Allocution principale à l’occasion du Symposium canadien sur la protection de la vie privée 2023 de l’International Association of Privacy Professionals (IAPP)
Le 25 mai 2023
Toronto (Ontario)
Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)
Bonjour,
Je suis heureux d’être ici aujourd’hui, parmi d’autres défenseurs de la protection de la vie privée. Il s’agit de ma première allocution dans le cadre du Symposium canadien sur la protection de la vie privée de l’IAPP depuis ma nomination au poste de Commissaire à la protection de la vie privée du Canada.
En tant que professionnels sur le terrain, vous veillez à ce que vos organisations prennent au sérieux la protection des données personnelles qu’elles détiennent, et à ce titre, vous êtes des partenaires importants. Je respecte le travail que vous effectuez et j’espère avoir l’occasion de collaborer avec vous, tandis que nous redoublons d’efforts pour renforcer la protection de la vie privée des Canadiennes et des Canadiens.
Comme vous le savez, je soulignerai bientôt mon premier anniversaire à titre de Commissaire. Je me suis donné pour mission, au cours de la première année de mon mandat, de rencontrer des parties prenantes de partout au Canada, tant du secteur public que du secteur privé, et d’écouter attentivement ce qu’elles ont à dire.
Ces discussions ont été l’un des aspects marquants de la dernière année. Par conséquent, j’ai déjà eu le privilège de rencontrer bon nombre d’entre vous. J’ai vraiment apprécié ces discussions. Je les ai trouvées à la fois pragmatiques, raisonnées, éclairantes et franchement inspirantes.
Je suis certain que plusieurs d’entre vous m’ont entendu parler des 3 piliers de ma vision de la protection de la vie privée.
Les voici : la protection de la vie privée est un droit fondamental; la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada; et la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques.
J’ai expliqué ces 3 piliers dans des discours précédents, mais permettez-moi de les résumer ici le plus brièvement possible :
- Traiter le droit à la vie privée comme un droit fondamental, cela veut dire traiter ce droit comme une priorité. Cela veut dire que dans les cas évidents de conflit entre le droit à la vie privée et les intérêts privés ou publics, la protection de la vie privée devrait prévaloir. On peut traiter le droit à la vie privée comme un droit fondamental dans le cadre des lois sur la protection des consommateurs, en vertu de la compétence en matière d’échanges et de commerce.
- La protection de la vie privée comme un moyen de favoriser l’intérêt public et d’appuyer l’innovation au Canada, cela veut dire qu’il ne s’agit pas d’un jeu à somme nulle entre le droit à la vie privée et les intérêts publics et privés. Nous pouvons concilier les deux. Les Canadiennes et les Canadiens ne méritent rien de moins.
- La protection de la vie privée comme un moyen d’accentuer la confiance, cela veut dire que nous avons tous intérêt à protéger la vie privée et à être perçus comme tels. Cela suscite la confiance et l’engagement envers nos institutions publiques, ce qui est bon pour l’intérêt public, et cela maintient la confiance des clients et leur loyauté, ce qui est bon pour l’innovation et la réussite économique.
Ces 3 piliers s’appuient sur cette réalité : les Canadiennes et les Canadiens veulent pouvoir participer activement et en toute connaissance de cause au monde numérique, à la société et à l’économie sans être obligés de choisir entre cette participation et leur droit fondamental à la vie privée.
C’est sous cet angle que j’examine les questions de vie privée et que j’aborde les défis en constante évolution de notre époque. Ces 3 piliers nous ont servi de guide dans l’élaboration de notre mémoire sur le projet de loi C-27, la Loi sur la mise en œuvre de la Charte du numérique. Ils contribueront également à définir les priorités stratégiques du Commissariat au cours de la prochaine année, notamment : (1) suivre la rapide évolution des progrès technologiques, et conserver une longueur d’avance sur ce plan, pour cerner les répercussions sur la vie privée, particulièrement en ce qui concerne l’intelligence artificielle (IA) et l’IA générative; (2) protéger la vie privée des enfants et (3) selon les directives du législateur, préparer le Commissariat à une éventuelle réforme législative qui accorderait de nouvelles responsabilités et de nouveaux pouvoirs au Commissariat, dont le mandat est de promouvoir et de protéger le droit fondamental des Canadiennes et des Canadiens à la vie privée.
Suivre la rapide évolution des progrès technologiques, et conserver une longueur d’avance sur ce plan, pour cerner les répercussions sur la vie privée
Conserver une longueur d’avance sur les progrès technologiques est l’un de mes principaux axes de travail.
La technologie évolue à un rythme de plus en plus rapide. Cela laisse entrevoir des possibilités encourageantes et de grand intérêt pour relever bon nombre des défis auxquels nous sommes confrontés collectivement et pour améliorer les conditions de vie des Canadiennes et des Canadiens. On n’a qu’à penser aux soins de santé et aux changements climatiques, mais aussi à la prestation de services par le gouvernement, que ce soit en temps normal ou en situation de crise nationale. Parallèlement, la technologie peut aussi comporter des risques pour la vie privée, les droits de la personne, la transparence et la responsabilité. Nos institutions doivent en tenir compte et doivent être perçues comme telles.
Étant donné que la technologie joue un rôle de plus en plus grand dans notre monde, dans nos vies et dans notre économie, il est essentiel de s’assurer que nous sommes en mesure d’utiliser ces avancées, ces innovations et ces avantages tout en protégeant la vie privée pour réussir en tant que société libre et démocratique.
Le monde de l’IA et de l’IA générative en est un exemple éloquent : il s’agit d’une priorité non seulement pour les autorités de protection de la vie privée, mais aussi pour les gouvernements et l’industrie aux plus hauts niveaux.
Pas plus tard que la semaine dernière, le directeur général d’OpenAI, Sam Altman, a comparu devant le Congrès américain. Il a demandé une réponse coordonnée à l’échelle mondiale pour réguler la technologie, étant donné que « nous ne savons pas encore exactement quelles seront les capacités émergentes ». Il a ajouté que les règlements « ne ralentissent pas l’innovation, […] ils nous protègent des problèmes les plus graves » [traduction].
Je suis d’accord. Les robots conversationnels comme ChatGPT, Bing ou Bard de Google nous offrent des possibilités époustouflantes. Cependant, il faut réagir aux risques que posent ces outils pour la vie privée – que certains ont comparés à l’ouverture d’une boîte de Pandore – de manière appropriée.
Comme vous le savez sans doute, le Commissariat a ouvert une enquête en avril sur l’entreprise à l’origine de ChatGPT, à la suite d’une plainte.
Je peux annoncer aujourd’hui qu’il s’agira désormais d’une enquête à l’initiative du commissaire qui sera menée conjointement avec nos homologues provinciaux de la Colombie-Britannique, de l’Alberta et du Québec.
Nous examinerons les pratiques d’OpenAI pour établir si elles sont conformes aux lois canadiennes sur la protection des renseignements personnels en ce qui concerne le consentement, l’ouverture, la transparence, l’accès, l’exactitude et la responsabilité, et pour établir si l’organisation recueille, utilise et communique des renseignements personnels à des fins acceptables. Nous en sommes encore aux premières étapes de l’enquête, mais la collaboration d’OpenAI et de son avocat à ce jour sont des signes encourageants.
Cette enquête conjointe témoigne des liens étroits qui existent entre les autorités de protection de la vie privée au Canada et de la collaboration de celles-ci face à des enjeux qui touchent les Canadiens.
La technologie de l’IA et les répercussions de cette dernière sur la vie privée constituent effectivement un enjeu mondial. Nous continuerons de collaborer avec nos partenaires nationaux et internationaux dans ce domaine.
À la réunion du G7 vendredi dernier, les dirigeants ont reconnu la nécessité d’une gouvernance de l’IA générative et des technologies immersives, en déclarant qu’ils prévoient en discuter et faire rapport des résultats d’ici la fin de l’année.
Je tiens également à féliciter l’IAPP d’avoir mis sur pied un Centre de gouvernance de l’IA plus tôt ce mois-ci, qui fournira un soutien important, des ressources et de la formation sur la façon de s’attaquer aux défis complexes en la matière.
Nous savons que les Canadiennes et les Canadiens se soucient de la protection de leur vie privée, et qu’ils redoutent les effets que la technologie peut avoir à cet égard. Notre dernier sondage, dont les résultats seront publiés sous peu, révèle que 93 % des Canadiennes et des Canadiens se disent préoccupés dans une certaine mesure par la protection de leur vie privée, et que la moitié d’entre eux estiment ne pas en savoir assez pour connaître l’incidence que les nouvelles technologies pourraient avoir sur leur vie privée.
Par ailleurs, 4 Canadiens sur 10 estiment que les entreprises respectent en général leur droit à la vie privée. Notre sondage indique que les entreprises de médias sociaux, les grandes entreprises de technologie, les détaillants et l’industrie des télécommunications comptent parmi les secteurs qui préoccupent le plus les Canadiens. Ces secteurs ont également fait l’objet de plus du quart des plaintes que nous avons reçues l’an dernier.
Ces chiffres nous révèlent que les Canadiennes et les Canadiens veulent et doivent avoir la certitude que leur droit à la vie privée est protégé afin de pouvoir participer librement à l’économie numérique, ce qui est avantageux autant pour les entreprises que pour l’économie. Les résultats permettent également de conclure que le Commissariat a un rôle important à jouer à cet égard, car nous savons que les organisations elles-mêmes doivent s’adapter à l’ampleur et au rythme des changements technologiques. Nous pouvons les aider à fonctionner et à innover tout en protégeant la vie privée, ce qui suscitera la confiance de leurs clients.
Droit des enfants à la vie privée
En ce qui concerne les enfants, nous savons qu’ils utilisent Internet à un âge toujours plus précoce chaque année, que ce soit pour l’école ou pour communiquer avec leurs amis.
Nous sommes déjà en présence de la première génération d’enfants nés dans un monde où le numérique fait partie de la réalité quotidienne.
En tant que parent, c’est une réalité avec laquelle je dois composer, et en tant que Commissaire à la protection de la vie privée, c’est une question que je prends très au sérieux.
Nous voulons que les enfants puissent profiter de la technologie et être actifs en ligne, mais qu’ils le fassent en toute sécurité et sans craindre d’être ciblés ou manipulés, ou encore de subir un préjudice.
La Brookings Institution a récemment publié un exposé de politique sur les effets négatifs que les entreprises de médias sociaux peuvent avoir sur la santé mentale des mineurs, qui sont souvent confrontés à l’intimidation en ligne et au harcèlement sexuel sur ces plateformes. La semaine dernière, des militants qui prônent la sécurité en ligne au Royaume-Uni ont demandé un renforcement des lois pour protéger les jeunes contre les dommages causés par le contenu numérique. Leurs revendications ont eu lieu après que Kate Winslet a remporté le prix BAFTA de la meilleure actrice principale pour son rôle de mère dont les filles adolescentes souffrent de problèmes de santé mentale à la suite du visionnement de contenus en ligne préjudiciables.
Les jeunes sont également moins à même de comprendre et de réaliser les conséquences à long terme d’un consentement à la collecte de leurs données. C'est pourquoi ils ont besoin de mesures de sécurité encore plus importantes en matière de protection de la vie privée.
Le Commissariat a récemment annoncé qu’il mènera une enquête conjointe sur TikTok en collaboration avec les organismes responsables de la protection de la vie privée en Colombie-Britannique, en Alberta et au Québec.
Nous examinerons les pratiques de l’organisation pour établir si elles sont conformes aux lois canadiennes sur la protection des renseignements personnels. L’enquête portera particulièrement sur ses pratiques de protection des renseignements personnels en ce qui concerne les jeunes utilisateurs, notamment pour établir si l’entreprise est transparente et a obtenu un consentement valable de la part de ceux-ci pour la collecte, l’utilisation et la communication de leurs renseignements personnels.
La protection de la vie privée des enfants est un sujet d’intérêt à l’échelle mondiale. Nous constatons des innovations dans ce domaine, comme le code des enfants, créé par le commissariat à l’information du Royaume-Uni, qui établit des normes pour les services en ligne en vue d’assurer une conception en fonction de l’âge. Il y a aussi des propositions législatives aux États-Unis et ailleurs dans le monde : certaines sont louangées et décrites comme un pas en avant, alors que d’autres soulèvent d’importantes questions sur les mesures à prendre pour protéger adéquatement la vie privée.
Par exemple, les lois sur la vérification de l’âge en ligne et les technologies connexes, comme la reconnaissance faciale pour déterminer l’âge, visent à protéger les enfants contre le contenu inapproprié ou préjudiciable, mais peuvent faire l’objet de préoccupations quant à la protection de la vie privée.
Dans mon mémoire sur le projet de loi C-27, Loi sur la mise en œuvre de la Charte du numérique, la deuxième de mes 15 recommandations clés porte précisément sur la protection de la vie privée des enfants et l’intérêt supérieur de l’enfant.
Nous soutenons les efforts déployés dans le cadre de la Loi sur la protection de la vie privée des consommateurs (LPVPC) pour protéger la vie privée des mineurs, notamment en précisant que leurs renseignements sont de nature sensible. Mais, à mon avis, les mesures qui s’y trouvent devraient aller plus loin pour s’attaquer aux utilisations qui pourraient être nuisibles, comme l’utilisation de renseignements pour inciter les enfants à désactiver les contrôles de confidentialité, ou à des fins de publicité comportementale ou ciblée.
En l’absence d’interdictions précises ou de « zones interdites » en ce qui concerne les données des mineurs, le Commissariat recommande qu’il soit reconnu dans le préambule du projet de loi que le traitement des données personnelles doit protéger la vie privée des enfants et l’intérêt supérieur de l’enfant. Nous croyons que la mise à jour du préambule d’une telle manière encouragerait les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services, et ce, dès la conception. En incluant un tel libellé dans le préambule, on s’assurerait que les valeurs citées s’appliquent à la fois à la LPVPC et à la Loi sur l’intelligence artificielle et les données (LIAD).
Cela m’amène à une autre de mes principales priorités : la réforme législative.
Réforme législative
Le projet de loi C-27 a été renvoyé pour étude au Comité permanent de l’industrie et de la technologie de la Chambre des communes le mois dernier. Mes observations et recommandations au Comité sont maintenant accessibles sur le site Web du Commissariat. J’ai hâte de pouvoir comparaître devant le comité pour discuter de ces recommandations avec le Parlement.
Le projet de loi C-27 représente un pas dans la bonne direction, mais il peut et doit être amélioré davantage pour protéger le droit fondamental à la vie privée des Canadiennes et des Canadiens, tout en servant l’intérêt public et en favorisant l’innovation.
J’ai aussi trouvé encourageants les propos du ministre de la Justice, l’honorable David Lametti, qui a précisé après le dépôt du projet de loi C-27 que la modernisation de la Loi sur la protection des renseignements personnels, applicable au secteur public, ne saurait tarder.
Il ne faut pas oublier que la Loi sur la protection des renseignements personnels, dont ce sera le 40e anniversaire en juillet, a rarement été mise à jour depuis son adoption. À cette époque, la chanson du groupe The Police, Every breath you take, trônait au sommet des palmarès – une chanson qui, ironiquement, porte sur la surveillance.
Il ne faut pas non plus oublier que lorsque la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est entrée en vigueur en 2000, le monde commençait à comprendre qu’il avait survécu au bogue de l’an 2000, ce qui était alors le plus grand défi juridique et technologique que nous ayons eu à relever. Il s’est passé beaucoup de choses depuis et, avec le recul, ces temps-là semblaient beaucoup plus simples.
Il sera important d’assurer une harmonisation, pour faire en sorte que les lois sur la protection des renseignements personnels des secteurs public et privé soient fondées sur les mêmes principes – surtout en raison de la présence accrue des partenariats public-privé.
Le projet de loi C-27 représente, à plusieurs égards, une amélioration par rapport à la LPRPDE et à l’ancien projet de loi C-11. Il offre aux individus une meilleure protection de leur vie privée et incite les organisations à se conformer aux lois, tout en leur accordant une plus grande souplesse pour innover.
L’adoption de la LIAD ferait aussi du Canada l’un des premiers pays à réglementer l’IA, ce qui est important compte tenu des répercussions éventuelles de cette technologie sur les autres droits fondamentaux.
Toutefois, le projet de loi peut et doit être amélioré davantage. Comme je l’ai mentionné, notre mémoire présente 15 recommandations clés qui cadrent avec les 3 piliers de ma vision de la protection de la vie privée. Compte tenu du peu de temps dont nous disposons aujourd’hui, je vais seulement m’attarder sur quelques-unes d’entre elles.
Nous recommandons de renforcer le préambule et l’énoncé d’objet afin qu’on y reconnaisse explicitement le respect de la vie privée comme droit fondamental, de sorte que ce principe important oriente l’interprétation de tous les aspects de la loi. Nous recommandons également que les fins visées par les organisations lorsqu’elles recueillent, utilisent ou communiquent des renseignements personnels soient explicites et indiquées, et que des sanctions soient prévues dans les cas où les renseignements personnels des Canadiennes et des Canadiens sont recueillis, utilisés ou communiqués à des fins qui ne sont pas acceptables.
Nous recommandons d’exiger que les organisations mettent en œuvre des mesures de protection de la vie privée dès la conception et qu’elles mènent des évaluations des facteurs relatifs à la vie privée pour les initiatives à risque élevé. Nous demandons aussi que la définition de « renseignements dépersonnalisés » soit modifiée afin d’y intégrer le risque de repersonnalisation et que le pouvoir du gouvernement de régir par voie de règlement soit défini de manière plus précise.
Je peux vous dire que le Commissariat se tourne déjà vers l’avenir : il se prépare à la réforme législative de sorte que si le Parlement adopte le projet de loi, nous serons prêts à assumer les nouvelles responsabilités qui y sont énoncées et à épauler la population canadienne et les entreprises alors qu’elles se familiariseront avec le nouveau cadre législatif.
Importance de protéger la vie privée
La vie privée fait partie de tout ce que nous faisons. Les droits des enfants, la concurrence, la radiodiffusion, la cybersécurité, les droits démocratiques, le commerce international, la sécurité nationale, le droit à l’égalité, la santé publique, les pratiques éthiques des entreprises et la primauté du droit : tous ces éléments ont des répercussions sur la vie privée.
Le droit de protéger nos renseignements personnels est aussi un élément essentiel de notre dignité.
Les conclusions de certaines enquêtes récentes du Commissariat l’illustrent bien : pouvoir décider s’il y a lieu de communiquer des renseignements, dans quelles circonstances et de quelle manière est un droit essentiel. Et dans le monde de plus en plus numérique qui est le nôtre aujourd’hui, cela est d’autant plus vrai.
Notre enquête sur Tim Hortons l’année dernière décrit comment l’application de l’entreprise localisait l’emplacement des utilisateurs même lorsque l’application n’était pas utilisée, et ce, à leur insu ou sans leur consentement.
Au début de l’année, nous avons publié les résultats de notre enquête sur la communication par Home Depot de renseignements personnels à Facebook lorsque des clients optaient pour un reçu électronique plutôt qu’un reçu imprimé lors de leur passage à la caisse.
Notre enquête a permis de confirmer que cela n’était pas conforme aux principes de protection de la vie privée, et nous travaillons avec l’industrie pour nous assurer que ces principes sont compris et adoptés par d’autres organisations.
Ce mois-ci, à la suite de la décision de la Cour fédérale de rejeter notre demande dans l’affaire Facebook et Cambridge Analytica, j’ai annoncé que nous portions cette décision en appel, car l’affaire soulève d’importantes questions quant à l’interprétation et à l’application des lois sur la protection des renseignements personnels.
Nous attendons également avec intérêt la décision de la Cour d’appel fédérale dans notre renvoi visant Google, à savoir si la LPRPDE s’applique aux moteurs de recherche.
En ce qui concerne le secteur public, j’ai comparu devant des comités parlementaires pour formuler des recommandations sur l’utilisation d’outils d’enquête de la Gendarmerie royale du Canada (GRC) et sur l’importance d’intégrer les principes de protection de la vie privée lorsque le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) exercera ses nouveaux pouvoirs en vertu des modifications apportées à la Loi sur la radiodiffusion par le projet de loi C-11.
Plus récemment, j’ai comparu devant un comité sénatorial pour recommander que les partis politiques soient régis par les lois sur la protection des renseignements personnels et qu’un décideur indépendant ait le pouvoir de surveiller la conformité.
Je suis également heureux de vous annoncer que je prévois déposer un rapport spécial au Parlement la semaine prochaine, qui présentera les enquêtes que nous avons menées sur les pratiques du gouvernement fédéral pour protéger la vie privée dans le cadre des mesures de lutte contre la pandémie. Restez donc à l’affût.
Enfin, je me rendrai à Tokyo, au Japon, au cours des prochaines semaines. J’ai bien hâte de poursuivre le travail avec mes homologues du G7 sur la libre circulation des données avec confiance.
Conclusion
En terminant, permettez-moi de reprendre les propos de l’un des premiers commissaires fédéraux à la protection de la vie privée du Canada, feu John Grace, dans l’un de nos rapports annuels au Parlement, il y a plus de 30 ans : « Les protecteurs de la vie privée ne peuvent pas se laisser paralyser par l’ordre établi ni relâcher leur vigilance. Nouveaux, urgents, variés et ingénieux, les dangers qui menacent la vie privée émanent d’une technologie qui ne sommeille jamais et qui est rarement interdite. »
Cela est encore plus juste dans le monde numérique d’aujourd’hui. C’est pourquoi je crois que la protection de la vie privée est l’un des principaux défis de notre époque. Mais nous pouvons relever les défis de cette période charnière, et nous le ferons. La vie privée n’est pas incompatible avec l’intérêt public. La vie privée et l’innovation peuvent coexister.
Je me réjouis à l’idée de continuer à trouver des moyens de travailler ensemble – dirigeants de l’industrie, organismes de réglementation, consommateurs et citoyens – afin que tout le monde au Canada, y compris les enfants, puisse profiter en toute confiance des nombreux avantages et de la commodité qu’offre la technologie.
Merci.
- Date de modification :