Sélection de la langue

Recherche

Avoir une incidence – Les nouvelles priorités stratégiques du Commissariat

Allocution prononcée à l’occasion de la réunion (virtuelle) de la communauté de l’accès à l’information et de la protection des renseignements personnels

Le 25 janvier 2024

Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Merci de cette aimable présentation. Bonjour à toutes et à tous. C’est un honneur pour moi de participer, dans le cadre des activités de la Semaine de la protection des données, à cette réunion de la communauté de l’accès à l’information et de la protection des renseignements personnels. Je remercie vivement Stephen Burt de m’avoir invité à me joindre à vous aujourd’hui.

La communauté de l’AIPRP joue un rôle essentiel en faisant le pont entre le Commissariat à la protection de la vie privée et les secteurs de programme de vos ministères.

Défendre la protection de la vie privée dans vos institutions n’est pas chose facile, mais ce travail et votre collaboration avec le Commissariat sont essentiels pour garantir la protection du droit fondamental à la vie privée.

La Semaine de la protection des données met en évidence l’incidence de la technologie sur notre droit à la vie privée et l’importance de protéger les renseignements personnels et de reconnaître leur valeur.

Aujourd’hui, je souhaite mettre l’accent sur mes nouvelles priorités stratégiques pour le Commissariat, qui appuieront sa mission de protection et de promotion du droit à la vie privée. Je souhaite également vous présenter en quoi ces priorités sont directement liées à votre travail.

Plus tôt cette semaine, j’ai publié un plan stratégique qui orientera le travail du Commissariat tout au long de mon mandat. On y retrouve les 3 priorités stratégiques suivantes :

  • protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés;
  • faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens;
  • défendre le droit à la vie privée des enfants.

Ces priorités se sont dégagées à la suite des contributions de plusieurs parties prenantes, dont des responsables de la protection de la vie privée au sein de la fonction publique fédérale, qui ont été mobilisés au cours de la première année de mon mandat.

Les enjeux et les risques pour la vie privée auxquels nous sommes collectivement confrontés comme société, tant dans le secteur public que dans le secteur privé, sont vastes et peuvent parfois constituer un défi de taille. Vos tâches sont également de plus en plus exigeantes en raison de l’évolution rapide des technologies.

Selon moi, les priorités que je viens de vous présenter sont celles où l’on peut avoir le plus d’incidence pour les Canadiennes et les Canadiens. Il s’agit aussi de domaines où résident les plus grands risques pour la vie privée si on ne s’y attaque pas.

Lorsque j’ai pris la parole lors du même événement l’année dernière, j’ai parlé des piliers de ma vision de la protection de la vie privée : la protection de la vie privée est un droit fondamental; la protection de la vie privée est un moyen pour favoriser l’intérêt public et appuyer l’innovation et la compétitivité du Canada ; et la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques. Les priorités stratégiques sont le prolongement de cette vision.

J’ai bon espoir qu’en agissant ensemble sur ces priorités aujourd’hui et dans les années à venir, nous pourrons faire d’importants progrès vers une société où le droit fondamental à la protection de la vie privée est dûment reconnu et respecté.

Nous invitons les parties prenantes à apporter leur contribution au plan afin d’éclairer la mise en œuvre des priorités. Ainsi, pendant que je parle des priorités, je vous demande de songer à leur mise en œuvre et je vous invite à me faire part de vos réflexions aujourd’hui durant la séance de questions-réponses, ou plus tard, dans un document écrit adressé au Commissariat.

Pour chaque priorité, l’un des moyens d’atteindre l’objectif fixé consiste à miser sur la collaboration avec les parties prenantes et à former des partenariats stratégiques afin d’amplifier notre message et d’augmenter notre incidence. Selon moi, la communauté fédérale de la protection de la vie privée est une partie prenante clé dans l’amélioration de la protection de la vie privée au Canada.

Protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés

Ce qui sert de base à l’accomplissement du mandat actuel du Commissariat dans un contexte en constante évolution, c’est d’optimiser l’incidence de ses efforts pour protéger et promouvoir pleinement et efficacement le droit fondamental à la vie privée.

Cette première priorité met l’accent sur l’amélioration de l’efficacité, de l’adaptabilité et de la préparation du Commissariat. Afin de maintenir notre engagement en faveur de l’excellence et de l’innovation, nous devons continuer à renforcer la gouvernance et les capacités, à favoriser la communication et la collaboration à l’interne et à entretenir les partenariats et les réseaux.

Nous prévoyons notamment de mettre l’accent sur l’actualisation de notre approche de la gouvernance, de la gestion des risques et de la capacité interne, ainsi que sur le perfectionnement des outils et des processus afin de nous adapter efficacement à un mandat en constante évolution. Nous continuerons à influencer l’élaboration de la législation et de la réglementation fédérales en matière de protection des renseignements personnels et à y contribuer.

Cette priorité s’applique également au travail que vous effectuez.

J’ai mentionné que la communauté de l’AIPRP fait le pont entre le Commissariat et les secteurs de programme de toutes les organisations fédérales. Nous vous encourageons à tirer parti de ce rôle pour accroître l’efficacité des échanges entre votre ministère et le Commissariat – en nous consultant au plus tôt à propos des initiatives ayant des répercussions sur la vie privée, en réalisant des évaluations des facteurs relatifs à la vie privée, en signalant rapidement les atteintes à la vie privée, en collaborant avec nos enquêteurs et en travaillant à la mise en œuvre des recommandations convenues.

Lorsque vous collaborez avec mon équipe et que vous lui donnez une vision complète des développements touchant la vie privée au sein de vos institutions, nous pouvons vous aider à mieux servir la population canadienne.

J’aimerais prendre un moment pour parler des atteintes à la vie privée, y compris celles causées par des rançongiciels et des accès inappropriés.

Durant l’exercice 2022-2023, environ 300 atteintes ont été signalées au Commissariat au titre de la Loi sur la protection des renseignements personnels, ce qui représente une baisse de plus d’un tiers par rapport à l’année précédente. Malheureusement, nous ne pensons pas que ce soit attribuable au fait qu’il y a eu moins d’atteintes.

La plupart des déclarations d’atteinte que nous recevons proviennent des mêmes institutions fédérales chaque année. À ce jour, bon nombre des institutions qui sont assujetties à la Loi sur la protection des renseignements personnels et qui traitent des renseignements personnels sensibles n’ont jamais signalé d’atteinte à la vie privée.

L’une des raisons pour lesquelles nous soupçonnons que les atteintes à la vie privée pourraient ne pas être toutes déclarées est le fait que nous ne savons pas avec certitude si celles-ci ont causé ce que la loi appelle un « risque réel de préjudice grave ».

Plusieurs facteurs permettent d’évaluer le risque de préjudice grave découlant d’une atteinte. Pour faciliter cette analyse, le Commissariat a récemment mis au point un outil informatique qui aidera les organisations à établir s’il est raisonnable de penser qu’une atteinte à la vie privée présente un risque de préjudice grave. L’outil ne remplace pas le jugement humain, mais il fournit des données qui permettent d’éclairer ce jugement. Au cours de l’année, nous prévoyons de lancer une version externe de l’outil.

Le plan stratégique nous engage à affiner nos outils et nos processus afin d’optimiser l’incidence de nos efforts. Il s’agit ici d’un exemple de la façon dont notre modernisation interne peut également profiter à votre travail.

Le Secrétariat du Conseil du Trésor du Canada exige que les atteintes substantielles à la vie privée lui soient aussi signalées en plus du Commissariat. Lorsque vous signalez une atteinte dès que vous en prenez connaissance, vous permettez à votre institution de bénéficier de notre expertise en matière d’intervention en plus de contribuer à atténuer les futures atteintes qui pourraient toucher des renseignements personnels.

De plus, le signalement des incidents permet au Commissariat de mieux saisir les risques actuels et émergents auxquels sont confrontés les organismes gouvernementaux; nous sommes ainsi mieux positionnés pour vous aider tous à prévenir de tels incidents.

Ceux qui travaillent dans le domaine de la protection de la vie privée connaissent bien les exigences en matière d’évaluation des facteurs relatifs à la vie privée et l’utilité du processus, mais il est important de faire plus de sensibilisation à ce propos au-delà de la communauté de la protection de la vie privée.

La Direction des services-conseils au gouvernement du Commissariat est là pour vous appuyer. Je vous invite à communiquer avec cette équipe pour planifier une séance de sensibilisation ou une consultation.

En résumé, plus vous travaillerez avec le Commissariat, plus nous serons à même de soutenir le contexte de la communauté fédérale de protection de la vie privée et d’y réagir. Continuons à travailler pour renforcer nos relations.

Faire valoir la protection de la vie privée privée à l’heure où se succèdent les changements technologiques et agir en ce sens

La deuxième priorité stratégique consiste à tenir compte des répercussions sur la vie privée des progrès technologiques en constante évolution, en particulier pour ce qui est de l’IA et de l’IA générative, qui est au cœur des conversations sur la protection de la vie privée depuis que ChatGPT a été lancé, en novembre 2022.

Nous avons tous constaté que les avancées technologiques axées sur les données peuvent apporter des avantages, mais également accroître les risques pour la vie privée.

Cette priorité est pertinente pour le travail que vous accomplissez, car le gouvernement, comme bon nombre d’autres secteurs, exploite la technologie afin de trouver des solutions novatrices qui permettent de mieux servir les clients et d’utiliser les ressources plus efficacement.

Ces avancées technologiques nécessitent également que nous renforcions notre savoir collectif et notre capacité à appuyer les travaux de la communauté de la protection de la vie privée dans une ère numérique. Par exemple, nous continuerons à adopter des technologies pour pouvoir établir une façon de les utiliser qui ne compromet pas la vie privée et servir de modèle.

En favorisant une culture de protection de la vie privée, en encourageant l’utilisation des principes de protection de la vie privée dès la conception et de protection de la vie privée par défaut, et en établissant des normes en matière de protection de la vie privée, nous visons à encourager l’innovation tout en protégeant le droit fondamental à la vie privée.

En privilégiant cette approche, nous serons en mesure de mieux vous aider lorsque vous aurez des questions ou que vous rencontrerez des défis concernant la protection de la vie privée et la technologie.

Il demeure important que chacun de vous continue d’instaurer une culture de protection de la vie privée dans votre ministère, que vous souligniez les bienfaits de la protection de la vie privée dès la conception, notamment lorsque vous intégrez de nouvelles technologies, et lorsque vous concevez et modernisez des programmes et des services qui mettent en jeu des renseignements personnels.

Accorder une priorité aux considérations en matière de vie privée et les intégrer dans la planification et la prestation des programmes et services constitueront un facteur important pour le maintien de la confiance envers vos programmes et services, et placent le gouvernement du Canada dans la meilleure des positions pour poursuivre sa démarche d’innovation et de modernisation.

Ainsi, la population du Canada pourra tirer avantage des services axés sur la technologie tout en ayant l’assurance que son gouvernement protège adéquatement ses renseignements personnels.

Cet élément est également mis en évidence dans la Stratégie relative aux données de 2023-2026 pour la fonction publique fédérale, qui mentionne que « la fonction publique doit donner l’exemple en matière de gestion, de sécurité et d’utilisation des données que les Canadiens lui confient. Il est donc essentiel d’instaurer et de maintenir la confiance du public grâce à des pratiques transparentes en matière de données et à la protection de la vie privée conformément aux politiques et à la législation. »

Je vous encourage à travailler avec le Commissariat afin de soulever et de résoudre les préoccupations en matière de protection de la vie privée lorsque votre ministère envisage d’adopter des outils d’IA générative – ou d’autres nouvelles technologies ou approches.

En septembre dernier, le Secrétariat du Conseil du Trésor a publié un guide sur l’utilisation de l’IA générative au gouvernement du Canada. Le guide invite à la prudence tout en indiquant que les institutions fédérales devraient étudier comment elles pourraient utiliser des outils d’IA générative pour appuyer leurs opérations. Le guide présente des considérations quant aux risques que ces outils présentent et des approches d’atténuation.

On y encourage également les organisations à limiter leur utilisation de ces outils aux activités dont elles sont en mesure de gérer les risques efficacement. J’approuve l’adoption d’une approche minutieuse et prudente dans un contexte où les organisations envisagent de plus en plus d’utiliser l’IA.

La prolifération de l’IA générative ces dernières années a engendré des préoccupations croissantes relativement aux lois et aux règlements. Bien que je croie fermement que les lois canadiennes en matière de protection des renseignements personnels doivent être mises à jour, elles sont neutres sur le plan technologique et s’appliquent à l’utilisation des technologies d’IA, et je suis déterminé à veiller à leur application dans ce domaine.

Au printemps dernier, j’ai ouvert une enquête conjointe, en collaboration avec mes homologues des provinces, sur OpenAI, l’entreprise qui est à l’origine de ChatGPT, afin d’établir si ses pratiques sont conformes aux lois canadiennes sur la protection des renseignements personnels.

Cette enquête est en cours. Nous continuons de surveiller ces pratiques et d’autres nouvelles technologies afin de pouvoir prévoir l’incidence de celles-ci sur la vie privée.

Nous continuons également de recommander des pratiques exemplaires afin de nous assurer que ces technologies respectent les principes de protection de la vie privée et nous encourageons l’utilisation de technologies d’amélioration de la confidentialité.

Je crois qu’il faut beaucoup plus pour relever les défis et exploiter les possibilités uniques qui accompagnent cette technologie afin d’établir comment tirer parti des avantages que promet l’IA générative tout en atténuant autant que possible les risques qui y sont associés.

Au cours de la dernière année, j’ai travaillé de près avec les autorités de protection de la vie privée du Canada et des 4 coins du globe pour trouver des moyens de promouvoir et de protéger le droit fondamental à la vie privée de nos citoyennes et de nos citoyens, tout en permettant une innovation au service de l’intérêt public et d’une économie forte.

Nous avons accompli tout ce travail en tant que membres de la communauté de la protection de la vie privée, mais aussi en collaboration avec l’industrie, des entreprises, le gouvernement et des autorités de réglementation dans d’autres domaines comme la concurrence et la radiodiffusion en vue d’élaborer la démarche d’intervention réglementaire appropriée.

Une de ses initiatives a eu lieu le mois dernier : j’ai animé le Symposium international sur la protection de la vie privée et l’IA générative auquel ont participé des autorités de protection de la vie privée, des universitaires et des experts du domaine de l’IA générative du pays et de l’étranger.

Le Symposium a servi de tremplin pour un ensemble de principes visant à favoriser une utilisation responsable et digne de confiance de l’IA générative que le Commissariat a élaboré conjointement avec ses homologues des provinces et des territoires.

Je vous invite à lire ces principes et à en suivre le progrès puisqu’ils peuvent appuyer la façon dont vous abordez les nouvelles technologies et la manière dont celles-ci peuvent être intégrées dans le respect de la vie privée.

Un autre défi lié à la technologie et à la protection de la vie privée est le recours croissant à la biométrie, comme dans le cas de la reconnaissance faciale et de la collecte de renseignements génétiques.

En octobre dernier, le Commissariat a publié 2 documents d’orientation provisoires sur la biométrie à des fins de consultation, l’un pour le secteur privé et l’autre pour le secteur public. Nous souhaitons obtenir des observations sur ces documents afin de nous assurer que les organisations utilisent ces technologies dans le respect de la vie privée.

La période de consultation est prolongée jusqu’au 16 février.

Durant la période de discussion, n’hésitez pas à poser vos questions sur l’utilisation de l’IA et sur les nouvelles technologies implantées dans votre ministère.

Défendre le droit à la vie privée des enfants

La troisième priorité stratégique du Commissariat vise à défendre le droit à la vie privée des enfants. Cette priorité est d’autant plus pertinente pour les ministères et organismes qui recueillent, utilisent et conservent des renseignements personnels sensibles dans le cadre de programmes qui s’adressent aux enfants.

L’importance que nous accordons à ce domaine pourrait présenter un certain intérêt pour les personnes qui cherchent à atténuer les risques que pose la technologie, notamment les risques liés à la sécurité et aux préjudices en ligne.

Le monde numérique offre aux jeunes des possibilités d’innovation, de créativité et d’expression. Cependant, il pose également des défis sans précédent en ce qui concerne leur vie privée.

Nous devons faire respecter le droit fondamental à la vie privée des enfants de sorte que ces derniers puissent profiter de la technologie sans subir des répercussions importantes sur leur sécurité et leur bien-être à court et long terme.

Le Commissariat plaide en faveur de lois qui reconnaissent explicitement les droits des enfants et qui exigent des organisations qu’elles intègrent la protection de la vie privée dans leurs produits et leurs services dès la conception, en tant que norme à respecter.

Dans le cadre de notre plan stratégique, nous nous engageons à mieux saisir les principaux risques, problèmes et lacunes en matière de protection de la vie privée des enfants, et à mieux comprendre comment et où les enfants consomment du contenu et la manière dont leurs renseignements personnels sont recueillis et utilisés.

En outre, nous travaillerons à élargir nos partenariats avec les organisations de partout au Canada et à l’étranger, afin de susciter le recours aux documents d’orientation, aux ressources et aux conseils et d’inciter les entreprises à concevoir des produits et des services respectueux de la vie privée des enfants.

L’automne dernier, à l’occasion de notre réunion annuelle des autorités de protection de la vie privée fédérale, provinciales et territoriales, mes collègues et moi-même avons publié une résolution commune demandant aux organisations des secteurs privé et public de mettre à l’avant-plan l’intérêt supérieur des jeunes lorsqu’elles traitent des renseignements sensibles les concernant.

Les institutions fédérales devraient tenir compte de la vulnérabilité et des besoins particuliers de ce groupe lorsqu’elles recueillent et gèrent les renseignements personnels des individus qui le composent, et prendre des mesures pour veiller à ce que la vie privée de ces individus soit adéquatement protégée.

Comme démarche, vous pouvez réfléchir à l’intérêt supérieur des jeunes et aux scénarios de risques à court et long terme qui pourraient se présenter dans les programmes et les services fournis par votre organisation. Il faut notamment tenir compte de l’âge et du niveau de maturité de vos utilisateurs ou de votre public.

Lorsque vous recueillez des renseignements personnels, vous devriez faire preuve de transparence quant à la raison de votre collecte et à la manière dont ces renseignements seront gérés.

Par exemple, rédigez des énoncés de confidentialité clairs et utilisez un langage simple pour décrire les services d’une manière compréhensible pour tous.

L’automne dernier, le Commissariat a publié un bulletin sur la Loi sur la protection des renseignements personnels présentant les principaux points à retenir pour les institutions fédérales dans la conception et la mise en œuvre de programmes en gardant à l’esprit l’intérêt supérieur de l’enfant.

Le Bulletin et la résolution figurent sur notre site Web.

J’aimerais aussi attirer votre attention sur une autre enquête que le Commissariat a entamée l’an dernier conjointement avec le Québec, l’Alberta et la Colombie-Britannique. L’enquête porte sur les pratiques relatives à la protection de la vie privée de TikTok, une application particulièrement populaire chez les jeunes. Je m’attends à ce que nos conclusions soient instructives pour de nombreuses organisations qui recueillent et traitent des renseignements personnels sensibles concernant des enfants.

Conclusion

Pour conclure, la protection de la vie privée est l’un des principaux défis de notre époque. Le Commissariat est prêt à relever ce défi en déployant des efforts sans relâche sur plusieurs fronts : la défense des intérêts, la collaboration, l’éducation, la promotion et l’application de la loi.

Mes priorités stratégiques pour le Commissariat nous permettent de concrétiser notre engagement à favoriser un avenir propice à l’innovation où le droit fondamental à la vie privée est respecté.

Je vous invite de nouveau à lire le nouveau plan stratégique et à nous faire part de vos précieuses observations sur les meilleurs moyens pour atteindre ces objectifs.

Notre succès en tant que communauté de protection de la vie privée reposera sur un engagement et une collaboration solides ainsi que sur un renforcement continu de nos capacités, qui permettront de faire face aux nombreux scénarios, défis et possibilités de notre époque, et ainsi de protéger le droit fondamental à la vie privée.

La Semaine de la protection des données est un bon moment pour nous pencher sur ce que nous faisons et la raison pour laquelle nous le faisons. J’espère qu’en vous faisant part de mes priorités aujourd’hui, je vous ai permis de songer à des éléments et à des occasions que présentent vos rôles et qui pourraient faire progresser vos travaux.

Votre travail est difficile. Vous devez être fiers de ce que vous accomplissez chaque jour.

Merci. Je pense qu’il reste du temps pour les questions ou les commentaires.

Date de modification :