De la fiducie de donnees en droit civil quebecois: etude exploratoire pour un outil en construction.

• Author: Hulin, Anne-Sophie

Introduction I. Aux origines de la fiducie quebecoise de donnees A. Le data trust B. La reception du data trust en droit civil II. La nature juridique de la fiducie quebecoise de donnees A. Un patrimoine d'affectation B. Un mode derogatoire de detention des droits sur les donnees III. Fragments d'ebauche de la fiducie quebecoise de donnees A. La forme de la fiducie de donnees B. Le fiduciaire de donnees Conclusion Introduction

Si le marche des donnees est communement decrit comme celui du nouvel or noir et que leur partage se revele une condition sine qua non pour la creation de nouveaux biens et services (1), l'usage des donnees est aussi largement decrie face aux risques averes d'atteintes a la vie privee (2) des individus et, plus largement, de perte de controle de ces derniers sur les donnees qu'ils generent au quotidien (3). Au Canada, les recentes affaires en lien avec la gouvernance des donnees urbaines (4) ou encore le projet de cession des donnees medicales de la RAMQ a des entreprises pharmaceutiques (5) semblent conforter ces divers constats tout en renforcant la defiance sociale envers leur utilisation (6). Fort de ces elements se pose la question de la (re)conciliation de ces enjeux afin que l'usage des donnees soit socialement acceptable et digne de confiance, mais surtout respectueux des droits et interets des personnes.

Le droit quebecois dispose d'un cadre normatif protecteur des donnees personnelles. En sus du droit au respect de la vie privee consacre a l'article 5 de la Charte des droits et des libertes de la personne (7) et a l'article 35 du Code civil du Quebec, la protection des renseignements personnels (8) s'articule essentiellement autour de deux lois particulieres (9) dont la finalite est la suivante : etablir le controle des personnes sur leur > (10) en leur donnant, par le biais de leur consentement, la faculte de decider quand, qui, pourquoi et comment les donnees personnelles les concernant sont collectees, utilisees ou partagees (11). Le principe du consentement constitue la cle de voute de cette protection puisque c'est par son truchement que > le controle de chacun sur ses renseignements personnels (12).

Toutefois, le passage a l'ere des donnees massives a progressivement remis en question cette affirmation dans la mesure oU l'obtention du consentement des personnes rencontre depuis d'importantes difficultes pratiques (13). Notamment, les flux de donnees sont devenus aussi prodigieux qu'imprevisibles et la collecte de donnees personnelles par les entreprises de service numeriques est rendue quasi systematique (14). De plus, les conditions generales des services numeriques renferment une grande complexite. Il est alors difficile pour les personnes de veritablement comprendre ce a quoi elles consentent (15). Ce consentement hasardeux est le seul moyen d'acceder a des services numeriques, certains desquels on ne saurait se passer (16). Le consentement se trouve donc dans les faits ni veritablement libre ni veritablement eclaire, contrairement a ce que la loi exige (17).

A cela, plusieurs soulignent le fondement individualiste du cadre juridique de la protection des renseignements personnels pour en denoncer ses limites. Par exemple, les donnees creent de la valeur a partir du moment oU une grande quantite est agregee (18), car prises de facon isolee, elles ont une valeur quasi nulle. Parallelement, certains auteurs ont identifie des cas oU le droit a la vie privee peut s'impregner d'une composante collective en ce qui a trait a la gestion et l'utilisation des donnees personnelles (19). Au regard de ces elements, le fonctionnement de l'economie des donnees se revele a contre-courant du fondement individualiste de la protection des renseignements personnels.

Ainsi, il apparait que le droit en vigueur ne permet plus de repondre de facon adequate aux enjeux qui entourent l'usage des donnees personnelles. D'ailleurs une reforme du cadre legislatif regissant la protection des renseignements personnels est en cours afin de l'actualiser au contexte des donnees massives (20). Toutefois, dans l'attente que le processus legislatif aboutisse et sous reserve que son resultat reponde aux differents besoins et enjeux en matiere de donnees personnelles (21), le droit prive jouit de pistes interessantes pour (re)concilier l'utilisation (et tout particulierement le partage) des donnees avec les droits et interets des individus dans le but notamment de renforcer la protection des donnees personnelles.

De la est ne recemment le concept de fiducie de donnees au Quebec (22), fruit de la rencontre de deux mondes qui s'ignorent habituellement : le droit des biens et le droit du numerique. En effet, la fiducie (23), plus connue en matiere de gestion de patrimoine foncier et financier, est ici transposee au contexte des donnees numeriques pour devenir le support juridique de projets de mutualisation de donnees en vue de les valoriser (24) et, le cas echeant, de les ceder.

L'idee de recourir a la fiducie (plutot qu'au contrat ou a la personne morale) tient au fait que la fiducie est un mode derogatoire de detention des biens articule autour d'une finalite precise. En outre, elle etablit un cadre restrictif et responsable d'utilisations des biens. L'ensemble de ces elements justifie son interet quant aux enjeux d'usage et de partage de donnees personnelles mentionnes, au point que la fiducie de donnees est aujourd'hui proposee comme une solution de droit prive en renfort du cadre normatif relatif a la protection des renseignements personnels.

Toutefois, nul ne saurait oublier que la fiducie est une institution originale tant au regard de ses sources, de sa nature et de son regime juridique, ce qui lui vaut une place unique en droit civil quebecois (25). Elle repose en effet sur des concepts derogatoires du point de vue de la tradition civiliste (patrimoine d'affectation, pouvoir juridique), faisant egalement de cette derniere une notion aux contours difficilement, voire imparfaitement, saisissables (26). Nul ne saurait egalement negliger que l'outil fut faconne aux enjeux de la gestion de patrimoine et que plusieurs de ses dispositions devront etre adaptees a son nouvel objet--les donnees--comme nous aurons l'occasion de le voir.

A cela se rajoute que le concept meme de fiducie de donnees fait l'objet d'interrogations donnant lieu a de vives controverses theoriques. Notamment, peut-on admettre que le besoin de restituer une forme de controle de chacun sur ses donnees justifie que les donnees personnelles deviennent la composante d'un patrimoine fiduciaire et donc voient leur nature juridique alteree ? Compte tenu de cet enjeu, la fiducie de donnees jouitelle d'un potentiel suffisant pour restaurer le lien de confiance entre ceux qui collectent et/ou exploitent les donnees personnelles et les personnes concernees?

En depit de ces interrogations, l'interet pour la fiducie de donnees ne cesse de croitre au Quebec (27), si bien que quelques acteurs travaillent a l'elaboration de prototypes (28). Toutefois, malgre cet engouement, la fiducie de donnees reste pour certains un concept nebuleux dont la realisation presente de nombreux defis theoriques et operationnels. A ce stade, il semble donc opportun d'operer un premier defrichage du concept afin d'identifier les fondements de son cadre theorique de deploiement, a cheval sur le droit prive et le droit des renseignements personnels. Si ce texte ne saurait repondre a l'ensemble des problematiques que pose l'articulation de cet outil avec le droit des renseignements personnels, il se veut tout au moins une reflexion preliminaire sur le potentiel de l'outil en droit civil quebecois. C'est pourquoi il se concentrera essentiellement a demontrer la pertinence du droit quebecois des fiducies pour traiter des enjeux relatifs au marche des donnees.

Des lors, notre propos se divisera en trois temps. D'abord, nous tacherons de revenir sur les origines de la fiducie de donnees dans le but d'en identifier quelques-unes de ses caracteristiques fondamentales en droit civil quebecois, et ce grace a la comparaison juridique (Partie II). Cela etant etabli, nous pourrons ensuite preciser la notion de fiducie de donnees (Partie III) avant d'en livrer quelques traits d'ebauche (Partie IV).

1. Aux origines de la fiducie quebecoise de donnees

   La fiducie de donnees puise sa source dans des reflexions qui ont debute en common law. En effet, quelques experts ont recommande l'application du traditionnel et emblematique trust (29) pour contrer la perte de confiance quant a l'utilisation des donnees. La confiance est inherente aux modeles fiduciaires (30), lesquels permettent, de maniere generale, une gestion encadree, independante et supervisee d'actifs. La prise en compte de l'ensemble de ces elements a donne naissance au concept de data trust. Veritable buzzword depuis quelques annees, ce concept occupe aujourd'hui une place majeure dans les reflexions relatives a la gouvernance des donnees (31), incitant a la definition d'un equivalent civiliste : la fiducie de donnees. Compte tenu de ces elements, il importe de retracer l'emergence et l'evolution du concept de data trust (1). Ce detour par la common law constitue un preliminaire necessaire a notre objet d'etude : la presentation du data trust permettra en effet d'apporter d'importants eclairages sur l'emergence et l'originalite du modele quebecois de fiducie de donnees (2).

   A Le data trust

   Si tous s'accordent pour dire que definir le trust n'est pas une tache aisee (32), tel est egalement le cas du data trust.

   Tout d'abord, le data trust fait son apparition pour la premiere fois en 2004 dans un texte de Lilian Edwards (33) dans lequel l'auteure denoncait l'absence de consentement libre et eclaire en matiere de commerce en ligne. Face aux lacunes du droit du numerique, Edwards suggera de retourner au droit commun afin de trouver des moyens pour restaurer la confiance des consommateurs. Le trust lui parut l'outil tout...