Consultations nationales sur le numérique et les données
Mémoire à l'intention d’Innovation, Sciences et Développement économique Canada
Le 23 novembre 2018
L’honorable Navdeep Singh Bains, C.P., député
Ministre de l’Innovation, des Sciences et du Développement économique (ISDE)
235, rue Queen
Ottawa (Ontario) K1A 0H5
Monsieur,
Objet : Consultations nationales sur le numérique et les données d’ISDE
Je vous écris dans le cadre des consultations nationales sur le numérique et les données que vous avez lancées l’été dernier, et suite aux dernières discussions que j’ai eues avec le sous-ministre John Knubley cet automne. J’ai beaucoup réfléchi à la stratégie du gouvernement visant à faire du Canada un chef de file mondial dans une économie de plus en plus numérisée, axée sur les données et évolutive, et souhaite vous faire part de mon point de vue dans ce contexte.
La révolution numérique nous amène à examiner certaines des questions les plus fondamentales de notre époque. Il n’est pas exagéré d’affirmer que la numérisation de tant d’aspects de nos vies est en train de redéfinir l’humanité. La puissance des technologies numériques et des mégadonnées et leur capacité anticipée à stimuler la productivité, la croissance et la compétitivité et à améliorer nos vies de différentes façons font l’objet de grandes ambitions. Mais en même temps, nous avons atteint un moment critique où les droits à la vie privée et les valeurs démocratiques sont en jeu. Des événements récents ont jeté la lumière sur la manière dont nos renseignements personnels peuvent être manipulés et utilisés de façons non désirées ou même néfastes. Je suis de plus en plus préoccupé par le fait qu’on ne reconnaît pas au droit à la vie privée la même importance que l'exploitation des données au sein de nos écosystèmes numériques. La vie privée n’est pas un droit que nous cédons simplement au profit de l’innovation, de l’efficacité ou de gains commerciaux.
L’opposition mondiale à la collecte massive des données personnelles à des fins commerciales et politiques croît rapidement, et même des géants de la technologie admettent que le statu quo ne peut plus durer. Le président-directeur général d’Apple, Tim Cook, a récemment parlé d’un « complexe industriel des données » et a émis la mise en garde suivante : « Nos propres renseignements, des plus banals aux plus sensibles, sont utilisés contre nous comme des armes avec une efficacité militaire. » Et d’ajouter : « C’est de la surveillance. » [Traduction libre]. De même, Mark Zuckerberg, de Facebook, a admis que sa société avait commis un « grave abus de confiance » dans l’affaire Cambridge Analytica. Les deux sociétés se sont montrées favorables à la création d’une nouvelle loi américaine semblable au Règlement général sur la protection des données européen. Il apparaît évident que la situation a changé et que nous vivons effectivement une crise lorsque les géants de la haute technologie deviennent de fervents partisans d’une réglementation crédible. L’heure est venue de s’assurer d’adopter la meilleure approche pour les Canadiens.
ISDE a lancé ses consultations nationales sur le numérique et les données l’été dernier par ce message : pour stimuler l’innovation numérique, les investissements et la création d’emplois au Canada, les citoyens doivent avoir confiance dans la protection de leurs renseignements personnels. Au sujet de la vie privée et de la confiance, ISDE a demandé aux Canadiens comment le gouvernement pouvait trouver le juste équilibre entre la protection des droits à la vie privée et l’innovation, ainsi que ce qu’il devait faire pour gagner la confiance des citoyens envers l’utilisation des données « sans entraver l’innovation ». J’ai de sérieuses réserves face à ce discours, car il laisse entendre aux Canadiens que la vie privée est incompatible avec l’innovation, ou en tout cas qu’elles s’opposent l’une à l’autre.
Le gouvernement souligne à juste titre que les Canadiens doivent avoir confiance dans la protection de leurs renseignements personnels. Toutefois, je crois fermement que la confiance nécessaire pour permettre à l’économie numérique de prospérer et l’autorisation sociale dont le gouvernement aura besoin de la part des Canadiens pour pouvoir innover grâce à leurs données personnelles, dépendent de la mise en place d’un cadre juridique approprié. Malheureusement, dès qu’il s’agit d’apporter de véritables modifications à la législation dans ce contexte, le gouvernement est lent à agir, mettant en péril la foi que les Canadiens ont envers l’économie numérique et la confiance que leurs valeurs canadiennes seront préservées.
Il ne faut pas oublier que la Charte canadienne des droits et libertés et la Loi fédérale sur la protection des renseignements personnels ont été adoptées de façon contemporaine au Canada et que la LPRP est une loi quasi-constitutionnelle. La protection de la vie privée, c’est bien plus qu’un ensemble de règles techniques et de mesures de protection administratives; ce n’est assurément pas un obstacle, comme on le sous-entend souvent. En revanche, il s’agit d’une condition préalable nécessaire à la protection des valeurs fondamentales au Canada et méritant une protection juridique. À l’heure où de nouvelles techniques de ciblage intrusives influencent déjà les processus démocratiques, et où l’analyse des données, les technologies de prise de décision automatisée et l’intelligence artificielle soulèvent d’importantes questions d’ordre éthique demeurées sans réponse, les Canadiens ont besoin de lois plus strictes en matière de protection des renseignements personnels et non plus permissives. Celles-ci doivent nous protéger lorsque les organisations omettent de le faire.
En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les organisations sont tenues de faire preuve de transparence et de responsabilisation, mais les Canadiens ne peuvent pas se fier exclusivement aux entreprises pour gérer leurs renseignements de façon responsable. La transparence et la responsabilisation sont nécessaires, mais elles ne sont pas suffisantes. En réalité, cette législation fondée sur des principes est très permissive et accorde aux entreprises une grande latitude en ce qui concerne l’utilisation des renseignements personnels dans leur propre intérêt. Notre législation devrait probablement continuer de reposer sur des principes généraux et d’être neutre sur le plan technologique, mais elle devrait aussi être fondée sur les droits et élaborée non comme un code de conduite pour l’industrie, mais plutôt comme une loi qui confère des garanties juridiques, tout en permettant une innovation responsable.
Un tel modèle est potentiellement en train de voir le jour aux États-Unis, où des représentants démocrates réclament une déclaration des droits sur Internet, qui serait fondée sur des principes tout en établissant des droits pour les consommateurs. La liste des droits comprend le consentement exprès pour la collecte et le partage de données avec un tiers; le droit à la portabilité des données; le droit d’avoir des renseignements personnels sécurisés et d’être avisé d’une atteinte à la sécurité; le droit que ses renseignements personnels soient traités par une entité qui a adopté des pratiques commerciales raisonnables et qui est tenue responsable de la protection de la vie privée; et le droit de ne pas subir de discrimination injuste ou de ne pas être exploité en fonction de ses données personnelles. Bien entendu, ces droits devront être précisés dans une loi plus exhaustive et appliqués à l’aide de vrais recours, mais ces propositions s’avèrent encourageantes. Elles constituent une façon claire et simple de formuler une loi sur la protection des renseignements personnels et elles représentent une nette amélioration comparativement à notre loi actuelle, inspirée du code de pratiques de l’industrie qui, de l’avis des tribunaux, est souvent difficile à interpréter, et surtout, à appliquer.
Comme le recommande le document de discussion préalable à la consultation nationale d’ISDE, si « elle veut mobiliser le plein potentiel de la révolution du numérique et des données, l’approche législative et réglementaire doit être délibérée et agile ». Cependant, je tiens à souligner que nous ne pouvons laisser interrompre le processus démocratique canadien, pas plus que nous ne pouvons laisser nos institutions ou nos droits être minés dans la course à la numérisation de tout et de tout le monde, tout simplement parce que la technologie le permet. Le Canada devrait s’efforcer simultanément de protéger la vie privée et d’innover, et la protection de la vie privée dès la conception des systèmes est un excellent moyen d’atteindre ces deux objectifs.
J’ai récemment comparu devant le Comité permanent de l’accès à l’information, de la protection de la vie privée et de l’éthique relativement à l’étude sur l’atteinte à la sécurité des renseignements personnels impliquant Cambridge Analytica et Facebook. J’ai fait observer que bien que le Règlement général sur la protection des données de l’UE constitue un développement majeur dans la protection des données et comporte plusieurs excellentes solutions, nous devrions tendre vers une approche qui reflète le contexte et les valeurs canadiens, y compris nos relations commerciales étroites au sein de l’Amérique du Nord, avec l’Europe et la région Asie-Pacifique. Dans ce même ordre d’idée, j’ai proposé qu’une nouvelle loi canadienne comprenne les aspects importants suivants. Elle devrait :
- continuer de reposer sur des principes généraux et d’être neutre sur le plan technologique, car ces caractéristiques permettent à la loi de perdurer dans le temps et de définir des règles du jeu équitables pour tous les secteurs économiques, mais elle devrait aussi être fondée sur les droits et élaborée non pas comme un code de conduite pour l’industrie, mais plutôt comme une loi qui confère des garanties juridiques, tout en permettant une innovation responsable;
- accorder une place importante au consentement valable, mais aussi tenir compte d’autres façons de protéger la vie privée lorsque l’obtention du consentement n’est pas réaliste, par exemple, dans certaines circonstances impliquant le développement de l’intelligence artificielle. La notion d’intérêt légitime du Règlement général sur la protection des données peut être envisagée à cet égard;
- habiliter une autorité publique à émettre des règles ou lignes directrices ayant force de loi qui préciseraient l’application des principes généraux dans des circonstances particulières, de sorte que les principes généraux, comme le consentement, pourraient recevoir une véritable application pratique. Une législation fondée sur des principes comporte des avantages importants, mais elle ne procure pas un degré adéquat de certitude aux particuliers et aux organisations. L’adoption de lignes directrices ou de règles ayant force de loi assurerait une meilleure compréhension des exigences concrètes de la loi. Comparativement à une loi parlementaire, il serait plus facile de modifier ces règles à mesure que la technologie évolue;
- conférer au Commissariat des pouvoirs d’application accrus, y compris le pouvoir de rendre des ordonnances et d’imposer des amendes en cas de non-conformité à la loi. Ces pouvoirs doivent inclure le droit de vérifier la conformité de manière indépendante, sans motif, afin de s’assurer que les organisations soient réellement responsables de la protection de leurs renseignements personnels;
- accorder au Commissariat la possibilité de choisir les plaintes sur lesquelles enquêter et de concentrer ainsi ses ressources limitées sur les questions posant le risque le plus élevé ou susceptibles d’avoir le plus d’impact pour les Canadiens. En même temps, s’assurer que personne n’est laissé sans recours et octroyer aux personnes un droit privé d’action pour les infractions à la LPRPDE;
- permettre l’échange de renseignements entre les différents organismes de réglementation. La protection efficace des consommateurs et des citoyens dans cette économie numérisée, axée sur les données et évolutive doit passer par plusieurs organismes de réglementation, et ceux-ci doivent être en mesure de mieux coordonner leur travail;
- enfin, il est absolument impératif que les lois sur la protection de la vie privée soient appliquées aux partis politiques canadiens.
Je suis convaincu que le meilleur moyen de voir le Canada devenir un chef de file de l’innovation numérique consiste à montrer que nous pouvons créer un cadre pour l’innovation qui réussisse également à protéger les droits et les valeurs des Canadiens, et notre démocratie. Je vous transmets ces commentaires dans le but de promouvoir une approche plus équilibrée au Canada et de veiller à ce que la valorisation des données et le développement de l’économie numérique ne l’emportent pas sur la protection de la vie privée comme valeur importante dans notre société. J’attends avec intérêt de connaître les résultats des consultations que vous avez menées auprès des Canadiens. Veuillez noter que je suis prêt à discuter de ces questions primordiales et à participer à une réforme législative.
Veuillez agréer, Monsieur, l’expression de mes sentiments distingués.
Le commissaire,
(Original signé par)
Daniel Therrien
- Date de modification :