Introduction à la fiducie québécoise de données

Écrit par Anne-Sophie Hulin, Directrice de projets, Centre Paul-André Crépeau de droit privé et comparé.

Le traitement des données personnelles à des fins analytiques par des organisations de tout type fait face aujourd’hui à une érosion grandissante de la confiance publique. En effet, les récentes affaires en lien avec gouvernance des données urbaines ou encore le recours à la reconnaissance faciale sans consentement et dans un contexte commercial ont accentué cette défiance publique compte tenu des atteintes à la vie privée et de l’imparable constat que les individus perdent le contrôle des données qu’ils génèrent au quotidien. Dès lors, le besoin de trouver de nouvelles solutions pour restaurer la confiance collective se révèle une priorité de plus en plus pressante, car les exemples se multiplient, entrainant avec eux de nombreuses questions quant à leur acceptabilité sociale. La règlementation des pratiques d’intelligence artificielle (IA) doit donc aujourd’hui être (re)pensée afin de mieux protéger les droits des personnes.  

Si l’éthique offre déjà une multitude de cadres normatifs visant à aligner la gouvernance des données au respect des droits et des intérêts des individus (ex. : la récente charte de la ville de Montréal), sa portée se trouve nécessairement limitée faute de caractère obligatoire. Parallèlement, il faut noter la tendance convergente des décideurs politiques québécois et canadiens de réformer les lois relatives à la protection des renseignements personnels. Aussi bienvenues que soient ces initiatives, elles demeurent tributaires des délais associés aux procédures législatives. Néanmoins, dans l’attente, il serait faux de croire que le droit commun nous laisse sans recours pour répondre au besoin d’un encadrement plus adapté du traitement des données. Bien que le droit des biens ne soit pas une branche du droit à laquelle l’on songe en premier lieu pour adresser ces problématiques, celui-ci dispose de solutions innovantes. Plus connue en matière de gestion de patrimoine, la fiducie se trouve en effet un outil prometteur pour arrimer la gouvernance des données aux objectifs de l’IA responsable. Aussi, il convient de préciser les contours de cet outil (1) et les raisons de son attractivité (2).

  1. Qu’est-ce qu’une fiducie de données?

La fiducie est un patrimoine d’affectation, soit une universalité de droits et d’obligations affectée à un but déterminé (art. 1260 C.c.Q). Elle peut être constituée dans le but de favoriser des personnes désignées. Elle peut aussi être constituée à des fins objectives, c’est-à-dire dans une fin précise sans que des bénéficiaires ne soient déterminés. C’est ainsi que la fiducie peut répondre d’une finalité d’utilité privée telle qu’assurer la conservation d’un bien ou opérer la protection d’actifs (art. 1268 et 1269 C.c.Q). Elle peut également répondre d’une finalité d’utilité sociale quand celle-ci participe au soutien d’une cause d’intérêt général (art. 1270 C.c.Q.).

La fiducie n’est pas une personne morale, mais un patrimoine autonome affecté à un but dont le régime juridique est précisé dans le Livre IV du Code civil du Québec relatif aux biens. Elle repose sur un mode dérogatoire de détention des biens (arts 911 et 915 C.c.Q.). En effet, les biens composant le patrimoine fiduciaire sont affectés à une fin précise et leur détention ne répond plus que de cette même finalité. C’est ainsi que le fiduciaire n’est pas un propriétaire, mais un administrateur du bien d’autrui puisqu’il administre un patrimoine qui n’est pas le sien, mais qui est également séparé du sien (art. 1299 C.c.Q.). À ce titre, le fiduciaire jouit de pouvoirs juridiques sur le patrimoine fiduciaire. Cela signifie qu’il a « la maîtrise et l’administration exclusive du patrimoine fiduciaire […] » et qu’« […] il exerce tous les droits afférents au patrimoine et peut prendre toute mesure propre à en assurer l’affectation » (art. 1278 C.c.Q.). Parallèlement, le fiduciaire est soumis à une série d’obligations (prudence, diligence, honnêteté, loyauté) qui sont la contrepartie nécessaire des pouvoirs juridiques qu’il détient sur les biens mis en fiducie. La nature de sa mission justifie également que le fiduciaire doit rendre compte de son administration aux bénéficiaires de la fiducie, ou en leurs absences, au constituant ou toute autre personne jouissant d’un intérêt vis-à-vis de la fiducie (art. 1287 C.c.Q.). En cas de manquement à ses obligations, le fiduciaire engage sa responsabilité personnelle (art. 1308 C.c.Q.). Par conséquent, le fiduciaire est l’acteur clé de la fiducie : sans fiduciaire, le patrimoine de la fiducie est un patrimoine inanimé puisque ni le constituant ni les bénéficiaires n’ont de droits réels sur ce dernier (art 1261 C.c.Q.).

La fiducie de données est une application de la fiducie de droit commun dont la particularité relève de son objet. Ceci appelle quelques remarques.

D’une part, le patrimoine fiduciaire se compose de données, ou du moins des droits relatifs aux données (essentiellement les droits de (re)partage). Une telle affirmation n’est certainement pas sans causer quelques malaises pour les juristes, car pour que des données soient constitutives d’une universalité juridique, cela suppose qu’elles répondent de la qualification de bien. Or, la qualification des données, notamment personnelles, continue à faire l’objet de discussions doctrinales comme celles de leur propriété[1]. Contrairement à la difficile conciliation entre leur caractère non rival et leur assujettissement au droit de propriété, la patrimonialisation des données pose moins de difficultés. En effet, en plus de l’admission de l’immatérialité des biens, la dépersonnalisation et l’anonymisation des données personnelles assurent leur métamorphose de composante du sujet de droits à objet de droits. D’ailleurs, rappelons que les données personnelles présentent un fort potentiel économique si bien que nombre d’entreprises ont bâti leur modèle d’affaire sur leur exploitation et que ces enjeux théoriques de qualification n’ont pas empêché le développement d’un marché international des données, y compris à caractère personnel[2].

La constitution d’une fiducie de données requiert un transfert de biens du patrimoine du constituant au patrimoine fiduciaire (art. 1261 C.c.Q.). Les fiducies de données pourraient ainsi être constituées par les responsables de traitement. Rien n’empêche également qu’une fiducie de données résulte de la volonté de plusieurs responsables de traitement ni même qu’elle soit constituée par un ou plusieurs sous-traitants des renseignements personnels. Dès lors, la fiducie de données se révèle un outil pertinent pour encadrer la mutualisation des données détenues par différentes institutions.

D’autre part, le régime de l’administration du bien autrui auquel se trouve soumis le fiduciaire (art. 1299 et s C.c.Q) prévoit des mesures de surveillance. Si ces mesures ont été conçues dans un contexte de gestion du patrimoine, rien n’empêche de les transposer au contexte de la gouvernance des données. Par exemple, à l’instar de l’obligation de rendre compte régulièrement de sa gestion (arts 1351 à 1354 C.c.Q.), le fiduciaire pourrait être soumis à l’obligation de procéder régulièrement une évaluation des facteurs à la vie privée[3]. De la même manière que lorsqu’il est tenu à la réalisation des placements sûrs (art. 1304 C.c.Q.), le fiduciaire devrait consentir à un usage sûr des données, c’est-à-dire respectueux des droits des personnes.

Enfin, peu importe l’étendue des pouvoirs qui lui incombe, la conservation du patrimoine fiduciaire est au cœur de sa mission (art. 1301 et 1306 C.c.Q.). Une telle obligation a une résonance particulière en matière de gouvernance des données pour laquelle la cybersécurité et la protection de l’intégrité des systèmes d’information revêtent une importance capitale, comme attestent les discussions autour du projet de loi 64.

  • Pourquoi vouloir créer une fiducie de données?

L’intérêt croissant pour cet outil se concentre essentiellement autour des problématiques relatives au partage des données personnelles, ou plus largement de l’ensemble des données qui revêtent un caractère sensible (ex. : les données urbaines, les données humanitaires).En effet, la perte ou l’absence de contrôle des individus sur les données qu’ils génèrent découle des limites relatives à la règle du consentement en matière de renseignements personnels, mais aussi du fait que les individus ne bénéficient pas financièrement du partage des données personnelles qu’ils ont eux-mêmes générés. C’est au regard de ces asymétries de pouvoirs que la notion de data trust a pris de l’ampleur en common law. Elle était d’ailleurs présente dans la Charte canadienne du numérique.  

Toutefois, bien que sujet à discussions[4], le data trust a donné naissance à la notion de fiducie de données en droit civil et dont sa forme québécoise se trouve certainement la mieux adaptée aux enjeux mentionnés ci-dessus. Si la finalité constitue la clé de voûte du modèle québécois – contrairement au trust de common law-, elle est également un pilier des règlementations encadrant le traitement des renseignements personnels. La finalité circonscrit les raisons et modalités de collecte des données, et donc celles quant à leur partage. Avec la fiducie québécoise, la finalité n’est plus un principe directeur, mais une contrainte à laquelle le fiduciaire doit se conformer sous peine d’engager sa responsabilité personnelle. Bien que les règles de droit commun quant à la surveillance et à la responsabilité des fiduciaires présentent quelques fragilités, le traitement des données se trouve dûment attaché et contraint à la finalité pour laquelle la fiducie fut constituée. Plus largement, puisqu’elle peut servir une finalité purement objective, la fiducie de données se révèle un levier pour arrimer la recherche du bien commun à la gouvernance des données.

De plus, les données personnelles ne peuvent être collectées ni partagées sans le consentement de personnes à partir desquelles elles sont extraites. Devenu inapproprié dans un contexte de données massives, le consentement se trouve privé de toute qualité de sorte qu’une adaptation de la règle au contexte actuel s’impose. Aussi, dans la lignée des propositions faites au fédéral pour sortir des contraintes du consentement (art. 39 du projet de loi C-c11), la fiducie permettrait de mettre en œuvre un métaconsentement[5] : en consentant à ce que les données soient mises en fiducies, les personnes délèguent leur consentement au fiduciaire à qui il appartient, par la suite, d’apprécier dans quelle mesure l’usage et le partage des données demeurent conformes aux dispositions fiduciaires. Ainsi, indirectement, les personnes retrouvent une maîtrise du traitement des données, et ce par l’intermédiaire du fiduciaire.

Ainsi, non seulement le choix du fiduciaire est crucial, mais les qualités qu’il doit revêtir le sont tout autant. Par exemple, quand une fiducie de données est constituée dans le but de promouvoir et garantir le bien commun, cette finalité doit se refléter dans la composition de son corps fiduciaire. L’échec du projet de quartier connecté de Sildewalk Labs à Toronto en est un exemple fort : les modalités de gouvernance des données mises en œuvre en l’espèce furent vivement critiquées pour leur incompatibilité avec la finalité du projet. Le régime de l’administration du bien d’autrui auquel est soumis le fiduciaire prévient les risques de conflits d’intérêts (art. 1310 et 1314 C.c.Q.). Toutefois, une réflexion de fond doit être opérée sur l’ensemble des qualités que doit présenter un fiduciaire de données, et ce d’autant plus si les données sont vues comme des biens communs et pour satisfaire la mise en œuvre d’une IA responsable. Ces réflexions devront d’ailleurs aborder le degré requis d’expertise en matière de gouvernance de données ainsi que l’opportunité de recourir à des professionnels soumis à un code déontologique (ex. : notaire et avocat).

Finalement, si son déploiement fait l’objet d’interrogations, nul doute que la fiducie de données constitue un outil innovant et consensuel au regard des enjeux de la gouvernance des données. Au-delà, elle constitue un instrument juridique de choix pour donner corps à l’objectif de créer une IA éthique et responsable.


[1] Sjef van Erp, « Management as Ownership of Data » dans Sebastuan Lohsse, Reiner Schulze et Dirk Staudenmayer (éd.), Data as Counter-Performance – Contract Law 2.0, Munster Colloquia on EU Law and the Digital Economy, Nomos Verlagsgesellschaft, Baden-Baden, 2020, p. 77-93.

[2] Ibid.

[3] Voir l’article 3.3 de la Loi sur le secteur privé tel qu’amendé par l’article 95 du projet de loi 64 ainsi que l’article 63.5 de la Loi sur l’accès tel qu’amendé également par l’article 14.

[4] Jeremiah Lau, James Penner et Benjamin Wong, (2020). The basics of private and public data trusts. Singapore Journal of Legal Studies, 2020(1), 90-114.

[5] Sur cette idée, voir notamment: Ploug T, Holm S. Meta consent: A flexible and autonomous way of obtaining informed consent for secondary research, en ligne: https://www.bmj.com/content/350/bmj.h2146 .

Ce contenu a été mis à jour le 5 janvier 2021 à 17 h 09 min.