La protection des renseignements personnels dans le cadre de la gestion collective de droits d’auteur au Canada

Résumé

La protection des renseignements personnels des individus est aujourd’hui un enjeu de plus en plus important, du fait, d’abord, d’une pression accrue des citoyens, nourrie par les divers scandales touchant leurs données personnelles, mais aussi du fait de réponses réglementaires ambitieuses visant notamment à limiter l’utilisation anarchique de ces données personnelles par les GAFAM et autres entreprises de technologies. Ces réglementations ambitieuses ont vu le jour tant au niveau international – avec le Règlement général sur la protection des données (ci-après « RGPD ») en Europe, ou le California Consumer Protection Act (ci-après « CCPA ») en Californie – qu’au niveau canadien, avec le projet de loi fédéral C-11 et le projet 64 de modernisation de la loi québécoise déposés tous les deux en 2020.

Dans cet article, nous allons nous concentrer sur la protection des renseignements personnels dans le cadre de la gestion collective de droits d’auteur au Canada. Si les sociétés de gestion collective de droits d’auteur (ci-après « SGC ») ne sont pas les GAFAM de ce monde, il n’en reste pas moins que la protection des renseignements personnels reste un enjeu important pour ces sociétés, de par l’importance des données traitées dans leur activité, particulièrement dans le secteur musical. La gestion collective, comme bon nombre d’autres industries, a ainsi fait face au défi du « Big Data », ou mégadonnées, par l’explosion de l’afflux de données numériques liées à la consommation en ligne de musique. La donnée est aujourd’hui au coeur de l’activité des sociétés de gestion collective. Dans ce contexte, quelle importance peut avoir l’enjeu du respect des renseignements personnels? Au vu des différents projets de réformes en cours au Canada, il nous paraît important de faire un état des lieux de la question pour les sociétés de gestion collective de droits d’auteur au Canada, afin d’anticiper une mise en conformité de leurs pratiques.

Cet article vise ainsi à déterminer ce que constitue un « renseignement personnel » parmi l’ensemble des données traitées par les SGCs, et aborde l’enjeu de leur protection. Il vise ensuite à déterminer l’application territoriale des réglementations sur la protection des renseignements personnels, face aux flux transfrontaliers des données, en se posant la question notamment de l’application du RGPD aux SGCs canadiennes dans leur activité. Nous verrons ensuite les démarches à suivre pour se conformer à la législation applicable, ainsi que les pistes pour anticiper les réformes à venir du cadre réglementaire, par exemple sur les transferts hors province ou la durée de conservation des renseignements personnels.