Protéger la vie privée à l’ère numérique
Allocution principale à la conférence annuelle de l’Association canadienne d’accès à l’information et de protection des renseignements personnels (ACAP)
Le 27 novembre 2023
Ottawa (Ontario)
Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)
Introduction
Je vous remercie de cette aimable présentation, et je remercie également les membres de l’Association canadienne d’accès à l’information et de protection des renseignements personnels, l’ACAP, de cette invitation à m’adresser à vous aujourd’hui. L’ACAP est une partie prenante importante aux yeux du Commissariat, et c’est un honneur d’être ici en compagnie de gens des secteurs public et privé, qui jouent un rôle de plus en plus essentiel dans la protection du droit à la vie privée des Canadiennes et des Canadiens.
Je me réjouis des différentes perspectives qui seront abordées pendant la conférence, notamment le point de vue de l’estimé journaliste Jim Bronskill, celui de ma collègue Caroline Maynard, Commissaire à l’information du Canada, et ceux des groupes d’experts qui se concentreront cet après-midi sur l’intelligence artificielle et sur des décisions juridiques clés qui ont une incidence sur l’accès à l’information et la protection de la vie privée.
Il s’agit d’une période stimulante – et exigeante – pour ceux qui œuvrent dans le domaine de la protection de la vie privée. Notre époque se caractérise par des flux d’information rapides, par l’échange et la collecte de quantités massives de données ainsi que par l’avancement et l’adoption rapides de l’intelligence artificielle générative, à un point tel que la technologie s’est infiltrée dans tous les aspects de nos vies à un degré sans précédent.
C’est le moment où jamais de faire une priorité de la protection de la vie privée en tant que droit fondamental.
En tant que défenseurs de la protection de la vie privée, vous jouez un rôle essentiel dans la création d’une culture de protection de la vie privée dans vos organisations. Vous contribuerez ainsi à garantir que le gouvernement puisse exploiter les nouvelles technologies dans l’intérêt du public et dans le respect de la vie privée.
L’un des éléments clés de l’établissement d’une culture de protection de la vie privée est la protection de la vie privée dès la conception. En d’autres termes, il s’agit d’intégrer la protection de la vie privée au fondement de votre projet, afin d’en faire un objectif qui guidera la suite du projet.
Inspirons-nous par exemple du bâtiment dans lequel on se trouve (le Centre Shaw). Un objectif de durabilité environnementale peut être intégré à de nombreux éléments d’une conception.
Dans ce cas-ci, l’objectif, la durabilité environnementale, a été déterminé bien avant le début de la construction. À chaque étape qui a suivi, on a gardé cet objectif en tête. Une citerne située sous le bâtiment retient l’eau de pluie qui s’écoule du toit, qui sert ensuite à vidanger les toilettes. Les fermes de toit sont en acier recyclé. Même l’art est écologiquement durable – la pièce que vous avez peut-être remarquée au premier étage à votre arrivée – appelée le Mur des Trois Rivières – est composée de grumes récupérées au fond de la rivière des Outaouais.
Ma vision de la protection de la vie privée dès la conception est comparable. Tout comme l’architecte primé de ce bâtiment l’a fait, il s’agit d’intégrer un objectif plus large de conception responsable qui permet d’accroître la créativité et l’innovation.
Lorsque j’ai accepté le poste de commissaire il y a 18 mois, j’ai présenté les 3 piliers de ma vision de la protection de la vie privée. Ces piliers sont les suivants :
- le droit à la protection de la vie privée est un droit fondamental;
- la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada;
- la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques.
Je suis certain que cette information interpelle l’auditoire de champions de la protection de la vie privée qui est devant moi.
Ces piliers s’appuient sur cette réalité : les Canadiennes et les Canadiens veulent pouvoir participer activement et en toute connaissance de cause au monde numérique, sans être obligés de choisir entre cette participation et leur droit fondamental à la vie privée.
Au fil de mon travail et de mes interactions au cours de la dernière année, trois priorités stratégiques en matière de protection de la vie privée se sont dégagées :
- aborder les répercussions des nouvelles technologies, notamment l’IA générative, sur la vie privée;
- protéger la vie privée des jeunes;
- optimiser le rôle du Commissariat dans la promotion et la protection pleines et efficaces du droit fondamental à la vie privée.
Aujourd’hui, j’aimerais vous parler de chacune de ces priorités et de la manière dont elles sont liées à votre travail et à celui du Commissariat.
Je ferai aussi le point sur certaines des activités menées par le Commissariat au cours de la dernière année, je présenterai les principales enquêtes que nous avons menées et je vous parlerai de la manière dont nous pouvons travailler ensemble pour défendre le droit fondamental à la vie privée des Canadiennes et des Canadiens.
Priorités stratégiques
Technologie
À l’ère du numérique, il semble que tous les aspects de notre vie, qu’il s’agisse de nos relations sociales en ligne, de nos achats ou encore de nos droits démocratiques et de la primauté du droit, aient une incidence sur la protection de la vie privée. La technologie numérique est également au cœur de la prestation des services gouvernementaux.
Voilà pourquoi tenir compte des répercussions sur la vie privée des progrès technologiques en constante évolution, en particulier pour ce qui est de l’intelligence artificielle (IA) et de l’IA générative, est l’une des priorités stratégiques du Commissariat.
De nombreux ministères cherchent à tirer parti de la technologie, comme l’identification numérique ou l’IA générative, pour travailler mieux et de façon plus intelligente. Une part importante du rôle du Commissariat consiste à vous épauler afin de faire en sorte que ces innovations respectent le droit à la vie privée des Canadiennes et des Canadiens.
L’an dernier, nous avons reçu 110 évaluations des facteurs relatifs à la vie privée (EFVP) et 73 demandes de consultation de la part des institutions fédérales. Nous avons également mené plusieurs séances de sensibilisation et de renforcement des capacités qui s’adressaient aux fonctionnaires.
Aujourd’hui, lorsque nous parlons de progrès technologiques, je suis sûr que ChatGPT et l’IA générative vous viennent à l’esprit.
Fei-Fei Li, cofondatrice de la Stanford’s Institute for Human-Centered Artificial Intelligence, est considérée comme la marraine de l’IA. Elle considère l’IA comme un outil et ajoute que notre relation avec celle-ci est difficile comme dans le cas de tout autre outil. Elle soutient également que les outils sont inventés, dans l’ensemble, pour faire du bien, mais qu’ils ont des conséquences inattendues et que nous devons donc bien comprendre et atténuer les risques qu’ils comportent.
Les possibilités et les défis de l’IA générative exigent une intervention mondiale. Au début du mois, le Canada a fait partie de la vingtaine de pays qui ont signé la déclaration de Bletchley pendant le sommet sur la sécurité de l’IA tenu au Royaume-Uni. Les signataires se sont engagés à renforcer la coopération afin de garantir que l’IA soit conçue et utilisée de manière responsable.
Le Commissariat a travaillé avec ses homologues nationaux et internationaux sur les mesures réglementaires à prendre afin de faire face à cette technologie qui vient changer la donne.
La semaine prochaine, le Commissariat sera l’hôte d’un symposium sur la protection de la vie privée ainsi que d’une rencontre du Groupe de travail international sur la protection des données dans les technologies, également connu sous le nom de Groupe de Berlin. Les 2 événements porteront sur l’IA, et je me réjouis d’avoir des conversations productives et intéressantes avec des experts de renommée du domaine ainsi qu’avec des représentants d’autres organisations de protection des données de partout au pays et dans le monde.
L’été dernier, avec mes collègues du G7 responsables de la protection des données et de la vie privée, j’ai publié une déclaration commune sur l’IA générative dans laquelle nous avons demandé aux développeurs et aux fournisseurs d’intégrer la protection de la vie privée aux nouvelles technologies dès la conception de ces nouveaux produits et services.
L’IA a également fait l’objet de résolutions adoptées par mes collègues de partout dans le monde responsables de la protection de la vie privée lors des réunions de l’Assemblée mondiale pour la protection de la vie privée qui se sont tenues le mois dernier. Nous avons conjointement exhorté les développeurs et les fournisseurs d’IA à reconnaître que la protection des données est un droit fondamental et avons appelé à la création de technologies d’IA générative responsables et dignes de confiance.
En mai, j’ai annoncé que le Commissariat a ouvert une enquête conjointe, en collaboration avec 3 homologues des provinces, sur OpenAI, l’entreprise qui est à l’origine de ChatGPT, afin d’établir si ses pratiques sont conformes aux lois canadiennes sur la protection des renseignements personnels. Même si nos lois sur la protection des renseignements personnels doivent être modernisées, elles s’appliquent actuellement à ce domaine, et je m’engage à veiller à leur application.
Cette enquête est en cours, et nous continuons à surveiller ces technologies ainsi que d’autres nouvelles technologies afin de prévoir quelles seront les répercussions de celles-ci sur la vie privée, de recommander des pratiques exemplaires pour garantir le respect des lois sur la protection des renseignements personnels et de promouvoir l’utilisation de technologies d’amélioration de la confidentialité.
En septembre, le Secrétariat du Conseil du Trésor a publié un guide sur l’utilisation de l’IA générative dans la fonction publique. Le guide invite à la prudence, affirmant que les institutions fédérales devraient étudier comment elles pourraient utiliser des outils d’IA générative afin d’appuyer leurs opérations. En même temps, elles devraient également évaluer et atténuer les risques, et limiter l’utilisation de ces outils aux activités pour lesquelles elles peuvent gérer efficacement ces risques.
Pour celles et ceux d’entre vous qui travaillent dans la fonction publique fédérale, si votre ministère envisage d’adopter des outils d’IA générative – ou toute autre nouvelle technologie ou approche, comme des partenariats public-privé –, je vous encourage à collaborer avec le Commissariat pour cerner et résoudre toute préoccupation en matière de protection de la vie privée. Les évaluations des facteurs relatifs à la vie privée sont un outil important pour protéger le droit à la vie privée des Canadiennes et des Canadiens.
Un autre enjeu lié à la technologie et à la protection de la vie privée est le recours croissant à la biométrie, comme dans le cas de la reconnaissance faciale et de la collecte de renseignements génétiques. En octobre, le Commissariat a publié 2 documents d’orientation provisoires sur la biométrie à des fins de consultation, l’un pour le secteur privé et l’autre pour le secteur public. Nous souhaitons obtenir des observations sur ces documents afin de nous assurer que les organisations utilisent ces technologies dans le respect de la vie privée.
Je vous invite à prendre le temps d’examiner le document destiné à votre secteur et à nous faire part de vos précieuses observations avant la date limite du 12 janvier.
Vie privée des enfants
Le monde en ligne offre de nombreuses possibilités de connexion et de créativité, mais il est également susceptible de causer des préjudices graves, en particulier aux jeunes. C’est pourquoi la protection de la vie privée de ce groupe est l’une de mes priorités absolues.
Les jeunes ont droit au respect de leur vie privée en ligne et hors ligne, mais le fait de grandir à l’ère numérique pose de nouveaux défis importants dans ce domaine.
Étant donné que les enfants et les adolescents adoptent les nouvelles technologies et qu’une grande partie de leur vie se déroule en ligne, nous avons besoin de mettre en place des mesures rigoureuses pour protéger leurs renseignements personnels, ainsi que la manière dont ces renseignements sont recueillis, utilisés et communiqués.
Les renseignements personnels des jeunes servent de plus en plus à créer du contenu personnalisé et des profils de publicité qui, ultimement, visent à influencer leurs comportements.
Les enfants ont le droit d’être des enfants, et ce, en toute sécurité, même dans le monde numérique.
Comme le mentionne l’UNICEF dans ses orientations stratégiques sur l’IA destinée aux enfants, les jeunes sont davantage affectés par les technologies numériques que les adultes. Ils peuvent également subir plus de conséquences à long terme lorsqu’ils consentent à la collecte de leurs données.
Plus tôt cette année, j’ai lancé, avec mes homologues du Québec, de l’Alberta et de la Colombie-Britannique, une enquête conjointe sur les pratiques en matière de protection de la vie privée de TikTok, une application particulièrement populaire auprès des jeunes. Je m’attends à ce que nos conclusions soient instructives pour de nombreuses organisations qui recueillent et traitent des renseignements personnels sensibles concernant des enfants.
À l’occasion de notre réunion annuelle des autorités de protection de la vie privée fédérale, provinciales et territoriales, qui s’est tenue le mois dernier, mes collègues et moi-même avons publié une résolution commune demandant aux organisations des secteurs privé et public de mettre à l’avant-plan l’intérêt supérieur des jeunes lorsqu’elles traitent des renseignements sensibles les concernant.
Il existe de nombreuses façons pour elles de le faire, par exemple :
- fournir des outils de protection de la vie privée et des mécanismes de consentement adaptés aux jeunes;
- rejeter les pratiques trompeuses qui influencent négativement les décisions des jeunes en matière de vie privée ou les poussent à adopter des comportements préjudiciables;
- permettre la suppression et le déférencement de pages Web qui renferment des renseignements recueillis lorsque les utilisateurs étaient enfants – ce que je me réjouis de voir figurer dans le projet de loi C-27.
Il est essentiel que le gouvernement et les organisations du secteur privé prennent des mesures pour veiller à ce que les jeunes puissent profiter des technologies et être actifs en ligne sans craindre d’être ciblés ou manipulés, ou encore de subir un préjudice. Vous pouvez consulter la résolution commune sur le site Web du Commissariat.
Le Commissariat publiera bientôt un bulletin sur la Loi sur la protection des renseignements personnels à l’intention de la fonction publique, qui contiendra de l’information et des conseils sur la manière de protéger de manière proactive la vie privée des enfants.
Je vous encourage à lire ces documents et à réfléchir aux initiatives de votre organisation qui devraient être examinées dans l’optique de l’intérêt supérieur des jeunes.
Optimiser l’incidence des efforts du Commissariat
Aborder les progrès technologiques et protéger le droit à la vie privée des jeunes sont des défis de grande envergure qui exigent une approche globale et collaborative. Ces défis sont au cœur de ma troisième priorité stratégique, qui consiste à optimiser l’incidence des efforts du Commissariat pour promouvoir et protéger pleinement et efficacement le droit fondamental à la vie privée.
Une façon pour le Commissariat de travailler à l’atteinte de l’objectif de protection des Canadiennes et des Canadiens consiste à présenter des conseils au Parlement sur la réforme des lois sur la protection des renseignements personnels et sur d’autres domaines ayant une incidence sur la protection de la vie privée.
La réalisation d’enquêtes importantes et la publication de nos conclusions sont une autre façon de travailler à l’atteinte de cette priorité, tout comme la prestation de conseils et de recommandations aux institutions gouvernementales et aux organisations du secteur privé. Au besoin, nous avons également recours aux tribunaux.
Réforme législative
Cet automne, j’ai eu l’occasion de présenter mon point de vue sur le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, devant un comité parlementaire. Le projet de loi comprend la Loi sur la protection de la vie privée des consommateurs, ou LPVPC, qui remplacerait essentiellement la LPRPDE.
Ce projet de loi répond aux préoccupations soulevées antérieurement par le Commissariat et par d’autres. Par exemple, il exige que les renseignements utilisés pour obtenir le consentement soient présentés dans un langage compréhensible; il accorde au Commissariat le pouvoir d’émettre des ordonnances; et il prévoit une liste élargie de contraventions auxquelles des sanctions administratives pécuniaires peuvent s’appliquer, le cas échéant.
Dans l’ensemble, le projet de loi représente un pas dans la bonne direction, mais il peut et doit être amélioré davantage pour protéger le droit fondamental à la vie privée.
Le mois dernier, le ministre de l’Innovation, des Sciences et de l’Industrie a proposé des modifications au projet de loi qui permettraient d’adopter certaines des 15 principales recommandations formulées par le Commissariat pour renforcer la législation. Il s’agit notamment de reconnaître explicitement la protection de la vie privée comme un droit fondamental, de renforcer la protection de la vie privée des jeunes et de donner plus de souplesse au Commissariat pour l’utilisation d’accord de conformité afin de corriger les comportements en matière de protection de la vie privée, notamment par le recours à des sanctions pécuniaires. Le ministre a également déclaré qu’il proposerait des amendements autorisant une plus grande coopération entre les organismes de réglementation.
Bien entendu, le projet de loi C-27 introduit également la Loi sur l’intelligence artificielle et les données ou LIAD. L’adoption de la LIAD pourrait faire du Canada l’un des premiers pays à réglementer l’IA, ce qui est important compte tenu des risques que comporte la technologie. Bien que cette loi n’aborde pas expressément les risques d’atteinte à la vie privée, la Loi sur la protection de la vie privée des consommateurs s’appliquerait au traitement des renseignements personnels dans les systèmes d’IA, et j’ai recommandé des moyens d’améliorer ce processus.
Parmi ces moyens, il est recommandé que les organisations soient tenues de mener des évaluations des facteurs relatifs à la protection de la vie privée afin de s’assurer que les risques pour la vie privée sont cernés et atténués pour les activités à risque élevé. Nous savons que les préjudices sur le plan de vie privée sont l’un des 3 principaux risques de l’IA selon les ministres du G7 responsables du numérique.
Compte tenu des préoccupations que suscite la capacité des systèmes d’IA à prendre des décisions, ainsi que des questions d’équité, d’exactitude, de partialité et de discrimination, les organisations devraient également être tenues d’expliquer, sur demande, tous profilages, prédictions, recommandations et décisions effectués à l’aide de systèmes décisionnels automatisés.
Ces décisions peuvent avoir de lourdes répercussions sur la vie des individus, et la population canadienne devrait avoir le droit de demander une explication lorsqu’elle fait l’objet d’une décision automatisée.
En outre, il est essentiel et urgent de voir à la réforme de la Loi sur la protection des renseignements personnels, qui n’a fait l’objet d’aucune mise à jour importante depuis son adoption il y a 40 ans. Le document de consultation publique du gouvernement sur la modernisation de la Loi sur la protection des renseignements personnels, présenté en 2021, en est toujours à l’étape des consultations. J’accueille aussi favorablement les consultations sur les perspectives autochtones, que le ministère de la Justice a lancées le mois dernier.
Enquêtes
Une autre considération importante en matière de protection de la vie privée et l’un des thèmes récurrents dans les conclusions de nos enquêtes est la question du consentement.
J’aimerais mentionner deux enquêtes qui ont été mises en évidence dans notre rapport annuel et qui soulignent la nécessité pour les institutions et les organisations d’obtenir un consentement éclairé avant de recueillir et d’utiliser des renseignements personnels.
L’une de ces enquêtes a porté sur le programme Marketing Intelliposte de Postes Canada.
Notre enquête a révélé que la Société canadienne des postes établit des listes de marketing à partir de renseignements glanés sur les enveloppes et colis qu’elle livre dans les foyers du pays. Elle met ensuite ces listes à la disposition des annonceurs moyennant des frais.
Cette pratique contrevient à la Loi sur la protection des renseignements personnels puisque Postes Canada a agi à l’insu et sans le consentement des Canadiennes et des Canadiens. Nous avons recommandé à la Société de cesser d’utiliser et de communiquer des renseignements personnels sans en demander l’autorisation au préalable.
Postes Canada s’est engagée à revoir son programme de services de données à la suite des conclusions de notre enquête. J’ai hâte de connaître les mesures qu’elle proposera pour garantir la protection de la vie privée des Canadiennes et des Canadiens conformément à la Loi sur la protection des renseignements personnels.
L’autre enquête a porté sur l’utilisation de la généalogie génétique par l’Agence des services frontaliers du Canada. L’Agence a obtenu le consentement d’un individu pour le prélèvement d’un échantillon de son ADN, qu’elle a ensuite envoyé à l’entreprise de généalogie génétique Family Tree DNA.
Il s’agissait d’une tentative infructueuse de confirmer la nationalité de cet individu afin de l’expulser. Le plaignant a fait valoir qu’une telle pratique contrevenait aux droits que lui confère la Loi sur la protection des renseignements personnels.
Notre enquête a révélé un certain nombre de problèmes, notamment le fait que l’Agence n’a pas communiqué une information clé à l’individu et qu’elle ne disposait donc pas d’une autorisation valable de recueillir des renseignements à son sujet auprès de Family Tree DNA.
Bien que le Secrétariat du Conseil du Trésor ait pour politique d’effectuer une évaluation des facteurs relatifs à la vie privée avant d’entreprendre ce type d’activité, l’Agence ne l’a pas fait. Toutefois, elle a depuis mis en place un moratoire sur l’utilisation des services de généalogie génétique et a soit fermé les comptes qu’elle détenait auprès de Family Tree DNA ou les a remis aux individus concernés.
Selon la législation canadienne sur la protection des renseignements personnels, le consentement obtenu doit être éclairé.
Postes Canada a affirmé que les particuliers l’avaient implicitement autorisé à recueillir des renseignements à partir de leurs enveloppes et leurs colis en acceptant la livraison du courrier par Postes Canada de manière générale et en n’utilisant pas l’option de retrait sur le site Web de la société d’État. Nous n’étions pas d’accord parce que, selon nous, ni l’un ni l’autre de ces deux scénarios ne constituait une autorisation. La plupart des Canadiennes et des Canadiens ne seraient pas au courant de cette pratique et ne s’y attendraient raisonnablement pas. L’ASFC, quant à elle, avait obtenu un consentement, mais ce consentement n’était pas considéré comme éclairé parce que l’agence avait omis de communiquer de l’information importante.
L’obtention d’un consentement éclairé n’est pas seulement une obligation légale, c’est aussi une question de confiance : les résultats du plus récent sondage du Commissariat auprès des Canadiennes et des Canadiens démontrent que seulement 4 répondants sur 10 estiment que les entreprises protègent leur vie privée. En parallèle, un peu moins de 6 répondants sur 10 croient que le gouvernement parviendra à protéger leur vie privée, une baisse de 5 % par rapport au sondage précédent mené en 2020.
Les résultats du sondage nous révèlent que les Canadiennes et les Canadiens veulent et doivent avoir la certitude que leur droit à la vie privée et leurs renseignements personnels sont protégés afin qu’ils puissent participer librement à l’économie numérique en toute confiance.
Le Commissariat a un rôle important à jouer pour permettre aux organisations d’innover et de fonctionner d’une manière respectueuse de la vie privée, et qui suscitera la confiance.
Atteintes
J’aimerais maintenant vous parler des atteintes.
Comme vous le savez peut-être, j’ai décidé la semaine dernière d’ouvrir des enquêtes relativement à une cyberattaque qui a compromis les renseignements des employés du gouvernement fédéral ayant eu recours aux services de réinstallation retenus par le gouvernement au cours des 24 dernières années.
L’enquête permettra d’évaluer si Services publics et Approvisionnement Canada et le SCT, les 2 ministères qui ont retenu les services des entreprises en question, ont respecté les obligations qui leur incombent au titre de la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral.
Les enquêtes permettront aussi d’évaluer si Brookfield Global Relocation Services, une entreprise de gestion de réinstallation, et Sirva, une entreprise de transport de biens ménagers, dont les services ont été retenus par le gouvernement, ont respecté les exigences prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale qui s’applique au secteur privé au Canada.
Mon intention est que cette enquête nous permette de comprendre pourquoi ces atteintes se sont produites et aussi ce qui doit être fait pour remédier à la situation et éviter que de telles atteintes se reproduisent.
Le Commissariat demeure préoccupé par la possibilité que les atteintes dans le secteur public ne soient pas toutes déclarées. L’an dernier, le nombre d’atteintes signalées au Commissariat a chuté de 36 % pour s’établir à 298. La majorité des atteintes signalées proviennent chaque année des mêmes institutions fédérales. Bon nombre des institutions qui sont assujetties à la Loi sur la protection des renseignements personnels et qui traitent des renseignements personnels sensibles n’ont jamais signalé d’atteinte à la vie privée.
L’année dernière, seulement une atteinte signalée dans le secteur public concernait une cyberattaque, comparativement à 278 cyberattaques signalées dans le secteur privé. Le Centre de la sécurité des télécommunications a indiqué plus tôt cette année qu’il bloque chaque jour des milliards d’actions malveillantes dirigées contre les réseaux du gouvernement du Canada. Il semble incroyable qu’un plus grand nombre de ministères ne soient pas touchés.
L’une des raisons pour lesquelles les atteintes pourraient ne pas être toutes déclarées est l’incertitude qu’une atteinte ait pu créer ce que la loi appelle un « risque réel de préjudice grave ».
Le Commissariat a créé un document d’orientation pour permettre aux organisations d’évaluer le risque réel de préjudice grave, qui est un concept général qui comprend : les lésions corporelles, l’humiliation, le dommage à la réputation ou aux relations, la perte d’emploi, la perte financière, le vol d’identité, l’effet négatif sur le dossier de crédit et le dommage aux biens ou la perte. Pour établir s’il existe un risque réel de préjudice important, il faut tenir compte du degré de sensibilité des renseignements personnels en cause et de la probabilité que ceux-ci aient été, soient ou seront utilisés à mauvais escient.
Nous avons également conçu un outil informatique pour orienter l’évaluation des risques en posant à l’utilisateur une série de questions pour l’aider à déterminer s’il est raisonnable de penser qu’une atteinte à la vie privée présente un risque de préjudice grave. Cet outil ne remplace pas le jugement humain, mais fournit des données qui permettent d’éclairer ce jugement.
La première phase de mise en œuvre de l’outil a été lancée en interne en mars 2022. Dans le cadre d’un récent projet pilote, 20 organisations ont pu accéder à l’outil pour le mettre à l’essai. Les commentaires ont été très positifs et serviront à améliorer la future version publique de l’outil.
En attendant, je vous encourage à faire preuve de prudence et à signaler toute atteinte à la vie privée au Commissariat, même si vous n’êtes pas trop certain qu’il s’agisse bel et bien d’une atteinte. Votre organisation pourra profiter de notre expertise pour remédier aux atteintes qui ont trait à des renseignements personnels et en atténuer les effets.
Conclusion
En terminant, nous, tous les membres de la communauté de la protection de la vie privée, avons du pain sur la planche alors que la technologie continue de progresser à un rythme inégalé. Mais la bonne nouvelle, c’est que notre communauté est une communauté engagée, composée de professionnels experts, dévoués et qui ont des principes. Nous relèverons donc le défi de protéger le droit fondamental à la vie privée, de défendre les intérêts publics et privés, et de gagner la confiance des Canadiennes et des Canadiens.
Je vous remercie de votre attention et de tout ce que vous faites chaque jour.
Merci.
- Date de modification :