurs de la fiducie sur lesquels nous reviendrons dans la suite des développements — ne jouissent de droits réels sur les biens qui le composent[82]. Dès lors, la fiducie ne saurait être assimilée à une personne morale même si elle en partage quelques caractéristiques[83] et qu’elle jouit d’une existence réelle sur la scène juridique[84]. La fiducie n’est également pas un contrat[85], même si sa source peut être conventionnelle[86]. Elle est donc une institution originale au sein de l’ordonnancement juridique québécois. On lui a attribué à ce titre la mention de « nouveau sujet de droit » afin de clarifier sa place et tempérer sa marginalité[87].
Ainsi, quand l’on parle de fiducie de données, il faut bien comprendre que c’est de patrimoine d’affectation dont il est question, ce qui n’est pas sans poser de difficultés quand la fiducie a pour fin d’administrer des renseignements personnels.
Un renseignement est personnel s’il « concerne une personne physique et permet de l’identifier »[88]. Compte tenu de la « texture […] de la composante d’identité et de personnalité »[89], les renseignements personnels se rapprochent de la catégorie des droits de la personnalité[90] et tombent sous le joug des droits extrapatrimoniaux. Leur nature contrevient donc, en principe, à toute mise en fiducie.
Toutefois, cette affirmation tend à méconnaître une certaine réalité des données personnelles. En effet, les données personnelles sont l’objet d’échanges monétisés entre les entreprises. Compte tenu de leur fort potentiel économique, nombre d’entre elles ont bâti leurs modèles d’affaires sur leur exploitation si bien qu’un marché international des données personnelles s’est progressivement constitué, nonobstant les catégories juridiques et les droits et intérêts des personnes[91]. Outre cette exploitation, l’échange des données personnelles fait l’objet d’une vive demande du fait du potentiel d’innovation tel que mentionné plus haut. À cela s’ajoute également la question des données primaires. Bien que ne répondant pas de la définition du renseignement personnel, celles-ci peuvent a posteriori de leur traitement renfermer un lien étroit avec des personnes et être exploitées dans l’ombre du cadre légal veillant à la protection des renseignements personnels. Tel est l’exemple des « J’aime » sur Facebook et autres manifestations d’intérêt qui, faciles à collecter pour les entreprises et a priori anodins pour les individus, sont exploités sans le consentement des utilisateurs de services de réseaux sociaux[92]. Le croisement de ces données a permis à des chercheurs de révéler des attributs détaillés sur les personnes (genre, âge, ethnicité, appartenance religieuse…) au point de définir des profils pseudo-démographiques[93]. Fort de ces éléments, c’est bel et bien pour encadrer ces pratiques qui ignorent ou échappent au droit des renseignements personnels que le droit des fiducies est invoqué avec l’idée sous-jacente que la patrimonialisation des données personnelles constitue une voie alternative pour renforcer la protection des droits et intérêts des personnes.
Aussi vives que puissent être les réactions face à une telle proposition, il importe, tout d’abord, de préciser que la notion de patrimonialisation n’équivaut pas systématiquement à celle d’appropriation. Cette dernière constitue le point culminant de la patrimonialité dans la mesure où le droit de propriété confère la maitrise la plus étendue qu’un sujet de droit peut exercer sur un bien[94]. La patrimonialisation peut avoir une assiette plus réduite, en se cantonnant notamment aux droits d’usage d’un bien[95]. Cette option est pertinente en matière de fiducie de données dont la raison d’être est d’établir un cadre juridique au sein duquel l’utilisation des données est définie, encadrée, surveillée et sujette à la responsabilité d’un acteur précis. L’idée n’est donc pas de transformer l’entièreté de la donnée personnelle en droit patrimonial : c’est seulement l’exercice de certains droits sur les données (collecte, cession, partage, effacement…) qui revêtirait éventuellement une valeur pécuniaire et serait confié au fiduciaire. Ainsi, la patrimonialisation ne porte pas sur le droit, mais sur l’exercice du droit[96]. Elle ne se fait pas non plus au détriment du lien fondamental entre la donnée et la personne : au contraire, elle le renforce vis-à-vis du fonctionnement du marché.
À cela, il convient d’ajouter que la patrimonialisation partielle des droits extrapatrimoniaux n’est pas un phénomène nouveau ; les juristes s’interrogent sur la patrimonialisation du corps humain et des éléments de la personnalité (nom, image, vie privée) depuis de nombreuses années et en des termes somme toute assez proches. C’est ainsi que le droit des biens se trouve aujourd’hui invoqué en doctrine pour renforcer la protection de chacun sur les éléments du corps[97]. Plus encore, il a été démontré que la patrimonialisation d’un droit extrapatrimonial n’équivaut pas à sa renonciation et donc à son extinction. Elle est, au contraire, une manifestation de la vigueur de ce droit puisqu’elle est le résultat de son exercice[98]. Le droit extrapatrimonial peut donc être hybride sans qu’il y ait lieu d’en abdiquer sa nature et d’en dénoncer un changement radical de qualification juridique[99].
L’acceptation d’une patrimonialisation partielle des données personnelles dans l’unique dessein de renforcer leur protection est cruciale en ce qu’elle détermine le potentiel des fiducies de données à œuvrer pour la protection des renseignements personnels. Sans la condamner, il adviendrait que la fiducie de données se serait exclusivement cantonnée aux champs des données non personnelles ce qui en réduit beaucoup l’intérêt. À cela, ajoutons que le contenu de la fiducie de données détermine le potentiel de l’outil à répondre aux promesses dont elle est l’objet. La valeur d’une donnée personnelle est, rappelons-le, dérisoire lorsqu’elle est prise de façon isolée. Ainsi, comme en matière de data trust, la fiducie de données ne saurait bénéficier d’un pouvoir de négociation suffisant vis-à-vis des organisations qui exploitent les données si le contenu de son patrimoine jouit d’une valeur économique résiduelle. Plus largement, pour que les fiducies de données modifient en profondeur le fonctionnement du marché des données personnelles, un écosystème de fiducie de données au sein duquel les personnes auront la possibilité de choisir le modèle de gouvernance qui répond le mieux à leurs attentes et volontés est nécessaire[100].
B. Un mode dérogatoire de détention des droits sur les données
La fiducie constitue également une manière de détenir des biens dans un but précis[101]. Le Code civil dispose en effet qu’à défaut de jouir de droits réels sur le patrimoine fiduciaire[102], le fiduciaire jouit de pouvoirs juridiques (et plus précisément des pouvoirs propres[103]) à l’égard des biens. Le fiduciaire n’est donc pas un propriétaire, mais un administrateur du bien d’autrui dont la nature et l’étendue des prérogatives sont définies aux articles 1299 et suivant du Code civil. Ce statut, certes non limité au seul cas du fiduciaire puisqu’il s’applique à « [t]oute personne qui est chargée d’administrer un bien ou un patrimoine qui n’est pas le sien »[104], conforte l’intérêt pour la fiducie de données à un double niveau.
En premier lieu, cet intérêt découle de la nature même du pouvoir juridique lequel se définit comme la prérogative exercée dans un intérêt autre que celui de son titulaire[105]. Le pouvoir juridique est donc une prérogative fondamentalement désintéressée[106]. Par conséquent, contrairement au droit de propriété dont l’exercice est à la convenance de son titulaire[107], le pouvoir juridique ne jouit pas d’un caractère absolu : son étendue se voit nécessairement délimitée par la finalité de l’administration[108] et son exercice se trouve soumis au respect d’une série d’obligations juridiques qui en définissent les modalités. Notamment, en plus d’agir avec prudence et diligence, le fiduciaire doit faire preuve d’honnêteté et de loyauté[109]. Le fiduciaire est d’ailleurs tenu de rendre régulièrement compte de sa gestion[110]. En cas de manquement à ses obligations, celui-ci peut se voir contraint d’agir, s’expose à une destitution[111] et, en cas de faute, engage sa responsabilité personnelle[112].
Le pouvoir juridique, dont on ne saurait ignorer les similitudes avec les pouvoirs d’un fiduciaire en common law[113], octroie au fiduciaire « la maîtrise et l’administration exclusive du patrimoine fiduciaire »[114], lui permettant ainsi d’« exerce[r] tous les droits afférents au patrimoine et [de] prendre toute mesure propre à en assurer l’affectation »[115]. Il constitue donc un autre type de rapport entre une personne et un bien[116], parallèle à la propriété[117], et qui, dans le cas du fiduciaire, puise sa source dans l’affectation[118]. Il induit une administration des droits qui est encadrée, sujette à responsabilité, mais surtout au profit de personnes déterminées ou d’une finalité précise. Dès lors, le pouvoir juridique se révèle pertinent au regard des raisons qui poussent à la création de fiducies de données.
En second lieu, il faut également reconnaître que le pouvoir juridique présente de nombreux avantages dans le contexte des données personnelles. Les limites quant à l’efficacité des règles veillant à leur protection et à leur valorisation appellent à la recherche de nouvelles solutions, comme nous avons pu le voir précédemment. C’est ainsi que l’idée de réifier les données personnelles en objets de propriété est parfois avancée, de sorte que les personnes soient davantage en mesure d’en contrôler l’usage et l’accès, d’en disposer, mais aussi de jouir de la valeur économique qu’elles génèrent[119]. Cependant, aussi attrayante par sa finalité que soit cette thèse, celle-ci présente de nombreuses limites théoriques et pratiques. Sans en dresser un inventaire exhaustif, on se cantonnera ici à souligner l’incompatibilité de la nature non rivale des données avec l’exclusivité du droit de propriété[120] ainsi que la dénaturation de la donnée personnelle par son appropriation, tel que discuté plus haut. Ce second contre-argument est fondamental, car on ne saurait trop rappeler « [qu’] on ne défend pas qu’un avoir, qu’une valeur économique, en défendant ses données personnelles ; on protège la personne, dans sa liberté d’agir, […] dans la maitrise de ses composantes d’identité »[121]. À cela s’ajoute que l’effectivité de la propriété à restaurer la maitrise des personnes sur leurs données semble hypothétique. Non seulement la personne propriétaire de ses données serait un propriétaire de biens à faible valeur[122], mais agissant seule, celle-ci serait de facto dépourvue de toute force de négociations vis-à-vis des entreprises qui exploitent les données personnelles. Dès lors, la propriété ne saurait remplir les objectifs qui justifient l’appropriation des données personnelles[123]. Ces considérations attisent l’intérêt pour le pouvoir juridique puisqu’il présente l’avantage de ne pas transformer la donnée personnelle en un objet d’appropriation pour en restaurer la maitrise.
Il convient également de préciser que, bien que le législateur ait réduit la portée du pouvoir juridique au domaine des biens, certains avancent l’opportunité de son application au domaine de la protection des personnes. Notamment, il fut très justement démontré que rien ne justifie techniquement que le pouvoir juridique se cantonne à l’administration des biens[124]. Au contraire, son régime juridique a tout autant intérêt à être appliqué dans les cas où une personne exerce des pouvoirs qui se rapportent aux droits extrapatrimoniaux d’autrui[125] en ce que cela permettrait à la personne représentée de bénéficier d’un plus haut degré de protection. Comme le souligne la professeure Madeleine Cantin Cumyn,
le régime du contrat de mandat […] est construit sur l’hypothèse de pouvoirs de représentation conférés volontairement par une personne ayant la capacité juridique. Notamment, c’est le mandant qui veille lui-même à la bonne exécution du mandat qu’il a donné. Le contrat de mandat ne comporte donc pas de mécanisme de contrôle de l’usage des pouvoirs par le mandataire autre que la faculté reconnue au mandant de révoquer le mandat s’il n’est pas satisfait de son exécution et la reddition de compte à la fin du mandat[126].
De ce point de vue, le régime de l’administration du bien d’autrui dépasse les lacunes du régime contractuel du mandat[127]. Ceci renforce l’intérêt pour la fiducie de données personnelles puisque l’exercice des droits afférents à ces données par le fiduciaire est soumis à un plus fort degré de contrôle que si ces derniers étaient confiés à un mandataire[128]. Dès lors, d’aucuns pourraient prétendre que c’est véritablement le régime de l’administration du bien d’autrui qui présente un fort intérêt en matière de données personnelles et, plus largement, en matière de gouvernance des données. La nature comme l’intensité des obligations fiduciaires présentent des avantages que les solutions contractuelles ne peuvent offrir ce qui explique qu’elles soient délaissées dès lors qu’il est question d’administrer les droits d’autrui. Toutefois, il faut relever que la fiducie de données présente un attrait qui dépasse la seule application du régime de l’administration du bien d’autrui. En effet, la fiducie constitue un cadre rigoureusement délimité, finalisé et désintéressé de détention des biens dont le fiduciaire ne peut s’abstraire sous peine d’engager sa responsabilité personnelle. C’est donc par la conjonction de sa nature (patrimoine d’affectation) avec la soumission du fiduciaire au régime de l’administration du bien d’autrui que la fiducie se démarque et constitue une avenue intéressante en matière de protection des données personnelles.
Ainsi, bien que la compatibilité de l’outil avec l’ensemble du cadre normatif relatif à la protection des renseignements personnels doive encore être davantage explorée pour en préciser le régime juridique et confirmer ses modalités de déploiement, le droit des fiducies offre en l’état des solutions prometteuses aux enjeux qui animent l’économie des données. Aussi, convient-il de poursuivre ces réflexions préliminaires sur la potentialité de la fiducie de données en droit civil québécois, notamment pour en esquisser quelques traits. Tel est l’objet de la dernière section.
III. Fragments d’ébauche de la fiducie québécoise de données
Au cours de cette dernière partie, il n’y a pas lieu d’examiner l’intégralité du régime des fiducies des données. Celui-ci devra faire l’objet d’une étude à part entière une fois que la réforme des lois relatives à la protection des renseignements personnels aura été achevée. Aussi, dans notre entreprise qui est celle d’interroger l’intérêt de recourir au droit des fiducies pour répondre aux enjeux de l’économie des données, nous nous en tiendrons à présenter quelle pourrait être concrètement la forme de la fiducie québécoise de données et les problématiques afférentes (1) ainsi qu’à préciser et discuter du statut du fiduciaire de données à la lumière du droit positif (2).
A. La forme de la fiducie de données
Le Code civil du Québec retient trois espèces de fiducies en fonction de la nature de l’affectation[129] : les fiducies personnelles[130], les fiducies d’utilité privée (FUP)[131] et les fiducies d’utilité sociale (FUS)[132]. Les fiducies personnelles ne semblent pas un cas de figure approprié en matière de gouvernance des données. Visant à procurer un avantage direct à une personne déterminée ou déterminable, la fiducie personnelle est un mode de transmission à titre gratuit du patrimoine dans un contexte essentiellement familial ou amical[133]. Compte tenu de sa finalité, la fiducie de données semble davantage avoir vocation à être constituée sous la forme d’une FUP ou d’une FUS puisque les biens sont affectés dans une fin précise sans que des bénéficiaires ne soient prévus dans l’acte constitutif. En effet, les bénéficiaires ne sont pas des acteurs indispensables pour la fiducie. Si dans le cas de la fiducie personnelle ils personnifient l’affectation, la fiducie peut être constituée de façon objective, c’est-à-dire sans aucun bénéficiaire[134]. Il importe de préciser ici que la notion de bénéficiaire est entendue dans le sens technique des articles 1284 et 1280 du Code civil : est bénéficiaire celui qui jouit d’un droit de créance vis-à-vis du patrimoine fiduciaire et répond des conditions définies dans l’acte constitutif. Autrement dit, même si la finalité de la FUS ou de la FUP peut avoir pour conséquence d’avantager une communauté de personnes du fait de la nature collective de sa finalité, ces dernières ne répondent pas nécessairement de la définition de bénéficiaire au sens du Code civil.
S’agissant de la FUS, celle-ci a pour fin de favoriser un but d’intérêt général tel que culturel, éducatif ou encore scientifique et n’a pas pour objet essentiel la réalisation de profits[135]. Ces caractéristiques font d’ailleurs que la FUS est un instrument de plus en plus sollicité pour la conservation et la gestion de biens communs[136], une qualification familière aux données[137]. Plus encore, elle est certainement une forme pertinente pour la gouvernance de données de santé ou de données urbaines, ces données présentant des enjeux particuliers du point de vue de la collectivité. Elle revêt également un intérêt pour la collecte de données à des fins de recherche scientifique.
S’agissant cette fois de la FUP, celle-ci constitue une catégorie résiduelle de fiducies. Tombent dans cette catégorie celles qui ne répondent pas de finalités d’intérêt général[138]. La FUP fait dès lors preuve de souplesse puisqu’elle permet à la volonté de conférer un avantage indirect à des personnes déterminées ce qui la distingue de la fiducie personnelle. Quand elle est constituée à titre gratuit, la FUP permet de définir l’utilisation de certains biens, mais dans un but qui ne répond pas légalement des champs de l’utilité sociale. Une entreprise pourrait ainsi recourir à la FUP afin d’assurer la transparence sur l’usage des données qu’elle collecte, et ce pour des finalités privées. Quand elle est constituée à titre onéreux — soit en vue de réaliser des profits ou de procurer des avantages monétaires à des personnes déterminées par l’acte constitutif — , la FUP forme le véhicule juridique adapté pour une valorisation encadrée et surveillée des données[139]. Elle est donc théoriquement un levier à explorer pour que les personnes obtiennent une rétribution financière de l’exploitation par les organisations de leurs données personnelles ; ces dernières étant dès lors érigées au rang de bénéficiaires indirects de la fiducie.
En empruntant la forme d’une FUS ou d’une FUP, la fiducie de données pourra être perpétuelle, c’est-à-dire sans limite de temps[140]. Ceci ne veut pas dire que les données doivent être conservées pour une durée indéterminée. La nature objective de l’affectation commande la durabilité de la fiducie comme contenant, et ce nonobstant le contenu de son patrimoine.
Toutefois, plusieurs raisons poussent à affirmer qu’une fiducie de données perpétuelle n’est pas souhaitable. D’une part, le droit des fiducies ne permet que de façon très restrictive une modification de l’affectation en cours d’existence de la fiducie[141]. La perpétuité induit dès lors le risque d’avoir des fiducies de données aux finalités périmées. D’autre part, la perpétuité des fiducies présente également, dans le cas précis des fiducies de données, un risque de non-conformité avec les dispositions relatives à la protection des renseignements personnels. Notamment, la loi dispose que les renseignements personnels ne peuvent être utilisés qu’aux fins pour lesquelles ils ont été recueillis, à moins du consentement de la personne concernée[142]. Ainsi, une fiducie perpétuelle ne saurait être un moyen de contourner la finalité protectrice de ces dispositions en permettant une utilisation sans limites de temps des renseignements personnels[143].
Par ailleurs, en marge du type de fiducie dans laquelle la fiducie de données est susceptible de s’inscrire, se pose la question de qui est à l’origine de la fiducie. La personne du constituant influe beaucoup sur l’architecture et l’économie de l’opération. C’est ainsi que la doctrine oppose deux types de fiducie de données : celle résultant d’une approche descendante et celle résultant d’une approche ascendante[144].
Au titre de l’approche descendante, ce sont les organismes qui collectent et exploitent les données qui seraient à l’origine de la fiducie de données. Pour certains auteurs, cette approche descendante des fiducies des données restreint le potentiel social de l’outil[145]. Une telle approche ne permettrait pas de corriger suffisamment les asymétries de pouvoirs sur le marché de données lesquelles jouent à l’encontre des individus. Selon ces mêmes auteurs, seule une approche ascendante des fiducies de données selon laquelle les individus sont à la fois bénéficiaires et constituants de la fiducie serait plus à même de permettre une redistribution plus équitable de la valeur générée et de renforcer la protection des droits des personnes puisque ces dernières deviendraient des acteurs de la gouvernance des données[146]. Une telle approche est conceptuellement admissible : les individus pourraient décider de mettre en fiducie leurs données, la patrimonialisation n’étant que l’exercice de leurs droits. En revanche, c’est en pratique qu’on peut douter de cette solution. La force de la fiducie réside dans sa capacité à agréger les droits sur les données. Plus le patrimoine fiduciaire est volumineux, plus la fiducie de données est en mesure de veiller au respect des intérêts et des droits des personnes dans les processus d’exploitation des données personnelles. En effet, comme nous l’avons mentionné, la valorisation des données procède de leur agrégation. Dès lors, à moins de répondre d’une initiative collective suffisante, les fiducies de données créées par des individus risquent d’être sans portée en pratique. À cela, il convient de préciser que le plaidoyer pour une approche ascendante des fiducies de données a été fait dans un contexte de common law où les purpose trusts ne sont admis qu’à titre exceptionnel. Au Québec, la forme paradigmatique de la fiducie (c’est-à-dire établie dans un but et sans bénéficiaires directs) permettrait de mettre en œuvre les buts visés par l’approche ascendante.
Dans la suite de ces considérations, il importe à présent de se concentrer sur le fiduciaire puisque c’est par son entremise que s’opérationnalise le cadre de gouvernance mis en œuvre par la fiducie.
B. Le fiduciaire de données
Quand bien même la fiducie de données constitue un patrimoine autonome de tout sujet de droit, la fiducie est tributaire de son fiduciaire. D’ailleurs, celle-ci n’existe pas tant que le fiduciaire n’a pas accepté d’exercer la mission qui lui est confiée[147]. Surtout, la fiducie requiert la présence du fiduciaire qui, rappelons-le, « exerce tous les droits afférents au patrimoine et peut prendre toute mesure propre à en assurer l’affectation »[148]. C’est donc sur ses épaules que repose la mise en œuvre de l’affectation du patrimoine fiduciaire.
En matière de fiducie de données, sa mission est d’autant plus complexe que c’est par son entremise que s’opère le consentement des personnes quant à l’utilisation de leurs données. En effet, la fiducie de données induit une délégation du consentement des personnes qui acceptent de mettre leurs données en fiducie. Autrement dit, les personnes donnent leur consentement au moment de la mise en fiducie des données et conformément aux finalités de traitement qui ont été prévues, mentionnées et approuvées par les personnes. Elles consentent donc à un cadre d’exercice de leurs droits dont elles connaissent les contours avec un niveau suffisant de détail et dont le fiduciaire a la charge de mettre en œuvre conformément à leurs volontés[149]. À la lumière des conditions posées dans ce cadre d’exercice des droits (lequel n’est autre que l’affectation définissant la fiducie, le fiduciaire consent aux usages subséquents des données. Là encore, il importera de veiller à ce que ce cadre d’exercice n’induise pas une utilisation perpétuelle des données personnelles.
En d’autres termes, les personnes « octroient » à la fiducie[150] un métaconsentement[151] et s’affranchissent dès lors du besoin de renouveler leur consentement pour chaque nouvel usage sous réserve que cette utilisation demeure conforme aux finalités admises[152]. Le consentement n’est pas écarté[153], mais rendu dynamique. En effet, les personnes retrouvent une forme de contrôle de l’usage qui est fait de leurs données par le biais du fiduciaire qui réalise le cadre d’usage de leurs données auquel ils ont consenti en mettant leurs données en fiducie. Ce contrôle est bien réel puisque les données sont centralisées au sein de la fiducie et que les personnes peuvent s’adresser au fiduciaire pour obtenir des précisions sur les usages concédés[154] ou s’y opposer[155]. Certes, il faut reconnaître que la maitrise sur les données n’est qu’indirecte puisque le consentement des personnes est décliné par l’entremise du fiduciaire. Toutefois, il est potentiellement plus effectif qu’en l’état du droit positif dans la mesure où il est de la mission exclusive du fiduciaire de déterminer une utilisation des données conforme aux directives contenues dans l’acte constitutif[156].
En marge des réflexions sur le contenu de la mission du fiduciaire de données, la question du profil du fiduciaire semble tout aussi fondamentale.
En effet, le recours à la fiducie de données se justifie par la recherche d’une gestion encadrée, indépendante et surveillée. L’indépendance du fiduciaire est cruciale en ce qu’elle répond au besoin de confiance des personnes quant à l’utilisation qu’il est fait de leurs données. Le droit positif veille déjà scrupuleusement à l’indépendance du fiduciaire en prévoyant des mesures spécifiques relatives au conflit d’intérêts. Au titre de ces dispositions, le fiduciaire ne saurait jamais agir dans son propre intérêt[157]. S’il est lui-même un bénéficiaire de la fiducie, il ne peut agir seul[158] ni faire valoir son intérêt au détriment de celui de ses cobénéficiaires[159]. De même, le fiduciaire ne saurait utiliser les biens qu’il administre à son profit à moins que le bénéficiaire, la loi ou l’acte constitutif ne l’y autorise[160]. Cette disposition impose de faire preuve de vigilance au moment de la rédaction de l’acte constitutif en ce qu’elle pourrait mettre en échec la finalité initiale de la fiducie de données. Enfin, rien n’empêche que le fiduciaire soit le constituant. Dans ce cas, il ne pourra agir seul conformément à l’article 1275 du Code civil du Québec[161].
Lorsqu’une fiducie de données est constituée dans le but d’aligner le partage des données avec la recherche du bien commun, il importe que l’administration fiduciaire soit à l’image de cette finalité. L’échec du projet de Sidewalk Labs mentionné plus haut est un exemple manifeste de cette exigence, notamment compte tenu du manque d’implication citoyenne dans le modèle fiduciaire offert[162].
Fort de ces éléments, une réflexion de fond doit être opérée sur l’ensemble des qualités et compétences que doivent présenter le fiduciaire de données compte tenu des enjeux éthiques, juridiques et technologiques que sous-tend l’administration des droits relatifs aux données personnelles. Notamment, peu importe l’étendue des pouvoirs qui lui incombe, la conservation du patrimoine fiduciaire est au cœur de sa mission, risquant autrement de mettre en péril l’affectation[163]. Une telle obligation a une résonance particulière en matière de gouvernance des données pour laquelle la cybersécurité et la protection de l’intégrité des systèmes d’information revêtent une importance capitale, comme attestent les discussions autour du projet de loi 64[164]. Au regard de ces enjeux, il semble plus approprié que le fiduciaire soit une personne morale, notamment pour des raisons d’assurance[165], mais au risque de coûts d’administration élevés. À défaut, il serait recommandé d’adopter une administration collective de la fiducie[166] au sein de laquelle les fiduciaires jouiraient de compétences complémentaires et à l’image des finalités de la fiducie de données. La composition de l’administration fiduciaire se doit d’être conforme à la nature particulière de la fiducie de données et ainsi regrouper tant des scientifiques et des architectes des données que des juristes experts en protection des renseignements personnels et en droit des fiducies[167].
Finalement, il importe de conclure ces réflexions autour du fiduciaire de données en s’attardant quelque peu aux modalités de surveillance dans la mesure où les FUP et les FUS présentent communément le risque d’une surveillance parcellaire voire insuffisante du fiduciaire. Ceci constitue une faiblesse majeure pour les fiducies des données comme nous allons le voir.
Selon le Code civil du Québec, il appartient au constituant, aux bénéficiaires ou à toute autre personne ayant un intérêt à agir de veiller à ce que le fiduciaire exerce ses pouvoirs conformément à l’acte constitutif et qu’il ne contrevienne pas à ses obligations dans l’exercice de ses fonctions. La fiducie de données perd l’opportunité d’un contrôle par les bénéficiaires si elle se trouve constituée sous la forme d’une FUP ou d’une FUS. Il est vrai qu’en cette hypothèse, la loi compense l’absence de bénéficiaires par un contrôle de personnes ou d’organismes, lesquels doivent être désignés par la loi[168]. Notamment, dans le cas d’une FUP, une telle responsabilité revient au curateur public, ce qui semble peu adapté en matière de fiducie des données, l’administration des données semblant de prime abord trop éloignée du mandat de cet acteur[169]. En revanche, aucun organisme n’a à ce jour été désigné ou constitué dans le contexte des FUS[170]. Si l’on peut imaginer un tel rattachement auprès de la Commission d’accès à l’information du Québec[171] ou encore la Commission des droits de la personne et de la jeunesse[172], ces hypothèses requièrent que le législateur modifie le mandat de ces institutions[173]. Surtout, elles se révèlent difficilement envisageables actuellement compte tenu des limites institutionnelles et financières de ces deux institutions. Il conviendrait de repenser le mandat de ces commissions et de leur donner les moyens d’assurer de telles fonctions. Mais là encore, cela suppose que les fiducies de données constituent un écosystème de taille suffisante pour imposer de tels changements.
Reste dès lors l’option du contrôle par le constituant ou par tout intéressé jouissant d’un intérêt au respect de l’affectation des biens[174]. Ainsi, sans répondre de la qualité de bénéficiaire selon le droit des fiducies[175], les personnes dont les droits sur leurs données personnelles sont en fiducie jouissent sans conteste d’un intérêt qui leur donne un « droit de regard »[176] sur la gouvernance des données. Titulaires d’un droit extrapatrimonial sur la donnée, ces derniers disposent d’un droit de recours individuel lorsque l’administration des données leur porte directement préjudice[177]. Toutefois, la portée d’une telle action vis-à-vis de l’administration fiduciaire risque d’être limitée. Une action collective serait davantage bienvenue, mais encore faut-il que les personnes concernées aient connaissance des modalités de l’administration fiduciaire, les comprennent et identifient une atteinte à leurs droits. Ce droit de regard se trouve à ce stade hypothétique, d’où la nécessité qu’un organisme désigné par la loi ait la charge de surveiller les fiduciaires.
Par conséquent, en l’absence de bénéficiaire et d’organisme désigné par la loi et du fait de la faible probabilité que les personnes concernées demandent au fiduciaire de rendre compte de sa mission, la surveillance et le contrôle de l’administration échoient exclusivement au constituant. Il importe ici de distinguer deux séries d’hypothèses pour apprécier l’effectivité du contrôle du constituant. En premier lieu, considérons la situation où le constituant de la fiducie est également le fiduciaire. En l’espèce, cela renvoie au cas où l’organisme qui collecte les données se nomme fiduciaire de la fiducie qu’il a lui-même constituée. Selon l’article 1275 du Code civil, le constituant peut être également fiduciaire, mais il ne peut l’être seul. Il doit agir conjointement avec un tiers fiduciaire qui ne peut être un bénéficiaire non plus[178]. Cette disposition est d’ordre public[179] et a été introduite pour prévenir la survenance de conflits d’intérêts dans l’administration fiduciaire[180]. Ici, la collégialité du corps fiduciaire imposée par le Code civil garantit une autosurveillance des fiduciaires entre eux et une gestion indépendante du patrimoine fiduciaire. La surveillance du fiduciaire de données devrait donc être opérante. En second lieu, considérons cette fois la situation où le constituant et le fiduciaire sont des acteurs distincts. Comparativement à l’hypothèse antérieure, la surveillance du fiduciaire présente le risque d’atteindre ses limites. En effet, que se passe-t-il quand le constituant n’a pas d’intérêt à dénoncer les carences de l’administration du fiduciaire de données ? Faute de bénéficiaires, de tiers et d’organisme de surveillance, le fiduciaire se trouve dans une position où il échappe à tout contrôle. Il semble dès lors nécessaire d’affiner les modalités de contrôle du fiduciaire afin d’éviter que le fiduciaire échappe de facto à tout type de contrôle. Plus encore, une telle clarification permettrait d’assurer que la fiducie de données établisse, en toutes circonstances et quelle que soit son ossature, le lien de confiance escompté entre ceux qui collectent et exploitent les données et ceux qui en sont les sujets[181].
Conclusion
L’émergence de nouveaux besoins relatifs au fonctionnement de l’économie des données (partage, confiance) a eu pour conséquence de donner naissance au concept de fiducie de données. Inspiré de la common law, sa réception en droit civil québécois est amorcée face à l’intérêt grandissant que cet outil suscite en pratique.
Cet attrait se trouve juridiquement fondé tant par sa nature comme patrimoine d’affectation que par l’assujettissement du fiduciaire au régime de l’administration du bien d’autrui. La conjonction de ces deux éléments fait que la fiducie permet la mise en place d’un cadre d’administration finalisé, surveillé et indépendant des données ce qui, dans le contexte des données personnelles, présente un fort intérêt.
Toutefois, la compatibilité de cet outil de droit privé avec le cadre règlementaire des données personnelles, dont certaines dispositions jouissent d’une valeur quasi constitutionnelle, doit encore faire l’objet d’une systématisation pour garantir la pleine compatibilité de l’outil avec le contenu et la finalité de ces dispositions. Avant d’arriver à un tel niveau de conceptualisation, son étude à travers principalement le droit des fiducies a cependant permis de déceler plusieurs problématiques.
En premier lieu, il a été relevé que sa nature patrimoniale entre en conflit avec la nature potentiellement extrapatrimoniale de son objet (les données personnelles). Ainsi, l’admission de la fiducie des données ne peut se faire sans la concession d’une patrimonialisation partielle des droits sur les données personnelles en vue d’en confier l’exercice au fiduciaire. Aussi discutable que soit cette prémisse, nul ne saurait perdre de vue sa finalité (répondre au besoin de renforcer la protection des personnes quant à leurs données) et peut-être même sa nécessité (aligner le droit civil à la réalité et aux enjeux du marché des données). En second lieu, il a été noté que le droit des fiducies n’est pas sans faille, celui-ci devant, entre autres, être complété pour assurer en tout temps, quel que soit le type de fiducie retenu, la surveillance des fiduciaires. Ce point est loin d’être négligeable dans la mesure où c’est en la figure du fiduciaire qu’on peut trouver des solutions à de nombreux enjeux relatifs aux données personnelles.
Au-delà des enjeux juridiques, de nombreuses questions demeurent en suspens tant qu’un nombre suffisant de fiducies de données n’aura pas encore vu le jour. Notamment, comment inciter les organisations publiques et privées à constituer des fiducies de données et ainsi offrir aux personnes concernées l’option de choisir l’institution qui répondra au mieux à leurs intérêts ? Parallèlement, la question du modèle économique des fiducies de données doit encore être résolue.
Dans l’attente de pouvoir fournir des réponses à ces questions, la fiducie de données porte l’espoir d’une solution accessible et garante d’un usage des données socialement acceptable et digne de confiance, car elle est motivée par le respect des droits et intérêts des personnes.
[1] Les données constituent la matière première de l’intelligence artificielle. Elles déterminent son potentiel tout comme son efficacité. Leur circulation est cruciale puisque de leur accumulation naît de nouveaux biens et services. Voir Céline Castets-Renard, « Des biens aux services numériques : de l’ère de la propriété à l’âge de l’accès » dans Emmanuel Netter et Aurore Chaigneau, dir, Les biens numériques, Collection Colloques, Amiens (FR), CEPRISCA, 2015, 203 à la p 210.
[2] Voir Pierre-Luc Déziel, « Les limites du droit à la vie privée à l’ère de l’intelligence artificielle : groupes algorithmiques, contrôle individuel et cycle de traitement de l’information » (2018) 30:3 CPI 829 [Déziel, « Les limites du droit à la vie privée »].
[3] À l’occasion d’un colloque relatif aux 25 ans de la Loi sur le secteur privé (21 novembre 2019), la Commission d’accès à l’information du Québec soulignait que « [d]es technologies permettent un traitement massif d’informations et une surveillance quasi omniprésente de notre quotidien. Des algorithmes façonnent des profils individuels et des décisions qui nous concernent. Le tout, souvent à l’insu des individus concernés » (« 2019 : les 25 ans de la Loi sur le secteur privé » (2019), en ligne : Commission d’accès à l’information du Québec <www.cai.gouv.qc.ca> [perma.cc/S8MY-72Q9]).
[4] Voir Teresa Scassa, « Digital Goverance and Sidewalk Toronto: Some thoughts on the latest proposal » (21 octobre 2018), en ligne (blogue) : Teresa Scassa <www.
teresascassa.ca> [perma.cc/7GSJ-854F]; Teressa Scassa, « Designing Data Governance for Data Sharing: Lessons from Sildewalk Toronto » (2020) Tech & Reg 44 [Scassa, « Designing Data Governance »].
[5] Voir Anne-Sophie Hulin et Antoine Cossé, « Pour une fiducie de données à la RAMQ », Le Devoir (1er septembre 2020), en ligne : <www.ledevoir.com> [perma.cc/3E5E-G6ZW].
[6] Selon une enquête récente de Statistique Canada, « [l]a plupart des utilisateurs d’Internet ont pris des mesures pour protéger leurs renseignements personnels en 2018 : 61 % ont supprimé l’historique de leur navigateur, 60 % ont bloqué des courriels (courrier indésirable et pourriel) et 42 % ont modifié les paramètres de confidentialité des comptes ou des applications pour limiter l’accès à leur profil ou la quantité de renseignements personnels qui apparaissent sur leur profil » (Statistique Canada, « Enquête canadienne sur l’utilisation de l’Internet », Le quotidien (29 octobre 2019), en ligne (pdf) : <statcan.gc.ca> [perma.cc/PQ24-VGZ6]).
[7] RLRQ c C-12, art 5 [Charte québécoise].
[8] Pour les fins de cet article, les notions de données personnelles et de renseignements seront entendues de façon synonymique. Bien que des nuances conceptuelles puissent être relevées entre ces deux notions, nous préférons conserver la notion de données personnelles pour demeurer cohérent avec l’objet d’étude, la fiducie de données.
[9] Voir Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 [Loi sur le secteur privé]; Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1 [Loi sur l’accès aux documents des organismes publics]. Le domaine de la santé est également l’objet de deux lois particulières : Loi concernant le partage de certains renseignements de santé, RLRQ c P-9.0001; Loi sur les services de santé et les services sociaux, RLRQ c S-4.2, arts 17–28. Pour un tour d’horizon de l’ensemble des lois relatives à la protection des renseignements personnels au niveau fédéral et provincial, voir Karim Benyekhlef et Pierre-Luc Déziel, Le droit à la vie privée en droit québécois et canadien, Montréal, Yvon Blais, 2018 aux pp 263–64.
[10] Voir Benyekhlef et Déziel, supra note 9 aux pp 303–50.
[11] Voir Loi sur le secteur privé, supra note 9, art 14. Plusieurs exceptions sont toutefois permises afin que les données soient utilisées sans le consentement de la personne aux articles 18 et suivants de ladite loi. Voir aussi en ce sens Loi sur l’accès aux documents des organismes publics, supra note 9, arts 59, 65.1 et s; Déziel, « Les limites du droit à la vie privée », supra note 2 aux pp 841–42.
[12] Voir Déziel, « Les limites du droit à la vie privée », supra note 2 aux pp 841–42. À l’occasion d’un colloque relatif aux 25 ans de la Loi sur le secteur privé (21 novembre 2019), la Commission d’accès à l’information du Québec soulignait que « [d]es technologies permettent un traitement massif d’informations et une surveillance quasi omniprésente de notre quotidien. Des algorithmes façonnent des profils individuels et des décisions qui nous concernent. Le tout, souvent à l’insu des individus concernés » (Commission d’accès à l’information du Québec, « 2019 : les 25 ans de la Loi sur le secteur privé » (21 novembre 2019), en ligne : Commission d’accès à l’information du Québec <cai.gouv.qc.ca> [perma.cc/QW2S-ESNL]).
[13] Voir Benyekhlef et Déziel, supra note 9 à la p 303. Voir aussi Teresa Scassa, « How do new data protection enforcement provisions in Canada’s Bill C-11 measure up? » (4 janvier 2021), en ligne (blogue): Teresa Scassa <teresascassa.ca> [perma.cc/YDN5-XRFE].
[14] Voir Déziel, « Les limites du droit à la vie privée », supra note 2 à la p 842. Concernant les données personnelles, la professeure Castets-Renard souligne la contribution non consciente des internautes à la création de valeur dans l’économie du numérique (voir Castets-Renard, supra note 1 aux pp 211–12).
[15] Dans une étude, il fut estimé qu’il ne faudrait pas moins de 244 heures à un utilisateur jouissant d’un diplôme d’études supérieures pour lire l’intégralité de ces politiques. Cette étude s’attarde également sur la complexité des contenus de ces politiques (voir Element AI et Nesta, « Fiducie de Données : Un nouvel outil pour la gouvernance de données » à la p 9, en ligne (pdf) : Element AI <hello.elementai.com> [perma.cc/9ZF9-5K4K]). À cela, il faut ajouter que « l’information est souvent incomplète et peu précise sur les finalités envisagées ou sur les destinataires de données » (Castets-Renard, supra note 1 à la p 212).
[16] Voir Element AI et Nesta, supra note 15 à la p 9.
[17] Voir Loi sur le secteur privé, supra note 9, art 14.
[18] Voir Castets-Renard, supra note 1 à la p 209. Voir aussi Pierre Trudel, « La valeur de nos données personnelles », Le Devoir (13 mars 2018), en ligne : <ledevoir.com> [perma.cc/W9D3-P5NS].
[19] Voir Déziel, « Les limites du droit à la vie privée », supra note 2 aux pp 832–33, 838–41.
[20] PL 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 1re sess, 42e lég, Québec, 2020 (première lecture le 12 juin 2020) [Projet de loi 64]. Les travaux ont débuté en février 2021 et se sont clôturés en aout 2021, la Commission des institutions de l’Assemblée nationale du Québec ayant terminé l’étude détaillée du projet de la loi (note de l’éditeur : le Projet de loi 64 a été sanctionné le 21 septembre 2021). Le cadre fédéral est également en cours de réforme: voir PL C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, 2e sess, 43e lég, 2020, (première lecture le 17 novembre 2020) [Projet de loi C-11].
[21] Sur comment des réformes législatives tant attendues peuvent se solder en déceptions, voir par ex Antoine Aylwin et al, « Le bout du tunnel est de moins en moins visible », La Presse (1er avril 2021), en ligne : <www.lapresse.ca> [perma.cc/5NV6-ESWP].
[22] La doctrine est d’ailleurs embryonnaire. Voir par ex Anne-Sophie Hulin, « Introduction à la fiducie québécoise de données » (26 novembre 2020), en ligne (blogue) : Laboratoire de cyberjustice <www.cyberjustice.ca> [perma.cc/6JZD-LPNS]; Fabien Lechevalier, Les fiducies de données personnelles de santé : Étude illustrée des enjeux et bénéfices d’une gestion collective de la propriété des données personnelles de santé, mémoire de maitrise en droit, Université Laval, Université Paris-Saclay, 2020 [non publiée].
[23] Voir arts 1260 et s CcQ.
[24] La notion de valorisation est entendue largement, et non strictement dans un sens pécuniaire. La valorisation des données peut ainsi être de nature sociale et non seulement économique.
[25] Voir Alexandra Popovici, « Droits de regard : la fiducie dans le Code civil du Québec » dans Brigitte Lefebvre et Christine Morin, dir, Mélanges en l’honneur du professeur Jacques Beaulne, Montréal, Wilson & Lafleur, 2018, 226 à la p 226 [Popovici, « Droits de regard »].
[26] La professeure Popovici emploie l’expression d’« alien institution of the trust in a civilian framework » (Alexandra Popovici, « Trusting Patrimonies » dans Remus Valsan, dir, Trusts and Patrimonies, Édimbourg, Edinburgh University Press, 2015, 199 à la p 199). Voir aussi Alexandra Popovici, Êtres et avoirs : les droits sans sujet en droit privé actuel, collection Minerve, Montréal, Yvon Blais, 2019 aux pp 62–67 [Popovici, Êtres et Avoirs].
[27] Depuis l’automne 2020, plusieurs évènements se succédant dans un court intervalle tâchaient de présenter la fiducie de données et de discuter si elle constitue « le bon véhicule juridique pour encadrer le développement de l’intelligence artificielle » (voir Anne Sophie Hulin et Olivier Charbonneau, « Métadonnées culturelles et fiducie », Conférence midi – projet littérature québécoise mobile, UQÀM, 21 avril 2021; Philippe Després, Pierre-Luc Déziel et Alexandra Popovici, « La gouvernance des données de santé », Colloque TechSantéQC / Rendez-vous en IA de Québec, Université de Laval, 13 avril 2021). Voir aussi Pierre Trudel et Anne-Sophie Hulin, « La fiducie de données : le bon véhicule juridique pour encadrer le développement de l’intelligence artificielle? », Web-Conférence présentée par le Laboratoire de cyberjustice, 24 novembre 2020, en ligne (vidéo) : Laboratoire de cyberjustice <www.cyberjustice.ca> [perma.cc/9S2D-LYBH].
[28] Le TIESS (Territoires innovants en économie sociale et solidaire), un organisme québécois majeur en matière de coconstruction des savoirs, conduit actuellement un vaste projet sur les fiducies des données en réponse à la forte demande sur le terrain (voir « Fiducie d’utilité sociale de données : pour une gouvernance des données pour le bien commun » (5 août 2021), en ligne : Territoires innovants en économie sociale et solidaire (TIESS) <tiess.ca> [perma.cc/946H-BLF7]). De même, l’organisation Culture pour tous planche actuellement sur un projet de mutualisation des données culturelles regroupant les acteurs québécois de la culture dont le support juridique sera une fiducie de données (voir Christian Liboiron, « Projet de mutualisation et de fiducie de données culturelles » (10 juin 2020), en ligne : Passerelles <www.passerelles.quebec> [perma.cc/
U5JV-DYVB]).
[29] Le professeur Smith emploie les expressions de « characteristic features » et « fundamental legal institution » pour décrire la place du trust au sein de la common law (Lionel D Smith, « Trust and Patrimony » (2008) 38:2 RGD 379 aux para 1, 24 [Smith, « Trust and Patrimony »]).
[30] Cette relation émerge quand une personne est tenue d’agir non dans son intérêt personnel, mais dans l’intérêt d’autrui ou, de façon objective, c’est-à-dire dans un but précis (voir Paul B Miller et Andrew S Gold, « Fiduciary Governance » (2015) 57:2 Wm & Mary L Rev 513).
[31] Notion fuyante, la gouvernance de données désigne l’ensemble des pratiques au sein d’une organisation dont le but est d’assurer la disponibilité, l’exploitabilité, l’intégrité et la sécurité des données utilisées par une organisation. Si elle est un outil de valorisation des données, elle permet plus largement de veiller rigoureusement à la qualité, à la conformité et à la sécurité des données. La gouvernance des données se présente aujourd’hui comme un important levier pour améliorer le niveau de confiance dans l’utilisation des données par les organisations. Voir notamment Steven Coutts et Sarah Gagnon-Turcotte, « Data Governance and Digital Infrastructure: Analysis and Key Considerations for the City of Toronto » (juin 2020) aux pp 3–6, en ligne (pdf) : Toronto <www.toronto.ca> [perma.cc/V4DC-UGE2].
[32] Voir Alexandra Popovici, « La fiducie québécoise, re-belle infidèle » dans Alexandra Popovici, Lionel Smith et Régine Tremblay, dir, Les intraduisibles en droit civil, Montréal, Thémis, 2014, 129 aux pp 134–36 [Popovici, « La fiducie québécoise »]. Comparer Yaëll Emerich, Droit commun des biens : perspective transsystémique, Cowansville (QC), Yvon Blais, 2017 aux pp 329–30, 334–35.
[33] Voir Lilian Edwards, « Reconstructing Consumer Privacy Protection On-Line: A Modest Proposal » (2004) 18:3 Intl Rev L Comp & Tech 313.
[34] Voir Smith, « Trust and Patrimony », supra note 29 au para 7.
[35] Voir Neil Lawrence, « Data Trusts » (29 mai 2016), en ligne (blogue): inverseprobability.com: Neil Lawrence’s Homepage <inverseprobability.com> [perma.cc/AR92-3VRP].
[36] Neil Lawrence définit d’ailleurs la notion comme telle : « The trustors of a data trust would be the originators of the data. A data trust would be an organization set up to manage data on the trustors’ behalf. The trust would stipulate the conditions under which the data was to be managed and shared. Trustees would have responsibility to ensure that those conditions were upheld. They would be the data controllers » (ibid).
[37] Voir Sylvie Delacroix et Neil D Lawrence, « Bottom-up Data Trusts: Disturbing the ‘one size fits all’ approach to data governance » (2018) 9:4 Intl Data Privacy L 236; Mozilla Insights, « README: About This Research », (dernière consultation le 8 février 2021) en ligne : Mozilla <foundation.mozilla.org> [perma.cc/4ZPT-DHYF].
[38] Voir Castets-Renard, supra note 1 à la p 209.
[39] Voir Professeur Dame Wendy Hall et Jérôme Pesenti, « Growing the Artificial Intelligence Industry in the UK » (15 octobre 2017), en ligne (pdf) : Government of the United Kingdom <www.gov.uk> [perma.cc/6WSY-ZWX9]. Pour une présentation et discussion de ce rapport, voir Jeremiah Lau, James Penner et Benjamin Wong, « The Basics of Private and Public Data Trusts » (2020) Sing JLS 90 aux pp 91–95.
[40] Voir Marina Micheli et al, « Emerging models of data governance in the age of datafication » (2020) 7:2 Big Data & Soc’y 1 à la p 11. Voir aussi Delacroix et Lawrence, supra note 37 à la p 242.
[41] Voir Lau, Penner et Wong, supra note 39 à la p 93.
[42] « These trusts are not a legal entity or institution, but rather a set of relationships underpinned by a repeatable framework, compliant with parties’ obligations, to share data in a fair, safe and equitable way » (Hall et Pesenti, supra note 39 à la p 46). Voir aussi P Alison Paprica et al, « Essential Requirements for Establishing and Operating Data Trusts: Practical Guidance Co-Developed by Representatives from Fifteen Canadian Organizations and Initiatives » (2020) 5:1 Intl J Population Data Science, en ligne : IJPDS <ijpds.org> [perma.cc/3AVS-2JEJ].
[43] Voir Wendy Hall et Jérôme Pesenti, « Growing the Artificial Intelligence Industry in the UK » (2017) à la p 46, en ligne (pdf) : Government of the United Kingdom <www.gov.uk> [perma.cc/KUW4-YZXS].
[44] La catégorie des purpose trusts admis par la common law s’est élargi avec le temps. Au titre des purpose trusts, il est admis de constituer un trust en vue de garantir l’entretien de sépultures et autres monuments ou encore pour garantir les soins d’un animal. Aujourd’hui, la plupart des pays de common law ont adopté des lois permettant la création de purpose trusts dans des domaines divers et variés (voir notamment Paul Matthews, « The New Trust: Obligations Without Rights? » dans A J Oakley, dir, Trends in Contemporary Trust Law, Oxford, Clarendon Press, 1996, 1 aux pp 3–5, 22–23).
[45] Popovici, « Droits de regard », supra note 25 à la p 229.
[46] On pourra prendre l’exemple de la Charity Commission en Angleterre. Voir « Charity Commission » (dernière consultation le 7 juillet 2022), en ligne : Government of the United Kingdom <www.gov.uk> [perma.cc/AHP9-FXGZ]).
[47] Voir Lau, Penner et Wong, supra note 29 aux pp 93–94.
[48] Voir Kieron O’Hara, « Data Trusts: Ethics, Architecture and Governance for Trustworthy Data Stewardship » (février 2019) à la p 7, en ligne (pdf) : University of Southampton <www.southampton.ac.uk> [perma.cc/F39V-AYDD].
[49] Voir Sophie Stalla-Bourdillon et al, « Data Protection by Design: Building the Foundations of Trustworthy Data Sharing » (2020) 2:4 Data & Policy 1 à la p 2. Afin de tempérer cette incertitude conceptuelle et terminologique autour de la notion de data trust, le récent rapport du Ada Lovelace Institute suggère de restreindre l’expression de « data trust » à l’hypothèse du recours au droit des trusts, et plus largement de réunir l’ensemble des modèles de gouvernance (les data trusts, les data cooperatives et les mécanismes corporatifs et contractuels) sous l’expression de « data stewardship » (voir Ada Lovelace Institute & UK AI Council, « Exploring Legal Mechanisms for Data Stewardship » (mars 2021) à la p 5, en ligne (pdf) : Ada Lovelace Institute <www.
adalovelaceinstitute.org> [perma.cc/G2ZK-NT9L]).
[50] Voir Ada Lovelace Institute & UK AI Council, supra note 49 à la p 34. Parallèlement, le Partenariat mondial sur l’intelligence artificielle (PMAI/ GPAI) consacre une partie de ses travaux sur la notion de data trust (voir « Groupe de travail sur la gouvernance des données » (dernière consultation le 7 juillet 2022), en ligne : Partenariat mondial sur l’intelligence artificielle <www.gpai.ai> [perma.cc/3HD4-DF2N]).
[51] Le concept a été l’objet d’un colloque international regroupant plusieurs experts internationaux en décembre 2021. Voir le rapport du colloque, Element AI et Nesta, supra note 15. En revanche, certains dénoncent les enjeux pratiques de cette incertitude en les termes suivants : « In our experience, one of the negative effects of the multiple labels and conflicting definitions is that it can obscure commonalities behind approaches to data sharing and data access » (Paprica et al, supra note 42 à la p 2).
[52] Voir l’entrevue de Teresa Scassa par Claire Legros, « La ville numérique a besoin d’une gouvernance publique des données, qui implique la population », Le Monde (13 octobre 2020), en ligne : <www.lemonde.fr> [perma.cc/S45U-RJ7H]; Scassa, « Designing Data Governance », supra note 4 à la p 54.
[53] Innovation, Sciences et Développement économique Canada, « Renforcer la protection de la vie privée dans l’ère numérique : Propositions pour moderniser la Loi sur la protection des renseignements personnels et des documents électroniques » (dernière modification le 21 mai 2019), en ligne : Gouvernement du Canada <ised-isde.canada.ca> [perma.cc/J3FK-9F45]. Voir aussi Teresa Scassa, « Data for Good?: An Assessment of the Proposed Exception in Canada’s Private Sector Data Protection Law Reform Bill » (6 décembre 2020), en ligne (blogue) : Teresa Scassa <teresascassa.ca> [perma.cc/
M69G-9R8U] [Scassa, « Data for Good »].
[54] Voir John EC Brierley, « Titre sixième, De certains patrimoines d’affectation : Les articles 1256-1298 » dans Barreau du Québec et Chambre des notaires, dir, La réforme du Code civil : Personnes, successions, biens, t 4, Sainte-Foy (QC), Presses de l’Université de Laval, 1993, 735 à la p 743.
[55] Par exemple, en France, ce n’est qu’à la fin des années 1980 que la fiducie a fait l’objet de plusieurs avant-projets et un projet de loi a été déposé en 1992. Les préoccupations fiscales ont empêché l’avènement de ces tentatives. Il faut attendre 2007 pour que la fiducie fasse une entrée remarquée, mais contenue, dans le Code civil français avec la Loi n°2007-211 du 19 février 2007 instituant la fiducie, JO, 21 février 2007, no 0044.
[56] Voir arts 869, 964 CcBC.
[57] Comparer Madeleine Cantin Cumyn, « Réflexions autour de la diversité des modes de réception ou d’adaptation du trust dans les pays de droit civil » (2013) 58:4 RD McGill 811 aux pp 821–22. Pour un portrait plus général de la fiducie à la lumière du trust de common law, voir Aline Grenon, « La fiducie » dans Louise Bélanger-Hardy et Aline Grenon, dir, Éléments de common law canadienne: comparaison avec le droit civil québécois, Toronto, Thomson Carswell, 2008, 187.
[58] Voir arts 1268–69 CcQ.
[59] Popovici, « Droits de regard », supra note 25 à la p 228.
[60] Voir par ex Loi sur le secteur privé, supra note 9, art 10 et s. Voir aussi Pierre-Luc Déziel, « Est-ce bien nécessaire ? Le principe de limitation de la collecte face aux défis de l’intelligence artificielle et des données massives » dans Barreau du Québec – Service de la formation continue, Développements récents en droit à la vie privée (2019), vol 465, Montréal, Yvon Blais, 2019, 1 aux pp 6–8, 26–31.
[61] La finalité doit être non seulement explicite, mais en outre précise (voir par ex Loi sur le secteur privé, supra note 9, arts 4, 8, 14).
[62] Voir art 1278 CcQ.
[63] Voir art 1308 CcQ.
[64] Voir art 1296 CcQ.
[65] Voir Loi sur le secteur privé, supra note 9, art 14. Voir aussi Loi sur l’accès aux documents des organismes publics, supra note 9, arts 60.1, 65.
[66] La consécration de la fiducie comme patrimoine d’affectation est une solution inhérente au contexte juridique québécois et fait sa particularité. L’histoire de la fiducie et sa portée pourront être appréciés parmi les textes suivants : John EC Brierley, « The New Quebec Law of Trusts: The Adaptation of Common Law Thought to Civil Law Concepts » dans H Patrick Glenn, dir, Droit québécois et droit français: communauté, autonomie, concordance, Cowansville (QC), Yvon Blais, 1993, 383; Madeleine Cantin Cumyn, « L’origine de la fiducie québécoise » dans Mélanges offerts par ses collègues de McGill à Paul-André Crépeau, Cowansville (QC), Yvon Blais, 1997, 199; Popovici, « La fiducie québécoise », supra note 32 aux pp 141–54; Popovici, Êtres et Avoirs, supra note 26 aux pp 57–85.
[67] Le Code civil tchèque, entré en vigueur en janvier 2014, reprend le modèle de la fiducie du Code civil du Québec. Voir Alexandra Popovici, « Trust in Quebec and Czech Law: Autonomous Patrimonies? » (2016) 24:6 Eur R Priv L 929 aux pp 931, 933–35.
[68] Comparer avec la fiducie française dont le cadre de déploiement se trouve réduit. Celle-ci ne peut remplir que trois fonctions : la conservation des actifs du constituant, la gestion de ses actifs, opérer comme mécanisme de sureté. La fiducie ne peut répondre d’une finalité d’intérêt général ni être établie à titre gratuit (voir art 2013 C civ). Voir Cyril Grimaldi, Droit des biens, 2e éd, Collection Manuel, Paris LGDJ Lextenso, 2019 aux pp 392–94.
[69] Sur l’importance de ce regard croisé entre les deux traditions en matière de fiducie, voir Grenon, supra note 57 aux pp 256-57.
[70] Voir Madeleine Cantin Cumyn, « De l’administration des biens à la protection de la personne d’autrui », dans Barreau du Québec – Service de la formation continue, Obligations et recours contre un curateur, tuteur ou mandataire défaillant 2008, vol 283, Cowansville (QC), Yvon Blais, 2008, 203 [Cantin Cumyn, « La protection de la personne d’autrui »].
[71] Sylvio Normand, Introduction au droit des biens, 3e éd, Montréal, Wilson & Lafleur, 2020 à la p 424 [Normand, Introduction].
[72] Voir Popovici, « La fiducie Québécoise », supra note 32 aux pp 147–49.
[73] Voir art 1261 CcQ.
[74] Voir Smith, « Trust and Patrimony », supra note 29 au para 7.
[75] « À titre d’initiateur, le constituant joue un rôle essentiel lors de la mise en place de la fiducie. Sans son fait, l’existence de ce patrimoine d’affectation serait impossible » (Normand, Introduction, supra note 71 à la p 428). Voir aussi Jacques Beaulne et André J Barette, Droit des fiducies, 3e éd, Montréal, Wilson & Lafleur, 2015 au para 152.1. Force est de noter l’inspiration de la common law. La création d’un trust requiert toujours un transfert de bien préliminaire (voir Smith, « Trust and Patrimony », supra note 29 au para 7).
[76] Voir art 1285 CcQ.
[77] Advenant que la fiducie devienne une coquille vide, ceci n’entraine pas son extinction de plein droit. Encore faut-il que le tribunal constate, du fait de cette situation, l’impossibilité d’atteindre le but de la fiducie (voir art 1296, al 2 CcQ).
[78] Voir art 1293 CcQ.
[79] Voir Centre Paul-André Crépeau de droit privé et comparé, « Affectation », en ligne : Dictionnaire de droit privé – Les biens <nimbus.mcgill.ca> [perma.cc/ZR2V-REF5]. Voir aussi Sylvio Normand, « L’affectation en droit des biens au Québec » (2014) 48:2 RJTUM 599 aux pp 600–02. Dans ce texte, l’auteur présente l’affectation comme l’expression du jus abutendi.
[80] Fort de ces éléments, il ressort que le patrimoine d’affectation déroge au droit commun. C’est pourquoi il n’est admis que de façon restrictive : la fiducie constitue l’unique patrimoine d’affectation dans le Code civil du Québec. Voir Alexandra Popovici, « Quebec’s Partnership: une société distincte » (2013) 6:1 J Civ L Studies 339 aux pp 360–61.
[81] Voir Centre Paul-André Crépeau de droit privé et comparé, « Patrimoine d’affectation », en ligne : Dictionnaire de droit privé – Les biens <nimbus.mcgill.ca> [perma.cc/NXX7-PN9X].
[82] Voir art 1261 CcQ.
[83] Notamment, la fiducie a un nom (voir art 1266 CcQ), le fiduciaire agit pour le compte de la fiducie (voir art 1278 CcQ) et détient des pouvoirs à l’égard des biens composant le patrimoine fiduciaire. Il s’oblige pour le compte de la fiducie (voir art 1319 CcQ) et agit en justice pour son compte (voir art 1316 CcQ; Levasseur c 9095-9206 Québec inc, 2009 QCCS 4615 aux para 12–14). Voir aussi Madeleine Cantin Cumyn, « La fiducie, un nouveau sujet de droit ? » dans Jacques Beaulne, dir, Mélanges Ernest Caparros, Montréal, Wilson & Lafleur, 2002, 129 aux para 11–12 [Cantin Cumyn, « La fiducie, nouveau sujet de droit »].
[84] Voir Cantin Cumyn, « La fiducie, nouveau sujet de droit », supra note 83 au para 15.
[85] Pour une comparaison avec le droit français, voir Yaëll Emerich, « La fiducie civiliste : modalité de la propriété ou intermède de la propriété? » (2013) 58:4 RD McGill 827.
[86] Voir art 1262 CcQ.
[87] Voir Cantin Cumyn, « La fiducie, nouveau sujet de droit », supra note 83.
[88] Loi sur le secteur privé, supra note 9, art 2.
[89] Judith Rochfeld, « Contre l’hypothèse de la qualification des données personnelles comme des biens » dans Emmanuel Netter et Aurore Chaigneau, dir, Les biens numériques, Collection Colloques, CEPRISCA, 2015, 221 à la p 230.
[90] Voir Charte québécoise, supra note 7, art 5; art 35 CcQ.
[91] Voir Sjef van Erp, « Management as Ownership of Data » dans Sebastian Lohsse, Reiner Schulze et Dirk Staudenmayer, dir, Data as Counter-Performance : Contract Law 2.0? Munster Colloquia on EU Law and the Digital Economy, Nomos Verlagsgesellschaft, Baden-Baden, 2020, 77 aux pp 83–84, 88. Le Ministère de l’Économie du Québec, Pierre Fitzgibbon, qualifiait les données médicales de santé de véritable mine d’or (voir Mylène Crète, « En quoi les données de la RAMQ sont-elles une mine d’or? », Le Devoir (4 septembre 2020), en ligne : <www.ledevoir> [perma.cc/
ZH38-SJ43]).
[92] Ces affirmations sont faites en l’état du droit positif et sous réserve des propositions de modification du projet de loi 64 en matière de profilage (voir Projet de loi 64, supra note 20, arts 19, 99).
[93] Voir Michal Kosinski, David Stillwell et Thore Graepel, « Private traits and attributes are predictable from digital records of human behavior » (2013) 110:15 Proceedings National Academy Sciences 5802.
[94] Voir art 947 CcQ. « Parmi l’ensemble des rapports qu’une personne entretient avec les biens, la propriété demeure le plus complet. Elle consacre le propriétaire maître de la chose objet de son droit. Cette maîtrise lui permet de bénéficier de l’ensemble des avantages qu’est susceptible d’offrir un bien. Ce droit se distingue des autres droits réels par son caractère absolu, exclusif et perpétuel. Le propriétaire a le “plein pouvoir sur la chose” […] » (Normand, Introduction, supra note 71 à la p 95).
[95] Ce scénario est déjà bien connu en droit des biens, dans le cas précis des démembrements du droit de propriété (voir art 1119 et s CcQ). Le droit d’usage est prévu aux articles 1172 à 1176 du Code civil. Les droits conférés par l’usage font partie du patrimoine familial (voir art 415 CcQ). Sur cette question, voir Yared c Karam, 2019 CSC 62 au para 52. Voir aussi Lionel Smith, « A Tale of Two Patrimonies: Limits on the Flexibility of Trust Law » (2021) 40:2 Est Tr & Pensions J 139 [Smith, « A Tale of Two Patrimonies »].
[96] Ici, il est intéressant de dresser un parallèle avec la patrimonialité des droits d’actions en cas d’atteinte à un droit de la personnalité. Au titre des articles 1457 et suivants du Code civil du Québec, l’action compensatoire en réparation pécuniaire pour l’atteinte à un droit de la personnalité (donc extrapatrimonial) se transmet aux héritiers, puisque le droit à la réparation est patrimonial. Ici, on retrouve la distinction entre un droit de nature extrapatrimoniale et l’exercice de ce droit qui peut être patrimonial. Voir Générosa Bras Miranda, « Les fantômes ont-ils des droits » dans Centre de recherche en droit privé et comparé du Québec, dir, Regards croisés sur le droit privé, Colloque du trentenaire, Cowansville (QC), Yvon Blais, 2008, 83 aux pp 90 et s.
[97] Voir par ex Gaële Gidrol-Mistral, « Les gamètes : libre-propos sur la valeur des biens » dans Arnaud Tellier-Marcil et al, dir, Les prochains défis de la pensée civiliste : les conceptions classiques soumises à l’épreuve du temps, Thémis, Montréal, 2020, 163 aux pp 187–91. Dans cet article, l’auteure fait notamment le constat que le principe de l’indisponibilité de la personne et du corps n’a pas empêché ces derniers de se glisser dans une logique de marché. Elle pose dès lors la question de si un modèle alternatif de protection de la personne fondé sur la propriété serait plus approprié.
[98] Voir Adrian Popovici, « La renonciation à un droit de la personnalité » dans Centre de recherche en droit privé et comparé du Québec, dir, Regards croisés sur le droit privé, Colloque du trentenaire, Cowansville (QC), Yvon Blais, 2008, 99 à la p 105.
[99] La patrimonialisation des données personnelles n’est pas que fantasme si l’on regarde du côté de la législation européenne qui consacre le droit à la portabilité (voir CE, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, [2016] JO, L 119/1, art 20) [Règlement européen des données] ou encore à l’effacement (voir ibid, art 17)).
[100] Voir Element AI et Nesta, supra note 15 à la p 15.
[101] Voir Popovici, « Droits de regard », supra note 25 à la p 227.
[102] Voir art 1261 CcQ.
[103] Sur la distinction entre les pouvoirs de représentation et les pouvoirs propres, voir Cantin Cumyn, « La protection de la personne d’autrui », supra note 70 aux pp 208–09.
[104] Art 1299 CcQ. Toutefois, le législateur s’est gardé de définir les conditions donnant ouverture au régime (voir Madeleine Cantin Cumyn et Michelle Cumyn, L’administration du bien d’autrui, collection « Traité de droit civil », 2e éd, Cowansville (QC), Yvon Blais, 2014 aux para 60 et s). Toutefois, nul doute ne pèse sur l’application de ce régime en matière de fiducie puisque le Code dispose que le fiduciaire constitue une catégorie « d’administrateur[s] [de] bien [pour] autrui chargé[s] de la pleine administration » (art 1278 CcQ). Voir aussi Popovici, Êtres et Avoirs, supra note 26 aux pp 72–73.
[105] Voir Centre Paul-André Crépeau de droit privé et comparé, « Pouvoir », en ligne: Dictionnaire de droit privé – Les biens <nimbus.mcgill.ca> [perma.cc/T6U5-PXPL]; voir aussi Madeleine Cantin Cumyn, « Le pouvoir juridique » (2007) 52:2 RD McGill 215 aux pp 228–29 [Cantin Cumyn, « Le pouvoir juridique »].
[106] Voir Cantin Cumyn et Cumyn, supra note 105 aux para 100, 110.
[107] Voir Cantin Cumyn, « La protection de la personne d’autrui », supra note 70 à la p 208.
[108] La distinction entre la simple et la pleine administration repose sur le degré d’autonomie accordé à l’administrateur. Voir Cantin Cumyn et Cumyn, L’administration du bien d’autrui, supra note 105 au para 106.
[109] Voir arts 1308–09 CcQ; voir Cantin Cumyn et Cumyn, L’administration du bien d’autrui, supra note 105 aux para 3, 271 et s.
[110] Voir arts 1351–54 CcQ. Ce cadre commun pourrait, en premier lieu, être adapté pour répondre davantage au contexte des données. Par exemple, le fiduciaire pourrait être soumis à l’obligation de procéder régulièrement une évaluation des facteurs à la vie privée à l’instar de ce que le Projet de loi 64 souhaite vouloir instaurer. Voir l’article 3.3 de la Loi sur le secteur privé tel qu’amendé par l’article 95 du Projet de loi 64 (Projet de loi 64, supra note 20, art 95) ainsi que l’article 63.5 de la Loi sur l’accès aux documents des organismes publics tel qu’amendé également par l’article 14 (ibid, art 14).
[111] Voir art 1290 CcQ.
[112] Voir arts 1290, 1308–10 CcQ.
[113] Voir Smith, « A Tale of Two Patrimonies », supra note 95.
[114] Art 1278 CcQ.
[115] Ibid.
[116] Le pouvoir juridique ne saurait être confondu avec le pouvoir de représentation. Pour une distinction entre ces deux notions, voir notamment Cantin Cumyn, « Le pouvoir juridique », supra note 106 aux pp 226–29.
[117] Voir art 911 CcQ.
[118] Voir art 915 CcQ.
[119] Voir Rochfeld, supra note 89 à la p 227.
[120] « Selon une partie de la doctrine, il est possible d’identifier dans l’exclusivité la propriété même, la propriété étant fondamentalement du droit exclusif » (Yaëll Emerich, « Propriété exclusive ou exclusivité » dans Marie Cornu, Fabienne Orsi et Judith Rochfeld, dir, Dictionnaire des biens communs, 2 éd, Paris, PUF, 2021, 1063 à la p 1064).
[121] Rochfeld, supra note 89 aux pp 230–31.
[122] Voir Castets-Renard, supra note 1 à la p 209.
[123] Certes, certains suggèrent une lecture moins stricte de la thèse réaliste et invoquent, par exemple, une qualification des données comme bien commun pour sortir des impasses que nous venons de soulever. D’autres rejettent fermement tout recours à une réification des données personnelles au titre du respect des droits et des intérêts des personnes. Voir ibid aux pp 229–30 au para 9.
[124] Voir Cantin Cumyn, « La protection de la personne d’autrui », supra note 70 aux pp 209–12.
[125] Voir ibid aux pp 209–12. Voir aussi Cantin Cumyn et Cumyn, L’administration du bien d’autrui, supra note 105 aux paras 2–3.
[126] Cantin Cumyn, « La protection de la personne d’autrui », supra note 70 à la p 206.
[127] Voir ibid.
[128] Sur la distinction entre les pouvoirs propres et les pouvoirs de représentations, voir ibid aux pp 208–9. Pour une comparaison entre l’obligation de loyauté et la bonne foi dans les contrats, voir Caroline Le Breton-Prévost, Loyalty in Quebec Private Law, thèse de maitrise en droit, Université McGill, 2015 aux pp 58-64 [non publiée].
[129] Voir art 1266 CcQ.
[130] Voir art 1267 CcQ.
[131] Voir arts 1268–69 CcQ.
[132] Voir art 1270 CcQ.
[133] Voir art 1267 CcQ. Ces fiducies sont communément dénommées « fiducies familiales » (voir Normand, Introduction, supra note 71 à la p 432).
[134] Voir arts 1268, 1270 CcQ.
[135] Voir art 1270 CcQ.
[136] Pour des exemples dans le domaine de la protection de l’environnement ou du patrimoine culturel, voir Marie-Anne Marchand, « Les fiducies d’utilité sociales à l’usage des idéalistes » (16 juin 2021) aux pp 13, 20–26, en ligne (pdf) : Territoires innovants en économie sociale et solidaire (TIESS) <tiess.ca> [perma.cc/C9UM-VWT5]. Dans cette synthèse de connaissances, l’auteure expose différents cas de fiducies intervenant dans la protection du patrimoine culturel ou de l’environnement ou comme mode alternatif de gestion des terres agricoles.
[137] Voir Rochfeld, supra note 89 aux pp 229–30.
[138] On notera l’adverbe « notamment » dans la lettre de l’article ce qui invite à une interprétation non restrictive des champs de l’utilité sociale (voir art 1270 CcQ).
[139] Voir art 1269 CcQ.
[140] Voir art 1273 CcQ.
[141] Voir art 1294, al 2 CcQ.
[142] Cette hypothèse semble toutefois peu envisageable compte tenu du caractère d’ordre public des dispositions encadrant l’utilisation des renseignements personnels par des tiers. Voir par ex Loi sur le secteur privé, supra note 9, art 13; art 37 CcQ.
[143] Voir notamment Loi sur le secteur privé, supra note 9, arts 13, 94.
[144] Voir Delacroix et Lawrence, supra note 37.
[145] Voir ibid.
[146] Voir ibid. Les auteurs avancent qu’une telle approche permettrait de rompre le fonctionnement féodal de l’économie du numérique. Voir aussi Data Trust Initiative, « Data Trusts: From Theory to Practice, Working Paper» (26 novembre 2020), en ligne (pdf): <datatrusts.uk/> [perma.cc/LVK7-EYUY]; Aline Blankertz, « Data Trusts as New Models for the Data Economy » (dernière consultation 7 juillet 2022), en ligne (blogue): <datatrusts.uk> [perma.cc/X3F6-NSW3].
[147] Voir arts 1264, 1265 CcQ.
[148] Art 1278 CcQ.
[149] Comparer Loi sur l’accès aux documents des organismes publics, supra note 9, art 65.1.
[150] Sur la fiducie comme « nouveau sujet de droit », voir Cantin Cumyn, « La fiducie, nouveau sujet de droit », supra note 83.
[151] Sur cette idée, voir par ex Thomas Ploug et Søren Holm, « Meta Consent: A Flexible and Autonomous Way of Obtaining Informed Consent for Secondary Research » (2015) 350 British Medical Journal, en ligne: British Medical Journal <www.bmj.com>
[perma.cc/95FW-U95U].
[152] Ceci va à contresens du Projet de loi 64 qui exige que le consentement soit recueilli pour chaque finalité, et ce distinctement de toute information à la personne concernée. Voir l’article 14 de la Loi sur le secteur privé (supra note 9), tel qu’amendé par l’article 102 du Projet de loi 64 (supra note 20, art 102) et l’article 53.1 de la Loi sur l’accès aux documents des organismes publics (supra note 9) tel qu’amendé par l’article 9 du projet de loi (Projet de loi 64, supra note 20, art 9).
[153] Voir Loi sur le secteur privé, supra note 9, art 13.
[154] Voir art 1288, al 2 CcQ.
[155] Voir art 1290 CcQ.
[156] Ici, force est de faire un parallèle avec l’article 39 du projet de loi fédéral (voir Projet de loi C-11, supra note 20, art 39). Cet article permettrait que lorsque le partage des données sert une finalité socialement bénéfique, le consentement des personnes soit écarté sous réserve que la donnée soit dépersonnalisée. L’alinéa (1)(b)(iii) attire tout particulièrement notre attention puisqu’il ouvre la porte à ce que les data trusts administrent un tel partage des données sans consentement (voir Projet de loi C-11, supra note 20, art 39(1)(b)(iii)). Bien que le champ d’application de cet article soit très restreint au regard de la définition donnée des fins socialement bénéfiques, il importe de souligner que, dans l’hypothèse de la fiducie québécoise, il n’est jamais question d’exclure le consentement de la personne. Celui-ci demeure central au procédé, ce sont ses modalités d’expression qui changent. D’ailleurs, il serait contraire à l’esprit de la loi qui fait du consentement la pierre angulaire de la protection des renseignements personnels, que le sujet de données ne puisse retirer son consentement vis-à-vis de la fiducie (voir par ex Loi sur le secteur privé, supra note 9 arts 12–14). L’absence de retrait viendrait aussi dénaturer la nature extrapatrimoniale des renseignements personnels. Fort de cela, il conviendra de prévoir une telle disposition dans l’acte constitutif de la fiducie bien que ceci expose le patrimoine fiduciaire au risque d’une certaine volatilité. Sur l’article 39 du projet de loi fédérale C-11, voir Scassa, « Data for Good », supra note 53.
[157] Voir arts 1309–11 CcQ.
[158] Voir art 1275 CcQ.
[159] Voir art 1310, al 2 CcQ.
[160] Voir art 1314 CcQ.
[161] Art 1275 CcQ.
[162] Voir Legros, supra note 52; Scassa, « Designing Data Governance », supra note 4 à la p 54.
[163] Voir art 1301 CcQ.
[164] Voir Simon Du Perron, « Projet de loi n° 64 : échos de commission parlementaire » (15 octobre 2020), en ligne (blogue) : Laboratoire de cyberjustice <www.cyberjustice.ca> [perma.cc/LNY6-T2ZG].
[165] Voir art 1274 CcQ. En l’espèce, le fiduciaire serait une personne morale, autrement dit une société de fiducie tel que le prévoit la Loi sur les sociétés de fiducie et les sociétés d’épargne (RLRQ, c S-29.02, art 2).
[166] Voir arts 1332–38 CcQ.
[167] La profession de notaire se trouve ici intéressante, d’une part, au regard de sa connaissance et familiarité avec l’administration fiduciaire ou encore la protection des personnes, et d’autre part, compte tenu de sa fonction de conseiller juridique indépendant, et de l’obligation de diligence qui lui incombe dans l’exercice de ses fonctions. Au titre de l’article 11 de la Loi sur le notariat (RLRQ, c N-3): « Dans le cadre de sa mission d’officier public, le notaire a le devoir d’agir avec impartialité et de conseiller toutes les parties à un acte auquel elles doivent ou veulent faire donner le caractère d’authenticité. » Dès lors, les réflexions sur les qualités du fiduciaire en matière de gouvernance des données pourraient trouver un arrimage pertinent et opportun dans celles relatives à l’avenir du notaire, véritable « architecte de l’ordre social » (Roderick A Macdonald, « L’image du Code civil et l’imagination du notaire (Pt. 1) » (1995) 74:1 R du B can 97 à la p 97).
[168] Voir art 1287 CcQ.
[169] Voir Loi sur le curateur public, RLRQ, c C-81, art 12 et s.
[170] Voir Popovici, « Droits de regard », supra note 25 aux pp 229–33.
[171] Au gré de sa mission de surveillance et de sa compétence juridictionnelle, celle-ci veille à la protection des renseignements personnels conformément aux dispositions législatives (voir « Mission, fonctions, valeurs » (dernière consultation le 8 février 2021), en ligne : Commission d’accès à l’information du Québec <www.cai.gouv.qc.ca> [perma.cc/9M6U-KNG3]. Pour une énumération de ces fonctions, voir Loi sur l’accès aux documents des organismes publics, supra note 9, arts 122 et s, 134.1 et s.
[172] Voir le mandat de la Commission (voir Charte québécoise, supra note 7, art 71).
[173] La prise en charge d’activités relevant de l’intérêt général, comme cela est le cas dans le contexte d’une FUS, ne fait pas partie du mandat de ces institutions, lequel est strictement délimité, dans chaque cas, par la loi. De même, les mandats de la Commission d’accès à l’information du Québec et celui de la Commission des droits de la personne et de la jeunesse sont aussi rigoureusement décrits dans les lois les régissant.
[174] Voir art 1290 CcQ.
[175] Voir art 1284 CcQ.
[176] Voir Popovici, « Droits de regard », supra note 25 aux pp 229–33.
[177] Voir art 1457 et s CcQ.
[178] Voir art 1275 CcQ.
[179] Voir par ex Financière Transcapitale inc c Fiducie succession Jean-Marc Allaire, 2012 QCCS 5733 au para 43. Voir aussi Beaulne et Barrette, supra note 75 au para 196.3.
[180] Voir Québec, Ministère de la Justice, Commentaires du ministre de la Justice : le Code civil du Québec, t 1, Québec, Publications du Québec, 1993 à la p 759 :
[L]’exigence de la présence d’un fiduciaire impartial, exigence propre à assurer une administration objective et à tempérer les conflits d’intérêts possibles … L’article 1275 permet au constituant de participer au fonctionnement de la fiducie à laquelle il a donné l’élan premier, et au bénéficiaire d’exercer un certain droit de regard dans la prise de décisions qui le concernent, tout en assurant à la gestion fiduciaire un minimum d’objectivité.
[181] Les qualifications européennes de « responsable de traitement » et de « sous-traitant » présentent un réel intérêt en ce que chacune de ces qualités vient avec des obligations juridiques précises dont le but est d’assurer une protection des droits des personnes aux différentes échelles du traitement des données. Selon l’article 4(7) du Règlement européen des données (supra note 100), le responsable de traitement se définit comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ». L’article 4(8) définit le sous-traitant en les termes suivants : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (ibid).