Sélection de la langue

Recherche

L'avenir de la réforme des lois sur la protection des renseignements personnels au Canada

Allocution prononcée au Symposium sur la protection de la vie privée de l’IAPP 2021

Le 26 mai 2021

Allocution de Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Depuis que je suis commissaire à la protection de la vie privée du Canada, j’ai eu le privilège d’être invité tous les ans à prendre la parole dans le cadre du Symposium sur la protection de la vie privée de l’International Association of Privacy Professionals (IAPP).

Comme je termine maintenant la septième année de mon mandat, j’ai envisagé de faire une allocution rétrospective. Mais j’ai changé d’idée.

En effet, je préfère regarder vers l’avenir. Vous avez pu le constater dans le mémoire sur le projet de loi C-11 que j’ai présenté récemment au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) et dans mes récents mémoires sur les réformes de la Loi sur la protection des renseignements personnels et de la Loi sur l’accès à l’information.

Il est clair, d’après moi, que la réforme de notre loi du secteur privé ne se concrétisera pas avant la suspension d’été des activités parlementaires. Il est donc possible que cela ne passera pas par le projet de loi C-11.

Cette situation nous donne l’occasion de réfléchir à la forme que pourrait prendre cette réforme législative lorsque le Parlement reprendra ses travaux. C’est ce que j’aimerais aborder aujourd’hui.

Mon objectif n’est pas de partir de zéro sans prendre en compte les propositions qui ont été formulées jusqu’à présent. Il s’agit pour nous qui sommes membres de la collectivité de la protection de la vie privée de nous attaquer à des questions fondamentales qu’il faut aborder sans détour si l’on veut que les lois canadiennes soient adaptées à leur objet dans le monde d’aujourd’hui.

Données, vie privée et modèle de consentement : une question de valeurs

Le premier point sur lequel nous devons nous pencher est le suivant : comment définir les utilisations autorisées des données afin de permettre une innovation responsable tout en protégeant les droits et les valeurs des citoyens?

Les technologies numériques qui reposent sur la collecte et l’analyse de données personnelles sont au cœur de la quatrième révolution industrielle. Elles sont aussi essentielles à notre développement socio-économique.

Pour tirer avantage des données, la loi devrait autoriser des utilisations nouvelles et imprévues, mais responsables des renseignements qui sont dans l’intérêt de la société ou pour des intérêts commerciaux légitimes.

Dans le projet de loi C-11, le gouvernement cherche à atteindre cet objectif en maintenant le modèle du consentement et en adoptant plusieurs nouvelles exceptions. Bien que certaines des exceptions soient raisonnables, d’autres sont trop larges ou mal définies pour favoriser une innovation responsable. Par exemple, aucun motif ne justifierait de façon raisonnable une exception à l’obligation d’obtenir le consentement fondé sur le fait qu’il est pratiquement impossible de l’obtenir.

Voilà une très mauvaise stratégie pour innover de façon responsable.

Nous devons voir la vérité en face : le consentement a sa place, mais il ne doit pas être le seul moyen utilisé pour protéger la vie privée. En fait, le consentement peut servir à légitimer des usages qui, objectivement, sont complètement déraisonnables et contraires à nos droits et valeurs. Et le refus de donner son consentement peut parfois desservir l’intérêt public.

Comme nous l’avons indiqué dans nos recommandations sur l’intelligence artificielle l’automne dernier, on peut autoriser l’utilisation des données pour des intérêts commerciaux légitimes, mais dans un cadre fondé sur les droits.

Ce type de disposition donnerait la latitude nécessaire pour utiliser les données à de nouvelles fins non prévues au moment de la collecte, parmi un ensemble de fins connaissables et sous réserve de la surveillance réglementaire.

Nous n’avons pas besoin de plus d’autoréglementation, mais de plus de réglementation, c’est-à-dire l’adoption démocratique de normes objectives et connaissables, appliquées par des institutions désignées démocratiquement.  

Une législation sensée devrait autoriser l’innovation responsable, qui est dans l’intérêt public et propre à susciter la confiance, mais interdire les utilisations de la technologie qui sont incompatibles avec nos droits et nos valeurs.

Cela nous amène au deuxième point : le besoin d’établir un cadre fondé sur les droits.

Un cadre fondé sur les droits

Ici même à cette conférence en 2019, j’ai pour la première fois exprimé l’idée que des lois modernes devraient enchâsser la protection de la vie privée comme un droit de la personne et en tant qu’élément essentiel à l’exercice d’autres droits fondamentaux.

Je ne répéterai pas les raisons qui sous-tendent cette idée. Mais elles demeurent particulièrement pertinentes dans le contexte de l’intelligence artificielle (IA) par exemple, où les risques pour les droits fondamentaux, comme le droit à la non-discrimination, sont accrus.

Aujourd’hui, je veux examiner l’argument selon lequel il n’est pas possible d’intégrer un cadre fondé sur les droits à une loi fédérale en raison de la Constitution canadienne.

Nous convenons que la compétence du Parlement en matière de commerce constitue le principal fondement d’une loi fédérale sur la protection des renseignements personnels dans le secteur privé. Cependant, si la loi a pour objet principal de réglementer le commerce, elle peut inclure des mesures de protection de la vie privée, comme celle de considérer la vie privée comme un droit de la personne.

En fait, comme le fait observer la Cour Suprême du Canada dans son opinion sur la Loi sur la tarification de la pollution causée par les gaz à effet de serre, l’ajout d’un préambule renforcerait le fondement constitutionnel de la loi en établissant l’objet et le contexte de la loi.

Dans le cas de la Loi sur la non-discrimination génétique, la Cour Suprême indique que l’absence de préambule crée des difficultés dans la réalisation d’une analyse du partage des compétences. Compte tenu des doutes constitutionnels qui ont été soulevés à l’égard de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), un préambule fournirait aux tribunaux un guide d’interprétation indispensable quant à l’objet et au fondement constitutionnel de la loi.

C’est pourquoi, dans notre mémoire au Comité ETHI sur le projet de loi C‑11, nous recommandons l’adoption d’un préambule et d’une clause d’objet précisant expressément que la Loi sur la protection de la vie privée des consommateurs a pour objet « d’accroître la confiance à l’égard du commerce axé sur l’information et, par conséquent, de favoriser la durabilité de ce commerce » en ancrant fermement la Loi dans la compétence fédérale.

Il est important de dire que l’on atteindrait ce but « en fixant des règles pour assurer la collecte, l’utilisation et la communication licites, justes, proportionnelles, transparentes et responsables de renseignements personnels qui tiennent compte [entre autres] du droit fondamental à la vie privée des individus ». On parviendrait ainsi à un plus juste équilibre entre les intérêts commerciaux et les droits de la personne.

Il y a lieu de souligner que la reconnaissance du droit à la vie privée en tant que droit de la personne n’est pas incompatible avec un cadre de protection des données fondé sur des principes et n’a pas à donner lieu à une loi trop prescriptive. Le caractère prescriptif d’une loi est souvent lié au niveau de détails associés à la définition de principes particuliers en matière de protection de la vie privée.

Un cadre axé sur les droits fonctionne au même niveau de généralité qu’une loi fondée sur des principes. Aucun des deux n’est strictement prescriptif. Ils sont tous deux également flexibles et adaptables pour encadrer un environnement en constante évolution comme celui de la technologie et de l’économie numérique.

En ce qui concerne le secteur public, l’approche adoptée par le gouvernement fédéral à l’égard de cet enjeu me semble encourageante. Il a expliqué cette approche dans son document de consultation sur la modernisation de la Loi sur la protection des renseignements personnels. On y propose l’adoption d’une clause d’objet qui précise que l’un des principaux objectifs de la Loi serait de « protéger la dignité humaine, l’autonomie personnelle et l’autodétermination ». Cela reconnaîtrait ainsi la portée large du droit à la protection des renseignements personnels, en tant que droit de la personne.

Les partenariats public-privé et le besoin de principes communs ou similaires

Le troisième point est le suivant : la nécessité d’avoir des principes communs, ou à tout le moins similaires, pour les secteurs public et privé.

Les partenariats public-privé et les relations contractuelles entre ces deux secteurs sont de plus en plus fréquents. Ils constituent un aspect fondamental dont il faut tenir compte au moment de définir nos lois sur la protection des renseignements personnels.

Nous avons constaté que ces partenariats et relations contractuelles qui ont recours aux technologies numériques peuvent présenter des complications et des risques supplémentaires sur le plan de la vie privée.

La pandémie met certainement en évidence ce phénomène. Les services de vidéoconférence et les plateformes en ligne nous permettent de socialiser, de travailler, de fréquenter l’école et même de consulter un médecin à distance, mais ils présentent aussi de nouveaux risques d’atteinte à la vie privée. Si la plateforme virtuelle utilisée en télémédecine fait intervenir une entreprise commerciale, il y a un risque de violation du secret professionnel entre le médecin et le patient. De même, des plateformes d’apprentissage en ligne peuvent recueillir des renseignements sensibles sur les difficultés d’apprentissage des élèves ou leur comportement.

Un certain nombre d’initiatives gouvernementales liées à la COVID-19 comportent des partenariats avec le secteur privé. Dans les cas où le fondement juridique d’une initiative reposait sur le consentement obtenu par une organisation du secteur privé, les institutions gouvernementales n’étaient pas tenues par une politique de s’assurer que ce consentement était valable.

Par conséquent, une institution du secteur public pourrait mettre en place une solution technologique à la pandémie qui permettrait à son partenaire du secteur privé d’utiliser les renseignements personnels à des fins sans rapport avec la santé publique et sans consentement valable. Cela n’est pas acceptable.

Notre enquête récente sur Clearview AI et l’enquête connexe que nous menons actuellement sur l’utilisation de la technologie de reconnaissance faciale de cette entreprise par la Gendarmerie royale du Canada (GRC) illustrent elles aussi les risques inhérents aux partenariats public-privé. La technologie de cette entreprise a permis à la GRC et à d’autres organisations de faire des recherches dans la banque de données de l’entreprise à partir de photographies de personnes inconnues. Cette banque de données renfermait plus de 3 milliards d’images recueillies sans autorisation sur des sites Web.

Ainsi, des milliards de personnes se sont trouvées à participer à leur insu à des séances d’identification policière. L’enquête a conclu à une surveillance de masse et à une violation manifeste de la LPRPDE. Nous sommes actuellement en discussion avec la GRC pour déterminer si elle avait l’obligation juridique de s’assurer que son partenaire du secteur privé se conformait à la loi.

Si nos lois applicables aux secteurs public et privé avaient des principes communs de protection de la vie privée, cela contribuerait à combler les lacunes au chapitre de la responsabilité dans les situations où il y a des interactions entre ces deux secteurs.

Nous sommes ravis de constater que le récent document de consultation du gouvernement sur la modernisation de la LPRP renferme des propositions qui pourraient contribuer à diminuer certains de ces risques. À notre avis, ces propositions devraient être ajoutées au projet de loi C-11.

Le document de consultation propose des mesures visant à assurer une véritable surveillance et des recours rapides et efficaces, sous la forme d’un pouvoir de rendre des ordonnances et d’un élargissement du droit de recours devant la Cour fédérale.

Il propose aussi d’introduire des principes à la Loi sur la protection des renseignements personnels, y compris un nouveau principe de responsabilité, assorti d’exigences concrètes, pour démontrer que des pratiques de gouvernance et de surveillance rigoureuses ont été mises en place. À cette fin, il enchâsserait dans la loi la protection de la vie privée dès la conception, les évaluations des facteurs relatifs à la vie privée et les audits proactifs.

Le Commissariat a recommandé que les lois sur la protection des renseignements personnels comprennent les principes de nécessité et de proportionnalité, garantissant que les pratiques portant atteinte à la vie privée sont mises en œuvre pour un objectif suffisamment important et qu’elles sont rigoureusement adaptées, afin de ne pas porter atteinte au droit à la vie privée plus que cela n’est nécessaire.

Le projet de loi C-11 ne renferme pas ce type de dispositions, mais les modifications proposées à la Loi sur la protection des renseignements personnels prévoient le critère de ce qui est « raisonnablement requis ».

Notre récente enquête sur Statistique Canada illustre bien nos préoccupations. Vous vous rappelez sans doute que le Commissariat a découvert que l’agence avait commencé à recueillir des renseignements de crédit détaillés et proposait de recueillir encore plus de données sur des transactions financières et les soldes de compte de millions de Canadiens auprès d’entreprises du secteur privé.

Ces initiatives étaient manifestement envahissantes sur le plan de la vie privée, mais en raison du caractère inadéquat des lois canadiennes qui ne permettent pas de s’attaquer aux enjeux du 21e siècle, notre enquête n’a révélé aucune infraction à la loi.  

Une fois encore, la pandémie met en relief les lacunes de la loi en ce qui concerne la nécessité et la proportionnalité ainsi que l’efficacité.

Cette question est au cœur du débat mondial actuel sur les passeports vaccinaux. Elle a aussi constitué un aspect important de notre décision d’appuyer le déploiement de l’application Alerte COVID.

La norme de ce qui est « raisonnablement requis » proposée dans le document de consultation du ministère de la Justice, avec certaines modifications, permettrait une forme de nécessité et de proportionnalité qui pourrait s’appliquer à l’analyse d’initiatives gouvernementales, comme celles de Statistique Canada et d’autres qui ont été mises en place pendant la pandémie.

Interopérabilité au Canada et à l’échelle internationale

Nous en sommes maintenant au quatrième point : la nécessité d’assurer l’interopérabilité des lois, tant au Canada que sur la scène internationale.

La volonté de maintenir le caractère adéquat des lois canadiennes par rapport aux règlements de l’Union européenne représente un élément important à l’origine de la Loi sur la protection de la vie privée des consommateurs. Il est essentiel que les données qui alimentent les échanges puissent voyager à l’extérieur de nos frontières, tout en respectant les droits et valeurs que nous partageons largement avec nos partenaires.

L’interopérabilité des lois contribue à favoriser et à réglementer ces échanges. De plus, elle montre aux citoyens que leurs renseignements personnels sont protégés à l’étranger par des mécanismes similaires. Elle sert les entreprises en réduisant les coûts liés à la conformité et en augmentant la compétitivité.

Tout comme à l’échelle internationale, l’interopérabilité est aussi importante ici même au pays. À l’heure actuelle, avec le projet de loi C-11 qui stagne et les projets de loi provinciaux à l’étude, il est possible que l’on se retrouve avec une mosaïque de lois sur la protection des renseignements personnels au Canada. Dans une certaine mesure, il s’agit d’une situation normale dans un État fédéral, mais nous devrions viser une plus grande similitude.

Le projet de loi 64 qui a été déposé au Québec n’est pas parfait – je pense notamment aux règles sur la circulation transfrontalière de données. Toutefois, il renferme plusieurs dispositions qui en feraient une loi nettement plus appropriée que le projet de loi C‑11 proposé par le gouvernement fédéral.

Par exemple, le projet de loi 64 renferme des dispositions régissant le profilage et protégeant le droit à la réputation qui cadrent avec notre approche de législation fondée sur les droits. En plus d’assujettir les partis politiques à la loi applicable au secteur privé, ce projet de loi établit un processus décisionnel et un régime de sanctions financières plus efficaces.

Vous avez peut-être vu le document d’information intitulé Comparaison entre juridictions, que nous avons présenté au Parlement en même temps que nos modifications proposées au projet de loi C-11. On y démontre à quel point la Loi sur la protection de la vie privée des consommateurs est fréquemment hors norme et que celle-ci procure aux Canadiens une protection moindre que les lois d’autres pays, qui sont loin de se limiter à l’Europe.

En particulier, le projet de loi C-11 n’impose aucune exigence de connaissance ou de compréhension pour que le consentement soit considéré comme étant valide. De plus, il ne prévoit aucune norme objective pour définir ce qu’est la responsabilité et n’établit aucun cadre exhaustif pour régir la circulation transfrontalière des données.

Le Canada aspire à être un chef de file mondial de la protection de la vie privée. Il possède une riche tradition en matière de médiation des différends sur la scène mondiale. Le législateur pourrait préserver l’approche fondée sur les principes, qui n’est pas trop prescriptive, de sa loi sur la protection des renseignements personnels dans le secteur privé, tout en adoptant une approche fondée sur les droits. Il ferait ainsi du Canada un chef de file montrant la voie à suivre grâce à l’élaboration de lois sur la protection des renseignements personnels qui reflètent des approches variées et qui permettent l’interopérabilité.

Sanctions, rôle du Commissariat et transparence

Le cinquième point que j’aborderai est la nécessité de recours rapides et efficaces.

Comme de nombreux cas nous l’ont montré, il faut imposer de lourdes sanctions financières, car les organisations peuvent réaliser d’énormes profits en utilisant les données personnelles de façon inappropriée.

Malheureusement, les dispositions du projet de loi C-11 qui portent sur les sanctions sont vaines. Premièrement, seules quelques infractions à la loi seraient passibles de pénalités administratives. Ni les obligations se rapportant à la forme ou à la validité du consentement ni les nombreuses exceptions à l’obligation d’obtenir le consentement, pourtant au cœur de la protection des renseignements personnels, ne sont du nombre.

La violation du principe de la responsabilité, censé être un contrepoids important à la souplesse accrue accordée aux organisations dans le traitement des données, n’y est pas mentionnée non plus.

Le projet de loi C-11 crée également un palier décisionnel supplémentaire sous la forme d’un Tribunal de protection des renseignements personnels et des données. Ce dernier serait chargé d’imposer les sanctions pécuniaires et d’instruire les appels interjetés contre les décisions du Commissariat.

Nous estimons que la création de ce tribunal, qui n’existe sous cette forme nulle part ailleurs, créerait pour les consommateurs des délais inutiles, les tribunaux judiciaires étant parfaitement capables de contrôler la légalité des décisions du Commissariat.

Pire encore, cela inciterait les entreprises à choisir des voies d’appel plutôt que de trouver un terrain d’entente avec le Commissariat lorsque ce dernier s’apprête à rendre une décision défavorable. Par conséquent, nous sommes d’avis que l’ajout de ce tribunal ne ferait que retarder l’accès à la justice pour les consommateurs.

Nous comprenons que le Commissariat se doit d’avoir des processus équitables. En fait, nous sommes favorables à la transparence et à la responsabilité, que ce soit à l’égard de nos interventions ou de nos décisions. C’est pourquoi nous aimerions consulter divers intervenants pour élaborer des règles de pratique propres à assurer l’équité pour les parties en ce qui concerne les instances qui aboutissent à l’imposition d’ordonnances et de sanctions.

En terminant, je tiens à souligner que le projet de loi C-11 imposerait aussi plusieurs nouvelles responsabilités au Commissariat, y compris l’obligation d’examiner les codes de pratique et les programmes de certification et de donner des conseils aux organisations sur leur programme de gestion de la vie privée.

La possibilité de collaborer ainsi avec les entreprises est une bonne chose. Toutefois, cela risque de pousser à l’extrême les ressources limitées du Commissariat. Nous devons avoir le pouvoir discrétionnaire voulu pour gérer notre charge de travail dans l’intérêt des Canadiens. Il s’agit simplement d’un autre exemple qui démontre que le projet de loi C-11 est hors norme par rapport aux lois d’autres provinces et territoires.

Conclusion

En conclusion, certains soutiennent que le projet de loi C-11 est bien conçu, car il cadre avec les réalités canadiennes, c’est-à-dire le rôle des petites et moyennes entreprises (PME) dans notre économie, la nécessité d’innover et notre Constitution.

Toutes ces considérations sont valables. Cependant, mis à part la Constitution, qu’est-ce qui prouve que le Canada est différent de ses alliés sur ce plan? J’espère que nous verrons des éléments probants à ce sujet au cours de la prochaine phase du débat public afin que les faits puissent nous aider à faire la distinction entre les mythes et la réalité.

De mon point de vue, je crois que nous avons fait une proposition constructive en réponse à la question constitutionnelle. Certes, il faut moduler les dispositions pour nous adapter aux PME, mais la proportion de ces entreprises au Canada est semblable à celle d’autres pays. Si les PME peuvent prospérer au Royaume-Uni et en Australie, pourquoi celles du Canada ne pourraient-elles pas exercer leurs activités sous le régime de lois similaires?

En ce qui concerne l’argument selon lequel des lois rigoureuses sur la protection des renseignements personnels constituent un frein à l’innovation, nous estimons que c’est tout le contraire. Une loi qui protège efficacement la vie privée peut contribuer à la croissance économique en donnant aux consommateurs l’assurance que leurs droits seront respectés. Plusieurs pays qui ont des lois rigoureuses en la matière sont aussi des leaders dans le domaine de l’innovation. Si l’Allemagne et la Corée du Sud sont des chefs de file de l’innovation malgré la rigueur de leurs lois sur la protection des renseignements personnels, pourquoi ne pourrait-il pas en être de même pour le Canada?

Je demeure optimiste : je pense que le gouvernement sera ouvert à améliorer le projet de loi C-11 et que nos lois applicables aux secteurs public et privé feront enfin l’objet d’un véritable changement.

Date de modification :