Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Moderniser les lois fédérales en matière de protection de la vie privée pour mieux protéger les Canadiens

Allocution prononcée à une réunion de la collectivité de l’accès à l’information et de la protection des renseignements personnels

Le 9 mars 2020

Ottawa (Ontario)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

Introduction

Comme vous le savez, nous vivons à une époque marquée par de grandes avancées sur le plan technologique. Qui dit technologie dit données, et les données les plus parlantes – pour ne pas dire les plus payantes – sont souvent les données personnelles.

Cette nouvelle réalité a comme effet d’augmenter votre charge de travail. Non seulement devez-vous composer avec des EFVP complexes, mais plusieurs d’entre vous voient les dossiers de demandes d’accès s’accumuler. Tout cela dans un contexte où les ressources sont limitées.

Je tiens donc à reconnaître que vous faites face à une situation difficile. Mais c'est aussi une période emballante. La technologie remet en question nos façons d'appréhender le monde et nous force à nous questionner sur nos valeurs fondamentales.

Pour le meilleur et pour le pire, les technologies axées sur les données constituent une force perturbatrice. Il est indéniable qu’elles procurent de grands avantages aux gens et qu’elles ouvrent la voie à l’innovation, à la croissance économique et à l’amélioration des services gouvernementaux, mais il a trop souvent été démontré qu’elles compromettent les droits fondamentaux et les libertés.

Des atteintes à la vie privée se produisent chaque jour. Des reportages dans les médias traitent tous les jours d’une nouvelle fuite de données, d’une mauvaise utilisation de la biométrie, de surveillance par géolocalisation, de discrimination causée par les biais dans les systèmes d’intelligence artificielle et de la propagation de fausses informations en ligne qui mine le processus démocratique. Il va sans dire que la loi n’a pas suivi l’évolution de la technologie.

Aujourd’hui, j’aimerais vous faire part de quelques réflexions sur les nouveaux défis en matière de protection de la vie privée.

Je commencerai par un aperçu de la manière dont des lois fédérales modernisées en matière de protection des renseignements personnels pourraient grandement contribuer à mieux protéger les Canadiens dans ce contexte.

Ensuite, je donnerai un aperçu de l’enquête que mon bureau a récemment menée sur Statistique Canada. Cette affaire démontre qu’il est nécessaire de tenir compte des principes fondamentaux de protection de la vie privée au stade de l’élaboration de nouvelles initiatives. Elle démontre également pourquoi certaines exigences actuelles en matière de politiques méritent d’être élevées au rang d’exigences juridiques.

Enfin, je dirai quelques mots sur notre guide des attentes en matière d’EFVP, qui a récemment été remanié et que nous avons lancé la semaine dernière. J’ai été heureux d’apprendre qu’il suscite une réaction positive dans la collectivité et que, de manière générale, il est considéré comme un outil pratique.

Cadre de travail sur les droits de la personne

La protection de la vie privée est passée d’un concept abstrait à une préoccupation bien réelle. Dans la foulée du scandale Facebook / Cambridge Analytica et d’une série de fuites massives de données dans le secteur financier, nous constatons que les questions de protection de la vie privée peuvent avoir des répercussions concrètes sur notre quotidien.

Les atteintes à la vie privée peuvent mener à la perte de liberté, de démocratie, d’égalité, et présentent même un risque pour notre sécurité physique.

Il est clair depuis très longtemps que les lois sur la protection des renseignements personnels doivent être modernisées. La seule question qui se pose aujourd’hui est la suivante : comment les moderniser?

Puisqu’il a été démontré que les technologies axées sur les données peuvent porter atteinte, entre autres, au droit à la vie privée, le point de départ de la réforme législative devrait être de veiller à ce que les lois sur la protection des renseignements personnels soient fondées sur les droits.

La vie privée est reconnue depuis longtemps comme un droit fondamental. Tout récemment, elle a été inscrite dans le plan directeur du Secrétaire général des Nations Unies pour les droits de la personne.

Un objectif central des lois en matière de protection des renseignements personnels devrait être de protéger le droit à la vie privée en tant que droit de la personne en soi, de même qu’en tant qu’élément essentiel à la réalisation et à la protection d’autres droits de la personne.

À l’heure actuelle, les lois fédérales sur la protection des renseignements personnels au Canada ont une portée étroite sur la protection des données. Ainsi, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la Loi sur la protection des renseignements personnels établissent un ensemble de règles qui encadrent la façon dont les organisations et les institutions fédérales doivent traiter les renseignements personnels des individus.

La protection de la vie privée est plus large que la protection des données, bien que la seconde contribue à la première.

Aucune des lois citées ne reconnaît officiellement la protection de la vie privée comme un droit en soi.

Si nous voulons que ces lois protègent de manière concrète le droit plus général à la protection de la vie privée, cet objectif doit être reflété plus explicitement.

À cette fin, mon plus récent rapport annuel suggère l’adoption de préambules et d’énoncés d’objet, un pour chaque loi, comme moyen d’enchâsser la protection de la vie privée dans le cadre qui lui est propre, soit celui des droits de la personne.

Ces dispositions pourraient combler l’écart entre la protection des données et la vie privée.

Elles serviraient à fournir une orientation sur les valeurs, les principes et les objectifs qui façonneraient l’interprétation et l’application des principes de protection des données dans les deux lois fédérales.

Le principal bénéfice d’une loi fondée sur les droits est bien sûr de protéger la vie privée dans toute son ampleur et sa portée, comme un droit fondamental de la personne, et comme une condition préalable à l’exercice d’autres droits fondamentaux.

Il est aussi important de noter que le développement de nouvelles technologies se produit à un rythme exponentiel. Il est tout simplement impossible pour la loi d’être modifiée à la même vitesse.

Le rythme de l’innovation à l’ère numérique est un argument avancé par l’industrie et le gouvernement en faveur d’une législation sur la protection des renseignements personnels qui soit fondée sur des principes, mais il sert aussi d’argument en faveur d’une loi qui définit la vie privée dans son sens le plus large et le plus véritable.

Les mesures de protection techniques, comme le fait de faire reposer la validité du consentement sur certains éléments d’information, s’avèrent souvent inefficaces, car elles sont la plupart du temps dépassées par les avancées technologiques. Cependant, les valeurs sous-jacentes au droit à la vie privée ne changeront probablement pas beaucoup au fil du temps.

En définissant la vie privée de manière à lui donner tout son sens, conformément aux valeurs qui la sous-tendent, on s’assurerait qu’elle demeure protégée, peu importe les changements technologiques.

Je ne dis pas que cela ferait en sorte qu’une loi fondée sur les droits deviendrait pertinente pour toujours. Cependant, si la loi est rédigée de manière à protéger les valeurs et principes fondamentaux, il est probable qu’elle demeure efficace et pertinente plus longtemps. Bien sûr, elle devra être modifiée de temps à autre, en fonction de l’évolution de la technologie, et des normes sociales et juridiques.

Défis et solutions en matière de protection de la vie privée

Pour bien comprendre, je vais maintenant traiter une question examinée par le Commissariat, à savoir que l’utilisation par le gouvernement d’un plus grand nombre de données et de plus de puissance de traitement met en péril les droits des Canadiens, et que le cadre juridique semble mal adapté pour relever ce défi.

Notre enquête sur la collecte par Statistique Canada de données financières sur les particuliers dans le cadre de nouveaux projets statistiques sert d’exemple concret pour illustrer certains défis actuels en matière de protection de la vie privée. De plus, elle met en lumière ce que le Commissariat fait dans le cadre actuel pour protéger les Canadiens et démontre comment des lois plus strictes sur la protection des renseignements personnels pourraient offrir une protection plus efficace aux individus.

J’ai également choisi cet exemple parce qu’il démontre comment le Commissariat peut travailler avec les institutions fédérales pour obtenir des résultats positifs pour les Canadiens.

Enquête sur Statistique Canada

L’enquête sur Statistique Canada a commencé à la fin de l’automne 2018, lorsque les médias ont déclaré que l’organisation envisageait de recueillir des renseignements détaillés sur les Canadiens auprès des banques et des agences d’évaluation du crédit, et que, dans certains cas, la collecte avait déjà commencé. Tout cela s’était produit sans le consentement préalable des personnes concernées.

Il n’est pas surprenant que cela ait déclenché une forte réaction. Nous avons reçu plus de 100 plaintes relatives à la collecte de renseignements sur les antécédents de crédit des particuliers et à la collecte proposée de renseignements sur les transactions financières et le solde des comptes des particuliers.

Les deux initiatives en question étaient les suivantes :

  • premièrement, le projet de renseignements sur le crédit, dans le cadre duquel Statistique Canada avait recueilli des données de crédit auprès de 24 millions de Canadiens, remontant à 2002, auprès d’une agence d’évaluation du crédit;
  • deuxièmement, le projet relatif aux transactions financières, dans le cadre duquel Statistique Canada prévoyait recueillir des renseignements sur les transactions financières et le solde des comptes auprès des institutions financières. Le projet proposait de recueillir la date, la valeur et la description détaillée de toutes les transactions effectuées par chaque personne dans son compte personnel.

Les Canadiens nous ont dit qu’ils étaient profondément troublés par ces initiatives. Leur inquiétude était justifiée, compte tenu de l’ampleur de la collecte proposée. Les renseignements personnels en question pouvaient brosser un portrait incroyablement détaillé du mode de vie, des choix de consommation et des intérêts privés d’une personne, y compris des choix légitimes que les gens ne voudraient pas que le gouvernement connaisse.

De toute évidence, il s’agissait de deux projets intrusifs.

Les lois canadiennes sont désuètes et inadéquates. Elles ne permettent pas de s’attaquer aux problèmes de protection de la vie privée du 21e siècle. D’ailleurs, notre enquête n’a révélé aucune infraction à la loi. Par contre, nous avons conclu que la conception initiale des deux projets ne respectait pas les principes de nécessité et de proportionnalité. Ces principes ne sont pas enchâssés dans les lois fédérales actuelles, mais ils ont été adoptés en tant que politique gouvernementale. Et, bien entendu, il s’agit de principes de droit en vigueur dans de nombreux pays partout dans le monde.

Pour respecter ces deux principes, les organisations devraient aller de l’avant avec les activités et les programmes intrusifs uniquement s’il est possible de démontrer qu’ils sont nécessaires pour atteindre un objectif urgent et important, et que l’atteinte à la vie privée est proportionnelle aux avantages escomptés.

Pour guider les organisations dans cette tâche, nous leur demandons d’analyser leur projet en utilisant un critère en quatre parties :

  • Peut-il être démontré que la mesure est nécessaire pour répondre à un besoin précis? Est-elle rationnellement reliée à un but d’intérêt public qui est urgent et important? Existe-t-il des éléments de preuve empirique à l’appui de l’initiative?
  • La mesure est-elle susceptible d’être efficace pour répondre à ce besoin? A-t-elle été conçue minutieusement de manière à atteindre l’objectif en question?
  • L’atteinte à la vie privée est-elle proportionnelle au besoin? Plus l’incidence sur la vie privée est grande, plus l’objectif devrait être clair et important.
  • Existe-t-il un moyen d’arriver au même but tout en réduisant l’atteinte à la vie privée? Des mesures raisonnables ont-elles été prises pour s’assurer que l’on recueille la quantité minimale de renseignements personnels nécessaires à l’atteinte de l’objectif?

À notre avis, les projets de Statistique Canada ne répondaient à aucun des éléments du critère. En particulier :

  • Les termes employés afin de définir les objectifs des deux projets étaient trop généraux pour répondre au premier élément. Par exemple, Statistique Canada faisait référence à son mandat prévu par la loi et aux facteurs expliquant le besoin d’adopter de nouveaux moyens de recueillir des données au lieu de faire la preuve d’une fin particulière et urgente servant l’intérêt public.
  • Comme Statistique Canada n’avait pas défini les objectifs de façon assez précise, nous n’avons pas été en mesure de déterminer que tous les renseignements personnels qu’il souhaitait recueillir étaient nécessaires – notamment la collecte intrusive de renseignements détaillés concernant chaque transaction financière.

Un objectif de politique publique précis et urgent aurait pu être, pour le projet de renseignements sur le crédit, de fournir des renseignements statistiques valides à l’appui de politiques visant les vulnérabilités au Canada en ce qui concerne les finances personnelles, et particulièrement la dette des ménages, les taux d’intérêt et le marché de l’immobilier.

Ou, pour le projet relatif aux transactions financières, de produire des renseignements statistiques fiables au sujet de divers groupes de ménages, afin de soutenir des politiques économiques et sociales précises, comme des politiques anti-pauvreté ciblant les populations vulnérables et des politiques visant à atténuer de façon préventive les effets d’une récession.

Si les objectifs des deux projets pilotes avaient été définis avec ce niveau de précision, il aurait alors été possible de déterminer le volume et la granularité des renseignements personnels requis pour atteindre ces objectifs de manière efficace. Sans cela, la nécessité et la proportionnalité n’ont pas été respectées.

Nous avons demandé à Statistique Canada de travailler avec le Commissariat pour réorganiser les projets afin de mieux respecter les principes de nécessité et de proportionnalité.

L’organisme a accepté notre recommandation et nous travaillons maintenant ensemble à élaborer et à mettre en œuvre des politiques et des procédures visant à prendre en compte, dans une optique plus globale, la nécessité et la proportionnalité dans ses méthodes statistiques.

Nous ne sommes encore qu’aux débuts de cette démarche. Il y aura probablement des difficultés en cours de route puisque l’initiative touche des questions complexes et nouvelles dans le domaine de la statistique.

Par ailleurs, nous pensons que l’exercice nous permettra de découvrir des solutions novatrices qui montreront comment la protection de la vie privée peut renforcer les produits statistiques. Ce sont ces produits qui serviront à élaborer des politiques et des programmes fondés sur des données probantes au bénéfice des citoyens.

Toutes les institutions gouvernementales peuvent tirer des leçons positives de cette expérience.

En effet, nous espérons que cette expérience encouragera tous les ministères à prendre pleinement en compte les questions de protection de la vie privée lorsqu’ils s’emploieront à harmoniser leurs activités avec l’objectif du gouvernement fédéral de faire une utilisation plus stratégique des données qu’il recueille.

L’enquête de Statistique Canada souligne l’importance d’évaluer et de traiter les risques d’atteinte à la vie privée avant de mettre en œuvre des initiatives qui exigent l’utilisation de fonds de données, conformément à la stratégie globale du gouvernement fédéral en matière de données. Cela comprendrait la conduite d’une évaluation des facteurs relatifs à la vie privée et la consultation du Commissariat en amont.

Ce dernier point est essentiel. La consultation de l’équipe des services-conseils au gouvernement du Commissariat, dès le stade de l’élaboration de programmes de nature délicate, permet de cerner les préoccupations en matière de protection de la vie privée et d’obtenir des conseils en fonction du portrait d’ensemble d’un programme.

L’enquête appuie également la recommandation que le Commissariat fait depuis plusieurs années, soit de modifier la loi afin que la collecte de renseignements personnels par les institutions fédérales soit régie par une norme de nécessité et de proportionnalité.

Même s’il ne s’agit pas d’une exigence juridique dans l’état actuel de la loi fédérale, la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor du Canada (SCT) exige que les institutions fédérales ne recueillent de renseignements personnels que lorsque cela est « manifestement nécessaire » aux programmes ou aux activités en cours.

Plusieurs autres parlements, tant au Canada qu’à l’étranger, ont adopté la nécessité comme norme juridique. Le Canada devrait emboîter le pas et mettre à jour la Loi sur la protection des renseignements personnels pour y inclure cette norme.

Nos attentes : une voie à suivre pour intégrer les principes de protection de la vie privée dès la conception des programmes

Je mentionnais à l’instant la Direction des services-conseils au gouvernement du Commissariat. Nous avons établi cette direction il y a environ deux ans, quand nous avons réorganisé l’ensemble du Commissariat de manière à adopter une approche plus proactive pour protéger la vie privée.

Nous donnons depuis très longtemps des avis et recommandations aux institutions fédérales, souvent dans le cadre de notre examen des évaluations des facteurs relatifs à la vie privée (ou EFVP) qu’ils nous transmettent.

L’établissement de la Direction des services-conseils nous permet d’offrir plus facilement notre soutien à l’intérieur du processus d’EFVP, mais aussi en amont de celui-ci.

Le fondement de nos avis et recommandations se retrouve dans le document Nos attentes : Guide du Commissariat au sujet du processus d’EFVP. Comme je le disais plus tôt, une nouvelle version du document de référence vient d’être remaniée pour le rendre plus pratique.

Le guide propose une marche à suivre pour évaluer un programme ou une activité dans l’optique du respect de la vie privée, avec des instructions pour chaque phase de l’exercice.

Pour la phase d’évaluation des risques, le guide contient une liste de facteurs dont on devrait tenir compte et une feuille de route pour les programmes à risque élevé.

La feuille de route pour les programmes à risque élevé suggère une série de questions qui vous aideront à analyser plus en profondeur l’incidence de ces programmes sur le droit à la vie privée.

Ces questions ont été conçues expressément dans l’optique de programmes à haut risque, mais il va sans dire qu’il serait utile d’en tenir compte au début de tout projet dans un contexte où le gouvernement demande aux ministères et organismes de repenser leur façon de faire pour tirer le meilleur parti du « pouvoir des données », pour reprendre l’expression utilisée dans la Stratégie de données pour la fonction publique fédérale.

Les questions pour les programmes à haut risque vous aideront à utiliser notamment les quatre éléments du critère dont je parlais plus tôt, soit nécessité, proportionnalité, efficacité et caractère intrusif minimal.

En outre, vous y retrouverez des questions pertinentes pour des initiatives qui reposent sur l’utilisation de nouvelles technologies, telles l’intelligence artificielle en général et la prise de décisions automatisée.

Nous avons également inclus dans le guide une section qui décrit 11 principes de protection de la vie privée.

Pour chacun, le guide offre une définition suivie de questions servant à cerner les risques ainsi que des exemples de mesures d’atténuation possibles.

Pour revenir à la Stratégie de données pour la fonction publique fédérale, on demande à vos institutions d’innover notamment dans la manière dont elles recueillent les données.

Faire un usage innovateur de la technologie pour améliorer les services aux Canadiens est un objectif louable, mais il est important que dans la quête de cet objectif, on ne perde pas de vue certains principes : la limitation de la collecte en est un exemple.

Les questions à considérer devraient vous aider à identifier des risques réels, comme la collecte de renseignements personnels qui ne sont pas nécessaires pour la prestation du service en question, ou encore la collecte de renseignements personnels qui ne visent aucune fin déterminée.

Dans le contexte actuel, l’évaluation des risques éventuels d’atteinte à la vie privée s’impose plus que jamais. Bien réalisées avant la mise en œuvre d’une initiative, les EFVP aident à assurer que les obligations juridiques sont respectées et que les répercussions sur la vie privée sont prises en compte, voire atténuées.

Conclusion

En terminant, je tiens à souligner que les principes énoncés dans Nos attentes sont parfois des exigences légales, mais souvent des exigences de politiques ou de directives du Conseil du Trésor.

Le signalement des atteintes — et les EFVP — sont encore à ce jour des exigences de politique et non des obligations légales.

Nous sommes heureux que les ministères et organismes fédéraux suivent l’exemple de Statistique Canada et fassent appel à nous pour intégrer le respect de la vie privée à l’étape de la conception de leurs initiatives.

Cela dit, le respect d’un droit fondamental ne devrait pas reposer sur les bonnes intentions de fonctionnaires.

Un cadre législatif moderne, fondé sur des droits et qui situe le droit à la vie privée dans le contexte qui lui est propre, soit celui des droits de la personne, est le meilleur moyen de protéger la vie privée des Canadiens.

Le gouvernement affirme que la protection des données personnelles des Canadiens est une priorité et qu’une mise à jour du cadre législatif est nécessaire. Il semble que la LPRPDE, la loi du secteur privé, sera modifiée en premier. Il est à espérer que la LPRP suivra de peu. En fait, étant donné l'intégration croissante des systèmes des secteurs public et privé, la réforme des deux lois devrait se faire en même temps et adopter des principes similaires.

Il me fera maintenant plaisir de répondre à vos questions.

Date de modification :