Sélection de la langue

Recherche

Lettre à la présidente du Conseil du trésor sur des enjeux importants concernant la protection de la vie privée

Le 8 novembre 2021

L’honorable Mona Fortier, c.p., députée
Présidente du Conseil du trésor
90, rue Elgin 8ième étage
Ottawa (Ontario) K1A 0R5
president-presidente@tbs-sct.gc.ca

Madame la Ministre,

Je tiens à vous offrir toutes mes félicitations pour votre réélection et votre nomination au poste de Présidente du Conseil du Trésor. Votre Secrétariat et le Commissariat travaillent sur plusieurs questions d’intérêt commun, et je me réjouis à l’idée de soutenir un dialogue constructif entre nos deux organisations.

L’élection du 20 septembre dernier s’est tenue dans un contexte d’urgence sanitaire sans précédent, et les Canadiens vous ont fait confiance pour décider de la direction que prendra la relance économique post-pandémie. Compte tenu de l’importance des données dans l’économie contemporaine, cette relance devra nécessairement inclure une stratégie pour favoriser l’innovation technologique responsable dans le respect du droit à la vie privée. À titre d’employeur de la fonction publique et de ministre responsable de la protection des renseignements personnels, de la numérisation des services gouvernementaux ainsi que du gouvernement ouvert, vous serez appelée à contribuer directement à cette stratégie et à trouver un équilibre approprié entre la transparence gouvernementale et le respect de la vie privée. J’aimerais par la présente contribuer à votre réflexion sur ces questions en attirant votre attention sur les enjeux les plus importants.

J’ai été fortement encouragé par le document de consultation publié par le ministère de la Justice en novembre 2020. Ce document exhaustif, fruit d’une sérieuse réflexion, démontre la détermination du gouvernement à procéder à une réforme en profondeur. Comme je l’ai mentionné dans mon mémoire publié en mars dernier, le document de consultation propose des modifications substantielles qui sont autant d’avancées significatives vers une loi en phase avec les normes modernes de protection des données personnelles. J’ai bon espoir que cela demeure une priorité et qu’un projet de loi sera déposé au Parlement prochainement.

Les réformes de protection des renseignements personnels dans le secteur public et dans le secteur privé sont liées, comme en témoignent les nombreuses questions soulevées par l’utilisation de technologies numériques par le gouvernement en réponse à la pandémie. Un meilleur encadrement des partenariats public-privé par l’établissement de principes communs ou similaires entre les lois de protection des renseignements personnels dans le secteur privé et dans le secteur public permettrait aux organisations chevauchant ces deux secteurs d’évoluer dans un environnement réglementaire plus homogène.

Je partage l’opinion exprimée par plusieurs représentants du secteur canadien de l’innovation technologique voulant qu’une réforme des lois fédérales de protection des renseignements personnels soit nécessaire afin de stimuler l’innovation et la croissance économique du Canada. À titre d’exemple, la Chambre de commerce du Canada recommande la création d’un écosystème numérique favorisant à la fois la protection des données et l’innovation.Note de bas de page 1 Le Conseil canadien des innovateurs réclame la création d’une infrastructure numérique plus sophistiquée permettant aux entreprises de réussir et fonctionnant en tandem avec l’infrastructure politique numérique du gouvernement.Note de bas de page 2

Si tous s’entendent sur la nécessité de repenser le cadre juridique de l’économie des données, il n’y a pas nécessairement consensus sur la façon d’y arriver. Certains craignent qu’une réglementation rigoureuse n’entrave l’innovation. D’autres, comme le président du Conseil canadien des innovateurs, Jim Balsillie, croient au contraire qu’une telle réglementation rendrait le marché plus concurrentiel et dynamique. L’expérience de pays comme l’Allemagne et la Corée du Sud, des leaders en innovation, démontre que les lois qui protègent efficacement les droits des consommateurs augmentent leur confiance et stimulent l’économie numérique.

Je vous rappelle également que dans leur déclaration du 28 avril 2021, les ministres des Technologies du G7 se sont engagés à placer les besoins d’une société ouverte et démocratique au centre du débat sur l’innovation technologique. Dans la foulée de la rencontre ministérielle, j’ai participé avec mes homologues du G7 à une table ronde sur la libre circulation des données où nous avons convenu de renforcer notre coopération sur la réglementation des principaux enjeux de protection des données dans le but de bâtir une économie numérique responsable. La déclaration des ministres souligne à juste titre que la construction d’un écosystème numérique fondé sur les valeurs de nos sociétés est la meilleure manière de gagner la confiance de la population et de stimuler une relance économique durable et inclusive.

La solution réside précisément dans le fait d’aborder le droit à la vie privée comme droit fondamental de la personne. La technologie et l’innovation ne sont pas en elles-mêmes contraires à la vie privée; il s’agit simplement de penser l’innovation et la protection de la vie privée conjointement, dès la phase de conception, comme les deux facettes d’une même médaille. Bien entendu, la réglementation de l’espace numérique ne se limite pas à la protection de la vie privée; je suis conscient des efforts qui devront être déployés afin d’agir contre les méfaits en ligne et de renforcer la réglementation en matière de concurrence. Je crois néanmoins que ces réformes se supportent mutuellement et qu’une réforme des lois de protection des renseignements personnels aurait un impact positif sur bon nombre de ces enjeux connexes.

Les éléments d’une réforme législative sensée sont clairs. J’ai soumis mes recommandations à l’égard du plan de réforme de la Loi sur la protection des renseignements personnels du ministère de la Justice et j’ai commenté en détail les lacunes de l’ancien projet de loi C-11. Je crois qu’il est possible d’apporter des améliorations substantielles à ce projet de loi à l’intérieur de sa structure actuelle, sans qu’il soit nécessaire de repartir à neuf. Permettez-moi de résumer très brièvement mes principales recommandations en présentant cinq enjeux auxquels la réforme législative devra s’attaquer.

Le premier enjeu concerne l’utilisation légitime des données : comment autoriser l’utilisation des données afin de permettre une innovation responsable tout en protégeant les droits et les valeurs des citoyens? Le consentement des utilisateurs ne doit pas être le seul moyen de protéger la vie privée : il est à la fois trop laxe et trop restrictif dans la mesure où il peut être invoqué pour autoriser une utilisation objectivement déraisonnable des données ou pour limiter indûment leur utilisation dans l’intérêt public. La solution consiste à autoriser l’utilisation des données pour des intérêts commerciaux légitimes, mais à l’intérieur d’un cadre juridique fondé sur la reconnaissance des droits. De cette manière, les utilisations incompatibles avec nos droits et nos valeurs seraient interdites. Ce type de disposition donnerait aux organismes publics et privés la latitude nécessaire pour utiliser les données à de nouvelles fins non prévues au moment de la collecte, parmi un ensemble de fins connaissables et sous réserve de la surveillance réglementaire. Il est bien documenté que le laissez-faire réglementaire qui caractérise les régimes fondés sur le consentement bénéficie principalement aux grandes multinationales de l’économie des données au détriment des entreprises locales ou émergentes. Loin de nuire à la croissance économique, une réglementation sensée de la collecte et de l’utilisation des données pourrait en réalité introduire une plus grande compétitivité dans ce secteur et contribuer à l’émergence de nouvelles entreprises canadiennes.

Le second enjeu consiste à aborder la protection de la vie privée comme droit fondamental de la personne, nécessaire à l’exercice du droit à la liberté, du droit à l’égalité et des droits démocratiques. La Cour suprême du Canada a reconnu aux lois de protection des renseignements personnels un statut quasi constitutionnel et il est temps que ce statut soit codifié dans les lois en question. Le cadre législatif actuel est inadéquat : les principes de protection de la vie privée dépendent essentiellement de l’adoption de bonnes pratiques et ne sont pas enchâssés dans la loi, ce qui les prive de la force d’application d’une obligation juridique. L’heure n’est plus à l’autoréglementation par les entreprises, mais à l’adoption d’un cadre législatif sensé. Les récentes allégations voulant que Facebook n’ait pas suivi les recommandations de ses employées de déprioriser le contenu préjudiciable illustrent bien le risque inhérent au fait de confier aux organisations de l’économie des données la tâche de s’autoréglementer adéquatement. Ce qui compte, c’est que la loi autorise l’utilisation de données personnelles lorsque cela sert l’intérêt public, des fins légitimes ou le bien commun, mais à l’intérieur d’un régime fondé sur le respect des droits. En conférant aux individus des droits assortis de recours, les lois fédérales de protection des renseignements personnels institueraient un cadre juridique à la fois flexible et prévisible, favorisant ainsi l’innovation responsable.

Le troisième enjeu, déjà évoqué, concerne la nécessité d’établir des principes communs de protection de la vie privée dans le secteur privé et dans le secteur public. Les interactions entre ces deux secteurs étant de plus en plus fréquentes, l’existence de principes communs permettrait de combler les lacunes au chapitre de la responsabilité dans les situations où il y a des interactions entre ces deux secteurs. Le Commissariat a notamment recommandé que les lois sur la protection des renseignements personnels comprennent les principes de nécessité et de proportionnalité. Le ministère de la Justice a reconnu la nécessité d’assurer la cohérence entre nos deux lois fédérales dans sa récente proposition de réforme de la Loi sur la protection des renseignements personnels. Cette cohérence permettra de faire en sorte que les Canadiens jouissent d’un niveau de protection des renseignements personnels équivalent, quel que soit le secteur dans lequel ils évoluent.

Le quatrième enjeu que je souhaite porter à votre attention concerne l’interopérabilité des lois de protection de la vie privée, à la fois à l’égard des juridictions provinciales et internationales. Comme je le note depuis plusieurs années dans mes rapports annuels au Parlement, le Canada traîne de l’arrière en matière de protection de la vie privée. Un tableau comparatif réalisé par mon Commissariat permet de constater que les lois fédérales font l’impasse sur plusieurs mesures de protection de la vie privée adoptées par nos partenaires commerciaux (l’Union européenne, le Royaume-Uni, la Nouvelle-Zélande, l’Australie, la Californie). Similairement, plusieurs provinces sont en voie d’adopter des réformes législatives, dont certaines reconnaitraient le droit à la vie privée comme un droit fondamental de la personne. En l’absence de lois fédérales à jour, l’écart entre les protections accordées d’une province à l’autre pourrait être source de confusion pour les citoyens et de coûts supplémentaires pour les entreprises.

Le cinquième enjeu concerne la nécessité de recours rapides et efficaces. Plusieurs organisations prennent au sérieux leurs obligations à l’égard des renseignements personnels, mais pas toutes. Il faut donc s’assurer que la loi ne confère pas d’avantages aux contrevenants. Les sanctions doivent être proportionnelles aux gains financiers que peuvent réaliser les entreprises en faisant fi de la vie privée. Sans cela, les entreprises ne changeront pas leurs pratiques ; les sanctions dérisoires seront un coût qu’elles seront prêtes à payer dans la recherche du profit. De plus, le caractère proportionnel des sanctions est aussi un avantage pour les plus petites entreprises. Compte tenu de l’opacité des modèles d’affaires basés sur les données, ce régime de sanction doit pouvoir s’appuyer sur une obligation claire pour les entreprises de se conformer à un standard objectif de responsabilité défini dans la législation. La loi doit également conférer à mon Commissariat l’autorité de procéder, de manière proactive, à un audit des mesures mises en place par les entreprises pour se conformer à ce standard. Cela permettra de passer du régime actuel d’auto-réglementation à un régime de responsabilité démontrable.

Je tiens à conclure en réitérant mon engagement en faveur de l’innovation responsable. La protection des renseignements personnels et la réglementation de l’économie des données sont des enjeux dont se soucient les plus grands innovateurs canadiens, et la réforme législative à venir doit être vue comme une occasion de créer un régime juridique qui favorise l’innovation à la fois par les entreprises et le gouvernement tout en protégeant les droits des citoyens canadiens. Alors que j’entame la dernière année de mon mandat de Commissaire à la protection de la vie privée, j’espère que j’aurai l’occasion de m’entretenir avec vous de ces questions importantes. À cette fin, je serais heureux de vous rencontrer au moment qui vous conviendra.

Je vous prie d’agréer, Madame la Ministre, l’expression de ma très haute considération.

Le commissaire,

(Le document original a été signé par)

Daniel Therrien

Date de modification :