Déclaration devant le Comité spécial d’examen de la Personal Information Protection Act de la Colombie-Britannique
Le 22 juin 2021, par vidéoconférence
Ottawa (Ontario)
Déclaration de Daniel Therrien
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)
Introduction
Je vous remercie de m’avoir invité à prendre la parole aujourd’hui.
Les technologies numériques qui reposent sur la collecte et l’analyse de données personnelles se trouvent au cœur de la quatrième révolution industrielle et sont la clé de notre développement socioéconomique.
La pandémie a mis en évidence les avantages majeurs de ces technologies, qui nous permettent notamment de travailler et d’avoir accès à des services de santé et d’éducation à distance.
Toutefois, les cas d’atteinte à la vie privée et les scandales comme celui de l’affaire Facebook/Cambridge-Analytica ont démontré plus d’une fois que les technologies numériques peuvent présenter des risques importants, non seulement en matière de vie privée, mais aussi en ce qui a trait à d’autres droits fondamentaux comme la liberté, la démocratie et l’égalité.
Certaines juridictions ont modernisé leurs lois concernant la protection de la vie privée au cours des dernières années. C’est le cas de l’Union européenne : le Règlement général sur la protection des données (RGPD) est entré en vigueur en 2018.
On accuse parfois le RGPD d’être trop normatif.
Je dirais plutôt qu’il constitue toujours un modèle très pertinent, bien qu’imparfait, de législation sur la protection de la vie privée de manière générale. Je vous suggère de l’utiliser sans crainte comme une source d’inspiration, tout en adoptant d’autres règles qui, selon vous, pourraient être plus adaptées à vos conditions locales.
L’interopérabilité des lois sur la protection de la vie privée sert à faciliter et à réguler les échanges commerciaux qui utilisent les données personnelles.
Elle sert aussi à donner l’assurance aux citoyens que leurs données sont protégées de façon semblable lorsqu’elles quittent nos frontières. Enfin, elle permet aux organisations de réduire les coûts liés à la conformité.
L’interopérabilité des lois à l’échelle nationale est également importante. Comme vous le savez, en novembre 2020, le gouvernement fédéral a déposé le projet de loi C-11, intitulé Loi de 2020 sur la mise en œuvre de la Charte du numérique, qui entraînerait l’adoption de la Loi sur la protection de la vie privée des consommateurs (LPVPC) et de la Loi sur le Tribunal de la protection des renseignements personnels et des données.
En mai dernier, le Commissariat a publié un mémoire en réponse au projet de loi C 11. Malgré les objectifs ambitieux de ce projet de loi, nous sommes d’avis que sa version actuelle constituerait globalement un recul en matière de protection de la vie privée.
Ce projet de loi pose de sérieux problèmes.
Il cherche à répondre à la plupart des questions pertinentes relatives à la vie privée dans une économie numérique moderne, mais d’une manière qui est souvent hors norme par rapport aux lois d’autres pays et qui procure une protection moindre que ces lois.
Cependant, si des modifications importantes y sont apportées, le projet de loi pourrait devenir un texte législatif solide qui protégerait réellement le droit à la vie privée de la population canadienne tout en favorisant des activités économiques responsables.
Aujourd’hui, je vais m’en tenir à un certain nombre de grandes recommandations faites par le Commissariat dans le cadre du projet de loi C-11.
Mes observations s’appuient sur des précédents, des pratiques exemplaires et des recherches, ainsi que sur des régimes de protection de la vie privée de partout dans le monde.
Bon nombre de nos recommandations sur le projet de loi C-11 cadrent avec les recommandations faites par le bureau du commissaire McEvoy. Je suis heureux de donner au Comité plus de contexte à cet égard et de faire part de notre expérience par rapport aux recommandations du Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique.
Consentement et exceptions
Comme nous l’avons mentionné, il est urgent de modifier nos lois pour que nous puissions tirer profit des données d’une manière responsable garantissant la protection de la vie privée et d’autres droits.
Avec le projet de loi C-11, le gouvernement cherche à atteindre cet objectif en maintenant le modèle de consentement actuel et en adoptant plusieurs nouvelles exceptions.
Certaines des nouvelles exceptions sont raisonnables, mais d’autres sont trop larges ou mal définies pour favoriser une innovation responsable.
Par exemple, aucun motif ne justifierait de façon raisonnable une exception à l’obligation d’obtenir le consentement fondé sur le fait qu’il est pratiquement impossible de l’obtenir.
Selon moi, il faut que la loi s’adapte à des utilisations nouvelles, imprévues mais responsables des renseignements qui sont dans l’intérêt de la société ou pour des intérêts commerciaux légitimes, dans un cadre fondé sur les droits.
Ce type de disposition donnerait la latitude nécessaire pour utiliser les données à de nouvelles fins non prévues au moment de la collecte, parmi un ensemble de fins connaissables et sous réserve de la surveillance réglementaire.
Ce qu’il nous faut, ce n’est pas de l’autoréglementation, mais une véritable réglementation, c’est-à-dire des normes objectives et connues, adoptées démocratiquement et appliquées par des institutions désignées démocratiquement.
Il nous faut une législation sensée qui permette une innovation responsable, qui est dans l’intérêt public et à même de susciter la confiance, mais qui interdise les utilisations de la technologie qui sont incompatibles avec nos droits et nos valeurs.
Je suis d’accord avec le commissaire McEvoy : un consentement éclairé et valable devrait faire partie des lois sur la protection des renseignements personnels dans le secteur privé, et les personnes devraient comprendre comment leurs renseignements personnels seront utilisés.
Cela dit, la protection des renseignements personnels ne peut reposer que sur le consentement.
Dans le contexte de l’information complexe d’aujourd’hui, il n’est tout simplement pas réaliste ou raisonnable de demander aux personnes de consentir à toutes les utilisations possibles de leurs données.
Application de la loi
En ce qui concerne l’application de la loi, l’organisme de réglementation doit être adéquatement outillé et détenir des pouvoirs réels permettant de donner accès à des recours rapides et efficaces.
Dans de nombreux pays, cela passe par l’octroi aux autorités réglementaires de pouvoirs leur permettant de rendre des ordonnances de conformité et d’imposer des sanctions pécuniaires importantes.
Comme l’utilisation inappropriée de renseignements personnels peut mener à d’énormes profits, il est impératif d’instaurer des sanctions pécuniaires sévères : il doit y avoir des conséquences réelles pour les entreprises qui enfreignent la loi et des mesures incitatives pour s’y conformer.
Toutefois, les dispositions du projet de loi C-11 qui portent sur les sanctions sont vaines.
Premièrement, seules quelques infractions à la loi seraient passibles de sanctions administratives. Ni les obligations se rapportant à la forme ou à la validité du consentement, ni les nombreuses exceptions à l’obligation d’obtenir le consentement, pourtant au cœur de la protection des renseignements personnels, ne sont du nombre.
La violation du principe de la responsabilité, censé être un contrepoids important à la souplesse accrue accordée aux organisations dans le traitement des données, n’est pas mentionnée non plus.
Comme vous le savez, le projet de loi C-11 crée également un palier décisionnel supplémentaire sous la forme du Tribunal de la protection des renseignements personnels et des données. Ce dernier serait chargé d’imposer les sanctions pécuniaires et d’instruire les appels interjetés contre les décisions du Commissariat.
Nous estimons que la création de ce tribunal, qui n’existe sous cette forme nulle part ailleurs, créerait pour les consommateurs des délais inutiles, les tribunaux étant parfaitement capables de contrôler la légalité des décisions du Commissariat.
Pire, cela inciterait les entreprises à choisir des voies d’appel plutôt que de trouver un terrain d’entente avec le Commissariat lorsque ce dernier s’apprête à rendre une décision défavorable.
Par conséquent, nous sommes d’avis que l’ajout de ce tribunal ne ferait que retarder l’accès à la justice pour les consommateurs.
Nous avons recommandé que le pouvoir d’imposer des sanctions une fois les investigations conclues nous soit accordé. Cette approche est semblable à celle du RGPD, à la loi du Royaume-Uni, au projet de loi 64 du Québec et à la proposition récente de l’Ontario dans son livre blanc concernant une loi sur la protection de la vie privée dans le secteur privé de la province.
Coopération sur le plan de la réglementation
La coopération de longue date du Commissariat avec les autorités de protection des données d’ici et d’ailleurs a démontré la valeur globale de la coopération et a prouvé qu’il est possible de coordonner des activités, même lorsque les parties appliquent des lois différentes.
Le renforcement de ces possibilités de coopération permet de réaliser des gains d’efficacité pour les autorités qui coopèrent, mais surtout de produire de meilleurs résultats pour la population canadienne.
Nous recommandons des modifications au projet de loi C-11 dans le but d’améliorer notre capacité à collaborer avec des autorités à l’échelle nationale et internationale, et ainsi appuyer les recommandations de nos homologues de la Colombie-Britannique à cet égard, vu les avantages considérables que présente une telle coopération.
Accords de conformité
Le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique recommande que la Personal Information Protection Act (PIPA) soit modifiée afin que le commissaire puisse conclure des accords de conformité avec les organisations pour permettre une surveillance souple et efficace.
La LPRPDE nous accorde actuellement ce pouvoir, grâce auquel nous veillons à ce que les organisations respectent les engagements de rectification de leurs pratiques qu’ils ont pris auprès du Commissariat.
Selon nous, ces accords constituent un moyen important de résoudre efficacement les plaintes.
Par exemple, notre suivi de l’accord de conformité dans le dossier du site de rencontre Ashley Madison nous a permis d’assurer la mise en œuvre complète de diverses mesures correctives, notamment la mise en place d’un cadre exhaustif de protection de la vie privée et de sécurité.
À ce titre, nous sommes heureux que ces accords restent à notre disposition comme mécanisme d’application aux termes du projet de loi C-11.
Signalement des atteintes à la vie privée
Le signalement des atteintes à la vie privée est un élément fondamental des lois modernes sur la protection de la vie privée. Il renforce la transparence et la responsabilité quant à la manière dont les organisations du secteur privé gèrent les renseignements personnels.
Les dispositions concernant le signalement des atteintes à la vie privée et la déclaration sont entrées en vigueur dans le cadre de la LPRPDE en 2018.
Grâce aux signalements obligatoires en cas d’atteinte, les gens sont mis au courant des risques de préjudice relativement à leurs renseignements personnels. Ils peuvent ainsi prendre des mesures pour se protéger si leurs renseignements personnels ont été compromis.
Les exigences en matière de tenue de dossiers et l’obligation de signaler les atteintes à un commissaire à la protection de la vie privée garantissent la responsabilité et la surveillance de la gestion des atteintes, de même que leur prévention par les organisations.
L’obligation de signaler les atteintes contribue aussi à la sensibilisation à ces incidents et à mieux faire connaître les tendances, les problèmes systémiques et les solutions.
Cela nous permet aussi d’être mieux préparés pour concevoir des outils éducatifs et de sensibilisation dans le but d’informer les Canadiens et d’aider les entreprises à atténuer les risques.
Jusqu’à présent, notre expérience a démontré que les dispositions de la LPRPDE concernant les atteintes pourraient être améliorées.
Par exemple, comme cela prend souvent beaucoup de temps avant qu’une atteinte soit déclarée, les consommateurs sont exposés à divers risques et l’organisme de réglementation ne dispose pas des connaissances nécessaires pour proposer des mesures correctives.
Il est impossible de tenir les organisations responsables de leurs actes quand, à ce jour, 40 % des rapports nous sont présentés plus de 3 mois après l’atteinte.
Pour combler ces lacunes, nous avons recommandé que le projet de loi C-11 soit modifié de manière à ce que les organisations doivent signaler les atteintes « dans les meilleurs délais », mais au plus tard dans les sept jours après que l’organisation a pris connaissance de l’atteinte.
Conclusion
Il est temps pour le Canada de faire preuve de leadership relativement à la réforme des lois en matière de protection de la vie privée.
Il nous faut, au niveau fédéral et provincial, une législation sensée qui permette une innovation responsable, qui est dans l’intérêt public et à même de susciter la confiance, mais qui interdise les utilisations de la technologie qui sont incompatibles avec nos droits et nos valeurs.
Les provinces ont un rôle important à jouer pour ce qui est de veiller à la protection de la vie privée des Canadiens.
Sur ces mots, je suis prêt à répondre à toutes vos questions.
- Date de modification :