Sélection de la langue

Recherche

Lettre au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique concernant le Budget principal des dépenses 2018-2019

Le 29 mai 2018, le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a transmis une lettre au Comité permanent de l’accès à l'information, de la protection des renseignements personnels et de l’éthique pour fournir au Comité les renseignements qu’il demandait durant sa comparution en lien avec le Budget principal des dépenses de 2018-2019, le 1er mai dernier.

Le 29 mai 2018

Monsieur Bob Zimmer, député
Président
Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique
Chambre des communes
131, rue Queen, 6e étage
Ottawa (Ontario) K1A 0A6

Monsieur le Président,

Je vous remercie ainsi que les membres du Comité de m’avoir donné l’occasion de comparaître devant vous afin de présenter le Budget principal des dépenses 2018-2019. Je vous écris en réponse aux questions posées durant la réunion au cours de laquelle on a demandé des renseignements supplémentaires concernant les atteintes et les amendes prévues à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou la Loi), ainsi que des recommandations sur la façon dont le Parlement peut remédier au problème que posent les « géants de données » afin d’assurer qu’ils assument leurs responsabilités envers les Canadiens. On m’a également demandé précisément de quelles ressources et de quels outils je pouvais avoir besoin pour veiller à ce que les entreprises respectent leurs obligations en matière de protection des renseignements personnels et pour promouvoir la sensibilisation du public à l’égard des questions liées à la vie privée.

Amendes en cas d’atteintes à la vie privée

Le Comité a demandé des éclaircissements concernant les amendes qui s’appliqueront aux organisations contrevenant aux nouvelles dispositions de la LPRPDE en matière d’atteintes. Comme le sait le Comité, depuis le 1er novembre 2018, la disposition actuelle de la LPRPDE en matière d’atteintes sera élargie afin d’inclure les atteintes suivantes :

  • omettre sciemment de déclarer au Commissariat toute atteinte aux mesures de sécurité présentant un risque réel de préjudice grave, et d’en aviser les intéressés (article 10.1);
  • omettre sciemment de tenir et de conserver un registre de toutes les atteintes aux mesures de sécurité (paragraphe 10.3(1)).

En conséquence, à compter du 1er novembre 2018, la disposition sur les infractions à l’article 28 de la LPRPDE énoncera ce qui suit :

  • 28. Toute organisation qui contrevient sciemment au paragraphe 8(8), à l’article 10.1 ou aux paragraphes 10.3(1) ou 27.1(1) ou entrave l’action du commissaire — ou de son délégué — dans le cadre d’une vérification ou de l’examen d’une plainte commet une infraction et encourt, sur déclaration de culpabilité :
    1. par procédure sommaire, une amende maximale de 10 000 $;
    2. par mise en accusation, une amende maximale de 100 000 $.

Le gouvernement a expressément déclaré son intention selon laquelle les organisations qui omettent sciemment d’aviser les intéressés d’une atteinte aux mesures de sécurité conformément à la LPRPDE peuvent faire l’objet d’une amende pour chaque personne non aviséeNote de bas de page 1. Je crois qu’il s’agit d’une interprétation raisonnable de la Loi en ce qui concerne le libellé des obligations en matière de déclaration prévues aux paragraphes 10.1(1) et (3) de la LPRPDE, qui font tous les deux mention d’une violation présentant un risque réel de préjudice grave à l’endroit d’un « individu » ou de « l’intéressé » et non d’individus collectivement. Toutefois, comme ce n’est pas le commissaire qui intentera des poursuites pour les infractions prévues à la LPRPDE, je propose au Comité de communiquer avec les représentants du Service des poursuites pénales du Canada et d’Innovation, Sciences et Développement économique Canada pour obtenir des renseignements supplémentaires sur la façon dont ils envisagent de mettre ces dispositions en pratique.

Réglementation des géants de données

En ce qui concerne la question des mesures efficaces permettant d’aborder les nombreux défis que représentent les entreprises qui traitent des quantités massives de renseignements personnels et qui en tirent profit, comme je l’ai indiqué au Comité, mon bureau a récemment effectué un exercice de restructuration dans le but de rationaliser notre travail et d’adopter une approche plus proactive pour protéger la vie privée. Nous avons concentré nos efforts là où nous pouvons avoir une incidence sur le plus grand nombre de Canadiens possible. Nous avons fait des pieds et des mains pour gagner en efficacité et faire une utilisation optimale de nos ressources et de nos outils. Néanmoins, nous sommes incapables de suivre le rythme des défis que représente l’environnement numérique de plus en plus complexe dans lequel nous vivons, en grande partie parce que les lois sur la protection des renseignements personnels du Canada ne sont pas adaptées à la réalité du XXIe siècle.

Afin de conserver la confiance des Canadiens envers l’environnement numérique, nous devons assurer un équilibre entre l’innovation, la croissance économique et la protection de la vie privée. Au fil des ans, à mesure que la technologie et les occasions commerciales ont évolué, mon bureau en a appris davantage sur cet environnement, mais nous avons toujours de la difficulté à garder le rythme, n’ayant qu’une vision partielle de la situation globale. Nous avons certainement appris que nous devons travailler avec les autres organismes de réglementation de la vie privée du Canada et du monde entier, ce que nous faisons de plus en plus. Nous avons également appris que nous devons établir des liens plus étroits avec les organismes de réglementation des autres secteurs, comme celui du droit de la concurrence. Nous avons commencé à établir ces liens, mais nous sommes limités par les paramètres du droit. La Loi me permet seulement de collaborer aux enquêtes menées par d’autres autorités d’exécution de la protection des renseignements personnels; je ne peux en faire autant avec le Bureau de la concurrence, le Conseil de la radiodiffusion et des télécommunications canadiennes, la Commission des droits de la personne ou Élections Canada, pour n’en nommer que quelques-uns. Nous nous sommes heurtés à ce problème lors d’une récente enquête concernant Ashley-Madison, où nous pouvions coopérer avec nos homologues en Australie et à la Federal Trade Commission aux États-Unis, mais où nous ne pouvions pas communiquer d’information au Bureau de la concurrence. Ces bureaux sont de plus en plus appelés à réagir aux répercussions qui découlent de l’environnement numérique. Avoir le pouvoir de communiquer de l’information à d’autres organismes de réglementation canadiens permettra d’accroître la coopération et de réduire les redondances. Comme il a été noté à juste titre lorsque je me suis présenté devant vous, les effets de cet environnement englobent bien plus que des questions de vie privée, y compris l’intersection de la vie privée, de la protection traditionnelle des consommateurs et des questions de monopole. Une approche globale est nécessaire pour assurer l’équilibre entre l’innovation, la croissance économique et les autres protections.

En plus d’une capacité améliorée de collaborer avec d’autres organismes de réglementation, je tiens à souligner à nouveau la nécessité de renforcer les capacités d’examiner de manière proactive les pratiques des organisations, sans attendre qu’un problème survienne, et d’établir des sanctions appropriées. Atteindre l’équilibre entre la croissance économique et la protection des droits est un long processus répétitif, et seul le temps nous dira plus précisément quelles sont les étapes à suivre. À l’heure actuelle, nous savons que nos pouvoirs ne sont pas suffisants et les renforcer, pour avoir une meilleure compréhension de l’environnement numérique, est un bon point de départ. Nous avons besoin de pouvoirs supplémentaires pour « regarder sous le capot » et en apprendre davantage sur les pratiques des entreprises, y compris un seuil réduit pour les vérifications et des sanctions crédiblesNote de bas de page 2.

Bien que les transferts transfrontaliers de données aient de nombreux avantages, idéalement, des instruments juridiques internationaux devraient être en place pour réglementer ces flux de données afin de protéger la vie privée et d’autres droits fondamentaux. Toutefois, en réalité, il peut s’écouler pas mal de temps avant de parvenir à un consensus international sur ces questions. Entre temps, les renseignements personnels sont assujettis à diverses lois nationales, beaucoup d’entre elles inspirées par les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’OCDE. Permettre à mon bureau de collaborer avec d’autres autorités (et pas seulement les autorités de protection des données, avec qui j’ai actuellement le pouvoir de collaborer, pouvoir que j’utilise de plus en plus) dans d’autres secteurs, comme celui du droit de la concurrence, tant à l’échelle nationale qu’internationale, aiderait également le Canada à jouer un rôle de chef de file dans ce domaine.

Enfin, vous avez demandé quels étaient les ressources et outils nécessaires. Cet environnement difficile, caractérisé par des menaces à la vie privée qui évoluent rapidement, a entraîné des pressions sans précédent sur les ressources limitées de mon bureau. Cela nous a amené à demander au gouvernement une modeste augmentation de 8 millions de dollars (30 %) en financement permanent pour apporter un soulagement provisoire en attendant une réforme législative qui est grandement nécessaire. S’ils nous sont accordés, ces fonds permettront de mettre l’accent sur l’établissement d’une présence limitée dans le cadre de notre nouvelle approche proactive prévoyant :

  • la nécessité d’offrir aux organisations un plus grand nombre d’orientations stratégiques sur les questions émergentes;
  • la nécessité d’offrir des activités de sensibilisation aux Canadiens pour qu’ils aient les connaissances nécessaires pour prendre le contrôle de leur vie privée;
  • l’offre des ressources au personnel d’enquête débordé pour qu’il puisse en partie suivre le rythme des besoins accrus d’application de la réglementation en adoptant une position réactive et proactive.

Toutefois, pour combler le fossé entre l’établissement d’une présence, avec nos efforts de promotion et de conformité, et la production d’un effet réel quant à la protection des droits à la vie privée des Canadiens, une augmentation budgétaire plus réaliste de 23 millions de dollars (90 %) pourrait être nécessaire. Cette augmentation est proportionnelle à l’augmentation que le parlement et le gouvernement du Royaume-Uni ont récemment octroyé à mon homologue, l’Information Commissioner’s Office, dont le personnel passera de 370 employés en 2017 à 700 employés en 2021. En accordant ce financement, le gouvernement du Royaume-Uni a montré qu’il comprenait la nécessité d’appliquer de robustes lois sur la protection des renseignements personnels afin de créer un climat durable propice à la croissance économique.

Quelle est la différence entre l’établissement d’une présence assortie d’une hausse de 30 % et la production d’un effet réel à 90 %? Dans le premier cas, nous pourrions entreprendre un nombre limité d’activités proactives de promotion et de conformité, ainsi que réduire (mais pas éliminer) nos arriérés de plaintes. Dans le deuxième cas, mon bureau aurait à sa disposition toute une gamme d’outils adéquats de promotion et de conformité. Nous avons déjà constaté l’existence d’un véritable intérêt quant à la prestation de plus de services-conseils aux entreprises; à l’heure actuelle, cependant, notre programme de conseils est limité et nettement insuffisant pour répondre à la demande exprimée.

Un financement intégral permettrait d’obtenir un ensemble complet de documents d’orientation et de s’assurer qu’ils restent à jour, ce qui est essentiel lorsque les avancées technologiques entraînent chaque jour de nouveaux risques pour la vie privée. Ce financement nous permettrait de donner des conseils à davantage d’organisations désireuses d’utiliser les nouvelles technologies d’une manière qui respecte la vie privée. Afin d’améliorer l’information offerte aux citoyens afin qu’ils puissent augmenter le contrôle de leur vie privée, nous pourrions utiliser la publicité contextuelle pour attirer les particuliers vers notre site lorsqu’ils sont sur le point de décider de divulguer ou non leurs renseignements personnels. Nous mettrions également au point des stratégies efficaces avec les régulateurs dans d’autres domaines pour faire en sorte que les entreprises soient prises en compte. Enfin, avec un financement complet, mon bureau pourrait à la fois agir proactivement quant aux risques les plus flagrants pour la vie privée, et réagir rapidement à toutes les plaintes, augmentant ainsi la portée de la conformité et de la dissuasion parmi les ministères et organisations qui souhaitent respecter les lois sur la protection des renseignements personnels du Canada.

J’espère que mes commentaires vous seront utiles et je suis impatient d’avoir d’autres occasions de discuter des questions de vie privée avec le Comité.

Je vous prie d’agréer, Monsieur le Président, mes salutations distinguées.

Le commissaire ,

(La version originale a été signée par)

Daniel Therrien

c.c.
Hugues La Rue
Greffier du comité

Date de modification :