Discours

ARCHIVÉ - Protéger plus efficacement la vie privée des Canadiennes et des Canadiens

Commentaires présentés au Centre de recherche en droit, technologie et société de l’Université d'Ottawa

Le 19 janvier 2011
Ottawa (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je tiens d’abord à féliciter le Centre de recherche en droit, technologie et société. Dans votre courte histoire, vous avez accompli une œuvre de pionnier impressionnante.

Vous êtes parvenus à établir de nouvelles normes en matière d’excellence dans l’étude du droit et de la technologie au Canada et à l’échelle internationale. Le Centre est devenu un haut lieu pour les études de qualité et les recherches novatrices.

En soi, cela constitue déjà un exploit, mais ce que j’admire particulièrement, c’est votre façon de faire connaître votre compétence. Vous êtes devenu une autorité capable de faire une différence, autant par vos comparutions parlementaires que par vos interventions dans des conférences partout dans le monde. Michael Geist a popularisé les questions relatives à la protection de la vie privée dans ses éditoriaux (il a même réussi à attirer l’attention du public sur les droits d’auteur!) et récemment, Ian Kerr a été promu à une chaire de recherche du Canada de volet 1 pour ses travaux aussi excellents qu’innovateurs.

Vos opinions sont très prisées et elles ont un impact significatif.

Au cours des années, le Commissariat a créé un lien étroit avec le Centre de recherche en droit et technologie de l’Université d’Ottawa. Comme certains d’entre vous le savent peut-être déjà, nous avons profité de l’enseignement de choix que vous offrez ici – l’une de nos avocates, Louisa Garib, a obtenu son diplôme ici. C’est ici que la nouvelle génération d’avocats, de juristes et de spécialistes en droit relatif au respect de la vie privée reçoit son éducation.

En tant que commissaire à la protection de la vie privée, je présente ma gratitude pour cette contribution très importante à chacune et à chacun d’entre vous.

Un nouveau mandat

Comme vous le savez, le Parlement a approuvé le renouvellement de mes fonctions pour un autre mandat de trois ans. Cet après-midi, je vais donc saisir l’occasion pour vous présenter quelques-unes de mes priorités pour les trois années à venir.

Je suis heureuse d’avoir l’occasion de poursuivre mon travail. Beaucoup d’entre vous se souviendront certainement que les premières années de mon mandat initial ont été majoritairement dédiées au renouvellement institutionnel du Commissariat de sorte que nous ne pouvions accorder autant de temps à notre raison d’être – la protection de la vie privée – que je l’aurais souhaité.

En conséquence, d’importants travaux restent à accomplir et j’apprécie grandement la confiance que m’accorde le Parlement afin de poursuivre ma tâche.

Lors de mes comparutions devant le Sénat et un comité de la Chambre des communes, j’ai esquissé les priorités suivantes :

  • en premier lieu, exercer un leadership pour promouvoir les domaines prioritaires en matière de protection de la vie privée. Par exemple, le Web et la sécurité publique;
  • en deuxième lieu, aider les Canadiennes et les Canadiens, les organisations et les institutions à prendre des décisions plus éclairées en matière de protection de la vie privée;
  • et en troisième lieu, la prestation de services à l’ensemble de la population canadienne. Car, en fin de compte, notre travail doit répondre aux besoins et aux attentes de la population.

Les priorités en matière de protection de la vie privée

Au cours des prochaines années, nous allons poursuivre notre travail en matière de protection de la vie privée dans des domaines liés à l’univers en ligne, à la sécurité publique et à l’application de la loi.

Sous peu, nous allons clore nos enquêtes sur un site de réseautage social destiné aux jeunes et sur un service de rencontres en ligne. Les enjeux dans ce domaine ne manqueront certainement pas.

Il s’agit d’enjeux majeurs pour la population si l’on prend en considération le rôle croissant que joue Internet dans notre quotidien. Cette réalité s’est confirmée dans mon esprit lorsque j’ai lu récemment, dans un Index de Harper’s Magazine,qu’un couple américain sur quatre qui s’est formé depuis 2007 est composé de personnes qui se sont d’abord rencontrées en ligne.

Les enjeux liés à la sécurité publique demeureront également d’actualité. Ainsi, nous avons exhorté le Parlement à aborder prudemment les propositions législatives visant à créer un système de surveillance élargi qui aurait des répercussions importantes sur le droit à la vie privée.

Prise de décision éclairée en matière de protection de la vie privée

Pour relever le défi que présente la protection de la vie privée, il faut également s’assurer que les Canadiennes et les Canadiens acquièrent de solides compétences en culture numérique – ce par quoi j’entends les connaissances et les compétences nécessaires pour protéger leur vie privée et les renseignements personnels qui leur ont été confiés par des tiers.

Depuis quelque temps, nous utilisons des outils en ligne comme des blogues, Twitter et YouTube pour aider la population canadienne à mieux comprendre ses droits à la vie privée et à faire des choix éclairés dans ce domaine. Récemment, nous avons créé un groupe consultatif sur la jeunesse pour évaluer la pertinence de nos idées.

Nous allons également poursuivre notre engagement dans les régions parce que les rencontres en personne restent importantes dans ce monde de plus en plus virtuel. Notre bureau de Toronto – où sont situées un grand nombre des organisations visées par les plaintes qui nous sont soumises – est maintenant fonctionnel et nous rencontrons régulièrement nos intervenants qui s’y trouvent. Cela fait partie d’un effort continu pour s’assurer que le Commissariat ne soit pas perçu comme un organisme trop centré sur Ottawa ou ne connaissant pas les questions qui se posent à l’extérieur de la région de la capitale nationale.

Prestation de services

Bien que notre travail soit important dans son ensemble, en fin de compte, le plus important pour moi sur le plan personnel, c’est que notre travail serve les Canadiennes et les Canadiens. Je veux garantir que toute personne qui appelle le Commissariat pour obtenir de l’aide reçoive un service qui répond à ses besoins et à ses attentes.

Au moment du renouvellement de mon mandat, j’ai été couverte d’éloges pour les exploits du Commissariat depuis ma première nomination à la fin de l’année 2003. Parfois, cela m’a mis un peu mal à l’aise parce que je me considère comme faisant partie d’une équipe.

Ne vous méprenez pas sur mes paroles : je suis extrêmement fière du travail accompli par le Commissariat. Nous avons réussi, entre autres, à mener à terme avec succès un nombre d’enquêtes très médiatisées, y compris celle qui trouvait son origine dans une plainte déposée par la CIPPIC.

Mais lorsque j’ai écouté tous ces brillants hommages, je ne pouvais m’empêcher de penser à ce que nous devions améliorer.

Ma priorité absolue pour ce nouveau mandat est la prestation de services aux Canadiennes et aux Canadiens. Nous devons assurer que les plaintes courantes – celles qui ne retiennent pas l’attention des médias – soient traitées avec autant de succès, car elles sont d’une importance vitale pour les personnes qui les déposent.

Il y a peu de temps, j’ai lu avec consternation un article dans la revue Canadian Privacy Law Review qui s’intitulait : « Complaining under PIPEDA : An Exercice in Futility » (Plainte en violation de la vie privée sous le régime de la LPRPDE : un exercice futile). L’article traitait d’un plaignant frustré en raison des 16 mois qu’il nous avait fallu pour terminer l’enquête avec des conclusions qu’il n’estimait pas pertinentes à l’égard de sa plainte initiale.

Malgré nos meilleures intentions, dans quelques cas, nous n’avons malheureusement pas pu fournir des résultats aussi pertinents et aussi efficacement qu’il l’aurait fallu.

Au cours des dernières années, une rotation rapide des enquêteurs s’est ajoutée à un nombre croissant de plaintes d’une complexité accrue. En conséquence, la longueur de temps de traitement des plaintes devenait inacceptable et nous avions des arriérés de cas. Dans un effort concerté combiné à une approche diversifiée, et grâce au soutien du Conseil du Trésor qui nous a alloué des ressources supplémentaires, nous avons réussi à réduire nos arriérés de plaintes à quelques cas en 2010.

Bien que ce problème soit réglé, il reste encore beaucoup à faire. En ce moment, nous mettons l’accent sur la mise au point de notre processus de traitement des plaintes pour mieux servir les Canadiennes et les Canadiens.

La refonte des processus

Un autre défi interne est d’assurer que tous les types de plainte soient traités de façon efficace dès qu’ils sont portés à notre attention.

En premier lieu, nous soutenons qu’il est important que les plaignants éventuels tentent de s’adresser d’abord à l’organisation concernée pour essayer de résoudre le problème directement, avant de déposer une plainte officielle chez nous. Souvent, cela permet de rapidement trouver une solution.

Nous avons également instauré un processus de règlement rapide qui produit des résultats très positifs. En effet, depuis que nous avons formalisé ce processus, nous avons constaté une diminution significative des plaintes reçues qui font l’objet d’une enquête.

Évidemment, le règlement rapide n’est pas une bonne solution pour tous les types de plaintes, mais ce processus nous permet de répondre de façon adéquate aux préoccupations plus faciles à régler et il libère des ressources pour traiter des questions plus complexes ou systémiques – comme celles en lien avec Facebook et Google WiFi.

Ce sont là quelques-uns des outils qui nous permettent de restructurer nos processus internes pour rendre la protection de la vie privée au Canada encore plus efficace.

La notion de responsabilité

Sur un autre front, il y a aussi du travail à faire pour renforcer notre loi pour le secteur privé, la LPRPDE, pour s’assurer qu’elle protège adéquatement les Canadiennes et les Canadiens.

Je pense aussi qu’il est temps de considérer dans quelle mesure nous pourrons créer des mesures incitatives plus pertinentes pour assurer que les organisations protègent les renseignements personnels.

Lorsque la LPRPDE est entrée en vigueur en 2001, elle semblait être assez innovatrice. La Loi s’appuyait sur l’approche du Québec en matière de responsabilité. Ainsi, elle indique dans quelle mesure les organisations sont responsables des renseignements personnels qu’elles détiennent et elle spécifie également qu’elles restent responsables, même si ces données sont communiquées à des tiers. Cette notion contrastait avec l’approche européenne de la collecte des données et du contrôle du transfert des données.

Mais, plus récemment, les autorités de protection des données du monde entier ont fait un pas en avant notable avec la notion de responsabilité. La réflexion actuelle met l’accent sur l’importance d’exiger des organisations qu’elles prouvent leur responsabilité.

Certains experts ont constaté que la LPRPDE ne comportait aucune obligation de montrer leur responsabilité. Notre problème est qu’il y a des dizaines de milliers d’entreprises qui sont soumises à la LPRPDE, tandis que notre capacité de garantir leur conformité à la Loi est limitée.

En ce moment, nous n’avons aucun mécanisme simple pour le contrôle de la conformité – à moins de recevoir une plainte. La capacité du Commissariat de déposer des plaintes ou de mener des vérifications à sa demande est limitée par notre obligation de présenter des motifs raisonnables pour le faire. Puis, même si nous menons une enquête, il se peut qu’on ne puisse examiner qu’un seul aspect de la conformité.

Bref, il y a trop d’entreprises qui recueillent trop de renseignements sur trop de personnes pour un système fondé uniquement sur les plaintes – cela est insuffisant pour garantir aux Canadiennes et aux Canadiens que les entreprises avec qui ils font affaire assument leur responsabilité et se conforment à la LPRPDE.

Comment pouvons-nous assurer la conformité des entreprises? Faut-il simplement leur faire confiance? Le Commissariat devrait-il mener davantage de vérifications dans le secteur privé, ou devrions-nous plutôt envisager une vérification indépendante par des organismes de réglementation tiers? Faut-il instaurer des mesures incitatives plus importantes?

Ce sont des questions de ce type auxquelles nous pensons en vue du prochain examen de la LPRPDE prévu pour cette année.

Heureusement, nous pouvons profiter d’un discours abondant sur la responsabilité qui est mené partout dans le monde, y compris au sein de l’APEC et en Europe.

Le Centre for Information Policy leadership, qui a son siège aux États-Unis, est une autorité dans ce domaine. Son projet sur la responsabilité examine ce que cela signifie, pour une organisation, d’être responsable des renseignements personnels qu’elle recueille et la façon dont elle peut rendre des comptes aux autorités de protection des données et à la population.

Les discussions dans le cadre de ce projet nous ont permis de clarifier les enjeux de cette notion de responsabilité. Elles ont également permis de rapprocher des entreprises multinationales et des autorités de protection des données du monde entier – deux groupes qui ne communiquaient pas assez entre eux par le passé.

Ce fut une occasion d’avoir une vue d’ensemble et de réfléchir à l’avenir.

L’importance de ce projet s’est encore accrue l’été passé, en raison de la publication d’un Avis sur le principe de la responsabilité par les autorités européennes de protection des données.

Cet Avis, dont l’auteur est le Groupe de travail « Article 29 », propose d’intégrer un principe de responsabilité dans la directive européenne relative à la protection des données. Ce principe légal de responsabilité exigerait expressément des organisations qu’elles mettent en œuvre des mesures en vue de garantir le respect des principes et obligations prévus par la directive, et qu’elles soient en mesure d’en faire la preuve sur demande.

Le Groupe de travail « Article 29 » voit dans le principe de la responsabilité une solution pour traduire les prescriptions légales par de véritables mesures de protection des données.

Ces travaux sont prometteurs parce qu’ils présentent une certaine convergence des vues par rapport à la notion de responsabilité, ce qui nous permet de progresser en vue de trouver un terrain d’entente à l’échelle internationale.

Mesures incitatives encourageant la conformité

Je voudrais encore prendre quelques minutes pour parler des mesures incitatives encourageant la conformité. Je suis de plus en plus convaincue que nous aurons besoin de pouvoirs accrus pour protéger efficacement la vie privée des Canadiennes et des Canadiens.

Nous sommes devenus l’un des seuls grands pays dont l’autorité en matière de protection des données n’a pas pouvoir de rendre des ordonnances ou d’imposer des amendes.

La Cour fédérale a le pouvoir d’imposer des dommages-intérêts aux organisations qui enfreignent la LPRPDE, mais elle a fixé la barre très haute à ce sujet. Dans la décision Randall c. Nubody’s Fitness Centres, qui a été rendue en juin 2010, le juge Mosley a conclu que des dommages-intérêts ne doivent être accordés que « dans les cas les plus flagrants ».

Depuis la mise en vigueur de la LPRPDE il y a dix ans, la Cour n’a accordé des dommages‑intérêts qu’une seule fois.

Vers la fin de l’année dernière, la Cour a accordé des dommages-intérêts totalisant cinq mille dollars après avoir conclu que TransUnion, une agence d’évaluation du crédit, avait tiré profit de la communication de renseignements personnels inexacts et avait agi de mauvaise foi en ne prenant pas la responsabilité pour son erreur et en ne corrigeant pas le problème rapidement.

Par opposition, il y a de nombreux pays qui ont pris des mesures pour introduire des amendes substantielles.

Au Royaume-Uni, par exemple, le commissaire à l’information, Christopher Graham, a récemment utilisé ses pouvoirs discrétionnaires pour imposer des peines pécuniaires dans le but d’envoyer un message fort en ce qui concerne les infractions graves à la Data Protection Act du Royaume-Uni.

Ainsi, un conseil de comté a été condamné à verser la somme de 100 000 £ (157 000 $CAN) pour deux incidents graves : deux employés du conseil ont faxé des renseignements personnels très sensibles aux mauvais destinataires. Dans l’un de ces cas, les renseignements traitaient d’abus sexuels d’enfants, dans l’autre, de violence familiale.

On a infligé à une entreprise qui offre des services d’emplois une amende de 60 000 £ (94 000 $CAN) pour avoir perdu un ordinateur portable contenant des renseignements personnels non cryptés sur 24 000 personnes qui avaient eu recours aux services des centres de conseil juridique communautaires.

Pendant ce temps, mon homologue espagnol, le commissaire Artemi Rallo, avait déjà gagné le surnom « l’exécuteur » pour l’utilisation affirmative qu’il faisait de ses pouvoirs de contrainte existants. Puis, à l’automne, l’organisme pour la protection des données de l’Espagne a lancé une procédure d’infraction contre Google au sujet de sa collecte de données provenant des réseaux WiFi – une action qui pourrait entraîner des amendes totalisant des centaines de milliers d’Euros.

Au Canada, le CRTC a le pouvoir discrétionnaire d’imposer des amendes pour les contraventions aux Règles sur la Liste nationale de numéros de télécommunication exclus (il n’y a pas longtemps, il a imposé une sanction record de 1,3 million de dollars à Bell Canada). La nouvelle loi antipourriel prévoit des amendes allant jusqu’à 10 millions de dollars pour les entreprises.

La menace d’une amende salée fait réagir toute entreprise – elle accordera alors davantage d’importance au respect de la protection des renseignements personnels.

Nommer les organisations

Une autre mesure incitative avancée par des défenseurs de la protection de la vie privée au fil des ans est de nommer les organisations sur lesquelles nous enquêtons.

Pour être franche, j’éprouve un malaise grandissant par rapport à la nature confidentielle de notre travail en vertu de la LPRPDE.

Au départ, il nous semblait raisonnable de ne pas communiquer l’identité d’une organisation à moins de considérer qu’une divulgation soit dans l’intérêt public. Cependant, nous constatons que l’intérêt public constitue un seuil jurisprudentiel très élevé.

J’ai l’impression que cette confidentialité ravit à la population canadienne une grande partie de la valeur pédagogique des résultats de nos enquêtes. C’est là une autre question que nous allons examiner plus en détail dans le cadre du prochain examen de la LPRPDE.

Conclusion

Comme vous pouvez le constater, voilà qui nous donne grandement matière à réflexion pour assurer au Canada sa position dominante en matière de la protection de la vie privée.

Les quelques années à venir promettent d’être extrêmement intéressantes. Je me réjouis de relever les défis et, une fois de plus, je vous remercie de votre soutien continu et d’avoir organisé cet événement extraordinaire.