La situation dans le domaine de la vie privée au moment où je termine mon mandat

Allocution présentée lors du Symposium canadien sur la protection de la vie privée 2022 de l’International Association of Privacy Professionals (IAPP)

Le 26 mai 2022

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

---

Aujourd’hui, c’est la dernière fois que je prends la parole devant l’International Association of Privacy Professionals (IAPP) en tant que commissaire à la protection de la vie privée du Canada. Pour l’occasion, Kris Klein a exprimé le souhait que je livre le fond de ma pensée sur la situation dans le domaine de la vie privée au Canada. Je vous ferai donc part de quelques réflexions en ce sens, dans une perspective d’avenir.

Alors, qu’est-ce que je pense de la situation dans le domaine de la vie privée au Canada? Un mot pour la décrire : incertitude.

Il pourrait en être autrement. Mais cette situation reflète la nature humaine : la nouveauté, c’est emballant, mais être en terrain connu, c’est rassurant. Dans toutes les activités humaines, on observe une résistance au changement.

Néanmoins, je trouve surprenant de voir autant de résistance dans un domaine aussi novateur que l’économie numérique.

Comme nous le savons tous, les technologies numériques causent des perturbations.

Les avantages à cet égard sont nombreux. Et je ne dis pas cela simplement pour donner l’impression que je dresse un portrait équilibré de la situation. Mon point de vue est celui de quelqu’un qui a travaillé toute sa vie au gouvernement. J’ai connu ma part de règles désuètes et de personnes qui se contentent de perpétuer les anciennes méthodes de travail parce que « c’est toujours ainsi que nous avons fait les choses ».

Je crois donc sincèrement que les technologies numériques, qui sont perturbatrices, présentent de réels avantages.

Il ne fait aucun doute que l’économie moderne est dépendante, et le sera de plus en plus, de la valeur des données extraites au moyen des technologies numériques. La pandémie a fait ressortir que ces technologies peuvent servir l’intérêt public, que ce soit dans le domaine de la santé ou de l’éducation. Elles nous permettent de faire notre travail sans brûler de carburant pour nous rendre au bureau du centre-ville, ce qui permet d’éviter de causer davantage de tort à notre planète.

Mais au cours de mon mandat, nous avons également pu observer, de par notre travail d’enquête, que ces technologies présentent des risques et causent parfois des préjudices. Récemment, la reconnaissance faciale a mis cela en évidence, puisqu’elle peut donner lieu à une surveillance de masse.

Sortons maintenant de nos enquêtes pour citer cet exemple : nous avons pu voir aux États-Unis de quelle manière les médias sociaux ont permis à des personnes de partager des opinions antidémocratiques et, finalement, de prendre d’assaut le Capitole afin de perturber le processus de transfert des pouvoirs prévu par la Constitution.

La situation dans le domaine de la vie privée est incertaine et le restera tant que nous ne tirerons pas des leçons de la révolution numérique.

À titre de commissaire, j’ai toujours été attentif à cette caractéristique de la technologie : elle n’est ni bonne ni mauvaise. En fait, selon la façon dont on l’utilise et dont on la réglemente, elle peut apporter des avantages importants ou présenter des risques énormes.

J’ai pu constater cela à mes débuts dans le domaine de la sécurité nationale et de la cybercriminalité. Les organismes chargés de l’application de la loi et de la sécurité nationale doivent disposer de pouvoirs efficaces pour utiliser les technologies modernes afin de protéger les citoyens. Nous avons cependant insisté sur le fait que ces pouvoirs doivent être assortis de protections acquises de longue date, comme une surveillance indépendante et des normes juridiques pour protéger la vie privée. Des projets de loi ont finalement été modifiés de manière à assurer à la fois la protection de la vie privée et la sécurité publique. Les choses n’ont pas à fonctionner comme un jeu à somme nulle.

Cela est également ressorti dans notre travail sur le modèle de consentement. Après de vastes consultations, nous avons publié de nouvelles orientations sur le consentement valable en 2018. Or, nous avons aussi mis de l’avant l’idée que lorsque le consentement est pratiquement impossible à obtenir, il peut être nécessaire d’envisager d’autres solutions pour protéger efficacement les renseignements personnels. Nous avons alors écrit ceci : « La recommandation d’intégrer ces types d’exceptions peut sembler contraire à notre mission en tant qu’organisme de réglementation de la protection de la vie privée, mais nous en sommes venus à la conclusion qu’il est préférable de reconnaître cette réalité (que, parfois, il est simplement ou pratiquement impossible d’obtenir le consentement) et d’adopter des mesures de protection appropriées plutôt que d’étirer ou de déformer le concept du consentement implicite au point de lui faire perdre sa pertinence. »

Nous avons tenté de tirer des leçons du passé, notamment que le consentement n’est pas toujours le moyen le plus efficace de protéger la vie privée et de renforcer la confiance à l’égard de l’économie numérique.

Nous avons également cherché à adopter des approches et des stratégies équilibrées.

Vous vous souviendrez de l’adoption de nos priorités stratégiques en 2015, encore une fois après de vastes consultations.

En ce qui concerne notre première priorité stratégique, l’économie des renseignements personnels, la recherche d’un équilibre a abouti à des recommandations pour protéger plus efficacement la vie privée tout en reconnaissant l’intérêt légitime des organisations à traiter les données personnelles. Ou, comme je l’ai écrit en 2020, en reconnaissant la valeur des données et les valeurs protégées par le droit à la vie privée.

S’agissant de notre deuxième priorité, la surveillance du gouvernement, nous avons cherché à mettre de l’avant des positions qui permettraient d’atteindre à la fois les objectifs de sécurité publique et de respect de la vie privée.

Pour ce qui est de notre troisième priorité, la réputation, nous avons adopté un projet de position qui reconnaissait le droit de demander le déférencement des pages Web contenant des données inexactes ou périmées, tout en respectant la liberté d’expression.

Pour notre quatrième priorité, le corps comme source d’information, nous sommes parvenus à trouver un juste équilibre dans les orientations et les propositions législatives en reconnaissant les avantages de la technologie de reconnaissance faciale, mais en veillant aussi à ce que l’utilisation de cette technologie soit limitée et assortie de normes de protection rigoureuses qui sont proportionnelles aux risques très élevés en cause.

Enfin, nous avons réussi à trouver un équilibre dans nos stratégies proactives : certaines plaintes et enquêtes ont été faites à l’initiative du commissaire, mais nous avons aussi créé la Direction des services-conseils à l’entreprise, dont le mandat est de soutenir les entreprises dans leurs démarches pour se conformer à la loi.

Au Canada, nous sommes sur le point d’assister enfin à une réforme des lois sur la protection des renseignements personnels. Cette réforme doit avoir lieu en 2022 dans le secteur privé, selon ce qui a été promis, et nous espérons qu’elle se concrétisera peu après dans le secteur public.

Certains représentants de l’industrie exagèrent les avantages des lois actuelles et les préjudices qui, selon eux, découleraient d’une réglementation plus stricte. Ils affirment que l’approche adoptée par le Canada à ce jour a été bénéfique pour le pays et qu’une approche fondée sur les droits nuirait à l’innovation.

Pourtant, des études menées par des entreprises privées réputées révèlent que le Canada est loin d’être un chef de file en matière d’innovation. Les pays qui sont régis par le Règlement général sur la protection des données, comme l’Allemagne, et d’autres ayant des lois similaires, comme la Corée du Sud, ont une longueur d’avance sur le Canada. L’idée qu’une loi fondée sur les droits nuirait à l’innovation est un mythe. Elle est tout simplement sans fondement.

En fait, c’est l’inverse qui est vrai. Il ne peut y avoir d’innovation sans confiance, et il ne peut y avoir de confiance sans la protection des droits.

Il ne serait pas dans l’intérêt des entreprises canadiennes que le Canada adopte une approche qui serait trop différente de ce qui est en train de devenir la référence à l’échelle internationale. En réalité, il est dans l’intérêt du Canada de disposer de lois interopérables. De telles lois servent à donner l’assurance aux citoyens que leurs données sont protégées de façon semblable lorsqu’elles quittent nos frontières. Elles permettent également aux entreprises canadiennes d’exercer leurs activités à l’étranger et d’utiliser les renseignements personnels de clients qui ne sont pas des citoyens canadiens d’une manière qui soit digne de confiance pour ces derniers.

Si nous tirons des leçons des premières années de la révolution numérique, nous adopterons des lois sur la protection des renseignements personnels qui permettent l’innovation, parfois même sans consentement, pour des intérêts commerciaux légitimes et des fins socialement bénéfiques, dans un cadre qui protège nos valeurs et nos droits fondamentaux.

Cela ne signifie pas que nous devons adopter une copie conforme du Règlement général sur la protection des données. Il est possible et nécessaire de procéder à certaines adaptations. Par exemple, moins de considérants. Moins de fenêtres contextuelles qui s’affichent à l’écran pour obtenir le consentement.

L’adoption d’une loi axée sur les droits ne signifierait pas non plus que le Canada se doterait d’une loi « prescriptive ». Il s’agit là d’un autre mythe qu’il faut faire tomber.

Une telle loi fonctionne au même niveau de généralité qu’une loi fondée sur des principes. Elles sont toutes deux également flexibles et adaptables pour encadrer un environnement en constante évolution comme celui de la technologie et de l’économie numérique.

Selon quel motif les organisations se verraient-elles accorder la souplesse permise par une loi fondée sur des principes, mais les individus n’auraient pas droit à une loi qui protégerait leurs valeurs et leurs droits fondamentaux? Permettez-moi de m’exprimer sans détour à ce sujet.

Je suis fermement convaincu que nous avons besoin à la fois d’une loi fondée sur des principes et d’une loi fondée sur des droits. Je ne vois franchement pas où est l’équilibre dans les propositions qui préconisent la première approche et écartent la seconde.

Cela m’amène à vous parler d’un dernier point relié à la réforme législative. Si nous tirons des leçons du passé, nous passerons d’une loi dont les dispositions s’apparentent à de l’autorégulation à une véritable réglementation, appliquée par une institution démocratique.

Tout le monde sait que la Loi sur la protection des renseignements personnels et les documents électroniques n’a pas réussi à assurer la confiance des consommateurs, du moins au cours des dernières années. De façon constante, une très grande majorité de Canadiens affirment qu’ils sont préoccupés par le fait de ne pas avoir un grand contrôle sur la façon dont leurs renseignements personnels sont utilisés.

L’ancien projet de loi C-11 aurait donné aux consommateurs encore moins de contrôle à cet égard, et conféré un contrôle accru aux organisations. Les exigences relatives à la connaissance et à la compréhension qui sont nécessaires pour obtenir un consentement valable auraient été affaiblies. Les organisations auraient été en mesure de recueillir et d’utiliser des renseignements personnels à toutes les fins qu’elles auraient déterminées, sous réserve d’une norme sur les fins accceptables mal définie, et leur responsabilité aurait été établie en fonction des procédures qu’elles auraient décidé elles-mêmes de mettre en place.

Nous n’avons pas besoin de plus d’autoréglementation. Ce dont nous avons besoin, c’est de plus de réglementation, c’est-à-dire l’adoption démocratique de normes objectives et connaissables, appliquées par des institutions désignées démocratiquement – comme le Commissariat à la protection de la vie privée − qui peuvent veiller à ce que les organisations soient véritablement responsables.

Les technologies perturbatrices présentent de nombreux avantages, mais ce qui n’a pas besoin d’être perturbé, c’est l’idée qu’un gouvernement démocratique doit conserver la capacité de protéger les valeurs et les droits fondamentaux de ses citoyens. Cette capacité est amoindrie lorsque les organisations ont une liberté presque totale de fixer les règles selon lesquelles elles interagiront avec leurs clients, et lorsqu’elles peuvent fixer les dispositions précises concernant leur responsabilité.

Une nouvelle loi devrait :

• réintégrer, parmi les exigences du consentement valable, la connaissance et la compréhension;
• préciser que la collecte de renseignements personnels ne peut se faire à toute fin définie par une organisation, mais uniquement pour des « fins spécifiques, explicites et légitimes »;
• établir une norme objective pour la responsabilité, soit l’obligation de mettre sur pied un programme de gestion de la protection des renseignements personnels « afin d’assurer le respect de la loi »;
• autoriser le Commissariat à la protection de la vie privée du Canada, à l’instar de nombreuses autres autorités de protection des données au Canada et à l’étranger, à mener des vérifications proactives afin de s’assurer de la conformité à la loi.

La nécessité de mener des vérifications proactives indépendantes a été largement démontrée dans la récente affaire concernant l’utilisation, par l’Agence de la santé publique du Canada, de données sur la mobilité obtenues dans un format modifié auprès d’organisations du secteur privé.

Le gouvernement et ses partenaires commerciaux, même s’ils poursuivaient des objectifs légitimes dans l’intérêt public, n’ont pas réussi à gagner la confiance des Canadiens concernés quant à l’utilisation appropriée de leurs données. Pourquoi? Je crois que c’est en partie parce que, même si le gouvernement et une organisation nous ont informés de leur intention, ni l’un ni l’autre n’était disposé à transmettre au Commissariat les renseignements détaillés nécessaires pour que nous puissions « regarder sous le capot » et confirmer que la vie privée était effectivement respectée.

Certes, je comprends que les ministères fédéraux ainsi que les organisations commerciales ne sont pas toujours ravis à l’idée que l’organisme de réglementation examine leurs pratiques de traitement des données. Mais je vous dirais qu’il s’agit là d’un manque de vision.

Quand on y réfléchit sérieusement, on peut admettre que, dans un monde où l’innovation nécessite la confiance, le facteur le plus important pour gagner la confiance des citoyens serait l’assurance qu’un expert indépendant veille à leurs intérêts, vérifie et assure la conformité à la loi, et prend les mesures qui s’imposent pour corriger les comportements non conformes ou y mettre fin.

Si telle était la loi, ces pouvoirs de vérification seraient rarement utilisés, dans des situations présentant des risques élevés, selon les critères qu’appliquent actuellement, par exemple, l’Information Commissioner’s Office du Royaume-Uni. Ces vérifications, bien qu’en petits nombres, permettraient néanmoins de susciter la confiance envers l’ensemble de l’économie numérique.

De manière plus générale, il faudrait tenir compte de ce qui suit dans la conception de nouvelles lois :

• favoriser l’innovation responsable;
• adopter un cadre fondé sur les droits;
• accroître la responsabilité des entreprises;
• adopter des principes similaires dans les lois applicables aux secteurs public et privé − étant donné le recours de plus en plus fréquent aux partenariats public-privé;
• veiller à ce que les lois canadiennes soient interopérables, tant au niveau international qu’au niveau national;
• adopter des recours rapides et efficaces, notamment en consentant au Commissariat le pouvoir de rendre des ordonnances à l’encontre des contrevenants et d’imposer des sanctions pécuniaires lorsque la situation le justifie.

Je tiens à préciser que le Commissariat devrait disposer de pouvoirs comparables à ceux de ses homologues provinciaux et être assujetti à des procédures d’appel similaires, de sorte qu’il demeure une voix influente et souvent unificatrice pour ce qui est de l’évolution du droit sur la protection des renseignements personnels au Canada.

Permettez-moi maintenant d’aborder sous un angle différent la question soulevée par Kris. Et je me propose encore une fois d’exprimer le fond de ma pensée à ce sujet.

Si nous voulons améliorer la situation dans le domaine de la vie privée au Canada, nous devons, en tant que société, tenir un discours plus nuancé, qui ne repose pas exclusivement sur une question d’intérêt.

Selon l’ancien projet de loi C-11, le Commissariat aurait été tenu d’engager le dialogue plus officiellement avec les intervenants dans certains contextes, notamment pour l’adoption de lignes directrices.

Cela n’aurait posé aucun problème au Commissariat. Comme vous le savez, j’ai mené de nombreuses consultations au cours de mon mandat, d’abord sur mes priorités stratégiques, puis sur le consentement, l’intelligence artificielle et, plus récemment, sur la reconnaissance faciale. Certains se souviendront peut-être même d’une consultation sur les transferts transfrontaliers de données.

Je dois dire que j’ai parfois été déçu par ces consultations. Bien sûr, je m’attendais à ce que les intervenants défendent leurs propres intérêts, dans une certaine mesure, mais je m’attendais aussi à ce qu’ils s’élèvent un peu au-dessus de la mêlée, en faveur de l’intérêt public.

Naturellement, le Commissariat doit s’assurer que ses positions et ses orientations ne sont pas seulement fondées sur des principes, mais qu’elles sont aussi ancrées dans la réalité des entités dont il assure la surveillance. C’est un point sur lequel j’ai souvent insisté auprès de mes collègues du Commissariat, mais il est possible que nous aurions pu en faire davantage.

Mais si le Commissariat veut mieux comprendre la réalité des entités, en particulier dans le secteur privé, les intervenants doivent engager davantage le dialogue avec l’organisme de réglementation. Si nous nous heurtons au silence quand nous essayons de comprendre une certaine réalité commerciale, personne n’y gagne. Nos conseils risquent alors de ne pas s’inscrire dans le contexte qui est le vôtre, et vous risquez de ne pas les trouver pratiques. De même, lorsque nous recevons une rétroaction visiblement intéressée et incomplète, nous risquons de lui accorder moins de poids.

Le problème est, en fait, plus profond. Tout au long de ma vie professionnelle, j’ai eu à dialoguer avec des intervenants ayant des intérêts différents de ceux de l’organisation que je représentais. Tout au long de ma vie professionnelle, les intervenants et moi-même avons été en mesure de reconnaître que nous avions des points de vue différents, mais aussi de trouver un terrain d’entente considérable sur les conditions objectives en jeu. Ce n’est que pendant mon travail dans le domaine de la vie privée que j’ai constaté un total désaccord sur ces conditions objectives. Alors que je constate une perte de confiance de la population envers le gouvernement parce qu’elle a l’impression – et c’est la réalité – que ses droits ne sont souvent pas respectés, et alors que le gouvernement constate une perte de confiance semblable, les intervenants de l’industrie demandent : où sont les preuves qu’il y a bel et bien un problème?

De nombreux intervenants de l’industrie canadienne hésitent à admettre que les problèmes sont tout sauf marginaux, ce qui n’est pas propice à la recherche de solutions équilibrées qui suscitent la confiance tout en favorisant le commerce.

Lorsque la grande majorité des Canadiens affirment, année après année, qu’ils sont préoccupés par la perte du contrôle qu’ils exercent sur leur vie privée, ils ne peuvent pas tous avoir tort de penser qu’il y a un problème important.

Lorsque la plupart de nos partenaires commerciaux adoptent des lois qui s’éloignent de l’autoréglementation pour favoriser une plus grande protection des droits, ils n’ont pas tous conclu un pacte de suicide économique. Ils le font parce qu’ils pensent que c’est ce qui est le mieux pour leur pays, sur le plan social et sur le plan économique.

Cela dit, le Commissariat se prépare à engager plus officiellement le dialogue avec les intervenants, car nous nous attendons à ce que la nouvelle loi sur la protection des renseignements personnels dans le secteur privé nous y incite toujours à le faire.

Vous devriez donc vous attendre, dans un avenir plus ou moins rapproché, à être consultés sur la procédure à suivre pour les futures enquêtes, afin d’assurer l’équité, et sur la façon dont vous aimeriez être consultés lorsque le Commissariat préparera des orientations en fonction de la nouvelle loi.

Nous avons également l’intention de faire appel à un plus large éventail d’intervenants à l’avenir. Les points de vue des intervenants de l’industrie sont importants; toutefois, comme ils disposent de plus de ressources que les autres pour participer à nos consultations, ils ont été la voix dominante dans le passé. Vous devriez vous attendre à ce que le Commissariat sollicite les points de vue de groupes plus diversifiés à l’avenir.

J’espère que mes propos aujourd’hui susciteront une discussion plus approfondie et plus authentique entre le Commissariat et les intervenants, qu’ils proviennent de l’industrie, de la société civile, du milieu universitaire ou d’autres groupes et secteurs.

En guise de dernière réflexion, ai-je l’espoir que la situation dans le domaine de la vie privée s’améliore bientôt au Canada?

Je vois des signes qui me donnent de l’espoir.

Premièrement, je pense que les citoyens sont plus conscients aujourd’hui qu’il y a dix ans que les questions de vie privée ne concernent pas seulement les mordus de l’informatique et des technologies. Il y a une plus grande prise de conscience, même si elle est diffuse, que la réglementation en matière de protection des renseignements personnels est liée à des enjeux importants sur le plan de la démocratie et de l’économie.

J’espère, en fait, je suis convaincu, que les mesures prises par le Commissariat ont eu une certaine influence sur cette plus grande prise de conscience. Je suis fier du fait que nous y sommes pour quelque chose.

De véritables changements ne peuvent se produire que si la population est consciente du problème et qu’elle estime la situation suffisamment préoccupante pour exiger des réformes.

Deuxièmement, nous constatons que plusieurs gouvernements provinciaux ont pris acte de ces préoccupations et ont indiqué qu’ils sont prêts à agir. La Colombie-Britannique et l’Ontario ont commencé à formuler des propositions, et le Québec a même adopté une nouvelle loi, le projet de loi 64. Le gouvernement fédéral ne peut rester inactif face à l’évolution de la situation dans les provinces.

Troisièmement, il y a également du mouvement aux États-Unis. Plusieurs lois ont été adoptées dans des États américains ces dernières années, et, au niveau fédéral, la Federal Trade Commission montre des signes encourageants à cet égard : elle a manifesté sa volonté de s’attaquer, selon ses propres mots, aux « abus engendrés par les modèles commerciaux fondés sur la surveillance ».

Je suis généralement une personne optimiste. Ai-je l’espoir que des lois efficaces seront bientôt adoptées au Canada? Oui, mais cet espoir est moins grand que j’aurais aimé qu’il soit. La résistance au changement est plus forte que je ne l’avais prévu.

Cela dit, le commissaire à la protection de la vie privée n’est pas un législateur. Mon travail consistait à protéger la vie privée des Canadiens dans les limites des pouvoirs dont je disposais et à sensibiliser la population à la véritable importance de la vie privée. En tant qu’agent du Parlement, j’ai également eu le privilège de conseiller les législateurs sur la façon d’améliorer le droit à la vie privée tout en préservant les autres intérêts publics.

En ce qui concerne ces questions, je pars la conscience tranquille. Je suis reconnaissant envers mes prédécesseurs pour le chemin qu’ils ont parcouru. Et je souhaite bon succès à mon successeur pour le prochain parcours.

Je suis particulièrement reconnaissant envers l’excellent personnel du Commissariat, tous des collègues formidables, animés d’une grande passion et d’un engagement sans faille à l’égard de la protection de la vie privée et du service aux Canadiens.

Enfin, je suis heureux que nous ayons collectivement, mes collègues des provinces et des territoires et moi-même, approfondi notre collaboration pour assurer une plus grande cohérence et efficacité dans l’application des lois sur la protection des renseignements personnels au Canada. Maintenant, en tant que société, appliquons les leçons que nous avons tirées de la révolution numérique et passons à l’adoption de lois interopérables qui protégeront efficacement les droits et les valeurs des Canadiens.