Réflexions sur la réforme de la Loi sur la protection des renseignements personnels
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Juin 2008
David H. Flaherty*
*Conseiller en politiques d'accès à l'information et de protection de la vie privée, Victoria, C.-B.; professeur émérite, Université de Western Ontario; premier commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique; auteur de Protecting Privacy in Surveillance Societies: The Federal Republic of Germany, Sweden, France, Canada, and the United States (1989).
Le Commissariat à la protection de la vie privée du Canada (CPVP) a retenu les services de David Flaherty au début de l’année 2008 pour rédiger un document de réflexion sur la réforme de la Loi sur la protection des renseignements personnels. Les opinions exprimées dans ce document sont celles de M. Flaherty et ne traduisent pas nécessairement le point de vue du CPVP. Pour connaître la position officielle du CPVP sur cette question, veuillez vous reporter au document « Responsabilité du gouvernement en matière de renseignements personnels : Réforme de la Loi sur la protection des renseignements personnels (juin 2006) », ainsi qu’à son addendum (avril 2008).
« Les technologies de l'information courantes de nos jours – Internet et les nouvelles technologies de surveillance telles que la vidéo numérique, les réseaux reliés, les systèmes de localisation mondiale, les boîtes noires dans les voitures, le dépistage génétique, les identificateurs biométriques et l'identification par radiofréquence – n'existaient pas au moment de l'entrée en vigueur, en 1983, de la Loi sur la protection des renseignements personnels. C'est un euphémisme que de qualifier la Loi de surannée quand il s'agit de faire face aux réalités d'aujourd'hui – il est plus juste de la comparer à un cheval de trait se démenant pour suivre des appareils technologiques frôlant la vitesse de la lumièreNote de bas de page 1. »
« La Loi sur la protection des renseignements personnels est un mécanisme de protection de la vie privée des Canadiennes et des Canadiens qui comporte de grandes lacunes. À maintes reprises, les commissaires à la protection de la vie privée et les défenseurs du droit à la vie privée ont demandé un examen approfondi et une réforme de cette loi. La Loi sur la protection des renseignements personnels ne contient aucun mécanisme efficace pour le traitement stratégique des plaintes. En effet, toutes les plaintes doivent être examinées – une tâche considérable et souvent non nécessaire. La Loi a été rédigée bien avant la pénétration massive de la puissance informatique et des technologies de surveillance dans nos foyers. Elle a vu le jour bien avant l'ère de la mondialisation et de la communication généralisée des renseignements personnels à l'extérieur des frontières aux entreprises, aux gouvernements et indirectement des entreprises aux gouvernements étrangers. Elle a été conçue bien avant l'époque où la lutte contre le terrorisme mondial a mis sur toutes les lèvres des appels répétés pour la collecte d'encore plus de renseignements personnels dans le but d'accroître la sécurité personnelle et nationaleNote de bas de page 2. »
« La Loi sur la protection des renseignements personnels est la pierre angulaire des relations informationnelles entre les organismes gouvernementaux et les personnes. Si le cadre législatif régissant ces relations est chancelant, c'est tout l'édifice de la responsabilité qui est menacé. La protection des renseignements personnels est trop importante pour être soumise aux caprices de la politique et de la gestion internesNote de bas de page 3. »
Introduction
Dans le présent document, je profite des privilèges que me confère mon âge avancé pour écrire sur des sujets qui m'intéressent. Pour ce faire, je me fonde sur ma mémoire et sur du matériel publié, particulièrement vers 1974, alors que j'ai commencé à m'intéresser de près et de manière critique à l'élaboration des lois sur la protection des données en Amérique du Nord et en Europe de l'OuestNote de bas de page 4. Le but des présentes réflexions n'est pas de produire un document de recherche original et exhaustif, mais plutôt de tenter d'offrir une justification convaincante de la nécessité de réformer sans tarder une loi importante, mais désuète. Ce faisant, je crois utile de remonter le cours de l'histoire de la protection des données, même s'il ne s'agit que d'un survol.
Compte tenu de ma formation et de ma carrière d'historien, je suis également bien conscient qu'il se trouve en ce monde relativement peu d'idées originales sur quelque sujet que ce soit. C'est pourquoi j'ai pris plaisir à réexaminer des idées auxquelles j'avais été exposé par des maîtres dans l'élaboration des lois sur la protection des données, et que j'avais empruntées à des amis, des collègues et des mentors dans la communauté mondiale de la protection de la vie privée. J'ai également tiré profit de mon cercle d'amis dans les affaires touchant la protection de la vie privée, en ce sens que j'ai lu et relu les écrits de bon nombre d'entre eux et que j'en ai interviewé quelques-uns. Je manifeste ci-dessous ma gratitude envers ceux qui ont voulu et pu examiner des versions préliminaires du présent documentNote de bas de page 5.
Certains lecteurs reconnaîtront les classements annuels de Privacy International, un groupe de surveillance des droits de la personne situé à Londres, qui place le Canada près du sommet dans la liste des pays qui défendent la vie privéeNote de bas de page 6. Étant donné le point de vue mondial de Privacy International et les forces qui l'animent, j'ai tendance à accueillir un tel hommage avec une satisfaction modérée, sachant trop bien que le Canada s'en tire avec les honneurs uniquement en comparaison de quelques nations aveugles, telles que le Royaume-Uni et les États-Unis, où l'invasion flagrante de la vie privée est un sport pratiqué au quotidien par le milieu des affaires, les politiciens et les législateursNote de bas de page 7. Privacy International, fort heureusement, n'a pas conscience de certains des aspects les moins progressistes de la loi et de l'exercice du droit en matière de protection de la vie privée au Canada, ou bien il ferme les yeux sur cette situation. Je songe ici, entre autres, à la désuète Loi sur la protection des renseignements personnels et au manque de ressources pour remplir les fonctions de protection de la vie privée dans les institutions fédérales.
Le but collectif que poursuivent les défenseurs de la vie privée est d'assurer une protection et une sécurité sans faille des données, ainsi qu'une mise en œuvre efficace de mesures conséquentes au fil du temps dans toutes les sociétés démocratiques. Les mots-clés ici sont « mise en œuvre efficace au fil du temps ». Si la Loi sur la protection des renseignements personnels constituait une déclaration progressiste en matière de protection de la vie privée au début des années 1980, c'est maintenant une loi dépassée qui ne réglemente plus convenablement la manière dont les institutions fédérales recueillent, utilisent, conservent et communiquent les renseignements personnels. Les textes législatifs qui visent à protéger les données (notamment la Loi sur la protection des renseignements personnels) ne constituent qu'un moyen parmi d'autres d'arriver à cette fin, comme je le démontrerai dans mon essai.
La réforme de la Loi sur la protection des renseignements personnels devrait se faire de manière à soulever l'intérêt unanime des médias, des fonctionnaires, de l'élite politique, du gouvernement en place et des députés, car la protection de la vie privée est un enjeu incontournable en cette ère de conscientisation et d'inquiétude accrues à l'égard du vol d'identité et d'autres formes d'atteintes à la vie privée. La perte et l'utilisation indue généralisées des renseignements personnels, les fraudes, les atteintes à la vie privée et l'érosion globale de la confidentialité, de même que la perte de contrôle sur nos affaires personnelles qui en résulte, trouvent un écho auprès des Canadiens, malgré les innombrables forces contraires qui s'exercent comme la nécessité d'assurer la sécurité personnelle et collective. Bien que les sondages démontrent une grande inquiétude à l'égard de la préservation de la vie privée, le manque de leadership et d'engagement politiques a nui au progrès jusqu'à ce jourNote de bas de page 8. L'un des principaux objectifs du présent essai est de réfléchir à la manière de stimuler les efforts pour apporter les changements nécessaires et de plaider la cause de la réforme de la Loi sur la protection des renseignements personnels en évoquant le fait qu'un tel travail d'analyse et de transformation s'impose depuis longtemps. La Loi sur la protection des renseignements personnels est une maison vieille de 25 ans que l'on a peu entretenue et rénovée. Il est temps de la remettre en état. Retoucher la peinture ou refaire la décoration d'une seule pièce ne sera pas suffisantNote de bas de page 9.
L'élaboration d'une loi révisée, puis la mise en place de mesures de protection des données, constituent des activités complexes (quoique la première tâche soit beaucoup plus facile que la seconde). Toutefois, la mise à jour de la Loi sur la protection des renseignements personnels représente, pour le gouvernement fédéral, un travail de diligence nécessaire et de bon entretien sur une question liée aux politiques publiques qu'il est beaucoup plus facile de gérer que les problèmes plus épineux qui se posent au Canada. Plus rien ne saurait justifier que l'on retarde encore le processus.
Les arguments invoqués en faveur d'une réforme immédiate de la Loi sur la protection des renseignements personnels seront les suivants :
1) La protection de la vie privée est une valeur fondamentale et sociétale, et les Canadiennes et Canadiens méritent les lois valables auxquelles ils s'attendent en matière de protection de la vie privée et des données.
2) La Loi sur la protection des renseignements personnels est désuète. Elle ne répond pas à la « norme nationale canadienne » énoncée par le Parlement dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
3) Pour établir une loi efficace en matière de protection des données, il faut d'abord disposer de compétences légales appropriées qui permettront à la commissaire à la protection de la vie privée du Canada de jouer un rôle de surveillance valable et efficace, ce qui suppose le pouvoir de rendre des ordonnances.
4) Afin de pouvoir compter sur une mise en œuvre rigoureuse d'une loi sur la protection des données, le Parlement doit rendre obligatoire dans chaque institution fédérale une structure de gestion des risques liés à la vie privée, y compris la désignation de responsables de la protection des renseignements personnels, la réalisation d'évaluations des facteurs relatifs à la vie privée et la prestation d'une formation concernant la protection de la vie privée.
Bases constitutionnelles du droit canadien à la vie privée
Il est important, dès le départ, de mettre l'accent sur l'importance de la protection de la vie privée en tant que valeur humaine, en tant que droit de la personne et, pour tout dire, en tant que droit constitutionnel aux termes de la Charte canadienne des droits et libertésNote de bas de page 10. Pourquoi la protection de la vie privée est-elle importante au Canada et pour les Canadiens? La protection de la vie privée est essentielle au Canada parce qu'elle représente un volet indispensable de nos valeurs sociales collectives et de notre paysage juridique. Les Canadiennes et Canadiens ont exercé de fortes pressions en faveur de la protection de la vie privée dans les années 1970 et au début des années 1980. On a d'abord reconnu que la protection de la vie privée était un droit de la personne dans la Loi canadienne sur les droits de la personne, avant que ce droit ne soit prévu dans la Charte canadienne des droits et libertés. Par conséquent, les Canadiennes et Canadiens comptent sur la protection convenable qu'ils méritent en ce qui touche leur vie privée, protection qui constitue un volet essentiel de la dignité humaine dans les sociétés occidentalesNote de bas de page 11.
L'attribution adéquate de ressources pour la mise en œuvre de mesures de protection des données peut également se révéler problématique. Par conséquent, un engagement soutenu s'impose à l'endroit des objectifs visés par les lois qui portent sur les droits de la personne, ce que le Parlement et les organes législatifs oublient fréquemment. La protection des données s'inscrit dans un cadre juridique qui suscite des attentes raisonnables à l'égard du droit à la vie privée, tel que défini par les tribunaux en vertu de la Charte canadienne des droits et libertés. Une loi axée sur la protection de la vie privée est censée protéger les droits de la personne, ce qui donne à la notion de « vie privée » un statut rehaussé dans le panthéon des valeurs canadiennes protégées par la loi. S'exprimant au nom de la Cour suprême tout entière dans une affaire de 1997, le juge La Forest a déclaré que « La protection de la vie privée est une valeur fondamentale des États démocratiques modernes [...] Étant l'expression de la personnalité ou de l'identité unique d'une personne, la notion de vie privée repose sur l'autonomie physique et morale __ la liberté de chacun de penser, d'agir et de décider pour lui-même. [...] La vie privée est également reconnue au Canada comme étant digne d'être protégée par la Constitution, du moins dans la mesure où elle est incluse dans le droit à la protection contre les fouilles, perquisitions et saisies abusives, garanti par l'article 8 de la Charte canadienne des droits et libertésNote de bas de page 12. »
Une situation surprenante survenue récemment devant les tribunaux canadiens pourrait laisser entrevoir les armes constitutionnelles ultimes auxquelles les Canadiennes et Canadiens devront avoir recours pour protéger leur vie privée. Dans un tel contexte, il leur faudra faire valoir leurs revendications constitutionnelles en matière de vie privée pour dénoncer les mesures gouvernementales perçues comme étant une atteinte à la vie privée individuelle. En bref, le gouvernement de l'Ontario, dans sa grande sagesse, souhaitait améliorer l'accès aux registres d'adoption. Mme Ann Cavoukian, commissaire à l'information et à la protection de la vie privée de l'Ontario, a exposé de solides arguments en faveur de la protection de la vie privée, mais elle n'a pu persuader le gouvernement libéral de faire en sorte que les adultes adoptés dans l'enfance et les parents adoptifs puissent interdire l'accès à leurs renseignements personnels lorsqu'ils souhaitent que leur nom ne soit pas dévoilé. Plusieurs personnes adoptées ont persuadé une équipe d'avocats chevronnés, sous la gouverne de Clayton C. Ruby, de contester des articles de la Loi sur la divulgation de renseignements sur les adoptions devant la Cour supérieure de justice de l'Ontario.
Le juge Edward Belobaba a pris une ferme décision en faveur du droit à la vie privée des parties au litige en invoquant l'article 7 de la Charte, ce qui a eu pour effet d'amener le gouvernement de l'Ontario à revoir des éléments de la loi contestéeNote de bas de page 13. Le juge a déclaré ce qui suit :
[78] Cette affaire concerne essentiellement le droit à la vie privée des requérants. La question fondamentale est de savoir si les requérants jouissent d'un droit à la vie privée protégé par la Chartedans des circonstances comme celles-ci, où le gouvernement s'apprête à communiquer rétroactivement, sans la permission des intéressés, des renseignements personnels et confidentiels à des personnes dans les mains desquelles les intéressés souhaitent le moins voir atterrir de tels renseignements [?]
[83] Dans le cas qui nous occupe, [?] la communication des registres de naissance et d'adoption en vertu de la nouvelle loi, dans des circonstances où s'est créée une attente raisonnable de protection de la vie privée [?] constitue une atteinte à la dignité et à la confiance en soi de chacun des requérants, et il y a eu violation de leur droit à la vie privée, qui est un aspect essentiel de leur droit à la liberté dans une société libre et démocratique. [Traduction]
Le gouvernement libéral de l'Ontario n'a pas interjeté appel de la décision. Il prévoit opposer un veto concernant la communication des renseignements, comme Mme Cavoukian et d'autres l'avaient recommandé au départ.
Cette réalité nous montre que la Loi sur la protection des renseignements personnels est étroitement liée aux valeurs et aux droits reconnus par la constitution canadienne, ce qui explique son statut quasi constitutionnel, tel qu'en a pris acte la Cour suprême du Canada dans Lavigne c. Canada (Commissariat aux langues officielles), [2002] CSC, no53, par. 25. La Cour a également déclaré que « La Loi sur la protection des renseignements personnels rappelle à quel point la protection de la vie privée est nécessaire au maintien d'une société libre et démocratique » (par. 25). En outre, la Cour suprême a reconnu, en plusieurs occasions, le statut quasi constitutionnel de la protection des renseignements personnels en raison du rôle de protection de la vie privée dans le maintien d'une société libre et démocratique : H. J. Heinz and Co. Ltd c. Canada (Procureur général), [2006] CSC 13, par. 28. Compte tenu du caractère quasi constitutionnel de la protection des renseignements personnels, le droit à la vie privée que la loi confère à une personne au Canada est défini comme un droit quasi constitutionnel de protection de la vie privée. Cela présuppose une vigoureuse Loi sur la protection des renseignements personnels.
Historique de la Loi sur la protection des renseignements personnelsNote de bas de page 14
L'historique de toute réforme de loi dans les pays anglophones est un sujet décourageant, particulièrement le volet qui oblige à revoir un texte de loi de premier plan. La quantité énorme d'énergie créatrice et de volonté politique requise pour promulguer une telle loi se dissipe rapidement une fois terminée la lune de miel et alors que s'amorce l'âpre et interminable travail de mise en œuvre reposant sur des énergies et des ressources humaines et financières limitées. Il s'agit là, à n'en pas douter, de la genèse des efforts de protection des données au Canada dans le cas de la Loi sur la protection des renseignements personnels, entrée en vigueur le 1er juillet 1983Note de bas de page 15. À l'exception de la Privacy Act de 1974 des États-Unis, cette loi canadienne constitue le plus vieux texte législatif national non révisé sur la protection de la vie privée dans le monde anglophone. Selon les normes de 2008, il s'agit d'un lamentable texte de loi sur la protection de la vie privée, particulièrement en comparaison de la loi de contrepartie, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui réglemente maintenant le secteur privé au Canada (en l'absence de lois provinciales essentiellement similaires)Note de bas de page 16. Pour ne citer que deux exemples, le secteur privé doit se conformer à l'obligation d'obtenir le consentement pour accéder à de l'information et de maintenir des mécanismes de sécurité pour préserver les renseignements personnels, ce dont on ne trouve aucun équivalent direct dans la Loi sur la protection des renseignements personnels.
Cela vaut la peine de souligner le parrainage politique qui a donné vie à la Loi sur la protection des renseignements personnels de 1982 (projet de loi C-43). Après la chute du gouvernement de Joe Clark, en décembre 1979, le député conservateur (et ancien ministre du cabinet) Perrin Beatty a présenté sous forme de projet de loi d'initiative parlementaire le projet de loi C-535, la Loi sur la protection des renseignements personnels (1980), qui était en fait la loi sur laquelle travaillait le gouvernement Clark pour créer un régime autonome fédéral de protection de la vie privée. Le principal intérêt de ce gouvernement était de présenter une loi sur l'accès à l'information du gouvernement (liberté de l'information). Des fonctionnaires du ministère de la Justice et du Bureau du Conseil privé ont simplement révisé, au même moment et de leur propre chef, la partie IV de la Loi canadienne sur les droits de la personne (promulguée en 1977). Ce fut le premier texte de loi fédéral sur la protection des donnéesNote de bas de page 17.
En juin 1980, le ministère de la Justice a préparé un document de travail du Cabinet dans lequel il énonçait les éléments clés de ce qui est devenu la nouvelle Loi sur la protection des renseignements personnels. Il modifiait la partie IV pour en assurer la cohérence avec la législation sur l'accès à l'information ainsi que pour améliorer la protection de la vie privéeNote de bas de page 18. Francis Fox, à titre de ministre des Communications, a piloté au Parlement les textes de loi sur l'accès à l'information et la protection des renseignements personnels. Des spécialistes dévoués de la justice, comme Barry Strayer (maintenant juge de la Cour fédérale du Canada), Stephen J. Skelly, c.r., et Gillian Wallace, c.r. (qui deviendra sous-procureur général pour la C.-B.), étaient la matière grise derrière les textes de loi orientés vers la protection de la vie privée dans la fonction publique fédérale durant cette période créatrice qui s'est amorcée au début des années 1970. Des initiatives d'ordre législatif du même genre menées dans la République fédérale allemande, en Suède et aux États-Unis ont inspiré ce leadership canadien, tout comme des forces sous-jacentes telles que l'informatisation continue de la société (une expression à connotation vieillotte dans l'univers d'Internet et du Web)Note de bas de page 19.
Le rôle clé joué par ces hommes politiques et ces fonctionnaires nous rappelle qu'un groupe dévoué de spécialistes en la matière est un ingrédient indispensable pour l'adoption et la révision ultérieure de tout texte de loi digne de ce nom en matière de protection de la vie privée. Une mobilisation du genre combinée avec le parrainage politique du gouvernement en place est encore plus importante, et la chose s'est à nouveau produite avec l'adoption de la LPRPDE à la fin des années 1990, alors qu'au nombre des incitatifs figurait la protection des intérêts commerciaux du Canada face à la directive européenne sur la protection des donnéesNote de bas de page 20. John Manley et Allan Rock étaient les principaux parrains politiques de la LPRPDE.
Les responsables de la justice susmentionnés étaient des entrepreneurs en politique dans le meilleur sens du terme que pourraient concevoir les défenseurs de la vie privéeNote de bas de page 21. Ils s'inscrivaient également dans un mouvement international spécialisé au sein des sociétés industrielles avancées qui, par exemple, ont produit les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractèrepersonnel (1980) de la très influente Organisation de coopération et de développement économiquesNote de bas de page 22. Les entrepreneurs en politique d'aujourd'hui ont bien davantage tendance à vouloir impressionner leurs maîtres politiques en créant des politiques qui portent grandement atteinte à la vie privée des personnes dans leurs efforts pour promouvoir la sécurité nationale et combattre le terrorisme. Depuis les événements du 11 septembre 2001, il est devenu presque impossible pour les politiciens de parvenir à concilier de tels intérêts contradictoires, notamment parce qu'il existe des terroristes bien réels qui ne se contentent pas de rester tapis derrière les buissons. Les commissaires à la protection de la vie privée en Europe, en Australasie et au Canada ne peuvent faire beaucoup plus que d'exprimer haut et fort leurs inquiétudes alors qu'on agite devant eux de telles cartes maîtresses. Comme je l'ai écrit il y a dix ans : « Trouver un juste milieu au sein du gouvernement va tellement à l'encontre des intérêts de la personne axés sur la protection de sa vie privée qu'il est étonnant qu'il nous reste le moindre élément de vie privée une fois que les gouvernements en ont fini avec toutes les mesures qu'ils prennent pour le bien de chacun d'entre nous. Les gens en place au gouvernement ont toujours le sentiment que ce qui est bon pour l'État est bon pour le public en généralNote de bas de page 23. » [Traduction]Les gouvernements peuvent bien dire tout ce qu'on souhaite entendre à propos de la sensibilité à la protection de la vie privée, mais les vraies décisions, les négociations et l'établissement minutieux de règles se déroulent, comme dans le cas de l'Union européenne, dans les arènes législatives et politiques, comme en fait foi la décision de permettre aux États-Unis d'accéder aux données sur les voyageurs aériensNote de bas de page 24.
La création en 1982 du Commissariat à la protection de la vie privée en tant que mandataire indépendant du Parlement doté d'un pouvoir de surveillance s'est révélée un changement novateur de premier ordre. Les pouvoirs étaient et demeurent ceux d'un ombudsman, c'est-à-dire que le titulaire peut donner des conseils et formuler des recommandations, mais non rendre des ordonnances exécutoires. La promulgation ultérieure de lois comparables dans les grandes provinces, en commençant par le Québec puis l'Ontario, la C.-B. et l'Alberta, comportait habituellement l'attribution au commissaire à la protection de la vie privée en place d'un pouvoir de rendre des ordonnances, au moins dans certaines circonstances et pour certaines questions. Le Manitoba semble maintenant suivre ce modèle. Comme nous le verrons plus loin, une telle habilitation devrait également être prévue dans une loi fédérale, particulièrement si l'on considère la feuille de route de ces commissaires provinciaux dans l'exercice responsable et intelligent d'un tel pouvoir en matière d'ordonnance et dans l'atteinte de résultats positifsNote de bas de page 25. On peut soutenir que l'idée de disposer d'un pouvoir réglementaire est plus importante que ne le veut la réalité puisque, dans les provinces, on gère habituellement les plaintes formulées contre le secteur public pour atteinte à la vie privée en produisant des rapports contenant des recommandations à caractère non obligatoire.
Tel qu'indiqué précédemment, la Loi sur la protection des renseignements personnels de 1982 était un texte législatif opportun et progressisteNote de bas de page 26. Mais cette loi est en vigueur depuis maintenant 25 ans, période durant laquelle se sont produits des changements capitaux dans l'automatisation de l'information et des données électroniques, et dans le déploiement d'Internet et du Web. Bien qu'il ne soit pas inhabituel pour des textes de loi fondamentaux de ne faire l'objet d'aucune révision même s'il est urgent d'y apporter des améliorations, la Loi sur la protection des renseignements personnels est particulièrement déficiente si l'on tient compte du fait que le pays a actuellement besoin de mesures vigoureuses en matière de protection et de sécurité des données face à une myriade de défis allant de forces hostiles à la diminution de la valeur de la vie privée et à sa défaiteNote de bas de page 27.
Des efforts ont été déployés en vue de sa réforme. De 1984 à 1987, le Comité permanent de la justice de la Chambre des communes et le solliciteur général ont examiné le fonctionnement de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels. En compagnie de T. Murray Rankin, c.r., alors membre de la faculté de droit de l'Université de Victoria, le présent auteur servait de conseiller spécialisé pour ce comité, qui a produit en 1987 le rapport intitulé Une question à deux volets : Comment améliorer le droit d'accès à l'information tout en renforçant les mesures de protection des renseignements personnelsNote de bas de page 28. Cette étude exhaustive a amené le Comité à conclure que les deux lois comportaient d'importantes lacunes et faiblesses et que dans certains cas, le régime législatif actuel était inadéquat; alors que dans d'autres, il se trouvait des questions que n'abordent pas du tout ces lois. Sous l'angle de la protection de la vie privée, le rapport recommandait d'imposer des contrôles à la collecte du numéro d'assurance sociale et à l'interconnexion des ordinateurs. Ses auteurs souhaitaient également des recours civils en dommages et des sanctions pénales en cas d'infractions à la Loi sur la protection des renseignements personnels ainsi qu'une nouvelle disposition régissant la sécurité des renseignements personnels. Certaines questions « émergentes » qui préoccupaient le Comité en matière de protection de la vie privée au milieu des années 1980 ont un cachet vieillot. Je songe ici à la surveillance électronique en milieu de travail, à l'analyse d'urine pour le dépistage des drogues, au recours au polygraphe ainsi qu'à la surveillance de l'utilisation des « microordinateurs ». D'autres recommandations visant l'application élargie des obligations en matière de protection de la vie privée de manière à englober le secteur privé sous réglementation fédérale et à réglementer la circulation transfrontalière des données étaient opportunes à l'époque et le sont encore aujourd'hui.
La réponse du gouvernement Mulroney au document Une question à deux volets a consisté à ne rien faire en pratique à propos de l'examen de la loi, ce qui explique pourquoi bon nombre des grandes lacunes de la Loi sur la protection des renseignements personnels n'ont toujours pas été comblées. Et, bien entendu, les lacunes se sont accumulées avec le temps, comme nous le verrons dans les pages qui suivent. Dans le document intitulé Une question à deux volets : Les prochaines étapes, le gouvernement précisait que le rapport du Comité et d'autres études entreprises par le gouvernement avaient démontré que le droit à l'information et les politiques gouvernementales doivent répondre aux circonstances changeantes et aux technologies nouvelles qui se développent rapidement. Le gouvernement s'engageait dans ce document à apporter des améliorations administratives et des modifications législatives pour s'assurer que la Loi sur la protection des renseignements personnels peut permettre de relever les nouveaux défis en matière de protection des renseignements personnels. Le manque de suivi du gouvernement a eu pour effet de fonder essentiellement toute réforme possible sur des initiatives politiques administratives plutôt que sur des modifications législatives. Il est vrai que le Secrétariat du Conseil du Trésor a élaboré de nouvelles politiques visant les utilisations limitées du numéro d'assurance sociale, le couplage de données, la gestion de l'information, les communications et la sécurité. Toutefois, bien des années plus tard, il continuait de pallier l'absence de réforme législative avec des initiatives telles que la Politique d'évaluation des facteurs relatifs à la vie privéeNote de bas de page 29.
L'un des héritages peu appréciés du second régime de Pierre Trudeau à Brian Mulroney est la Loi sur l'accès à l'informationNote de bas de page 30.On peut alors mieux comprendre la réticence de Brian Mulroney à faire quoi que ce soit en matière de protection de la vie privée. Même aujourd'hui, l'hostilité à l'égard d'une réforme de la Loi sur la protection des renseignements personnels pourrait bien reposer sur une hostilité encore plus grande envers la Loi sur l'accès à l'information. Bruce Phillips, commissaire à la protection de la vie privée du Canada de 1991 à 2000, estime que le gouvernement en place et les fonctionnaires ne peuvent dissocier l'une de l'autreNote de bas de page 31. La Loi sur la protection des renseignements personnels était considérée comme un corollaire de la Loi sur l'accès à l'information, bien que les deux visent des sphères relativement distinctes d'activité et de gouvernance. La première règlemente la collecte, l'utilisation et la communication des renseignements personnels; la seconde traite de l'accès du public aux renseignements généraux. On serait tenté de croire que, de toute évidence, un gouvernement ouvert et responsable pose une plus grande menace au gouvernement et aux cadres supérieurs de la fonction publique que la protection de la vie privée, particulièrement à la lumière de la faiblesse évidente de la Loi sur la protection des renseignements personnels pour ce qui est de tenter de restreindre ce que la fonction publique peut faire avec les renseignements personnels sous sa garde et/ou son contrôle. Cela dit, la nécessité de séparer ces sœurs siamoises aux fins de la réforme est grande et évidenteNote de bas de page 32.
Dans le présent essai, je prodigue des conseils sur la manière de moderniser l'évaluation de la Loi sur la protection des renseignements personnels mentionnée dans le rapport intitulé Une question à deux volets. L'idée consiste à mettre à jour les analyses du rapport en tenant compte des nouveaux défis posés à la gouvernance en matière de protection de la vie privée qui découlent des récentes initiatives liées au gouvernement électronique et à la sécurité nationale (entre autres)Note de bas de page 33. L'un des arguments essentiels est que, malgré les nombreux changements qui ont posé des défis énormes au respect de la vie privée, on ne constate qu'un engagement tiède à l'égard de la mise en œuvre de la Loi sur la protection des renseignements personnels, en raison de la fausse crainte qu'une mise en œuvre digne de ce nom paralyserait les activités gouvernementales de collecte, d'utilisation, de communication et de conservation des renseignements personnels à toutes sortes de fins. Dans sa version actuelle, la Loi sur la protection des renseignements personnels ne donne aux Canadiennes et Canadiens qu'une protection illusoire des données. En réalité, le gouvernement en place – et, dans une moindre mesure, le Parlement – a toujours le dernier mot dans la conception et la révision des lois ayant une incidence sur le droit à la vie privée des citoyens du Canada. Ce faisant, il obéit à sa perception de l'intérêt public. Le seul recours est celui des contestations judiciaires du genre décrit ci-dessus.
La tâche ayant pour objet la défense officielle et officieuse de la vie privée consiste à définir les intérêts personnels en cause d'une situation à l'autre de manière à ce que le droit à la vie privée protégé par la constitution et par la loi ne soit pas amoindri davantage que ce qui est absolument essentiel. Il s'agit d'un fardeau presque trop lourd pour les défenseurs de la vie privée au XXIe siècle pour les raisons mentionnées dans diverses parties du présent essai, même en adoptant, comme je le fais actuellement, une approche pragmatique plutôt que fondamentaliste de la protection de la vie privéeNote de bas de page 34. Les fondamentalistes pourraient bien adopter des positions sur la réforme de la Loi sur la protection des renseignements personnels qui auraient pour effet de sonner le glas de certaines entités du gouvernement canadien. Un fondamentaliste pourrait ainsi limiter le partage des données entre les ministères, même à des fins autorisées et dans des situations contrôlées, de telle sorte que les résidents canadiens seraient tenus de fournir sans cesse les mêmes renseignements personnels. Il est indispensable d'en arriver à un équilibre constitutionnel entre le droit à la vie privée des citoyens et la nécessité pour le gouvernement de réaliser des fonctions cruciales.
L'historique de la réforme de la loi axée sur la protection de la vie privée au Canada soulève également la question critique des rôles centraux des politiciens et des fonctionnaires dans l'établissement des programmes et priorités pour le pays, notamment en ce qui concerne les enjeux de protection des données. Tel qu'indiqué précédemment, Francis Fox a joué un rôle clé au début des années 1980 après que Perrin Beatty a ouvert la voie. Le ministre de la Justice, Allan Rock, et le ministre de l'Industrie, John Manley, « se sont présentés au bâton » au milieu des années 1990 et ont accepté la nécessité d'appliquer des mesures de protection des données pour le secteur privé, et ce, de manière rapideNote de bas de page 35. On pourrait soutenir que de tels engagements ont été d'une importance capitale en ce sens qu'ils ont donné une orientation politique aux hauts fonctionnaires à Ottawa, y compris Kevin Lynch, l'actuel greffier du Conseil privé, en les amenant à s'occuper de ce dossier, comme ils l'ont fait de façon aviséeNote de bas de page 36. Depuis, au moins deux des derniers commissaires à la protection de la vie privée du Canada, Bruce Phillips et Jennifer Stoddart, ont dressé des plans cohérents et inclusifs axés sur la réforme de la Loi sur la protection des renseignements personnels. C'est maintenant le tour du gouvernement en place, particulièrement le ministre de la Justice, de faire de cette activité une priorité de haut niveauNote de bas de page 37.
Argument actuel en faveur de la réforme de la Loi sur la protection des renseignements personnels
Le Commissariat à la protection de la vie privée (CPVP) fait valoir depuis plusieurs années le besoin urgent de réviser et de mettre à jour la Loi sur la protection des renseignements personnels. La protection de la vie privée fait face à de nouveaux défis, notamment en ce qui touche les technologies de communication et de traitement des données pouvant porter atteinte à la vie privée. Le fonctionnement de l'appareil étatique s'est transformé en profondeur avec l'avènement du gouvernement électronique et la mise en place de structures intégratives de prestation des services qui traversent les limites organisationnelles et les frontières (p. ex. Service Canada)Note de bas de page 38. Les environnements économiques et politiques – au Canada et à l'étranger – ont également connu de grands changements depuis l'entrée en vigueur de la Loi sur la protection des renseignements personnels. Les gouvernements du monde entier ont adopté des mesures pour protéger la sécurité nationale, et bon nombre d'entre eux ont du même coup miné le droit à la vie privée. Dans un contexte d'économie mondiale grandissante, le nombre de données personnelles qui traversent les frontières est plus élevé que jamais, alors que le Canada ne dispose que d'un cadre restreint, voire inexistant, de protection de ces données. Le Commissariat a consigné tous ces éléments, et bien d'autres encore, dans les rapports annuels qu'il a présentés au ParlementNote de bas de page 39.
En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, le gouvernement fédéral exige actuellement du secteur privé une norme supérieure à celle qu'il impose à ses propres opérations, y compris la collecte, l'utilisation, la communication et la conservation des renseignements personnels. C'est là une situation très problématique, particulièrement si l'on tient compte du fait que le gouvernement canadien a acquis des pouvoirs extraordinaires sur les renseignements personnels des citoyens par le biais d'une série de mesures législatives et de modifications dans les rouages gouvernementaux, notamment au nom de la sécurité nationaleNote de bas de page 40. Bien qu'un tel rééquilibre était sensé dans le sillage immédiat (et quelque peu hystérique) des événements du 11 septembre, aucun gouvernement n'est vraiment encouragé à restreindre sa surveillance de la population compte tenu des multiples impératifs bureaucratiques entraînant la collecte et l'utilisation d'un nombre toujours plus grand de renseignements personnels pour « résoudre » divers problèmes. Dans le tableau de la répartition générale des pouvoirs au sein de la fonction publique, il va de soi qu'un petit groupe de spécialistes affectés à la protection de la vie privée dans le ministère de la Justice n'a pas une grande force de traction face aux puissants ministères et sociétés d'État qui possèdent d'importantes bases de données et des plans de surveillance, tous étant destinés, comme le public le sait, à faire du Canada un meilleur endroit où vivre. C'est l'une des raisons pour lesquelles la commissaire à la protection de la vie privée du Canada a besoin qu'on lui confère le pouvoir de rendre des ordonnances.
Il est maintenant commun au XXIe siècle d'entendre les défenseurs de la vie privée de tous les domaines, y compris les commissaires à la protection de la vie privée, nous prévenir que nous vivons dans des sociétés de surveillance. D'un point de vue comparatif, les gouvernements de Paul Martin et de Stephen Harper ont fait des demandes de surveillance relativement modestes par rapport au gouvernement travailliste de Tony Blair au Royaume-Uni, qui a soi-disant adopté un système national de cartes d'identité et effectué des compilations massives de données pour aider les gens dans le besoin, particulièrement les enfants, sauf que l'exercice a donné lieu à une société de surveillance à grande échelle. Richard Thomas, commissaire à l'information du Royaume-Uni, s'est exprimé clairement sur la question dans la foulée de la réunion annuelle des commissaires à la protection de la vie privée et des données qui s'est déroulée à Londres, en novembre 2006. Le thème central était celui des sociétés de surveillanceNote de bas de page 41. Les Canadiens ont besoin de protections législatives améliorées pour mieux contrecarrer une société de surveillance à grande échelle dans ce pays.
Une question connexe à ce dossier est la mesure dans laquelle la Loi sur la protection des renseignements personnels se distingue maintenant des lois des gouvernements provinciaux et territoriaux. L'explication est toute simple : pour des raisons historiques liées à la préséance dans la promulgation, chaque loi apporte des améliorations considérables à la protection de la vie privée par rapport à la loi fédérale. La plus récente promulgation tend à être la plus musclée et la plus exigeante sur le plan de la protection de la vie privée. La Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario en est un exemple typiqueNote de bas de page 42. Les auteurs des lois visant les secteurs public et privé au Québec, en Colombie-Britannique et en Alberta ont également placé la barre plus haut en ce qui concerne leur portée et l'attribution du pouvoir de rendre des ordonnancesNote de bas de page 43. Les organes gouvernementaux des provinces en Ontario, en Alberta et en Colombie-Britannique, par exemple, doivent vivre dans la peur absolue de leurs commissaires à l'information et à la protection de la vie privée, puisqu'ils peuvent leur ordonner d'agir d'une certaine manière ou de cesser de faire telle chose. Bien que la commissaire à la protection de la vie privée du Canada puisse donner des conseils, les institutions gouvernementales ne sont pas tenues de l'écouter.
En outre, la Loi sur la protection des renseignements personnels et les documents électroniques a remplacé la Loi sur la protection des renseignements personnels comme nouvelle norme fédérale au Canada en matière de promotion et de protection de la vie privée. Dans son rapport détaillé de juin 2006 sur la réforme de la Loi sur la protection des renseignements personnels, la commissaire s'exprimait avec justesse de la manière suivante : « La Loi sur la protection des renseignements personnels renferme une version très atténuée des principes relatifs à l'équité dans le traitement des renseignements personnels et ne prévoit pas de contrôles des pratiques de gestion de l'information du gouvernement fédéral; ou alors, elle prévoit des contrôles beaucoup trop indulgents. Les lacunes de la Loi sont très évidentes comparativement aux principes détaillés relatifs à l'équité dans le traitement des renseignements personnels retrouvés dans la LPRPDENote de bas de page 44. »
Le Commissariat à la protection de la vie privée du Canada est d'avis que la situation actuelle est intenable, et que le Parlement devrait de toute urgence renouveler la Loi sur la protection des renseignements personnels pour mieux tenir compte des nouveaux défis posés à la protection de la vie privée et du désir des Canadiennes et des Canadiens de voir l'État fédéral mieux protéger les renseignements personnels sous sa garde et son contrôle, en donnant à l'exercice une ampleur bien plus grande. De tels points de vue sont irréfutables. Il est également nécessaire d'en arriver à une parité/comparabilité entre les secteurs public et privé étant donné que les Canadiennes et Canadiens devraient jouir du droit à la vie privée de manière relativement uniforme, qu'ils fassent affaire avec une banque, Air Miles, leur médecin de famille, Postes Canada ou Revenu Canada.
En juin 2006, le CPVP a présenté un plan détaillé de réforme de la Loi sur la protection des renseignements personnels au Comité permanent de la Chambre des communes sur l'accès à l'information, la protection des renseignements personnels et l'éthique. Le plan contenait un certain nombre de recommandations saines et avisées sur la manière d'améliorer la Loi afin qu'elle protège davantage la vie privéeNote de bas de page 45. J'examine plusieurs d'entre elles dans le présent essai et expose le fruit de ma réflexion. Au printemps 2008, le CPVP a su convaincre le Comité permanent de réaliser un examen de la Loi sur la protection des renseignements personnels. L'aide d'experts externes en protection de la vie privée sera indispensable à ce processus, car le personnel de ce comité et celui de la Bibliothèque du Parlement pourraient ne pas disposer du temps et des ressources voulus pour un tel travail de refonte. De toute façon, le personnel de la Justice devrait se charger du volet rédactionnel, une fois que le Comité permanent aura montré le chemin à suivre avec des recommandations précises.
Nécessité d'une gestion des renseignements personnels pour les Services du gouvernement électronique
Tout en reconnaissant la valeur du gouvernement électronique, le CPVP est à juste titre préoccupé par les problèmes de protection de la vie privée qui sont liés à son expansion au Canada – tant au niveau fédéral que provincial. Il s'inquiète en particulier de l'augmentation des transferts de renseignements personnels entre les ordres de gouvernement pour un grand nombre de leurs programmes. Comme la commissaire le soulignait, « Les initiatives liées aux nouvelles technologies, comme le gouvernement en ligne, ont une incidence sur la protection des renseignements personnels, parce que les limites de cette structure de données s'estompent. Si nous voulons créer des bases de données globales ou fusionner des bases de données existantes renfermant des renseignements personnels, il faut intégrer la protection et la sécurité de ces renseignements à l'étape de la conception des nouvelles technologies et des nouveaux systèmesNote de bas de page 46. » Ce sont là des points essentiels, car la croissance des services électroniques du gouvernement et des transferts de renseignements personnels entre administrations constituent des impératifs puissants et souhaitables dans les efforts pour servir le public et le bien public. Rien n'est fondamentalement mauvais dans l'une ou l'autre de ces pratiques du moment qu'elles se déroulent dans des conditions contrôlées et après obtention d'un consentement valide exprimé ou implicite de la part des personnes concernées. À l'heure actuelle, la Loi sur la protection des renseignements personnels ne fait état d'aucune norme de consentement probante.
L'adoption planifiée de mesures de protection de la vie privée ainsi que du plus grand nombre possible de technologies d'amélioration de la confidentialité (TAC) est considérée comme une pratique exemplaire primordiale pour parvenir à une solide protection des données dans ces services gouvernementaux électroniques, y compris la gestion de l'identité, les contrôles d'accès, les masques de données, le cryptage, les boîtiers de verrouillage et la vérification en temps réel, tous des composants clés de la gestion de la protection de la vie privée pour les gouvernements canadiensNote de bas de page 47. Il faut également faire de ces technologies tant vantées un usage protecteur. Les institutions gouvernementales doivent faire pression sur les fournisseurs pour qu'ils les offrent. Le problème constant est de persuader ceux qui proposent des initiatives gouvernementales électroniques de prendre au sérieux la sécurité et le respect de la vie privée dès les premières étapes du développement et de la mise en œuvre d'un produit au moyen d'une approche proactive de défense de la vie privée. C'est le rôle des chiens de garde de la vie privée à tous les niveaux, y compris les responsables de la protection des renseignements personnels, dont la présence est nécessaire, et à qui on doit fournir des ressources humaines et financières au sein de chaque institution gouvernementaleNote de bas de page 48.
L'utilisation et le partage pangouvernemental de renseignements personnels présentent un intérêt particulier lorsqu'ils ont trait à la prestation des services. La raison en est fort simple. Si les divers ordres de gouvernement au Canada disposent de solides lois en matière de protection de la vie privée, sous la surveillance d'un organe de réglementation indépendant, il devient alors possible de contrôler un tel partage des données en appliquant les principes généraux et particuliers de chaque loi (chacune s'articulant autour de dix principes de base axés sur la protection de la vie privée). Plus important encore, on favorisera un tel état de choses en amenant les entités gouvernementales à signer entre elles des ententes de partage des données qui sont essentiellement des contrats exécutoiresNote de bas de page 49. Les bureaucrates n'aiment pas devoir négocier de telles ententes parce qu'elles sont chronovores et qu'elles permettent aux commissaires à la protection de la vie privée, aux défenseurs de la vie privée et aux médias de se faire une idée de ce qui se produit, ou de ce qui est planifié, et d'aider à fixer les règles de base pour la protection des données. Mais c'est la façon dont les gouvernements devraient travailler dans le souci de servir l'intérêt public. Le gouvernement fédéral croit qu'il peut tout bonnement obtenir auprès d'autres gouvernements et entités connexes tous les renseignements personnels dont il a besoin pour faire son travail, particulièrement auprès des entités connexes qu'il finance. Les ententes de partage des données permettent de bien comprendre la situation, comportent des règles et des responsabilités et assurent la transparence aux fins de la protection de la vie privéeNote de bas de page 50.
Si toutes les lois pertinentes orientées vers la protection de la vie privée et leur mise en œuvre connexe étaient vigoureuses, une enclave protégée pourrait échanger des renseignements personnels avec une autre enclave protégée, dans des conditions contrôlées, à des fins gouvernementales légitimes et autorisées. Les ententes de partage des données donneraient au public la satisfaction de savoir que le Parlement, les organes législatifs et les chiens de garde de la vie privée ont une bonne idée de ce qui se déroule sur le plan des échanges de données pour la prestation des services (cela implique le secteur privé). La protection de la vie privée n'est pas l'ennemi, mais l'ami dans l'exercice efficace de la prestation de services à tous les niveaux de gouvernement. Rendre tous ces mécanismes de nature consensuelle figure parmi les nombreuses « solutions » facilement accessibles à des gouvernements réceptifs et sensés, même dans le contexte d'une sécurité améliorée. Si les Canadiennes et Canadiens veulent des services particuliers, ils prendront la décision pragmatique de consentir à la collecte, à l'utilisation, à la communication et à la conservation des renseignements personnels à de telles fins. Ce n'est là qu'un moyen parmi tant d'autres grâce auquel la protection des renseignements personnels peut se révéler un dossier gérable. La réforme de la Loi sur la protection des renseignements personnels témoigne de la nécessité pour les institutions fédérales de faire montre d'une diligence raisonnable et d'une gestion saine de l'information. Ces institutions devraient préciser ce qu'elles font, puis ensuite joindre le geste à la parole, ce qui est plus facile à dire qu'à faire.
Nécessité d'une gestion des mécanismes de protection de la vie privée aux fins de la circulation transfrontalière des données
Le rapport Une question à deux volets paru en 1987 faisait valoir la nécessité de fournir un cadre efficace pour la circulation transfrontalière des données. Des développements incroyables dans ce domaine liés à Internet, au Web et à l'impartition rendent nécessaire la réalisation d'autres examens urgents, particulièrement en ce qui a trait aux échanges accrus de données personnelles entre le Canada et les États-Unis à des fins de sécurité nationale, de programmes de sécurité publique ou pour toute autre raison dans les secteurs privé ou public. Comme l'a déjà mentionné la commissaire à propos d'un aspect de ces échanges, « La Loi devrait renfermer un libellé précis afin d'indiquer les responsabilités des personnes qui transfèrent des renseignements personnels à l'extérieur de la fonction publique fédérale, vers d'autres juridictions. Elle devrait aussi traiter de la question de l'efficacité des mesures de protection dans ces autres juridictionsNote de bas de page 51. » La vérification par la commissaire, en 2005-2006, des pratiques de gestion des renseignements personnels de l'Agence des services frontaliers du Canada (ASFC) est exactement le type de vérification que le Commissariat devrait effectuer à cet égardNote de bas de page 52. Bien que le rapport de vérification contienne une description et une analyse détaillées de la manière dont l'ASFC devrait gérer ses échanges de données avec les États-Unis, ni la commissaire ni l'ASFC ne connaissent vraiment l'utilisation que nos voisins font de tels renseignementsNote de bas de page 53. C'est inacceptable. L'ASFC est tenue d'obtenir des renseignements pertinents des États-Unis avant de procéder à de telles communications. En outre, la commissaire à la protection de la vie privée a elle-même déclaré le 8 avril 2008 : « Dans l'ensemble, le CPVP a conclu que l'ASFC a besoin d'un cadre complet de gestion de protection de la vie privée pour guider l'amélioration des politiques, des systèmes, des procédés et des pratiques pertinentes, et pour renforcer la surveillance des pratiques de gestion des renseignements au quotidienNote de bas de page 54. » Cela n'arrive pas assez vite.
La circulation des données entre d'autres juridictions nationales doit également faire l'objet d'une gestion similaire aux fins de protection des données dans les secteurs public et privé. Comme l'a déjà mentionné la commissaire : « La plupart des lois sur la protection des données interdisent la communication de renseignements détenus par le gouvernement à un État étranger sauf dans des circonstances très précises. Cette norme devrait prévaloir au Canada. La Loi devrait indiquer clairement les exigences à inclure dans tout accord, ainsi que les exigences en matière de reddition de comptes et d'établissement de rapports relativement à ces accordsNote de bas de page 55. » En outre, la commissaire a tenu les propos éloquents suivants : « Il est tout à fait contraire à l'esprit de la Loi sur la protection des renseignements personnels qu'une institution gouvernementale communique des renseignements personnels à une autre institution ou échelon du gouvernement sans qu'un examen minutieux et obligatoire permette de déterminer les raisons pour lesquelles les renseignements sont nécessaires, les fins auxquelles ils seront utilisés, sous quelle autorisation est effectuée la requête, et s'il existe des mesures adéquates pour protéger les renseignements. [?] La Loi sur la protection des renseignements personnels devrait préciser les exigences devant figurer dans tout accord selon lequel des renseignements personnels seront communiqués à une juridiction étrangèreNote de bas de page 56. » Il faudrait inclure ce libellé dans une nouvelle version de la Loi.
De plus, on pourrait d'emblée être d'accord avec la conclusion de la commissaire, selon qui : « les Canadiennes et les Canadiens ont le droit de savoir dans quelle mesure leurs renseignements personnels traversent les frontières et tombent entre les mains de gouvernements étrangersNote de bas de page 57. » Cette déclaration ne saurait être plus vraie que dans les relations du Canada avec les États-Unis en ce qui concerne le partage transfrontalier des données. L'état actuel des choses pourrait amener un profane à penser que le Canada n'a aucune prise sur la situation. Cela ne devrait pas être le cas, et il n'est pas nécessaire que ce le soit non plus. Mais là encore, il existe des conseils spécialisés accessibles et transférables, notamment le document du Secrétariat du Conseil du Trésor intitulé « Prise en compte de la protection des renseignements personnels avant de conclure un marché »Note de bas de page 58. Le conseil avisé suggéré dans le titre du document est expressément destiné aux quelque 250 ministères fédéraux, fondations, organismes du gouvernement et sociétés d'État assujettis à la Loi sur la protection des renseignements personnelsNote de bas de page 59. Cela dit, à moins que chacun d'entre eux ne compte sur une personne qui gère les efforts axés sur la protection de la vie privée et agit comme une conscience dans le domaine et une source d'expertise pour l'organisation, ils ne sauront même pas qu'il existe une telle directive.
Nécessité d'une gestion des mécanismes de protection de la vie privée pour l'impartition et les partenariats publics-privés
Les propositions de la commissaire concernant la réforme de la Loi sur la protection des renseignements personnels contenaient plusieurs recommandations et propositions visant à protéger les renseignements personnels des utilisations et des communications non autorisées (ou des risques connexes) pouvant découler de l'impartition et des partenariats publics-privés. La commissaire a brièvement fait état des modèles provinciaux de gestion de telles activités d'impartition (à savoir le modèle de la C.-B.), dont les responsables tentent de s'assurer que les renseignements personnels des citoyens sont bien protégés lorsque des ententes de service supposent une impartition à des entités du secteur privéNote de bas de page 60.
Le ministre de la Santé de la C.-B. a imparti à MAXIMUS Inc., une entreprise américaine, la prestation des volets administratifs et techniques du régime de soins médicaux et du régime d'assurance-médicaments de la province. Ce fut là l'une des initiatives d'impartition les plus controversées au Canada, qui a provoqué des discussions sur la portée de la USA PATRIOT Act en particulier, et sur un ensemble complexe de modifications à la loi sur l'accès à l'information et la protection de la vie privée (Freedom of Information and Protection of Privacy Act) de la C.-BNote de bas de page 61. Bien qu'il soit utile d'avoir des règles, celles-ci étaient si excessives dans les circonstances qu'il a fallu les modifier en 2006 pour permettre aux fonctionnaires de la C.-B. d'utiliser leurs Blackberries et leurs ordinateurs portatifs lorsqu'ils voyageaient aux États-UnisNote de bas de page 62. Les fonctions administratives transférées à MAXIMUS BC HEALTH Inc. incluaient les services d'aide et de traitement des adhésions ainsi que les changements de compte pour les services aux bénéficiaires, le traitement de toutes les demandes de remboursement des frais médicaux automatisées et manuelles et des paiements aux médecins qualifiés et aux fournisseurs, l'appui aux services de soutien téléphonique automatisés et manuels pour les fournisseurs de services médicaux et le grand public, et l'appui aux services technologiques divers et complexes qui permettent la prestation de services commerciaux.
L'ironie de l'affaire est que cette activité réglementaire, la surveillance du commissaire à l'information et à la protection de la C.- B., de même que l'entente-cadre détaillée de services entre le ministre et l'entrepreneur font en sorte que MAXIMUS BC HEALTH est assujetti à des exigences bien plus rigoureuses en matière de sécurité et de protection des données que le ministère de la Santé provincial lui-même, par exemple, ou que toute autorité sanitaire de la province. Le but visé devrait être une protection des données et une sécurité d'une étanchéité comparable pour les ministères et les impartiteurs/partenaires privés, le tout assorti de mécanismes de surveillance indépendants, comme la chose existe actuellement pour MAXIMUS BC HEALTH et Sun Microsystems of Canada, qui s'occupe des dossiers de santé électroniques en C.-B. La compagnie MAXIMUS offre les éléments suivants : un responsable de la protection des renseignements personnels, une formation en ligne sur la protection de la vie privée, la production de rapports presque instantanés à l'intention du ministre sur les atteintes à la vie privée, la vérification automatisée de l'accès des employés aux renseignements personnels dans les systèmes, et le contrôle minutieux de l'expérience par la haute direction et le conseil d'administration.
Comme l'a récemment déclaré le ministre de la Santé de la C.-B., « Assurer la protection de la vie privée et la sécurité des renseignements personnels est un élément fondamental des rapports contractuels avec MAXIMUS BCNote de bas de page 63. » À cette fin, le ministre cherche à obtenir des assurances permanentes, par le biais d'un processus d'examen rigoureux, indépendant et externe, que « MAXIMUS BC respecte avec constance et fiabilité les arrangements considérablement améliorés visant la protection de la vie privée et la sécurité qui sont requis en vertu des lois existantes et nouvelles ainsi que selon des paramètres contractuels rigoureux. » Il est manifeste que les services offerts aux clientèles concernées, particulièrement le grand public, sont de loin meilleurs que ceux fournis avant qu'on ait eu recours à l'impartition. Le ministre de la Santé, George Abbott, déclarait en juillet 2006 que « Les Britanno-Colombiens continuent de recevoir un service record dans le cadre du régime de soins médicaux et du régime d'assurance-médicaments de la province par le biais de Health Insurance BC. Notre gouvernement s'est engagé à fournir aux Britanno-Colombiens des services rapides, flexibles et précis liés à ces régimes par le biais de Health Insurance BC. [?] Nous cherchons constamment des résultats de qualité élevée pour ces programmes – un changement de premier plan par rapport aux années 1990, alors que les services téléphoniques étaient interrompus une journée par semaine dans le seul but de s'occuper des arriérés administratifsNote de bas de page 64. »
L'annexe de protection de la vie privée (Privacy Protection Schedule) que le gouvernement de la C.-B. a imposé dans son contrat avec MAXIMUS est un excellent modèle souvent imité dans les secteurs de la province et maintenant à l'échelle du paysNote de bas de page 65. Sun Microsystems of Canada Ltd., à qui le ministère de la Santé de la C.-B. a attribué un contrat pour construire le réseau fédérateur du dossier de santé électronique dans la province, a accepté de se soumettre à des règles d'une rigueur similaire sur la protection des donnéesNote de bas de page 66. Une version révisée de la Loi sur la protection des renseignements personnels devrait comporter de telles prescriptions.
Dans la foulée du débat sur la USA PATRIOT Act, la Colombie-Britannique applique des pratiques et procédures d'avant-garde au Canada pour protéger les renseignements personnels lorsque les gouvernements choisissent l'impartition et des partenariats publics-privés. De façon plus particulière, cette situation permet de tirer des leçons pour améliorer la gestion de la protection de la vie privée dans le secteur public fédéral, particulièrement dans un contexte où un si grand nombre d'activités de gestion des renseignements personnels, ou de portions de tels renseignements, sont déjà imparties à une myriade de fournisseurs de services en grande partie inconnus, pourrait-on penser, du Commissariat à la protection de la vie privéeNote de bas de page 67. Comme l'a judicieusement recommandé la commissaire, « En outre, la Loi sur la protection des renseignements personnels devrait à tout le moins indiquer clairement qu'une institution gouvernementale qui recourt à l'impartition demeure responsable des renseignements personnels, et que ces derniers sont considérés être sous le contrôle de cette institutionNote de bas de page 68. » Cette recommandation est une très bonne illustration de la facilité avec laquelle on peut établir les prescriptions requises afin de rendre l'impartition avantageuse pour toutes les parties; le processus n'exige pas l'élaboration de ruses dignes des théologiens médiévaux. Par exemple, l'un des principaux arguments évoqués pour défendre le contrat signé avec MAXIMUS BC Health en ce qui concerne la protection de la vie privée est que, bien que l'entreprise ait la « garde » des renseignements personnels délicats, le « contrôle » incombe essentiellement au ministère de la Santé de la C.-B. Ce devrait toujours être le cas dans de telles relations d'impartition et partenariats publics-privés. Les institutions gouvernementales doivent toujours garder prise sur les renseignements personnels recueillis, utilisés, communiqués ou conservés pour répondre à leurs besoins. Elles doivent également prendre des mesures pour que les fournisseurs de services et ceux à qui sont impartis des services agissent conformément à la Loi sur la protection des renseignements personnels.
Besoin en responsables de la protection des renseignements personnels, en évaluations des facteurs relatifs à la vie privée et en surveillance indépendante en tant qu'outils de gestion de la protection des renseignements personnels dans une Loi sur la protection des renseignements personnels améliorée
En dehors des exigences minimales en matière de responsabilité et de production de rapports imposées aux institutions fédérales en vertu de la Loi sur la protection des renseignements personnels, le Conseil du Trésor du Canada a établi la majeure partie du régime de responsabilisation en ce qui concerne la gestion des renseignements personnels au sein du gouvernement fédéral en émettant des politiques et des procédures administrativesNote de bas de page 69. Le Secrétariat n'a toutefois guère fait plus au fil du temps pour assurer l'application de la Loi sur la protection des renseignements personnels dans la fonction publique fédéraleNote de bas de page 70. Comme je l'ai écrit en 1989, « il n'existe aucune politique activiste continue en ce qui concerne la mise en œuvre de la protection des données au sein du Conseil du Trésor, notamment en dehors du travail des spécialistes de la Direction de la politique administrative. Ni le président ni le secrétaire du Conseil du Trésor ne désiraient ou, en fait, ne désirent particulièrement avoir de conflits avec leurs collègues politiques et avec ceux de la fonction publique au sujet de la protection de la vie privée [?] Le Conseil du Trésor ne fait guère plus que ce qu'il doit conformément à la Loi sur la protection des renseignements personnels, et rendre cette loi efficace dépend de la commissaire à la protection de la vie privéeNote de bas de page 71. » [Traduction]
Même si le rapport intitulé Une question à deux volets a accordé une très grande importance aux activités de conformité au sein du Conseil du Trésor, les résultats ont été de courte durée. En 1994, le Conseil du Trésor a effectivement établi une politique utile concernant la « protection des renseignements personnels et des données », qui semble avoir été largement ignorée dans la pratiqueNote de bas de page 72. Il y a eu une autre exception positive : une explosion d'énergie au tournant du siècle pour guider et encourager la préparation des évaluations des facteurs relatifs à la vie privéeNote de bas de page 73. On peut lire sur le site Web du Conseil du Trésor que « le président du Conseil du Trésor, à titre de ministre désigné, est responsable de l'administration de ces lois à l'échelle du gouvernement », mais cela n'a abouti à aucune activité utile pour la protection de la vie privée au-delà des activités de baseNote de bas de page 74. L'énoncé le plus pertinent est que les « ministres et les administrateurs généraux doivent s'assurer que leurs organisations se conforment à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels ». Une fois encore, ce n'est rien de plus qu'un vœu pieux. En pratique, cela signifie que personne au sein des institutions fédérales ne se préoccupe des affaires du gouvernement du Canada en ce qui concerne la vie privée.
Il est temps pour le dirigeant principal de l'information (DPI) du Canada (en l'absence d'un responsable de la protection des renseignements personnels) d'agir au nom du Conseil du Trésor, même dans le cadre de la structure actuelle. Le DPI et le Conseil du Trésor ne devraient pas pouvoir prétexter que le CPVP et les ministères sont les seuls à devoir faire appliquer concrètement la Loi sur la protection des renseignements personnels, même dans sa version « allégée » actuelle en ce qui concerne la protection de la vie privéeNote de bas de page 75. Le DPI en particulier peut s'assurer qu'il existe une relation continue entre les spécialistes de la protection des renseignements personnels et ceux de la sécurité afin qu'ils s'appuient mutuellement pour atteindre des objectifs si intimement liés. Un responsable de la protection des renseignements personnels serait d'une grande utilité dans ce processus. Les institutions fédérales qui font un usage important de renseignements personnels, telles que Sécurité publique Canada, Transports Canada et Service Canada, n'ont pas de responsable de la protection des renseignements personnels.
Le Secrétariat du Conseil du Trésor tient à jour une liste de « coordonnateurs de l'accès à l'information et de la protection des renseignements personnels » pour les institutions fédéralesNote de bas de page 76. Il semblerait que plus de 200 personnes détiennent un tel titre dans des entités qui vont d'immenses institutions (Santé Canada) à de petites administrations (une administration portuaire locale). La principale tâche d'un coordonnateur de l'accès à l'information et de la protection des renseignements personnels est de traiter les demandes d'accès à l'information conformément à la Loi sur la protection des renseignements personnels ou à la Loi sur l'accès à l'informationNote de bas de page 77. C'est du moins ce que sont devenus ces postes au fil du temps, à quelques exceptions près, comme Santé Canada, qui a une approche plus cohérente en ce qui concerne la gestion de la protection des renseignements personnels. (Voir l'annexe 1 ci-dessous.) Un coordonnateur principal a écrit qu'« à ce stade de l'évolution de notre législation, le titre de coordonnateur de l'AIPRP n'évoque souvent que ceux qui récupèrent des documents et traitent des demandes d'accès à l'information et de communication de renseignements personnels. La plupart des coordonnateurs s'occupent principalement du traitement des demandes. Il s'agit d'une circonstance qui se produit par défaut en raison de leur capacité à traiter cette question. Si les ressources sont limitées et qu'il y a un choix à faire entre répondre aux demandes et élaborer des politiques et des lignes directrices, la première solution est toujours gagnanteNote de bas de page 78. » [Traduction] Le rôle de coordonnateur se situe presque tout le temps à un niveau plutôt subalterne dans la hiérarchie bureaucratique; les titulaires de ce poste n'ont souvent pas suffisamment d'influence pour apporter un grand changement au sein de leur organisme. En fait, même un responsable de la protection des renseignements personnels aurait du mal à faire entendre sa voix dans de telles structures hiérarchisées du pouvoir.
Une amélioration essentielle consisterait à modifier la Loi sur la protection des renseignements personnels de façon à demander la nomination de responsables de la protection des renseignements personnels (RPRP) au gouvernement du Canada et dans chaque institution gouvernementale, ou au moins dans celles qui font un usage important des renseignements personnels (qui recueillent, utilisent, communiquent et conservent de nombreux renseignements personnels sur des membres du public et sur des employés). Ce que nous recommandons ici est un travail beaucoup plus axé sur des politiques que celui actuellement effectué par un coordonnateur de l'accès à l'information et de la protection des renseignements personnels. Un poste de RPRP mettrait certainement davantage en évidence l'importance de la protection des renseignements personnels au sein de toutes les institutions fédérales et servirait de référence pour traiter de façon pragmatique les enjeux continus ayant trait à la protection de la vie privéeNote de bas de page 79. Cela nécessitera bien entendu des rapports de subordination très élevés, des ressources humaines et financières pour faire le travail, une équipe ou un groupe consultatif sur la protection de la vie privée, des politiques générales et particulières sur la protection des renseignements personnels ainsi que des procédures et des processus connexes, la réalisation d'évaluations des facteurs relatifs à la vie privée pour d'importantes bases de données, de la formation en ligne sur la protection des renseignements personnels pour tout le personnel, des pratiques solides en matière de sécurité, de sérieuses ententes de confidentialité, des foires aux questions, des vérifications et une gamme complète de contrôles de sécurité allant de la gestion de l'identité au contrôle de l'accès fondé sur le rôleNote de bas de page 80. Dans un certain nombre de ces exemples, le RPRP peut donner un souffle au travail d'élaboration des politiques déjà effectué par le Conseil du Trésor, qui nécessite maintenant une mise en œuvre efficace.
De nouvelles situations dans les secteurs public et privé d'Amérique du Nord donnent à penser que le modèle de RPRP peut servir de point central à une organisation pour trouver des solutions systématiques à des questions relatives à la protection des renseignements personnelsNote de bas de page 81. Le Conference Board du Canada, par exemple, a un Conseil des responsables de la protection de la vie privéeNote de bas de page 82. Le département du Commerce, le département de la Sécurité intérieure et l'Internal Revenue Service des États-Unis ont nommé des RPRP. D'importantes entreprises spécialisées dans la technologie, comme IBM, Microsoft, Sun Microsystems, Oracle et Hewlett-Packard ont des RPRP depuis des années. La Fondation canadienne des bourses d'études du millénaire, une entité fédérale, a également un RPRPNote de bas de page 83. Le gouvernement de l'Ontario a un directeur général de l'information et de la protection de la vie privéeNote de bas de page 84. Il serait préférable de séparer de telles fonctions en raison des énormes responsabilités qui incombent à chacune d'elles (suivant la même logique selon laquelle le Canada devrait continuer à avoir un commissaire à la protection de la vie privée et un commissaire à l'information)Note de bas de page 85.
Même si Santé Canada a décidé de pas nommer officiellement de sous-ministre adjoint comme RPRP pour l'organisme, en raison de l'absence de précédent dans les institutions fédérales, il faut toutefois souligner ce qu'il a réalisé au cours des dernières années (et ce qu'il comptait réaliser) afin de mieux gérer la protection des renseignements personnels, car Santé Canada est devenu un modèle fédéral à cet égard. Le sous-ministre adjoint de la Direction générale des services de gestion (DGSG) devait être le responsable de la protection des renseignements personnels pour le Ministère et, même s'il ne possède pas ce titre, il relève du sous-ministre pour ce qui est de la promotion des initiatives de protection des renseignements personnels à l'interne comme à l'externe. Le concept qui consiste à désigner un défenseur de la vie privée dans chaque institution gouvernementale est très important pour faire accroître la sensibilisation à la protection des renseignements personnels. De plus, le Comité ministériel de protection des renseignements personnels (CMPRP) effectue un examen approfondi des questions de protection des renseignements personnels et il constitue un important mécanisme permettant de s'assurer d'une approche de collaboration horizontale pour l'intégration des pratiques et des politiques de protection des renseignements personnels dans tous les axes opérationnels des institutions de Santé Canada. Le CMPRP rend des comptes au Comité exécutif ministériel par l'entremise du SMA. Le réseau des contacts pour la protection des renseignements personnels est un mécanisme de consultation mis en place pour fournir au Comité ministériel de protection des renseignements personnels (CMPRP) du soutien et des conseils sur les répercussions opérationnelles de la protection des renseignements personnelsNote de bas de page 86.
Santé Canada a ainsi développé une solide capacité d'élaboration de politiques sur la protection des renseignements personnels. (Voir l'annexe 1.) Sa Division de l'accès à l'information et de la protection des renseignements personnels (44 employés) compte une unité des politiques (14 agents) ainsi qu'une unité opérationnelle (30 analystes). Du point de vue organisationnel, elle permet la mobilité entre les unités, particulièrement aux échelons inférieurs. Le personnel de l'unité des politiques comme celui de l'unité opérationnelle travaille en fonction des portefeuilles, en ce sens que ces employés doivent offrir une aide et prodiguer des conseils en ce qui a trait à des programmes et à des services propres à certains domaines au sein du Ministère. L'un des principaux avantages d'avoir une unité des politiques est que Santé Canada peut offrir une formation active concernant la protection des renseignements personnels ainsi qu'un programme de sensibilisation dans ce grand ministère décentralisé. La commissaire à la protection de la vie privée du Canada a récemment fait valoir que les gestionnaires et les cadres fédéraux devraient recevoir une formation en matière de gestion des renseignements personnels et de l'information, à l'instar de la formation en gestion des ressources humaines et financières qui est maintenant exigéeNote de bas de page 87.
Il est réellement temps de mettre en pratique l'idée de désigner des responsables de la protection des renseignements personnels, qui disposeraient de ressources humaines et financières, dans toutes les entreprises gouvernementales et du secteur privé du pays. Le gouvernement du Canada devrait imiter celui de l'Ontario et nommer un responsable de la protection des renseignements personnels qui servirait de point de convergence du gouvernement pour donner des conseils sur la protection des renseignements personnels dans tout le gouvernement; chaque entité fédérale faisant un grand usage de renseignements personnels devrait avoir des responsables similaires pour les mêmes objectifs. De telles personnes seraient des homologues essentiels aux dirigeants principaux de l'information et aux chefs du service de sécurité actuels, qui contribuent grandement au respect des exigences en matière de protection des données.
La réforme même de la Loi sur la protection des renseignements personnels, bien qu'elle soit souhaitable, n'est pas une solution miracle ni une panacée qui va guérir tous les maux relatifs à la protection de la vie privée dans le secteur fédéral. Elle ne peut être que l'un des éléments contribuant à l'amélioration de la gestion de la protection des renseignements personnels des institutions fédérales, des sociétés d'État et d'autres entités fédérales, comme la Société canadienne du sang, financées en grande partie par le gouvernement fédéral et qui ne font actuellement l'objet d'aucune réglementation légaleNote de bas de page 88. De la formation continue en ligne sur la protection de la vie privée pour tous ceux qui utilisent des renseignements personnels est absolument nécessaire pour accroître le respect des dispositionsNote de bas de page 89. Le gouvernement lui-même doit veiller à ce que ses ministères fassent de façon continue leur travail de protection des renseignements personnels avec détermination et résolution.
Le CPVP a proposé que les exigences en matière de reddition de comptes, notamment en ce qui concerne les évaluations des facteurs relatifs à la vie privée et les contrôles de couplage des données, soient énoncées dans la Loi sur la protection des renseignements personnels afin de s'assurer que les ministères et les organismes fédéraux les respectent de façon rigoureuseNote de bas de page 90. C'est parfaitement logique. On peut faire valoir l'argument selon lequel les ÉFVP exhaustives ne devraient être obligatoires que pour les systèmes les plus susceptibles de porter atteinte à la vie privée et donnant accès aux renseignements personnels les plus confidentielsNote de bas de page 91.
De plus, les normes qui ont été établies pour les cadres actuels de responsabilité en ce qui concerne la gestion des renseignements personnels au Canada et dans d'autres pays anglophones signifient que les ministères et organismes fédéraux devraient assumer et assurer une plus grande ouverture, responsabilité et transparence relativement à la gestion de la protection des renseignements personnels, et que la Loi sur la protection des renseignements personnels devraitrendre obligatoire une telle démarche. Les ministères et organismes fédéraux, particulièrement ceux qui font un usage important de renseignements personnels, à savoir, ceux détenant de nombreux renseignements personnels, ont tout intérêt à adopter de bonnes techniques de gestion des risques d'atteinte à la vie privée. Les éléments d'une solide gestion de la protection des renseignements personnels et de la sécurité sont maintenant bien connusNote de bas de page 92. Une Loi sur la protection des renseignements personnels révisée devrait rendre obligatoire le plus grand nombre possible de ces éléments dans un cadre de gestion de la protection de la vie privée.
Nécessité de conférer le pouvoir de rendre des ordonnances à la commissaire à la protection de la vie privée du Canada
La commissaire à la protection de la vie privée du Canada a besoin de davantage de pouvoirs afin d'attirer l'attention du gouvernement et des institutions fédérales de façon continue. Comme l'a signalé le CPVP lui-même en 2006, « [l]a commissaire à la protection de la vie privée a un rôle d'ombudsman, mais aucun pouvoir de rendre des ordonnances. Les limites de la Loi sur la protection des renseignements personnels ont souvent nui à notre capacité de jouer pleinement notre rôle d'ombudsman. La question relative au pouvoir de rendre des ordonnances devra faire l'objet d'un examen minutieux dans le contexte de la réforme de la Loi sur la protection des renseignements personnels. La Loi devrait accorder expressément à la commissaire à la protection de la vie privée le pouvoir d'entreprendre un processus de médiation et de conciliation, comme le fait déjà la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) »Note de bas de page 93. La plupart des arguments mentionnés sont parfaitement compréhensibles. La commissaire devrait aussi avoir un mandat prévu par la loi d'informer les Canadiennes et les Canadiens de leur droit en matière de vie privée et de les sensibiliser à ce sujet.
D'après l'opinion et l'expérience de l'auteur, les arguments en faveur de l'attribution du pouvoir de rendre des ordonnances à la commissaire à la protection de la vie privée du Canada, d'abord au sein du secteur public puis dans le cadre de la LPRPDE, sont puissants et persuasifs. Les commissaires à l'information et à la protection de la vie privée de l'Ontario, de la Colombie-Britannique et de l'Alberta réussissent bien, car ce sont de vraies autorités de réglementation, même s'ils n'exercent que très rarement ce pouvoir de rendre des ordonnances dans le cadre de leur mandat lié à la protection de la vie privéeNote de bas de page 94. Savoir qu'ils peuvent l'exercer fait en sorte que tous les secteurs du gouvernement leur prêtent de l'attention. Les mérites prétendument supérieurs de l'approche de l'ombudsman appartiennent au domaine du mythe et de la légende et dénotent un refus de tirer parti de l'expérience acquise au Canada ailleurs qu'à Ottawa et que dans le secteur fédéral. Il est temps de sortir de ce paradigme. Les politiciens et les fonctionnaires accorderont davantage d'attention aux conseils de la commissaire à la protection de la vie privée du Canada si celle-ci peut utiliser le pouvoir de rendre des ordonnances dans des circonstances appropriéesNote de bas de page 95. De telles décisions peuvent naturellement être portées en appel devant les tribunaux, comme c'est déjà le cas dans les provinces où le pouvoir de rendre des ordonnances existe. Les décisions prises dans de tels appels renforceront la jurisprudence dans le domaine de la protection de la vie privée comme l'illustrent les décisions prises par la Cour suprême du Canada citées ci-dessus.
Le rapport du CPVP de juin 2006 concernant la réforme de Loi sur la protection des renseignements personnels abordait les avantages et les inconvénients du pouvoir de rendre des ordonnances d'une façon qui au moins s'éloignait des préjugés qui, par le passé, avaient coutume de surgir dans de telles discussionsNote de bas de page 96. Le CPVP a demandé une étude plus poussée sur le sujet et posé quelques questions relativement théoriques à considérer. Il est temps d'être plus audacieux et aussi de prendre des mesures. Le CPVP a bien fait la preuve du principal argument actuel contre le modèle d'ombudsman, un argument d'histoire contemporaine. Il a déclaré : « Les recommandations d'un ombudsman doivent être respectées, dûment prises en considération et mises en œuvre, sauf dans des cas exceptionnels, autrement, il est impossible d'assurer un équilibre, d'aider les citoyens et de régler les problèmes. L'indifférence du gouvernement à l'égard des contestations et des préoccupations du CPVP met en danger le droit fondamental à la vie privée des Canadiennes et des Canadiens Note de bas de page 97. » C'est en fait ce qui est arrivé au fil du temps; la commissaire à la protection de la vie privée du Canada est devenue une chienne de garde sans dent. Aujourd'hui, il est extrêmement facile pour les ministères et les organismes fédéraux de ne voir en la commissaire à la protection de la vie privée qu'une personne seulement capable de prodiguer des conseils (que nul n'est obligé de prendre en considération). Il y a souvent des gens qui n'écoutent pas attentivement. Le seul véritable moyen qu'a le CPVP d'attirer l'attention voulue du gouvernement et du Parlement sur ses points de vue est d'avoir le pouvoir de rendre des ordonnances. Et même alors, le Parlement peut toujours faire ce qu'il veut dans le cadre de la suprématie du Parlement, et les tribunaux peuvent contredire un commissaire à la protection de la vie privée.
À mi-chemin de mon mandat à titre de premier commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique au cours des années 1990, j'ai fait cette remarque à propos de mon exercice du pouvoir de rendre des ordonnances qui, je pense, est toujours valable : « [?] je l'utilise surtout pour obtenir que l'on s'entende sur mes recommandations qui sont normalement le résultat de délibérations conjointes avec des autorités qui font porter mon attention ainsi que celle de mes collègues sur les demandes de la vie bureaucratique quotidienne et sur la réalité de la prestation des services au public [?]. L'étendue de mes pouvoirs est toutefois limitée du fait que, dans notre société démocratique, la législature peut en réalité faire presque tout ce qu'elle veut pour supplanter le droit à la vie privée par une loi ou un règlement, même si j'ai conseillé le contraire. Seul un public à l'écoute peut essayer d'atténuer les effets causés par ce talon d'Achille dans la protection des donnéesNote de bas de page 98. » [Traduction]
Il existe des craintes non fondées selon lesquelles donner un pouvoir sélectif de rendre des ordonnances à la commissaire à la protection de la vie privée du Canada entraînera davantage de bureaucratie et des dépenses considérablement plus élevées pour le publicNote de bas de page 99. L'expérience des provinces dément ces craintes. Rendre des ordonnances sur des enjeux relatifs à la protection de la vie privée demeure l'exception plutôt que la norme, des profanes et des avocats émettent des ordonnances sur des enjeux relatifs à l'accès à l'information et à la protection de la vie privée, et le personnel et les budgets dédiés à la fois à la gestion de l'accès à l'information et à la protection de la vie privée sont moins importants que ceux réservés au CPVP.
Apprendre à travailler avec la commissaire à la protection de la vie privée du Canada
Quand les politiciens et les fonctionnaires fédéraux apprendront-ils à aviser et à consulter la commissaire à la protection de la vie privée du Canada, par exemple, avant de dévoiler leur dernière trouvaille qui risque de porter gravement atteinte à la vie privée et qui conduira vraisemblablement à une médiatisation tapageuse, y compris le fait que la commissaire n'avait jamais entendu parler de ce systèmeNote de bas de page 100? Quand Privacy International, le plus important groupe de pression international voué à la protection de la vie privée, pourra-t-il arrêter d'informer les commissaires nationaux de faits dont ils auraient déjà dû avoir connaissance, comme le débat en 2006 qui a entouré l'affaire de la Society for Worldwide Interbank Financial Telecommunication (SWIFT)Note de bas de page 101? SWIFT divulguait d'importantes quantités de renseignements personnels au gouvernement des États-Unis dans le cadre de virements bancaires internationaux en réponse à des assignations administratives sans faire preuve d'ouverture et de transparence à propos de cette méthode. Faudra-t-il toujours attendre une catastrophe majeure, comme la perte de CD contenant d'énormes quantités de renseignements personnels sur 25 millions de personnes au Royaume-Uni en novembre 2007, pour renforcer les ressources et les pouvoirs de ces chiens de garde officiels de la vie privéeNote de bas de page 102?
Nul besoin d'être particulièrement désabusé pour reconnaître que le gouvernement fédéral et ses institutions veulent faire ce dont ils ont envie quand cela les arrange pour satisfaire aux exigences politiques perçues du moment et pour rester au pouvoir. Bennett et Raab constatent que de « [n]ombreux secteurs du gouvernement veulent s'assurer que des considérations liées à la vie privée n'entravent pas inutilement leur usage intensif de bases de données et leur mise en commun de ces mêmes bases de données [?]Note de bas de page 103 » [Traduction] Des chiens de garde comme les commissaires à la protection de la vie privée peuvent constituer un irritant majeur, même pour des ministres et des hauts fonctionnaires bien intentionnés, qui n'hésiteraient pas, par exemple, à bafouer les droits individuels dans l'urgence de protéger la sécurité nationale. Évidemment, le fait d'avoir écrit que les droits individuels peuvent être bafoués dans l'intérêt de la sécurité nationale peut suggérer que les défenseurs de la vie privée cherchent toujours à éclipser les autres valeurs. L'expérience canadienne, qui remonte au milieu des années 1970, prouve tout le contraire. Il est difficile de se souvenir d'un commissaire à la protection de la vie privée du Canada prenant une décision insensée ou d'un autre n'ayant pas cherché à défendre le droit à la vie privée dans une situation particulière nécessitant des commentaires. Même George Radwanski, dont les dépenses et l'endettement l'ont conduit à démissionner le 23 juin 2003, a pris des positions fermes et éclairées sur bon nombre d'enjeux relatifs à la protection de la vie privée pour lesquels il a donné son avisNote de bas de page 104. C'est malheureux à dire, mais il est vrai que les gouvernements pensent qu'un commissaire à la protection de la vie privée qui ne prend pas fermement position est une bonne chose, n'offrant ainsi qu'une illusion de protection des donnéesNote de bas de page 105. Cette situation doit changer dans l'intérêt du public, surtout en raison de la protection constitutionnelle accordée au droit à la vie privée par la Charte.
Ressources nécessaires pour assurer le respect du droit à la vie privée au sein du Commissariat à la protection de la vie privée et des institutions fédérales
Même si le Canada adoptait la meilleure loi au monde en matière de protection des renseignements personnels dans le secteur public, cela ne signifierait toujours pas grand-chose dans la pratique si le Parlement ne veillait pas à attribuer des ressources (humaines et financières) au CPVP et à chaque institution fédérale. Pas un seul « commissaire à la protection de la vie privée » au Canada ne dispose des ressources nécessaires pour accomplir toutes ses obligations légales. Quelles que soient les normes civilisées et/ou comparatives, les ressources humaines et financières dont ils disposent sont insuffisantesNote de bas de page 106. Même si le personnel actuel du CPVP abat énormément de travail, il lui est humainement impossible de faire tout ce qui est demandé, malgré les récentes augmentations des effectifs. La pléthore de questions nécessitant une attention particulière est littéralement effarante, en plus de toutes les autres tâches habituellesNote de bas de page 107. Le principal travail en vue d'assurer le respect du droit à la vie privée doit être fait par chaque institution fédérale; le CPVP devrait contrôler et vérifier ce qu'elles font réellement.
Le manque de ressources affectées à tous les commissaires à la protection de la vie privée du Canada a fait en sorte, à quelques exceptions près, qu'aucun membre de leur personnel n'a réellement développé une expertise permanente sur un type de problème majeur concernant la protection des données ou autre, comme la biométrie, le cryptage, les dossiers de santé électroniques ou presque toutes les questions liées à la sécuritéNote de bas de page 108. Le personnel de ces commissariats doit également être plus discipliné pour ne pas s'occuper de chaque affaire relatée par un quotidien ou un autre qui semble toucher les intérêts des Canadiennes et des Canadiens en ce qui a trait à la protection de leur vie privée. S'il existe des personnes possédant l'expertise appropriée, elles peuvent alors gérer la question de l'heure et laisser le reste du personnel s'occuper de ses tâches principales. S'autodiscipliner pour se concentrer sur les éléments prioritaires essentiels à une protection des données significative et efficace doit être la principale préoccupation non seulement au sein du CPVP, mais partout ailleurs au CanadaNote de bas de page 109. Donner des conseils en matière de politiques, effectuer des enquêtes, des vérifications et des visites sur les lieux, et informer le public ont davantage d'importance que traiter des plaintes courantes.
Avoir des ressources plus spécialisées en matière de politiques au sein du CPVP, y compris des ressources supplémentaires provenant d'autres professionnels de la vie privée compétents, notamment de cabinets d'avocat, incitera les ministères et les sociétés d'État à consulter plus régulièrement et plus fréquemment le CPVP en vue d'adopter les contrôles de protection des données et de sécurité nécessaires à l'élaboration de tout système d'information contenant des renseignements personnelsNote de bas de page 110. Même si plusieurs centaines de milliers de personnes sont tenues de respecter la Loi sur la protection des renseignements personnels, dont 217 000 fonctionnaires, le CPVP ne peut guère s'attendre à voir son budget ou son personnel augmenter de façon exponentielle. Son effectif se compose, à l'heure actuelle, de 140 personnes qui devront travailler de façon judicieuse et particulièrement concentrée pour répondre aux attentes du public.
« Building in privacy by design » est le nom d'une stratégie de protection des données que doivent réaliser les spécialistes de la protection de la vie privée du CPVP avec les fonctionnaires concernésNote de bas de page 111. Même si les seconds ont longuement réfléchi à des solutions appropriées, il est essentiel de donner au CPVP un excellent aperçu de ce qui est envisagé afin que personne ne soit pris par surprise dans les médias ou au Parlement lors du déroulement d'un projet particulierNote de bas de page 112. Malheureusement, les institutions fédérales craignent que la commissaire à la protection de la vie privée essaie d'« arrêter » une initiative si elle est mise au courant trop tôt dans le processus. Attendre que tout le monde soit d'accord dans une institution fédérale pour aller timidement consulter la défenseure de la vie privée est la meilleure façon d'aboutir à une catastrophe en matière de protection de la vie privéeNote de bas de page 113. Alors que le gouvernement devrait mettre de l'ordre dans ses affaires en ce qui concerne une question ou une approche particulière, consulter le CPVP devrait faire partie intégrante du processus depuis pratiquement le début afin d'atténuer le risque pour toute institution fédérale d'avoir de désagréables surprises. Si, par exemple, une institution fédérale présentait au CPVP ne serait-ce qu'une évaluation théorique éclairée des facteurs relatifs à la vie privée, ce serait déjà une belle avancée dans la gestion des risques d'atteinte à la vie privée.
Rôle de surveillance du Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique
De par sa simple existence, le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes devrait faire la promotion des activités de surveillance, y compris la nomination ou le renouvellement du mandat des commissaires à la protection de la vie privée du Canada. Les membres du Comité, s'appuyant sur un personnel permanent, doivent acquérir une expérience de la protection des renseignements personnels qui leur est propre pour non seulement promouvoir la réforme des lois, comme la Loi sur la protection des renseignements personnels, mais aussi pour que des personnes de haut calibre soient nommées à ces postes d'une importance capitale pour la société canadienne. Bien entendu, les membres ont aussi la responsabilité de s'assurer que le Commissariat fait son travail de manière efficace, pragmatique et créative.
Les défenseurs de la protection des renseignements personnels devraient voir le nouveau comité permanent comme quelque chose de positif. Voici enfin un comité qui a la possibilité de se pencher en permanence sur les questions de protection de la vie privée et de bien se renseigner. Il apprendra vite quels témoins experts sont à la fois crédibles et efficaces. Jennifer Stoddart a continué d'enrichir son expérience déjà substantielle de ces questions auprès des parlementaires et fonctionnaires québécois en témoignant régulièrement devant le Comité permanent. Cela ne peut que favoriser l'acquisition d'une expérience concrète des questions de protection des renseignements personnelsNote de bas de page 114.
Remontant aussi loin qu'en 1978, année de la nomination de Inger Hansen, chaque « commissaire à la protection de la vie privée » du Canada s'est acquitté à sa façon des exigences du posteNote de bas de page 115. Après avoir observé de près le travail de ces fonctionnaires au Canada, en Europe de l'Ouest et en Australasie, en remontant jusqu'aux années 1970, l'auteur de ces lignes affirme que les commissaires doivent adopter une approche vigoureuse, énergique, dynamique, engagée et pragmatique pour s'acquitter des exigences de leur emploiNote de bas de page 116. [Traduction] Ce poste n'est pas fait pour les timides et les sensibles, ni pour les personnes qui manquent d'assurance. Après avoir énuméré les sept rôles du commissaire, Bennett conclut sagement que « cet assortiment de pouvoirs assez impressionnant et souple et ce mandat passablement large pourraient donner à n'importe quel observateur l'impression que le commissaire à la vie privée possède un pouvoir considérable dans le système fédéral. Or, l'exercice de ce pouvoir dépend essentiellement du style, du caractère, des talents et de la personnalité du titulaire du poste et de la manière dont cette personne perçoit l'environnement organisationnel et est perçue par luiNote de bas de page 117. » [Traduction]
Le Comité permanent a aussi besoin d'au moins plusieurs employés et experts-conseils permanents capables de monter un dossier solide sur les questions de protection des renseignements personnels, c'est-à-dire bien plus que ce que les greffiers et recherchistes de ce type de comités ont l'habitude de faire étant donné la nature plus générale de leurs fonctionsNote de bas de page 118. On se rappelle avec émotion du sous-comité de l'information gouvernementale de la Chambre américaine dans les années 1970 et 1980 où, pendant des années, Robert Gellman a agi comme homme-orchestre pour les membres du Comité en matière d'expertise reliée à la protection de la vie privée. M. Gellman n'a jamais eu son pendant canadien, et c'est bien dommage. Pour protéger efficacement et significativement les données personnelles, il faut avoir une vision claire sur une foule de sujets et l'expérience qui s'y rattache. Le Comité permanent de la Chambre doit insister fortement pour faire avancer la réforme de la Loi sur la protection des renseignements personnels et la présenter comme une grande priorité allant dans l'intérêt des électeurs.
Augmentation de l'autorité et de la capacité de vérification du CPVP et des institutions fédérales
Dans les années 1980, j'ai eu la chance de découvrir en Allemagne les effets bénéfiques que la vérification pouvait avoir sur le respect de la loi et, depuis ce temps, c'est devenu une marotte pour moiNote de bas de page 119. Comme commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique, j'ai lancé l'idée des visites de sites comme modèle élémentaire de vérification et de sensibilisation. Mon expérience d'expert-conseil depuis 1999 n'a fait que renforcer mes vues sur l'importance capitale des vérifications et des visites de sites pour promouvoir le respect de la loi et y arriver. De quel autre moyen dispose-t-on, en effet, pour découvrir ce qui se passe vraiment en pratique? Dans un monde idéal, les institutions fédérales planifieraient ou commanderaient des vérifications internes ou externes régulières, puis présenteraient leurs conclusions au Commissariat. Il est ironique de voir les ressources que le ministère de la Santé de la C.-B. consacre aux vérifications de MAXIMUS BC HEALTH quand ces vérifications sont plutôt rares au Ministère lui-même ou au sein des autorités médicales de la province, surtout quand on sait que la province songe à instaurer les dossiers médicaux électroniques. L'actuelle commissaire à la protection de la vie privée du Canada consacre des ressources considérables au processus de vérification et effectue des vérifications cruciales des systèmes de renseignements personnels les plus importantsNote de bas de page 120. Elle demande aussi l'autorisation de publier les conclusions de ses rapports.
La réforme de la Loi sur la protection des renseignements personnels devrait exiger que les ministères et organismes fédéraux se servent de leurs vérificateurs internes et externes pour ajouter la vérification de la sécurité et de la protection des renseignements personnels à leurs activités de routine. Le simple fait de remplir une liste de contrôle sur la protection des renseignements personnels serait une expérience révélatrice pour les institutions fédérales qui ignorent si la protection de leurs données respecte toutes les conditions prescrites, tout au plus savent-elles le nombre de demandes d'accès à l'information et de plaintes reçues chaque année. La liste de contrôle pourrait aussi inclure des pratiques exemplaires susceptibles de garder les institutions fédérales à l'abri des problèmes.
Nécessité pour le CPVP d'aller au-delà du simple traitement des plaintes
Dans son rapport sur le projet de fusion du Commissariat à l'information et du Commissariat à la protection de la vie privée, le juge La Forest a affirmé que « À l'instar de l'ombudsman, la responsabilité première des commissaires à l'information et à la protection de la vie privée consiste à mener des enquêtes et à formuler des recommandations de manière indépendante et impartiale relativement aux plaintes formulées par des personnes qui allèguent qu'une institution fédérale a violé les droits que leur confère la Loi sur l'accès à l'information ou la Loi sur la protection des renseignements personnelsNote de bas de page 121. »
Cette description simple et précise met en lumière une lacune grave de la Loi sur la protection des renseignements personnels. Au XXIe siècle, comme nous l'avons mentionné précédemment, répondre aux plaintes ne constitue qu'une toute petite partie de ce que doit faire un défenseur des renseignements personnels pour essayer de contrôler la mauvaise surveillance, du moins par comparaison avec la nécessité de donner des conseils systémiques et précis, de faire des enquêtes générales et précises et de faire des vérifications et des visites de sitesNote de bas de page 122. Bennett et Charles D. Raab sont d'avis que la commissaire à la protection de la vie privée doit jouer sept rôles interdépendants : ombudsman pour les plaintes des citoyens, vérificatrice des pratiques organisationnelles, experte-conseil en matière de systèmes informatiques anciens et nouveaux, éducatrice du grand public, conseillère en politiques, négociatrice et responsable de l'application de la loiNote de bas de page 123. Bennett et Raab concluent que les pouvoirs les plus généraux et les plus proactifs sont les plus importants. Chacun de ces rôles exige des ressources, de l'engagement et un leadership continu et doit produire des résultats concrets compte tenu de la multiplicité des demandes et des conflits entre les priorités. Le juge La Forest reconnaissait explicitement dans son rapport que « par contre, le commissaire à la protection de la vie privée participe plus souvent à des débats de haut niveau relativement aux conséquences à long terme structurelles, et souvent transnationales, sur la vie privée des lois et politiques existantes ou proposées, telles que la réaction du pouvoir exécutif aux menaces que font peser le crime organisé et le terrorisme, ainsi qu'en ce qui a trait à l'incidence des technologies modernes de surveillance et de collecte de renseignementsNote de bas de page 124. » C'est un sujet qui intéresse actuellement le Commissariat au plus haut point, et cela ne doit pas changer.
La sous-dotation du Commissariat a entraîné des retards presque incroyables et pour le moins inacceptables dans les enquêtes et le traitement des plaintes du public. On parle de retards routiniers de plus d'un an dans le traitement des plaintesNote de bas de page 125. La solution consiste à autoriser le CPVP à se pencher seulement sur les plaintes les plus graves et à accorder moins d'attention ou aucune attention à celles qui semblent moins importantes ou qui sont répétitives. La Loi sur la protection des renseignements personnels devrait inclure le droit d'établir des priorités puisque le traitement des plaintes n'est qu'une des facettes de la protection sérieuse des données personnelles.
Dans son mémoire du 15 janvier 2008 présenté à Industrie Canada à propos de la révision de la LPRPDE, la commissaire a demandé à pouvoir exercer un pouvoir discrétionnaire dans le traitement des plaintes à cause « [du] retard croissant dans l'examen des plaintes [alors que nous devrions adopter] une méthode plus proactive pour s'attaquer aux enjeux systémiques et omniprésents liés à la protection des renseignements personnels, par la recherche, la sensibilisation du public, les plaintes déposées par le Commissariat et les vérifications faites à la demande de ce dernier [?] Auparavant, les enjeux liés à la protection des renseignements personnels survenaient dans le cadre de relations entre un particulier et une organisation, et étaient soulevés dans le cadre de plaintes formulées par des personnes. Aujourd'hui, les grands enjeux liés à la protection des renseignements personnels surviennent dans le contexte des technologies de l'information en plein essor, notamment celles rendues possibles par Internet. Ces nouvelles menaces visent l'ensemble de la société et font partie du quotidien à un point tel que, dans la plupart des cas, une personne moyenne n'en serait même pas consciente et, par le fait même, ne porterait jamais plainte. Il est question, entre autres, de la vaste gamme de technologies et de nanotechnologies de surveillance qui commencent à être offertes sur le marché, de l'identification par radiofréquence, du réseautage social et du marketing comportemental en ligne. De plus en plus, les autorités de protection des données de partout au monde reconnaissent que nous devons concentrer nos efforts sur ces nouvelles technologies si nous voulons faire face à ces menaces à la protection de la vie privée à mesure qu'elles surviennentNote de bas de page 126. »
Les mêmes arguments massue devraient s'appliquer pour décider de la façon d'organiser la gestion des plaintes en vertu de la Loi sur la protection des renseignements personnels. D'ailleurs, la toute dernière formulation, très avisée, du changement demandé par la commissaire Stoddart se lit comme suit : « Le Commissariat doit disposer d'une plus grande marge de manœuvre pour traiter plus rapidement et efficacement les plaintes qui ont un moins grand intérêt systémique ou sociétal, ce qui lui permettrait d'investir davantage de ressources pour régler les plaintes qui risquent d'avoir des répercussions importantes sur l'amélioration de la gestion de la vie privée au gouvernement fédéralNote de bas de page 127. » [Traduction]
Importance de rendre la notification des atteintes à la sécurité des données obligatoire
Le Canada a réagi rapidement pour rendre obligatoire la notification des atteintes à la sécurité des données aux commissaires à la protection de la vie privée et aux personnes concernées. Jusqu'à ce jour, il s'agissait surtout d'une question relevant des lois sur la protection des renseignements personnels applicables au secteur privé. Mais lorsque le ministère de la Santé et du Mieux-être du Nouveau-Brunswick a perdu plusieurs bandes contenant les données de patients durant leur transport vers la Colombie-Britannique, en octobre 2007, le ministre de la Santé du Nouveau-Brunswick s'est retrouvé dans l'obligation d'avertir plus de six cents personnes de la perte de leurs données et du risque qu'elles couraient de subir un vol d'identitéNote de bas de page 128. MAXIMUS BC HEALTH, le dépositaire de la base de données du Medical Services Plan, a immédiatement étiqueté les comptes des Britanno-Colombiens concernés pour surveiller toute activité inhabituelle. À cause de cet épisode embarrassant (ces bandes de données n'avaient pas été encodées avant leur remise au transporteur local), les cadres supérieurs ont perdu beaucoup de temps à gérer la crise à l'intérieur du gouvernement et face aux médias. Les membres du cabinet n'ont pas du tout apprécié cette mauvaise presse. Le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique a immédiatement annoncé la tenue de sa propre enquête (ce qui a encore ajouté à l'embarras du gouvernement et du ministère de la Santé)Note de bas de page 129.
Le fiasco du fax de la CIBC est un autre exemple patent, dans le secteur privé cette fois, où l'image de marque et la réputation ont été lourdement entachées. S'il y a un lien à faire entre ces incidents et la réforme de la Loi sur la protection des renseignements personnels, c'est que les institutions fédérales ne pourraient pas échapper à ces obligations et à ces coûts si de telles atteintes se produisaient. Rares sont ceux qui se seront dotés de lignes directrices relatives à la notification et qui sauront quoi dire à des clients inquiets. Heureusement, le Commissariat et le Secrétariat du Conseil du Trésor viennent d'émettre des lignes directrices en la matièreNote de bas de page 130. Il sera essentiel d'inclure des exigences légales pour la gestion des atteintes à la vie privée, notamment la déclaration obligatoire au Commissariat, dans une nouvelle Loi sur la protection des renseignements personnels, comme le recommandait récemment la commissaireNote de bas de page 131. La déclaration obligatoire des atteintes importantes à la sécurité des données et les coûts, la confusion, la mauvaise publicité et la couverture médiatique négative qui s'ensuivent auront au moins l'avantage de raviver l'intérêt pour une meilleure gestion des renseignements personnels, surtout chez ceux et celles qui ne prennent pas la gestion du risque des atteintes à la vie privée au sérieux. Il est tout aussi important de prévoir des sanctions pour les atteintes commises par négligenceNote de bas de page 132.
Que peut-on et que doit-on faire pour améliorer la Loi sur la protection des renseignements personnels? Quelques dernières pistes de réflexion.
Le commentaire très opportun qui suit provient d'un mémoire de la commissaire déposé en juin 2006 : « La nécessité de réformer la Loi sur la protection des renseignements personnels se fait de plus en plus pressante au fil des ans. Il nous faut une loi adaptée aux complexités de la gouvernance contemporaine, une loi qui comporte une structure efficace de réduction des risques que posent les nouvelles technologies à la protection des renseignements personnels, qui favorise la responsabilité à l'égard du public, et qui permette au Parlement d'assumer pleinement son rôle de gardien des valeurs fondamentales du Canada, y compris notre droit à la protection de leur vie privéeNote de bas de page 133. » Il s'agit d'un programme exhaustif et nécessaire au gouvernement du Canada et au ministre de la Justice en particulier.
Une série de propositions doivent être débattues pour que ces réflexions sur la réforme de la Loi puissent déboucher sur des résultats concrets :
- Telle quelle est, la Loi sur la protection des renseignements personnels ne correspond aucunement aux besoins du XXIe siècle. En fait, elle pèche contre huit des dix principes de la norme nationale du Canada en matière de protection de la vie privée, soit au chapitre de la reddition de comptesNote de bas de page 134, de la transparence, de la détermination des fins de la collecte, du consentement, de la limitation de la collecte, de la limitation de l'utilisation, de la communication et de la conservation des renseignements, des tests de qualité des données et des mesures de sécuritéNote de bas de page 135.
- Il est bien clair qu'il n'existe aucune volonté politique de modifier la Loi sur la protection des renseignements personnels; cette réforme n'est pas un sujet qui capte l'attention du gouvernement, des politiciens ou des bureaucrates. ILS DEVRAIENT POURTANT S'Y INTÉRESSER. Le public devrait exiger qu'ils le fassent.
- Peu de politiciens en poste se soucient de la protection des renseignements personnels, sauf quand une crise survient; ils la gèrent alors de la manière habituelle, c'est-à-dire en défiant l'opposition, les médias et la population qui s'inquiète. Au mieux, la protection des renseignements personnels est une question générique qui n'éveille jamais le besoin d'agir. Les politiciens doivent être mieux renseignés pour comprendre de quoi il retourne. Les électeurs n'en méritent pas moins de leurs élus.
- La liberté d'information intéresse uniquement les membres de l'opposition, jamais le gouvernement. Ce sujet n'a pas d'attrait; il est au contraire lassant, pour ne pas dire menaçant pour le gouvernement et les fonctionnaires qui tiennent à tout prix à contrôler l'accès à l'information. C'est vraiment déplorable, surtout compte tenu du fait qu'un gouvernement ouvert, transparent et responsable est une des assises de la démocratie canadienne. La liberté d'information et la protection des renseignements personnels sont deux domaines distincts quand vient le temps de réformer les lois.
- Les questions de sécurité nationale et d'application de la loi peuvent occulter même les tentatives les plus raisonnables et les plus pragmatiques de revitaliser la Loi sur la protection des renseignements personnels parce qu'elles ont du poids et qu'elles sont totalement alignées sur les États-Unis, dont le dossier en matière de protection des données dans le secteur public est encore moins reluisant que celui du Canada. Pourtant, rien n'empêche que la sécurité nationale et l'application des lois coexistent dans une atmosphère de respect mutuel pour les règles de route.
- Le gouvernement doit être convaincu que la protection des renseignements personnels est un enjeu « conservateur », une valeur « libérale », qu'elle peut transcender les idéologies et les affiliations politiques et que tout le monde peut y trouver son compte.
- Les fonctionnaires n'ont reçu aucune nouvelle ressource pour appliquer la Loi sur la protection des renseignements personnels et la Loi sur l'accès à l'information, d'où leur désabusement. Ces lois ont laissé un arrière-goût désagréable. Si on veut revitaliser la Loi sur la protection des renseignements personnels, il est impératif de fournir suffisamment de ressources pour assurer son application dans les institutions fédérales.
- Les factions qui s'opposent au sein du ministère de la Justice (les tenants de la Charte contre ceux des droits de la personne contre les spécialistes de l'accès à l'information et de la protection des renseignements personnels) ne s'entendront jamais parce qu'elles défendent toutes leurs chasses gardées et leur expertise technique particulière; leurs maîtres politiques et bureaucratiques devront leur dire quoi faire et comment le faire. Cette tâche incombe au ministre de la Justice et à son sous-ministre.
- Si des propositions concrètes de révision étaient en vue, il serait peut-être possible de lier la réforme de la Loi sur la protection des renseignements personnels à une réorganisation du gouvernement ou à un projet de loi d'ordre administratif qui modifierait plusieurs lois en même temps. Il est important de bien se préparer au cas où une telle occasion se présenterait.
- Si la commissaire rencontrait le ministre de la Justice et/ou son sous-ministre, que leur demanderait-elle? Ou que demanderait-elle au greffier du Conseil privé, qui était sous-ministre d'Industrie Canada lorsque la LPRPDEa été déposée? Le CPVP est prêt et devrait demander une telle rencontre avec insistance, surtout qu'il n'a rien à perdre après plus d'une génération d'inertie de la part des principaux intéressés. L'intérêt de la population est en jeu.
- Il serait sans doute assez facile de faire accepter par les politiciens et les hauts fonctionnaires que les mesures de sécurité constituent l'élément central de la protection des renseignements personnels et l'un des dix principes de la protection de la vie privée, d'autant plus que la Loi sur la protection des renseignements personnels ne contient aucune norme de sécurité, ce qui est indéfendable.
- Bien que les États-Unis n'aient pas jugé bon de réformer en profondeur leur Privacy Act de 1974, le gouvernement américain a passé plusieurs lois sectorielles importantes pour régler des problèmes précis, surtout dans le secteur privé. Le Parlement devrait tout faire pour que les parties les plus importantes des nouvelles lois ou des lois modifiées soient assorties de mesures progressistes de protection des données, à la hauteur d'une Loi sur la protection des renseignements personnels revue et améliorée. Les règlements sur la confidentialité de la Loi sur la statistique du fédéral pourraient servir de précédentNote de bas de page 136.
- Des observateurs américains bien renseignés, comme Bob Gellman, avouent ne pas savoir exactement comment réformer leur Privacy Act. Or, la situation au Canada est totalement différenteNote de bas de page 137. Bruce Phillips a produit un plan de réforme de la Loi à la fin de son mandat et l'a présenté au sous-ministre de la JusticeNote de bas de page 138. Comme nous l'avons mentionné à plusieurs reprises déjà, Jennifer Stoddart a déterminé les autres grands axes de la réforme et a même proposé quelques « correctifs rapides »Note de bas de page 139.
- Plus important encore, le Canada et les provinces ont produit récemment d'excellents modèles de lois révisées et améliorées, à commencer par la LPRPDE pour le secteur privé fédéral, la Personal Information Protection Act (PIPA) de la C.-B. et de l'Alberta qui aborde la règlementation du secteur privé de manière bien plus cohérente que la LPRPDE (dont la structure est boiteuse), et la Loi sur la protection des renseignements personnels sur la santé de l'Ontario qui, à mon avis, aborde la protection des données de manière très intelligente et intelligible compte tenu de la complexité du domaine de la protection des renseignements en matière de santé (secteurs public et privé). Voir ci-dessous.
- La LPRPDE a le grand avantage de s'articuler, si on peut dire, autour du code type sur la protection des renseignements personnels de la CSA qui se fonde sur dix principes de la protection de la vie privée (pratiquement invisibles dans la Loi sur la protection des renseignements personnels actuelle)Note de bas de page 140. On pourrait simplement proposer d'appliquer les meilleurs éléments de la LPRPDE au secteur public. La Loi sur la protection des renseignements personnels doit à tout le moins adopter une approche fondée sur des principes.
- Si on accepte le dictum voulant que l'élaboration des mesures de protection des données n'ait rien à voir avec l'arithmétique quantique, la préparation de lignes directrices à l'intention des rédacteurs de lois au ministère de la Justice ne devrait pas prendre tellement de temps. Ma recommandation serait de partir de la Loi sur la protection des renseignements personnels actuelle et d'y ajouter les meilleurs éléments de la LPRPDE, des deux PIPA et surtout de la Loi sur la protection des renseignements personnels sur la santé. Il n'est pas nécessaire de réinventer la roue.
- Il est tout à fait pertinent dans ce contexte de souligner qu'une loi comme la LPRPS de l'Ontario, qui se penche sur les enjeux les plus complexes de la protection des données de santé des personnes, ne gêne pas indûment l'industrie des soins de santé ontarienne, dirigée par le ministère de la Santé et comprenant toute une armada de régions administratives, d'hôpitaux, de laboratoires, de pharmacies et de cabinets de médecins. Bien qu'il s'agisse d'une loi relativement complexe, elle a pour effet de créer une grande sablière dans laquelle les gardiens des renseignements sur la santé peuvent recueillir, utiliser, communiquer et conserver des renseignements personnels en suivant un ensemble de règlements bien détaillés qui se trouvent sous la surveillance indépendante du commissaire à l'information et à la protection de la vie privée de la provinceNote de bas de page 141. En particulier, les gardiens des renseignements en matière de santé ont le droit de communiquer des renseignements personnels sur la santé à des fins légitimes à l'intérieur de cette enclave protégée. Pour ce qui est de la gestion obligatoire des risques, les gardiens des renseignements sur la santé sont tenus de rendre publiques leurs déclarations de pratiques en matière de renseignements et de mettre des agents de protection de la vie privée (personnes-ressources) à la disposition de leurs agents et de leur offrir de la formation. Les exigences de consentement explicite ou implicite éclairent l'ensemble du processusNote de bas de page 142. Toutes ces idées ontariennes, qui se reflètent dans d'autres lois provinciales sur la protection des renseignements personnels, méritent d'être retenues pour revitaliser la Loi sur la protection des renseignements personnels. Une fois de plus, nous dirons que le gouvernement fédéral doit tirer des leçons de l'expérience des autres pour retrouver sa position de chef de file en matière de protection des données canadiennes.
Annexe 1 : Aperçu des responsabilités du Groupe des politiques de Santé Canada en matière de protection des renseignements personnels
- Aider Santé Canada à adopter un mode de gestion universel des risques en matière de protection des renseignements personnels et à atténuer ces risques.
- Comme il est prévu dans le portefeuille, fournir aux directions et aux régions des conseils en matière de politiques de confidentialité sur un large éventail d'initiatives mettant en cause des renseignements personnels, comme les utilisations secondaires des renseignements personnels, la dépersonnalisation et la repersonnalisation de ces mêmes renseignements.
- Élaborer des politiques et des lignes directrices en collaboration avec les fonctionnaires des programmes pour aider ceux-ci à mettre en œuvre des programmes et des services qui respectent les principes de la protection de la vie privée.
- Gérer le programme ministériel en matière d'évaluation des facteurs relatifs à la vie privée.
- Donner la formation sur la protection des renseignements personnels aux employés du Ministère et participer à la conception, à la révision et à la mise à jour continues du programme.
- Aider l'unité opérationnelle en élaborant des procédures pour simplifier le traitement des demandes relatives aux renseignements personnels.
- Appuyer la façon dont le secteur de la santé réagit aux défis que pose la protection des renseignements personnels en travaillant avec les intervenants fédéraux, provinciaux et territoriaux et avec les associations nationales pour mettre au point des solutions pancanadiennes, particulièrement en résolvant les problèmes liés à l'implantation de systèmes de dossiers médicaux électroniques.
- Collaborer avec les autres ministères et organismes fédéraux pour faire avancer les enjeux nationaux et intersectoriels liés à la protection des renseignements personnels; travailler par exemple avec Industrie Canada pour que les préoccupations des fournisseurs de soins de santé soient prises en compte dans les révisions de la LPRPDE.
Supports de substitution
- PDF (312 Ko) Accessibilité non vérifiée
- Date de modification :