Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) concernant la protection des données personnelles dans les services gouvernementaux numériques
Le 31 janvier 2019
Ottawa (Ontario)
Déclaration de Daniel Therrien,
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)
Introduction
Bonjour Monsieur le président et membres du Comité,
Je suis accompagné aujourd’hui de Gregory Smolynec, sous-commissaire du Secteur des politiques et de la promotion du Commissariat, et de Lara Ives, directrice exécutive de la Direction des politiques, de la recherche et des affaires parlementaires.
Je suis ici aujourd’hui pour vous donner mon point de vue dans le cadre de votre étude sur les répercussions sur la protection de la vie privée et les obstacles juridiques éventuels liés à la mise en œuvre de services gouvernementaux numériques au Canada, afin de vous aider à recommander au gouvernement comment améliorer ses services tout en protégeant la vie privée et la sécurité des Canadiens.
Un bon point de départ pour cette étude, parce qu’elle définit l’approche du gouvernement, est la Feuille de route de la stratégie de données publiée en novembre 2018, qui nous a été communiquée à la fin de l’année dernière. Dans ce document, le gouvernement indique que les « données ont le pouvoir de permettre au gouvernement de prendre de meilleures décisions, de concevoir de meilleurs programmes et d’offrir des services plus efficaces. Toutefois, pour que cela se produise, (…) nous devons renouveler notre approche. »
La Feuille de route indique de plus qu’« Aujourd’hui, chaque ministère et organisme produit et détient un vaste éventail de données diversifiées et en constante expansion (…). Ces données sont souvent recueillies d’une manière, fondée sur des pratiques et des principes informels, qui rend difficile leur communication à d’autres ministères ou aux Canadiens. Leur utilisation est inégale dans l’ensemble du gouvernement et leur valeur est sous-optimisée dans le processus décisionnel et dans les opérations quotidiennes. »
Nous appuyons bien sûr l’utilisation de la technologie pour améliorer la prise de décision du gouvernement et la prestation des services, mais, comme il est indiqué dans votre mandat, cela doit être effectué « tout en protégeant la vie privée des Canadiens ». À cet égard, il est important de se rappeler que la protection de la vie privée est un droit de la personne fondamental qui est également une condition préalable à l’exercice d’autres droits fondamentaux, comme la liberté, l’égalité et la démocratie.
La Feuille de route du gouvernement souligne la difficulté de communiquer les données dans tous les ministères et attribue cette situation aux pratiques et principes informels ou, parfois, à des obstacles juridiques. Je comprends qu’il existe en fait, au sein du gouvernement, un exercice servant à cerner ces obstacles juridiques en vue d'éliminer ceux qui seraient jugés incompatibles avec la nouvelle approche qui, selon le gouvernement, est nécessaire pour tirer parti des données.
Ce qui est un obstacle juridique pour certains peut être considéré par d’autres comme une garantie de protection de la vie privée. La terminologie que le gouvernement ou d’autres intervenants utilisent dans ce débat n’est pas neutre. Plusieurs des obstacles présumés se trouvent aux articles 4 à 8 de la Loi sur la protection des renseignements personnels actuelle. Ces règles devraient-elles être réexaminées en vue d’améliorer les services gouvernementaux à l’ère du numérique? Certainement. Certaines de ces règles devraient-elles être modifiées? Probablement.
Cependant, je vous demanderais de vous rappeler, lors de votre étude, que bien que ces rajustements puissent être souhaitables, toute nouvelle législation conçue pour faciliter des services gouvernementaux numériques doit respecter la vie privée en tant que droit de la personne. Autrement dit, les modalités peuvent changer, mais la fondation doit être solide et respecter le droit à la vie privée. Cette fondation doit reposer sur une loi renforcée sur la protection des renseignements personnels. Comme vous le savez, nous avons fait des recommandations en ce sens en 2016.
Modèle estonien
J’ai examiné avec intérêt le témoignage qui vous a été présenté par des représentants de l’Estonie au lancement de votre étude. On parle souvent du modèle estonien en raison de son architecture technologique, mais j’ai remarqué que les représentants ont plutôt mis l’accent sur l'importance des facteurs liés à l’attitude, y compris le besoin de surmonter les cloisonnements administratifs de l’État afin de réutiliser des renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis. Cela pourrait être considéré comme une validation de l’opinion selon laquelle notre Loi sur la protection des renseignements personnels doit être réexaminée et les « obstacles juridiques » éliminés. J’aimerais toutefois souligner qu’en Estonie, l’élimination des cloisonnements n’a pas entraîné une gestion horizontale tout azimut des données personnelles à l’échelle du gouvernement. Dans le modèle estonien, la réutilisation (ou la communication des renseignements personnels, selon la terminologie en usage au Canada) semble plutôt fondée sur des lois généralement conformes aux principes de vie privée reconnus à l’échelle mondiale et au Règlement général sur la protection des données. Je vous encourage toutefois à faire un suivi auprès d’eux sur les conditions juridiques qui sont en place concernant la réutilisation.
En ce qui concerne les aspects technologiques du modèle estonien, nous comprenons qu’il n’existe pas de base de données centralisée. L’accès est plutôt accordé grâce à la capacité de relier des serveurs individuels au moyen de voies d’accès cryptées (avec accès ou réutilisation autorisés à des fins légitimes déterminées). Ce système qui limite l'accès à des fins précises par les organismes gouvernementaux est susceptible de réduire le profilage. Nous comprenons également que des mesures de protection de la vie privée et de sécurité sont prises au moyen du cryptage et de l’utilisation de la chaîne de blocs. Cela est conforme à l’une de nos recommandations de 2016 concernant la refonte de la Loi sur la protection des renseignements personnels, à savoir de créer une obligation juridique pour les institutions gouvernementales de protéger les renseignements personnels.
Je constate que l’autorité chargée de la protection des données occupe une place importante dans le modèle estonien, ce qui comprend un rôle proactif explicite, ainsi que le pouvoir de rendre des ordonnances contraignantes, de demander l’ouverture de poursuites criminelles et d’imposer des amendes lorsque des données sont traitées de façon non conforme à la loi. De même, la place qu’occupe le Commissariat à la protection de la vie privée pour ce qui est de son rôle proactif et de surveillance devrait être tout aussi importante, conformément à nos recommandations concernant la réforme de la Loi sur la protection des renseignements personnels.
J’aimerais conclure avec des questions que je désirais porter à votre attention lorsque vous examinerez plus attentivement le modèle estonien, ou discuterez de son application dans le contexte canadien.
- Nous avons entendu des représentants dire que le succès du système repose sur la confiance, laquelle requiert des protections solides. Toutefois, aucun système n’est entièrement sécuritaire. Quelles mesures d’atténuation sont en place dans le modèle estonien lorsque (et non pas « si ») il y a une atteinte à la sécurité?
- La Feuille de route de la stratégie de données du Canada suppose que la valeur d’un modèle comme celui de l’Estonie réside dans l’analyse des données détenues par l'ensemble du gouvernement. Étant donné la décentralisation des ensembles de données et le régime législatif qui limite la ré-utilisation à des fins précises, nous ne voyons pas bien comment cela pourrait être réalisé. Vous pourriez peut-être considérer cet enjeu.
- Enfin, je suggère qu’obtenir des éclaircissements de la part des fonctionnaires Estoniens au sujet des conditions juridiques régissant la réutilisation des données.
Merci. Je répondrai volontiers à vos questions.
- Date de modification :