Conversation avec le commissaire à la protection de la vie privée du Canada à l’occasion de la Journée de la protection des données
Allocution au Centre de recherche en droit, technologie et société de l’Université d’Ottawa
Le 28 janvier 2020
Ottawa (Ontario)
Allocution de Daniel Therrien
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi.)
Présentation
Merci pour cette présentation et merci au Centre de recherche en droit, technologie et société d’avoir organisé cet événement. C’est un privilège d’être ici parmi vous tous à l’occasion de la Journée de la protection des données.
Comme le professeur Martin-Bariteau l’a mentionné, je ne suis pas étranger à ce campus.
J’ai souvenir, entre autres ̶ et cela me « datera » ̶ , du rire du doyen Gérald Beaudoin et d’une rencontre avec un de mes héros sportifs, Ken Dryden.
Une loi sur la protection des renseignements personnels fondée sur les droits
Mais nous sommes maintenant en 2020 et non pas en 1980.
En tant qu’étudiants qui examinent la façon dont la technologie touche la société, vous savez que, pour le meilleur et pour le pire, les technologies axées sur les données constituent une force perturbatrice. Il est indéniable qu’elles procurent de grands avantages aux gens et qu’elles ouvrent la voie à l’innovation, à la croissance économique, et à des avancées importantes dans les soins de santé et la protection de l’environnement. Mais trop souvent, il a été démontré qu’elles sont préjudiciables pour les droits.
Des atteintes à la vie privée se produisent chaque jour. Des reportages dans les médias traitent tous les jours d’une nouvelle fuite de données, d’une mauvaise utilisation de la biométrie, de surveillance par géolocalisation, d’assistants personnels intelligents, de discrimination dans les systèmes d’intelligence artificielle, de propos haineux sur Internet, ou de désinformation minant le processus démocratique. Il va sans dire que la loi n’a pas suivi l’évolution de la technologie.
Et cela ne se limite pas à ce que l’on rapporte dans les médias. Au Commissariat, nous recevons des milliers de plaintes tous les ans de personnes qui croient que leur droit à la vie privée a été enfreint. En moyenne, 80 % d’entre elles ont raison. C’est-à-dire qu’après enquête, nous constatons que 80 % de ces plaintes sont fondées.
Dans ce contexte, la question se pose : quel rôle la loi et un gouvernement démocratiquement élu jouent-ils, si ce n’est de protéger les citoyens contre des comportements préjudiciables?
Bien sûr que c’est son rôle, mais pendant longtemps, on a dit : quel mal y a-t-il? La technologie, c’est tellement cool. Ce n’est pas grave de renoncer un peu à notre vie privée, puisqu’elle nous donne accès à tellement de choses. Dans tous les cas, je n’ai rien à cacher. Qu’est-ce qui pourrait bien m’arriver de mal?
Eh bien, maintenant, nous le savons : les atteintes à la vie privée mènent à la perte de liberté, de démocratie, d’égalité, et présentent même un risque pour notre sécurité physique.
À l’instar de mes prédécesseurs, je réclame depuis longtemps une réforme des lois sur la protection des renseignements personnels. Et si cette demande est restée sans réponse si longtemps, c’est probablement parce que la protection de la vie privée est un concept très abstrait. Mais maintenant, ce concept est devenu réalité. Et les gouvernements ont promis d’agir.
La question n’est plus de savoir si oui ou non la loi doit être modernisée, mais plutôt comment elle doit l’être.
Puisqu’il a été démontré que les technologies axées sur les données peuvent porter atteinte, entre autres, au droit à la vie privée, je pense que le point de départ de la réforme devrait être de veiller à ce que les lois sur la protection des renseignements personnels soient fondées sur les droits.
Un objectif central de la loi devrait être de protéger le droit à la vie privée en tant que droit de la personne en soi, de même qu’en tant qu’élément essentiel à la réalisation et à la protection d’autres droits de la personne.
À l’heure actuelle, les lois fédérales sur la protection de la vie privée au Canada ont une portée étroite sur la protection des données.
Ainsi, la LPRPDE et la Loi sur la protection des renseignements personnels établissent un ensemble de règles qui encadrent la façon dont les organisations et les institutions fédérales doivent traiter les renseignements personnels des individus.
La protection de la vie privée est plus large que la protection des données, bien que la seconde contribue à la première.
Aucune des lois citées ne reconnaît officiellement la protection de la vie privée comme un droit en soi.
Contexte international
Le droit à la protection de la vie privée est un droit reconnu à l’échelle internationale. La Déclaration universelle des droits de l’Homme et le Pacte international relatif aux droits civils et politiques reconnaissent le droit de toute personne de ne pas être l’objet d’« immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance » et, en outre, le droit à la protection de la loi contre de telles immixtions.
Le Canada est signataire à la fois de la Déclaration et du Pacte international, ce qui signifie qu’il est légalement tenu d’appliquer les obligations qui lui incombent.
La protection contre l’ingérence dans la vie privée réfère traditionnellement à l’ingérence de l’État, comme dans le cadre de l’exécution de la loi ou dans un contexte de sécurité nationale. Le Comité des droits de la personne de l’ONU a pour sa part adopté une définition plus large.
Selon le Comité, le Pacte international relatif aux droits civils et politiques exige des États qu’ils protègent les individus et leurs renseignements personnels de l’ingérence gouvernementale, mais aussi d’autres personnes morales ou physiques. Cela s’applique donc aussi aux entités privées. Le capitalisme de surveillance nous vient, bien sûr, à l’esprit.
La protection de la vie privée va au-delà des politiques. Elle est trop souvent considérée à travers le prisme des politiques de confidentialité des sites Web menant à une forme imparfaite du consentement. Il s’agit d’un point de vue réducteur qui défavorise nettement les individus lorsqu’ils sont confrontés à des organisations ayant infiniment plus de connaissances et de pouvoir. En effet, les règles techniques en place pour protéger les données personnelles, comme le consentement, l’accès et la transparence, sont des mécanismes importants pour la protection de la vie privée. Malheureusement, elles ne définissent pas le droit lui-même.
La protection de la vie privée n’est rien de moins qu’un préalable à la liberté de vivre et de se développer de manière indépendante comme personne, à l’abri du regard scrutateur des entreprises et du gouvernement, tout en participant librement et activement aux activités régulières et quotidiennes d’une société moderne, comme socialiser, lire les nouvelles, obtenir de l’information sur des problèmes de santé ou simplement magasiner.
C’est ce droit que la loi doit protéger, pas le droit de consentir ou pas à une politique de confidentialité incompréhensible de 30 pages.
Utiliser les lois sur la protection des données pour protéger la vie privée
Comme je l’ai dit plus tôt, la Loi sur la protection des renseignements personnels et la LPRPDE sont des lois sur la protection des données. Si nous voulons que nos lois sur la protection des données protègent de manière concrète le droit plus général à la protection de la vie privée, cet objectif doit être reflété plus explicitement dans la formulation de nos lois sur la protection des données.
À cette fin, mon plus récent rapport annuel, déposé en décembre, suggère l’adoption de préambules et d’objectifs législatifs, un pour chaque loi, comme moyen d’enchâsser la protection de la vie privée dans le cadre qui lui est propre, soit celui des droits de la personne.
Ces textes offrent un moyen de faire le lien entre la protection des données et la protection de la vie privée.
Ils serviraient à fournir une orientation sur les valeurs, les principes et les objectifs qui façonneraient l’interprétation et l’application des principes de protection des données dans les deux lois fédérales.
Par exemple, un consentement considéré valable selon les principes de la LPRPDE pourrait ne plus l’être sous la disposition que nous proposons, qui stipule que le traitement des données doit respecter le droit fondamental à l’égalité.
Inversement, une recherche médicale qui utilise un consentement dont la validité pourrait être remise en question, parce que l’entreprise n’a peut-être pas fourni suffisamment d’information au participant, pourrait être valable sous la disposition proposée stipulant qu’il est nécessaire d’établir un équilibre entre le droit à la vie privée et ce qu’exige l’intérêt public. Le préambule que nous proposons indique qu’un traitement responsable des données peut servir des intérêts publics, comme dans le domaine des soins de santé.
Je souhaite prendre ici une pause et offrir mes remerciements à la professeure Teresa Scassa. Je tiens à souligner son travail avec le Commissariat sur la réforme législative, en particulier sur l’élaboration d’une approche de la protection de la vie privée qui soit fondée sur les droits. Sa contribution a été importante pour définir notre position.
Assurer la pertinence de la loi malgré les changements technologiques
Le principal bénéfice d’une loi fondée sur les droits est bien sûr de protéger la vie privée dans toute son ampleur et sa portée, comme un droit fondamental de la personne en soi, et comme une condition préalable à l’exercice d’autres droits fondamentaux.
J’ai aussi mentionné que les lois ont de la difficulté à suivre le rythme rapide des changements technologiques. Le développement de nouvelles technologies se produit à un rythme exponentiel. Il est tout simplement impossible pour la loi d’être modifiée à la même vitesse.
C’est d’ailleurs un des arguments soulevés par l’industrie et le gouvernement pour le maintien d’une législation fondée sur des principes. Cependant, il se prête aussi au soutien à une loi qui définit la vie privée dans son sens le plus large et le plus véritable.
Les mesures de protection techniques, par exemple faire reposer la validité du consentement sur certains éléments d’information, s’avèrent souvent inefficaces, car elles sont la plupart du temps dépassées par les avancées technologiques. Cependant, les valeurs sous-jacentes au droit à la vie privée ne changeront probablement pas beaucoup au fil du temps.
En définissant la vie privée de manière à lui donner tout son sens, conforme aux valeurs qui la sous-tendent, on s’assurerait qu’elle demeure protégée, peu importe les changements technologiques.
Je ne dis pas que cela ferait en sorte que la loi deviendrait pertinente pour toujours. Cependant, si la loi est rédigée de manière à protéger les valeurs et principes fondamentaux, il est probable qu’elle demeure efficace et pertinente plus longtemps. Bien sûr, elle devra être modifiée de temps à autre, en fonction de l’évolution de la technologie, et des normes sociales et juridiques.
Innovation
Dans la perspective imminente d’une nouvelle loi, certains intervenants du milieu des affaires se sont dits inquiets des répercussions sur l’innovation.
Une loi fondée sur les droits n’est pas un obstacle à l’innovation. Au contraire, de bonnes lois sur la protection de la vie privée sont essentielles pour favoriser la confiance dans les activités gouvernementales et commerciales.
Vous avez peut-être lu dans les médias qu’au sommet économique de Davos, le président et directeur général de Microsoft, Satya Nadella, a dit ceci : s’il y a une chose qui serait un obstacle à l’innovation et à la croissance économique à l’ère de la quatrième révolution industrielle dont le facteur principal de production sont les données, ce serait de ne pas traiter le problème de confiance des consommateurs et des citoyens envers la façon dont leurs données sont protégées.
Nous partageons ce point de vue. L’innovation n’est pas viable sans la confiance; une économie forte et compétitive n’est pas durable sans confiance; et la confiance exige une protection efficace des droits.
Notre objectif est d’instaurer des balises démocratiques pour une innovation responsable qui sert le bien commun.
Dans le préambule et l’énoncé d’objet de la LPRPDE que nous avons proposés, nous avons veillé à ce que soit reconnu l’intérêt légitime des organisations à recueillir, utiliser et communiquer des renseignements personnels à des fins appropriées. Cela pourrait contribuer à donner l’importance nécessaire aux droits d’une part, et aux intérêts commerciaux légitimes, d’autre part.
Nos propositions comprennent aussi des exceptions au consentement qui faciliteraient l’utilisation de technologies novatrices lorsqu’il est impossible d’obtenir le consentement, par exemple dans certaines situations mettant en jeu l’intelligence artificielle.
Le Commissariat a publié aujourd’hui un document de consultation sur la manière dont la loi devrait encadrer l’intelligence artificielle. Nous sommes conscients que les systèmes d’intelligence artificielle représentent un défi considérable pour l’application de tous les principes de la LPRPDE, notamment la minimisation des données, la finalité et la transparence. Nous sommes aussi conscients que l’IA est parfois utilisée de façon discriminatoire.
Nous proposons une nouvelle loi centrée sur notre approche fondée sur les droits, et consultons des experts du domaine pour savoir si ces propositions sont réalisables et si elles permettraient un développement et un déploiement responsables des systèmes d’IA.
Il est temps, selon nous, que l’intelligence artificielle cesse d’être gouvernée par des considérations éthiques et que l’on adopte des règles de droit exécutoires.
Partage des compétences
Permettez-moi finalement de parler d’un argument que l’on entend parfois en lien avec notre approche fondée sur les droits, selon lequel cela pourrait ne pas relever de l’autorité du Parlement du Canada puisque les droits de propriété et les droits civils sont du ressort des législatures provinciales.
En tout respect, nous ne sommes pas d’accord. La compétence à l’égard de la propriété et des droits civils s’étend à la compétence des provinces de régir le droit privé. On ne doit pas confondre les droits civils, au sens de l’article 92 (13) de la Constitution, et les libertés civiles au sens de la Charte canadienne des droits et libertés. Le professeur Hogg a souligné cette différence dans ses écrits, bien que ce ne soit pas explicitement en lien avec la vie privée. Selon nous, la vie privée est une liberté civile, et non un droit civil au sens du droit privé.
La vie privée est une valeur transversale qui ne fait partie d’aucune compétence exclusive d’un seul et même ordre de gouvernement. C’est clair. Il y a des lois qui protègent la vie privée à la fois au niveau provincial et au niveau fédéral. Du coup, la constitutionnalité de n’importe quelle loi sur la vie privée dépend du secteur ou du domaine sous-jacent en cause. Dans le cas de la LPRPDE, les activités commerciales sont le domaine visé ̶ il est question du commerce dans son ensemble plutôt que d’une industrie en particulier ̶ et l’article 91 donne le pouvoir au Parlement de légiférer en matière d’échange et de commerce.
Conclusion
Le Canada a déjà été un chef de file en matière de protection de la vie privée; il semble que le monde a maintenant une longueur d’avance sur nous.
À ses tout débuts, l’Internet était considéré et présenté comme un instrument au service de la liberté. À présent, nous voyons plus clairement qu’il est source de nombreux avantages, mais aussi de risques très sérieux pour nos valeurs.
L’heure est venue de mettre les valeurs et les droits au cœur de nos lois sur la protection des renseignements personnels.
Merci. Je serais heureux d’entendre vos commentaires et de répondre à vos questions.
- Date de modification :