Discours
Centre des médias
La protection de la vie privée : Une profession nouvelle et essentielle
IAPP Privacy Academy
Le 19 octobre 2006
Toronto, Ontario
Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
(LE TEXTE PRONONCÉ FAIT FOI)
Introduction
Je suis heureuse de l’occasion qui m’est offerte de m’adresser aux membres de l’assemblée et surtout de souhaiter à ceux et celles d’entre vous qui viennent de l’extérieur du Canada la bienvenue ici à Toronto, où j’ai grandi et fréquenté l’université. Il y a quelques années, le Globe and Mail, un des grands quotidiens produits ici à Toronto a lancé un défi à ses lecteurs en leur demandant de suggérer les meilleurs titres de tabloïd qui soient. Dans la catégorie « surprenants titres de nouvelles » vint la suggestion « Les images du télescope spatial Hubble prouvent que Toronto est le centre de l’univers ». Un tel titre, évidemment, ne ferait pas sursauter beaucoup de Torontois, auxquels les autres Canadiens ont longtemps reproché leur manque de modestie en ce qui a trait à leur ville. En tant que Montréalaise d’adoption moi-même, je pense que ce manque de modestie est né du profond besoin psychologique qu’ont les Torontois de se distancer d’un des pseudonymes les plus tenaces – « la ville du porc » – qui s’attache à cette ville. Là encore, je ne suis pas une psychologue, mais tout simplement une avocate de Montréal, une ville aux charmes infinis.
Alors que je louange de Montréal, j’inviterais les membres de l’assemblée à participer à la 29e Conférence internationale des commissaires à la protection des données et de la vie privée que le Commissariat organise dans cette ville en septembre prochain. Vous aurez non seulement la chance de rencontrer bon nombre des commissaires à la protection des données du monde entier, d’apprendre de ces professionnels et d’échanger des idées avec eux, mais aussi l’occasion de voir une ville éclatante qui se distingue par son dynamisme et son cachet. D’autre part, Montréal a une meilleure équipe de hockey que Toronto – bien qu’évidemment on pourrait en dire autant pour la plupart des villes.
Pardonnez-moi cette digression.
Professionnels de la protection de la vie privée
Sans trop tarder, je suis heureuse d’entendre les mots « professionnels de la protection de la vie privée » que l’on retrouve dans le nom de l’association et dans les conversations qui ont cours dans cette conférence. Afin de faire face aux enjeux à multiples facettes de la protection de la vie privée dans ce monde de haute technologie axé sur le profit et la peur, la protection de la vie privée doit représenter pour nous plus qu’une simple question de réglementation. La protection de la vie privée est un droit important, et elle a été reconnue comme telle en raison du rôle capital qu’elle joue dans le monde des relations humaines. Sans la protection de la vie privée, divers autres droits que nous prétendons valoriser disparaîtront.
Chaque personne dans cette salle fait face à un défi de taille pour assurer la conformité aux règlements relatifs à la protection de la vie privée. Chacun doit relever le défi de maintenir en vie la confidentialité dans un monde de plus en plus hostile à la vie privée. Ce travail n’est pas facile. Ce n’est pas l’affaire de simples administrateurs. Il exige un certain niveau de compréhension du dossier de la protection de la vie privée à l’échelle mondiale – un niveau de compréhension où vous devez faire preuve de professionnalisme dans l’accomplissement de vos devoirs et ne pas vous contenter d’obéir aux règles du jour.
Je ne m’attends pas à ce que vous alliez vous précipitez vers la cabine téléphonique la plus proche – si vous pouvez en trouver une ces jours-ci – pour vous déguiser en super héros. Cependant, j’espère bien que lorsque vous revêtirez votre manteau de professionnel, vous réfléchirez aux grands enjeux qui s’articulent autour de la problématique de la place de la vie privée dans la démocratie, surtout en ces temps orageux. C’est peut-être votre travail de faire respecter les règles, mais votre vocation devrait être d’assurer le respect de la vie privée. Je suis heureuse de constater que beaucoup d’entre vous sont déjà devenus d’ardents défenseurs de la vie privée, qui vont au-delà de vos fonctions officielles.
Après tout, la protection de la vie privée ne consiste pas seulement à savoir quelle règle suivre. Cela concerne le genre de vie que nous aimerions mener – dans nos rapports mutuels, dans nos rapports avec le monde des affaires et dans nos rapports avec le gouvernement.
La protection de la vie privée n’est pas un enjeu purement académique. Moi-même, j’ai eu une désagréable surprise l’année dernière lorsque Maclean’s, un magazine national, a affirmé avoir obtenu mes dossiers téléphoniques auprès d’un courtier en données basé aux États-Unis qui les aurait obtenus auprès des compagnies de télécommunications canadiennes. L’incident a attiré l’attention du public sur la vulnérabilité de certains renseignements qui nous concernent et sur la nécessité d’une coopération en matière d’application transfrontalière des lois dans un monde rendu plus étroit. Comme beaucoup d’entre vous le savent peut-être, les fraudeurs obtiennent parfois des renseignements personnels en « prétextant », c’est-à-dire en se faisant passer pour quelqu’un qui a le droit d’obtenir ces renseignements. La semaine dernière, le Commissariat a publié des guides qui expliquent comment les organisations peuvent utiliser les méthodes d’authentification pour réduire le risque de se faire piéger par des fraudeurs qui soutirent des informations confidentielles. Ces guides sont disponibles pour distribution à cette conférence. On peut également les consulter sur notre site Web.
Accréditation
IAPP a joué un rôle clé dans les efforts entrepris pour élaborer des procédures d’accréditation pour les professionnels de la protection de la vie privée. Il y a de la place pour différents groupes qui veulent contribuer à la conception des normes d’accréditation. C’est pourquoi, dans le cadre de notre programme de financement de la recherche, nous avons appuyé la Canadian Association for Professional Access and Privacy Administrators (CAPAPA), une association provinciale, ainsi que l’Association canadienne d’accès à l’information et de la protection des renseignements personnels (ACAP), une association fédérale, pour les aider à évaluer une gamme d’options et d’enjeux qu’il faut prendre en compte lors de l’élaboration et de la mise en œuvre d’un processus d’accréditation pour les professionnels de la protection de la vie privée. Je suis confiante que les efforts collectifs de l’IAPP, de l’ACAP et de la CAPAPA produiront des normes viables et utiles pour les professionnels de la protection de la vie privée au Canada.
Les institutions du gouvernement fédéral disposent déjà de coordonnateurs de l’accès à l’information et de la protection des renseignements personnels qui s’occupent des demandes présentées en vertu des lois sur l’accès à l’information et la protection des renseignements personnels. Mais, nous devons élever leur statut pour faire ressortir l’importance du rôle qu’ils jouent. Nous devons leur donner la formation dont ils ont besoin pour s’acquitter de leurs fonctions comme professionnels. J’en ai acquis l’intime conviction le mois dernier quand j’ai entendu parler d’une situation où le nom d’une personne ayant soumis une demande d’accès à l’information aurait été divulgué au sein du gouvernement et au grand public. D’une manière générale, le nom de l’auteur d’une demande est considéré comme un renseignement personnel protégé par la Loi sur la protection des renseignements personnels fédérale. Si l’allégation de communication inappropriée est fondée – une enquête est actuellement en cours sur cette affaire – il y aurait donc lieu d’investir davantage dans la formation des coordonnateurs de l’accès à l’information et de la protection des renseignements personnels à l’échelle du gouvernement, de mieux reconnaître l’importance de leur fonctions et de les protéger contre toute situation de pression qui les porterait à dévier d’une stricte conformité à la loi.
J’aimerais saisir l’occasion pour saluer le travail laborieux accompli par nos coordonnateurs fédéraux et les inviter à profiter du programme de perfectionnement professionnel offert ici au Canada dans divers milieux d’apprentissage, y compris les cours de correspondance offerts pars l’Université de l’Alberta.
La protection de la vie privée au Canada
Ce ne sont pas tous les membres de l’assemblée qui sont profondément familiers avec la loi fédérale sur la protection des renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). En bref, la LPRPDE établit les règles de base de la collecte, de l’utilisation ou de la communication des renseignements personnels par les organisations du secteur privé dans le cadre des activités commerciales. La Loi confère aux personnes le droit d’accès aux renseignements personnels et le droit de faire corriger au besoin les renseignements personnels que ces organisations ont recueillis à leur sujet.
La LPRPDE est un cadre de réglementation de la protection de la vie privée qui est léger et souple. On y trouve beaucoup des éléments qui caractérisent l’approche adoptée par les Européens pour la protection des données, mais sans les exigences d’agrément propres à certaines lois européennes qui régissent la protection des données. À beaucoup d’égards, la LPRPDE est un compromis entre l’approche européenne et l’approche des pratiques de gestion bien connue dans notre réalité nord‑américaine.
En tant que commissaire à la protection de la vie privée du Canada, je suis chargée de surveiller l’application de la LPRPDE. Le Commissariat enquête sur les plaintes que dépose le public et offre un important programme de sensibilisation du public. D’autre part, je suis habilitée à mener des vérifications sur les pratiques de gestion de l’information qu’utilisent les organisations. En fait, le Commissariat vient d’entamer, à ma demande, deux vérifications importantes visant des organisations du secteur privé, en raison de ce qui me paraissait être des pratiques totalement inacceptables de protection des renseignements personnels. Les motifs raisonnables requis me semblaient présents dans ces cas.
Je fonctionne à la manière d’un ombudsman, mais avec le pouvoir de dénoncer les organisations qui violent la LPRPDE et de former devant les tribunaux des recours qui peuvent comprendre une ordonnance demandant à une organisation de corriger ses pratiques, et une attribution de dommages-intérêts en faveur des plaignants. Bref, les organisations qui entreprennent des activités commerciales au Canada peuvent être et sont tenues responsables de leurs pratiques en matière de gestion de l’information.
Pourquoi choisir l’approche de l’ombudsman pour résoudre les problèmes qui surviennent dans le cadre de la LPRPDE? Un Canadien et ancien président de l’Institut international de l’Ombudsman parle des avantages du modèle de résolution consensuelle en ces termes : « Étant donné que des groupes préoccupés par différents intérêts ont leur propre perception des enjeux publics, il est possible d’arriver à des solutions adaptées répondant aux principales préoccupations des différentes parties, qui auront laissé tomber certaines attentes auxquelles elles tiennent moins » [traduction].
L’approche que nous avons adoptée pour assurer la protection de la vie privée a produit un résultat qui me procure beaucoup de satisfaction. Il s’agit du nombre de plaintes réglées en vertu des dispositions de la LPRPDE. Parmi les 401 plaintes dont le dossier a été fermé en 2005, près de 40 % ont été réglées en cours d’enquête. Nous allons poursuivre nos efforts pour régler les plaintes à l’amiable, non seulement parce cette formule permet généralement aux parties de résoudre rapidement les litiges, mais aussi parce que c’est un moyen efficace d’apporter réparation et changement.
En plus de surveiller la conformité à la loi dans le secteur privé, j’ai aussi (même si la question présente peut-être moins d’intérêt pour l’assemblée) la responsabilité de surveiller l’application de la Loi sur la protection des renseignements personnels fédérale qui réglemente les activités des institutions du gouvernement fédéral au niveau de la collecte, de l’utilisation et de la communication des renseignements personnels et confère aux personnes le droit d’accès à ces renseignements.
Vous pouvez donc constater que le Canada et les États-Unis diffèrent dans leurs approches de la protection de la vie privée. L’approche adoptée par le Canada pour les questions de confidentialité dans le monde commercial est plutôt global, tandis que l’approche américaine tend à être plus spécifique et à se concentrer sur des questions de confidentialité de niveau sectoriel. L’approche canadienne de la protection des données présente un certain nombre de valeurs que l’on retrouve dans l’approche européenne. Nous sommes toutefois conscients que le secteur commercial porte un trop lourd fardeau réglementaire.
Je ne dis pas qu’un système soit nécessairement meilleur que l’autre. Peu importe les cadres de travail théoriques qui sont à la base de nos approches respectives de la protection de la vie privée, nous devons tous travailler ensemble pour nous attaquer aux problèmes communs auxquels nous sommes confrontés. Les défis auxquels font face les grandes entreprises dans un environnement mondial sont des défis convergents. Notre réaction doit être de trouver des niveaux communs d’efficacité et d’équivalence et d’appliquer réellement les normes en matière de protection des données.
Circulation transfrontalière des renseignements personnels
Nous avons constaté que la USA PATRIOT Act a eu pour effet de créer des situations des tensions sur des enjeux transfrontaliers liés à la question de la protection des renseignements personnels et de la sécurité au Canada. En effet, cette loi peut entraîner des situations où l’on ordonne à des sociétés basées aux États-Unis d’obtenir des renseignements personnels que détiennent leurs sociétés affiliées dans d’autres pays à l’insu de ces dernières.
Les Canadiennes et les Canadiens ne veulent pas que des renseignements personnels les concernant qui sont détenus au Canada soient sujets à divulgation aux termes de la législation d’un autre pays. Nous avons conçu nos propres normes sur la vie privée pour le Canada, et ce sont ces normes qui doivent régir la gestion des renseignements personnels à l’intérieur de nos frontières.
La LPRPDE contient des dispositions qui obligent les organisations canadiennes à assurer des niveaux appropriés de sécurité pour les renseignements qu’elles maintiennent qui concernent les Canadiennes et les Canadiens. La LPRPDE limite également l’usage des renseignements personnels qui ont été recueillis au Canada. En bref, les organisations du Canada ont l’obligation juridique d’adopter des mesures de sécurité en vue de prévenir l’accès clandestin de leurs bases de données de l’extérieur du Canada. De plus, la loi les oblige d’une manière générale à s’abstenir d’utiliser ou de communiquer des renseignements personnels à certaines fins, sauf si les personnes concernées acceptent que ces renseignements soient utilisés à ces fins.
Nous devons chercher à mieux comprendre quand et comment se font les échanges transfrontaliers de renseignements personnels qui concernent les Canadiennes et les Canadiens, à savoir si ces échanges se font dans le cadre de l’impartition du traitement des renseignements personnels ou dans le cadre d’accords sur la communication de renseignements entre les gouvernements dans les affaires criminelles et les affaires de sécurité nationale. Nous devons nous demander si de tels échanges sont compatibles avec les intérêts des Canadiennes et des Canadiens en matière de protection de la vie privée. En examinant les conséquences de telles coopérations pour la protection de la vie privée, nous ne négligeons pas pour autant la coopération internationale dans les importantes affaires criminelles et de sécurité.
Le travail qu’effectue le Commissariat sur la scène internationale est important et indispensable pour le traitement des questions transfrontalières. J’ai le privilège de présider un groupe de travail de l’OCDE (Organisation de coopération et de développement économiques) sur la sécurité de l’information et la vie privée, dont le but est de relever les défis transfrontaliers que pose l’application effective des lois sur la protection de la vie privée, et nous faisons des progrès.
En plus de notre collaboration avec l’OCDE, nous sommes engagés auprès des pays membres de la Coopération économique de la zone Asie-Pacifique (APEC). Les pays de l’APEC ont confié à un sous-groupe sur la protection des données et de la vie privée le mandat d’élaborer un cadre de travail sur la confidentialité des renseignements. Le cadre de travail a été adopté par les ministres de l’APEC. La commissaire adjointe responsable de la LPRPDE au Commissariat a participé à plusieurs des initiatives.
Quels sont les inconvénients auxquels on peut s’attendre?
Il y a à peine quelques semaines, un rapport publié à la suite d’une commission d’enquête sur la détention aux États-Unis d’un citoyen canadien, Maher Arar, qui a été subséquemment déporté et torturé en Syrie, a rappelé aux Canadiennes et aux Canadiens les lacunes des ententes d’échange d’information entre deux pays. Une partie des renseignements fournis par la Gendarmerie royale du Canada aux autorités américaines à propos de M. Arar s’était par la suite révélée éminemment inexacte, et ce sont fort probablement ces renseignements qui ont amené les autorités américaines à déporter M. Arar. Ce dernier a été par la suite reconnu innocent de toute implication dans des activités terroristes. L’affaire Arar montre les conséquences extrêmement graves que peut avoir la communication par les institutions gouvernementales de renseignements personnels inexacts à d’autres gouvernements.
Le secteur privé joue également un rôle dans l’échange de renseignements personnels avec les gouvernements. Les organisations du secteur privé sont de plus en plus appelées à communiquer des renseignements personnels à l’État. Essentiellement, on encourage les organisations du secteur privé à agir comme des agents de l’État.
Il s’agit là d’une inquiétante progression de l’intrusion de l’État dans la vie privée des personnes. Nous reconnaissons tous que les mesures de sécurité nationale rendent parfois nécessaire la communication de renseignements acquis par le secteur commercial, mais nous devons limiter une telle implication du secteur commercial. Nous sommes tous aux prises avec cette question – au Canada, aux États-Unis et en Europe. En mai 2006, la Cour européenne de justice a annulé la décision du Conseil de l’Europe approuvant une entente entre l’Union européenne et les États-Unis sur le traitement et le transfert de données des dossiers passagers par les compagnies aériennes. Cette décision était basée sur la compétence, et non sur le bien‑fondé de tels transferts de données, mais elle a révélé la complexité du rapport entre le secteur privé et l’État dans les affaires de sécurité nationale. En tant qu’entité, les autorités responsables de la protection des données ne se sont pas suffisamment préoccupées de la portée du chevauchement des pouvoirs sur la sécurité nationale et de la législation relative à la protection de la vie privée. Et, comme le font plusieurs autres autorités responsables de la protection des données autour du globe, j’étudie le système bancaire SWIFT et son rôle dans la communication de renseignements personnels (en vue des objectifs de sécurité nationale des États-Unis).
Au Canada, le Parlement a adopté plusieurs mesures au cours de ces dernières années, y compris des modifications à la LPRPDE, lesquelles obligent ou autorisent les organisations du secteur privé à communiquer des renseignements personnels à l’État. Dans les mémoires que nous avons reçus dans le cadre de l’examen quinquennal de la LPRPDE, qui est actuellement en cours, quelques-unes des organisations ont exprimé des inquiétudes par rapport à la situation, c’est-à-dire le fait qu’on leur demande de recueillir et de communiquer des renseignements personnels à l’État.
Les gouvernements invoquent inévitablement le problème du « terrorisme » ou la question de la « sécurité nationale » comme motifs pour justifier les mesures impliquant la communication des renseignements personnels détenus par le secteur privé. Mais la peur du terrorisme ne doit pas devenir une excuse opportune pour l’anéantissement du droit à la vie privée.
Conclusion
Comme vous pouvez le constater, la protection de la vie privée est un monde plein de défis. Les professionnels de la protection de la vie privée ne peuvent pas se contenter d’agir comme de vrais technocrates qui veillent à ce que les entreprises respectent les règles de la protection des données. Vous êtes privilégiés en raison de votre compréhension des enjeux relatifs à la vie privée. Votre profession vous donne une perspective unique sur le fonctionnement des règles de protection des données et sur les risques que les règles et politiques inadéquates, les pratiques inappropriées et les gouvernements avides d’information posent pour la protection de la vie privée. Si vous ne soulevez pas les problèmes généraux de protection de la vie privée auxquels fait face notre société, qui donc le fera?
L’expression qui résume le mieux nos responsabilités – et qui me permet du même coup d’adresser quelques mots de français à mes collègues américains – est peut-être « noblesse oblige ». Il s’agit d’un concept de comportement honorable dont on attribue la responsabilité aux importantes personnalités de la société. En fait, ce ne serait pas une mauvaise philosophie d’être la pierre angulaire de cette profession nouvelle.