Sélection de la langue

Recherche

Lettre au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet de l’étude sur la collecte et l’utilisation de données sur la mobilité par le gouvernement du Canada

Le 14 mars 2022, le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a transmis une lettre au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique pour fournir les renseignements demandés durant sa comparution le 7 février 2022. Il s’agit d’une version révisée de la lettre initialement envoyée le 1er mars 2022.


Le 14 mars 2022

Monsieur Pat Kelly, député
Président
Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique
Chambre des communes
6e étage, 131, rue Queen
Ottawa (Ontario) K1A 0A6

Monsieur le Président,

Je tiens à remercier le Comité de m’avoir invité à présenter les observations du Commissariat sur son étude concernant la collecte et l’utilisation de données sur la mobilité par le gouvernement du Canada. La discussion sur la transparence et les mesures adéquates de protection des renseignements dépersonnalisés tombe à point. Avant de répondre aux questions des membres du Comité, je tiens à préciser que les observations présentées au cours de ma comparution et dans le présent mémoire constituent les opinions et les recommandations générales du Commissariat et ne doivent pas être interprétées comme un jugement prématuré des plaintes sur lesquelles nous enquêtons actuellement.

Exigences légales en matière de transparence et d’utilisation de renseignements dépersonnalisés

On m’a demandé de préciser les obligations juridiques en matière de transparence et d’utilisation des renseignements dépersonnalisés. De nombreuses lois sur la protection des données dans le monde contiennent des dispositions spécifiques pour l’ouverture et la transparence, tandis que l’approche des renseignements dépersonnalisés varie selon les juridictions. Comme je l’ai indiqué lors de mon témoignage, je pense qu’il y a des solutions législatives à envisager au-delà du consentement, étant donné le large éventail d’utilisations possibles pour les renseignements personnels dépersonnalisés. Dans l’ère numérique actuelle, la protection des renseignements personnels ne peut pas reposer uniquement sur le consentement et, dans bien des cas, l’obtention du consentement individuel n’est ni raisonnable ni réaliste. En fait, le consentement peut servir à légitimer des usages qui, objectivement, sont complètement déraisonnables et contraires à nos droits et valeurs. Et le refus de donner son consentement peut parfois desservir l’intérêt public.

Cela dit, même lorsque le consentement n’est pas un outil efficace, la transparence garde toute son importance. Par exemple, le Règlement général sur la protection des données (RGPD) de l’Union européenne, comprend de nombreuses obligations en matière de transparenceNote de bas de page 1. Au titre du RGPD, la transparence est exigée indépendamment des motifs juridiques du traitement, et ce, à toutes les étapes du traitement des données. C’est donc dire que les exigences en matière de transparence s’appliquent non seulement au moment de la collecte, mais aussi en cas de changement important dans la finalité du traitementNote de bas de page 2. Selon le considérant 39 du RGPD, le principe de transparence « exige que toute information et communication relatives au traitement de ces données à caractère personnel soient facilement accessibles, faciles à comprendre, et formulées en des termes clairs et simplesNote de bas de page 3 ».

Concernant la réglementation de l’utilisation des renseignements dépersonnalisés, le RGPD fait clairement la distinction entre les données « pseudonymisées » et les données « anonymisées »Note de bas de page 4. Le RGPD reconnaît la pseudonymisation comme une technique permettant à la fois de réduire les risques d’identification et de favoriser le respect des obligations en matière de protection des données. Il est important de noter que les données personnelles pseudonymisées sont toujours assujetties au RGPDNote de bas de page 5. Les données personnelles qui ont été anonymisées ne sont pas assujetties au RGPDNote de bas de page 6.

Au Canada, les exigences de transparence de nos deux lois fédérales sur la protection de la vie privée demeurent, à l’heure actuelle, inadéquates. Par exemple, le huitième principe – Transparence – de l’annexe 1 de la loi fédérale canadienne relative au secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), prévoit qu’une organisation doit « faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne ». Dans de nombreux cas, nous avons vu ce principe se traduire par de longues politiques complexes qui n’informent pas les consommateurs de manière significative sur les usages qui sont faits de leurs données. Des solutions législatives sont nécessaires pour garantir que les personnes soient adéquatement informées des renseignements recueillis à leur sujet, des utilisations prévues de ceux-ci et des personnes auxquelles ils seront transmis.

Aucune de nos lois fédérales sur la protection de la vie privée ne traite spécifiquement des renseignements dépersonnalisés, ce qui démontre l’urgence d’une modernisation législative pour suivre le rythme de l’ère numérique. Nous appuyons les propositions mises de l’avant par le gouvernement dans l’ancien projet de loi C-11 (Loi de 2020 sur la mise en œuvre de la Charte du numérique) et dans le document de consultation du ministère de la Justice sur la modernisation de la Loi sur la protection des renseignements personnels, qui prévoient tous deux une plus grande souplesse dans l’utilisation des renseignements dépersonnalisés, tout en veillant à ce que ceux-ci demeurent assujettis aux lois sur la protection de la vie privée. Tous deux ont proposé d’inclure dans la loi une définition de la dépersonnalisation, d’assouplir la loi pour permettre une utilisation et une divulgation dans certaines circonstances, et d’introduire une infraction pour la repersonnalisation de renseignements dépersonnalisés.

Plusieurs lois provinciales sur la protection de la vie privée ont déjà été modernisées afin de fournir des exigences de transparence accrues ainsi que des protections et une certaine souplesse dans l’utilisation de renseignements dépersonnalisés. Par exemple, le Québec a mis à jour ses lois sur la protection des renseignements personnels en 2021Note de bas de page 7 afin d’y inclure les termes « dépersonnalisé » et « anonymisé » et de prévoir des sanctions si l’on procède ou tente de procéder à l’identification d’une personne physique à partir de renseignements dépersonnalisés ou anonymisésNote de bas de page 8. La loi québécoise prévoit une exception à l’obligation d’obtenir le consentement de la personne concernée pour permettre l’utilisation de renseignements dépersonnalisés lorsque cette utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques.

Les renseignements dépersonnalisés sont toujours considérés comme des renseignements personnels, et les organismes publics et les entreprises du secteur privé qui les utilisent doivent prendre des mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés. La loi québécoise prévoit également que, lorsque les fins pour lequelles des renseignements personnels ont été recueillis ou utilisés sont accomplies, les renseignements personnels doivent être détruits  ou anonymisés avant d’être utilisés à des fins d’intérêt public par des organismes publics, ou à des fins sérieuses et légitimes par des entreprises du secteur privé (sous réserve du délai de conservation prévu par une loi).

En Ontario, les modifications apportées à la Loi sur la protection des renseignements personnels sur la santé (LPRPS) sont entrées en vigueur en 2020. Ces modifications visaient à interdire de façon générale toute utilisation ou tentative d’utilisation de renseignements « anonymisés » (de-identified), seuls ou avec d’autres renseignements, pour identifier un particulier, à moins que la loi ou une autre loi ne l’autorise, et à faire en sorte que quiconque contrevenant volontairement à cette interdiction commette une infraction à la LPRPS. Cette interdiction n’empêche toutefois pas les dépositaires de renseignements sur la santé ou les autres personnes ou entités prescrites d’utiliser des renseignements qu’ils ont anonymisés, seuls ou avec d’autres renseignements, pour identifier un particulier. Bien que cette loi prévoie que des règlements puissent être établis pour régir l’anonymisation des renseignements personnels sur la santé et la collecte, l’utilisation et la divulgation des renseignements anonymisés par les dépositaires de renseignements sur la santé et d’autres personnes, aucun règlement de ce type n’a encore été adopté.

De plus, la LPRPS permet à une entité prescrite au sens de l’article 45 de ladite loi qui est aussi un « service extraministériel d’intégration des données » au sens de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP), ou qu’un tel service se trouve en son sein, d’utiliser des renseignements personnels sur la santéNote de bas de page 9. Une telle utilisation doit néanmoins être conforme aux fins, aux exigences et aux garanties énoncées dans la LAIPVP. L’une de ces garanties est que les renseignements personnels doivent être anonymisés dès qu’il est raisonnablement possible de le faire dans les circonstances après leur collecte. Le processus d’anonymisation requis est défini dans les Normes relatives aux données. De façon plus générale, en vertu de la LAIPVP, les services d’intégration des données (qui comprennent les services ministériels d’intégration des données, les services interministériels d’intégration des données et les services extraministériels d’intégration des données) sont autorisés à recueillir des renseignements personnels à des fins de compilation de renseignements, afin de permettre l’analyse de ce qui suit : la gestion ou l’affectation de ressources, la planification de la prestation de programmes et de services fournis ou financés par le gouvernement de l’Ontario, et l’évaluation de ces programmes et services. La LAIPVP prévoit également des mesures de transparence applicables aux services d’intégration des données, telles que la production de rapports publics, l’obligation de donner des avis et l’attribution d’une fonction d’examen explicite à la commissaire à l’information et à la protection de la vie privée de l’Ontario. Si, dans le cadre d’un examen, la commissaire établit qu’une pratique ou une procédure contrevient aux exigences de la LAIPVP concernant l’intégration des données, elle peut ordonner au service de cesser ou de modifier la pratique ou la procédure, de détruire les renseignements personnels recueillis ou conservés dans le cadre de la pratique ou de la procédure, et de mettre en œuvre une nouvelle pratique ou procédureNote de bas de page 10.

Il existe au-delà de l’Europe d’autres exemples internationaux de lois comportant des dispositions spécifiques pour le traitement des renseignements personnels dépersonnalisés et leur utilisation. Toutefois, il convient de souligner que chaque juridiction définit ses propres termes pour ce type de données, qui, selon le pays, peuvent être dépersonnalisées, anonymisées ou pseudonymisées. L’absence de termes communs pour ces distinctions a déjà fait l’objet d’une discussion dans votre étude actuelle. Par exemple :

  • La loi japonaise sur la protection des renseignements personnels définit des règles spécifiques pour les [TRADUCTION] « renseignements traités de manière pseudonyme » et les [TRADUCTION] « renseignements traités de manière anonyme », respectivementNote de bas de page 11;
  • En revanche, la législation australienne contient des règles spécifiques concernant les renseignements dépersonnalisés, et une définitionNote de bas de page 12 semblable aux modifications récentes adoptées au Québec et en Ontario décrites ci-dessus;
  • La législation sud-coréenne prévoit une plus grande latitude pour le traitement des renseignements pseudonymes, qui peuvent être traités sans consentement à des fins statistiques, de recherche scientifique et d’archivage dans l’intérêt public, et contient d’autres limitations, telles que des sanctions en cas de repersonnalisationNote de bas de page 13.

Il ne fait aucun doute que la société moderne dépendra de plus en plus de la valeur des données. La pandémie a démontré que les technologies numériques peuvent servir l’intérêt public. Comme je l’ai indiqué dans mon dernier rapport annuel au Parlement, je pense qu’il devrait y avoir une plus grande souplesse dans l’utilisation des renseignements personnels si cela est fait à des fins commerciales légitimes ou d’intérêt publicNote de bas de page 14. Toutefois, cela doit se faire dans un cadre fondé sur les droits, qui reconnaît le droit fondamental à la vie privée et interdit les utilisations des renseignements personnels qui sont incompatibles avec nos droits et nos valeurs. Cette souplesse accrue devrait également s’accompagner d’une plus grande responsabilité de la part des organisations. Nous n’avons pas besoin de plus d’« autorégulation », mais d’une véritable réglementation, c’est-à-dire des normes objectives et connaissables, adoptées démocratiquement et appliquées par des institutions indépendantes qui peuvent veiller à ce que les organisations soient réellement responsables.

Le comité s’est montré intéressé à recevoir des recommandations précises sur les modifications qui devraient être apportées aux lois fédérales sur la protection des données personnelles. Le Commissariat a été très actif sur ce sujet ces dernières années. Nous vous référons entre autres aux textes suivants :

  • Rapport annuel de 2020-2021, chapitre sur la réforme législative : pour protéger efficacement la vie privée, favoriser une innovation responsable et renforcer la confiance des consommateurs (décembre 2021)Note de bas de page 15.
  • Mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C-11, la Loi de 2020 sur la mise en œuvre de la Charte du numérique (mai 2021)Note de bas de page 16.
  • Mémoire du Commissariat sur la modernisation de la loi du secteur public, la Loi sur la protection des renseignements personnels (mars 2021)Note de bas de page 17.
  • Rapport annuel au Parlement 2018-2019, chapitre sur la réforme des lois sur la protection des renseignements personnels : une voie vers le respect des droits et le rétablissement de la confiance dans le gouvernement et l’économie numérique (décembre 2019)Note de bas de page 18.

Il me ferait plaisir de répondre à vos questions au sujet de ces recommandations.

Garanties techniques et atténuation des risques de repersonnalisation

Le Comité s’est enquis du risque réel de repersonnalisation des données sur la mobilité que l’Agence de la santé publique du Canada (ASPC) a reçues ainsi que du rôle d’entités et de fournisseurs de services particuliers dans le processus de dépersonnalisation. Je ne peux avancer une opinion dans ce cas précis, car l’affaire fait l’objet d’une enquête du Commissariat. Toutefois, je peux formuler quelques remarques générales sur l’application de garanties et de mesures techniques visant à contenir le risque de repersonnalisation.

La dépersonnalisation est un processus qui consiste à utiliser des techniques sur un ensemble de données sources de manière à écarter toute possibilité sérieuseNote de bas de page 19 qu’une personne soit identifiée. Il existe différentes techniques pour transformer les données afin qu’elles ne soient plus identifiables, dans la pratique (p. ex. par généralisation, suppression, ajout de bruit ou échantillonnage)Note de bas de page 20. Le contexte est important dans l’application de techniques de dépersonnalisation. Les processus de dépersonnalisation doivent être adaptés, et il convient de tenir compte de la nature, de la portée, du contexte et des objectifs du traitement dans chaque cas où des données dépersonnalisées sont publiées.

Quant aux questions du Comité sur la possibilité de repersonnalisation, il convient de souligner que les ensembles de données dépersonnalisées doivent être protégés contre différents types de risques de repersonnalisation, tels que l’individualisation (c.-à-d. qu’il doit être impossible d’isoler un individu d’un ensemble de données), la corrélation (c.-à-d. qu’il doit être impossible de relier deux ensembles de données concernant le même individu) et l’inférence (c.-à-d. qu’il doit être impossible d’inférer de nouveaux renseignements sur une personne concernée à partir d’un ensemble de données)Note de bas de page 21. Par conséquent, tout processus de dépersonnalisation solide doit évaluer et démontrer le risque de repersonnalisation, et le surveiller dans le temps. Les mesures de protection appropriées doivent être en place pour limiter le risque de repersonnalisation, et les mesures de sécurité doivent également porter sur la manière dont les données dépersonnalisées seront transmises et utilisées par les organisations. Les mesures de restriction d’accès consistent à ne partager ou à ne divulguer l’ensemble de données dépersonnalisées qu’aux personnes qui en ont besoin à des fins approuvées, et à s’assurer que les données sont stockées dans des environnements de données convenablement protégés avec des contrôles techniques et organisationnels appropriés.

Lignes directrices du Commissariat sur la protection de la vie privée et les initiatives en réponse à la pandémie

Un député a exprimé son intérêt pour le document du Commissariat intitulé Cadre pour l’évaluation par le gouvernement du Canada des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée (publié en avril 2020). Tout au long de la pandémie, le Commissariat a reconnu que la crise sanitaire exige une application souple et contextuelle des lois sur la protection de la vie privée afin de garantir une collecte, une utilisation et un échange responsables des données à l’appui de la santé publique. Toutefois, comme la vie privée est un droit fondamental, il est très important, dans notre pays démocratique fondé sur la primauté du droit, que les principes clés continuent de s’appliquer, même si certaines des exigences plus détaillées ne sont pas appliquées aussi rigoureusement qu’elles le seraient normalement.

Afin de parvenir à une plus grande souplesse et de garantir le respect de la vie privée en tant que droit fondamental, le Commissariat a publié un cadre pour l’évaluation des initiatives en réponse à la pandémie ayant une incidence sur la vie privée. L’objectif de ce document est de guider l’élaboration d’initiatives destinées à atténuer les effets de la pandémie et ayant une incidence sur la vie privée. Il définit les principes directeurs de la protection de la vie privée qui doivent être pris en compte dans toute évaluation des mesures proposées pour lutter contre la COVID-19. Précisons qu’il s’agit d’un cadre de principes de la protection de la vie privée et non d’un cadre de garanties techniques portant sur la manière de dépersonnaliser correctement des renseignements personnels.

Le cadre encourage l’utilisation de données dépersonnalisées ou agrégées (dans la mesure du possible), tout en étant attentif au contexte et aux risques. À cet égard, il appelle spécifiquement les organisations à :

  • Être conscientes qu’il existe toujours un risque réel de repersonnalisation, bien qu’il soit généralement moindre pour les données agrégées. Il est important d’être attentif aux risques, qui sont très spécifiques à chaque cas et dépendent de la nature des données utilisées, de leur forme, de leur combinaison avec d’autres données et des personnes avec lesquelles elles seront échangées;
  • Être particulièrement attentives aux difficultés uniques que posent les données de localisation. Les points de données de localisation eux-mêmes peuvent conduire à une repersonnalisation, car ils peuvent révéler des détails personnels, comme l’emplacement du domicile d’une personne, ses comportements habituels et ses associations;
  • Prendre des mesures administratives, techniques et physiques pour protéger les renseignements personnels recueillis. Veiller à ce que les mesures de protection soient renforcées pour les renseignements sensibles.

Le cadre contient également des exigences en matière de transparence, de responsabilité et de surveillance, invitant le gouvernement à fournir aux Canadiens de l’information claire et détaillée sur les mesures nouvelles ou émergentes, de manière continue, et à rendre compte de ses décisions. Une version complète du document-cadre, jointe à titre de référence pour le Comité, est disponible sur notre site WebNote de bas de page 22.

Consultations du Commissariat sur l’utilisation des données de mobilité

Enfin, le Comité a demandé des détails sur les consultations menées par le Commissariat avec les agences fédérales qui participent à l’activité dont l’étude est saisie. Précisons que c’est Telus qui nous a d’abord informés de son initiative Les données au service du bien commun. Telus a contacté le Commissariat le 8 avril 2020 pour nous aviser qu’elle avait l’intention de communiquer des données dépersonnalisées et agrégées aux gouvernements, aux autorités sanitaires et à des chercheurs universitaires en vue d’appuyer les travaux de gestion de la crise liée à la COVID-19.

Telus nous a fait part d’une déclaration publique qu’elle entendait publier afin que nous lui donnions notre avis sur celle-ci. La déclaration expliquait les principes du programme Les données au service du bien commun. Nous avons formulé divers commentaires, avons suggéré à Telus de consulter les directives relatives à la pandémie que nous avions publiées récemment et avons fait savoir que, si Telus avait des propositions ou des initiatives concrètes avec des gouvernements, des chercheurs ou des tiers, il pourrait lui être utile de consulter notre Direction des services-conseils à l’entreprise afin d’obtenir des conseils. Nous avons également indiqué que nous serions intéressés d’assister à une séance d’information technique sur la méthode d’agrégation et de dépersonnalisation employée par Telus. Cette dernière n’a pas livré une telle séance d’information au Commissariat et n’a pas contacté notre Direction des services-conseils à l’entreprise.

Le 21 avril 2020, le Centre de recherches sur les communications (CRC), qui fait partie du ministère de l’Innovation, des Sciences et du Développement économique (ISDE), nous a informés qu’il avait l’intention d’accéder à des données de mobilité dépersonnalisées de Telus afin de répondre aux questions de l’ASPC sur les tendances en matière de mobilité, dont le respect des règles de distanciation physique. Nous avons écrit au CRC dans les jours qui ont suivi pour expliquer qu’avant de déterminer si des garanties adéquates avaient été adoptées et si notre cadre avait été réellement respecté, nous devions procéder à un engagement formel mené par notre Direction des services-conseils. Les responsables du CRC ont choisi de ne pas poursuivre ce processus. Nous avons été joints séparément par l’ASPC le 22 avril 2020 et avons été informés de son intention d’utiliser les données de localisation mobile en réponse à la COVID-19. L’ASPC nous a également informés qu’elle estimait qu’étant donné que les renseignements avaient été dépersonnalisés et regroupés, l’activité ne relevait pas de la Loi sur la protection des renseignements personnels puisque les renseignements utilisés n’étaient pas des « renseignements personnels ».

Conclusions

Je vous remercie encore une fois de m’avoir donné l’occasion de vous faire part de mon point de vue et j’espère que ces points seront utiles aux membres du Comité dans la poursuite de leur étude.

Je vous prie d’agréer, Monsieur le Président, l’expression de mes meilleurs sentiments.

Le commissaire,

(Document original signé par)

Daniel Therrien

P.j. Cadre pour l’évaluation par le gouvernement du Canada des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée (Avril 2020)

c. c. : Nancy Vohl, Greffière du Comité

Date de modification :