Réforme des lois sur la protection de la vie privée au Canada : Passer du pourquoi au comment
Allocution présentée lors du Symposium canadien sur la protection de la vie privée 2019 de l’International Association of Privacy Professionals (IAPP)
Le 23 mai 2019
Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi.)
Introduction
C’est la cinquième fois que j’ai le privilège et le plaisir de partager mon point de vue avec vous dans le cadre de cet important événement.
Pendant toutes ces années, un thème important s’est imposé, à savoir la nécessité de réformer les lois sur la protection des renseignements personnels. La proposition n’a pas toujours été accueillie avec enthousiasme. Pendant des années, on s’est fait demander : Où est le préjudice? Où est la preuve que le droit à la vie privée n’est pas respecté et que les entreprises ne se conforment pas à la loi?
Je pense que nous avons enfin atteint le point où la question de la pertinence des modifications à la loi est désormais derrière nous. La question repose maintenant sur le contenu des modifications. Avec l’annonce d’une Charte du numérique ces derniers jours, le gouvernement semble être du même avis.
Un point tournant en matière de protection de la vie privée
Les événements de l’année passée ont mis en avant comme jamais auparavant le besoin urgent de moderniser la manière de protéger les droits relatifs à la vie privée dans notre pays.
Notre enquête portant sur Facebook a clairement indiqué que nous avons atteint un moment charnière où le droit à la vie privée et les valeurs démocratiques sont en jeu.
Notre examen portant sur le scandale Cambridge Analytica a mis en lumière que le cadre de protection de la vie privée de Facebook était en fait une coquille vide. Cette constatation est très préoccupante puisqu’elle concerne un géant mondial qui a recueilli quantité de détails intimes à propos d’un très grand nombre de personnes.
Dans le même temps, notre enquête sur Equifax a également révélé des lacunes déconcertantes au sein d’une entreprise qui dispose de vastes quantités de renseignements personnels extrêmement sensibles et qui joue un rôle majeur dans notre secteur financier.
Mesures de protection déficientes. Problèmes de conservation. Procédures de consentement inappropriées. À cela s’ajoute, encore une fois, un manque de responsabilité criant.
Protection de la vie privée et innovation
Les appels visant à renforcer les lois sur la protection de la vie privée proviennent désormais de partout; même Mark Zuckerberg déclare qu’il est en faveur du Règlement général sur la protection des données (RGPD) européen et qu’il souhaiterait l’adoption d’une réglementation similaire aux États-Unis. Mais il est compréhensible que le monde des affaires soit plus réticent à propos de la réforme législative.
La solution ne consiste pas à demander aux personnes de fermer leur ordinateur ou de cesser d’utiliser les médias sociaux, les moteurs de recherche ou d’autres services numériques. Bon nombre de ces services répondent à des besoins réels.
L’objectif ultime est de permettre aux personnes de tirer profit des services numériques – de socialiser, d’apprendre et, en général, de se développer en tant que personne – en toute sécurité et confiants que leur droit à la vie privée sera respecté.
Réponse du gouvernement
La réforme législative, aussi bien celle de la Loi sur la protection des renseignements personnels et les documents électroniques que de la Loi sur la protection des renseignements personnels, semble finalement en cours.
Au cours des derniers mois, nous avons noté avec satisfaction le soutien exprimé par les comités parlementaires et les députés de tous bords à l’égard des appels du Commissariat en faveur d’une refonte des lois.
Le gouvernement a finalement entendu l’appel en annonçant une nouvelle Charte du numérique au cours des derniers jours, avec des propositions plus précises, mais somme toute, quelque peu générales, notamment dans le domaine de la protection de la vie privée.
À l’heure actuelle, nous sommes toujours en train d’examiner ces propositions. Elles abordent plusieurs enjeux, mais il existe aussi des zones grises. Par exemple, si la loi dispense les « pratiques commerciales courantes » de l’obligation d’obtenir le consentement, de quelle manière la vie privée et le bien public seront-ils alors protégés?
Ressources
Je devrais mentionner ici une autre mesure prise par le gouvernement qui répond aux défis auxquels le Commissariat est confronté.
Le dernier budget fédéral contenait de très bonnes nouvelles pour le Commissariat : le gouvernement a annoncé une augmentation permanente de plus de 15 p. 100 de notre budget annuel total, ainsi que des fonds supplémentaires temporaires.
Cette mesure va clairement dans la bonne direction. Cela nous aidera à mener à bien notre mandat actuel dans le contexte de la croissance exponentielle de l’économie numérique.
Une partie du financement mentionné dans le budget fédéral est temporaire et nous aidera à combler le retard que nous accusons dans le traitement des plaintes. Nous comptons à l’heure actuelle plus de 300 plaintes datant de plus d’un an. Ce retard devrait être quasiment éliminé d’ici 2021.
Les nouvelles ressources nous aideront également à répondre aux pressions importantes causées par les nouvelles exigences en matière de législation et de politique en ce qui a trait aux atteintes.
Depuis la mise en œuvre des exigences de déclaration obligatoire des atteintes en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques en novembre dernier, le volume des déclarations est cinq fois plus élevé. Les nouvelles ressources nous permettront de mieux examiner les déclarations d’atteintes à la fois dans les secteurs privé et public.
Le financement nous permettra également d’augmenter notre capacité à informer les Canadiens à propos des enjeux en matière de protection de la vie privée, de leurs droits et de la manière de les exercer. De plus, nous serons mieux placés pour aider les organisations quant à la manière de respecter leurs obligations en matière de protection de la vie privée.
Je l’ai dit auparavant et je le répète. Un organisme de réglementation efficace ne se repose pas uniquement sur l’application de la loi pour assurer la conformité. La première stratégie devrait mettre l’accent sur les conseils et la sensibilisation. Nous utiliserons la majeure partie de ce nouveau financement à ces fins.
Les ressources adéquates font partie de la solution. Le fait de disposer d’un cadre réglementaire efficace est encore plus important.
Réforme législative
J’ai mentionné précédemment que la vraie question qui se pose à nous est celle du contenu souhaitable des mises à jour des lois canadiennes.
La protection de la vie privée est plus qu’un ensemble de règles techniques ou procédurales, de paramètres, de contrôles et de mesures de protection administratives; ce n’est certainement pas un obstacle au progrès, comme cela est souvent sous-entendu.
Au contraire, il s’agit d’un droit fondamental et d’une condition préalable nécessaire à l’exercice d’autres droits fondamentaux, notamment la liberté, l’égalité et, comme nous l’avons vu dans l’affaire Cambridge Analytica, la démocratie.
Le point de départ devrait donc consister à ce que la loi soit formulée suivant une approche fondée sur les droits.
Nous devrions continuer d’avoir une loi neutre du point de vue technologique et fondée sur des principes. Ces éléments permettront à la loi de perdurer dans le temps et de définir des règles du jeu équitables.
Mais nous avons également besoin d’une loi fondée sur des droits, autrement dit une loi qui confère aux personnes des droits exécutoires, tout en permettant une innovation responsable.
La loi devrait également définir le droit à la vie privée de la manière la plus large possible. La protection de la vie privée ne se limite pas au consentement, à l’accès et à la transparence. Il s’agit de mécanismes importants, mais ils ne définissent pas le droit en tant que tel, un droit quasi constitutionnel comme nous le savons tous.
En 2001, la sénatrice Sheila Finestone a présenté au Parlement un projet de loi intitulé Charte du droit à la vie privée. C’est peut-être une Charte des droits qui a inspiré le premier ministre lorsqu’il a annoncé la semaine dernière à Paris une Charte canadienne du numérique.
Le projet de loi de la sénatrice Finestone définissait la protection de la vie privée comme comprenant les droits suivants :
- le droit au respect de son intimité physique;
- le droit d’être libre de toute surveillance;
- le droit d’être à l’abri du contrôle et de l’interception de ses communications privées;
- le droit d’être à l’abri de la collecte, de l’utilisation et de la communication de ses renseignements personnels.
Reconnaissant que le droit à la protection de la vie privée n’est pas un droit absolu, le projet de loi précisait ce qui suit : « Il est interdit de porter atteinte sans justification au droit d’un individu au respect de sa vie privée. »
Je ne suggère pas que le Canada devrait adopter en 2019 une loi correspondant exactement au contenu de la Charte de la sénatrice Finestone. D’une part, la portée du droit à la protection de la vie privée a fait l’objet depuis le début des années 2000 de nombreuses décisions judiciaires, y compris de la part de la Cour suprême du Canada.
Mais je pense qu’une réglementation moderne en matière de protection des renseignements personnels devrait commencer par définir le droit à la vie privée en fonction de sa portée réelle et de codifier son statut quasi constitutionnel. Ce point, associé à la nature de la loi axée sur les principes et neutre du point de vue technologique, permettrait de s’assurer qu’elle s’inscrive dans la durée, en dépit des développements technologiques plus que certains.
Le fait de fonder la législation sur des principes garantirait son interopérabilité. Sa portée et sa nature quasi constitutionnelle garantiraient qu’elle reflète les valeurs canadiennes.
La Loi sur la protection des renseignements personnels et les documents électroniques devrait également être rédigée d’une façon plus classique, conférant des droits et imposant des obligations; il ne devrait pas s’agir d’un code de pratique de l’industrie. Des juges ont formulé des commentaires sur la nature « particulière » de la rédaction de la Loi sur la protection des renseignements personnels et les documents électroniques. D’autres ont été moins tendres. Le résultat final, c’est que la loi est difficile à interpréter et à mettre en application. Il est possible de rédiger une loi axée sur les principes de manière intelligible. Nous n’avons qu’à prendre exemple sur les lois relativement similaires adoptées par certaines législatures provinciales.
Certains des autres enjeux qui devraient être abordés au cours d’un examen de la Loi sur la protection des renseignements personnels et les documents électroniques comprennent le consentement, les lignes directrices contraignantes et les pouvoirs d’application de la loi.
À mon avis, il faudrait accorder une place importante au consentement valable, lorsqu’il assure aux personnes une autonomie et un contrôle efficace, mais nous devons aussi tenir compte d’autres façons de protéger la vie privée lorsque l’obtention du consentement n’est pas réaliste, par exemple, dans certaines circonstances impliquant le développement de l’intelligence artificielle.
Ici j’estime que la notion mise de l’avant par le gouvernement selon laquelle les données devraient être utilisées pour le bien public, est un point essentiel à ne pas perdre de vue.
De plus, afin d’apporter une plus grande certitude à la fois aux Canadiens et aux organisations, une autorité publique comme le Commissariat devrait être habilitée à émettre des règles ou des lignes directrices ayant force de loi précisant de quelle manière les principes généraux et les droits formulés au sens large peuvent être véritablement appliqués en pratique.
La législation axée sur les principes présente des vertus importantes. Des orientations ou des règles contraignantes plus précises permettraient aux individus et aux organisations de mieux comprendre en pratique les exigences de la loi.
Les lignes directrices pourraient également être plus facilement amendées que la loi; ce point est important puisque les changements technologiques ne cessent de s’accélérer.
De plus, pour assurer l’application efficace de la loi, le Commissariat devrait être habilité à rendre des ordonnances et à imposer des amendes conséquentes en cas de non-respect de la loi.
Mais même les amendes importantes pourraient ne pas suffire, comme nous l’avons noté dans la décision de Facebook de mettre de côté une enveloppe de 3 à 5 milliards de dollars en prévision d’une amende éventuelle de cet ordre que lui imposerait la Federal Trade Commission américaine.
Ce qui nous amène à la question de la responsabilité.
Responsabilité démontrable
Le monde des affaires a fait de la responsabilité un élément majeur de la protection de la vie privée.
Je suis d’accord pour dire que la responsabilité est importante. Cependant, comme nous l’avons clairement vu dans les cas de Facebook, d’Equifax et d’autres encore, le principe tel qu’il est actuellement formulé ne suffit pas à protéger les Canadiens des pratiques des entreprises qui déclarent assumer leurs responsabilités, mais qui, en réalité, ne le font pas.
Nous avons besoin d’une loi qui impose une responsabilité démontrable.
Dans le monde d’aujourd’hui où les modèles d’entreprise sont obscurs et où les flux de données sont de plus en plus complexes, il est peu probable que les personnes déposent des plaintes si elles ne connaissent pas les pratiques qui peuvent leur nuire. C’est pourquoi il est si important que l’organisme de réglementation dispose de l’autorité d’inspecter de manière proactive les pratiques des organisations. C’est le cas au Royaume-Uni, dans l’Union européenne et dans d’autres pays.
Lorsque le consentement n’est pas viable et que l’on exige des organisations qu’elles comblent les lacunes en matière de protection par le biais de la responsabilité, ces organisations doivent démontrer leur responsabilité véritable sur demande.
Circulation transfrontalière des données
La responsabilité constituait également un thème important dans notre enquête sur Equifax, ce qui nous a conduits à revoir notre position sur la circulation transfrontalière des données.
Je dois avouer que j’ai lu plusieurs théories intéressantes au sujet de ce qui a motivé ce changement de position. Non, je ne me prends pas pour le Parlement. Non, je ne fais pas plus de fixation sur le RGPD européen que sur le consentement. Cependant, je me concentre tout entier à trouver des solutions efficaces pour protéger la vie privée des Canadiens qui soient conformes à la loi.
La proposition consistant à modifier notre position reposait finalement sur notre obligation de garantir que nos politiques reflètent une interprétation correcte de la législation actuelle. Nous avons débuté notre analyse par une question directe d’interprétation de la loi.
Compte tenu de l’annonce récente de l’honorable Navdeep Bains, ministre de l’Innovation, des Sciences et du Développement économique, selon laquelle une nouvelle Loi sur la protection des renseignements personnels et les documents électroniques clarifiera les règles sur la circulation transfrontalière de données, nous devrons, au Commissariat, nous adapter. Hier, j’ai proposé de suspendre et de redéfinir notre consultation de sorte qu’elle puisse éclairer notre position à long terme (sur le contenu d’une nouvelle loi) et à court terme (sur les modalités d’application de la loi actuelle).
Cette proposition a été bien accueillie mais n’a pas fait l’unanimité. Nous confirmerons bientôt notre nouvelle approche en ce qui concerne les consultations. En clair, le travail que les organisations ont déjà accompli sur leurs représentations n’aura pas été fait en vain. Les questions que nous avions posées dans le cadre de la consultation restent pertinentes.
Entre-temps, nous ne nous attendons pas à ce que les organisations changent leurs pratiques. Cependant, si nous recevons des plaintes individuelles, nous devrons les évaluer en fonction des faits relatifs au cas qui nous est soumis et de notre interprétation de la loi dans son état actuel.
Notre objectif est encore une fois de garantir une protection efficace de la vie privée des Canadiens.
La position traditionnelle du Commissariat accordait beaucoup d’importance au principe de responsabilité relativement à la protection de la vie privée dans un contexte transfrontalier. Cependant, nous avons pu observer avec Equifax, que dans sa formulation actuelle, ce principe n’assure pas toujours une protection efficace. Au cours de notre enquête, les représentants d’Equifax ont éprouvé de la difficulté à répondre à des questions élémentaires à savoir qui des deux sociétés affiliées, canadienne ou américaine était responsable des renseignements personnels de leurs clients.
Une possibilité dans le cadre de la réforme législative pourrait consister, une fois de plus, à adopter un régime de responsabilité plus solide. Il s’agirait d’une responsabilité démontrable qui comporterait une surveillance réelle afin de garantir que les dispositions en vigueur protègent véritablement les renseignements personnels. Le ministre Bains semblait s’orienter vers cette direction dans ses propositions relatives à la vie privée plus tôt cette semaine.
Sous réserve d’autres opinions qui nous parviendront, sans doute, nous estimons que le consentement fait partie de la solution à court terme, et qu’il est peut-être imposé par la loi actuelle. Mais devrait-il avoir un rôle à jouer à long terme? Peut-être pas, du moment qu’il existe d’autres modalités efficaces de protection de la vie privée.
Conclusion
Je terminerai en disant que je pense que la meilleure manière pour le Canada de se positionner en tant que chef de file dans l’innovation numérique consiste à montrer de quelle manière il peut créer un cadre pour l’innovation qui réussisse à protéger les droits et valeurs canadiens, ainsi que la démocratie canadienne.
Nous nous trouvons à un moment décisif pour la protection de la vie privée au Canada. Les changements arrivent. J’espère sincèrement – et j’y travaillerai d’arrache-pied, tout comme mes collègues du Commissariat – que nous trouverons une manière qui permettra aux Canadiens de prendre part à l’économie numérique et de bénéficier des services gouvernementaux tout en sachant que leurs droits seront respectés.
- Date de modification :