Modifications de la LPRPDE et modèle théorique de consentement

Charmaine Shaw

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page d’Avis importants.


J’ai lu et je comprends les procédures de consultation.

Le document de travail présente une description détaillée des enjeux et fournit un ensemble complet d’options de solutions. J’offre ci-dessous mon opinion en tant que spécialiste du domaine de la protection des renseignements personnels.

1. Comment devrait‑on traiter la protection de la vie privée dès la conception dans le contexte des lois canadiennes sur la protection des renseignements personnels? Devrait‑on se contenter de promouvoir ce principe comme étant souhaitable dans un régime axé sur la responsabilisation? Devrait-on plutôt en faire une exigence prévue par la loi comme ce sera bientôt le cas en Europe?

Je pense que la normalisation des pratiques liées à la protection de la vie privée dans toutes les administrations présente de nombreux avantages, et que l’adoption de lois sur la protection de la vie privée dès la conception serait conforme à cela. Même si la protection de la vie privée dès la conception est encouragée, les organisations ne sont pas enclines à « faire comme il se doit », surtout si cela entraîne des coûts supplémentaires, à moins qu’il y ait un incitatif. Puisque le rôle du commissaire à la protection de la vie privée a tendance à être réactif, les organismes de réglementation de la protection de la vie privée ont tendance à suivre, plutôt qu’à diriger, les pratiques de l’industrie. Les évaluations des facteurs relatifs à la vie privée (EFVP) sont des outils très utiles, mais le fardeau (et les dépenses) appartient à l’organisation ou à la société qui met en œuvre ou achète une technologie, alors que le propriétaire de la technologie devrait garantir la présence de mesures de protection de la vie privée intégrées et que l’acheteur devrait être tenu responsable de la mise en œuvre d’une manière axée sur la protection de la vie privée. Intervenants : Législateurs

2. Existe-t-il une approche pragmatique axée sur le risque qui pourrait faire varier le niveau de l’exigence en matière de consentement en fonction du risque de réidentification des données?

Je crois qu’il s’agit d’un domaine où il devrait y avoir des « zones interdites » et dans lequel les mesures de protection de la vie privée devraient être harmonisées avec le risque de réidentification. Les ententes contractuelles devraient également faire partie de la solution. Tel qu’il a été énoncé, la vraie dépersonnalisation des données n’est pas nécessairement possible, mais il y a des degrés de sensibilité des données et des probabilités de réidentification qui devraient être pris en considération. Intervenants : Organismes de réglementation

3. Des codes de pratiques sectoriels pourraient-ils renforcer efficacement le consentement ou la protection de la vie privée?

Oui, je suis d’avis que des codes de pratique pourraient être employés pour veiller à ce que les utilisations de l’information soient limitées à celles qui sont autorisées dans les lois sur la protection de la vie privée. De par leur nature, les organisations sont concurrentielles, et elles doivent l’être pour se démarquer. Toutefois, cela a pour effet d’inciter les organisations à copier ce que font leurs concurrents, plutôt qu’à « faire comme il se doit ». Intervenants : Organisations

4. Des comités d’éthique des consommateurs devraient‑ils être mis sur pied?

Oui, je pense que des comités d’éthique des consommateurs, semblables aux comités d’éthique de la recherche, devraient être établis pour assumer le rôle qui consiste à sanctionner la collecte, l’utilisation ou la divulgation de renseignements envisagée par les organisations. Les comités devraient être composés d’agents de protection de la vie privée et de représentants du public, et devraient être financés par le gouvernement ou par une source de financement qui consisterait en des frais recueillis auprès des organisations participantes. Intervenants : Particuliers

Ces mesures permettront d’alléger le fardeau de la découverte et de la responsabilité du consommateur envers l’organisation, et devraient remplacer l’exigence relative au consentement. Les commissaires à la protection de la vie privée devraient avoir des pouvoirs accrus et vérifier le respect de la vie privée au lieu de s’en remettre aux plaintes.

Merci de m’avoir donné l’occasion de fournir de la rétroaction sur cet aspect important des lois régissant la protection des renseignements personnels.

Cordialement,

Charmaine Shaw

Date de modification :