Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique pour discuter de l’étude de l’atteinte à la sécurité des renseignements personnels associée à Cambridge Analytica et Facebook

Le 17 avril 2018
Ottawa (Ontario)

Déclaration de Daniel Therrien,
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

Introduction

Bonjour,

J’aimerais remercier les membres du Comité de m’avoir invité à discuter aujourd’hui de l’incidence des plateformes en ligne sur la protection de la vie privée et des solutions législatives qui pourraient répondre aux préoccupations des citoyens concernant l’utilisation de leurs renseignements personnels.

Comme vous le savez, il y a quelques semaines, j’ai reçu une plainte à ce sujet et j’ai annoncé que le Commissariat avait lancé une enquête officielle  sur la façon dont les activités de Facebook et d’AggregateIQ ont pu porter atteinte à la vie privée des Canadiens.

Compte tenu de mes obligations juridiques en matière de confidentialité, je ne peux pas discuter des détails de cette enquête avec vous aujourd’hui. Je ne peux pas préjuger de nos conclusions.

Je peux toutefois vous  offrir mes observations sur le contexte plus général qui, je l'espère, pourraient vous aider lors de vos délibérations.

La confiance et les aspects économiques des renseignements personnels

Les Canadiens veulent profiter des nombreux bienfaits de l'économie numérique, mais ils s'attendent à juste titre à ce qu'ils puissent le faire tout en sachant que leurs droits seront protégés par des lois efficaces.

Ils veulent avoir la confiance que les règles, les lois et le gouvernement les protègeront contre d’éventuels préjudices.

Dans la récente affaire Facebook, le PDG de l’entreprise, Mark Zuckerberg, a admis qu’il y avait eu « un grave bris de confiance ».

Comme l’a reconnu le PDG d’un autre géant de la haute technologie, Tim Cook d’Apple, la situation est tellement alarmante qu’il est maintenant temps d’adopter des lois à la mesure du problème afin de réglementer l'économie numérique.

Le temps de l’autorégulation est terminé.

Bien sûr, au Canada, nous avons des lois relatives à la protection de la vie privée. Mais celles-ci sont très permissives et accordent aux entreprises une grande latitude en ce qui concerne l’utilisation des renseignements personnels dans leur propre intérêt.  

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les organisations  doivent respecter le principe de responsabilité,mais les Canadiens ne peuvent se fier exclusivement aux entreprises pour gérer leurs renseignements de façon responsable.

La transparence et la responsabilité sont nécessaires, mais elles ne sont pas suffisantes.

Pour être clair, il ne suffit pas de demander aux entreprises d’être à la hauteur de leurs responsabilités.

Les Canadiens ont besoin de lois plus strictes en matière de protection des renseignements personnels qui les protégeront lorsque les organisations échoueront à le faire.

C’était l’une des principales conclusions de mon rapport annuel au Parlement l’année dernière. J’ai également soulevé ce point au cours de votre étude récente de la LPRPDE, la loi fédérale sur la protection des renseignements personnels dans le secteur privé.

Compte tenu de l’opacité des modèles d’affaires et de la complexité des flux de données, la loi devrait permettre au Commissariat, à titre de tiers indépendant, de se rendre dans une organisation et de vérifier si cette dernière respecte les principes de protection de la vie privée, et ce, sans devoir au préalable soupçonner qu'il y a eu violation de la loi.

Le moment est aussi venu de conférer au Commissariat le pouvoir d’émettre des ordonnances et d'imposer des sanctions pécuniaires contre ceux qui refusent de se conformer à la loi.

Une législation renforcée n’a pas à être un obstacle à l’innovation.

Nous savons que nos renseignements personnels sont au cœur de la révolution numérique, y compris les avancées en intelligence artificielle. Ces avancées sont essentielles au développement social et économique du pays.

Nous avons besoin d’un cadre législatif qui exige un consentement éclairé comme règle générale, tout en reconnaissant que le consentement ne sera pas toujours possible dans le monde des mégadonnées et de l'intelligence artificielle, où les renseignements personnels sont utilisés à des fins qui ne sont pas toujours connues lors de leur cueillette initiale.

C’est pourquoi nous avons recommandé que le Parlement examine la possibilité de proposer de nouvelles exceptions au consentement. Nous pensons qu'il est préférable d'adopter de telles exceptions, assorties de conditions qui protégeraient réellement la vie privée, plutôt que s'en remettre à une interprétation si élastique du consentement qu'il en perd son sens.

Nous préférons des exceptions restreintes et particulières — mais nous reconnaissons qu’une option pourrait être une exception d’intérêt légitime comme il en existe une en Europe.

J’ai constaté avec grand plaisir que votre comité a récemment publié un rapport réclamant des changements en profondeur à la loi fédérale sur la protection des renseignements personnels dans le secteur privé, qui comprenait certaines recommandations  que j’avais formulées, ainsi que plusieurs autres suggestions qui renforceraient de façon significative les droits des Canadiens en matière de protection de la vie privée.

Votre rapport montre que comprenez bien les conséquences du caractère désuet  des lois fédérales actuelles, et vous avez activement réclamé que le gouvernement apporte des changements en profondeur. Plusieurs autres intervenants en arrivent au même constat, y compris certains leaders de l'industrie technologique.

Je suis d'avis qu’il est maintenant temps d’agir.

Mesures de protection de la vie privée et partis politiques

Il est également temps d’agir dans le domaine des mesures de protection de la vie privée et des partis politiques.

Comme vous le savez, aucune loi fédérale sur la protection de la vie privée ne s’applique aux partis politiques. La Colombie-Britannique est la seule province qui possède une législation en la matière.

La situation est différente dans de nombreux autres pays. Le Royaume-Uni, la plupart des pays membres de l’Union européenne et la Nouvelle-Zélande ont des lois qui régissent les organisations politiques à cet égard.

En fait, dans de nombreux États membres de l’Union européenne, les renseignements relatifs aux opinions politiques sont considérés comme étant de nature très délicate et, à ce titre, ces renseignements sont considérés comme nécessitant des mesures de protection supplémentaires.

Dans l’environnement numérique, il existe maintenant de nombreux  acteurs qui jouent un rôle dans le domaine,  dont les courtiers en données, les entreprises d’analyse de données, les réseaux sociaux, les fournisseurs de contenu, les spécialistes du marketing numérique et les entreprises de télécommunications.

Par conséquent, pendant que je mène une enquête sur des organisations commerciales comme Facebook et AggregateIQ, je ne suis pas en mesure d’enquêter sur la façon dont les organisations politiques utilisent les renseignements personnels que des entreprises leur transmettent.

Il s’agit d’une lacune importante.

Il faut qu’une entité indépendante détenant les pouvoirs nécessaires puisse examiner les pratiques des partis politiques et déterminer si les droits en matière de respect de la vie privée sont véritablement respectés par tous les principaux intervenants.  

Cette lacune doit être comblée au moyen d’une mesure législative qui reste à déterminer, soit une loi existante sur la protection des renseignements personnels, la Loi électorale du Canada ou une nouvelle loi.

Conclusion

En conclusion, je voudrais de nouveau souligner l’urgence de la situation, ainsi que les enjeux auxquels il faut faire face.

L’intégrité de nos processus démocratiques, ainsi que la confiance à l’égard de l'économie numérique, font face à des risques importants.

Il s’agit de questions pressantes sur lesquelles les législateurs doivent se pencher, et je vous félicite de le faire.

De nouveau, je vous remercie. C’est avec plaisir que je répondrai maintenant à vos questions.

Date de modification :