Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) au sujet de l’étude sur la collecte et l'utilisation de données sur la mobilité par le gouvernement du Canada
Le 7 février 2022
Ottawa (Ontario)
Déclaration de Daniel Therrien
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)
Introduction
Je vous remercie de m’avoir invité à comparaître devant vous dans le cadre de votre importante étude. Je suis accompagné de Martyn Turcotte, directeur de l’analyse de la technologie au Commissariat. Aujourd’hui, mes observations porteront sur les points suivants :
- L’application des principes de protection de la vie privée à l’utilisation des données à des fins de santé publique;
- La nature des interactions entre l’Agence de la santé publique du Canada (ASPC) et le Commissariat à la protection de la vie privée du Canada;
- La place qu’occupe l’utilisation de données dépersonnalisées dans le traitement des données au 21e siècle dans les secteurs public et privé, et la nécessité d’une réforme législative.
Principes de protection de la vie privée et utilisation des données à des fins de santé publique
Au début de la pandémie, le Commissariat a reconnu que les données peuvent servir l’intérêt public, par exemple pour protéger la santé publique.
À cette fin, nous avons publié un cadre qui précise comment y parvenir tout en respectant la vie privée. L’un des éléments clés de ce cadre est l’utilisation de données dépersonnalisées ou agrégées dans la mesure du possible.
Notre cadre met en garde les institutions contre le risque toujours présent de réidentification en soulignant l’importance d’être attentif à ces risques, qui varient grandement d’un cas à l’autre.
Compte tenu du risque de réidentification, notre cadre précise qu’il est nécessaire d’adopter des moyens techniques, entre autres, pour protéger les renseignements.
Donc, en principe, l’utilisation de données dépersonnalisées ou agrégées à des fins de santé publique peut se faire conformément à notre cadre, si des normes techniques adéquates sont adoptées.
Nature des interactions avec l’ASPC et plaintes déposées par la suite auprès du Commissariat
Depuis le début de la pandémie, nous avons régulièrement des réunions avec l’Agence de la santé publique du Canada et Santé Canada sur des initiatives liées à la COVID-19. Ces interactions sont une bonne chose.
Je tiens à souligner ici que le rôle du Commissariat est de nature consultative. Les institutions sont libres d’accepter ou de rejeter nos recommandations.
En ce qui concerne l’utilisation des données de mobilité par le gouvernement, nous avons été informés que l’Agence souhaitait utiliser des données dépersonnalisées et agrégées. Nous avons proposé d’examiner les moyens techniques utilisés pour dépersonnaliser les données et de fournir des conseils à cet égard, ce qui a été refusé. Le gouvernement a fait appel à d’autres experts, ce qui est sa prérogative.
Comme nous avons maintenant reçu des plaintes d’atteinte à la vie privée, nous allons nous pencher sur les moyens choisis pour la dépersonnalisation pour voir s’ils permettent de protéger adéquatement les données contre la réidentification. Puisque cette question fait l’objet d’une enquête, nous ne serons pas en mesure de vous fournir notre avis sur cet aspect de votre étude.
En quoi l’utilisation des données dans l’initiative de l’ASPC est similaire à ce qui se fait dans les secteurs public et privé et comment cette utilisation démontre la nécessité d’une réforme législative
J’aimerais maintenant faire quelques observations sur la façon dont cette affaire renvoie à des questions plus vastes, comme l’utilisation des données par les secteurs public et privé, et le besoin urgent d’une réforme législative. Je souhaite également vous suggérer des questions que vous pourriez examiner au cours de votre étude.
Premièrement, soulignons que l’initiative sur les données de mobilité de l’ASPC n’est qu’un exemple d’une pratique très répandue. Les organisations des secteurs public et privé réutilisent constamment des données à de nouvelles fins. Cette pratique suscite des préoccupations légitimes de la part des consommateurs, en particulier lorsque leurs données personnelles sont utilisées à leur insu, à des fins autres que celles auxquelles ils s’attendaient.
Est-ce que cela signifie que ces pratiques ne devraient être autorisées qu’avec le consentement des consommateurs? Je crois que cela ne serait ni réaliste, ni raisonnable. Selon moi, la solution est plutôt d’autoriser l’utilisation des données personnelles pour le bien commun ou les fins commerciales légitimes, à l’intérieur d’une loi qui reconnaîtrait le droit à la vie privée comme un droit de la personne. Cela permettrait donc d’évaluer le caractère raisonnable d’une utilisation des données en fonction, d’une part, de son lien avec l’intérêt public ou les intérêts commerciaux légitimes et, d’autre part, de son impact sur la vie privée des intéressés.
Le gouvernement adopte comme position que son utilisation des données de mobilité ne tombe pas sous l’application de la Loi sur la protection des renseignements personnels. Étrangement, cette position est probablement conforme à la loi actuelle si (fait présentement sous étude de votre part et indépendamment par le Commissariat) les renseignements ont été correctement dépersonnalisés et agrégés.
Donc, la première question à vous poser est de savoir si les données de mobilité utilisées par le gouvernement ont été correctement dépersonnalisées et agrégées. Mais même si elles l’ont été, est-ce que la loi devrait permettre au gouvernement et aux entreprises de considérer les données dépersonnalisées comme non protégées en vertu des lois sur la protection des données personnelles?
Malgré tous ses défauts, le précédent projet de loi du gouvernement visant à moderniser la loi sur la protection des renseignements personnels dans le secteur privé, C-11, considérait que les données dépersonnalisées demeuraient des renseignements personnels, donc protégés en vertu des lois sur la protection de la vie privée. Nous sommes d’avis que l’exclusion des données dépersonnalisées du champ d’application des lois sur la protection des renseignements personnels n’est pas une bonne approche, puisqu’elle comporte des risques très sérieux.
Une autre question est de savoir si le gouvernement devrait pouvoir utiliser les données divulguées par le secteur privé sur la base des prétentions de ce dernier que les données fournies le sont légalement (dans le présent cas, parce qu’elles ont été dépersonnalisées correctement), ou si le gouvernement devrait avoir l’obligation de vérifier que ses partenaires commerciaux se sont conformés à la loi. Nous pensons que le gouvernement devrait avoir l’obligation de s’assurer de la légalité des pratiques de ses partenaires commerciaux, ou du moins de procéder à des vérifications.
Ensuite se pose la question de la transparence et du consentement. Le gouvernement ou ses partenaires commerciaux ont-ils adéquatement informé les usagers des services de téléphonie cellulaire que leurs données de mobilité seraient utilisées à des fins de protection de la santé publique? Les politiques de vie privée de Telus font bien mention, à quelque part, du programme « Données au service du bien commun », et le gouvernement a bien fait des efforts pour informer les Canadiens de son programme sur le site Tendances COVID, mais personne ne peut prétendre sérieusement que les usagers des services de téléphonie savaient que leurs données de mobilité seraient utilisées comme elles l’ont été.
Est-ce que cette absence de transparence devrait disqualifier le programme? La transparence est certainement un facteur important qui contribue à la confiance envers les programmes gouvernementaux. Et le gouvernement aurait certainement pu être plus proactif dans ses stratégies de communication.
Mais est-ce qu’un programme comme celui de l’ASPC devrait être disqualifié en l’absence de consentement? Tel que mentionné, nous pensons qu’en raison des limites réelles du consentement comme moyen de protection de la vie privée, il serait préférable de permettre l’utilisation des données personnelles à des fins commerciales légitimes ou pour le bien commun, à l’intérieur d’un cadre fondé sur le respect des droits. Une telle loi serait appliquée par le Commissariat, organisme indépendant qui serait doté des ressources et des pouvoirs nécessaires à la protection de la vie privée des Canadiens.
Enfin, cette initiative d’échange de données, qui est un exemple de la circulation des données entre le secteur privé et le secteur public, fait ressortir la nécessité pour ces deux secteurs d’être régis par des règles et des principes communs. Comme les interactions entre ces deux secteurs sont de plus en plus fréquentes, il est impératif qu’ils soient tenus à des normes similaires. Idéalement, nos deux lois fédérales sur la protection des renseignements personnels devraient être mises à jour simultanément.
Conclusion
J’espère que votre étude permettra de faire la lumière sur ces importantes questions et aidera les Canadiens à mieux comprendre ces pratiques de traitement des données. Je répondrai volontiers à vos questions.
- Date de modification :