Allocution principale à l’occasion du 26e sommet international annuel sur la protection de la vie privée et la sécurité à Vancouver

Le 8 mars 2024

Vancouver (C.-B.)

Allocution prononcée par Philippe Dufresne
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

---

Introduction

Bonjour. Je vous remercie de m’avoir présenté si aimablement et de m’avoir invité. Je tiens tout d’abord à vous souhaiter à toutes et à tous une très bonne Journée internationale des femmes!

Je suis honoré de me retrouver parmi tant d’impressionnants défenseurs de la protection de la vie privée et de la cybersécurité pour discuter de l’un des plus grands défis et de l’une des plus grandes avancées de notre monde : à savoir la prolifération de l’intelligence artificielle (IA) et de l’IA générative, et de son incidence sur la vie privée et la sécurité.

Je tiens aussi à souligner la présence de mes collègues commissaires à la protection de la vie privée des provinces et des territoires, notamment Michael McEvoy de la Colombie-Britannique, Diane McLeod de l’Alberta, Diane Aldridge pour le Commissaire de la Saskatchewan, Andrew Fox des Territoires du Nord-Ouest et Patricia Kosseim de l’Ontario.

C’est la seconde fois que je participe à la présente conférence. Les sujets que nous abordons et les discussions que nous tenons sont tellement d’actualité et importants pour les secteurs de la protection de la vie privée et de la sécurité, pour les Canadiennes et les Canadiens et pour le monde entier. Ces échanges ont été instructifs, réfléchis et inspirants, et ils m’ont permis d’apprécier encore plus l’importance du travail que nous accomplissons et l’occasion qui nous est donnée d’avoir ces conversations.

Je suis toujours heureux de venir à Vancouver, qui a la réputation d’être une ville de choix pour les productions cinématographiques et télévisuelles dans les domaines du fantastique et de la science-fiction.

Qu’il s’agisse des films X-Men ou The X-Files, Vancouver est depuis longtemps le théâtre de films et d’émissions de télévision d’avant-garde. Il est donc tout à fait approprié que nous soyons réunis ici, pour examiner les moyens de faire face à des réalités actuelles qui, il n’y a pas si longtemps, étaient considérées comme de la science-fiction.

L’IA a bouleversé tous les aspects de notre vie. Comme l’a dit Kate Crawford pendant sa causerie d’hier, les systèmes d’IA auront des conséquences pour nous tous, même si nous ne les utilisons pas à proprement parler.

L&rsquo:industrie du divertissement n’échappe pas à cette réalité.

Peu après la grève des scénaristes l’année dernière, le titre d’un site de nouvelles locales sur le divertissement et le style de vie était ainsi formulé : « L’intelligence artificielle va-t-elle chasser l’industrie cinématographique de Vancouver? »

Il s’agit d’une préoccupation qui a fait son chemin jusqu’au Parlement il y a quelques semaines, lorsque des groupes représentant les industries de la télévision, du cinéma et de la musique ont demandé au gouvernement fédéral de prendre plus de mesures pour veiller à ce que leurs emplois ne soient pas remplacés par l’IA.

La technologie offre de grandes possibilités, mais elle présente aussi des défis, des risques, des conséquences et des coûts. Nous jouons tous un rôle clé et nous devons travailler ensemble pour faire face à ces défis et possibilités. C’est donc pourquoi les discussions que nous avons eues cette semaine sur la protection de la vie privée et la sécurité sont si importantes.

Pas plus tard que la semaine dernière, la Cour suprême du Canada a rendu une décision partagée dans l’affaire R. c. Bykovets, dans laquelle les juges majoritaires sont d’avis que les adresses des fournisseurs de services Internet donnaient lieu à une attente raisonnable au respect de la vie privée et que la police avait besoin d’un mandat pour les obtenir de sociétés tierces du secteur privé. Les juges majoritaires ont rappelé que « [l]e respect de la vie privée d’un individu est essentiel pour assurer la dignité, l’autonomie et la croissance personnelle de celui‑ci [et que] [l]a protection de la vie privée est une condition préalable essentielle à l’épanouissement d’une démocratie libre et en santé ».

Les juges majoritaires ont ajouté qu’« [e]n concentrant cette masse de renseignements entre les mains de tiers du secteur privé et en donnant à ces derniers les outils nécessaires pour agréger et disséquer ces données, Internet a essentiellement modifié la topographie de la vie privée sous le régime de la Charte [et qu’il] a ajouté un tiers à l’écosystème constitutionnel, et a fait de la relation horizontale entre l’individu et l’État une relation tripartite ».

Autrement dit, la protection de la vie privée est essentielle à notre démocratie, et la technologie est en train de changer notre monde de manière importante. Il en va de même dans d’autres contextes, car comme l’a fait remarquer Brenda McPhail pendant la discussion en groupe d’hier avec Marty Abrams, la protection de la vie privée est essentielle à l’exercice et à la jouissance de nombreux autres droits et libertés fondamentaux, comme le droit à l’égalité.

La décision de la Cour, qui porte sur les partenariats public-privé, traite d’une question qui était au cœur d’un rapport de conclusions d’enquête que j’ai récemment publié sur une affaire concernant l’utilisation par la Gendarmerie royale du Canada (GRC) d’outils de recherche de tiers qui peuvent accéder à des sites à accès restreint sur Internet, y compris le Web clandestin.

Dans le rapport déposé au Parlement le mois dernier, j’ai reconnu la nécessité pour les services de police de disposer des outils dont ils ont besoin pour lutter contre la criminalité, mais j’ai aussi réitéré le principe selon lequel les services de police qui font appel à un sous-traitant du secteur privé pour obtenir des renseignements au sujet des Canadiennes et des Canadiens doivent prendre les mesures nécessaires pour vérifier que le sous-traitant en question respecte ses propres obligations en matière de protection de la vie privée et faire preuve d’une plus grande transparence quant à l’utilisation qu’ils font de ces renseignements. Cette démarche s’inscrit dans la gestion de cette relation tripartite entre les individus et les secteurs public et privé.

Lorsque j’ai pris la parole à la présente conférence l’année dernière, j’ai présenté les trois piliers de ma vision de la protection de la vie privée : la protection de la vie privée est un droit fondamental; la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada; et la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques. Cette vision continue de m’inspirer et de me servir de boussole. Elle a d’ailleurs constitué le fondement du Plan stratégique du Commissariat, que j’ai lancé à la fin du mois de janvier.

Je vais maintenant vous parler de ce plan stratégique, qui orientera les travaux du Commissariat au cours des trois prochaines années, en mettant l’accent sur les trois grandes priorités suivantes :

• Protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés en utilisant les renseignements opérationnels afin de dégager les tendances qui doivent retenir l’attention, produire des documents d’orientation et des outils de sensibilisation ciblés, tirer parti de partenariats stratégiques et se préparer à la mise en œuvre d’éventuelles nouvelles lois sur la protection des renseignements personnels;
• Faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, en particulier en ce qui a trait à l’IA et l’IA générative, dont la prolifération présente à la fois des avantages et des risques accrus pour la protection de la vie privée;
• Défendre le droit à la vie privée des enfants afin de s’assurer que les besoins qui leur sont propres en la matière sont satisfaits et qu’ils peuvent exercer leurs droits.

Toutes ces priorités comprennent les thèmes suivants : interactions, partenariats, collaboration et apprentissage continu.

Protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés

Protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés sert de base à l’accomplissement du mandat actuel du Commissariat et à la préparation de ce dernier en vue d’éventuelles modifications aux lois fédérales sur la protection des renseignements personnels.

Cette priorité nous oblige à renforcer notre gouvernance et nos capacités, à favoriser la communication et la collaboration à l’interne et à entretenir des partenariats et des réseaux, y compris avec bon nombre d’entre vous.

Dans le cadre de nos efforts pour favoriser et tirer parti des partenariats stratégiques, nous avons créé une nouvelle direction des relations internationales, provinciales et territoriales. Cette direction nous permettra de renforcer nos interactions avec d’autres organismes de réglementation et de protection de la vie privée et de commencer le travail en prévision de la présidence du G7 par le Canada en 2025, alors que j’accueillerai mes homologues du G7 au Canada pour la table ronde annuelle des autorités de protection des données et de la vie privée.

La coopération internationale est de plus en plus importante, car les données ne connaissent pas de frontières. Des règles communes permettront d’éviter un ensemble disparate de règlements qui rendent la conformité difficile. Les citoyens auront également l’assurance que leurs renseignements personnels seront protégés de façon semblable lorsqu’ils franchiront les frontières, ou lorsque leurs données les franchiront.

La collaboration nous permet également de présenter des documents d’orientation et des outils de sensibilisation ciblés qui sont fondés sur les données, les renseignements opérationnels et les observations formulées par les parties prenantes, qui sont très importantes.

Par exemple, le Commissariat a tenu une consultation publique sur ses documents d’orientation provisoires sur les technologies biométriques à l’intention des entreprises et des institutions publiques. Nous examinons à présent les observations que nous avons reçues d’un large éventail de parties prenantes afin de nous assurer que la version définitive de ces documents est aussi claire, complète et utile que possible.

Cette priorité suppose aussi un engagement à contribuer à la réforme législative et à préparer le Commissariat à sa mise en œuvre éventuelle.

J’ai présenté au Parlement 15 recommandations clés visant à renforcer le projet de loi C-27, et j’ai été heureux de constater que certaines d’entre elles ont été entérinées par le gouvernement, du moins en partie. Notamment celles visant à reconnaître explicitement la protection de la vie privée comme un droit fondamental, à renforcer la protection de la vie privée des enfants et à élargir le champ d’application des accords de conformité.

Le projet de loi C-27 va maintenant faire l’objet d’une analyse article par article par les membres du Comité le mois prochain. Je reste optimiste et j’estime que cela aboutira à une loi plus rigoureuse qui soutiendra l’innovation, servira les intérêts des organisations et protègera le droit fondamental à la vie privée des Canadiennes et des Canadiens.

Le projet de loi C-27 prévoit également des mécanismes supplémentaires permettant au Commissariat d’épauler les organisations afin qu’elles respectent leurs obligations prévues par la loi, notamment en fournissant des orientations et en approuvant des codes de pratique et des programmes de certification, qui constituent un excellent moyen de rendre plus concrets les principes de protection de la vie privée prévus par la loi en ajoutant un élément de certitude tant pour les organisations que pour les consommateurs.

Si le Parlement adopte le projet de loi, je me réjouis de pouvoir consulter bon nombre d’entre vous et de travailler en collaboration pour mettre en œuvre ces changements.

Le Sénat est également saisi du projet de loi S-10.

Toutefois, les lois sur la protection des renseignements personnels prévoient actuellement d’importantes mesures de protection dans ce domaine.

Protéger le droit à la vie privée de manière à optimiser les efforts déployés signifie aussi d’utiliser nos lois existantes pour faire face à des défis nouveaux et croissants. Cela est certainement vrai dans le cas de l’IA générative : mes collègues canadiens et internationaux ont déclaré très clairement que, même si de nouvelles lois modernes sur l’IA peuvent être nécessaires, nos lois actuelles sur la protection des renseignements personnels s’appliquent à l’IA, et que nous les ferons respecter.

Cela est également vrai dans le cas des préjudices en ligne. Comme vous le savez, le gouvernement a récemment déposé le projet de loi C-63, qui prévoit de nouveaux mécanismes et recours pour lutter contre la communication sans consentement d’images intimes et d’autres types de préjudices en ligne, y compris les préjudices subis par les enfants et d’autres groupes vulnérables.

La semaine dernière, j’ai publié notre rapport de conclusions d’enquête qui donne suite à une plainte déposée contre Aylo (anciennement MindGeek). Dans ce rapport, j’ai réitéré que la communication sans consentement d’images intimes constituait elle aussi une atteinte grave à la vie privée et que les organisations avaient l’obligation, au titre des lois sur la protection des renseignements personnels, de prévenir ce type d’atteinte et d’y remédier. Cette entreprise avait demandé à la Cour de rendre une ordonnance m’empêchant de publier ce rapport.

Plus précisément, j’ai conclu qu’Aylo avait l’obligation, au titre de la loi actuelle sur la protection des renseignements personnels dans le secteur privé, d’obtenir le consentement direct et éclairé de toutes les personnes dont les images sont recueillies et affichées sur le site Web. J’ai établi qu’Aylo n’avait pas respecté ces obligations parce qu’elle s’en remettait exclusivement aux téléverseurs pour obtenir le consentement de la part d’autres personnes. J’ai aussi constaté que le processus de retrait avait été très lourd pour la plaignante et les autres victimes de violence liée à des images intimes.

J’ai formulé plusieurs recommandations, notamment qu’Aylo adopte des mesures pour obtenir un consentement explicite et éclairé directement de chaque personne qui figure dans le contenu téléversé sur ses sites; qu’Aylo cesse immédiatement de téléverser le contenu intime produit par les utilisateurs jusqu’à ce qu’elle adopte de telles mesures; et qu’Aylo supprime tout le contenu pour lequel un consentement valide n’a pas été obtenu directement.

À ce jour, l’organisation refuse toujours de mettre en œuvre ces recommandations, et j’espère qu’elle reviendra sur sa décision. Selon moi, cette question continuera de faire l’objet de débats au Parlement dans les prochaines semaines. J’envisagerai toutes les mesures possibles pour que nos recommandations soient respectées.

Faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, particulièrement dans le domaine de l’intelligence artificielle (IA) et de l’IA générative

J’aborderai maintenant ma deuxième priorité, l’IA et, plus particulièrement, l’IA générative, qui ont suscité un intérêt accru tant au sein de la communauté de la protection de la vie privée qu’à l’extérieur de celle-ci, en particulier depuis que ChatGPT a pris le monde d’assaut, à la fin de 2022. 

Le mois dernier, l’entreprise a dévoilé son plus récent projet, Sora, un outil permettant de réaliser des vidéos instantanées à partir de requêtes sous forme de texte, qui ouvre la voie à de nouvelles possibilités et à de nouveaux risques. 

D’où la raison d’être de ma deuxième priorité.

En favorisant une culture de la protection de la vie privée, en encourageant l’utilisation des principes de protection de la vie privée dès la conception et en établissant des normes à cette fin, nous pouvons favoriser l’innovation tout en tirant parti de celle-ci pour protéger le droit fondamental à la vie privée.

Pour donner suite à cette priorité, nous nous appliquons à renforcer nos capacités internes, à former des partenariats stratégiques, à encourager les initiatives qui permettent d’acquérir des connaissances technologiques, et à établir des normes concrètes en matière de protection de la vie privée pour les technologies actuelles et émergentes.

Dans le cadre de cette démarche, le Commissariat a organisé en décembre son premier symposium international sur la protection de la vie privée et l’IA. Ce symposium a réuni à Ottawa des experts du milieu universitaire, de l’industrie, de la société civile et du gouvernement, ainsi que des homologues chargés de la protection des données de partout dans le monde, afin de se pencher sur les occasions et les risques que présente l’IA générative et sur la meilleure façon pour tous les secteurs de collaborer dans ce dossier.

Avec mes homologues provinciaux et territoriaux, nous avons profité de l’événement pour lancer un ensemble de principes communs visant à favoriser une utilisation responsable et digne de confiance de l’IA générative.

Alex MacLennan a affirmé plus tôt ce matin que les outils numériques peuvent contribuer à protéger la vie privée. Je suis d’accord. À notre Symposium l’année dernière, j’ai dit – et je le répète : les données sont utilisées pour soutenir l’innovation, mais il faut aussi utiliser l’innovation pour protéger les données.

Le document présente nos attentes concernant les principes clés de protection de la vie privée et la manière dont ceux-ci s’appliquent à la conception, à la prestation et à l’utilisation de modèles, d’outils, de produits et de services d’IA générative. Il fournit aussi des exemples de bonnes pratiques, notamment la « protection de la vie privée dès la conception » et l’étiquetage du contenu créé par l’IA générative.

Nous exhortons également les développeurs à tenir compte de l’incidence particulière que ces outils pourraient avoir sur les groupes vulnérables et les enfants.

À l’échelle internationale, en juin, j’ai publié une déclaration conjointe sur l’IA avec les autres autorités de protection des données et de la vie privée du G7 – il s’agissait de la première déclaration internationale indiquant que les lois actuelles sur la protection des renseignements personnels s’appliquent à l’IA. En octobre, nous avons adopté une résolution sur l’IA générative responsable avec d’autres membres de l’Assemblée mondiale pour la protection de la vie privée.

Dans cette déclaration et cette résolution, nous demandons aux développeurs et aux fournisseurs de technologies d’IA générative d’intégrer la protection de la vie privée dans la conception, l’élaboration, le fonctionnement et la gestion de leurs nouveaux produits et services.

Nous avons aussi rappelé aux organisations que les lois actuelles sur la protection des renseignements personnels s’appliquent aux produits et services d’IA générative, même si les gouvernements du monde entier cherchent à élaborer des lois et des politiques propres à l’IA.

J’ai été heureux de constater que le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés, produit par Innovation, Sciences et Développement économique Canada, fasse référence à notre résolution du G7 sur l’IA.

Il s’agissait également d’un élément central au printemps dernier, lorsque j’ai lancé une enquête conjointe, avec mes homologues provinciaux de la Colombie-Britannique, de l’Alberta et du Québec, sur OpenAI, la société à l’origine de ChatGPT.

Je crois fermement que les lois canadiennes sur la protection des renseignements personnels doivent être modernisées. Cela dit, ces lois s’appliquent à l’utilisation des technologies d’IA à l’heure actuelle, et je suis résolu à veiller à leur application dans ce domaine.

Défendre le droit à la vie privée des enfants

Ce qui m’amène à ma troisième priorité : défendre le droit à la vie privée des enfants.

Cette priorité tient compte des caractéristiques propres à la vie privée des jeunes et de la nécessité de garantir la protection de leurs droits afin qu’ils puissent profiter de la technologie sans que leur bien-être et leur vie privée soient compromis.

Pour donner suite à cette priorité, j’ai recommandé que le projet de loi C-27 reconnaisse l’intérêt supérieur de l’enfant. Nous cherchons aussi à mieux saisir les principaux risques, problèmes et lacunes en matière de protection de la vie privée des enfants, et à mieux comprendre comment et où les enfants consomment du contenu.

Nous élargirons nos partenariats afin d’accroître le recours à nos ressources, nos documents d’orientation et nos conseils. Nous tiendrons également compte de la protection de la vie privée des enfants dans nos activités d’application de la loi et tirerons parti de nos conclusions pour informer les organisations et les inciter à développer des produits et des services offrant une meilleure protection de la vie privée des enfants.

En octobre, mes homologues provinciaux et territoriaux et moi-même avons adopté une résolution demandant aux gouvernements et aux organisations d’adopter des pratiques qui servent l’intérêt supérieur des jeunes, pour garantir non seulement la protection des données des jeunes, mais aussi pour donner à ces derniers les connaissances et les moyens de naviguer sur les plateformes numériques et de gérer leurs données en toute sécurité et de manière autonome.

L’enquête conjointe que je mène actuellement sur TikTok avec mes collègues de l’Alberta, de la Colombie-Britannique et du Québec est une autre initiative qui s’inscrit dans le cadre de cette priorité. Notre enquête porte sur les pratiques de protection des renseignements personnels de TikTok en ce qui concerne les jeunes utilisateurs, notamment pour établir si l’entreprise a obtenu un consentement éclairé et valide de la part de ceux-ci pour la collecte, l’utilisation et la communication de leurs renseignements personnels.

Tout récemment, en janvier, j’ai eu le grand plaisir de participer à une rencontre du Parlement des jeunes Canadiens, durant laquelle j’ai discuté de la protection de la vie privée avec un groupe de jeunes très actifs dans leur milieu. C’était encourageant d’entendre les questions pertinentes de ces jeunes, qui ont un souci sincère de protéger leur vie privée. 

Par exemple, un jeune a exprimé son inquiétude quant à l’utilisation par l’IA de renseignements personnels pour voler des identités, tandis qu’un autre a indiqué qu’il avait l’impression de n’avoir aucun contrôle sur l’utilisation de la technologie à l’école et qu’il s’inquiétait de la collecte excessive de renseignements personnels.

On m’a également fait part de préoccupations concernant l’absence de mesures de protection de la vie privée et de chiffrement dans certaines applications de messagerie, ainsi que de la nécessité d’intégrer une meilleure sensibilisation à la protection de la vie privée dans les programmes scolaires.

J’ai bien hâte de poursuivre ces conversations importantes.

Atteintes à la vie privée et outils du Commissariat

Je tiens maintenant à parler des atteintes à la vie privée, car il ne se passe plus un jour sans que les médias ne fassent état de ce type d’atteinte dans un secteur ou un autre.

Depuis le début de l’année financière, 573 atteintes ont été déclarées au Commissariat par des organisations du secteur privé, touchant près de 19 millions de comptes canadiens. Près de la moitié de ces atteintes (47 %) ont été identifiées comme des cyberincidents.

Outre les coûts sur le plan humain – comme l’atteinte à la réputation, les pertes financières et le vol d’identité –, IBM estime que le coût financier moyen actuel d’une atteinte à la sécurité des données s’élève à environ 4,45 millions de dollars américains.

Là encore, il s’agit d’un domaine où s’appliquent les lois sur la protection des renseignements personnels et les principes de protection de la vie privée. Ces lois et ces principes peuvent nous servir de guide. Le thème de la conférence est « Guarding Privacy, Fortifying Security: Navigating the AI Frontier » (protéger la vie privée, renforcer la sécurité : naviguer à la frontière de l’IA). Je suis absolument convaincu que protéger la vie privée contribue à renforcer la sécurité. L’un des 10 principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) porte justement sur les mesures de sécurité.

Les entreprises assujetties à la LPRPDE sont tenues de déclarer toute atteinte à la vie privée lorsqu’il est raisonnable de croire que l’atteinte présente un risque réel de préjudice grave. À cet égard, le Commissariat s’affaire actuellement à créer des outils Web, dont le lancement est prévu bientôt, pour faciliter la déclaration des atteintes.

Les organisations sont également tenues d’aviser les personnes touchées par une atteinte grave. Celles qui omettent sciemment de respecter leurs obligations en matière de déclaration ou d’avis d’atteinte s’exposent à une sanction pécuniaire.

Le Commissariat a produit un document d’orientation visant à permettre aux organisations d’évaluer le risque réel de préjudice grave. Nous avons aussi conçu un outil en ligne pour orienter l’évaluation du risque : une série de questions sont posées afin d’établir s’il est raisonnable de croire qu’une atteinte à la vie privée crée un risque de préjudice grave. Sans remplacer le jugement d’un être humain, cet outil fournit des données qui permettent de porter un jugement éclairé.

Nous avons mis cet outil à l’essai auprès de 20 organisations, qui nous ont fait part de leurs commentaires très positifs, lesquels seront pris en compte pour mettre au point la future version publique de l’outil.

Bien entendu, le secteur public n’est pas à l’abri de telles atteintes. En novembre, le Commissariat a ouvert des enquêtes en vertu de la Loi sur la protection des renseignements personnels sur Services publics et Approvisionnement Canada et le Secrétariat du Conseil du Trésor. Il a aussi lancé des enquêtes en vertu de la LPRPDE sur les deux entreprises avec lesquelles des contrats avaient été conclus pour fournir des services de réinstallation aux membres des Forces armées canadiennes, de la GRC et d’autres ministères fédéraux.

Cet incident, provoqué par une cyberattaque, a eu des répercussions sur des données personnelles et financières sensibles. Les renseignements compromis remontent à aussi loin que 1999.

Le mois dernier, le Commissariat a ouvert une autre enquête après que le réseau interne d’Affaires mondiales Canada a subi une cyberattaque qui a compromis les renseignements personnels d’employés et d’autres utilisateurs.

C’est également le mois dernier que j’ai publié un rapport de conclusions d’enquête sur des cyberattaques par bourrage d’identifiants à l’Agence du revenu du Canada et à Emploi et Développement social Canada, en raison de failles dans les mesures de protection en matière de cybersécurité.

Ces attaques ont compromis les renseignements financiers, bancaires et sur l’emploi de nature sensible de dizaines de milliers de Canadiennes et de Canadiens, donnant lieu à de nombreux cas de fraude et de vol d’identité – dont un grand nombre de demandes frauduleuses pour la Prestation canadienne d’urgence dans le cadre de la COVID-19.

Cette affaire a permis de tirer des enseignements importants qui sont applicables à d’autres organisations, par exemple en ce qui a trait à la nécessité d’améliorer les cadres de communication et de prise de décisions pour favoriser une réaction rapide aux attaques, et à l’importance d’élaborer des processus complets de réaction aux incidents pour prévenir, détecter, contrôler et atténuer efficacement les atteintes, notamment en procédant à des évaluations régulières de la sécurité.

C’est pourquoi j’ai recommandé que les organisations réalisent des évaluations des facteurs relatifs à la vie privée (EFVP). Ce processus de gestion des risques peut aider les organisations à démontrer qu’elles sont responsables des renseignements personnels qui relèvent d’elles, qu’elles respectent la loi et qu’elles limitent le risque d’atteinte à la vie privée.

Selon le Secrétariat du Conseil du Trésor du Canada, les institutions fédérales doivent effectuer des EFVP avant l’établissement d’une activité ou d’un programme nouveau ou ayant subi des modifications importantes renfermant des renseignements personnels.

Bien qu’il ne s’agisse pas actuellement d’une exigence prévue par la Loi sur la protection des renseignements personnels et les documents électroniques, j’en fais néanmoins la recommandation et j’ai exhorté le gouvernement à modifier le projet de loi C-27 afin d’obliger les organisations à effectuer des EFVP pour les initiatives à risque élevé, comme l’IA.

Le Commissariat est aussi là pour aider les organisations à atteindre leurs objectifs importants sans porter atteinte à la vie privée. À cet égard, nos directions chargées des services-conseils aux entreprises et au gouvernement constituent des ressources précieuses : elles offrent du soutien et de l’orientation utiles, en fonction du contexte, respectivement au secteur privé et au secteur public.

Conclusion

La protection de la vie privée est l’un des principaux défis de notre époque.

À titre de Commissaire à la protection de la vie privée du Canada, je m’engage bien évidemment à faire ma part, en prenant des mesures énergiques pour défendre et promouvoir le droit à la vie privée, appliquer les lois en la matière et sensibiliser la population. Mais personne ne peut y arriver seul. La collaboration est essentielle. Comme Kate Crawford l’a souligné hier, il s’agit d’un défi collectif qui nécessitera une réponse collective. Vous voir tous ici dans cette salle est pour moi très encourageant : on peut compter sur d’incroyables défenseurs de la vie privée, des personnes brillantes et réfléchies, qui ont des principes et qui travaillent ensemble pour faire avancer cette question importante en vue de trouver des solutions.

Je vous remercie. Je vous souhaite à toutes et à tous une excellente fin de conférence. Je serai maintenant heureux de répondre à vos questions.