Déclaration du commissaire à la protection de la vie privée à la suite de la publication du rapport du Comité ETHI sur la collecte et l’utilisation par le gouvernement de données sur la mobilité

Nous accueillons très favorablement le rapport du Comité sur la collecte et l’utilisation de données sur la mobilité par le gouvernement du Canada.

L’enjeu fondamental de cette affaire est la confiance. Le gouvernement, même s’il poursuivait des objectifs légitimes, n’a pas agi de manière à donner l’assurance aux Canadiens que son utilisation de données sur la mobilité se ferait dans le respect de leur vie privée. Cela montre bien que le décalage entre les lois actuelles sur la protection des renseignements personnels et les progrès technologiques modernes est si grand que même les utilisations socialement bénéfiques des données sont considérées comme suspectes parce que les Canadiens ne sont pas convaincus que les lois les protégeront.

Nous convenons avec le Comité ETHI que cela fait ressortir encore une fois l’urgence de moderniser nos lois sur la protection des renseignements personnels. Des modifications sont nécessaires à plusieurs égards, notamment les modifications suivantes qui ont un rapport direct avec les leçons à retenir de l’étude du Comité ETHI.

Premièrement, la Loi sur la protection des renseignements personnels dans le secteur public et celle qui succédera au projet de loi C‑11, c’est-à-dire la prochaine loi sur la protection des renseignements personnels dans le secteur privé, devraient, tout en permettant une certaine souplesse dans l’utilisation des renseignements dépersonnalisés, considérer ces renseignements comme des renseignements personnels, de sorte qu’ils soient protégés en vertu de ces lois.

Le gouvernement a soutenu que son utilisation de données dépersonnalisées sur la mobilité ne tombe pas sous l’application de la Loi sur la protection des renseignements personnels, qui ne protège que les renseignements personnels d’une personne identifiable. Bien que cette position puisse être conforme à la loi actuelle, il ne s’agit pas d’une bonne approche. La loi devrait être modifiée.

Compte tenu du risque toujours présent de réidentification, la meilleure approche consisterait à considérer les données dépersonnalisées comme des renseignements personnels, donc protégés en vertu des lois sur la protection de la vie privée. Il s’agit de la solution proposée dans l’ancien projet de loi C‑11, la Loi sur la protection de la vie privée des consommateurs, qui est mort au feuilleton lors du déclenchement des dernières élections.

Deuxièmement, nos lois devraient donner aux organisations plus de latitude pour utiliser les données personnelles sans consentement à des fins d’innovation responsable et pour le bien commun. Toutefois, cela devrait se faire dans un cadre juridique qui reconnaît la vie privée comme un droit de la personne et comme un élément essentiel à l’exercice d’autres droits fondamentaux. Cette approche est primordiale pour instaurer la confiance du public, car il ne peut y avoir de confiance sans la protection des droits.

À ce sujet, certains ont soutenu qu’il n’est pas possible d’adopter une approche fondée sur les droits selon la législation fédérale canadienne, en invoquant le fait que la protection des droits civils est une question qui, en vertu de la Constitution, relève de la compétence provinciale. Au contraire, le Commissariat à la protection de la vie privée du Canada a reçu un avis juridique d’experts selon lequel les modifications que nous proposions d’apporter à l’ancien projet de loi C‑11 auraient eu comme effet de « renforcer » la constitutionnalité d’une nouvelle loi régissant le secteur privé.

Selon l’approche que nous préconisons pour la réforme législative, moins d’importance serait accordée au consentement et aux conditions dans lesquelles il est obtenu. Il n’est ni pratique ni réaliste de s’attendre à ce que les personnes donnent leur consentement pour toutes les utilisations de leurs données.

Cependant  ̶  et il s’agit de notre troisième recommandation  ̶ , cette plus grande souplesse dans l’utilisation de données personnelles pour le bien commun, y compris à des fins de santé publique, devrait s’accompagner d’une plus grande transparence et d’une responsabilité accrue. Cette utilisation devrait donc faire l’objet d’une surveillance indépendante par le Commissariat, un organisme composé d’experts qui a pour mission de protéger la vie privée des citoyens. L’organisme de réglementation devrait avoir le pouvoir de mener des vérifications proactives pour s’assurer de la conformité à la loi et ainsi donner l’assurance aux Canadiens que leur droit à la vie privée est respecté.

Dans ce cas‑ci, bien que le gouvernement ait informé le Commissariat de son intention d’utiliser des données sur la mobilité, il a finalement refusé notre offre d’examiner les moyens utilisés pour dépersonnaliser ces données et la façon dont les principes de protection des renseignements personnels étaient appliqués. L’organisme de réglementation devrait être en mesure d’insister pour mener une vérification proactive, au besoin, pour assurer la confiance du public.

Quatrièmement, cette initiative d’échange de données, qui est un exemple de la circulation des données entre le secteur privé et le secteur public, fait ressortir la nécessité pour ces deux secteurs d’être régis par des règles et des principes communs. Comme les interactions entre ces deux secteurs sont de plus en plus fréquentes, il est impératif qu’ils soient tenus à des normes similaires. Idéalement, nos deux lois fédérales sur la protection des renseignements personnels devraient être mises à jour simultanément.

Nous sommes reconnaissants envers ETHI de son récent rapport, le dernier d’une longue liste de rapports dans lesquels le comité a recommandé un rehaussement important des garanties juridiques des Canadiens en matière de vie privée.