Ajuster le tir afin d’améliorer les résultats pour les Canadiens

Allocution prononcée au Privacy Symposium 2017 d’IAPP Canada

Le 17 mai 2017
Toronto (Ontario)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

---

Introduction

Moins d’un an après mon entrée en fonction au poste de commissaire à la protection de la vie privée du Canada, j’ai pris la parole à votre symposium. Je vous ai alors dit que mon objectif était de permettre aux Canadiens d’exercer un meilleur contrôle sur leurs renseignements personnels.

J’ai aussi présenté les priorités du Commissariat ou, autrement dit, les mesures que nous prendrions pour atteindre cet objectif.

Comme vous le savez, nous avons mené de vastes consultations pour établir notre plan d’action — en particulier dans le cadre de nos travaux sur le consentement et la réputation en ligne, qui tirent maintenant à leur fin. Dans chaque groupe de discussion ou table ronde et même dans chaque sondage, le message était le même. 

Le modèle canadien de protection de la vie privée, réactif et axé sur les plaintes, a obtenu un certain succès au fil des ans. Par exemple, nos enquêtes ont permis d’apporter de nombreuses améliorations aux pratiques de protection de la vie privée. Mais ce modèle se heurte à d’énormes défis à l’ère numérique. Et notre modèle de l’ombudsman ne nous a pas permis de donner aux Canadiens l’assurance que leur vie privée est protégée et qu’ils ont leur mot à dire sur ce qu’il advient de leurs renseignements personnels.

Selon le plus récent sondage commandé par le Commissariat, 92 % des Canadiens sont préoccupés par la protection de leur vie privée et près de la moitié ont l’impression d’avoir perdu le contrôle sur la façon dont les organisations recueillent et utilisent leurs données.

En ce qui concerne le secteur public, les gens se sont dits préoccupés par la surveillance exercée par le gouvernement, l’accès licite et les mesures de sécurité à la frontière envahissantes.

Pour ce qui est du secteur privé, d’après nos consultations sur le consentement, bien des gens estiment que les politiques de confidentialité sont nettement inadéquates lorsqu’il s’agit d’obtenir un consentement valable. Des participants à une discussion de groupe tenue à Montréal ont même affirmé que ces politiques ne permettent « jamais » réellement d’obtenir un consentement valable.

En réalité, il est peu probable que les individus déposent une plainte pour dénoncer un fait dont ils n’ont pas conscience. Et à l’ère des mégadonnées et de l’Internet des objets, on peut très difficilement savoir et comprendre ce qu’il advient de nos renseignements personnels.

Il y a de quoi s’inquiéter. Certaines choses doivent changer, sans quoi les Canadiens perdront confiance dans l’économie numérique. Ils pourraient se heurter à un ralentissement de la croissance et ne pas bénéficier de tous les avantages de l’innovation. Plus important encore, dans une société démocratique, il est très malsain lorsque la plupart des citoyens craignent que l’un de leurs droits les plus fondamentaux ne soit pas respecté.

Je propose donc un léger changement de cap, un petit réalignement, dans la façon dont le Commissariat aborde la protection de la vie privée. Si vous me le permettez, j’aimerais mettre l’accent sur cet aspect dans mon allocution d’aujourd’hui. Je parlerai de la plomberie et en temps et lieu, je traiterai de l’ensemble des travaux de rénovation.

Nous continuerons de faire enquête sur les plaintes, mais nous chercherons aussi des moyens d’être plus proactifs. Nous pousserons plus loin un principe clé de la protection de la vie privée et défendrons le concept de responsabilité démontrable. Et nos activités seront davantage centrées sur les citoyens.

Enfin, nous savons que la protection de la vie privée n’a pas de frontières dans une société de plus en plus mondialisée. Nous suivrons donc de très près ce qui se passe sur la scène internationale. Nous veillerons à ce que la protection de la vie privée des Canadiens soit respectée, peu importe où ils se trouvent et où se trouvent leurs données. Nous nous assurerons aussi que les mesures de protection de la vie privée en vigueur au Canada font le poids contre celles des autres pays.

En bout de ligne, j’espère que toutes ces mesures amélioreront la protection de la vie privée des Canadiens.

Le passage à une application proactive de la loi

Comme vous le savez, le Parlement a chargé le commissaire à la protection de la vie privée d’agir comme ombudsman et gardien de la vie privée au Canada.

Je surveille l’application de deux lois, soit la Loi sur la protection des renseignements personnels et la LPRPDE, qui sont en grande partie axées sur les plaintes. Mais comme je l’ai dit plus tôt, il y a un fossé qui se creuse entre les fournisseurs de produits et de services et ceux qui les consomment.

Les consommateurs ne savent plus très bien qui utilise leurs données et à quelles fins, et si ces utilisations sont acceptables. En fait, les gens ignorent ce qui se cache derrière tout cela.

En revanche, le Commissariat est bien placé pour examiner les flux de données souvent obscurs et déterminer s’ils sont conformes aux lois canadiennes sur la protection des renseignements personnels.

Notre but est de sensibiliser les citoyens, les institutions gouvernementales et les entreprises à leurs droits et responsabilités. Mais nous pouvons faire davantage de façon proactive en vertu des pouvoirs que possède le Commissariat.

Loin de moi l’idée d’inquiéter les représentants d’organisations qui sont ici aujourd’hui. Au contraire. J’estime que cette approche nous permettra de nous concentrer davantage sur les menaces qui posent le plus de risques d’atteinte à la vie privée des Canadiens. Elle aidera aussi les organisations axées sur la conformité à éviter des erreurs qui pourraient s’avérer coûteuses pour leur entreprise et pour leurs clients. 

Vous vous demandez peut-être ce que j’entends par « une application plus proactive de la loi ».

Les enquêtes ouvertes en réponse aux plaintes constituent la norme. Mais la LPRPDE m’autorise à prendre l’initiative d’une enquête lorsque je suis convaincu qu’il y a des motifs raisonnables de le faire. Ce seuil me donne une bonne marge de manœuvre.

Dans l’avenir, nous examinerons les tendances en matière d’enquêtes, les appels à notre Centre d’information et les commentaires que nous recevons au cours de nos activités de sensibilisation afin de déterminer s’il y a des questions précises, des problèmes chroniques ou des secteurs qui pourraient bénéficier d’une enquête ouverte par le commissaire.

Nous examinons aussi les meilleurs moyens de travailler plus directement avec les organisations pour nous assurer qu’elles respectent leurs obligations en matière de protection de la vie privée.

Les vérifications volontaires ou encore les visites ou réunions de consultation permettent de valider la conformité à la LPRPDE ou de recommander des mesures aux entreprises pour améliorer leurs pratiques de protection de la vie privée avant qu’un incident se produise. D’autres autorités de protection des données utilisent ces options de façon efficace.

Le manque de ressources constitue la principale contrainte dans ce type de travail proactif — budget limité, nombre restreint d’enquêteurs sur la protection de la vie privée et charge de travail déjà lourde des dossiers à traiter font partie de notre quotidien.

Cela dit, des modèles prévoyant l’imposition de frais nous ont été proposés au cours de nos consultations récentes sur le consentement. C’est une option qui nous intéresse et que nous examinerons.

Promouvoir la responsabilité démontrable

La question d’approches proactives en matière de conformité et d’application de la loi a certes été soulevée dans notre document de discussion sur le consentement. De plus, selon plusieurs mémoires reçus au cours de la consultation, d’autres autorités de protection des données ont recours à ce type de pratiques depuis un certain temps. Nous pourrons vous en dire davantage sur notre plan d’action lorsque nous publierons notre rapport final sur le consentement à l’automne. Demeurez à l’affût!

Je me contenterai de dire que le Commissariat ne peut à lui seul garantir un meilleur contrôle sur les renseignements personnels et renforcer la protection de la vie privée. L’industrie et les institutions fédérales doivent faire partie de la solution. Les PDG et les sous-ministres doivent rendre compte des pratiques de protection de la vie privée au sein de leur organisation.

Il convient de souligner que la LPRPDE a été la première loi sur la protection des renseignements personnels au monde à énoncer le concept de responsabilité. Elle s’appuyait sur une brève mention de ce concept dans les Lignes directrices de l’OCDE sur la protection de la vie privée de 1980. La LPRPDE a servi de modèle à l’élaboration d’autres lois sur la protection des données mais aujourd’hui, dans le milieu de la protection de la vie privée partout dans le monde, on parle fréquemment de pousser plus loin la responsabilité.

L’une des façons d’y arriver serait de promouvoir l’idée que la responsabilité doit être démontrable. Ce concept apparaît déjà dans les lignes directrices sur la reddition de comptes que nous avons publiées en collaboration avec nos collègues de la Colombie-Britannique et de l’Alberta.

À l’heure actuelle, ce n’est que lorsqu’un problème nous est signalé dans une plainte que nous y regardons de plus près. C’est alors que nous demandons aux organisations de démontrer qu’elles mettent à jour régulièrement des politiques et des procédures précises pour protéger les renseignements personnels et qu’elles s’y conforment; qu’elles donnent à leurs employés une formation adéquate sur la protection de la vie privée; et qu’elles ont nommé un responsable de ces questions.

Selon moi, la responsabilité démontrable contrôlée par la conformité proactive pourrait améliorer la protection de la vie privée. Par exemple, je sais que des homologues européens ont recours à des vérifications éclair pour améliorer la reddition de comptes. C’est un outil efficace. Lorsque le processus de dépôt de plaintes par le commissaire sera en place, nous demanderons, au besoin, aux organisations de faire la preuve de leur conformité au principe de responsabilité démontrable.

En se rendant sur place et en posant des questions sur les pratiques de protection des renseignements personnels des entreprises, il est possible de mieux cerner les lacunes et de les corriger avant qu’un problème grave se produise.

C’est particulièrement important du fait que les technologies évoluent et que la collecte, l’utilisation et la communication d’information sont de moins en moins transparentes et que les individus ont de plus en plus de difficultés à les comprendre. Si nous ne travaillons pas de façon proactive auprès des organisations qui utilisent des mégadonnées, l’intelligence artificielle, la biométrie et d’autres innovations à la fine pointe, il sera impossible d’assurer la reddition de comptes dans ce secteur en évolution rapide. 

Nous examinons aussi le rôle que nous pouvons jouer pour encourager l’industrie à élaborer des codes de pratique. En fait, nous avons déjà cerné quelques possibilités. Cette année, dans le cadre de notre Programme des contributions, nous financerons un projet indépendant qui vise à élaborer un code de pratique pour les véhicules connectés et un autre pour les applications juridiques.

Proactivité et le secteur public

En ce qui concerne le secteur public, nous avons recommandé une série de mesures aux parlementaires dans le cadre d’un examen récent de la Loi sur la protection des renseignements personnels. Ces mesures contribueraient grandement à la responsabilité démontrable reposant sur la conformité proactive.

Les évaluations des facteurs relatifs à la vie privée (EFVP) sont un bon exemple à ce chapitre. Presque toutes les institutions fédérales sont tenues d’effectuer une EFVP avant de lancer un programme ou un service nouveau ou remanié qui pourrait avoir une incidence sur la vie privée. Ces évaluations peuvent être un excellent outil d’évaluation et d’atténuation du risque. 

L’an dernier, nous avons reçu 93 EFVP de 31 institutions. En vertu d’une directive du Conseil du Trésor, ces évaluations devraient être produites et transmises au Commissariat en temps opportun. Mais nous aimerions que les EFVP soient exigées par la loi. En fait, nous voudrions recevoir et examiner davantage d’EFVP afin de pouvoir nous attaquer aux difficultés dès le départ plutôt que de remédier aux problèmes après coup.

Nous avons aussi demandé que la loi soit modifiée pour exiger l’établissement d’ententes de partage d’information entre les institutions fédérales ou avec d’autres ordres de gouvernement, des États étrangers et des organisations.

Nous comprenons l’argument selon lequel le partage de l’information peut aider à rationaliser les services gouvernementaux, ce qui peut être souhaitable pour les Canadiens, mais cette pratique comporte des risques d’atteinte à la vie privée. Les citoyens s’attendent aussi à ce que les institutions protègent leur vie privée et le gouvernement doit établir des balises sur la façon de faire. Sur ce plan, il serait utile que les ententes écrites soumises à l’examen du Commissariat prennent en compte les critères de nécessité et de proportionnalité.

Les institutions devraient être tenues de consulter le Commissariat sur les projets de loi qui pourraient avoir une incidence sur la protection de la vie privée. Pour éviter le risque de collecte excessive de données, nous avons demandé d’exiger explicitement que les institutions recueillent uniquement l’information nécessaire au fonctionnement d’un programme ou d’une activité.

Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes a accepté toutes nos recommandations dans un rapport qu’il a publié en décembre. Il y a de quoi être fier. Les représentants du gouvernement ont leurs propres objectifs en ce qui concerne la réforme, mais ils ont répondu favorablement à notre demande de modernisation. Ils reconnaissent qu’une révision globale de la Loi sur la protection des renseignements personnels s’impose.

Si les modifications que nous avons recommandées sont adoptées, elles contribueront grandement à améliorer la reddition de comptes au sein de l’administration fédérale.

Activités davantage centrées sur les citoyens

Nous modifierons aussi notre approche de protection de la vie privée en mettant davantage les citoyens au cœur de nos activités.

Entre autres, nous redéfinissons nos résultats escomptés. À l’avenir, nous mesurerons le succès de nos activités d’après la capacité d’action des citoyens. Si notre objectif est de réduire la proportion de Canadiens inquiets pour leur vie privée, nos activités doivent être considérées comme utiles pour les individus et les organisations. Elles doivent aussi inciter les organisations à se conformer aux lois sur la protection des renseignements personnels en vigueur au Canada.

Vous avez peut-être déjà remarqué certaines activités que nous avons mises en œuvre au cours de la dernière année dans le domaine.

Nous avons remanié en profondeur notre site Web afin de le rendre plus convivial pour les individus à la recherche d’information sur la protection de la vie privée. Nous continuerons de le surveiller, de le tester et de le mettre à jour régulièrement pour nous assurer qu’il répond aux besoins des visiteurs.

Nous préparons de nouvelles fiches de conseils et d’information à l’intention des individus. Nous tenons à ce qu’elles soient plus faciles à comprendre et qu’elles proposent des solutions concrètes que les gens pourront mettre en pratique. Par exemple, nous avons publié de nouvelles fiches de conseils sur les accessoires intelligents à porter sur soi et la protection des renseignements personnels en ligne et sur les appareils mobiles.

Nous avons aussi lancé un outil « intelligent » de demande d’information en ligne afin de mieux servir les Canadiens. Grâce à cet outil, ils peuvent communiquer avec nous par voie électronique et, dans bien des cas, obtenir immédiatement la réponse à leurs questions sur la protection de la vie privée.

De plus, nous avons déployé un effort concerté pour sensibiliser les populations vulnérables — à savoir les personnes âgées et les jeunes. De concert avec nos collègues provinciaux, nous avons conçu des plans de cours. Nous avons aussi publié des articles dans des publications ciblées, participé à des salons, pris la parole devant des groupes et lancé notre nouvelle page Facebook.

Comme je l’ai déjà mentionné, en aidant les organisations et les institutions fédérales à se conformer aux lois sur la protection des renseignements personnels, nous nous trouvons à améliorer la protection de la vie privée.

Ainsi, nous avons mis à jour et publié à l’intention des entreprises des documents d’orientation sur l’identification et l’authentification, la façon d’appliquer des articles précis de la LPRPDE et les mesures à prendre pour empêcher les employés de fureter. Notre enquête sur l’atteinte massive à la sécurité des données sur le site Ashley Madison a aussi permis de tirer des leçons que les entreprises pourraient utiliser pour améliorer leurs pratiques de protection de la vie privée. Pour les institutions fédérales, nous avons publié une fiche de conseils sur la protection de la vie privée à l’intention des spécialistes des ressources humaines.

Les séances d’analyse sont une autre initiative nouvelle visant à obtenir de l’information à jour et détaillée sur les principales conclusions d’enquête — notamment le dossier Ashley Madison et le dossier Compu-Finder lié à la Loi canadienne anti-pourriel. Nous espérons que ces séances ont aidé les organisations à apprendre des erreurs des autres afin d’éviter de tomber dans les mêmes pièges.

Pour sensibiliser les PME, nous avons prononcé des allocutions devant les membres de chambres de commerce ainsi que lors des activités organisées dans le cadre du programme Donner un élan à la petite entreprise de Facebook partout au pays. Et un encart sur les responsabilités en matière de protection de la vie privée a été inséré dans un envoi de l’Agence du revenu du Canada à plus d’un demi-million de PME.

Nous continuerons d’examiner et de mettre à jour nos documents d’orientation, de publier de nouvelles orientations s’adressant aux individus et aux organisations lorsque des questions se poseront ou évolueront et de nous assurer que l’information et les conseils sont aussi accessibles et utiles que possible.

Je tiens à mentionner que nous avons ajouté sur notre site Web un bouton de commentaires. Vous pouvez l’utiliser pour nous indiquer si un conseil ou une orientation en particulier est utile et pourquoi. Je vous encourage à tirer parti de ce nouvel outil pour nous faire part de votre opinion.

Nous avons reçu beaucoup de commentaires au cours de nos consultations sur le consentement et la réputation en ligne. Mais il est important que vous, les membres du milieu de la protection des renseignements personnels, continuiez à nous donner votre opinion. Nos orientations sont-elles utiles? Quelles autres mesures pouvons-nous prendre pour améliorer la conformité? Comment pouvons-nous travailler ensemble pour donner des pouvoirs aux citoyens et renforcer leur confiance?

Nous sommes sans doute tous d’accord sur le fait que la confiance des consommateurs, la confiance des Canadiens, est essentielle à une économie numérique vigoureuse et vibrante.

Pour bâtir cette confiance, il faut s’assurer que les entreprises avec lesquelles les Canadiens font affaire, les organisations auxquelles ils font appel et les institutions gouvernementales à qui ils confient leurs données les plus intimes respectent leur vie privée.

Scène internationale

Lorsqu’il s’agit de protéger la vie privée des citoyens, nous surveillons de près ce qui se passe sur la scène internationale, notamment en Europe et aux États-Unis.

Comme vous le savez, le Règlement général sur la protection des données (RGPD) entrera en vigueur en 2018 en Europe. En vertu de ce règlement, les décisions concernant le caractère adéquat de la protection offerte devront être examinées tous les quatre ans. Or, le statut de pays offrant une protection adéquate attribué au Canada, qui permet depuis 2001 le transfert de données de l’Union européenne au Canada, devra être revu.

En janvier dernier, la Commission européenne a signalé que le statut attribué au Canada est « partiel », c’est-à-dire qu’il s’applique uniquement à la LPRPDE, et que toutes les décisions à venir concernant le caractère adéquat reposeront sur une évaluation exhaustive du régime de protection de la vie privée du pays. Cette évaluation portera notamment sur l’accès des autorités publiques aux données personnelles aux fins d’application de la loi, de sécurité nationale et d’autres objectifs d’intérêt public.

En décembre 2016, mes homologues des provinces et des territoires et moi-même avons présenté un mémoire au gouvernement à l’occasion de sa consultation sur le cadre de sécurité nationale du Canada. Nous avons alors affirmé que les mesures visant à assurer la sécurité nationale, notamment certaines dispositions du projet de loi C‑51, pourraient influer sur l’évaluation réalisée par l’Union européenne. Nous avons souligné que la nécessité et la proportionnalité constituent des considérations essentielles au maintien du statut du Canada. Nous avons aussi signalé qu’un changement de ce statut pourrait avoir des répercussions importantes sur les relations commerciales du Canada avec l’Europe.

J’ai aussi exhorté les parlementaires à envisager sérieusement d’examiner tout écart qui pourrait exister entre les lois canadiennes et européennes sur la protection des renseignements personnels, y compris en ce qui concerne les pouvoirs d’application conférés aux autorités de protection des données et le droit à l’oubli, dont il est question dans le RGPD. 

J’ajouterai que le Commissariat a demandé un renforcement des pouvoirs d’application de la loi qui lui sont conférés en vertu de la Loi sur la protection des renseignements personnels et de la LPRPDE. Mais nous tentons encore de déterminer, dans le cadre de notre consultation sur la réputation en ligne et la protection de la vie privée, si le droit à l’oubli devrait s’appliquer au Canada. Nous devrions publier le rapport final de cette consultation d’ici la fin de l’année.

Aux États-Unis, plusieurs points préoccupants soulèvent des questions difficiles. 

Des Canadiens ont rapporté qu’ils avaient dû répondre à des questions très personnelles à la frontière américaine. Ils auraient même été obligés de révéler le mot de passe de leur ordinateur portable et de leur téléphone mobile. Nous avons averti les voyageurs de limiter les objets qu’ils apportent ou de supprimer les renseignements sensibles stockés sur des appareils susceptibles d’être fouillés.

En vertu du décret présidentiel adopté par Donald Trump, les personnes qui ne sont pas des citoyens américains ni des résidents permanents légitimes aux États-Unis sont exclues des mesures de protection prévues par la Privacy Act des États-Unis à l’égard des renseignements concernant des individus identifiables. Nous avons reçu de nombreuses demandes nous priant d’examiner les répercussions de ce décret pour le Canada.

Selon ce que j’ai conclu, les Canadiens bénéficient d’une certaine protection de leur vie privée aux États-Unis, mais cette protection est précaire car elle repose principalement sur des ententes administratives qui ne sont pas exécutoires.

J’ai demandé instamment aux représentants du gouvernement fédéral de demander à leurs homologues américains de renforcer la protection de la vie privée offerte aux Canadiens, à savoir de demander que le Canada soit ajouté à la liste des « pays couverts » en vertu de la Judicial Redress Act. De cette façon, certains recours juridiques prévus par la Privacy Act des États-Unis s’appliqueraient aux Canadiens.

J’ai aussi demandé au gouvernement de confirmer si les ententes administratives canado-américaines continueraient ou non de protéger la vie privée des Canadiens aux États-Unis.

Je devrais bientôt recevoir la réponse du gouvernement. Je ferai alors part de mes conclusions aux Canadiens en précisant notamment le niveau de risque et, le cas échéant, les mesures d’atténuation qui peuvent être prises.

Je devrais apporter une précision importante : malgré les différences entre les lois et les pratiques de protection de la vie privée, le Commissariat a créé de solides partenariats avec des organisations semblables dans le monde entier. Qu’il s’agisse d’enquêtes conjointes ou de résolutions stratégiques communes, ces efforts de collaboration sont essentiels pour renforcer la protection de la vie privée dans le monde entier.

Conclusion

En terminant, je vous dirais que nous avons beaucoup de pain sur la planche.

Du fait de leur ampleur et de leur rythme rapide, les progrès technologiques et les innovations commerciales créent des possibilités remarquables. Mais ils limitent considérablement la capacité des individus à protéger leur vie privée.

En adoptant une nouvelle stratégie axée sur l’application de la loi et la conformité proactives, en nous assurant de mettre les citoyens au cœur de nos activités et en demeurant à la fine pointe des développements internationaux, nous espérons amener les Canadiens à sentir qu’ils ont davantage de pouvoir et qu’ils exercent un contrôle sur ce qu’il advient de leurs renseignements personnels.