Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Le commissaire Therrien comparaît pour la dernière fois devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI)

Le 2 juin 2022

Ottawa (Ontario)

Déclaration de Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi.)

Introduction

Bonjour Monsieur le Président et Mesdames et Messieurs les députés.

Je vous remercie de m’avoir invité aujourd’hui pour vous faire part de certaines leçons tirées des huit dernières années, ainsi que de quelques recommandations générales sur l’orientation que devrait prendre la réforme des lois.

Situation actuelle dans le domaine de la protection de la vie privée

Nous vivons dans la 4e révolution industrielle, celle des technologies numériques. Ces technologies sont perturbatrices.

Comme nous avons pu le constater pendant la pandémie, cela peut présenter de réels avantages, par exemple dans le domaine de la télésanté ou de l’éducation en ligne. Ou encore en environnement. Elles peuvent véritablement servir l’intérêt public.

Nous avons aussi appris au cours des ans que le modèle du consentement, comme mode de protection de la vie privée, comporte de sérieuses limites. Il n’est ni réaliste ni raisonnable de demander aux individus de consentir à toutes les utilisations possibles de leurs données dans une économie de l’information aussi complexe que celle d’aujourd’hui, par exemple dans certaines situations où l’on fait appel à l’intelligence artificielle. Le rapport de force est trop inégal et l’asymétrie dans le contrôle des renseignements trop importante.

En fait, le consentement peut servir à légitimer des usages qui, objectivement, sont complètement déraisonnables et contraires à nos droits et valeurs. Et le refus de donner son consentement peut parfois desservir l’intérêt public.

Au cours de mon mandat, nous avons également pu observer, de par notre travail d’enquête, que ces technologies peuvent non seulement présenter des risques potentiels pour la vie privée, mais causer de réels préjudices.

Par exemple, notre enquête sur Clearview AI a révélé qu’une entreprise avait utilisé la technologie de reconnaissance faciale d’une façon qui représentait une surveillance de masse. Et notre enquête sur l’utilisation de la technologie de Clearview AI par la GRC a fait ressortir les risques des partenariats publics-privés en l’absence d’un cadre juridique pour régir l’utilisation des données biométriques.

De son côté, l’affaire Cambridge Analytica, qui fut étudiée par un Grand Comité composé de membres du Comité ETHI et de législateurs d’autres pays, a montré que les violations de la vie privée peuvent mener à des violations des droits démocratiques.

Enfin, notre enquête sur Statistique Canada a révélé qu’une institution fédérale pensait qu’il était justifié, pour des fins d’élaboration de politiques fondées sur des données probantes, de colliger des renseignements extrêmement détaillés sur les transactions financières de citoyens, ce qui constituait une autre forme de surveillance. 

Les technologies perturbatrices présentent des avantages indéniables, mais ce qui n’a pas besoin d’être perturbé, loin s’en faut, c’est l’idée qu’un gouvernement démocratique doit conserver la capacité de protéger les valeurs et les droits fondamentaux de ses citoyens.

Nous avons donc besoin d’une véritable règlementation des technologies numériques, et non de plus d’autoréglementation.

L’ancien projet de loi C-11 aurait apporté plus d’autoréglementation en accordant aux entreprises une liberté presque totale de fixer les règles selon lesquelles elles interagissent avec leurs clients, et en leur permettant de fixer les conditions de leur responsabilité. Si nous tirons des leçons des dernières années, nous adopterons dans le secteur privé des lois sur la protection des renseignements personnels qui permettent l’innovation, parfois sans consentement, pour des intérêts commerciaux légitimes et à des fins socialement bénéfiques, dans un cadre qui protège nos valeurs et nos droits fondamentaux.

Dans le secteur public, nous avons aussi besoin de lois qui limitent la capacité de l’État de recueillir des renseignements au sujet des citoyens au-delà de ce qui est nécessaire et proportionnel à l’atteinte d’objectifs importants.

Au total, nous avons besoin de lois fédérales, dans les secteurs public et privé, qui sont fondées sur les droits, qui ont des principes similaires et idéalement communs pour les deux secteurs, qui se fondent sur la nécessité et la proportionnalité, qui sont interopérables tant à l’échelle nationale qu’à l’échelle internationale, et qui confèrent à l’organisme de réglementation les pouvoirs de vérification et d’application de la loi qui sont nécessaires pour assurer la conformité.

J’en dirai plus sur l’interopérabilité à la fin de ma déclaration.

Il n’est pas suffisant d’adopter des lois qui protègent bien la vie privée. L’organisme de réglementation doit également disposer de pouvoirs d’application de la loi adéquats, recevoir le financement nécessaire et se voir accorder un pouvoir discrétionnaire pour gérer sa charge de travail, afin qu’il puisse protéger efficacement le plus grand nombre de personnes en fonction de ses ressources limitées.

En juillet, le Décret d’extension de la Loi sur la protection des renseignements personnels entrera en vigueur, accordant aux ressortissants étrangers le même droit que celui dont disposent les ressortissants canadiens de demander de se faire communiquer les renseignements personnels les concernant et relevant d’institutions fédérales.

Les institutions fédérales, notamment Immigration, Réfugiés et Citoyenneté Canada, prévoient une augmentation importante des demandes de renseignements personnels, dont l’impact se répercutera sur le nombre de plaintes. Selon les estimations du gouvernement, le Commissariat constatera vraisemblablement une augmentation correspondante du nombre de plaintes, dont la majorité sera des plaintes relatives aux délais et à l’accès.

Le Commissariat a fait part de ses besoins en matière de financement au gouvernement. À ce jour, aucun nouveau financement n’a été accordé. Il s’agit d’un grave problème pour le Commissariat, car celui-ci a besoin de fonds supplémentaires pour s’acquitter des nouvelles fonctions qui lui sont confiées.

En ce qui concerne les répercussions financières plus larges de la réforme législative, nous estimons, à la lumière de l’expérience d’autres autorités de la protection des données, que notre budget devrait approximativement doubler, si la nouvelle loi pour le secteur privé devait être comparable à l’ancien projet de loi C‑11.

Nous prévoyons aussi un élargissement de notre fonction de services-conseils et l’obligation d’examiner les codes de pratique de l’industrie.

Nous voyons d’un bon œil ces nouvelles responsabilités, car celles-ci favoriseront la conformité à la loi au moment où les programmes sont à l’étape de la conception. Nous craignons néanmoins que le caractère obligatoire de ces activités et de notre travail d’enquête nous empêche de gérer notre charge de travail en fonction des risques, et ainsi d’accorder une plus grande priorité aux dossiers qui présentent un risque plus élevé.

Nous exhortons donc les législateurs, lorsqu’un projet de loi vous sera présenté, d’accorder au Commissariat un plus grand pouvoir discrétionnaire pour gérer sa charge de travail, lui permettant de choisir les dossiers pour lesquels il offrira des services‑conseils et ses dossiers d’enquête, afin qu’il puisse protéger efficacement le plus grand nombre de Canadiens en fonction de ses ressources limitées.

Cela nous permettrait non seulement de mener nos activités de manière plus efficace, mais aussi de réaliser, selon nos calculs, une économie de près de 12 millions de dollars.

En ce qui concerne les pouvoirs d’application de la loi, je n’ai jamais cessé de réclamer des recours rapides et efficaces, en particulier le pouvoir de rendre des ordonnances et d’imposer des sanctions pécuniaires importantes, qui soient proportionnelles aux gains financiers que peuvent réaliser les entreprises en faisant fi de la vie privée. Une preuve supplémentaire qu’il est nécessaire de disposer de ces pouvoirs a été présentée hier à la suite de la publication des résultats de notre enquête sur Tim Hortons.

À l’instar de nombreuses autres autorités de protection des données au Canada et à l’étranger, le Commissariat devrait aussi être autorisé à mener des vérifications proactives afin de s’assurer de la conformité à la loi. La nécessité de mener des vérifications a été largement démontrée dans la récente affaire concernant l’utilisation, par l’Agence de la santé publique du Canada, de données sur la mobilité obtenues dans un format modifié auprès d’organisations du secteur privé.

Dans un monde où l’innovation nécessite la confiance, un facteur important pour gagner la confiance des citoyens serait l’assurance qu’un expert indépendant veille à leurs intérêts, vérifie et assure la conformité à la loi, et prend les mesures qui s’imposent pour corriger les comportements non conformes ou y mettre fin.

Les lois futures et l’interopérabilité

J’aimerais, en terminant, vous faire part de mes dernières observations sur l’avenir des lois fédérales sur la protection des renseignements personnels, ainsi que de leur interopérabilité avec les lois d’autres juridictions, tant à l’échelle nationale qu’à l’échelle internationale.

Au pays, les trois provinces les plus populeuses ont proposé récemment des lois en faveur d’une innovation responsable dans un cadre juridique qui reconnaît la vie privée comme un droit fondamental. Le Québec a adopté une telle loi en 2021. Toutes ces provinces confèrent le pouvoir de rendre des ordonnances aux autorités de protection de la vie privée et proposent de leur donner le pouvoir d’imposer directement des sanctions pécuniaires, sans passer par un palier d’appel administratif, mais sous réserve d’un contrôle judiciaire. Nous demandons des pouvoirs similaires, d’une part pour donner accès aux Canadiens à des recours rapides et efficaces en cas de violation de leur vie privée, et d’autre part pour faire en sorte que le Commissariat demeure une voix influente et souvent unificatrice pour ce qui est de l’évolution du droit sur la protection des renseignements personnels au Canada.

Sur la scène mondiale, il est aussi essentiel que les lois canadiennes soient interopérables, et qu’elles ne soient pas trop différentes des normes internationales. Selon certains intervenants du milieu des affaires, l’approche adoptée par le Canada à ce jour a été bénéfique pour le pays, et une approche fondée sur les droits nuirait à l’innovation.

Premièrement, l’idée qu’une loi fondée sur les droits nuirait à l’innovation est un mythe. Elle est tout simplement sans fondement. En fait, c’est l’inverse qui est vrai. Il ne peut y avoir d’innovation sans confiance, et il ne peut y avoir de confiance sans la protection des droits.

Il ne serait pas dans l’intérêt des entreprises canadiennes que le Canada adopte une approche qui serait trop différente de ce qui est en train de devenir la référence à l’échelle globale. En réalité, il est dans l’intérêt du Canada de disposer de lois interopérables. De telles lois servent à donner l’assurance aux citoyens que leurs données sont protégées de façon semblable lorsqu’elles quittent nos frontières. Elles permettent également aux entreprises canadiennes d’exercer leurs activités à l’étranger et d’utiliser les renseignements personnels de clients qui ne sont pas des citoyens canadiens d’une manière qui soit digne de confiance pour ces derniers.

Pour conclure, le message que je souhaite transmettre aux membres de ce comité est le suivant : continuez le travail que vous et vos prédécesseurs avez entrepris dans ces dossiers importants. En tant que législateurs, vous avez le pouvoir d’apporter de vrais changements à notre régime de protection des renseignements personnels, et vos rapports jusqu’à ce jour vont dans la bonne direction.

Rappelez-vous aussi que nos lois devraient protéger le droit à la vie privée dans son sens véritable : l’absence d’une surveillance injustifiée. Ainsi, la législation devrait reconnaître et protéger la liberté de vivre et de s’épanouir de façon autonome, à l’abri du regard scrutateur d’un État ou d’un capitalisme de surveillance.

En d’autres termes, la loi devrait protéger nos valeurs et nos droits, acquis souvent de haute lutte au fil des siècles et qui n’ont aucunement à être mis de côté pour profiter des avantages du numérique.

Ce fut un honneur de travailler avec vous. Je vous remercie de m’avoir accordé plus de temps aujourd’hui. Je répondrai maintenant volontiers à vos questions.

Date de modification :