La Cour supérieure du Québec a récemment rendu une décision qui, malgré sa portée limitée, soulève d’importantes préoccupations quant à l’utilisation de renseignements accessibles au public à des fins commerciales. La Cour a en effet conclu que le Registraire des entreprises du Québec (le « Registraire ») n’était pas habilité à surveiller et à contrôler l’utilisation faite des renseignements du Registre des entreprises du Québec (le « Registre »), une base de données constituée par l’État, une fois ceux-ci légalement obtenus. Cela dit, le Registraire a mis à jour les conditions d’utilisation de son site Web en 2016 dans le but d’empêcher les utilisateurs du Registre de recueillir et de diffuser son contenu à des fins commerciales. Ces nouvelles conditions ne sont pas remises en cause. Néanmoins, OpenCorporates conteste la prétention du Registraire selon laquelle il peut la forcer à cesser de publier les données qu’elle a recueillies avant l’entrée en vigueur des nouvelles conditions. Bien que la Cour ait tranché en faveur d’OpenCorporates, elle se limite dans ses conclusions à évaluer les responsabilités du Registraire. Ainsi, elle passe outre aux inquiétudes concernant la protection de la vie privée que soulève l’utilisation par OpenCorporates de renseignements personnels accessibles au public à des fins commerciales. En s’abstenant d’aborder les répercussions des pratiques d’OpenCorporates sur la protection de la vie privée, la Cour a raté une excellente occasion de fournir des précisions quant à l’utilisation de renseignements accessibles au public à des fins commerciales.
Contexte
Le 6 septembre 2019, la Cour supérieure du Québec a rendu un jugement déclaratoire contre le Registraire dans l’affaire Opencorporates Ltd. c. Registraire des entreprises du Québec1 déclarant que sa loi habilitante, soit la Loi sur la publicité légale des entreprises (« LPLE »)2, ne l’autorise pas à empêcher la demanderesse de publier et de distribuer les données légalement recueillies à partir du Registre.
Le Registraire, un officier public dont les fonctions sont établies par la LPLE3, veille à ce que les entreprises qui sont constituées au Québec ou qui y exercent des activités soient dûment immatriculées et rend les renseignements qu’il recueille publics par l’entremise du Registre4. La demanderesse OpenCorporates, une entreprise établie au Royaume-Uni, est l’éditrice de l’une des plus importantes bases de données publiquement accessibles. Elle donne accès à des données fiables sur des entreprises exerçant des activités dans près de 130 territoires, dont le Québec5. De 2012 à 2016, OpenCorporates a recueilli des renseignements à partir du Registre en utilisant diverses techniques de raclage de données automatisé, puis les a rassemblés dans sa propre base de données. Toutefois, en mars 2016, le Registraire, dans le but de mettre un terme à ce genre de pratiques, a modifié les conditions d’utilisation de son site Web pour interdire la compilation et la diffusion des données du Registre. De ce fait, il empêche contractuellement OpenCorporates de continuer de recueillir les renseignements du Registre. Le Registraire est même allé plus loin dans sa tentative de protéger les données du Registre. En novembre 2016, il a envoyé une mise en demeure à OpenCorporates lui demandant de retirer les renseignements qu’elle avait recueillis avant la modification des conditions d’utilisation. La demanderesse estime que cette demande a été formulée sans aucune autorité légale.
Décision
Le Registraire reconnaît à titre préliminaire qu’aucune disposition de sa loi habilitante ni de toute autre loi ne l’autorise explicitement à surveiller l’utilisation faite des données du Registre une fois qu’elles ont été légalement obtenues.6 Le Registraire estime toutefois que l’utilisation qu’en a faite la demanderesse contrevient à l’objet et à la finalité de la LPLE, ce qui lui permet de prendre des mesures contre elle. Étant donné que les fonctions de recherche de la base de données d’OpenCorporates ne sont pas restreintes (contrairement à celles du Registre, lequel est conçu pour empêcher les recherches par nom ou adresse d’une personne physique7), le Registraire prétend que les agissements de la demanderesse vont à l’encontre de la finalité de la LPLE. Le Registraire soutient également que la LPLE lui accorde le pouvoir exclusif de gérer et de publier des renseignements au sujet des entreprises du Québec et que, de ce fait, il peut prendre des mesures pour assurer la sécurité des données du Registre.
La Cour clarifie dès le départ que l’affaire ne concerne pas la légalité de la base de données elle-même. Au contraire, elle indique explicitement qu’une personne physique dont les renseignements personnels s’y retrouvent pourrait disposer d’un recours en vertu des lois sur la protection de la vie privée applicables8.
Pour déterminer si le Registraire pouvait bel et bien surveiller et empêcher l’utilisation par OpenCorporates des données du Registre, la Cour procède à une analyse des termes, du contexte et de la finalité de la LPLE. La Cour conclut que rien dans cette loi ne restreint le droit des entreprises comme OpenCorporates de recueillir des renseignements figurant au Registre au moyen de processus automatisés de collecte de données et de les publier dans une base de données distincte. Si le Registraire se voit effectivement imposer des restrictions quant à la gestion du Registre9, celles-ci ne s’appliquent à aucune autre entité et ne confèrent pas au Registraire le monopole pour la constitution d’une base de données sur les entreprises du Québec. Par conséquent, le Registraire ne pouvait pas interdire à OpenCorporates d’utiliser les données qu’elle avait recueillies avant l’entrée en vigueur des nouvelles conditions d’utilisation.
Analyse et points importants à retenir pour les entreprises
Vue sous l’angle des données ouvertes, la décision est appréciable pour deux raisons. Premièrement, elle indique clairement que le Registraire, un officier public, ne possède pas le pouvoir exclusif de publier des données au sujet des entreprises qui exercent des activités au Québec. Autrement dit, les entreprises peuvent créer leur propre base de données sur les entreprises du Québec. Deuxièmement, elle indique que le Registraire n’est pas habilité à surveiller et à protéger les données du Registre qui ont été légalement obtenues avant l’entrée en vigueur des nouvelles conditions d’utilisation. Malgré sa portée limitée, cette conclusion éclaircit le rôle que confie la LPLE au Registraire.
À l’inverse, la décision confirme aussi que les organisations peuvent invoquer des conditions d’utilisation pour restreindre la reproduction et l’utilisation non autorisées des données de leur site Web. Elle s’aligne ainsi sur des décisions antérieures concernant le raclage de données.
Bien que la décision règle certaines questions importantes, d’autres demeurent sans réponse. La Cour suggère notamment qu’une personne physique pourrait contester les pratiques d’OpenCorporates en vertu des lois sur la protection de la vie privée applicables. Par exemple, au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé10 (« LPRPSP du Québec ») trouve application dans les dossiers intraprovinciaux au lieu de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») fédérale. Elle s’applique donc aux renseignements personnels recueillis dans le dossier qui nous occupe. OpenCorporates serait effectivement assujettie à la LPRPSP du Québec si on considère qu’elle recueille les informations du Registre à des fins commerciales11, et ce, même si elle est une éditrice basée au Royaume-Uni qui n’a aucun établissement au Québec12.
Le Registre contient des renseignements personnels. Il convient de noter qu’il n’existe pas d’exception concernant les renseignements personnels accessibles au public dans la LPRPSP du Québec. Toutefois, certaines parties de la loi ne s’appliquent pas aux renseignements personnels qui, en vertu d’une loi, sont publics13. Dans le cadre de décisions similaires rendues en vertu de la LPRPDE, le Commissariat à la protection de la vie privée a estimé qu’il était illégal pour des entités établies à l’étranger de recueillir et de réutiliser des renseignements accessibles au public concernant des Canadiens14.
De plus, la Cour ne s’est pas penchée sur la validité des limites que les conditions d’utilisation imposent à des renseignements qui sont autrement accessibles au public, notamment selon les exigences du droit de la concurrence15. Il est intéressant de noter qu’à l’extérieur du Québec, les lois applicables concernant la protection des données dans le secteur privé prévoient certaines exceptions pour les renseignements auxquels le public a accès16 et les coordonnées d’affaires17. Cependant, ces exceptions sont assorties de certaines limites qui pourraient empêcher la republication de bases de données accessibles au public. Les entreprises devraient donc tout de même faire preuve de prudence avant de diffuser des renseignements personnels provenant de registres constitués par l’État.
1 Ibid., paragr. 72-80.
2 Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 [LPRPSP du Québec].
3 Voir ibid., art. 1 : « à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil ». Voir aussi Firquet c. Acti-Com, 2018 QCCAI 245, paragr. 14.
4 Voir Institut d’assurance du Canada c. Guay, [1998] CAI 431. Voir aussi Institut d’assurance du Canada c. Guay, 1997 CanLII 6532 (QC C.Q.). À l’extérieur du Québec, il a été établi que la LPRPDE peut s’appliquer à une entreprise étrangère qui exerce une activité commerciale ayant un lien réel et substantiel avec le Canada. Voir Lawson c. Accusearch Inc, 2007 CF 125; AT c. Globe24h.com, 2017 CF 114.
5 Opencorporates Ltd. c. Registraire des entreprises du Québec, 2019 QCCS 3801 [Opencorporates].
6 Ibid., paragr. 20.
7 En effet, la Loi concernant le cadre juridique des technologies de l’information oblige le Registraire à limiter les fonctions de recherche du Registre à sa finalité, soit, notamment, de permettre au public de trouver de l’information au sujet d’une entreprise, et non d’une personne. Voir de façon générale Opencorporates, supra, note 1, paragr. 72-80.
8 Ibid., paragr. 44-47.
9 Ibid., paragr. 72-80.
10 Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1 [LPRPSP du Québec].
11 Voir ibid., art. 1 : « à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil ». Voir aussi Firquet c. Acti-Com, 2018 QCCAI 245, paragr. 14.
12 Voir Institut d’assurance du Canada c. Guay, [1998] CAI 431. Voir aussi Institut d’assurance du Canada c. Guay, 1997 CanLII 6532 (QC C.Q.). À l’extérieur du Québec, il a été établi que la LPRPDE peut s’appliquer à une entreprise étrangère qui exerce une activité commerciale ayant un lien réel et substantiel avec le Canada. Voir Lawson c. Accusearch Inc, 2007 CF 125; AT c. Globe24h.com, 2017 CF 114.
13 Voir la LPRPSP du Québec, supra, note 10, art. 1 : « Les sections II et III de la présente loi ne s’appliquent pas à un renseignement personnel qui a un caractère public en vertu de la Loi. »
14 Rapport de conclusions d’enquête en vertu de la LPRPDE no 2015-002, « Un site Web générant des revenus en publiant des décisions judiciaires canadiennes et en permettant leur indexation par les moteurs de recherche a contrevenu à la LPRPDE », 5 juin 2015; Rapport de conclusions d’enquête en vertu de la LPRPDE no 2018-002, « La réutilisation de millions de profils d’utilisateurs Facebook canadiens effectuée par une entreprise contrevient à la loi en matière de protection de la vie privée : Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques contre Profile Technology Ltd. », 12 juin 2018.
15 Voir de façon générale Toronto Real Estate Board c. Commissaire de la concurrence, [2018] 3 RCF 563, demande d’autorisation d’appel à la Cour suprême rejetée, 23 août 2018, no 37932.
16 Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, c. 5, art. 7 (1)(d), (2)(c.1) et (3)(h.1) [LPRPDE]; Règlement précisant les renseignements auxquels le public a accès, DORS/2001-7; Personal Information Protection Act, RSA 2003, c. P-6.5, art. 14, 17 et 20 [PIPA de l’Alberta]; Personal Information Protection Act Regulation, Reg. 366/2003 (Alb.), art. 7; Personal Information Protection Act, RSBC 2003, c. 63, art. 12(e), 15(e) et 18(e) [PIPA de la Colombie-Britannique].
17 LPRPDE, art. 2 (1); PIPA de l’Alberta, art. 4 (3)(d); PIPA de la Colombie-Britannique, art. 1.
