Examen du statut des lois fédérales relatives à la radiodiffusion et aux télécommunications
Mémoire à l'intention du Groupe d’examen du cadre législatif en matière de radiodiffusion et de télécommunications d’Innovation, Sciences et Développement économique Canada
Le 11 janvier 2019
Groupe d’examen du cadre législatif en matière de radiodiffusion et de télécommunications
a/s d’Innovation, Sciences et Développement économique Canada
235, rue Queen, 1er étage
Ottawa (Ontario) K1A 0H5
ic.btlr-elmrt.ic@canada.ca
Chers membres,
Je vous remercie pour votre invitation à formuler des avis et des recommandations à mesure que vous examinez le statut des lois fédérales relatives à la radiodiffusion et aux télécommunications. Nos recommandations et commentaires portent sur les trois sujets contenus dans le cadre de référence qui concernent les droits de la protection de la vie privée et la protection des données :
Sûreté, sécurité et protection de la vie privée : Tout en gardant à l’esprit le cadre législatif plus large, dans quelle mesure les concepts de sûreté et de sécurité devraient-ils être inclus dans la Loi sur les télécommunications (LT) et la Loi sur la radiocommunication (LR)?
- Le Commissariat veille à la conformité de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette loi s’applique à la collecte, à l’utilisation et à la communication des renseignements personnels dans le cadre d’activités commerciales, y compris celles des entreprises de télécommunications.
- Les Canadiens confient une grande quantité de leurs renseignements personnels sensibles aux fournisseurs de services de télécommunications afin d’avoir accès à Internet ainsi qu’aux communications sans fil, téléphoniques et télévisuelles au Canada. Les renseignements personnels ont non seulement une valeur commerciale importante, ils sont également d’un grand intérêt pour les organismes d’application de la loi, du renseignement et de la sécurité. Dans ce contexte, il faut garder à l’esprit le droit des Canadiens à la vie privéeNote de bas de page 1.
- La position du gouvernement selon laquelle les lois faisant l’objet de votre examen contiennent des exigences strictes en matière de protection de la vie privée, et que le droit à la vie privée des personnes a été traité dans la LT et la LR, ne caractérise pas de manière exacte les protections limitées offertes par le régime actuel. Tandis que l’alinéa 7i) de la LT concerne la protection de la vie privée, il ne comporte aucune obligation réelle; la LR ne dit rien sur la protection de la vie privée.
- Étant donné la sensibilité accrue que les consommateurs ont manifesté à l’égard des renseignements personnels recueillis par les entreprises de télécommunications, nous soutenons que les garanties en matière de protection de la vie privée doivent être plus rigoureuses et plus claires, et souhaitons mettre en garde contre le fait de considérer les renseignements personnels détenus à des fins commerciales comme un autre simple « ensemble de données » à exploiter.
- Comme le commissaire à la protection de la vie privée l’a indiqué dans sa lettre au ministre Bains du 23 novembre 2018, nous sommes de plus en plus préoccupé par le fait qu’on ne reconnaît pas au droit à la vie privée la même importance que l’exploitation des données au sein de nos écosystèmes numériquesNote de bas de page 2. La vie privée n’est pas un droit que nous cédons simplement au profit de l’innovation, de l’efficacité ou de gains commerciaux.
- La décision de la Cour suprême dans l’affaire R. c. Spencer, il y a quatre ans, représente un progrès important pour la protection de la vie privée. Par sa décision unanime, la Cour suprême a jugé qu’il y a une attente raisonnable en matière de protection de la vie privée en ce qui concerne les renseignements de base sur les abonnés aux services de télécommunications. La Cour suprême a convenu que ces renseignements pouvaient révéler les données d’utilisation d’Internet et que, sans circonstances contraignantes, essentiellement l’urgence, ou en l’absence d’une loi raisonnable, les responsables de l’application de la loi doivent détenir au préalable une autorisation judiciaire, donc un mandat, pour obtenir de telles données de la part des compagnies de télécommunicationsNote de bas de page 3.
- Dans ce contexte, nous souhaitons mettre en garde votre groupe d’examen contre les risques particuliers d’entrave à la vie privée décrits ci-dessous, qu’il faut garder à l’esprit lorsque les autorités gouvernementales visent à renforcer la sécurité par l’entremise de systèmes commerciaux (tels que l’infrastructure de télécommunications) conçus pour véhiculer de grandes quantités de renseignements personnels et de communications privéesNote de bas de page 4.
- Nous pensons que toute nouvelle obligation en matière de sécurité ou de protection du public pour les fournisseurs de services de télécommunications devrait être élaborée en tenant compte des aspects suivants :
- À propos des garanties : les garanties juridiques existantes doivent être adaptées aux réalités des outils de communication modernesNote de bas de page 5. Les appareils personnels conservent et transmettent des renseignements personnels extrêmement sensibles, pas seulement des données que les autorités peuvent saisir et utiliser.
- À propos des seuils : les réductions des garanties doivent être accompagnées d’explications précises quant à la raison pour laquelle les seuils existants sont trop lourds. Le gouvernement doit aussi expliquer dans quelle mesure les autorisations administratives pour obtenir des métadonnées, au lieu des autorisations judiciaires, sont conformes aux exigences de la Charte. À notre avis, les récents cas de collecte de métadonnées montrent que les normes juridiques existantes en matière de collecte doivent être renforcées et que les protections de la vie privée doivent être amélioréesNote de bas de page 6.
- À propos des exigences en matière de conservation et de préservation : depuis 2015, les demandes (pour conserver les données pendant 21 jours) et les ordonnances (qui préservent les données pendant trois mois) relatives à la préservation des données sont des options disponibles en vertu du Code criminel. Non seulement l’introduction d’exigences générales en matière de conservation entrave les droits de la personne, mais elle augmente aussi les risques d’atteinte à la vie privéeNote de bas de page 7. Afin de respecter les principes de nécessité et de proportionnalité, les pouvoirs de préservation utilisés dans le contexte des communications privées doivent être axés sur les crimes graves, pendant la période nécessaire la plus courte. Des dispositions générales relatives à une conservation générale des données constituent un risque inutile.
- À propos de l’assistance obligatoire : le Canada a des règles précises qui exigent que les fournisseurs de services de télécommunications apportent leur assistance aux organismes d’application de la loi. Ces règles sont entrées en vigueur en mars 2015 (avec la Loi sur la protection des Canadiens contre la cybercriminalité). Ces pouvoirs permettent aux juges d’annexer une ordonnance d’assistance à tout mandat de perquisition, à toute ordonnance d’interception, à toute ordonnance de production ou à toute autre forme de surveillance électroniqueNote de bas de page 8.
- À propos des capacités de surveillance obligatoire : des normes existent déjà pour les fournisseurs de services de télécommunications et elles exigent de créer une capacité de surveillance, de conserver les métadonnées des communications et de remettre le contenu déchiffré au gouvernement à sa demande. Si ces exigences (les normes du Solliciteur général), qui constituent une condition d’obtention de licence depuis le milieu des années 1990, ne sont pas adéquates, le gouvernement doit en expliquer les raisonsNote de bas de page 9.
- À propos des exigences de transparence : récemment, les entreprises de télécommunications au Canada ont publié des rapports annuels qui fournissent des détails statistiques sur diverses formes de demandes du gouvernement, de mandats ou d’ordonnances de tribunalNote de bas de page 10; toutefois, les institutions gouvernementales ne sont pas assujetties aux mêmes exigences de déclaration. Nous recommandons un renforcement des exigences de déclaration pour corriger ce déséquilibreNote de bas de page 11.
Gouvernance et administration efficace : Est-ce que la législation trouve le juste équilibre entre le fait de permettre au gouvernement d’établir l’orientation politique générale et de maintenir une indépendance en matière de réglementation de façon efficace?
- En ce qui concerne les mesures efficaces, pour relever les nombreux défis posés par les entreprises qui manipulent des quantités massives de renseignements personnels et maintenir la confiance des Canadiens dans l’environnement numérique, la protection de la vie privée doit être mise sur le même pied d’égalité que l’innovation et la croissance. Étant donné la rapidité avec laquelle la technologie et les affaires évoluent, le Commissariat doit travailler avec d’autres organismes de réglementation de la protection des données et de la vie privée ici au Canada et partout dans le monde.
- Nous avons également appris que nous devons établir des liens plus étroits avec les organismes de réglementation des autres secteurs, comme celui du droit de la concurrence. Cependant, nous sommes limités par les paramètres du droit. Tous les organismes de réglementation doivent de plus en plus réagir aux répercussions qui découlent de l’environnement numérique. Une approche globale assurerait l’équilibre entre l’innovation et la croissance économiqueNote de bas de page 12.
- En plus d’une capacité améliorée de collaborer avec d’autres organismes de réglementation, nous tenons à souligner la nécessité de renforcer les capacités d’examiner les pratiques des organisations de manière proactive, et non après que le problème est survenu. Nous avons également besoin d’une capacité à imposer des sanctions appropriées.
- En comparaison, la Commission fédérale du commerce des États-Unis peut imposer des amendes. On parle d’accords de règlement, mais il s’agit en fait d’amendes, qui se chiffrent en millions de dollars. Telle est la situation au sud de notre frontière. En Europe, en vertu du Règlement général sur la protection des données adopté en mai, nos homologues européens peuvent imposer des amendes extrêmement salées, représentant 4 p. 100 du volume d’affaires ou de la valeur d’une transaction financière d’une compagnie.
- Le Commissariat devrait avoir le pouvoir de fixer et d’imposer des amendes. Nous n’avons pas demandé de pouvoir d’imposer un montant précis. À titre d’exemple au Canada, le Bureau de la concurrence peut imposer des amendes de l’ordre de 15 millions de dollars canadiens. Un tel montant devrait suffire à inciter les compagnies à ne pas considérer l’amende comme une dépense inhérente à l’exploitation d’une entreprise.
- Nous avons actuellement trois organismes de réglementation qui régissent en partie le même domaine : le CRTC, le Bureau de la concurrence Canada et le Commissariat à la protection de la vie privée du Canada. Chacun peut enquêter sur un problème donné, et recueillir des renseignements sensibles de nature commerciale, personnelle et ainsi de suite.
- Les lois actuelles interdisent à tous les organismes de réglementation de partager de l’information avec d’autres, y compris des organismes homologues, ce qui les empêche parfois de mener certaines enquêtes à bonne fin. Nous pouvons discuter avec le CRTC et le Bureau de la concurrence des politiques générales, mais lorsque nous enquêtons sur des plaintes précises, nous ne pouvons pas partager avec eux — même si cela serait très utile — le résultat de nos enquêtes parce que les lois nous l’interdisent.
- Dans le monde technologique dans lequel nous vivons aujourd’hui, la collecte des renseignements et les procédés sont opaques. Les consommateurs ordinaires ne comprennent pas comment l’information est obtenue, utilisée et partagée. Les politiques sur la protection des renseignements personnels ou les documents qui nous sont présentés, parfois à l’écran, pour qu’on donne ou non notre consentement, sont théoriquement destinés à informer les consommateurs sur la façon dont les renseignements les concernant seront utilisés, mais nous savons tous que ces mesures ne fonctionnent pas. Les textes présentés sont très longs, complexes, jargonneux et impossibles à comprendre.
- Parce que les technologies et les procédés sont opaques, les consommateurs ne sont pas en mesure de savoir ce qu’il advient de leurs données personnelles. En conséquence, un des éléments cruciaux qu’il faudrait changer dans la loi ‒ car nous avons certaines connaissances technologiques et connaissons certains procédés dans ce domaine ‒, c’est le pouvoir de procéder à des vérifications ou à des inspections sur l’utilisation de la technologie par les compagnies pour nous permettre d’assurer le respect des dispositions législatives sur la protection des renseignements personnels.
- À titre d’analogie, dans le domaine de l’inspection de la qualité des aliments, par exemple, des gens se rendent dans les usines de transformation de la viande non pas parce qu’ils soupçonnent une violation de la loi, mais parce que la santé des gens et la qualité des aliments sont considérées, naturellement, comme importantes et parce que ces inspections rassurent la population en lui montrant que ces compagnies respectent la loiNote de bas de page 13.
- Par conséquent, nous souhaitons réitérer les recommandations suivantes au groupe d’examen concernant une réglementation efficace et indépendante dans ce domaine :
- Accorder plus de flexibilité au Commissariat pour partager les renseignements avec d’autres organismes de réglementation fédéraux. À l’heure actuelle, nous pouvons partager les renseignements et les utiliser, mais cette capacité est limitée à certaines fins (prévues dans la loi). Au cours des enquêtes passées liées à la LPRPDE, sont apparues des questions qui chevauchaient le champ de compétence du CRTC ou du Bureau de la concurrence. Dans ces cas-là, nous étions dans l’impossibilité d’échanger les renseignements pertinents. De manière à remédier à cette situation, la LPRPDE devrait être modifiée afin d’accorder au Commissariat plus de flexibilité pour échanger les renseignements et traiter les questions qui touchent à la fois la protection des consommateurs et la protection de la vie privéeNote de bas de page 14.
- Accorder au Commissariat le pouvoir d’émettre des ordonnances et la capacité d’imposer des sanctions administratives pécuniaires. Le Commissariat a besoin du pouvoir d’imposer des sanctions afin de promouvoir la conformité, non de punir, lesquelles serviraient d’incitatifs importants pour les organisations. Bon nombre de nos homologues internationaux ont ce pouvoir.
- Permettre au Commissariat de mener un examen de la conformité plus actif. Nous avons également besoin de nouveaux pouvoirs pour mener des examens de la conformité, même si une violation de la LPRPDE n’est pas immédiatement soupçonnée. Nous pourrions alors traiter de façon proactive les problèmes de protection de la vie privée qui sont peu susceptibles de faire l’objet d’une plainte, car ils impliquent des modèles commerciaux complexes ou de flux de données opaques que peu de Canadiens ont à leur connaissanceNote de bas de page 15.
Protection des consommateurs, droits et accessibilité : Est-il nécessaire d’apporter d’autres améliorations relatives à la protection des consommateurs, à leurs droits et à l’accessibilité dans la législation?
- Les Canadiens veulent profiter des nombreux bienfaits de l’économie numérique, mais ils s’attendent à juste titre à ce qu’ils puissent le faire tout en sachant que leurs droits seront protégés et que leurs renseignements personnels ne seront pas utilisés contre eux. En bref, ils veulent avoir la confiance que les règles, les lois et le gouvernement les protégeront contre d’éventuels préjudicesNote de bas de page 16.
- Cependant, les lois relatives à la protection de la vie privée sont assez permissives et accordent aux entreprises une grande latitude en ce qui concerne l’utilisation des renseignements personnels à des fins commerciales. En vertu de la LPRPDE, les organisations ont l’obligation juridique de rendre des comptes, mais de récentes atteintes à la sécurité des données ont montré aux Canadiens que les entreprises peuvent ne pas être en mesure de gérer leurs renseignements de façon responsable. La transparence et la responsabilité sont nécessaires, mais elles ne sont pas suffisantes.
- À la suite de l’affaire Facebook-Cambridge Analytica, les parlementaires ont demandé de quels outils et ressources le Commissariat avait besoin pour faire en sorte que les « géants de la technologie » et d’autres entreprises respectent véritablement leurs obligations relatives à la protection de la vie privée. Tandis que notre modeste demande de financement accru aurait une incidence intéressante, mais limitée, un budget beaucoup plus important pourrait être nécessaire pour avoir un véritable impact en termes de protection des droits des Canadiens en matière de vie privée. Ceci est la conclusion à laquelle est récemment parvenu le gouvernement britannique, qui a décidé de doubler les ressources disponibles pour notre homologue britannique.
- Vous devriez savoir que le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a récemment examiné les vulnérabilités en matière de protection de la vie privée sur les plateformes en ligne et les solutions possibles pour garantir la confidentialité des données des citoyens et l’intégrité des processus démocratiques et électoraux; un rapport provisoire a été publié en juin dernierNote de bas de page 17. Le Comité a appelé le gouvernement à prendre des mesures pour s’assurer que les lois sur la protection de la vie privée s’appliquent aux activités politiques et a réitéré la nécessité d’accorder au Commissariat de plus grands pouvoirs d’application de la loi.
Remarques finales
- Un des principes importants de la protection de la vie privée dans la LPRPDE, tient à ce que les compagnies ou les organismes ont l’autorisation d’obtenir, d’utiliser et de partager de l’information lorsque celle-ci est directement liée au service offert. Le problème c’est que, au-delà de l’information nécessaire pour fournir le service, elles partagent et divulguent beaucoup de renseignements à d’autres intervenants, qui servent à d’autres fins. Voilà où le principe du consentement prévu dans la LPRPDE entre en jeu.
- Nous entrons dans le domaine du consentement en vertu des dispositions législatives canadiennes sur la protection de la vie privée et, évidemment, la question est de savoir si le consentement est obtenu de la bonne façon et s’il devrait être tacite ou exprès. Les compagnies de télécommunications notamment recueillent des renseignements sensibles sur vos faits et gestes, vos allées et venues, le nombre de fois où vous entrez dans un immeuble qui peut abriter un médecin, un psychologue, un lieu de culte, etc. Selon le principe sous-jacent à la loi fédérale sur la protection de la vie privée, l’information de nature sensible dans les exemples cités, devrait faire l’objet d’un consentement exprès et explicite. Toutefois, la loi laisse beaucoup de latitude pour le consentement tacite lorsqu’il s’agit des données moins sensiblesNote de bas de page 18.
- L’application de la loi est essentielle pour garantir la confiance dans l’écosystème numériqueNote de bas de page 19. À l’heure actuelle, le Commissariat n’a pas le pouvoir de rendre des ordonnances ni d’imposer des amendes. Sur bien des plans, nous avons moins de pouvoirs que certains commissariats provinciaux ou étrangers. Votre groupe d’examen pourrait entendre de l’industrie qu’elle craint que les organisations soient moins disposées à collaborer avec nous pour négocier une solution si l’on donne davantage de pouvoirs au Commissariat. Ce n’est pas l’expérience que vivent nos homologues des provinces et d’autres pays. Nous soutenons qu’il est grand temps que les pouvoirs d’application de la loi fédérale en matière de protection de la vie privée correspondent à ceux de nos homologues provinciaux, territoriaux et internationaux.
- La conformité proactive a encore un rôle important à jouer. Les organisations commerciales et gouvernementales cherchent des façons novatrices d’utiliser les données, ce qui est logique, mais les Canadiens s’attendent à ce que cette activité soit réglementée. Une approche proactive pour surveiller la conformité en amont, avant de recevoir des plaintes, apporterait une plus grande certitude pour le marché et donnerait aux Canadiens l’assurance que l’on tient compte de leurs préoccupations.
Encore merci pour le travail important de votre groupe d’examen. N’hésitez pas à communiquer avec Arun Bauri ou Christopher Prince si vous avez d’autres demandes de renseignements ou de précisions. Vous pouvez leur écrire aux adresses Arun.Bauri@priv.gc.ca et Christopher.Prince@priv.gc.ca.
Cordialement,
(Original signé par)
Melanie Millar-Chapman
Directrice par intérim, Politiques, recherche et affaires parlementaires
Commissariat à la protection de la vie privée du Canada
- Date de modification :