Résumé des mémoires sur le consentement

Contexte

En mai 2016, le Commissariat à la protection de la vie privée du Canada a publié un document de discussion et un avis de consultation sur le consentement en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Il invitait alors les organisations, les personnes, les universitaires, les groupes de défense des droits, les spécialistes des technologies de l’information, les éducateurs et les autres parties intéressées à lui faire part de leur opinion. Après avoir analysé certains « défis » associés à l’obtention d’un consentement valable, le document de discussion posait quatre questions auxquels les intervenants étaient priés de répondre :

  1. Parmi les solutions proposées dans le présent rapport, lesquelles présentent selon vous le plus d’avantages? Veuillez expliquer pourquoi.
  2. Avez-vous d’autres solutions à proposer pour relever les défis associés au consentement? Veuillez expliquer.
  3. Quels rôles, responsabilités et pouvoirs devrait-on attribuer aux parties chargées de promouvoir l’élaboration et l’adoption de solutions pour mettre en place le système le plus efficace possible?
  4. Le cas échéant, quelles modifications devrait-on apporter à la législation?

Le Commissariat a reçu 51 mémoires, dont environ la moitié émanait d’entreprises ou d’associations représentant des entreprises et quatre, de groupes de la société civile. Les autres mémoires provenaient d’universitaires, de membres du milieu juridique, d’organismes de réglementation et de particuliers.

Sommaire

Un grand nombre de mémoires représentant différentes circonscriptions reconnaissent que la complexité croissante de l’environnement pose des défis pour la protection de la vie privée et le modèle de consentement. Toutefois, les points de vue exprimés dans les mémoires et par les différents intervenants varient grandement en ce qui concerne la façon dont on peut ou on devrait relever ces défis.

Les mémoires déposés par les entreprises mettent généralement l’accent sur l’approche souple et neutre sur le plan technologique adoptée dans la LPRPDE et louent cette approche. Selon une entreprise, [traduction] « le cadre législatif actuel prévoit encore un système viable et laisse une marge de manœuvre suffisante pour relever les défis décrits dans le document de discussion ». D’après une autre entreprise, [traduction] « compte tenu du cadre solide, mais flexible, prévu par la LPRPDE […], il n’est pas nécessaire de remanier en profondeur le cadre législatif sur la protection de la vie privée au Canada ni d’adopter une approche trop rigide pour l’interprétation de la LPRPDE ».

De nombreux mémoires émanant du milieu des affaires laissent entendre qu’il est possible de s’attaquer à certains défis sur le plan du consentement mentionnés dans le document de discussion du Commissariat sans avoir recours à la législation. Par exemple, on pourrait donner aux organisations une plus grande liberté de s’en remettre au consentement implicite; le Commissariat pourrait donner une orientation supplémentaire; on pourrait élargir le concept de renseignement auquel le public a accès; ou encore, on pourrait ajouter à la LPRPDE une disposition sur les « intérêts légitimes » s’inspirant de celle de l’Union européenne, en formulant un commentaire sur l’expression « fins légitimes » au paragraphe 4.3.3 de l’annexe 1 de la LPRPDE.

Tout en convenant que la plupart des solutions présentées dans le document de discussion peuvent être mises en œuvre dans le cadre législatif actuel, une minorité d’entreprises estiment que quelques modifications législatives s’imposent. Plusieurs organisations suggèrent de modifier l’article 7 de la LPRPDE pour y inclure une exception concernant les « intérêts commerciaux légitimes ». Un mémoire recommande de modifier l’alinéa 7(2)c) en y envisageant explicitement le traitement analytique des données pour assurer une plus grande « sécurité juridique ».

Les groupes de défense des droits, les organismes de réglementation et certains universitaires recommandent de façon générale un éventail plus vaste de « solutions » pour remédier aux lacunes perçues de la LPRPDE et du modèle de consentement, par exemple en renforçant les pouvoirs d’application de la loi dévolus au Commissariat et en l’exhortant à adopter une approche plus proactive en la matière. En outre, les mémoires de ces groupes mentionnent généralement de façon plus favorable les concepts européens tels que la « portabilité des données » et le droit à l’oubli. Ils s’opposent aux mesures qui pourraient selon eux atténuer les exigences prévues par la LPRPDE en matière de consentement.

À une exception près, aucun des mémoires émanant des entreprises recommande de renforcer les pouvoirs d’application de la loi.

Un certain nombre de mémoires préconisent la protection de la vie privée dès la conception et plusieurs, émanant surtout d’intervenants autres que les entreprises, proposent diverses solutions techniques, par exemple les politiques de confidentialité lisibles par machine qui s’en remettent exclusivement aux données pour définir l’utilisation autorisée et les obligations connexes relatives à l’information à mesure que les données passent d’une partie à l’autre (« marquage des données » ou « données intelligentes »); un système de préférences en matière de protection de la vie privée géré au moyen d’un plugiciel qui communiquerait aux sites Web les préférences d’un utilisateur; et l’utilisation d’accusés de réception du consentement afin d’assurer la transparence du consentement pour ce qui est de son envergure dans tous les pays, tous les domaines et sur l’Internet dans son ensemble.

Deux mémoires sont en faveur de la protection de la vie privée par défaut. Selon celui d’une association de l’industrie, il n’est pas nécessaire d’intégrer officiellement dans la loi la protection de la vie privée par défaut et la protection de la vie privée dès la conception puisqu’il s’agit déjà de pratiques exemplaires reconnues.  

En général, les mémoires présentés par des particuliers prônent eux aussi un renforcement des pouvoirs d’application de la loi. Comme l’a fait remarquer un des particuliers, les commissaires à la protection de la vie privée devraient avoir plus de pouvoirs et vérifier de façon proactive la conformité en matière de protection de la vie privée au lieu de réagir aux plaintes.

Les mémoires émanant du milieu juridique font généralement valoir que la LPRPDE, de concert avec la jurisprudence en évolution, permet de relever les défis mis au jour dans le document de discussion et qu’il n’est pas nécessaire de la modifier.

Thèmes particuliers

On trouvera ci-après les commentaires formulés sur plusieurs thèmes communs. Soulignons toutefois que chaque mémoire n’aborde pas forcément tous les thèmes.

Rationalisation et normalisation des politiques de confidentialité

Plusieurs mémoires analysent des moyens de simplifier les politiques de confidentialité. L’une des suggestions le plus souvent mentionnées consiste à exclure l’information que l’utilisateur connaît déjà. Ainsi, les politiques seraient moins longues et les organisations pourraient accorder la priorité aux utilisations « non évidentes et complexes ». Un mémoire recommande l’adoption d’une approche fondée sur le risque pour simplifier les politiques en mettant l’accent sur la collecte, l’utilisation ou la communication de données susceptibles de porter préjudice à l’individu. Une telle approche aiderait à s’attaquer au « paradoxe du consentement éclairé », formulation employée dans un mémoire émanant du milieu universitaire. [Traduction] « Si on réduit la quantité d’information communiquée, une personne n’est pas pleinement informée; mais si on communique toute l’information, la politique est trop longue pour qu’il soit raisonnable de s’attendre à ce qu’une personne la lise et la comprenne intégralement. »

Quelques mémoires vont plus loin et recommandent d’utiliser des politiques de confidentialité courtes et normalisées. L’un d’entre eux suggère de rédiger une politique de confidentialité normalisée fondée sur les pratiques exemplaires qui décrirait les utilisations et les pratiques courantes. Les organisations pourraient alors indiquer qu’elles se conforment à cette politique normalisée, mais elles seraient tenues de signaler leurs pratiques non conformes à la politique normalisée et d’indiquer si celles-ci sont nécessaires ou non au fonctionnement de l’appareil, du service ou de l’application en question. Dans ce dernier cas, l’individu pourrait consentir ou non à la collecte ou à l’utilisation de l’information. Un mémoire émanant du milieu juridique recommande de conférer au Commissariat le pouvoir d’imposer un formulaire de consentement simplifié.

Solutions techniques

Au nombre des solutions proposées dans les mémoires figurent le « marquage » des données et la limitation de la collecte, de l’utilisation, de la communication et de la conservation de données marquées et non marquées. Certains mémoires font aussi référence au concept d’« accusés de réception du consentement » pour exercer un contrôle sur les choix futurs. D’autres encore recommandent d’utiliser un tableau de bord ou un portail pour surveiller et ajuster les paramètres de confidentialité. Un mémoire suggère par ailleurs d’adopter des mesures techniques pour masquer ou dissimuler certains éléments de données et protéger ainsi uniquement les données qui doivent être protégées tout en permettant d’utiliser en toute liberté les autres éléments de données.

Orientation du Commissariat

De nombreux mémoires renferment des commentaires sur l’importance de l’orientation donnée par le Commissariat et plusieurs recommandent qu’il donne une orientation supplémentaire. Plusieurs mémoires mentionnent expressément l’orientation donnée par le Commissariat concernant la publicité comportementale en ligne, qu’une association commerciale a qualifiée de [traduction] « parfait exemple de la viabilité des exigences actuelles de la LPRPDE en matière de consentement dans un écosystème complexe de données ». Plusieurs mémoires, émanant principalement mais non exclusivement du milieu des affaires, font état de la nécessité d’obtenir une orientation sur la désidentification. Un mémoire parle expressément de la nécessité d’une orientation et d’outils à l’intention des entrepreneurs et des petites et moyennes entreprises.

Une organisation de la société civile recommande que le commissaire soit habilité à délivrer aux frais des entreprises des « lettres d’accord présumé » où il exprimerait une opinion préliminaire sur la conformité à la LPRPDE d’une pratique proposée. Cette organisation recommande de donner une orientation précise sur la durée de conservation de données et les méthodes de retrait, grâce à la vérification des pratiques de conservation des données en ligne.  

Désidentification

Les questions posées dans le document de discussion relativement à la désidentification, aux moyens contractuels pour protéger les données désidentifiée et à l’évaluation des risques de réidentification ont suscité de nombreux commentaires. Comme nous l’avons déjà mentionné, plusieurs mémoires suggèrent que le Commissariat donne une orientation sur des sujets comme les méthodes de désidentification et l’évaluation du risque de réidentification. Quelques-uns mentionnent le « code d’anonymisation » adopté par le commissaire à l’information du Royaume-Uni comme étant un bon exemple d’orientation fondée sur le risque.

D’après plusieurs mémoires émanant d’entreprises et quelques-uns du milieu juridique, l’information désidentifiée ne constitue pas un renseignement personnel. Elle ne devrait donc pas relever du cadre de la LPRPDE et aucun consentement ne devrait être requis. Un mémoire recommande de modifier la LPRPDE (pour éliminer toute incertitude sur le plan juridique) afin d’autoriser expressément les organisations à désidentifier les renseignements personnels sans devoir obtenir un consentement à cette fin.

Tout en convenant que la désidentification et les mécanismes de protection contractuels constituent des stratégies utiles pour réduire le risque de collecte, d’utilisation et de communication autorisées, une organisation de la société civile soutient que ces mesures ne devraient pas être utilisées comme solutions de remplacement du consentement. Le traitement des données aux fins de désidentification en constitue une utilisation et le consentement de l’individu est donc requis. Un autre mémoire signale par ailleurs qu’ [traduction] « une gouvernance efficace exige une compréhension des risques et des avantages associés à l’application des données, que celles-ci permettent ou non d’identifier un individu. »

Marques de confiance et codes de pratiques

Les intervenants ne s’entendent pas sur l’importance des marques de confiance et des codes de pratiques. Dans leur mémoire, certains intervenants du milieu des entreprises s’opposent aux deux. Une entreprise suggère que les codes de pratique sectoriels, les marques de confiance et les sceaux garantissant la protection de la vie privée « universels » ne reflètent pas la diversité des pratiques et les besoins des entreprises dans l‘économie numérique. D’autres mémoires présentés par des intervenants du milieu des entreprises appuient les programmes de marques de confiance volontaires ou les codes de pratique fondés sur les activités élaborés en tenant compte des commentaires des industries cibles.

Un mémoire émanant du milieu universitaire recommande que les codes de pratique et les marques de confiance fassent tous deux partie de la « boîte à outils réglementaires », tandis qu’un membre du milieu juridique estime que ni les codes ni les marques de confiance ne procurent des avantages importants. Une organisation de la société civile rejette le modèle de marque de confiance volontaire sous la direction de l’industrie, mais elle est en faveur d’une marque de confiance supervisée par une organisation crédible, en toute indépendance de l’influence de l’industrie – soit le commissaire à la protection de la vie privée ou une organisation indépendante qu’il superviserait. Une personne exhorte à la prudence en ce qui a trait aux marques de confiance élaborées et administrées par des organismes de l’industrie.

Zones interdites

Les mémoires émanant des entreprises rejettent le concept de zones interdites imposées par une loi ou un règlement, faisant valoir que le paragraphe 5(3) de la LPRPDE assure déjà une utilisation responsable des renseignements personnels et que des zones interdites [traduction] « ne donneraient peut-être pas la flexibilité nécessaire pour fonctionner dans un environnement en constante évolution ».

Les opinions exprimées par les autres intervenants divergent. Les mémoires émanant du milieu juridique qui font référence au concept s’y opposent. Un mémoire du milieu universitaire s’oppose au concept de zones interdites en affirmant que le problème que l’on cherche à résoudre au moyen de ces zones pourrait être réglé plus efficacement si l’on redonnait toute son importance au consentement en accroissant l’information et les mesures volontaires, au lieu de limiter globalement la liberté de choix d’une personne.

Une organisation de la société civile se montre particulièrement favorable aux zones interdites. Elle cite des exemples que l’on pourrait explorer, entre autres l’enregistrement du son du micro ou de la caméra d’un utilisateur, sauf lorsque celui-ci se sert de ces appareils pour obtenir des services d’un site; la publication de renseignements personnels dans le but d’inciter les gens à verser un montant pour faire retirer leur information; la tentative de réidentification de données anonymisées d’un utilisateur; la discrimination envers un utilisateur pour des motifs interdits.

Un mémoire émanant d’un particulier préconise aussi l’établissement de zones interdites.

Évaluations éthiques

Dans l’ensemble, les évaluations éthiques et les cadres éthiques ont obtenu un appui considérable, en particulier compte tenu de l’importance croissante des mégadonnées et de l’Internet des objets.

Selon une association commerciale, un cadre éthique [traduction] « pourrait être utile pour établir une structure d’évaluation du risque et des avantages associés à l’utilisation de renseignements personnels, surtout en ce qui concerne les mégadonnées ». Selon une personne, [traduction] « les mégadonnées peuvent être considérées comme un bien commun » et « un dialogue public s’impose sur l’utilisation éthique des mégadonnées, même sous une forme anonymisée ». Un universitaire préconise l’élaboration et la mise en œuvre d’outils de plus grande portée pour la surveillance et l’évaluation éthique afin d’aider à s’assurer que l’analyse des mégadonnées prend dûment en compte la protection de la vie privée et d’autres valeurs.

En règle générale, les entreprises estiment que les évaluations éthiques sont utiles du fait qu’elles constituent un aspect de la démarche d’une organisation responsable, mais non en tant qu’activité obligatoire menée à bien par un tiers, par exemple un comité d’éthique.

Date de modification :