La création d'un groupe de professionnels de la protection de la vie privée

Commentaires lors de l'IAPP Canada KnowledgeNet Tour

Ottawa (Ontario) et Montréal (Québec)
le 26 mars 2009

Allocution prononcée par Chantal Bernier,
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)

---

Quand nous discutons de la nécessité davoir un groupe de professionnels compétents en matière de protection de la vie privée dans les secteurs privé et public, largument le plus convaincant cest à quel point notre monde assoiffé dinformation semble démuni sans eux. Les dangers liés à un manque de professionnalisme se manifestent avant tout par le nombre croissant datteintes à la protection des données dans le monde, au cours des dernières années.

Les banques étaient responsables de plus de 40 p. 100 des atteintes signalées à la commissaire à la protection de la vie privée du Canada, suivies des courtiers en hypothèques, des compagnies dassurances et de télécommunications et des détaillants. Ce nest pas très rassurant pour quiconque se préoccupe de la protection de ses renseignements personnels.

Durant les quelques années qui ont suivi lentrée en vigueur de la Loi sur la protection des renseignements personnels fédérale, les atteintes à la protection des données étaient très différentes de ce quelles sont aujourdhui. Le rapport annuel du Commissariat de 1986, par exemple, mentionnait une enquête concernant environ 340 formulaires de recensement tombés dun camion à Winnipeg. Ceux qui connaissent la portée des atteintes à la protection des données daujourdhui pousseraient un soupir de soulagement si létendue de nos pertes se limitait à cela. En outre, même quand des atteintes plus graves survenaient à cette époque, la technologie était trop peu sophistiquée pour occasionner des dommages denvergure.

Nous ne pouvons plus compter sur linefficacité de la technologie pour protéger notre vie privée en cas datteinte à la protection des données. Les atteintes qui révélaient des renseignements sur des centaines de personnes ont été supplantées par des atteintes qui révèlent des renseignements de nature délicate concernant des centaines de milliers et, dans certains cas, des millions de personnes. Parfois, personne ne saperçoit quil y a eu atteinte avant que les renseignements ne soient utilisés de façon malveillante, parfois à très grande échelle. Il ny a souvent aucun document visible qui flotte dans la rue. En effet, aujourdhui bon nombre datteintes denvergure passent inaperçues.

Nous avons appris, parfois à la dure, quelles étaient les causes des atteintes à la protection des données. Dans certains cas, ces atteintes sont perpétrées par des employés mécontents qui savent quels dommages ils peuvent infliger aux entreprises qui ne protègent pas suffisamment les renseignements personnels qui sont en leur possession. Dans dautres cas, une entreprise ou un organisme gouvernemental peut devenir la cible dun pirate informatique malveillant opérant de lextérieur. Ou encore, latteinte peut être liée au vol de matériel informatique, ou bien des renseignements peuvent avoir été confiés à un tiers sans quil y ait eu de vérification préalable pour sassurer que des mesures de sécurité adéquates avaient été mises en place pour protéger les renseignements.

Ne pas recourir à des technologies de protection de la vie privée adéquates accroît les risques datteinte à la protection des données. De nombreuses technologies utiles existent : coupe-feu, cryptage, pistes de vérification, etc. Cependant, il faut les utiliser pour quelles soient utiles. En revanche, il ne faut pas que la confiance que nous avons envers la technologie nous laisse croire que lélément humain na pas un rôle important à jouer dans la protection de la vie privée. La très grande majorité des atteintes qui ont été signalées au Commissariat au cours des dernières années  près de 90 p. 100  ont été causées par une erreur humaine, quelques fois une erreur aussi anodine que de faxer des documents ou denvoyer un courriel au mauvais destinataire, ou bien de jeter à la poubelle des documents contenant des renseignements de nature délicate.

Cela mamène aux risques liés à un manque de professionnalisme en matière de protection de la vie privée, si je peux mexprimer ainsi, à savoir les risques encourus quand on laisse des employés qui nont pas reçu de formation sur limportance de la protection de la vie privée manipuler des renseignements personnels. Ces employés nont tout simplement pas eu loccasion dapprendre limportance de protéger les renseignements personnels, et les préjudices causés par la divulgation involontaire de ces renseignements.

Nous savons également quil peut y avoir un intérêt commercial lié à la collecte et à la conservation de renseignements personnels. Certains pourraient prétendre quil faut recueillir autant de renseignements que possible parce quon pourrait les utiliser à un moment ou à un autre. Cette façon de voir les choses nest certainement pas conforme à la LPRPDE, mais la tentation de recueillir des renseignements personnels de tous genres demeure, notamment quand les gestionnaires ne comprennent pas les responsabilités qui leur incombent en vertu des lois sur la protection de la vie privée. Par conséquent, une plus grande quantité de renseignements personnels pourraient faire lobjet dune atteinte à la protection des données que si lentreprise se limitait à recueillir uniquement les données qui lui étaient nécessaires, et triait régulièrement ses fonds de renseignements personnels pour se débarrasser des renseignements inutiles.

Voilà pourquoi nous avons besoin dun groupe de professionnels de la protection de la vie privée au Canada  pas seulement des personnes qui veulent bien se plier aux règles liées à la protection de la vie privée, mais des gens qui sintéressent à la protection de la vie privée en tant que valeur essentielle dune société démocratique.

Vous serez peut-être surpris dentendre que la demande concernant la création dun groupe de professionnels de la protection de la vie privée ne date pas daujourdhui. Il y a vingt-cinq ans, le commissaire à la protection de la vie privée du Canada, le regretté John Grace, a écrit quun moyen de juger lengagement des cadres supérieurs de la fonction publique envers la toute nouvelle Loi sur la protection des renseignements personnels était limportance quils donnaient au poste de coordonnateur de la protection des renseignements personnels au sein des ministères. John Grace affirmait cela presque vingt ans avant lentrée en vigueur de la LPRPDE, il ne sexprimait donc pas sur la nécessité davoir des professionnels de la protection de la vie privée dans le secteur privé. Cependant, je suis certaine que sil était vivant aujourdhui, cest ce quil ferait.

Nous avons besoin de personnes qui comprennent la valeur de la protection de la vie privée, la nécessité de protéger les renseignements personnels, et les risques liés à des pratiques de traitement des renseignements personnels inappropriées. Nous avons besoin de personnes qui occupent des postes de responsabilité et qui comprennent que la protection de la vie privée ne se limite pas au respect des règles.

Voilà pourquoi le Commissariat appuie fermement les efforts visant à professionnaliser les personnes qui participent au traitement des renseignements personnels. Le travail de plusieurs organisations, y compris lInternational Association of Privacy Professionals (IAPP), est crucial, en ce sens. La formation, la formation continue, le réseautage  toutes ces activités sont essentielles si nous voulons nous doter des moyens nécessaires pour établir un équilibre fragile entre la protection de notre vie privée et lutilisation par dautres de nos renseignements personnels à des fins raisonnables.

Les professionnels de la protection de la vie privée peuvent sefforcer de persuader les gestionnaires que linformation est un bien à protéger, et pas seulement un élément auquel on pense après une transaction commerciale ou ministérielle. Ils peuvent mettre en Suvre une philosophie de la protection de la vie privée au sein des organisations et des gouvernements. Ils peuvent exercer des pressions au sein de leur institution en faveur dune gestion stratégique de linformation et de la mise en Suvre de politiques sur la conservation des renseignements personnels, ainsi que sur lutilisation appropriée de la technologie.    

Latteinte à la protection des renseignements personnels nest quune des forces qui menacent la protection de la vie privée. De nombreuses autres entrent en jeu, dont la soif inaltérable des gouvernements pour des renseignements nous concernant en ces lendemains de 11 septembre, souvent en réponse à lappel à une plus grande sécurité au moyen dune surveillance accrue, et la nécessité dutiliser des renseignements à des fins commerciales dans le secteur privé.

En raison des risques qui menacent la protection de la vie privée, les professionnels peuvent jouer un rôle de garde fou des pratiques de protection efficaces de la vie privée. Voilà pourquoi le Commissariat est si fier du travail que vous accomplissez. Je vous adresse à tous mes vSux de succès.