L'avenir de la réglementation en matière de protection de la vie privée

Commentaires lors de la 11^e Conférence annuelle sur la protection des renseignements personnels et la sécurité

Le 10 février 2010
Victoria (Colombie-Britannique)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)

---

Introduction

Comme toujours, c'est un grand plaisir d'avoir été invitée à m'adresser à vous dans le cadre de cet événement annuel. Je tiens à souligner le formidable travail des organisateurs dans l'élaboration d'un programme si intéressant.

Malheureusement, c'est pour moi la dernière occasion de participer à ce forum à titre de commissaire à la protection de la vie privée du Canada, puisque mon mandat de sept ans prendra fin plus tard cette année.

Cependant, et d'un œil plus positif, je dois admettre que je suis devenue en quelque sorte une éminence grise de la communauté de la vie privée. Ce qui signifie que je suis en mesure de donner mon opinion sur ce que j'ai observé au cours de la dernière décennie, tant au Québec qu’à l’échelon fédéral!

Aperçu

Comme vous tous, j'ai été témoin de changements stupéfiants et ce, en une très courte période de temps.

Lorsque j'ai accédé au poste de commissaire à la protection de la vie privée, Facebook n'existait pas. Pas plus que Twitter, Flickr, YouTube, Street View de Google, Foursquare, les iPods et autres nouveautés qui permettent aux gens d’entretenir un contact régulier avec le reste du monde.

Il n'y a pas que la technologie qui est différente — il y a d'autres catalyseurs de changement. La mondialisation en temps réel, par exemple, et la circulation instantanée des données à l'échelle mondiale.

Il y a l'engouement des gens pour la technologie. Leurs attentes par rapport à ce que la technologie peut leur procurer, et leurs attentes par rapport au coût de la technologie. Est-il souhaitable, par exemple, de se payer plus de commodité s'il en coûte une perte de vie privée?

À la lumière des changements phénoménaux survenus au cours des dix dernières années seulement, il serait insensé de tenter de prédire ce que la prochaine décennie nous réserve.

Mais ce que nous pouvons affirmer avec certitude, c’est que le cadre de réglementation en place pour protéger la vie privée et les renseignements personnels est déjà mis à rude épreuve. Nous lui avons déjà fait faire des pirouettes assez impressionnantes.

Pour éviter qu'il ne se brise, il faudra trouver le moyen de le renforcer pour la décennie à venir.

À cette fin, nous devons examiner nos lois en matière de protection de la vie privée et nos structures administratives. Nous devons moderniser de manière radicale la Loi sur la protection des renseignements personnels, qui régit le secteur public, et évaluer si la LPRPDE, la Loi sur la protection des renseignements personnels et les documents électroniques qui régit le secteur privé, sera efficace pendant dix ans encore.

Mais nous ne pouvons pas fonctionner en vase clos. Nous devons étudier ce qui se passe dans d'autres juridictions, et travailler avec elles sur des approches conjointes à nos défis communs.

Défi : technologie

De tous les défis auxquels nous faisons face, nul n'est plus sérieux que les répercussions de la technologie.

D'abord et avant tout, il y a l'ampleur même d'Internet, et la myriade de possibilités qui s'offrent à nous pour interagir, faire des achats et, finalement, vivre en ligne.

Il y a aussi la croissance vertigineuse de la mémoire informatique et de la puissance de traitement des ordinateurs, lesquelles rendent possibles la collecte, le traitement et la communication d'un très grand volume de renseignements personnels.

Et le contenu qui tourbillonne dans l'univers du Web 2.0 est en grande partie généré par des personnes, ce qui pose de nouveaux défis pour les organismes de réglementation.

L'une des conséquences de cette évolution, du point de vue de la protection de la vie privée, c'est que les renseignements personnels peuvent désormais exister dans le cyberespace, pratiquement éternellement. Par conséquent, une atteinte à la protection des données est susceptible de toucher non plus seulement une poignée de gens, mais des centaines de milliers de personnes.

Une autre conséquence, c'est qu’on peut maintenant lire notre quotidien comme dans un livre ouvert. Même si nous ne diffusons pas notre emplacement sur Google Latitude, les caméras de surveillance et les téléphones cellulaires munis d'un dispositif GPS sont capables d'enregistrer nos déplacements. Même si nous n'annonçons pas à grande échelle nos derniers achats sur blippy.com, nos habitudes de navigation en ligne sont discrètement surveillées et exploitées en raison de la valeur qu'elles ont aux yeux des marchands et des spécialistes du marketing.

Et la notion de consommateur averti — sans parler de celle du consentement — est de plus en plus bafouée.

Défi : circulation des données à l'échelle mondiale

Un autre défi s'y rattache : il n'y a plus de frontières pour les données. Avec les entreprises virtuelles et l'informatique dans les nuages, la circulation des données est instantanée et mondiale.

En menant plusieurs de nos activités courantes, comme l'envoi de courriels, les recherches sur Internet ou les achats en ligne, nous transmettons nos renseignements personnels à l'étranger, sans trop s’en rendre compte.

Certains de ces renseignements se retrouvent dans des pays où le régime de protection est moins rigoureux que le nôtre. Par conséquent, les Canadiennes et les Canadiens risquent de perdre certains de leurs droits coutumiers en matière de protection de la vie privée, comme le droit de demander accès à leurs renseignements et de contester leur exactitude.

Défi : changements sociaux

Je tiens à parler d'un autre catalyseur de changement. Les normes sociales sur les notions de protection de la vie privée et des renseignements personnels ont rapidement évolué au cours de la dernière décennie.

Aujourd'hui, la plupart des gens veulent être en ligne d’une manière ou d’une autre. Il y a dix ans, il arrivait qu'on demande à quelqu'un : « Avez-vous une adresse de courriel? » Aujourd'hui, il est pratiquement inconcevable que quelqu'un ne soit pas en ligne.

Mais on constate des différences surtout par rapport à ce que les gens font en ligne — et la mesure dans laquelle ils sont prêts à échanger leurs renseignements personnels.

Bien sûr, il ne faut pas généraliser, mais je pense qu'il est juste d'affirmer que les jeunes en particulier semblent entretenir une conception plus libérale de la protection de la vie privée. Ils sont généralement les premiers à adopter les applications qui diffusent qui ils sont, où ils sont, ce qu'ils font et ce qu'ils pensent.

Cela dit, toutefois, je m'oppose fermement au discours à la mode dans certains milieux proclamant le décès de la protection de la vie privée.

Les sondages que nous avons menés prouvent que la protection de la vie privée demeure une valeur profondément ancrée en nous.

Peu importe la façon dont les gens choisissent d'agir, ils croient fermement que ces choix leur appartiennent. De plus en plus, la communication de renseignements personnels se résume à deux enjeux : l’avis et le consentement.

À titre d'exemple, pensez à ce qui se passe lorsqu'un site de réseautage social apporte des modifications à sa politique de confidentialité. Ces changements ne laissent pas les utilisateurs indifférents.

Ces utilisateurs ont tendance à faire beaucoup de bruit, et les entreprises seraient sages de les écouter.

Défi pour les organismes de réglementation

Ces tendances ont des répercussions majeures sur le travail des organismes de réglementation. Le Commissariat, par exemple, a reçu des plaintes contre des entreprises en ligne qui ne sont pas présentes physiquement au Canada, ou à peine.

Dans le cadre de notre enquête sur Facebook l'été dernier, nous avons réussi à obtenir qu'une société américaine s'engage à respecter nos lois. Par contre, dans le cas d'un courtier de données en ligne appelé Abika.com, nous avons dû nous tourner vers la Federal Trade Commission des États-Unis pour l'application des lois.

Un autre problème majeur pour les organismes de réglementation, c'est que sous prétexte de la mise en œuvre de nouvelles technologies, les cadres de protection de la vie privée existants sont tout simplement ignorés. Plus souvent qu'autrement, on a l'impression que personne ne s'est donné la peine de réfléchir aux répercussions possibles sur la protection de la vie privée.

Entre-temps, à titre d’organismes de réglementation, nous avons souvent les mains liées. Nous abordons un problème mondial avec, dans la plupart des cas, des solutions locales. Et nous sommes équipés d'outils du XXe siècle pour entreprendre une opération du XXI^e siècle.

Heureusement, jusqu'à présent, la grande majorité du monde des affaires fait de son mieux pour comprendre les règles et s'y conformer. Mais ils sont, eux aussi, contrariés par le manque de clarté, d'harmonie et l'imprévisibilité des régimes mondiaux de protection des données.

C'est pourquoi à Ottawa, nous explorons divers moyens d'accroître la collaboration avec les autorités de protection des données — au niveau provincial, ainsi que dans d'autres pays. Il faut créer des règles et des normes communes, ainsi qu'élaborer une approche cohérente et commune pour l'exécution des lois.

J'en parlerai davantage plus tard.

Contexte réglementaire

Voyons où nous en sommes.

Au niveau fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques régit la protection des renseignements personnels dans le secteur privé depuis neuf ans.

Jusqu'à présent, la LPRPDE a rempli son mandat, malgré un environnement davantage mondialisé et complexe. À plusieurs reprises, nous avons pu faire appliquer la loi à des technologies et à des modèles d'entreprises qui n'existaient pas lorsque la LPRPDE est entrée en vigueur.

Nos enquêtes sur Facebook, celle de l'été dernier et celle en cours maintenant, soulignent l'efficacité de l'approche souple et fondée sur les principes de la LPRPDE.

La vérité, toutefois, c'est que jusqu'à maintenant, nos succès ont reposé sur la coopération et la bonne volonté des organisations qui ont accepté de se soumettre à la loi canadienne en matière de protection de la vie privée.

Est-ce que ce sera toujours le cas?

C'est peu probable. Il suffit de penser à tous les polluposteurs et autres cybercriminels qui s'attaquent aux plus vulnérables. Qui sont-ils? Où sont-ils?

Modifications à apporter à la LPRPDE

Heureusement, la LPRPDE n'est pas une loi statique. Elle renferme une disposition qui exige que le Parlement procède à son examen périodiquement.

On s'attend à ce que plusieurs modifications importantes émergent de ce processus. Certaines ont frôlé l'adoption dans le cadre du projet de loi C-27 visant à créer la Loi sur la protection du commerce électronique (LPCE). Les mesures ont été stoppées avec la prorogation du Parlement. Mais nous nous attendons à ce qu’elles reviennent à l'ordre du jour quand l'activité reprendra sur la Colline, au printemps.

L'une des mesures m'accorderait un pouvoir discrétionnaire quant au choix des plaintes sur lesquelles enquêter. Cela me permettrait de mettre de côté certaines plaintes particulières en vue de régler des problèmes systémiques de protection de la vie privée.

Une autre mesure nous permettrait d'échanger des informations avec d'autres autorités, qu'il s'agisse de commissaires provinciaux, d'autres institutions fédérales ou des autorités internationales.

Une troisième mesure attendue dans le cadre d'un ensemble de modifications à la LPRPDE obligerait les entités commerciales à signaler des cas graves d'atteinte à la protection des données. À l'heure actuelle, le signalement en cas d'atteinte à la vie privée se fait sur une base facultative, mais compte tenu de l'augmentation exponentielle du stockage de données, un régime obligatoire est plus que nécessaire.

Structure administrative

Tandis que nous cherchons à peaufiner la loi, le Commissariat procède à l'examen de sa propre structure et de ses fonctions d'autorité de protection des données.

Devrions-nous, par exemple, continuer sur la même voie, soit de miser sur mon rôle d'ombudsman? Ou devrions-nous faire valoir auprès du Parlement la nécessité de pouvoirs renforcés en termes d'application de la loi et d'ordonnances?

Nous avons fait appel à deux universitaires — Lorne Sossin, de l'Université de Toronto, et France Houle, de l'Université de Montréal — pour étudier le contexte économique, juridique et politique dans lequel la LPRPDE a été adoptée, et de le comparer à l'environnement dans lequel nous nous trouvons maintenant.

Ils se pencheront entre autres sur la question de l'émergence de la réglementation non impérative, qui se situe quelque part entre les pouvoirs législatifs et judiciaires du gouvernement.

Il est généralement avancé, par exemple, que le système judiciaire accusatoire ne convient plus vraiment aux problèmes auxquels nous sommes confrontés. Il est trop lourd, trop coûteux, et les tribunaux ne saisissent peut-être pas pleinement les enjeux complexes et spécialisés qui forment notre quotidien.

En revanche, la réglementation non impérative se fonde sur des outils tels que les codes types, les pratiques exemplaires, les processus informels de résolution des différends, et d'autres moyens de réparation.

Les professeurs Sossin et Houle comparent notre modèle réglementaire à ceux qu'on retrouve dans certaines provinces et dans d'autres pays. Ils espèrent soumettre le rapport final d'ici quelques mois, et il sera rendu public.

Développements aux États-Unis

En effet, il est toujours prudent d'étudier les expériences des autres en d'en tirer des leçons.

Aux États-Unis, par exemple, il n'existe pas de loi exhaustive sur la protection des données régissant le secteur privé. Toutefois, des développements prometteurs sont en cours.

Récemment, Lydia Parnes, l'ancienne directrice du Bureau of Consumer Protection (Federal Trade Commission), a prédit que la FTC commencerait à sévir dans les cas d'atteinte à la vie privée, recourant aux procédures judiciaires lorsque les négociations ne s'avéreraient pas efficaces.

Son successeur à la FTC, David Vladeck, a convenu que le moment est venu pour l'Organisation d'élaborer un nouveau cadre pour les questions de protection de la vie privée. Depuis sa nomination l'année dernière, M. Vladeck a fait valoir que la protection des données ne se limitait pas aux risques de préjudice pour les consommateurs, mais qu'il était question de la dignité humaine et du droit à la vie privée.

Faisant preuve de mordant, la FTC et d'autres organismes de réglementation ont adopté les « Red Flag Rules », des règles exigeant que les institutions financières et les créanciers élaborent et mettent en œuvre des programmes officiels de prévention du vol d'identité.

Réactions dans le monde

Peu importe ce que les pays choisissent de faire au sein de leurs propres frontières, il devient de plus en plus évident que ça ne suffit pas. La circulation mondiale des données nécessite l'émergence de solutions mondiales.

La vérité, c'est que par le passé, la rivalité entre les blocs commerciaux et les fiefs nationaux établis par plusieurs oligarques de la vie privée ont nui à une collaboration fructueuse.

Toutefois, de grands changements sont en cours.

Des efforts très gratifiants sont effectués à l'échelle internationale pour trouver un terrain d'entente. Nous assistons à des travaux de normalisation et à une coopération plus étroite dans l'application des lois. Le dialogue s'est accru entre les autorités de protection des données et d'autres intervenants d'intérêt, y compris des universitaires, des entreprises, et des défenseurs de la vie privée.

Permettez-moi de vous donner un rapide aperçu de quelques-unes des principales initiatives en cours dans le monde.

L'initiative espagnole

Récemment, à Madrid, des douzaines d'autorités de protection des données ont souscrit à un projet de norme internationale relative à la protection de la vie privée.

Baptisée « l'initiative espagnole », la norme a été élaborée par un groupe de travail international en collaboration avec divers intervenants, dont le Commissariat canadien.

Parvenir à une entente sur les principes généraux de protection des données représentait un premier pas important vers une approche harmonisée de la protection des données.

Fait intéressant, il ne s'agissait pas d'un cas ou des organismes de réglementation cherchaient à imposaient des règles à des entreprises récalcitrantes.

Au contraire, dans le cadre des préparatifs de l'événement, dix sociétés multinationales — dont Oracle, Microsoft, Google, IBM, Walt Disney, Procter & Gamble et General Electric — ont signé une lettre à l'appui de règles de ce genre, avançant que cela procurerait dans une certaine mesure une certitude juridique pondérable.

Ils ont fait valoir qu'un ensemble de règles bien comprises et communes à plusieurs juridictions favoriserait à la fois la protection des données personnelles et la circulation fluide des données.

APEC

D'importants travaux se déroulent également au sein du groupe de Coopération économique Asie-Pacifique, auquel siège le Canada. Nous voulons nous assurer que les renseignements personnels de la population canadienne sont protégés partout où il sont en circulation et, de plus en plus, ils circulent chez nos voisins de la zone Asie-Pacifique.

Les 21 membres de l'APEC sont à des stades de développement très différents. Le Canada, la Nouvelle Zélande, l'Australie et Hong-Kong ont des régimes de protection de la vie privée à peu près comparables, mais la majorité des économies de l'APEC n'ont pas de loi en la matière.

Le sous-groupe sur la protection de la vie privée de l'APEC travaille sur les règles transfrontalières de protection de la vie privée qui régiraient la circulation transfrontalière et faciliteraient la coopération entre les autorités d'application de la loi.

OCDE

L'Organisation de coopération et de développement économiques, quant à elle, a joué un rôle de premier plan dans le développement des solutions mondiales aux questions de protection de la vie privée et de sécurité.

En effet, l'OCDE a ouvert la voie il y a 30 ans en adoptant des Lignes directrices sur la protection de la vie privée et les flux transfrontières de données à caractère personnel. Ces lignes directrices, fondées sur des principes dont la LPRPDE fait écho, ont jusqu'ici résisté à l'épreuve du temps.

L'OCDE prévoit une série d'événements pour lancer une discussion sur la façon dont les lignes directrices ont été mises en pratique.

À mon grand plaisir, on m'a invitée à diriger un groupe de volontaires qui aidera l'OCDE dans la planification de ces événements.

Entre autres choses, le Commissariat participera à la rédaction d'un document de travail de l'OCDE décrivant le nouvel environnement de la protection de la vie privée et les défis à la protection des renseignements personnels au XXI^e siècle.

Autres initiatives internationales

D'autres initiatives sont susceptibles d'influer sur la protection de la vie privée à l'échelle internationale.

• Par exemple, l'Organisation internationale de normalisation travaille sur des normes et des lignes directrices pour traiter les questions de sécurité relatives à la gestion de l'identité, la biométrie et la protection des renseignements personnels. Le Commissariat participe activement à ces efforts.
• Entre-temps, la nouvelle commissaire européenne chargée des droits fondamentaux, Viviane Reding, a affirmé qu'elle ferait de la protection des données et de la protection de la vie privée en ligne une priorité absolue. Elle a manifesté son soutien à la révision de la Directive européenne de 1995 sur la protection des données. La modification de caractéristiques particulières au modèle européen pourrait faciliter l'avènement d'une approche globale harmonisée.
• Nous sommes aussi impliqués dans une autre initiative internationale intéressante : The Accountability Project (« Projet responsabilité »). Piloté par Marty Abrams du Center for Information Policy Leadership, basé aux États-Unis, le projet nourrit la réflexion sur ce que signifie pour une organisation d'être responsables des renseignements personnels qu'elle recueille, et comment elle peut démontrer sa responsabilité auprès des autorités de protection des données et des particuliers.

À la croisée des chemins

Si nous pensons en termes de décennies, 2010 est un moment idéal pour faire le point.

Il y a dix ans, alors que le Parlement mettait la touche finale à la LPRPDE, nous vivions dans un monde très différent.

Aujourd'hui, la protection des données personnelles se heurte à des défis sans précédent issus de la technologie, de la mondialisation, et des normes sociétales en constante évolution.

En même temps, on reconnaît de plus en plus que les renseignements personnels constituent une marchandise et qu'ils ont une valeur monétaire.

En effet, les renseignements personnels sont devenus le principal atout commercial des sites de réseautage social et des moteurs de recherche gratuits en ligne, donnant naissance à un tout nouveau secteur économique : le suivi, le profilage et le ciblage des consommateurs pour divers types de publicité comportementale.

Et ce ne sont que quelques exemples d'utilisations légitimes. Les renseignements personnels ont énormément de valeur aux yeux des polluposteurs, des voleurs d'identité, des fraudeurs et autres cybercriminels.

Voilà pourquoi il est nécessaire de protéger mieux que jamais les renseignements personnels.

Sans protection adéquate, les risques sont considérables; ils affecteront la confiance des consommateurs, le commerce mondial et, bien sûr, certains des droits fondamentaux sur lesquels comptent les Canadiennes et les Canadiens.

Malheureusement, une grande partie du monde en dehors de l'Amérique du Nord et de l'Europe ne dispose pas actuellement de règles adéquates visant le traitement de cette marchandise précieuse.

Mais, à l'instar des économistes qui prédisent la fin de la récession, je vois poindre quelques signes encourageants.

Conclusion

Je prédis que la décennie à venir verra émerger une approche plus concertée, cohérente — et, en bout de ligne, couronnée de succès — à la protection des renseignements personnels.

Nous serons témoins d'une plus grande collaboration, au Canada comme à l'étranger. Nous verrons le dialogue international s'intensifier, englobant tous les acteurs qui doivent s'asseoir à cette table.

On ne verra pas apparaître une norme mondiale, unique et exécutoire en matière de protection de la vie privée du jour au lendemain — on ne le verra probablement jamais.

Mais nous devons agir rapidement et résolument en ce sens. Nous devons travailler au sein d'une variété de forums, viser des approches qui, à tout le moins, seront cohérentes, harmonisées, même si elles traduisent des valeurs sociales et culturelles différentes.

Un ensemble solide et cohérent de principes et de lignes directrices, adoptés partout dans le monde, contribuera grandement à préserver et promouvoir le droit à la vie privée des Canadiennes et des Canadiens.

Le Canada devrait continuer à œuvrer activement à ces travaux d'une grande importance.

Je vous remercie de votre attention.