Lettre au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet de l’étude sur l’utilisation par le gouvernement fédéral d’outils technologiques permettant d’extraire des données sur des appareils mobiles et ordinateurs

Le 23 février 2024

PAR COURRIEL

Monsieur John Brassard, député
Président
Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique
Chambre des communes
6e étage, 131, rue Queen
Ottawa (Ontario)  K1A 0A6

Monsieur le Président,

La présente donne suite à ma comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique du 1er février 2024 au sujet de l’étude sur l’utilisation par le gouvernement fédéral d’outils technologiques permettant d’extraire des données sur des appareils mobiles et ordinateurs. Pendant ma comparution, on m’a prié de formuler par écrit des recommandations précises au Comité, de fournir des documents supplémentaires aux fins d’étude par le Comité et de communiquer avec les ministères concernés afin d’obtenir des précisions sur leur utilisation de ces outils et de faire rapport au Comité à cet égard. Je suis heureux de présenter ce qui suit en réponse à ces demandes.

Recommandations visant à améliorer la Loi sur la protection des renseignements personnels

Les membres du Comité ont exprimé le souhait de recevoir mes recommandations précises concernant les modifications à apporter à la Loi sur la protection des renseignements personnels du Canada en vue de combler les principales lacunes. Comme je l’ai affirmé pendant mon témoignage, j’estime qu’il existe un certain nombre de solutions juridiques à envisager et je réitère les recommandations suivantes :

1. La réalisation d’évaluations des facteurs relatifs à la vie privée (EFVP) pour les programmes et les activités ayant une incidence sur la vie privée devrait être une obligation juridique pour le gouvernement au titre de la Loi sur la protection des renseignements personnels. Une EFVP constitue un processus efficace de gestion des risques et contribue à assurer la responsabilité et la conformité aux exigences relatives à la protection de la vie privée.
2. La Loi sur la protection des renseignements personnels devrait prévoir que le Commissariat soit consulté au sujet de toute initiative prévue qui pourrait avoir une incidence sur la vie privée des Canadiennes et des Canadiens, et ce, avant leur lancement. La réalisation d’une EFVP et la sollicitation du Commissariat avant le lancement d’un programme ou d’une activité qui pourrait avoir une incidence sur la vie privée permettraient de renforcer la protection de la vie privée, de servir l’intérêt public et de susciter la confiance. Voilà pourquoi ces deux mesures devraient devenir des obligations juridiques pour les institutions fédérales.
3. La Loi sur la protection des renseignements personnels devrait exiger des organisations qui mènent des activités et exécutent des programmes ayant une incidence sur la vie privée qu’elles démontrent qu’ils sont nécessaires pour atteindre un objectif urgent et important, et que l’atteinte à la vie privée est proportionnelle aux avantages escomptés.
4. La Loi sur la protection des renseignements personnels devrait prévoir la protection de la vie privée dès la conception de manière à exiger l’intégration proactive de mesures de protection de la vie privée dès la conception d’activités et de programmes gouvernementaux, à partir des premières phases de développement.
5. La Loi sur la protection des renseignements personnels devrait conférer au Commissariat le pouvoir d’émettre des ordonnances afin d’assurer la conformité à la loi.

Demandes des ministères

Pendant la réunion, les membres du Comité ont demandé au Commissariat d’assurer un suivi auprès des institutions citées dans l’étude afin d’obtenir des précisions concernant l’utilisation que celles-ci font des outils d’investigation informatique.

Le 5 février 2024, le Commissariat a écrit aux 13 institutions, comme l’avait demandé le Comité en vue d’établir : a) le nombre de fois où la technologie a été utilisée, b) le nombre de fois où elle a été utilisée sans autorisation judiciaire ou tout autre autorisation, et c) si les recherches se limitent aux appareils ou si elles portent aussi sur l’information stockée à distance (c.-à-d. dans le nuage). Nous avons demandé une réponse dans les plus brefs délais et nous ferons le point sur la situation avec le Comité d’ici le 8 mars 2024.

Documents demandés

Enfin, les membres du Comité m’ont demandé de leur transmettre des copies de certaines publications récentes du Commissariat, en particulier celles qui concernent les enjeux que représentent la vie privée des employés, l’intelligence artificielle (IA) et la vie privée des enfants. Je suis heureux de fournir les documents ci-après en pièces jointes à la présente lettre :

1. Plan stratégique 2024-2027 du Commissariat à la protection de la vie privée du Canada : Une feuille de route pour renforcer la confiance, favoriser l’innovation et protéger le droit fondamental à la vie privée à l’ère numérique (janvier 2024)
   Le 22 janvier 2024, j’ai publié le Plan stratégique du Commissariat, dans lequel sont présentées les trois grandes priorités stratégiques qui orienteront nos activités au cours des trois prochaines années. Selon moi, ces priorités stratégiques sont celles où le Commissariat peut avoir le plus d’incidence. Il s’agit aussi de domaines où résident les plus grands risques pour la vie privée si on ne s’y attaque pas : 1) optimiser l’incidence des efforts du Commissariat pour protéger et promouvoir le droit fondamental à la vie privée; 2) faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens; et 3) défendre le droit à la vie privée des enfants. Le Commissariat recueille les observations sur ce plan jusqu’au 31 mars 2014 en vue d’en orienter la mise en œuvre ces prochaines années de manière à donner suite aux priorités stratégiques.
2. Commissariat à la protection de la vie privée du Canada, La protection des renseignements personnels au travail (mai 2023)
   Ce document d’orientation présente les principaux facteurs à prendre en compte dans la gestion des renseignements personnels concernant les employés et traite de questions d’actualité comme la surveillance des employés.
3. Résolution des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombuds responsables de la protection de la vie privée, La protection de la vie privée des employés sur les lieux de travail modernes (octobre 2023)
   Dans la résolution, les autorités de protection invitent les gouvernements et les employeurs à fournir un effort collectif en vue de combler les lacunes dans les lois, de respecter et de protéger le droit à la vie privée et à la transparence des employés, et de garantir une utilisation juste et adéquate des outils de surveillance électronique et des technologies de l’IA dans le contexte moderne du travail.
4. Table ronde des autorités de protection des données et de la vie privée du G7, Déclaration sur l’IA générative (21 juin 2023)
   Dans la déclaration, on invite les développeurs et les fournisseurs de technologies d’IA générative à intégrer la protection de la vie privée dans la conception, l’élaboration, le fonctionnement et la gestion de ces nouveaux produits et services. Cette déclaration fait état des risques pour la vie privée dans le contexte de l’IA générative, ainsi que des mesures techniques et organisationnelles visant à veiller à ce que les individus qui sont touchés par les systèmes d’IA générative, ou qui interagissant avec ces derniers, aient la capacité d’exercer leurs droits d’accéder à leurs renseignements personnels; de rectifier des renseignements personnels inexacts; d’effacer leurs renseignements personnels; et refuser de faire l’objet de décisions fondées exclusivement sur un traitement automatisé, lesquelles ont des répercussions importantes.
5. Commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombuds responsables de la protection de la vie privée, Principes pour des technologies de l’intelligence artificielle générative responsables, dignes de confiance et respectueuses de la vie privée (7 décembre 2023)
   Dans cette déclaration commune, on explique comment les principes clés de protection de la vie privée s’appliquent à la conception, à la prestation et à l’utilisation de modèles, d’outils, de produits et de services d’IA générative. Ces principes sont les suivants :
   • Établir le pouvoir légal de recueillir et d’utiliser des renseignements personnels et, lorsque les circonstances exigent un consentement, s’assurer qu’il est éclairé et valide;
   • Faire preuve d’ouverture et de transparence quant à l’utilisation des renseignements personnels et aux risques que cette utilisation pose pour la vie privée;
   • Rendre les outils d’IA explicables aux utilisateurs;
   • Établir des mesures de protection du droit à la vie privée;
   • Limiter la communication de renseignements personnels, sensibles ou confidentiels.
6. Assemblée mondiale pour la protection de la vie privée, Résolution sur l’IA et l’emploi (octobre 2023)
   Dans la résolution, on demande à l’Assemblée mondiale pour la protection de la vie privée de collaborer avec les organisations qui élaborent ou mettent en œuvre des outils d’IA dans un contexte d’emploi, par exemple à des fins de surveillance ou de collecte et de conservation de données, afin de garantir que la protection de la vie privée des employés est prise en compte à toutes les étapes.
7. Assemblée mondiale pour la protection de la vie privée, Résolution sur l’IA générative (octobre 2023)
   En plus de s’engager à faire appliquer les lois relatives à la protection des renseignements personnels pour ce qui est des outils d’IA générative, dans la présente résolution on invite ceux qui développent, fournissent et déploient ces systèmes à reconnaître la protection des données et de la vie privée comme un droit fondamental. Cette résolution appelle à la création de technologies d’IA générative qui soient responsables et dignes de confiance et demande que les employés des entreprises qui créent et utilisent ces technologies reçoivent une formation pour comprendre les répercussions des systèmes d’IA sur la protection des données, la protection de la vie privée et les droits des personnes concernées.
8. Résolution des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombuds responsables de la protection de la vie privée, Mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels (octobre 2023)
   Dans la résolution, les autorités de protection demandent aux organisations d’adopter des pratiques qui servent l’intérêt supérieur des jeunes, en garantissant non seulement la protection des données des jeunes, mais aussi en donnant à ces derniers les connaissances et les moyens de naviguer sur les plateformes numériques et de gérer leurs données en toute sécurité et de manière autonome. Les premières étapes consistent à cerner les risques pour la vie privée et à les minimiser dès la conception. Parmi les autres recommandations, citons le réglage des paramètres de confidentialité au plus haut niveau de protection par défaut, la désactivation de la géolocalisation et le rejet des pratiques trompeuses et des incitatifs qui influencent négativement les décisions des jeunes en matière de vie privée ou les poussent à adopter des comportements préjudiciables.

Conclusion

J’espère que les renseignements fournis seront utiles aux membres du Comité. J’ai bien hâte de prendre connaissance du rapport que votre comité produira. N’hésitez pas à communiquer avec moi si vous avez des questions ou si vous souhaitez obtenir d’autres précisions.

Je vous prie d’agréer, Monsieur le Président, l’expression de mes sentiments distingués.

Le Commissaire,

Pièces jointes (9)

c. c. : Nancy Vohl
Greffière du Comité