Lettre aux porte-parole de l’Opposition officielle
PAR COURRIEL
Le 20 août 2020
L’honorable Michelle Rempel Garner, C.P., députée
Chambre des communes
Pierre Paul-Hus, député
Chambre des communes
Matt Jeneroux, député
Chambre des communes
Madame la Députée,
Messieurs les Députés,
Nous vous remercions de votre lettre du 29 juillet 2020 au sujet des répercussions sur la vie privée de l’application de notification d’exposition à la COVID-19 du gouvernement fédéral (Alerte COVID) et de l’application ArriveCAN.
Dans les jours qui ont suivi la réception de votre correspondance, le Commissariat à la protection de la vie privée (« le Commissariat ») a terminé son examen de l’application Alerte COVID. Notre examen et l’évaluation de la protection des renseignements personnels de Santé Canada sont maintenant accessibles en ligneNote de bas de page 1 .
Tout au long de la pandémie, le Commissariat a reconnu que la crise sanitaire actuelle exige une application souple et contextuelle des lois sur la protection de la vie privée. Toutefois, comme la vie privée est un droit fondamental, il est très important, dans notre pays démocratique fondé sur la primauté du droit, que les principes clés continuent de s’appliquer, même si toutes ses exigences les plus pointues ne s’appliquent pas avec la même rigueur qu’en temps normal.
Toujours dans le but d’assurer à la fois une plus grande souplesse dans l’application de la loi et le respect de la vie privée comme droit fondamental, le Commissariat a publié en avril un cadre pour l’évaluation des initiatives en réponse à la pandémie ayant une incidence importante sur la vie privée (« le cadre »)Note de bas de page 2. Par la suite, nous avons publié en mai une déclaration commune avec les commissaires provinciaux et territoriaux à la protection de la vie privée sur les principes de protection de la vie privée qui doivent être respectés lors de la conception et de l’utilisation de toute application de traçage de contacts ou application similaire (« la déclaration commune FPT »)Note de bas de page 3. Ces deux documents avaient pour but de fournir des orientations claires sur la manière d’intégrer la protection de la vie privée dans la conception des programmes gouvernementaux visant à lutter contre la pandémie, compte tenu du fait que nos lois n’offrent pas un niveau de protection efficace adapté à l’environnement numérique. Certains des principes énoncés dans nos documents d’orientation n’ont pas force de loi actuellement au Canada, même s’ils sont considérés comme des principes fondamentaux de la vie privée au niveau international.
Notre examen de l’application Alerte COVID a mis en évidence de graves faiblesses de nos lois fédérales actuelles en matière de protection de la vie privée. Soulignons entre autres que le gouvernement a pris comme position que l’application ne recueille pas de renseignements personnels et donc qu’elle n’est pas assujettie à ses lois sur la protection des renseignements personnels. En outre, bien que la conception de l’application soit bonne et que le gouvernement ait accepté d’être assujetti à un contrôle indépendant, il n’était pas tenu de prendre ces engagements. Le gouvernement a choisi de respecter les principes énoncés dans nos documents d’orientation parce que la confiance du public est essentielle au succès de l’application. Toutefois, en l’absence de lois solides, d’autres programmes et applications pourraient être mis en œuvre à l’avenir sans de telles protections.
Application Alerte COVID
Comme vous le notez dans votre lettre, j’ai comparu devant le Comité permanent de la Chambre des communes sur l’industrie, les sciences et la technologie le 29 mai 2020, où j’ai abordé les considérations en matière de protection de la vie privée associées aux applications de traçage numérique de contacts. À la suite de ma comparution, le gouvernement fédéral a fait appel au Commissariat pour examiner l’application Alerte COVID. Nous avons échangé plusieurs communications avec des représentants du gouvernement pendant plusieurs semaines, examiné leur évaluation de la protection des renseignements personnels, et publié notre examen final de l’application le 30 juillet 2020.
Tout au long du processus, Santé Canada et d’autres partenaires fédéraux ont communiqué avec le Commissariat pour discuter de l’évolution du dossier. Ces discussions ont eu lieu sur une courte période. Bien qu’idéalement nous aurions préféré être consultés plus tôt, nous avons finalement été satisfaits de la nature de la consultation qui a eu lieu. Le gouvernement a accepté plusieurs de nos recommandations et nous avons conclu que le programme respectait tous nos principes recommandés. Comme vous le savez, le gouvernement fédéral a lancé l’application Alerte COVID le 31 juillet 2020.
Vous soulevez un certain nombre de questions importantes dans votre lettre, auxquelles je réponds comme suit, sur la base de notre examen de l’application Alerte COVID :
Collecte de données personnelles
Comme il a été mentionné précédemment, et comme vous le notez dans votre lettre, le gouvernement fédéral est d’avis qu’aucun renseignement personnel n’est recueilli par l’application. Tout au long de notre examen, nous avons posé une série de questions sur cette affirmation, ainsi que sur les mesures mises en place pour protéger les renseignements qui jouent un rôle dans le fonctionnement de l’application, y compris les informations sur les interactions entre le niveau fédéral et le système provincial. En fin de compte, nous avons déterminé que le gouvernement a pris des mesures importantes pour s’assurer que les données sont fortement protégées et dépersonnalisées.
Il va de soi que des renseignements personnels sur la santé sont recueillis par les autorités sanitaires provinciales. L’application elle-même, cependant, prend grand soin de s’appuyer sur des données dépersonnalisées, y compris des numéros aléatoires qui ne sont pas associés à des individus. Au moment critique où une personne est diagnostiquée comme étant atteinte de la COVID-19 et où les autorités sanitaires provinciales lui fournissent un code unique à entrer dans l’application, là encore, on prend grand soin de s’assurer que son identité est bien protégée. Par exemple, le processus d’appariement des contacts a uniquement lieu sur les téléphones des utilisateurs et aucune donnée personnelle ne quitte le téléphone d’un utilisateur.
Nous sommes convaincus que des mesures exceptionnellement fortes ont été adoptées pour garantir que l’identité des utilisateurs est protégée et n’est pas communiquée au gouvernement du Canada. Bien que les experts s’accordent généralement pour dire qu’il n’existe pas de risque zéro de réidentification des données dépersonnalisées, nous avons déterminé ici, à la lumière des mesures de sécurité et autres garanties adoptées, que le risque de réidentification est très faible.
Stockage sécurisé des données personnelles et protection contre le piratage
Selon notre examen de la documentation fournie au Commissariat, nous avons conclu que l’application Alerte COVID dispose de garanties très solides. Cette évaluation est basée en partie sur les considérations suivantes :
- Des techniques de chiffrement exceptionnellement vigoureuses protègent toutes les données en cours d’utilisation, en transit et inactives.
- Le processus de code à usage unique repose sur l’une des fonctions de hachage cryptographique les plus puissantes.
- Les spécifications cryptographiques de Google et Apple mises en place pour protéger les données rendent « impossible pour un attaquant de trouver une collision sur un identificateur de proximité en continuNote de bas de page 4 » (traduction libre). Grâce à ces garanties, le risque que des pirates informatiques puissent obtenir les données des utilisateurs est exceptionnellement faible.
- Le Service numérique canadien (SNC) a mis en place des mesures appropriées pour protéger les données stockées sur ses serveurs. Bien que les adresses IP accompagnent les tentatives de vérification des codes uniques envoyés aux serveurs du SNC, la conservation de ces adresses IP est limitée. L’accès aux adresses IP est également limité à un petit nombre d’employés. Les données stockées par le SNC sont également en grande partie désidentifiées. Par conséquent, le risque de réidentification à partir du stockage des adresses IP est extrêmement faible.
Destruction appropriée des données relatives à la santé et aux personnes
Après avoir discuté de la question de la destruction des données avec Santé Canada, nous sommes convaincus que le ministère a pris des mesures importantes pour limiter autant que possible la conservation des données, pour les supprimer à intervalles réguliers et pour fermer l’application dans les 30 jours suivant la déclaration de la fin de la pandémie. Il est également important que les personnes puissent supprimer l’application à tout moment.
Conséquences imprévues
Vous vous informez dans votre lettre des « conséquences imprévues » des alertes de proximité. Bien que ce terme soit quelque peu ambigu, il existe des mécanismes de contrôle qui devraient permettre de vérifier l’efficacité de l’application, entre autres facteurs. Par exemple, le Commissariat a proposé d’exercer un rôle de surveillance en réalisant une vérification un mois après le lancement de l’application, et sur une période régulière définie par la suite. Santé Canada a confirmé qu’il procédera à une vérification conjointe avec le Commissariat, qui débutera au quatrième trimestre de 2020 et qui comprendra une évaluation du respect des principes énoncés dans la déclaration conjointe des commissaires à la protection de la vie privée du Canada, y compris une analyse continue de l’efficacité de l’application en vertu du principe de nécessité et de proportionnalité. Si nous constatons des problèmes au cours de notre vérification, nous demanderons au gouvernement de mettre hors service l’application.
En outre, le gouvernement a formé un conseil consultatif externe dont le mandat est de fournir des conseils et des orientations « pour garantir que l’application répond aux normes les plus élevées en matière de résultats de santé publique, de technologie et de respect de la vie privée » et dont les membres proviennent de diverses disciplines, notamment la santé, la protection de la vie privée, la gouvernance des données et la science. Santé Canada s’est engagé à fournir au Commissariat des rapports réguliers sur les travaux du conseil consultatif.
Une de nos préoccupations majeures concerne le caractère volontaire de l’application et le principe de finalité. Bien que nous soyons convaincus que ces principes soient respectés par le gouvernement, il n’est pas certain que nos lois interdisent aux organisations de rechercher des informations dans l’application. Les organisations pourraient ainsi exiger des détails sur la réception d’une notification d’exposition par l’utilisateur, comme condition de service ou pour autoriser le retour sur le lieu de travail. Bien que le gouvernement se soit engagé à fournir des messages indiquant que les personnes ne devraient pas être obligées d’utiliser l’application ou de divulguer des renseignements sur leur utilisation de celle-ci, ainsi que des orientations au secteur privé à cet égard, ces mesures n’éliminent pas complètement ce risque.
De même, plusieurs entités commerciales pourront déterminer si des personnes ont téléchargé et utilisé l’application. Ces entités ne devraient pas être autorisées à surveiller l’utilisation que font leurs clients de l’application Alerte COVID.
D’autres pays ont légiféré pour interdire de telles pratiques. En fin de compte, la loi devrait être modifiée pour rendre ces principes applicables aux tiers.
Nous espérons que ces informations répondront à vos questions concernant notre évaluation de l’application Alerte COVID, mais si vous avez des questions ou des préoccupations supplémentaires ou non résolues, nous serions heureux d’avoir l’occasion d’approfondir ce sujet avec vous.
Application ArriveCAN
Vous soulevez également l’application ArriveCAN. L’Agence de la santé publique du Canada (ASPC) a consulté le Commissariat en juin au sujet d’activités liées au respect et au contrôle des exigences de quarantaineNote de bas de page 5 visant les voyageurs qui arrivent au Canada, y compris certains aspects de l’application ArriveCAN. Par la suite, nous avons reçu de l’ASPC une évaluation de la conformité aux lois (ECL) sur la protection des renseignements personnels concernant ces activités et nous avons formulé des recommandations. Nous avons également demandé plus d’information et attendons actuellement une réponse.
À titre de référence, une ECL est une analyse simplifiée, en comparaison avec l’évaluation des facteurs relatifs à la vie privée (EFVP) normalement requise pour une initiative gouvernementale. Durant la pandémie, le Secrétariat du Conseil du Trésor du Canada (SCT) a accordé aux ministères le pouvoir discrétionnaire d’effectuer une ECL plutôt qu’une EFVP afin de leur offrir une plus grande souplesse dans l’élaboration des programmes et des initiatives en réponse à la COVID-19, tout en assurant le respect de la Loi sur la protection des renseignements personnels.
Dans votre lettre, vous demandez si le Commissariat est préoccupé par une disposition de l’avis de confidentialité d’ArriveCANNote de bas de page 6 décrivant les communications potentielles de renseignements personnels. La section de l’avis que votre lettre met en évidence fait partie d’un paragraphe plus long qui, lorsqu’il est lu dans son intégralité, précise que les informations recueillies seront utilisées et/ou communiquées à des fins de suivi et de contrôle de la santé publique et de vérification du respect de la Loi sur la mise en quarantaine et des ordonnances d’urgence prises en vertu de celle-ci. Nous comprenons que la divulgation aux unités de santé publique provinciales et territoriales et aux organismes d’application de la loi au Canada est une composante nécessaire du processus de quarantaine en vertu de la Loi sur la mise en quarantaine pour les deux objectifs énoncés. Sur cette base, nous n’avons pas d’inquiétudes concernant cette disposition particulière qui décrit les activités de communication de renseignements pour lesquels l’ASPC a l’autorité légale et un besoin défini de communiquer des renseignements.
L’avis indique ensuite que « [d]ans des situations exceptionnelles bien précises, les renseignements personnels pourraient être utilisés et divulgués sans le consentement de votre institution, conformément au paragraphe 8(2) de la Loi sur la protection des renseignements personnels ». Cette disposition laisse au gouvernement la possibilité d’utiliser et de communiquer les renseignements personnels recueillis en réponse directe à la pandémie de COVID-19 à d’autres fins qui n’y sont pas liées, comme le permet effectivement le paragraphe 8(2) de la Loi sur la protection des renseignements personnels. Les préoccupations éventuelles du Commissariat quant à de telles utilisations dépendrait des particularités des activités envisagées.
Étant donné que nos discussions avec le gouvernement sur cette initiative sont en cours, nous ne sommes pas en mesure de fournir de plus amples renseignements pour le moment.
État des lois fédérales sur la protection des renseignements personnels
Votre lettre soulève la question cruciale de l’adéquation de nos lois sur la protection de la vie privée pour protéger les données des Canadiens en ce qui concerne ces deux applications. Comme indiqué précédemment, notre travail d’examen de l’application Alerte COVID a mis en évidence certaines faiblesses de nos lois et l’urgence de les moderniser. Comment notre gouvernement peut-il prétendre qu’une application décrite dans le monde entier comme ayant une incidence considérable sur la protection de la vie privée et qui soulève des préoccupations raisonnables pour l’avenir des valeurs démocratiques n’est pas assujettie à ses lois sur la protection de la vie privée?
L’ère numérique a sans aucun doute permis d’améliorer les services offerts aux Canadiens. Bien que l’application Alerte COVID ne soit pas une panacée, elle devrait contribuer, avec d’autres mesures, à réduire la propagation de la COVID-19 et donc à sauver des vies.
Parallèlement, la pandémie actuelle a considérablement accéléré ce qui était déjà une révolution numérique perturbatrice. On peut citer comme exemple le recours beaucoup plus important à la médecine virtuelle et à l’apprentissage en ligne. Ces technologies offrent de réels avantages, mais créent également des risques très importants pour la protection de la vie privée et d’autres droits.
Ce dont nous avons besoin, plus que jamais, ce sont des lois qui permettent aux technologies de produire ces avantages dans l’intérêt public tout en protégeant les droits fondamentaux comme la vie privée. En outre, en raison du rôle croissant des partenariats public-privé dans le traitement de situations telles que la crise de COVID, nous avons besoin de principes communs enchâssés dans nos lois visant les secteurs public et privé.
Voici quelques exemples de la manière dont nos lois sur la protection des renseignements personnels doivent être mises à jour pour mieux protéger les Canadiens dans le contexte de l’environnement numérique, notamment en ce qui concerne les deux applications en question :
- Lois sur la protection des renseignements personnels fondées sur les droits : À la lumière des risques de plus en plus importants que posent les technologies axées sur les données, notamment pour des droits tels que la vie privée, l’égalité et la démocratie, le Commissariat a plaidé pour que nos lois sur la protection des renseignements personnels soient fondées sur les droits. Cela comprendrait l’ajout d’un préambule et d’un énoncé d’objet à chacune de nos lois fédérales qui serviraient à fournir des orientations quant aux valeurs, principes et objectifs qui devraient façonner l’interprétation et l’application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de la Loi sur la protection des renseignements personnels. Cela supposerait également l’inclusion d’autres mesures importantes dans nos lois, telles que l’obligation de démontrer la responsabilité des organisations et des ministères, et la possibilité pour le Commissariat de mener des inspections proactives, entre autres.
- Principe de finalité : Dans le cas de l’application Alerte COVID, il n’est pas clair si la loi interdit actuellement aux organisations de rechercher des informations se trouvant dans l’application, y compris si l’utilisateur a reçu une notification d’exposition, comme condition de service. À notre avis, le fait que le caractère volontaire et le principe de finalité ne puissent être clairement opposés à des tiers constitue une autre lacune de nos lois actuelles.
- Principes de nécessité et de proportionnalité : Les institutions gouvernementales devraient être tenues de s’assurer que leurs mesures sont nécessaires et proportionnées, c’est-à-dire essentiellement fondées sur de la preuve, nécessaires pour une fin particulière déterminée et n’ayant pas une portée excessive. À notre avis, ces principes servent à établir un équilibre entre le droit à la vie privée et l’obligation du gouvernement de recueillir, d’utiliser et de communiquer des renseignements personnels à des fins qui servent manifestement l’intérêt public.
- Obligation de consulter le Commissariat et de réaliser des évaluations des facteurs relatifs à la vie privée : Dans le même ordre d’idées, l’obligation de consulter le Commissariat sur les initiatives qui présentent des risques pour la vie privée et de réaliser des EFVP pour s’assurer que ces risques sont définis et atténués se limite seulement à une exigence de politiques. Par conséquent, cette obligation n’est pas respectée de manière uniforme. Nous plaidons depuis longtemps pour que de telles mesures soient obligatoires en vertu de la loi.
- Informations dépersonnalisées : Il est bien établi qu’il y a toujours un risque que des personnes puissent être réidentifiées lorsque leurs renseignements personnels ont été dépersonnalisés. La loi devrait définir les renseignements dépersonnalisés afin de permettre une application plus ciblée et nuancée de certaines règles plutôt que de risquer qu’ils échappent complètement à l’application de la loi.
- Contrôle indépendant : Parmi les règles qui devraient s’appliquer même si des informations dépersonnalisées sont utilisées, il y a l’exigence d’un contrôle indépendant. Le gouvernement a finalement accepté d’inviter le Commissariat à participer à une vérification conjointe de l’application Alerte COVID, mais cela s’est fait à la suite d’assez longues discussions. La loi devrait prévoir un contrôle indépendant dans tous les cas où le droit à la vie privée est en jeu.
Conclusion
Lorsque je me suis présenté devant le Comité permanent de la Chambre des communes sur l’industrie, les sciences et la technologie, j’ai indiqué que, lorsqu’elles sont bien conçues, les applications de traçage de contacts peuvent atteindre simultanément les objectifs de santé publique et de protection des droitsNote de bas de page 7. La technologie en soi n’est ni bonne ni mauvaise. Tout dépend de la façon dont elle est conçue, utilisée et réglementée. Si des choix de conception appropriés ont été faits dans une large mesure dans le cas de l’application Alerte COVID, il n’en reste pas moins que notre cadre législatif actuel en matière de protection de la vie privée est dépassé et ne traite pas suffisamment de l’environnement numérique pour garantir une réglementation appropriée des nouvelles technologies.
La crise sanitaire actuelle a montré clairement que la technologie peut jouer un rôle très utile pour rendre les activités essentielles sûres. Cependant, il a également été démontré que les technologies fondées sur les données sont préjudiciables aux droits, notamment à la vie privée, à l’égalité et à la démocratie. Nous avons besoin de lois qui contribuent à la fois au développement et à l’utilisation des technologies dans l’intérêt public, et au respect de nos droits fondamentaux. Cela est vrai non seulement pour les applications de traçage numérique des contacts, mais aussi dans de nombreux autres domaines où nous avons assisté à une nette accélération de la révolution numérique.
À l’échelle internationale, et même provinciale, les lois sur la protection de la vie privée sont renforcées pour relever les défis de l’ère numérique. Il est temps que le Canada fasse de même.
Le Canada a besoin de lois actualisées sur la protection des renseignements personnels qui prennent en compte la vie privée dans tout son éventail de droits et prévoient une application et des recours efficaces. Une telle reformulation de nos lois sur la protection des renseignements personnels contribuera à rétablir la confiance dans la démocratie canadienne et notre économie.
Je vous remercie d’avoir fait part de vos importantes préoccupations au Commissariat et vous prie d’agréer, Madame la Députée, Messieurs les Députés, mes salutations distinguées.
Le commissaire,
(La version originale a été signée par)
Daniel Therrien
Contenu connexe
- Annonce : Le commissaire écrit aux députés au sujet de la protection de la vie privée en temps de pandémie
- Lettre aux membres des comités
- Tableau comparatif : Protection de la vie privée ailleurs dans le monde
- Date de modification :