Allocution principale à l’occasion du Symposium canadien sur la protection de la vie privée 2024 de l’International Association of Privacy Professionals (IAPP)

Le 10 juin 2024
Toronto (Ontario)

Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi.)

---

Bonjour à tous et à toutes.

Je suis très heureux d’être de retour à Toronto pour assister au Symposium canadien sur la protection de la vie privée de l’International Association of Privacy Professionals (IAPP) pour la deuxième fois.

L’an dernier, j’ai surtout été étonné par la diversité des discussions et des opinions compte tenu du grand éventail de participants provenant de l’industrie, du secteur de la réglementation, du gouvernement, du milieu universitaire et de la société civile.

L’aspect de cet événement annuel que je préfère est le fait que, peu importe le secteur que nous représentons, nous sommes tous liés par notre engagement ferme à l’égard de la protection de la vie privée.

Cette occasion d’apprendre les uns des autres, d’envisager des approches pour relever les défis en matière de protection de la vie privée auxquels nous sommes confrontés au quotidien et d’échanger sur des questions existentielles plus larges concernant notre monde axé sur les données est des plus précieuses.

J’ai également hâte de participer aux différents échanges qui auront lieu au cours des deux prochains jours.

Ces sujets sont étroitement liés aux principales tendances en matière de protection de la vie privée qui se sont dessinées au Canada et à l’étranger, telles que l’essor continu de la connectivité numérique, l’augmentation de la menace et de la gravité des cyberattaques, la prolifération de l’intelligence artificielle (IA) et les préoccupations de plus en plus nombreuses relatives à la protection de la vie privée des jeunes.

J’ai abordé ces tendances dans mon rapport annuel, qui a été déposé au Parlement jeudi dernier.

Il n’est pas surprenant que les tendances aillent de pair avec les priorités stratégiques en matière de protection de la vie privée que j’ai présentées lors du Symposium l’an dernier.

En fonction de ces priorités et des objectifs connexes, j’ai depuis établi un plan stratégique, qui orientera les travaux du Commissariat à la protection de la vie privée du Canada jusqu’en 2027.

En quelques mots, voici les priorités :

• protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés;
• faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens;
• défendre le droit à la vie privée des enfants.

Aujourd’hui, je présenterai quelques-unes des activités qui sont prévues et fournirai des précisions sur les initiatives qui ont déjà été entreprises pour réaliser les objectifs de mon plan stratégique.

Je crois que l’atteinte des objectifs découlant de ces priorités repose sur l’effort de chacun en fonction de ses capacités respectives. Ensemble, nous pouvons bâtir un avenir propice à l’innovation et au respect du droit fondamental à la vie privée.

Lors de consultations menées plus tôt cette année, j’ai demandé aux parties prenantes de fournir des commentaires sur la manière de mettre en œuvre le plan en vue de faire progresser mes priorités au cours des trois prochaines années. 

La plupart des commentaires provenaient des associations de l’industrie et étaient généralement positifs. Dans l’ensemble, les parties prenantes étaient d’avis que les trois priorités cadrent avec les défis actuels sur le plan de protection de la vie privée.

Cependant, certains commentaires portaient sur la manière dont le Commissariat peut encore mieux encourager et permettre l’innovation au Canada, et je me penche sérieusement sur cette question. J’ai aussi entendu dire que certaines organisations souhaitaient être consultées au sujet des orientations et des conseils que le Commissariat fournit afin de les épauler dans leur préparation et leur transition si une réforme des lois se produit.

Je remercie tous ceux et celles qui ont pris le temps de fournir des observations sur mes priorités stratégiques, me permettant ainsi d’orienter les travaux du Commissariat à cet égard.

Optimiser l’incidence des efforts du Commissariat

Une excellente façon de permettre au Commissariat d’optimiser l’incidence de ses efforts est de renforcer notre capacité à surmonter les défis de notre époque en matière de protection de la vie privée.

Cette année, j’ai accueilli deux nouveaux sous-commissaires au sein de mon organisation : Isabelle Gervais et Marc Chénier.

En tant que sous-commissaire de la Conformité, Isabelle mettra à profit sa riche expérience en matière de coopération interréglementaire, puisque la protection de la vie privée et les autres sphères réglementaires se recoupent de plus en plus.

Marc, qui a occupé plusieurs postes de direction dans le domaine juridique, assume le rôle de sous-commissaire et avocat général principal des Services juridiques. Il s'agit d'un nouveau poste qui témoigne de l’importance que revêt l’équipe des services juridiques au Commissariat, dans un contexte où les questions de vie privée sont de plus en plus ardues et complexes.

Je continuerai de me pencher sur la gouvernance et les processus du Commissariat afin de veiller à ce notre travail soit accompli de la manière la plus efficace et efficiente que possible.

Pour mieux servir la population canadienne et accomplir notre mandat, nous avons également renforcé notre capacité en embauchant des experts dans le domaine de l’expérience utilisateur, de la gestion des données et de l’information, de la technologie et de l’IA ainsi que de la prestation des services numériques.

Je m’attends à ce que le Commissariat montre aux autres organisations comment favoriser l’innovation, tout en continuant de protéger la vie privée. Il ne s’agit pas d’un jeu à somme nulle.

Nous reconnaissons ainsi que, tout comme les données servent à stimuler l’innovation, l’innovation doit servir à protéger les données.

Une autre façon pour le Commissariat d’optimiser l’incidence de ses efforts est de préconiser une réforme des lois en vue de mieux protéger les renseignements personnels et de se préparer à mettre en œuvre une nouvelle loi sur la protection des renseignements personnels dans le secteur privé au Canada.

Depuis ma nomination en tant que Commissaire à la protection de la vie privée du Canada il y a deux ans, j’ai comparu devant des comités parlementaires plus d’une douzaine de fois afin de fournir mes observations sur les projets de loi, les études parlementaires et les règlements provisoires ayant une incidence sur la protection de la vie privée.

Comme bon nombre d’entre vous, je suis de près l’étude article par article du projet de loi C-27.

J’ai formulé 15 recommandations clés visant à renforcer le projet de loi, notamment de reconnaître la protection de la vie privée comme un droit fondamental et de mieux protéger la vie privée et l’intérêt supérieur de l’enfant.

Je trouve encourageant de voir que le Comité a tenu compte de ces recommandations, ainsi que de celles d’autres parties prenantes, dans les modifications qu’il a apportées au projet de loi.

Cela dit, protéger le droit à la vie privée de manière à optimiser les efforts déployés signifie aussi d’utiliser nos lois existantes pour faire face à des défis nouveaux et croissants.

Cela est vrai dans le cas de l’IA générative : j’ai déclaré très clairement, avec mes collègues canadiens et internationaux, que, même si de nouvelles lois modernes sur l’IA peuvent être nécessaires, nos lois actuelles sur la protection des renseignements personnels s’appliquent à l’IA et que le Commissariat les fera respecter.

Les lois actuelles sur la protection des renseignements personnels s’appliquent également aux enfants. L’enquête que je mène actuellement sur TikTok avec les homologues du Québec, de la Colombie‑Britannique (C.‑B.) et de l’Alberta, et qui est sur le point de s’achever, en est un bon exemple. L’enquête porte en particulier sur les pratiques de protection des renseignements personnels de TikTok en ce qui concerne les jeunes utilisateurs, notamment pour établir si l’entreprise a obtenu un consentement valable de la part de ceux-ci pour la collecte, l’utilisation et la communication de leurs renseignements personnels.

Cela est également vrai dans le cas des préjudices en ligne. Par coïncidence, le projet de loi C‑63, la Loi sur les préjudices en ligne proposée, a été déposé à peu près au moment où j’ai publié mon rapport de conclusions d’enquête qui donne suite à une plainte déposée contre Aylo, l’entreprise qui exploite Pornhub et d’autres sites Web pornographiques. Dans ce rapport, j’ai réitéré que la communication sans consentement d’images intimes constituait une atteinte grave à la vie privée et que les organisations avaient l’obligation, au titre des lois sur la protection des renseignements personnels, de prévenir ce type d’atteinte et d’y remédier.

Alors que le gouvernement fédéral élabore des lois qui coïncident avec bon nombre des questions soulevées dans ces enquêtes, j’espère que ces conclusions contribueront à orienter le processus d’élaboration des politiques.

Établir des partenariats et accroître la collaboration

Dans un monde où les flux de données transcendent les frontières et les juridictions, j’accorde aussi la priorité à la collaboration avec les partenaires et les parties prenantes à l’échelle nationale et internationale en vue d’optimiser notre incidence collective sur la protection et la promotion du droit fondamental à la vie privée.

Dans cette optique, j’annonce aujourd’hui le lancement d’une enquête conjointe avec le Commissaire à l’information du Royaume‑Uni, John Edwards. Ensemble, nous allons mener une enquête sur une atteinte à la sécurité des données survenue à l’entreprise 23andMe, qui vend des services de dépistage génétique directement aux consommateurs de partout dans le monde.

Le Commissariat continuera de travailler en étroite collaboration avec ses homologues du Québec, de la C.‑B. et de l’Alberta alors que l’enquête se poursuit.

Compte tenu de la nature très sensible des renseignements généraux, nous mettrons en commun nos ressources et notre expertise afin d’examiner la portée des renseignements qui ont été dévoilés à cause de l’atteinte, les préjudices qui pourraient être causés aux individus touchés, le caractère adéquat des mesures de protection mises en place pour protéger les renseignements personnels très sensibles détenus par l’entreprise ainsi que les processus de notification de l’entreprise en cas d’atteinte à la vie privée.

S’ils se trouvent entre de mauvaises mains, les renseignements génétiques d’un individu pourraient être utilisés à mauvais escient pour surveiller ou discriminer quelqu’un. C’est pourquoi l’une des priorités des autorités de protection de la vie privée du Canada et du monde entier consiste à s’assurer que les renseignements personnels sont protégés adéquatement contre les attaques de personnes malveillantes.

La semaine dernière, j’ai également annoncé, avec mon collègue de la C.‑B., Michael Harvey, le lancement d’une enquête sur Certn, une entreprise de Victoria, en C.‑B., qui offre des services de vérification d’antécédents, notamment dans le cadre de la sélection de locataires pour des propriétaires de logements. Nous examinons les pratiques de l’entreprise qui ont trait à la sélection de locataires pour déterminer si elles sont conformes aux dispositions relatives au consentement prévues par les lois sur la protection des renseignements personnels du Canada et de la C.‑B. Cette enquête permettra aussi d’établir si l’entreprise s’assure que les renseignements qu’elle recueille, utilise et communique dans le cadre de la sélection de locataires sont suffisamment exacts, complets et à jour. 

En plus de mener des enquêtes avec d’autres juridictions, j’ai mis sur pied une nouvelle direction au Commissariat, à savoir la Direction des relations internationales, provinciales et territoriales. Cette direction est notamment responsable d’épauler le Commissariat dans sa participation croissante aux activités des organisations internationales de protection de la vie privée, en vue de contribuer à l’élaboration et à l’amélioration des normes mondiales en matière de protection de la vie privée.

Par exemple, je préside actuellement le Groupe de travail sur la protection des données et des autres droits et libertés de l’Assemblée mondiale pour la protection de la vie privée. En collaboration avec le groupe de défense des droits numériques Access Now, nous avons créé un prix pour récompenser les travaux exceptionnels dans un domaine se situant au carrefour de la protection de la vie privée et d’autres droits de la personne réalisés par des organisations. Je me réjouis du lancement imminent du processus de mise en candidature et j’ai hâte d’annoncer le nom de la première organisation lauréate du prix de la vie privée et des droits de la personne pendant la conférence RightsCon, qui aura lieu en février prochain à Taïwan.

Mon équipe et moi avons aussi entamé des initiatives conjointes avec nos partenaires internationaux en vue d’élargir la capacité de tout un chacun.

Notamment, j’ai organisé l’an dernier un symposium international sur la protection de la vie privée et l’IA générative en même temps que la 72e réunion du Groupe de travail international sur la protection des données dans les technologies. Le Commissariat a accueilli des experts du milieu universitaire, de l’industrie, de la société civile et du gouvernement, ainsi que des homologues chargés de la protection des données, afin de se pencher sur les occasions et les risques que présente l’IA générative et sur la meilleure façon pour tous les secteurs de collaborer dans ce dossier. Bon nombre d’entre vous étaient présents et, selon les commentaires des participants, l’événement s’est avéré un franc succès.

Ce symposium a permis au Commissariat à se préparer en vue de la présidence du G7 par le Canada en 2025. Dans le cadre du G7, nous pouvons nous attendre à ce que les ministres chargés de l’industrie, des technologies et du numérique ainsi que les premiers ministres poursuivent leur important travail sur les questions clés liées à la technologie, à l’innovation et à la circulation des données. De plus, je suis ravi d’animer la Table ronde des autorités de protection des données et de la vie privée du G7, qui aura lieu à Ottawa l’année prochaine. En même temps que la Table ronde, nous prévoyons d’organiser un second symposium international sur la protection de la vie privée en s’inspirant du succès du premier. Le Commissariat en est aux premières étapes de la planification, et j’aurai plus de précisions à vous communiquer dans les mois à venir.

Un autre point important à signaler concerne la coopération intersectorielle en matière de réglementation. J’ai récemment été nommé président du Forum canadien des organismes de réglementation numérique pour la prochaine année.

Le partenariat entre le Commissariat, le Bureau de la concurrence et le Conseil de la radiodiffusion et des télécommunications canadiennes a été établi au printemps 2023 en vue de tirer profit de l’expertise et de l’incidence collectives des trois organismes et de renforcer le travail de ceux-ci afin qu’ils soient mieux à même de faire face à la portée, au rythme et à l’échelle mondiale des marchés numériques.

Je me réjouis de faire fond sur les réalisations accomplies durant la première année d’existence du Forum, en particulier dans le domaine des technologies de l’IA.

Au cours de la dernière année, j’ai également eu l’occasion d’échanger avec des professionnels et des représentants d’un grand nombre d’industries et de secteurs canadiens.

L’industrie a indiqué que certaines parties prenantes souhaitaient être consultées davantage.

J’accueille favorablement ces commentaires. Même si je ne suis pas en mesure de mettre en œuvre toutes les recommandations que je reçois, le fait d’écouter les différents points de vue me permet d’orienter et de façonner les travaux du Commissariat.

Dans cette perspective, je suis heureux de vous donner des précisions au sujet d’une consultation exploratoire que je lance aujourd’hui sur des orientations relatives à la protection de la vie privée et la confirmation de l’âge.

La notion de confirmation de l’âge s’applique à différents contextes, tant au pays qu’à l’étranger, et vise à limiter l’exposition des enfants au contenu en ligne potentiellement préjudiciable. Cependant, les mécanismes de confirmation de l’âge soulèvent des facteurs à considérer en ce qui concerne la collecte de renseignements personnels sensibles.

Pour appuyer ce travail, j’ai décidé de mener une consultation à ce sujet plus tôt au cours du cycle des politiques afin de recueillir des observations servant à façonner le document d’orientation provisoire que le Commissariat rédigera.

Je cherche à obtenir des observations sur un document que j’ai publié aujourd’hui, et dans lequel je présente les positions préliminaires du Commissariat sur l’utilisation de systèmes de confirmation de l’âge. 

Je vous invite à lire le document de consultation et à nous transmettre vos observations sur la confirmation de l’âge en général, à appuyer les positions préliminaires du Commissariat sur le sujet ou à présenter des points de vue nouveaux ou différents et à aider le Commissariat à définir les prochaines étapes.

Les observations obtenues serviront à rédiger un document d’orientation provisoire sur la confirmation de l’âge, qui fera par la suite l’objet d’une consultation avant qu’il ne soit terminé. L’objectif est de publier un document d’orientation définitif d’ici la fin de l’exercice.

Je crois qu’il s’agit d’une notion importante et d’actualité, puisque le Parlement étudie actuellement plusieurs projets de loi qui abordent ce sujet.

Relever les défis liés à la portée et au rythme sans précédent de l’adoption des technologies ayant des répercussions sur la vie privée

Au cours des trois prochaines années, un autre de mes objectifs principaux sera de relever les défis liés à la portée et au rythme sans précédent de l’adoption des technologies ayant des répercussions sur la vie privée, en particulier en ce qui a trait à l’IA générative, qui est un domaine qui a suscité beaucoup d’attention, d’enthousiasme, de peur et d’anxiété dans les dernières années.

Compte tenu de cet objectif, j’ai lancé une enquête sur les technologies d’IA générative il y a un peu plus d’un an. À la suite d’une plainte contre l’outil ChatGPT d’OpenAI, j’ai décidé de mener l’enquête conjointement avec mes homologues du Québec, de la C.‑B. et de l’Alberta.

Cette enquête vise à établir si ChatGPT respecte les obligations en matière de consentement, d’ouverture, d’accès, d’exactitude et de responsabilité prévues par les lois canadiennes pertinentes sur la protection des renseignements personnels. Elle vise également à établir si OpenAI recueille, utilise et communique des renseignements personnels à des fins acceptables.

Cette enquête est hautement prioritaire. Nous nous affairons à la terminer en temps opportun, et j’ai bien hâte de vous présenter les conclusions.

En décembre, l’IA générative a également fait l’objet d’une démarche conjointe entre les gouvernements fédéral, provinciaux et territoriaux. De concert avec mes collègues des autorités de protection de la vie privée, nous avons publié les Principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée.

Le document présente la manière dont les principes clés de protection de la vie privée s’appliquent à la conception, à la prestation et à l’utilisation de modèles, d’outils, de produits et de services d’IA générative dans les secteurs public ou privé.

En favorisant une culture de la protection de la vie privée, en encourageant l’utilisation des principes de protection de la vie privée dès la conception et en établissant des normes à cette fin, nous pouvons encourager l’innovation tout en protégeant les données et le droit fondamental à la vie privée.

À cet égard, j’aurai la chance d’assister à la première cérémonie de remise des prix PICCASO Canada pour la protection de la vie privée, qui aura lieu demain, à Toronto. Les prix reconnaissent l’excellence et l’innovation dans les domaines de la protection de la vie privée et de la sécurité des données.

Comme je le dis depuis que je suis Commissaire à la protection de la vie privée du Canada, il est important de reconnaître les lacunes en matière de protection de la vie privée, mais il faut aussi souligner le travail des champions et des innovateurs dans ce domaine.

Nous devons également utiliser l’innovation pour protéger les données. C’est d’autant plus vrai lorsqu’il s’agit de lutter contre les cyberattaques.

Selon une étude récente, 94 % des organisations dans le monde ont subi une forme quelconque de cyberattaque au cours de la dernière année. L’augmentation de la menace et de la gravité de ces attaques est un problème sérieux qui touche les organisations des secteurs privé et public.

Au Canada, le Commissariat a reçu plus de 350 signalements de cyberincidents des secteurs privé et public. Les cyberattaques dans le secteur privé représentaient 46 % de tous les signalements reçus l’an dernier.

Selon le Rapport 2023 sur le coût d’une violation de données d’IBM, le coût moyen d’une seule atteinte au Canada s’élevait à près de 7 millions de dollars l’an dernier. Il s’agit du troisième coût en importance dans le monde, et les entreprises des domaines des finances et de l’énergie sont les plus durement touchées.

Les atteintes ciblant les institutions fédérales continuent de m’inquiéter. J’ai d’ailleurs avisé les institutions qu’elles constituent des cibles de choix lors de cyberattaques. Il est essentiel qu’elles mettent en place des mesures de protection rigoureuses pour limiter les atteintes et protéger les renseignements personnels sensibles qu’elles détiennent et les programmes qu’elles administrent.

Cette année, j’ai ouvert deux enquêtes importantes sur des cyberattaques ciblant des institutions fédérales. La première avait touché Affaires mondiales Canada, et la seconde avait compromis les renseignements personnels des employés du gouvernement fédéral ayant eu recours aux services de réinstallation retenus par le gouvernement au cours des 24 dernières années. J’ai hâte de présenter les résultats de ces enquêtes une fois qu’elles seront terminées. Les organisations du secteur privé pourront en tirer des leçons et apprendre comment éviter les cyberattaques. 

Conclusion

Pour conclure, la protection de la vie privée est l’un des plus grands défis de notre époque.

En tant que Commissaire à la protection de la vie privée du Canada, je m’engage à déployer sans relâche des efforts sur plusieurs fronts : la prise de position, la sensibilisation de la population, la promotion du droit à la vie privée et l’application des lois en la matière.

Je suis convaincu que les trois priorités stratégiques que j’ai établies nous aideront à optimiser l’incidence de nos efforts et à protéger le droit fondamental à la vie privée des générations actuelles et futures.

Il sera essentiel de collaborer, ainsi que de tirer parti des réalisations et des progrès accomplis dans nos domaines respectifs.

Je vous remercie de l’engagement et du leadership dont vous faites preuve et j’ai hâte de prendre part aux discussions importantes qui auront lieu au cours des deux prochains jours.