Comparution devant le Comité permanent sur la gestion des ressources de l’Alberta dans le cadre de son examen de la Personal Information Protection Act
Le 24 septembre 2024
Edmonton (Alberta)
Déclaration de Philippe Dufresne
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi.)
Bonjour. Je vous remercie, Monsieur le Président et mesdames et messieurs les membres du Comité permanent sur la gestion des ressources, de m’avoir invité à présenter mes observations dans le cadre de votre examen de la Personal Information Protection Act (loi sur la protection des renseignements personnels – PIPA) de l’Alberta.
Je suis heureux d’avoir l’occasion de vous parler du contexte de la réforme des lois fédérales en matière de protection des renseignements personnels et de la façon dont l’interopérabilité des lois dans ce domaine profite à la fois aux consommateurs et aux entreprises.
En mai, j’ai présenté un mémoire à votre comité, qui servira de base à mes observations aujourd’hui.
Je voudrais tout d’abord donner un aperçu de mon rôle. En tant que Commissaire à la protection de la vie privée du Canada, ma mission est de protéger et de promouvoir le droit fondamental des personnes à la vie privée. Pour ce faire, je veille au respect de la Loi sur la protection des renseignements personnels, qui régit la collecte, l’utilisation, la communication, la conservation et l’élimination des renseignements personnels par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada.
Nous vivons dans un environnement en pleine expansion, où l’émergence des technologies et les modèles d’entreprise tirent parti de l’utilisation, de la collecte et de la communication de renseignements personnels.
Ces progrès présentent de nombreux avantages dans nos vies et pour l’économie, mais ils posent également de nouveaux risques pour la vie privée, qui rendent la protection de la vie privée plus importante et plus difficile que jamais.
Les trois piliers de ma vision de la protection de la vie privée, que j’ai exposés au début de mon mandat il y a deux ans, tiennent compte de cette réalité. Ces priorités sont les suivantes :
- La protection de la vie privée est un droit fondamental;
- La protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada;
- La protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et la contribution de ceux-ci au monde numérique.
Ces piliers reposent sur le fait que les Canadiennes et les Canadiens veulent pouvoir participer activement et en toute connaissance de cause au monde numérique, sans être obligés de choisir entre cette participation et leur droit fondamental à la vie privée.
Ces piliers sont intégrés dans les priorités stratégiques que j’ai annoncées au début de l’année, lesquelles guideront le travail du Commissariat au cours des trois prochaines années. Ces priorités sont les suivantes :
- Optimiser le rôle du Commissariat dans la promotion et la protection pleines et efficaces du droit fondamental à la vie privée;
- Aborder les répercussions des nouvelles technologies, notamment l’intelligence artificielle (IA) générative, sur la vie privée;
- Défendre le droit à la vie privée des enfants.
Mon plan stratégique prévoit des investissements dans des partenariats et des initiatives conjointes avec les autorités provinciales et territoriales chargées de la protection des données. Je suis tellement fier et reconnaissant de l’excellente relation établie avec mes homologues provinciaux et territoriaux, et de l’étroite collaboration avec le Commissaire McLeod et le Commissariat à l’information et à la protection de la vie privée de l’Alberta.
Interopérabilité des lois sur la protection de la vie privée
Les Canadiennes et les Canadiens doivent pouvoir compter sur des lois modernisées sur la protection des renseignements personnels, qui soutiennent l’innovation et leur permettent de profiter des avantages de la technologie, tout en ayant l’assurance que leurs renseignements personnels sont protégés.
L’interopérabilité des lois en la matière, tant au Canada qu’à l’échelle internationale, est un facteur clé de cette assurance. Elle est essentielle pour renforcer la confiance des Canadiennes et des Canadiens dans le fait que leurs renseignements personnels seront protégés, et ce, quel que soit l’endroit où les données résident ou sont transférées.
De plus, l’interopérabilité est avantageuse pour les organisations, car elle permet de simplifier les exigences réglementaires et de réduire les coûts liés à la conformité. Cela facilite l’innovation et la concurrence pour les entreprises canadiennes. Les organisations profitent de la clarté que procurent des orientations communes en matière de réglementation.
La LPRPDE établit les normes nationales de protection des renseignements personnels dans le secteur privé, mais les organisations qui recueillent, utilisent et communiquent des renseignements personnels dans une province où s’applique une loi provinciale considérée comme essentiellement similaire à la LPRPDE ne sont pas assujetties à la loi fédérale.
L’Alberta, le Québec et la Colombie-Britannique disposent actuellement de lois sur la protection des renseignements personnels dans le secteur privé qui ont été jugées essentiellement similaires à la LPRPDE. Cela signifie que, dans de nombreux cas, c’est la loi provinciale qui prévaut et non la loi fédérale.
Le fait d’avoir des lois essentiellement similaires me permet de travailler en étroite collaboration avec mes homologues de l’Alberta, du Québec et de la Colombie‑Britannique dans le cadre d’activités comme la tenue d’enquêtes conjointes et l’élaboration de documents d’orientation destinés aux organisations pour les aider à se conformer à la loi.
Mes collègues et moi-même avons conclu un protocole d’entente qui établit un cadre de collaboration pour mobiliser les ressources, accroître le partage de connaissances et assurer une surveillance uniforme et efficace de la protection de la vie privée dans le secteur privé au Canada.
Au nombre des enquêtes menées conjointement, mentionnons celles portant sur Clearview IA, Facebook Cambridge Analytica, Tim Hortons et, plus récemment, OpenAI et TikTok. Il y a aussi une autre enquête conjointe en cours concernant une entreprise qui offre des services de vérification des antécédents, ce qui comprend des services de sélection de locataires pour des propriétaires de logements.
Nous avons également collaboré à l’élaboration de documents d’orientation communs, comme celui sur nos principes pour des technologies d’IA générative responsables, que nous avons publié en décembre dernier.
J’accorde aussi une très grande importance à l’établissement de partenariats internationaux, reconnaissant que l’interopérabilité et l’harmonisation à l’échelle mondiale sont importantes pour faciliter les échanges commerciaux transfrontaliers de renseignements personnels.
En janvier dernier, au terme de l’examen du caractère adéquat du Canada au titre du Règlement général sur la protection des données de l’Union européenne, la Commission européenne a conclu que le Canada continue d’assurer un niveau de protection adéquat des renseignements personnels transférés depuis l’Union européenne aux destinataires assujettis à la LPRPDE.
Dans son rapport, la Commission européenne recommande d’inscrire dans la loi certaines mesures de protection élaborées au niveau infra-législatif en vue de renforcer la sécurité juridique et de consolider les nouvelles exigences, comme celles concernant les renseignements personnels de nature sensible.
La Commission européenne a indiqué qu’elle entendait suivre de près l’évolution de la situation au Canada.
Le mois prochain, je participerai à la Table ronde des autorités de protection des données et de la vie privée du G7. Nous nous réunissons depuis 2021 pour discuter de questions et de développements réglementaires et technologiques, et nous avons publié des positions communes. Par exemple, l’année dernière à Tokyo, nous avons publié une déclaration commune sur l’IA générative, sous la présidence de l’autorité de protection des données et de la vie privée du Japon. Le groupe s’est engagé à favoriser l’interopérabilité à l’avenir, dans la mesure du possible, afin d’atteindre un niveau élevé de protection des données et de faciliter la libre circulation des données en toute confiance.
L’année prochaine, alors que le Canada assumera la présidence du G7, je présiderai la Table ronde des autorités de protection des données et de la vie privée. J’ai hâte d’accueillir mes collègues du G7 à Ottawa et de contribuer à la mise en œuvre d’importantes initiatives de collaboration pendant la présidence du Canada.
Parmi les autres exemples de coopération internationale, citons le « ratissage » du Global Privacy Enforcement Network cette année. Le Commissariat est l’une des 25 autorités de protection de la vie privée du Canada et du monde entier qui ont examiné plus de 1 000 sites Web et applications mobiles. Nous avons constaté que 97 % des sites et applications examinés utilisaient au moins un mécanisme de conception trompeuse pouvant influencer les décisions des individus de manière à ce qu’ils fournissent plus de renseignements personnels en ligne.
Le Commissariat a également contribué, l’année dernière, à la rédaction d’une déclaration sur l’extraction de données avec les membres du Groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée. Cette déclaration a donné lieu à un dialogue instructif avec certaines des plus grandes entreprises de médias sociaux du monde.
Un autre groupe de travail de l’Assemblée mondiale pour la protection de la vie privée, que je préside, a récemment lancé un prix international de la vie privée et des droits de la personne. Ce prix récompensera le travail exemplaire d’une personne ou d’une organisation pour promouvoir et protéger la vie privée et d’autres droits fondamentaux. Le prix sera remis pour la première fois lors de la conférence RightsCon 2025 à Taipei en février prochain.
Loi de 2022 sur la mise en œuvre de la Charte du numérique
Le 16 juin 2022, le gouvernement du Canada a déposé le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, qui abrogerait la partie 1 de la LPRPDE et édicterait la Loi sur la protection de la vie privée des consommateurs (LPVPC), la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données.
Le projet de loi C-27 a fait l’objet d’une analyse article par article par le Comité permanent de l’industrie et de la technologie (INDU) de la Chambre des communes.
Ce projet de loi maintiendrait en grande partie l’approche de la LPRPDE à l’égard des lois qui sont essentiellement similaires. Tout comme sous le régime de la LPRPDE, le gouverneur en conseil établirait si la loi sur la protection des renseignements personnels d’une province est essentiellement similaire à la LPVPC.
Selon ce projet de loi, le gouverneur en conseil pourrait également, par règlement, établir les critères et le processus lui permettant de conclure au caractère essentiellement similaire d’une loi ou de reconsidérer cette conclusion.
À bien des égards, le projet de loi C-27 constitue une amélioration par rapport à la LPRPDE. Il renforce les mesures de protection des renseignements personnels des individus et incite les organisations à se conformer à la loi tout en leur laissant une plus grande marge de manœuvre pour innover.
En encourageant l’innovation dans le respect de la vie privée, on aidera les gens à mieux protéger leurs renseignements personnels et à accroître le contrôle qu’ils exercent à cet égard, et on renforcera leur confiance envers l’économie numérique et leur capacité à saisir les avantages d’une telle économie.
En avril 2023, j’ai présenté au Comité INDU un mémoire sur le projet de loi C-27 comprenant 15 recommandations principales qui, selon moi, sont nécessaires afin de mieux protéger la vie privée des Canadiennes et des Canadiens tout en appuyant l’innovation et la compétitivité du Canada.
J’aimerais souligner que notre mémoire sur le projet de loi C-27 aborde bon nombre des sujets présentés dans le document « Emerging Issues : The Personal Information Protection Act » (nouveaux enjeux : la loi sur la protection des renseignements personnels). Il s’agit notamment du consentement, de la dépersonnalisation et de l’anonymisation, des évaluations des facteurs relatifs à la vie privée (EFVP), des sanctions administratives pécuniaires, de la prise de décision automatisée, du droit à l’effacement des données et de la portabilité des données.
J’ai le plaisir de vous donner plus de précisions sur ces recommandations, en tant qu’éléments à prendre en considération pour votre examen de la PIPA.
Par exemple, dans le mémoire sur le projet de loi C-27, je recommande d’élargir la liste des contraventions pouvant faire l’objet de sanctions pécuniaires.
J’ai également recommandé d’exiger des organisations qu’elles intègrent la protection de la vie privée dès la conception de leurs produits et services et qu’elles mènent des EFVP pour les initiatives à risque élevé.
Les EFVP peuvent aider les organisations à démontrer qu’elles sont responsables des renseignements personnels qui relèvent d’elles, qu’elles respectent la loi et qu’elles limitent le risque d’atteinte à la sécurité des données.
Lors de ma comparution devant un comité parlementaire le 19 octobre 2023 sur le projet de loi C-27, j’ai également souligné que les EFVP étaient une mesure particulièrement essentielle dans le contexte de l’IA et d’autres initiatives à risque élevé, qui peuvent avoir de grandes répercussions sur les personnes.
La réalisation d’objectifs commerciaux et la protection de la vie privée ne sont pas incompatibles. La protection de la vie privée peut être un moyen d’accélérer la confiance des Canadiennes et des Canadiens envers l’économie numérique plutôt qu’un obstacle à l’innovation et à la compétitivité.
Toutefois, dans les rares cas où ces deux éléments entrent inévitablement en conflit, le droit fondamental à la vie privée devrait prévaloir.
C’est pourquoi ma première recommandation concernant le projet de loi C-27 était de reconnaître l’importance du droit fondamental à la vie privée dans la loi, à la fois dans le préambule et dans l’énoncé d’objet de la LPVPC, et d’intégrer le préambule aux lois qui seraient adoptées.
Je suis heureux de voir que le comité INDU a tenu compte de cette recommandation, en adoptant un amendement pour intégrer le préambule dans la LPVPC et pour reconnaître le droit fondamental à la vie privée dans le projet de loi.
Une autre de mes principales recommandations était de modifier le préambule pour insister sur l’importance de protéger la vie privée des enfants et l’intérêt supérieur de l’enfant.
Le Comité INDU a également adopté cette recommandation.
L’inclusion de l’intérêt supérieur de l’enfant dans le préambule encouragera les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services, et ce, dès la conception, et il s’agit également d’un outil d’interprétation important.
Intégrer la protection de la vie privée des enfants dans la loi est particulièrement encourageant, car cela faisait partie des recommandations formulées dans la Résolution des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombuds responsables de la protection de la vie privée visant à « mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels ».
Par ailleurs, le Comité INDU a amendé le projet de loi afin d’y inclure les définitions des termes « autorité légitime », « mineur », « profilage » et « renseignements de nature sensible ». Il a également modifié la définition de « renseignements personnels » pour y ajouter les renseignements inférés. Ces amendements permettront de clarifier les obligations auxquelles sont tenues les organisations au titre de la loi.
Alors que l’examen article par article du projet de loi C-27 se poursuit, j’espère que le comité INDU continuera à mettre en œuvre mes recommandations et celles des autres parties prenantes pour renforcer le projet de loi.
Conclusion
Votre examen de la PIPA a lieu au cours d’une période charnière pour ce qui est de la réforme des lois sur la protection des renseignements personnels au Canada. Il est essentiel de renforcer la confiance des consommateurs dans le fait que les organisations font un usage responsable des renseignements personnels pour aider à faire du Canada un chef de file mondial en matière de protection de la vie privée.
J’estime qu’un régime de protection de la vie privée fédéral-provincial-territorial solide et harmonisé, fondé sur des principes communs, contribuera à l’atteinte de cet objectif.
Je serai maintenant heureux de répondre aux questions.
- Date de modification :