Lettre au chef du Parti conservateur du Canada sur des enjeux importants concernant la protection de la vie privée
Le 18 octobre 2021
L’honorable Erin O’Toole, c.p., député
Chef de l’opposition
Chef du Parti conservateur du Canada
Chambre des communes
Ottawa (Ontario) K1A 0A6
erin.otoole@parl.gc.ca
Monsieur le Député,
Je tiens à vous offrir toutes mes félicitations pour votre réélection. Je me réjouis de constater dans la plateforme de votre parti que vous considérez la protection des renseignements personnels numérique comme un droit fondamental de la personne et que vous êtes en faveur d’une réforme législative pour renforcer la réglementation de la vie privée.
L’élection du 20 septembre dernier s’est tenue dans un contexte d’urgence sanitaire sans précédent, et les Canadiens s’en remettent à leurs élus pour décider de la direction que prendra la relance économique post-pandémie. Compte tenu de l’importance des données dans l’économie contemporaine, cette relance devra nécessairement inclure une stratégie pour favoriser l’innovation technologique responsable dans le respect du droit à la vie privée. Je souhaite par la présente contribuer à votre réflexion sur cette question en attirant votre attention sur les enjeux les plus importants.
Je partage l’opinion exprimée par plusieurs représentants du secteur canadien de l’innovation technologique voulant qu’une réforme des lois fédérales de protection des renseignements personnels soit nécessaire afin de stimuler l’innovation et la croissance économique du Canada. À titre d’exemple, la Chambre de commerce du Canada recommande la création d’un écosystème numérique favorisant à la fois la protection des données et l’innovation.Note de bas de page 1 Le Conseil canadien des innovateurs réclame la création d’une infrastructure numérique plus sophistiquée permettant aux entreprises de réussir et fonctionnant en tandem avec l’infrastructure politique numérique du gouvernement.Note de bas de page 2
Si tous s’entendent sur la nécessité de repenser le cadre juridique de l’économie des données, il n’y a pas nécessairement consensus sur la façon d’y arriver. Certains craignent qu’une réglementation rigoureuse n’entrave l’innovation. D’autres, comme le président du Conseil canadien des innovateurs, Jim Balsillie, croient au contraire qu’une telle réglementation rendrait le marché plus concurrentiel et dynamique. L’expérience de pays comme l’Allemagne et la Corée du Sud, des leaders en innovation, démontre que les lois qui protègent efficacement les droits des consommateurs augmentent leur confiance et stimulent l’économie numérique.
Je vous rappelle également que dans leur déclaration du 28 avril 2021, les ministres des Technologies du G7 se sont engagés à placer les besoins d’une société ouverte et démocratique au centre du débat sur l’innovation technologique. Dans la foulée de la rencontre ministérielle, j’ai participé avec mes homologues du G7 à une table ronde sur la libre circulation des données où nous avons convenu de renforcer notre coopération sur la réglementation des principaux enjeux de protection des données dans le but de bâtir une économie numérique responsable. La déclaration des ministres souligne à juste titre que la construction d’un écosystème numérique fondé sur les valeurs de nos sociétés est la meilleure manière de gagner la confiance de la population et de stimuler une relance économique durable et inclusive.
La solution réside précisément dans le fait d’aborder le droit à la vie privée comme droit fondamental de la personne. La technologie et l’innovation ne sont pas en elles-mêmes contraires à la vie privée; il s’agit simplement de penser l’innovation et la protection de la vie privée conjointement, dès la phase de conception, comme les deux facettes d’une même médaille. Bien entendu, la réglementation de l’espace numérique ne se limite pas à la protection de la vie privée; je suis conscient des efforts qui devront être déployés afin d’agir contre les méfaits en ligne et de renforcer la réglementation en matière de concurrence. Je crois néanmoins que ces réformes se supportent mutuellement et qu’une réforme des lois de protection des renseignements personnels aurait un impact positif sur bon nombre de ces enjeux connexes.
Les éléments d’une réforme législative sensée sont clairs. J’ai soumis mes recommandations à l’égard du plan de réforme de la Loi sur la protection des renseignements personnels du ministère de la Justice et j’ai commenté en détail les lacunes de l’ancien projet de loi C-11. Je crois qu’il est possible d’apporter des améliorations substantielles à ce projet de loi à l’intérieur de sa structure actuelle, sans qu’il soit nécessaire de repartir à neuf. Permettez-moi de résumer très brièvement mes principales recommandations en présentant cinq enjeux auxquels la réforme législative devra s’attaquer.
Le premier enjeu concerne l’utilisation légitime des données : comment autoriser l’utilisation des données afin de permettre une innovation responsable tout en protégeant les droits et les valeurs des citoyens? Le consentement des utilisateurs ne doit pas être le seul moyen de protéger la vie privée : il est à la fois trop laxe et trop restrictif dans la mesure où il peut être invoqué pour autoriser une utilisation objectivement déraisonnable des données ou pour limiter indûment leur utilisation dans l’intérêt public. La solution consiste à autoriser l’utilisation des données pour des intérêts commerciaux légitimes, mais à l’intérieur d’un cadre juridique fondé sur la reconnaissance des droits. De cette manière, les utilisations incompatibles avec nos droits et nos valeurs seraient interdites. Ce type de disposition donnerait aux organismes publics et privés la latitude nécessaire pour utiliser les données à de nouvelles fins non prévues au moment de la collecte, parmi un ensemble de fins connaissables et sous réserve de la surveillance réglementaire. Il est bien documenté que le laissez-faire réglementaire qui caractérise les régimes fondés sur le consentement bénéficie principalement aux grandes multinationales de l’économie des données au détriment des entreprises locales ou émergentes. Loin de nuire à la croissance économique, une réglementation sensée de la collecte et de l’utilisation des données pourrait en réalité introduire une plus grande compétitivité dans ce secteur et contribuer à l’émergence de nouvelles entreprises canadiennes.
Le second enjeu consiste à aborder la protection de la vie privée comme droit fondamental de la personne, nécessaire à l’exercice du droit à la liberté, du droit à l’égalité et des droits démocratiques. La Cour suprême du Canada a reconnu aux lois de protection des renseignements personnels un statut quasi constitutionnel et il est temps que ce statut soit codifié dans les lois en question. Le cadre législatif actuel est inadéquat : les principes de protection de la vie privée dépendent essentiellement de l’adoption de bonnes pratiques et ne sont pas enchâssés dans la loi, ce qui les prive de la force d’application d’une obligation juridique. L’heure n’est plus à l’autoréglementation par les entreprises, mais à l’adoption d’un cadre législatif sensé. Ce qui compte, c’est que la loi autorise l’utilisation de données personnelles lorsque cela sert l’intérêt public, des fins légitimes ou le bien commun, mais à l’intérieur d’un régime fondé sur le respect des droits. En conférant aux individus des droits assortis de recours, les lois fédérales de protection des renseignements personnels institueraient un cadre juridique à la fois flexible et prévisible, favorisant ainsi l’innovation responsable.
Le troisième enjeu vise à mieux encadrer les partenariats public-privé en établissant des principes communs ou similaires entre les lois de protection des renseignements personnels dans le secteur privé et dans le secteur public. Les interactions entre ces deux secteurs sont de plus en plus fréquentes, et l’existence de principes communs de protection de la vie privée permettrait aux organisations chevauchant ces deux secteurs d’évoluer dans un environnement réglementaire plus homogène. Cela permettrait également de combler les lacunes au chapitre de la responsabilité dans les situations où il y a des interactions entre ces deux secteurs. Le Commissariat a notamment recommandé que les lois sur la protection des renseignements personnels comprennent les principes de nécessité et de proportionnalité.
Le quatrième enjeu que je souhaite porter à votre attention concerne l’interopérabilité des lois de protection de la vie privée, à la fois à l’égard des juridictions provinciales et internationales. Comme je le note depuis plusieurs années dans mes rapports annuels au Parlement, le Canada traîne de l’arrière en matière de protection de la vie privée. Un tableau comparatif réalisé par mon Commissariat permet de constater que les lois fédérales font l’impasse sur plusieurs mesures de protection de la vie privée adoptées par nos partenaires commerciaux (l’Union européenne, le Royaume-Uni, la Nouvelle-Zélande, l’Australie, la Californie). Similairement, plusieurs provinces sont en voie d’adopter des réformes législatives, dont certaines reconnaitraient le droit à la vie privée comme un droit fondamental de la personne. En l’absence de lois fédérales à jour, de trop grands écarts entre les protections accordées d’une province à l’autre pourraient être source de confusion pour les citoyens et de coûts supplémentaires pour les entreprises.
Le cinquième enjeu concerne la nécessité de recours rapides et efficaces. Plusieurs organisations prennent au sérieux leurs obligations à l’égard des renseignements personnels, mais pas toutes. Il faut donc s’assurer que la loi ne confère pas d’avantages aux contrevenants. Les sanctions doivent être proportionnelles aux gains financiers que peuvent réaliser les entreprises en faisant fi de la vie privée. Sans cela, les entreprises ne changeront pas leurs pratiques ; les sanctions dérisoires seront un coût qu’elles seront prêtes à payer dans la recherche du profit. De plus, le caractère proportionnel des sanctions est un avantage pour les plus petites entreprises. Ce régime de sanction doit aussi pouvoir s’appuyer sur une obligation claire pour les entreprises de se conformer à un standard objectif de responsabilité défini dans la législation. Compte tenu de l’opacité et de la complexité des modèles d’affaires basés sur les données, la loi doit également conférer à mon Commissariat l’autorité de procéder, de manière proactive, à un audit des mesures mises en place par les entreprises pour se conformer à ce standard. Cela permettra de passer du régime actuel d’autoréglementation à un régime de responsabilité démontrable.
Je tiens à conclure en réitérant mon engagement en faveur de l’innovation responsable. La protection des renseignements personnels et la réglementation de l’économie des données sont des enjeux dont se soucient les plus grands innovateurs canadiens, et la réforme législative à venir doit être vue comme une occasion de créer un régime juridique qui favorise les entreprises d’ici tout en protégeant les droits des citoyens canadiens. Alors que j’entame la dernière année de mon mandat de Commissaire à la protection de la vie privée, j’espère que j’aurai l’occasion de m’entretenir avec vous ou avec les membres de votre caucus de ces questions importantes. À cette fin, je serais heureux de vous rencontrer au moment qui vous conviendra.
Je vous prie d’agréer, Monsieur le Député, l’expression de mes sentiments distingués.
Le commissaire,
(Le document original a été signé par)
Daniel Therrien
- Date de modification :