Discours
Centre des médias
Le point de vue du Canada sur la protection des données
Protection des données et sécurité : un débat transnational
Le 5 mai 2006
Washington, DC
Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
(LE TEXTE PRONONCÉ FAIT FOI)
Introduction
À l’époque où la technologie tenait encore peu de place et que la vie privée était naturellement protégée, de nombreuses personnes parmi vous n’étaient pas encore des adultes. C’est à cette époque que le Canada et les États-Unis ont vu naître les premières lois sur la protection de la vie privée. Mais vous appartenez à une autre époque. Vous avez grandi dans une société marquée par la sophistication toujours accrue des moyens technologiques de surveillance, et même par une certaine omniprésence de ces moyens, au dire de certains. Vous vivez à l’ère de la mondialisation du commerce. Comme l’affirme Joseph Alhadeff, directeur de la protection de la vie privée chez Oracle, l’économie de l’information permet maintenant aux entreprises de répartir les tâches – comme le traitement des paiements, les services à la clientèle et l’exploitation de centres de données – sans égard aux frontières géographiques. À son avis, les réseaux sont à notre époque ce qu’a été la route des épices à une époque plus lointaine.
Qui plus est, les moyens de surveillance sophistiqués ont été renforcés au cours des dernières années en raison des craintes – parfois justifiées, parfois excessives – à l’égard de la sécurité nationale.
Ce qui autrefois était considéré comme un envahissement extrême de la vie privée est maintenant devenu la norme. Quant aux outils législatifs visant la protection de la vie privée, dont certains ont été élaborés il y a plus de 20 ans, aux beaux jours de la vie privée, ils ne sont pas de taille dans un contexte où les technologies sont constamment plus envahissantes et où les groupes gouvernementaux et commerciaux réclament de l’information toujours plus abondante.
Les avocats qui travaillent sur des dossiers touchant de près ou de loin aux enjeux sur la protection des renseignements personnels doivent adopter une approche internationale. Leurs clients sont actifs sur de nombreux continents et dans différentes juridictions. Mais les citoyens, consommateurs et intervenants de chez eux s’attendent à l’application et au respect des normes normalement en vigueur dans leur pays.
Contrairement au siècle dernier, plus paisible, les entreprises et les consommateurs ne se sentent pas rassurés par la possibilité de poursuites dans le monde. Ce qu’ils veulent, ce sont des normes exécutoires visant soit à prévenir les fuites de données soit à mettre en place des dispositions sur la dénonciation. En Europe, par exemple, on souhaite plutôt la présence de lois assurant un niveau comparable de protection des données.
Je profiterai de l’occasion qui m’est donnée aujourd’hui pour discuter de l’approche du Canada ainsi que de ses lois en matière de protection des renseignements personnels. Notre approche, qui combine des principes de protection des données des États-Unis et de l’Europe, a évolué au cours des 25 dernières années par suite d’interprétations de la Cour suprême du Canada et des fluctuations des impératifs commerciaux.
Notre point de référence pour l’examen des enjeux liés à la circulation transfrontalière des données : nos préoccupations en matière de protection des données associées aux États‑Unis
Le climat entourant la protection de la vie privée a changé au cours des vingt dernières années, mais ce sont les cinq dernières années qui en marquent le bouleversement.
Ce qui se produit aux États-Unis peut avoir des conséquences profondes au Canada. Toute la population canadienne le sait. Notre pays est très vaste, mais notre population ne compte que pour une petite fraction de celle des États‑Unis. Nous ne sommes pas aussi puissants que nos voisins du Sud sur le plan économique; nous ressentons toute action posée par eux et sommes touchés par toutes leurs façons de faire.
Il y a trente-sept ans, au National Press Club ici, à Washington, l’ancien premier ministre canadien Pierre Trudeau avait fait remarquer que le fait de vivre à côté des États-Unis était en quelque sorte comparable à dormir aux côtés d’un éléphant. L’animal a beau être amical et calme, le moindre mouvement touche son voisin.
De façon plus particulière, ce sont les préoccupations des États‑Unis en matière de sécurité nationale qui se répercutent sur le Canada. Comme nous sommes des alliés, nos forces policières et organismes de renseignements respectifs échangent de l’information depuis longtemps. Le nombre d’échanges est à la hausse, ce qui signifie que de plus en plus de renseignements personnels de Canadiennes et de Canadiens se retrouveront entre les mains d’organismes du gouvernement américain.
Autrefois, la population canadienne acceptait dans une large mesure l’échange d’information en raison de l’organisation politique du continent. Mais les gens sont aujourd’hui plus craintifs et se demandent ce qu’il adviendra de leurs renseignements personnels une fois aux États‑Unis.
La question est devenue critique il y a près de deux ans lorsque le commissaire à l’information et à la protection de la vie privée de la Colombie‑Britannique s’est penché sur la question des répercussions de la USA PATRIOT Act sur les renseignements personnels de la population canadienne. Le Commissariat a participé au processus tout comme de nombreuses autres organisations.
La USA PATRIOT Act, adoptée en 2001, a fait en sorte de donner de nouveaux pouvoirs au FBI et de permettre à celui-ci d’accéder à l’information détenue par les entreprises, y compris les renseignements personnels de Canadiennes et de Canadiens traités aux États‑Unis par l’entremise d’entreprises d’ici. Ce qui est de bon aloi, car après tout, il est normal que les activités des entreprises situées aux États‑Unis soient visées par les lois de ce pays.
Néanmoins, la USA PATRIOT Act a amené les Canadiennes et les Canadiens à s’interroger sur l’absence de protection de leurs renseignements personnels une fois les frontières canadiennes franchies.
Ils s’inquiètent tout d’abord de la facilité apparente avec laquelle le FBI peut accéder à leurs renseignements personnels détenus par des entreprises situées aux États‑Unis. La solution évidente mais peut-être trop simpliste à ce problème, quoique compliquée par l’Accord de libre-échange entre le Canada et les États-Unis, serait que les entreprises et gouvernements canadiens restreignent la circulation transfrontalière des renseignements personnels.
Le problème n’est pas unique aux relations entre le Canada et les États‑Unis. Lorsque des données franchissent les frontières canadiennes, il y a une perte de contrôle, peu importe dans quel pays les données se retrouvent.
Par ailleurs, les Canadiennes et les Canadiens sont aussi très préoccupés par la portée extraterritoriale de la USA PATRIOT Act, et plus particulièrement par sa portée au Canada.
Les institutions du gouvernement fédéral du Canada ont également abondamment recours à la sous-traitance pour le traitement de données et, par conséquent, on s’inquiète de savoir si la USA PATRIOT Act pourrait permettre l’accès aux bases de données gouvernementales dont le traitement a été confié à des entreprises canadiennes ou américaines.
Certes, le Canada échange régulièrement des renseignements personnels avec les États-Unis conformément à des ententes entre les deux pays. Mais ces échanges sont – ou supposés être – effectués dans un cadre officiel; il ne s’agit pas d’un accès plus ou moins transparent, par un pays, aux bases de données des entreprises d’un tiers pays.
Le mois dernier, le Secrétariat du Conseil du Trésor du Canada a publié une stratégie visant à répondre aux préoccupations suscitées par la USA PATRIOT Act et la circulation transfrontalière des données. Le Commissariat a été consulté pour l’élaboration du document. La stratégie vise à veiller à ce que le droit à la vie privée des Canadiennes et des Canadiens soit protégé lorsque les institutions du gouvernement fédéral songent à l’impartition en vue du traitement de renseignements personnels. En pratique, cela signifie que les entrepreneurs du secteur privé à qui des organismes du gouvernement canadien accordent des contrats devront prouver aux institutions fédérales canadiennes qu’ils sont dignes de confiance et qu’ils protégeront les renseignements personnels qui leur seront confiés. La réalisation d’une analyse des risques doit aussi permettre de déterminer tout élément pouvant menacer la vie privée et mener à la prise de mesures pour atténuer les menaces détectées.
Le cryptage des données, la réalisation d’évaluations des facteurs relatifs à la vie privée, l’installation de pare-feu et l’inclusion de dispositions vigoureuses aux contrats permettront de régler les problèmes la plupart du temps, sauf dans les cas les plus délicats. Ainsi, au lieu d’interdire formellement toute impartition, il me semblerait plus appropriée et pratique d’adopter ce type d’approche – adaptée à chacune des situations – pour solutionner les problèmes liés à la protection de la vie privée.
L’approche du Canada en matière de protection de la vie privée
Dans de nombreux pays, la question de la vie privée devient de plus en plus délicate, et les lois qui visent à en assurer la protection, formulées pour réagir à des problèmes plus anodins, doivent être réformées, parfois en profondeur. Ceci dit, l’approche législative de base de pays comme le Canada comporte de nombreux aspects louables.
Le Canada a adopté dès 1983 une loi sur la protection des données dans le secteur public fédéral, qui énonce une série de justes pratiques en matière d’information. À cet égard, le Canada est en retard par rapport aux États-Unis, qui a adopté sa première loi sur la protection des renseignements personnels en 1974. Mais la loi canadienne fédérale, qui porte le même nom que la loi américaine, soit la Loi sur la protection des renseignements personnels (Privacy Act), comporte une différence de taille.
Au Canada, la Loi sur la protection des renseignements personnels donne au commissaire à la protection de la vie privée, qui assume des fonctions d’ombudsman, le pouvoir de veiller à l’application de la Loi. À titre de commissaire à la protection de la vie privée, j’ai été nommée pour une durée déterminée et je relève directement du Parlement du Canada. Je peux m’adresser à la Cour fédérale pour obtenir une ordonnance. On m’a aussi donné une voix concernant les enjeux relatifs à la protection de la vie privée, et j’exerce cette responsabilité en comparaissant devant le Parlement, en effectuant des recherches et en œuvrant à la sensibilisation du public. Les personnes qui croient que leurs droits conférés en vertu de la Loi sur la protection des renseignements personnels sont bafoués peuvent déposer une plainte au Commissariat. Nous procédons ensuite à une enquête et, dans les cas très rares de refus d’accès, nous confions la plainte à la Cour fédérale.
Le Canada a fait avancer le dossier de la protection des données dans le secteur privé et a travaillé en vue du respect de la Directive du Parlement européen. En 1994, en vue de l’entrée en vigueur de cette directive, le Québec a adopté sa propre loi sur la protection des données dans le secteur privé, dont a toutefois découlé une nouvelle approche d’application de la loi. La loi du Québec énonce des principes, et on s’attend à ce que les organisations s’y conforment. De plus, l’inscription de fichiers de données et l’identification de contrôleurs de données ne sont pas obligatoires.
Le Canada a suivi ce modèle de réglementation légère lorsqu’il a adopté la Loi sur la protection des renseignements et les documents électroniques (LPRPDE) en 2001. Comme ce qui est en vigueur aux termes de la Loi sur la protection des renseignements personnels, la commissaire à la protection de la vie privée du Canada a la responsabilité de veiller à l’application de la LPRPDE. Le Commissariat fait enquête lorsque des plaintes sont déposées, réfère certaines plaintes à la Cour fédérale, effectue des vérifications, présente des rapports, effectue la liaison avec les groupes de l’industrie et de consommateurs et rend compte directement au Parlement des enjeux de l’heure en matière de protection de la vie privée dans le secteur privé. La Loi s’applique maintenant à presque toutes les activités commerciales au Canada régies par la réglementation fédérale ou provinciale, sauf dans le cas de quelques provinces dans le domaine des soins de santé, soit le Québec, l’Alberta, la Colombie‑Britannique et l’Ontario, qui ont adopté des dispositions essentiellement similaires visant les activités s’effectuant dans ces provinces.
L’année dernière, nous avons fait enquête à la suite d’une plainte selon laquelle la Banque Canadienne Impériale de Commerce (CIBC), parce qu’elle confiait le traitement des données de crédit de ses clients à un tiers américain, contrevenait à la LPRPDE. Nous avons conclu que ce n’était pas le cas car la CIBC avait respecté le principe essentiel de responsabilisation. En effet, elle avait obligé le tiers américain à respecter les normes canadiennes et à veiller à ce que les renseignements personnels qui lui étaient confiés soient protégés au niveau attendu au Canada. Sur le plan du droit, la LPRPDE n’exige pas des organisations qu’elles fassent savoir aux personnes concernées que leurs renseignements personnels sont confiés à un tiers par contrat. Nous encourageons néanmoins les organisations à aviser leurs clients lorsque les renseignements personnels de ces derniers peuvent être traités dans un autre pays car ainsi, les consommateurs peuvent évaluer eux‑mêmes les risques qu’ils courent. Étant donné la nervosité du marché, la communication de toute l’information relative à l’impartition et à la protection des renseignements personnels peut en fait constituer un avantage concurrentiel pour les organisations.
Je ne prétends pas que l’approche du Canada en matière de protection des données est sans faille, qu’on parle du secteur privé ou public. Comme c’est le cas aux États‑Unis, le Canada doit composer avec l’enchevêtrement des juridictions, ce qui complique l’uniformisation des mesures de protection de la vie privée. Mais en plus de ne pas être trop lourde, l’approche canadienne présente de nombreux avantages inspirés des lois sur la protection des données de nombreux pays européens. Par exemple, la loi canadienne n’oblige pas l’inscription des bases de données. Il n’y a pas de frais annuels à débourser, ni de rapports à déposer.
À l’échelon fédéral, c’est le modèle de l’ombudsman que nous avons adopté. Nous bénéficions de pouvoirs de vérification et d’enquête. Nous pouvons travailler dans le sens de la sensibilisation et engager des poursuites lorsqu’il est nécessaire de convaincre des entreprises ou des organismes gouvernementaux récalcitrants de respecter les justes principes énoncés dans la loi.
Même s’ils bénéficient de pouvoirs directs d’application des lois et de pouvoirs de décision, mes collègues des provinces réussissent à régler la plupart des plaintes à l’amiable.
Je sais qu’aux États-Unis, il a été question d’adopter une loi fédérale sur la protection des données dans le secteur privé. Je me rappelle l’appui exprimé en mars à l’égard de ce projet par Pamela Jones Harbour, commissaire à la Commission fédérale du commerce, sans compter les appuis d’organisations comme Microsoft, Intel et Hewlett Packard.
Je ne puis qu’encourager les législateurs, les entreprises et les groupes de consommateurs américains à se pencher sur la loi canadienne visant le secteur privé. Lorsqu’ils s’y mettent, les États‑Unis savent réagir rapidement lorsque des problèmes liés à la protection de la vie privée émergent.
Songez au nombre d’États qui obligent maintenant les organisations ayant eu des problèmes de fuites de renseignements personnels à présenter des rapports. Le Congrès a adopté des dispositions législatives fédérales en matière de protection de la vie privée qui visent des secteurs particuliers – les institutions financières, les fournisseurs de soins de santé, les cablôdistributeurs ainsi que les entreprises de télécommunications.
Certaines lois visent tout particulièrement à régler les problèmes de pourriels et ceux touchant la vie privée des enfants sur Internet. Il n’est pas impossible qu’une volonté semblable puisse mener à une loi exhaustive pour le secteur privé.
Le modèle canadien de la protection des données dans le secteur privé, même s’il a besoin d’être peaufiné, cadre généralement bien dans le contexte de la protection de la vie privée à l’échelle du monde. D’une part, en ce qui a trait aux exigences de protection des dénonciateurs énoncées dans la loi Sorbanes‑Oxley, je crois savoir que les objections du Canada relativement à la protection de la vie privée demeurent sans réponse.
D’autre part, la Commission de l’Union européenne (UE) a déterminé que la LPRPDE offre un niveau de protection des données adéquat, ce qui fait du Canada l’un des rares pays de l’extérieur de l’UE à avoir obtenu une approbation qui facilite énormément la circulation de renseignements personnels de l’UE vers le Canada.
En effet, les renseignements personnels en provenance des États membres de l’UE et de trois pays membres de l’Espace économique européen (Norvège, Liechtenstein et Irlande) peuvent être communiqués au Canada sans mesure de protection additionnelle.
Conclusion
La LPRPDE sera examinée par le Parlement du Canada cette année. Nous avons déterminé plusieurs éléments qui devront être revus pour mieux prendre en compte les réalités du commerce moderne et les préoccupations de la population canadienne au sujet de la manipulation de leurs renseignements personnels par le secteur privé. De plus, nous nous intéressons à la façon de faire américaine en ce qui concerne la communication d’avis en cas d’atteinte à la vie privée. Comment intégrer cette notion à notre loi? Vous trouverez peut-être que je m’éloigne de la modestie naturelle du Canada, mais je m’avancerai quand même à dire que le modèle canadien de protection des renseignements personnels du secteur privé mérite toute l’attention de nos amis américains et des autres pays.
La loi canadienne qui protège les données du secteur privé est souple et réaliste, et ces deux qualités pourraient fort bien cadrer dans un cadre législatif applicable au dynamisme des activités nord‑américaines.