Sélection de la langue

Recherche

Comparution devant la Commission des institutions de l’Assemblée nationale du Québec au sujet du projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

Le 24 septembre 2020

Par vidéoconférence

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Je vous remercie de votre invitation à discuter du projet de loi 64, qui modernise les lois québécoises sur la protection des renseignements personnels.

Nos sociétés ont terriblement besoin de moderniser leurs lois en la matière, après plusieurs années de révolution numérique, force perturbatrice de nos habitudes, de nos pratiques et de nos droits. Votre projet de loi est extrêmement opportun.

La nécessité de réformer nos lois

Les perturbations occasionnées par les technologies de l’information ne sont pas que négatives. Ces technologies sont au cœur de la 4e révolution industrielle et elles vont contribuer à l’amélioration des services publics.

La pandémie actuelle fait d’ailleurs ressortir l’importance des sciences, des données et de la technologie dans la gestion de la crise. Elle accélère grandement la révolution numérique, ce qui selon moi est une raison de plus pour modifier sans délai le cadre juridique.

Les technologies de l’information peuvent servir l’intérêt public.

Cependant, ces technologies posent aussi des risques importants pour la vie privée. Les fuites de données ont touché l’an dernier 30 millions de Canadiens. On parle de plus en plus de l’existence d’un capitalisme de surveillance. Cela, quelques années après l’affaire Snowden. Plus récemment, le scandale Cambridge Analytica a mis en lumière les risques pour la démocratie.

La télémédecine offerte en temps de pandémie comporte des avantages indéniables, mais si elle fait appel à des plateformes privées, il y a un risque pour la confidentialité des renseignements de santé.  L’éducation à distance amène des risques semblables.

Il faut moderniser les lois entre autres parce que la population ne croit pas que les nouvelles technologies sont utilisées d’une manière qui respecte leur vie privée. Des sondages du Commissariat révèlent qu'environ 90 % des Canadiens sont inquiets.

Une approche fondée sur les droits

La vie privée est une valeur fondamentale de nos sociétés démocratiques et un droit protégé par la Charte québécoise des droits et libertés. Selon nous, le point de départ d’une réforme devrait consister à s’assurer que les lois de protection des renseignements personnels respectent le caractère fondamental de ce droit et le mettent en œuvre de façon moderne et durable.

En clair, les lois devraient autoriser l’innovation responsable, qui est dans l’intérêt public et propre à susciter la confiance, mais interdire les utilisations de la technologie qui sont incompatibles avec nos valeurs et nos droits.

C’est l’approche que j’ai mise de l’avant dans mon rapport annuel de l’an dernier au Parlement fédéral, qui comprenait une proposition détaillée de réforme des lois fédérales en matière de vie privée.

Plusieurs des propositions du projet de loi 64 vont dans ce sens.

Par exemple, le projet de loi prévoit des dispositions encadrant le profilage et protégeant le droit à la réputation. Il assujettit les partis politiques aux dispositions de la loi sur le secteur privé.

Dans mon rapport de l’an dernier au Parlement, je recommandais que le caractère fondamental du droit à la vie privée soit reconnu dans les principes et l’énoncé d’objet des lois fédérales régissant les secteurs public et privé. Dans un rapport publié en 2015, la Commission québécoise des droits de la personne faisait une recommandation semblable pour la loi québécoise sur le secteur public. Je vous encourage à adopter cette recommandation.

Le rôle du consentement

Le projet de loi 64 vise entre autres à accroître le contrôle que les citoyens ont sur leurs renseignements personnels. Les règles concernant le consentement sont donc bonifiées.

Je souscris à ces améliorations, ayant moi-même rehaussé il y a deux ans les exigences prévues dans les lignes directrices du Commissariat en matière de consentement.

Mais il est capital de dire qu’en 2020, la protection des renseignements personnels ne peut reposer que sur le consentement.

Il n’est tout simplement pas réaliste ou raisonnable de demander aux individus de consentir à toutes les utilisations possibles de leurs données dans une économie de l’information aussi complexe que celle d’aujourd’hui. Le rapport de force est trop inégal.

En fait, le consentement peut servir à légitimer des usages qui objectivement sont complètement déraisonnables et contraires à nos droits et valeurs. Et le refus de donner son consentement peut parfois desservir l’intérêt public.

Le projet de loi 64 prévoit certaines exceptions au consentement, par exemple en matière de recherche, ou lorsque les renseignements personnels sont utilisés à des fins compatibles aux fins pour lesquelles ils ont été recueillis. Ce sont des pas dans la direction d’un plus grand réalisme, mais il faut faire attention. Par exemple, l’exception pour les fins compatibles pourrait être interprétée de façon très large, permettant toutes sortes d’utilisations.

C’est pourquoi il existe d’autres modèles de protection des données personnelles, qui tiennent compte des limites du consentement et qui cherchent par d’autres moyens à réaliser à la fois l’atteinte de l’intérêt public et la protection de la vie privée.

Le modèle européen est un exemple. En Europe, on permet l’utilisation des données lorsqu’elle est nécessaire à l'exécution d'une mission d'intérêt public ou aux fins des intérêts légitimes poursuivis par une entreprise ou un organisme public, dans le respect des droits fondamentaux.

Je note qu’au Québec, une entreprise doit avoir un intérêt sérieux et légitime pour recueillir des renseignements personnels. C’est une notion proche des « intérêts légitimes » du droit européen.

À mon avis, l’approche européenne mérite d’être considérée, parmi d’autres. Ce qui compte, c’est que la loi autorise les utilisations de données personnelles dans l’intérêt public, les fins légitimes ou le bien commun, à l’intérieur d’un régime fondé sur le respect des droits. Ce régime devrait imposer aux entreprises et aux ministères la transparence et l’obligation d’une responsabilité démontrable à l’organisme de réglementation.

Pouvoirs directs d’application de la loi

Il n’est pas suffisant d’adopter des lois qui protègent bien la vie privée. Il faut les assortir de mécanismes d’application de la loi qui sont rapides et efficaces. Dans plusieurs pays dans le monde, cela passe par l’octroi à l’autorité administrative compétente de pouvoirs d’ordonnance et de sanctions pécuniaires importantes.

De telles lois ne visent pas à punir les contrevenants ou à les empêcher d’innover. Elles visent à assurer une plus grande conformité, condition essentielle à la confiance et au respect des droits.

Il faut dire que plusieurs entreprises et organismes prennent au sérieux leurs obligations à l’égard des renseignements personnels. Mais pas toutes. Il est important que les lois ne confèrent pas d’avantages aux contrevenants.

Les sanctions doivent être proportionnelles aux gains financiers que peuvent réaliser les entreprises en faisant fi de la vie privée. Sans cela, les entreprises ne changeront pas leurs pratiques; les sanctions dérisoires seront un coût qu’elles seront prêtes à payer dans la recherche du profit.

Le caractère proportionnel des sanctions est aussi un avantage pour les plus petites entreprises.

Les dispositions prévues à cet effet dans le projet de loi 64 sont excellentes et il est important qu’elles soient conservées.

L’importance de la compatibilité

Le dernier point que j’aimerais aborder est l’importance de l’interopérabilité des lois entre les différentes juridictions.

Le Canada et le Québec ont comme partenaires économiques importants l’Europe et les États-Unis. Il est essentiel que les données qui alimentent les échanges puissent voyager à l’extérieur de nos frontières, tout en respectant les droits et valeurs que nous partageons largement avec nos partenaires.

L’interopérabilité des lois sert à faciliter et à réguler ces échanges. Elle sert aussi à rassurer les citoyens, puisque leurs données sont protégées de semblable façon lorsqu’elles quittent nos frontières. Enfin, elle sert les entreprises en réduisant les coûts reliés à la conformité.

Plusieurs intervenants vous ont mis en garde contre l’adoption d’une loi qui serait plus stricte que le RGPD ou d’autres lois de notre zone économique.

À ce sujet, ma suggestion serait de ne pas craindre d’utiliser le RGPD comme source d’inspiration, mais d’éviter d’aller au-delà, sauf si vous le jugez nécessaire pour certaines dispositions. Il me ferait plaisir d’élaborer si vous le voulez.

Conclusion

En conclusion, je salue les efforts du Québec afin d’amener ses lois sur la vie privée au 21e siècle. D’autres juridictions ont aussi pris des initiatives en ce sens mais vous montrez la voie. Espérons que d’autres la suivront. En effet, il est urgent de passer à l’action.

Date de modification :