Sélection de la langue

Recherche

Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) au sujet de l’atteinte à la sécurité des renseignements personnels associée à Cambridge Analytica et à Facebook

Le 1er novembre 2018
Ottawa (Ontario)

Déclaration de Daniel Therrien,
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Monsieur le Président,  Mesdames et Messieurs les membres du Comité, merci de l’invitation à comparaître devant vous aujourd’hui.

Je suis accompagné de Brent Homan, sous-commissaire du Secteur de la conformité, de Gregory Smolynec, sous-commissaire du Secteur des politiques et de la promotion et de Julia Barss, avocate générale du Commissariat.

La semaine dernière, j’ai assisté à la 40e Conférence internationale des commissaires à la protection des données et de la vie privée à Bruxelles.

La conférence a confirmé ce que j’ai expliqué dans mon dernier rapport annuel :  il y a crise dans le domaine de la collecte et du traitement des renseignements personnels en ligne.

Même les géants de la technologie, présents à la conférence en personne ou par vidéo, reconnaissent que le statu quo ne peut pas continuer.

Mises en garde de l’industrie

Le président-directeur général d’Apple, Tim Cook, a parlé d’un « complexe industriel de données » et a émis la mise en garde suivante : « Nos propres renseignements, des plus banals aux plus personnels, sont utilisés contre nous comme des armes avec une efficacité militaire. » Il a ajouté : « C’est de la surveillance. » [Traduction libre]

Mark Zuckerberg de Facebook a admis que sa société avait commis un « grave abus de confiance » dans l’affaire Cambridge Analytica.

Les deux sociétés se sont montrées favorables à une nouvelle loi américaine semblable au Règlement général sur la protection des données (RGPD) européen.

Lorsque les géants de la technologie deviennent de fervents partisans d’une réglementation contraignante, il apparaît évident que la situation a changé de façon fondamentale et que nous vivons effectivement une crise.

Votre comité est clairement conscient de l’urgence d’agir  et vous avez appuyé nos propositions de modifications à la loi.

Le gouvernement est toutefois lent à agir, mettant  en péril la confiance des Canadiens envers l’économie numérique, nos processus démocratiques et nos autres valeurs fondamentales.

Développements internationaux

Prenons un instant pour examiner les conséquences sur la vie privée des plateformes en ligne et l’intégrité des élections.

Comme le disait le chercheur canadien en intelligence artificielle, Yoshua Bengio, récemment dans Le Monde:

« Nos données alimentent des systèmes qui apprennent à nous faire pousser sur des boutons pour acheter un produit ou choisir un candidat. Les organisations qui maîtrisent ces systèmes peuvent influencer les peuples contre leur intérêt, avec des conséquences graves pour la démocratie et pour l’humanité. »

« …. La seule manière de rétablir l’équilibre, c’est que l’individu ne reste pas seul face à l’entreprise mais qu’on agisse ensemble. C’est le rôle des gouvernements que de protéger les individus. Rien n’empêche de réglementer contre les dérives et la concentration du pouvoir dans certains secteurs. »

Ces menaces ne planent pas que sur le Canada, mais bien sur le monde entier.

Outre l'utilisation non autorisée des renseignements personnels pour influencer les élections, nous avons également vu des États hostiles s’ingérer dans les élections en ciblant délibérément les données personnelles.

Pour citer Giovanni Buttarelli, le contrôleur européen de la protection des données : « Jamais auparavant la démocratie n’a été aussi clairement tributaire du traitement légitime et équitable des données personnelles. »

De récentes enquêtes dans différents pays ont démontré que les partis politiques récoltaient d’importantes quantités de renseignements personnels sur les électeurs et adoptaient de nouvelles techniques de ciblage intrusives.

En juillet, la commissaire du Royaume-Uni à l’information a publié son rapport préliminaire sur l’affaire Facebook-Cambridge Analytica lequel a révélé de très graves lacunes dans la façon dont agissent les acteurs numériques.

Par exemple, malgré d’importants contrôles pour la protection des renseignements personnels sur Facebook, elle a constaté que les utilisateurs n’étaient pas mis au courant des utilisations politiques qui sont faites de leurs renseignements personnels.

La commissaire du Royaume-Uni a également soulevé des préoccupations quant à la disponibilité et à la transparence des contrôles offerts aux utilisateurs relativement aux publicités et aux messages qu’ils reçoivent.

Concrètement, le Commissariat du Royaume-Uni a conclu que les partis politiques étaient au cœur de ces activités de collecte et de micro-ciblage des données.

Application des lois sur la protection de la vie privée au Canada

Rien de tout cela n’augure bien pour les électeurs. Lorsque nous avons interrogé les Canadiens pour la dernière fois à ce sujet, 92 % d’entre eux souhaitaient que les partis politiques soient assujettis aux lois sur la protection de la vie privée. C’est ce qui se rapproche le plus de l’unanimité dans de tels sondages.

En septembre, les commissaires à la protection de la vie privée de tout le Canada ont présenté une résolution conjointe exhortant les gouvernements à s’assurer que les partis politiques soient assujettis aux lois sur la protection de la vie privée.

Les experts universitaires, la société civile et le public canadien étaient tous d’accord avec cette position, de même que le directeur général des élections.

Le gouvernement, par contre, soutient que, bien que l’application des lois sur la protection de la vie privée aux partis politiques soit une question qui mérite d’être étudiée, les prochaines élections fédérales peuvent se dérouler sans y recourir.

Le manque de surveillance exercée sur les pratiques de traitement des renseignements personnels des partis politiques canadiens devient malheureusement une exception par rapport aux autres pays et expose les élections canadiennes à une manipulation et à utilisation non autorisée des renseignements personnels.

En d’autres termes, sans une réglementation appropriée des données, il  y aura un risque sérieux d’injustice dans le processus électoral lors des prochaines élections fédérales au Canada.

Enquête sur Facebook

Cela m’amène à vous rendre compte de nos activités d’enquête.

Comme vous le savez, le CPVP et le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique enquêtent actuellement sur les allégations faites au sujet de Facebook et d’Aggregate IQ, révélées le printemps dernier.

Le travail avance, mais nous n’avons pas encore tiré nos conclusions. Nous continuons de recueillir et d’analyser l’information.

En raison des obligations de confidentialité en vertu de la loi, je suis limité dans les renseignements que je peux communiquer. Je peux toutefois vous faire part de ce qui suit :

Notre enquête se concentre sur l’accès aux renseignements personnels fournis à des tiers par Facebook ─ en particulier, la communication des renseignements d’« amis » aux développeurs d’applications. Il s’agissait d’un enjeu grave en 2009, et nous l’avions signalé comme tel à Facebook à l’époque, il y a près de 10 ans.

Depuis mai, les enquêteurs ont présenté trois demandes de renseignements détaillées et reçu et examiné en réponse plusieurs observations de la part de Facebook. Nous avons demandé à Facebook de détailler ses politiques et ses procédures depuis 2013.

Nous avons également demandé des renseignements détaillés à propos de ses mesures de sécurité et de son processus d’« examen des applications » interne, ainsi que du respect des engagements pris envers le Commissariat en 2009 et en 2010.

Enquête sur Aggregate IQ

Notre enquête sur Aggregate IQ cherche à déterminer si elle a recueilli ou utilisé les renseignements personnels sans consentement ou à des fins autres que celles indiquées ou claires pour les gens.

Depuis ma dernière comparution, les enquêteurs du Commissariat ont formulé d’autres demandes de renseignements, effectué une visite sur place, mené des entrevues sous serment avec MM. Massingham et Silvester, et ont examiné des centaines de dossiers internes d’Aggregate IQ, entre autres ceux contenus dans ses appareils électroniques.

Afin de rendre nos conclusions publiques le plus tôt possible, nous prévoyons achever les enquêtes et publier les rapports par phases. Nous visons la fin de cette année pour la première phase, le printemps pour la deuxième phase.

La protection de la vie privée comme condition préalable

Le temps de l’autoréglementation est terminé pour l’industrie et les partis politiques. Le gouvernement ne peut plus attendre pour agir.

En l’absence d’une réforme globale, le Parlement devrait veiller à ce que des lois pertinentes sur la protection de la vie privée s’appliquent aux partis politiques.

Il devrait également conférer au Commissariat les mêmes pouvoirs d’inspection et d’application de la loi que ceux dont jouissent la plupart des partenaires commerciaux du Canada.

La vie privée n’est pas un droit que nous cédons simplement au profit de l’innovation, de l’efficacité ou de gains commerciaux. Personne n’a librement consenti à ce que ses renseignements personnels servent d’arme contre lui.

De même, nous ne pouvons laisser interrompre le processus démocratique canadien, pas plus que nous ne pouvons laisser nos institutions être minées dans la course à la numérisation de tout et de tout le monde, tout simplement parce que la technologie le permet.

La technologie doit être au service de l’humanité, c’est-à-dire de tous les individus.

Sans individualité et vie privée, c’est un truisme philosophique et pratique que de dire que nous ne pouvons avoir une vie publique et démocratique; pas plus que nous ne pouvons jouir des autres droits fondamentaux que nous chérissons, y compris l’autonomie, l’égalité et la liberté.

Sans la protection de la vie privée, l’environnement social qui nous est cher au Canada, caractérisé par la démocratie, l’harmonie politique et l’indépendance nationale, est exposé à des risques réels et menacé par les États hostiles.

Il n’est pas exagéré d’affirmer que la numérisation de tant d’aspects de nos vies est en train de redéfinir l’humanité.

Si nous ne faisons pas attention, elle prendra une forme qui ne correspond pas à nos droits et à nos valeurs les plus fondamentaux.

Il faut protéger les droits humains et démocratiques des Canadiens, ainsi que nos intérêts nationaux.

Conclusion

Enfin, concrètement, bien que le Règlement général sur la protection des données de l’Union européenne comporte plusieurs éléments excellents, nous devrions tendre vers une approche qui reflète le contexte et les valeurs canadiens, y compris nos relations commerciales étroites au sein de l’Amérique du Nord, de l’Europe et de la région Asie-Pacifique.

La nouvelle législation canadienne devrait accorder une place de choix au consentement valable, mais aussi tenir compte d’autres façons de protéger la vie privée lorsque l’obtention du consentement n’est pas réaliste, par exemple dans le développement de l’intelligence artificielle.

La notion d’intérêt légitime du Règlement général sur la protection des données peut être envisagée à cet égard.

Notre législation devrait probablement continuer de reposer sur des principes généraux et d’être neutre sur le plan technologique, mais elle devrait aussi être fondée sur les droits et élaborée non pas comme un code de conduite pour l’industrie, mais plutôt comme une loi qui confère des droits, tout en permettant une innovation responsable.

Elle devrait également habiliter une autorité publique à  émettre des lignes directrices contraignantes quant à l’application des principes généraux dans des circonstances particulières, de sorte que les principes généraux puissent être véritablement appliqués en pratique.

Elle devrait en outre permettre l’échange de renseignements entre les différents organismes de réglementation. La protection efficace des consommateurs et des citoyens en ligne doit passer par plusieurs organismes de réglementation, et ceux-ci doivent être en mesure de mieux coordonner leur travail.

Il est aussi absolument impératif que les lois sur la protection de la vie privée soient appliquées aux partis politiques canadiens.

Merci de vous pencher sur  cet enjeu primordial. C’est avec plaisir que je répondrai maintenant à vos questions.

Date de modification :