La protection des renseignements personnels à la canadienne

Commentaires lors du Sommet de 2009 sur la protection de la vie privée de lIAPP

Washington (D.C.)
le 12 mars 2009

Allocution prononcée par Jennifer Stoddart,
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

---

Introduction

On dit souvent de la façon canadienne de protéger la vie privée quelle se situe à mi-chemin entre celle qui se pratique en Europe et celle qui a cours ici aux États-Unis.

Il est à espérer que cela veut dire que mon pays relativement petit a des idées intéressantes à proposer au sujet des grands défis que pose la protection de la vie privée au XXIe siècle  défis qui, pour la plupart, sont de portée mondiale.

Pour bien sacquitter de sa mission, une personne qui est chargée de protéger le droit à la vie privée au Canada doit regarder au-delà de nos frontières.

Le Commissariat que je dirige consacre beaucoup dénergie à faire valoir la nécessité daborder les enjeux de protection de la vie privée dans une perspective de coopération mondiale. Pour ce faire, nous travaillons en étroite collaboration avec lOCDE, lAPEC et diverses autres organisations internationales.

Chez nous, nous nous employons à relever les défis de la protection de la vie privée que pose la circulation internationale des données en contribuant à faire en sorte que les entreprises qui gèrent ces transferts de données le font dune façon qui respecte la loi canadienne. Nous venons de publier de nouvelles lignes directrices sur la circulation transfrontalière des données qui, à mon avis, sauront vous intéresser.

En matière de culture juridique, le Canada est un pays hybride qui sinspire fortement des traditions britannique et française dans la plupart des secteurs. Mais il est également grandement redevable à linfluence et à lévolution politique contemporaine à la fois de lUnion européenne et des États-Unis.

La Loi sur la protection des renseignements personnels, notre loi visant le secteur public qui compte un quart de siècle, sapplique aux ministères et organismes fédéraux.

Nous avons également une loi qui régit la protection des renseignements personnels dans le secteur privé, soit la Loi sur la protection des renseignements personnels et les documents électroniques. Elle est en vigueur depuis cinq ans.

Trois provinces  le Québec, lAlberta et la Colombie-Britannique  ont adopté leurs propres lois sur la protection des renseignements personnels dans le secteur privé, lesquelles ont été reconnues comme étant essentiellement similaires à la LPRPDE. Une quatrième province, lOntario, a une loi qui sapplique aux renseignements personnels sur la santé, laquelle a, elle aussi, été jugée essentiellement similaire.

Les règles fondamentales énoncées dans la LPRPDE portent sur 10 principes relatifs à léquité dans le traitement de linformation qui épousent les principes de lOCDE.

Jaimerais cet après-midi vous expliquer notre approche « mitoyenne » de la protection des renseignements personnels dans le secteur privé à laide de ma propre liste des 10 principaux éléments qui font que le modèle canadien diffère des modèles européens et américains.

Commençons par les différences qui existent entre le Canada et lUnion européenne&

1. Le Canada& parle de protection de la vie privée et non de protection des données.

Le Canada appelle ce que je fais protéger la vie privée plutôt que protéger les données. Sur ce point, nous sommes dans lerreur!

Le Commissariat que je dirige fait dans la protection des données. Nous garantissons que les données personnelles sont bien protégées lorsquelles se trouvent entre les mains des ministères fédéraux et de nombreuses organisations du secteur privé.

La fonction de commissaire à la protection de la vie privée est avant tout celle dun ombudsman qui sefforce de régler des différends par la négociation, la médiation et la conciliation. Toutefois, quand nous narrivons pas à atteindre nos buts de protection des données dune autre façon, nous pouvons soumettre chaque année des dossiers à la Cour fédérale, ce quil nous arrive dailleurs de faire. Toutefois, la grande majorité des dossiers se règle à notre satisfaction et nous avons rarement besoin daller devant le tribunal.

2. Le Canada, dans un contexte commercial, met moins laccent sur la protection de la vie privée en tant que droit de la personne.

Dans certains cas, la protection de la vie privée soulève de toute évidence des enjeux liés aux droits de la personne  lorsque cela a des répercussions sur notre liberté ou la liberté de pensée, par exemple. Mais toujours percevoir la protection de la vie privée comme un droit fondamental de la personne peut être improductif.

Je ne suis pas convaincue quil soit utile de considérer la protection de la vie privée comme un droit de la personne dans un contexte commercial lorsque des gens décident volontairement de donner des renseignements personnels afin den retirer certains avantages, par exemple des récompenses dans le cadre dun programme de fidélisation. (Combien dentre nous ont accumulé des milles de récompense en se rendant ici?)

En outre, insister sur la protection de la vie privée comme droit de la personne ne nous mènera pas très loin pour ce qui est de lamélioration des protections à léchelle mondiale.

Dans la plupart des pays, la protection de la vie privée nest ni perçue comme un enjeu lié aux droits de la personne ni ne figure en tête dun programme de protection de ces droits.

Linsistance sur les droits de la personne peut accroître la résistance face à ladoption de mesures de protection de la vie privée parce quelle donne à entendre que la protection de la vie privée doit toujours être perçue à travers ce prisme.

3. Le Canada& nutilise pas dexpressions comme « contrôleur des données » ou « traitement des données ».

La province de Québec a adopté sa propre loi régissant le secteur de la protection de la vie privée en même temps que lUnion européenne mettait la dernière main à sa directive. Notre province la plus européenne a évité demployer ces expressions après avoir conclu quelles sont incompatibles avec les pratiques commerciales utilisées en Amérique du Nord.

De cette façon, nous évitons les débats tortueux qui ont cours en Europe pour déterminer qui est et qui nest pas un « responsable du traitement des données ».

Dans notre loi fédérale, nous disons simplement que celle-ci sapplique aux organisations qui sadonnent à des activités commerciales dans lensemble du pays, sauf dans les provinces qui ont leurs propres lois protégeant les renseignements personnels dans le secteur privé.

Quelques provinces ont adopté leurs propres lois. Même dans ces provinces, la LPRPDE peut continuer de sappliquer aux éléments du secteur privé régis par le gouvernement fédéral  les banques, et les sociétés de transport et de télécommunications, par exemple  de même quaux renseignements personnels dans le cadre de transactions interprovinciales et internationales.

4. Le Canada& ne fait pas obligation denregistrement quand des renseignements personnels sont recueillis, utilisés ou communiqués.

Les concepteurs de notre loi visant le secteur privé ont adopté des principes généraux  recours à des pratiques équitables dans le traitement de linformation, droit daccès et de correction et pouvoir de surveillance par une ou un commissaire à la protection de la vie privée disposant de grands pouvoirs denquête  mais non les exigences plus officielles comme lenregistrement des responsables et la notification en cas de traitement.

Là encore, au Québec, on me dit que le concept de lenregistrement a été au départ soumis à la discussion, mais devant les réactions très négatives tant du monde des affaires que des bureaucrates qui auraient à administrer la loi, on a coupé court à la proposition.

Il ressort donc quil est possible dinsister sur des principes fondamentaux communs tout en reconnaissant que dautres éléments de lensemble peuvent ne pas refléter vos contextes juridiques et culturels ou ne pas convenir à votre environnement.

5. Le Canada& ninterdit pas le transfert de renseignements personnels aux fins de traitement.

La LPRPDE ne gêne pas notre économie mondiale. De fait, il est dit dans la loi elle-même quelle vise à appuyer et promouvoir le commerce électronique en protégeant les renseignements personnels.

Le marché mondial sen trouvera amélioré si les consommateurs peuvent être assurés que leurs renseignements personnels seront protégés même après avoir franchi les frontières canadiennes.

Il nest pas question ici dun laisser-aller généralisé. La loi exige que les renseignements personnels soient protégés, peu importe quils soient transférés et lendroit où ils le sont. Cest à vous que le fardeau incombe  si vous vous trouvez au Canada et que vous transférez des renseignements personnels, vous devez vous assurer quils sont protégés et traités selon la norme applicable au Canada.

Le Commissariat que je dirige a élaboré récemment des lignes directrices sur la circulation transfrontalière des données. Nous espérons que cette information aidera les organisations à en arriver à mieux comprendre limpact que la LPRPDE peut avoir sur cette circulation.

Les lignes directrices se trouvent sur le site Web du Commissariat. On en trouve également des exemplaires à notre stand dans le secteur des exposants, de même quici dans la salle.

6. Le Canada& ne porte pas de jugement sur la convenance des lois des autres pays.

Contrairement à lapproche dÉtat à État adoptée par lUnion européenne, laquelle est assortie de lévaluation de la « convenance » de lautre administration, le Canada a opté pour une approche dorganisation à organisation.

En vertu de la LPRPDE, il incombe aux organisations dassurer la protection des transferts de renseignements personnels dans le cadre de chacune des ententes dimpartition.

Par voie contractuelle ou autrement, lorganisation doit fournir un degré de protection comparable à celui de la LPRPDE pendant le traitement de linformation par un tiers.

Par « degré comparable de protection », on entend que la protection accordée par le tiers chargé du traitement doit pouvoir être comparée au degré de protection que les renseignements personnels auraient reçu sils navaient pas été transférés.

Cela ne signifie pas que les mesures de protection doivent être identiques partout. Cela signifie quelles doivent séquivaloir de façon générale.

De toute évidence, une organisation tient compte de facteurs comme les économies de coûts, le service à la clientèle et la disponibilité dexperts au moment denvisager limpartition à lextérieur du pays. Il est également important de tenir compte du contexte politique, économique et social du pays où se trouve le tiers chargé du traitement. Il sagit là denjeux que soulèvent souvent les groupes de défense. La question que vous devez vous poser est la suivante : lun ou lautre de ces facteurs augmente-t-il les risques pour la sécurité des renseignements personnels transférés?

Lorsquune organisation décide dimpartir le traitement, elle doit prendre toutes les mesures raisonnables nécessaires pour protéger les renseignements personnels dune utilisation et dune communication non autorisées pendant quils se trouvent aux mains du tiers qui en assure le traitement. Elle doit également sassurer que les renseignements sont bien protégés en tout temps.

Enfin, quand il est question dimpartition vers des administrations étrangères, il faut que les organisations fassent preuve de transparence avec leurs clients. Dites aux gens  dans un langage clair  quil se peut que leurs renseignements soient traités dans un pays étranger et quils pourraient être accessibles aux autorités de ce pays chargées dassurer la sécurité nationale et dappliquer la loi.

Le Commissariat que je dirige a fait enquête sur plusieurs affaires se rapportant à la circulation transfrontalière des données.

Nous nous sommes par exemple penchés sur la communication de dossiers financiers de Canadiennes et de Canadiens par la SWIFT (la Society for Worldwide Interbank Financial Telecommunication) pour donner suite à des ordonnances administratives provenant du département du Trésor des États-Unis.

Nous avons découvert que la LPRPDE permet à une organisation comme la SWIFT de se conformer aux lois des autres pays dans lesquels elle fait des affaires. Nous avons toutefois fait observer que les autorités américaines pourraient utiliser des méthodes plus respectueuses de la vie privée pour obtenir de linformation sur des transactions financières qui ont une composante canadienne.

Jai demandé avec insistance aux autorités canadiennes dessayer de persuader leurs homologues américains de recourir aux mécanismes canadiens de lutte contre le blanchiment dargent et le financement des activités terroristes plutôt quaux ordonnances.

Passons maintenant à une comparaison des approches canadienne et américaine&

7. Le Canada& a un commissaire à la protection de la vie privée.

La Loi sur la protection des renseignements personnels, que le Canada a promulguée en 1983, a été largement inspirée par la Privacy Act des États-Unis. Cependant, la loi canadienne a ajouté un élément quon ne retrouve pas dans le système américain, à savoir le poste de commissaire à la protection de la vie privée  un ombudsman chargé de surveiller lapplication de la Loi et qui fait rapport directement au Parlement.

8. Le Canada& a une loi omnibus régissant le secteur privé.

Nous avons la chance que lune des dispositions de la LPRPDE encourage les provinces à adopter leur propre loi visant le secteur privé. Les provinces qui lont fait ont adopté des approches très semblables. Nous avons donc ainsi évité le problème que pose aux États-Unis la concurrence entre lois fédérales et lois adoptées par les États.

Nous travaillons également en étroite collaboration avec nos homologues provinciaux pour nous assurer que nous adoptons des approches communes pour régler les plaintes. Parfois, nous menons des enquêtes conjointes  comme ce fut le cas dans laffaire TJX, par exemple.

9. Le Canada& na pas dorganisme dapplication de la protection des données qui peut imposer des sanctions financières.

Je nai pas le pouvoir dimposer des amendes aux organisations. Contrairement à la Federal Trade Commission des États-Unis, je ne suis pas habilitée à conclure des règlements financiers.

Toutefois, si une entreprise refuse de suivre nos recommandations, nous demandons à la Cour fédérale de rendre une ordonnance pour lobliger à se conformer et à offrir un dédommagement, sil y a lieu. Vous ne serez pas étonnés dapprendre que la possibilité dêtre poursuivi en justice constitue un outil extrêmement persuasif  à peu près tout le monde se conforme à nos recommandations.

Je pense que nous avons démontré, dans une affaire comme latteinte massive à la sécurité des données à TJX, que, grâce à nos enquêtes, nous pouvons provoquer des changements qui signifient que les renseignements personnels sont mieux protégés.

TJX sest pliée à toutes nos recommandations en améliorant la sécurité, la surveillance et dautres éléments concernant la gestion des renseignements personnels.

Après avoir pris connaissance du rapport sur nos conclusions en septembre 2007, la Federal Trade Commission des États-Unis a à son tour porté plainte contre TJX, une plainte qui reprenait bon nombre des éléments qui se trouvaient dans nos conclusions. La FTC et TJX en sont par la suite venues à un règlement.

Récemment, nous avons travaillé avec la FTC sur un dossier distinct mettant en cause Accusearch, une société américaine qui exploitait un site Web sur lequel elle annonçait et vendait à des tiers des dossiers téléphoniques confidentiels de consommateurs à linsu ou sans le consentement de ces derniers. Voilà qui allait à lencontre de la loi canadienne.

La FTC nous a invités à participer à une procédure dappel introduite par Accusearch devant la Tenth Circuit Court of Appeals (Dixième cour dappel de circuit) des États-Unis. Accusearch avait porté en appel la décision dun juge fédéral dinterdire lexploitation de son site Web, Abika.com.

Dans le cadre de cette procédure dappel, nous avons préparé et déposé un mémoire damicus curiae exposant les démarches que le Commissariat avait entreprises auprès dAccusearch et démontrant de quelle façon des Canadiennes et Canadiens avaient été touchés par les gestes posés par cette entreprise.

Partout dans le monde, des forums régionaux différents, notamment lAPEC, lAPPA et lOCDE, se posent des questions sur les façons de réglementer la protection de la vie privée en adoptant des approches plus judicieuses et pratiques. Le Commissariat canadien participe à ces discussions qui visent à en arriver à une compréhension commune des principes régissant la protection de la vie privée ainsi que des normes de reddition de comptes appropriées à appliquer pour mieux protéger les personnes.

10. Le Canada& a une loi régissant le secteur privé jugée « adéquate ».

Comme vous le savez, lUnion européenne ne considère pas que les États-Unis offrent actuellement un niveau suffisant de protection  même si elle a approuvé le cadre relatif à la règle refuge.

Le Canada a réussi à créer un régime de protection de la vie privée qui, aux yeux de lUnion européenne, assure un degré de protection des données « adéquat ».

Nous avons intégré certains des points forts de la Directive de lUnion européenne, sans nous embarrasser de ce que certains appellent ses éléments bureaucratiques.

À mon avis, nous ne sommes pas seuls à avoir atteint cet équilibre. LAustralie et la Nouvelle-Zélande ont elles aussi des modèles similaires  bien que, pour des raisons que je ne comprends pas très bien, lUnion européenne nait pas jugé ces modèles adéquats.

Lavenir de la protection de la vie privée aux États-Unis

Lorsque le président Obama est venu à Ottawa il y a quelques semaines, il a été accueilli en héros par des Canadiennes et des Canadiens ordinaires.

Selon les résultats étonnants dun sondage quil ma été donné de voir, 86 p. 100 des Canadiennes et Canadiens croient que la présidence dObama est « porteuse despoir pour lavenir ». À titre de commissaire à la protection de la vie privée, jespère très fortement que la nouvelle administration envisagera favorablement daccroître les mesures de protection des renseignements personnels aux États-Unis.

Javoue que cette affirmation participe dun certain intérêt personnel  compte tenu des liens politiques, culturels et économiques étroits que nous avons avec les États-Unis, il va sans dire que les Canadiennes et les Canadiens profiteraient énormément dun renforcement des mesures de protection de la vie privée des consommateurs de ce côté-ci de la frontière.

Peut-être que lapproche canadienne  du fait de sa souplesse  constituerait un modèle intéressant à envisager pour la nouvelle administration.

Il y a des signes positifs  dès le premier jour de son entrée en fonction, le président Obama sest déclaré en faveur de la transparence et de la responsabilité du gouvernement en ordonnant aux organismes fédéraux dadministrer la Freedom of Information Act en sappuyant sur une présomption sans équivoque : en cas de doute, privilégier louverture.

Lavenir des initiatives mondiales en matière de protection de la vie privée

De toute évidence, notre époque pose dénormes défis sous langle de la protection de la vie privée partout dans le monde. Comme nous le savons tous, les progrès technologiques et les initiatives en matière de sécurité nationale présentent une multitude de nouveaux risques pour notre vie privée.

En dépit de toutes ces menaces, nous navons pas assisté  jusquici  à lémergence de normes mondiales en matière de protection de la vie privée.

Si je peux me permettre de parler franchement, au cours de la dernière décennie, nous avons perdu beaucoup trop de temps à nous demander quelle était la « meilleure » approche, et ce, dune façon pas très positive.

Nous sommes plongés au cSur dune grave crise économique mondiale qui pourrait bien avoir des répercussions sur les dépenses des entreprises au titre de la protection de la vie privée et de la sécurité. La cybercriminalité a pris des proportions gigantesques.

Nous devons nous agir plus rapidement.

Très peu de pays ont adopté lensemble du modèle européen de protection des données. À mon avis, cela est attribuable en grande partie à la difficulté que pose la dissociation des principes de la structure administrative.

Nous commençons à nous rendre compte quil y a des limites à la mesure dans laquelle la Directive peut être exportée comme modèle sous langle de son caractère adéquat.

Il se pourrait que la Directive ne soit pas un modèle qui convienne aux économies émergentes et aux petites économies. Il faut nous montrer ouverts à dautres approches sans toujours nous demander comment elles se comparent à la Directive.

On ne peut atteindre lobjectif du renforcement de la protection mondiale de la vie privée en procédant pays par pays. La seule façon de réussir est de nous attaquer collectivement aux enjeux de la vie privée et de la sécurité.

Nous devrions chercher à en arriver à un niveau de base de protection dans lensemble de la planète. Cela ne veut pas dire pour autant que nous devons avoir une seule norme mondiale ou une seule approche pour protéger la vie privée.

Nous savons tous à quel point les discussions internationales sur la façon de mieux aborder un enjeu peuvent parfois être difficiles. Les pays adoptent différentes approches face à la protection de la vie privée. Nous devons laisser tomber les attitudes du genre « ma loi est meilleure que la vôtre ».

Le résultat compte beaucoup plus que lapproche, et en arriver à trouver la meilleure façon datteindre de bons résultats exige un dialogue à léchelle planétaire.

Je pense que nous pouvons nous réjouir jusquà un certain point du fait que nous assistons à lémergence dun dialogue mondial très utile sur la façon de protéger les renseignements personnels.

Pensons aux éléments suivants :

• LOCDE adopte une vision globale sur la façon de protéger la vie privée.
• Mon homologue irlandais, lOCDE et dautres encore participent au projet Galway, dans le cadre duquel on se demande ce que signifie pour une organisation que dêtre responsable des renseignements personnels quelle recueille.
• LAPEC, de son côté, poursuit des travaux intéressants en examinant le défi que pose la façon de protéger les renseignements personnels dans une région qui accueille des cultures et économies diverses dont la taille et le stade de développement varient énormément.
• Le commissaire espagnol a lancé une initiative qui vise à envisager des normes mondiales.
• Entre-temps, le commissaire du Royaume-Uni a commandé une étude en vue de scruter la Directive de lUnion européenne.

Partout dans le monde, les choses bougent beaucoup. Nombreux sont les gens à reconnaître quune certaine réflexion nouvelle simpose.

Le Canada comme pont

Jai parlé longuement de lapproche « mitoyenne » du Canada face à la protection de la vie privée. Jespère que mes propos contribueront un tant soit peu à alimenter les discussions mondiales.

Le Canada a des liens culturels et économiques étroits avec bien des régions différentes du monde. Nous appartenons à la fois à lOCDE et à lAPEC. Et nous nous affichons fièrement comme société multiculturelle.

Tout cela pour dire que le Canada est habitué à aborder des enjeux à partir de points de vue très divergents.

Voilà une qualité inestimable quand vient le moment de chercher à concilier les difficultés que présente la protection de la vie privée. Comme vous le savez, le spectre des perceptions de ce quest la vie privée et des meilleures façons de la protéger peut être extrêmement large.

La protection de la vie privée est en réalité lun de ces enjeux à légard duquel il est avantageux de faire preuve douverture dès le départ.