Étude de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Lettre présentée au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au sujet d'une étude de la LPRPDE

Le 2 décembre 2016

Monsieur Blaine Calkins, député
Président, Comité permanent de l’accès à l’information,
de la protection des renseignements personnels et de l’éthique
131, rue Queen, 6e étage
Chambre des communes
Ottawa (Ontario) K1A 0A6

Monsieur le Président,

J’aimerais profiter de l’occasion qui m’est offerte pour proposer quelques domaines d’intervention possibles que le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) pourrait vouloir envisager alors qu’il se prépare à étudier la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Introduction

Comme vous le savez, de par sa conception, la LPRPDE est neutre sur le plan technologique et fondée sur des principes. Il faudrait conserver ces deux qualités puisqu’il s’agit de points forts de la Loi. Toutefois, le rythme des changements technologiques s’accélère sans cesse depuis l’entrée en vigueur de la LPRPDE au début du 21e siècle, si bien que certains points sensibles importants ont une incidence profonde sur la protection de la vie privée.

Au cours de l’étude des médias sociaux menée en 2012 par le Comité ETHI, les membres de ce comité ont entendu parler des changements radicaux dans la manière dont les personnes et les organisations perçoivent et protègent les renseignements personnels à l’ère numérique. Dans son rapport, le Comité fait état de la pression exercée sur le droit des Canadiens à la vie privée en raison de la portée des entreprises numériques qui utilisent Internet et les technologies mobiles pour recueillir et communiquer des renseignements personnels.

L’obtention d’un consentement valable ainsi que la conservation et la suppression de renseignements personnels en ligne comptent parmi les enjeux soulignés dans le rapport du Comité. Le Commissariat à la protection de la vie privée du Canada a aussi porté une attention particulière à ces enjeux en raison de leur importance fondamentale pour le respect de la vie privée des Canadiens.

A. Consentement valable

En 2015, au cours de l’établissement des priorités liées à la vie privée du CommissariatNote de bas de page 1, des personnes et des organisations nous ont dit que la LPRPDE fait face à des défis importants, surtout en ce qui concerne le consentement valable. Des politiques de confidentialité obscures, des flux d’information complexes et de nouveaux modèles d’affaires comprenant une multitude de tiers intermédiaires (par exemple les moteurs de recherche, les plateformes de l’économie du partage et les courtiers en données) ont exercé des pressions sur un modèle de consentement conçu à une époque où l’échange d’information se faisait entre deux parties connues dans le cadre d’une relation commerciale binaire à un moment précis. À l’ère des mégadonnées, de l’infonuagique et de l’Internet des objets, nous ne savons plus très bien qui traite nos données et à quelles fins.

Est-il juste d’imposer aux consommateurs la responsabilité de déchiffrer ce flux de données complexes pour donner ou refuser leur consentement en toute connaissance de cause? La technologie et les modèles d’affaires ont beaucoup évolué depuis la rédaction de la LPRPDE – à un point tel que bien des gens remettent maintenant en question l’efficacité du modèle de consentement conçu à l’origine dans le contexte de transactions commerciales individuelles. Soulignons que 90 % des Canadiens sont préoccupés par le fait qu’ils n’exercent plus de contrôle sur leurs renseignements personnels.

Pourtant, la protection efficace des renseignements personnels dans ce nouveau contexte est essentielle pour préserver la confiance des Canadiens dans une économie numériqueNote de bas de page 2. Pour répondre aux préoccupations exprimées, le Commissariat s’est engagé à déterminer et à explorer les améliorations possibles au modèle de consentement en publiant un document de discussionNote de bas de page 3 et en tenant des réunions avec les intervenants à travers le Canada.

Nous sommes d’avis que le choix individuel et l’exercice de contrôle ont toujours une place dans l’économie numérique, lorsque la personne concernée peut donner un consentement valable. C’est pourquoi notre document de discussion propose un certain nombre de solutions pour améliorer le consentement, par exemple grâce à une information de meilleure qualité en temps plus opportun, à des solutions technologiques ou à la protection de la vie privée dès la conception ou par défaut.

Cela dit, il peut y avoir des situations où l’obtention d’un consentement n’est pas réaliste. Afin de préserver le respect de la vie privée dans ces situations, notre document propose des solutions possibles pour remplacer le consentement, notamment la notion énoncée en droit européen selon laquelle le traitement de données est autorisé sans consentement s’il est nécessaire à des fins légitimes et ne porte pas atteinte aux droits des personnes concernées. Notre document fait également état de solutions pour renforcer la reddition de comptes par les organisations et améliorer la gouvernance, par exemple grâce à des codes de pratique ou à des comités d’éthique.

Nous avons reçu 51 mémoires en réponse à notre document de discussionNote de bas de page 4 dont environ la moitié provenait de l’industrie. Les autres émanaient d’universitaires, de membres du milieu juridique, d’organismes de réglementation, d’organismes de la société civile et de particuliers. Nous avons également tenu quatre des cinq réunions prévues avec des intervenants. Après avoir pris connaissance des mémoires et entendu les discussions en table ronde, il apparaît clairement que de nombreux intervenants reconnaissent que la complexité croissante de l’environnement numérique pose des défis pour la protection de la vie privée et le modèle de consentement. Là où il y a divergence d’opinion, c’est en ce qui concerne la façon de relever ces défis.

Les entreprises mettent généralement l’accent sur l’approche souple et neutre sur le plan technologique préconisée par la LPRPDE. Selon elles, le cadre législatif actuel est adéquat et il est possible de s’attaquer aux défis sur le plan du consentement sans modifier la Loi.

Les entreprises proposent entre autres de donner aux organisations plus de latitude pour s’en remettre au consentement implicite, d’accorder plus d’importance à l’anonymisation ou d’élargir le concept d’information accessible au public. Ces concepts trouvent tous un écho dans la LPRPDE, mais il y aurait lieu d’examiner de façon plus approfondie la mesure dans laquelle le fait d’étendre leur utilisation contribuerait à accroître les mesures de protection de la vie privée.

Toutefois, les groupes de défense des droits, y compris certains universitaires, sont plus enclins à remettre en question le statu quo et à recommander un éventail plus vaste de solutions pour remédier aux lacunes perçues de la LPRPDE et du modèle de consentement, par exemple le renforcement des pouvoirs d’application de la loi en général. Certains font valoir que les commissaires à la protection de la vie privée devraient pouvoir vérifier de façon proactive la conformité en la matière au lieu de réagir aux plaintes ou que le Commissariat soit habilité à exprimer une opinion préliminaire sur une pratique proposée par une entreprise, à la demande de celle-ci.

Un certain nombre d’intervenants préconisent la protection de la vie privée dès la conception et la protection de la vie privée par défaut, tandis qu’une association de l’industrie suggère qu’il n’est pas nécessaire d’intégrer officiellement ces concepts dans la loi puisqu’il s’agit déjà de pratiques exemplaires reconnues. Plusieurs proposent des solutions techniques, par exemple des politiques de confidentialité lisibles par machine, le « marquage des données » et les « données intelligentes » – gérées au moyen de la technologie qui communiquerait aux sites Web les préférences de l’utilisateur.

La plupart des intervenants demandent aussi au Commissariat de préparer un plus grand nombre de documents d’orientation. La question de savoir si cette orientation devrait être juridiquement contraignante a également été abordée.

De nombreux intervenants recommandent la rédaction de politiques de confidentialité abrégées ou à plusieurs niveaux. Pour certains, l’adoption d’une version abrégée des politiques permettrait aux organisations de signaler uniquement les pratiques non conformes qui s’écartent de la norme, en passant sous silence l’information sur des pratiques connues des utilisateurs compte tenu du service offert. D’autres ont suggéré que les avis aux consommateurs devraient mettre l’accent sur des questions de base telle que l’information recueillie, la façon de l’utiliser et ceux avec qui cette information sera partagée. Un mémoire du milieu juridique recommande de conférer au Commissariat le pouvoir d’imposer un formulaire de consentement simplifié.

L’utilité des marques de confiance est loin de faire l’unanimité. On rejette dans une large mesure le concept de zone interdite, mais tous ne s’y opposent pas. Certains se montrent assez favorables aux évaluations éthiques et aux cadres éthiques, en particulier compte tenu de l’importance croissante des mégadonnées et de l’Internet des objets. Toutefois, la forme que pourraient prendre ces évaluations n’est pas aussi évidente et les entreprises semblent s’opposer à ce qu’elles soient obligatoires ou menées à bien par un tiers, par exemple un comité d’éthique.

Les tables rondes sur le consentement seront suivies de discussions de groupe avec des participants partout au pays. Lorsque le processus de consultation sera terminé et que nous aurons eu la chance de regrouper nos résultats, vers le milieu de l’année 2017, nous en ferons volontiers part au Comité.

B. Réputation et respect de la vie privée

Nous avons aussi analysé en profondeur la réputation et le respect de la vie privée en réponse aux nombreuses préoccupations soulevées par les intervenants et au grand débat d’envergure mondiale concernant les effets préjudiciables que la permanence des renseignements en ligne peut avoir sur la vie personnelle et le gagne-pain des gens. Au début de l’année, nous avons publié un document de rechercheNote de bas de page 5 pour faire avancer la discussion sur la meilleure façon d’aider les personnes lorsque des renseignements personnels mis en ligne portent atteinte à leur réputation. Nous avons sollicité des articlesNote de bas de page 6 sur des façons nouvelles et novatrices de protéger la vie privée et la réputation, y compris sur la question de savoir si le droit à l’oubli peut s’appliquer dans le contexte canadien. En vertu de la LPRPDE, une personne a le droit de contester l’exactitude de renseignements et de retirer son consentement, mais il pourrait être nécessaire d’améliorer l’efficacité globale de ce mécanisme compte tenu de l’atteinte à la réputation. Nous élaborons actuellement une position de principe à cet égard. Nous informerons volontiers le Comité de notre point de vue lorsque notre réflexion sera terminée.

C. Pouvoirs d’exécution

La question de savoir si le modèle de l’ombudsman demeure approprié pour le Commissariat a été soulevée à maintes reprises depuis l’essor des modèles d’affaires en ligne. Ma prédécesseure, Jennifer Stoddart, a réclaméNote de bas de page 7 un renforcement des pouvoirs d’application de la loi sous le régime de la LPRPDE. Il pourrait notamment s’agir de prévoir dans la loi des dommages-intérêts ou le pouvoir de rendre des ordonnances ou d’imposer des sanctions administratives pécuniaires (ou une combinaison de ces mesures), afin de maintenir la capacité du commissaire à protéger le droit des personnes à la vie privée dans une économie mondialisée où les menaces à la vie privée se multiplient. Comme vous l’avez constaté dans votre étude sur la réforme de la Loi sur la protection des renseignements personnels, je demande le pouvoir de rendre des ordonnances en vertu de cette loi.

Dans le cadre de la consultation sur le consentement menée par le Commissariat, j’ai demandé aux intervenants de se prononcer sur les pouvoirs dévolus au commissaire en vertu de la LPRPDE. La société civile et le milieu universitaire sont très favorables à un renforcement des pouvoirs du Commissariat pour contrebalancer les défis actuels relatifs au modèle de consentement. Selon les entreprises, le renforcement de ces pouvoirs pourrait modifier leur relation avec le Commissariat et les rendre moins enclines à collaborer avec notre organisme. Comme vous le savez peut-être, mes homologues en Europe et aux États-Unis ont le pouvoir de rendre des ordonnances exécutoires et d’imposer des amendes. Certains de mes collègues provinciaux ont eux aussi le pouvoir de rendre des ordonnances. D’après eux, l’élargissement de leurs pouvoirs d’application de la loi n’a pas eu l’effet que craignent les entreprises canadiennes.

D. Caractère adéquat

Les entreprises qui transfèrent des renseignements personnels de l’Union européenne au Canada peuvent le faire actuellement en raison du caractère adéquat de la LPRPDE en vertu de la Directive relative à la protection des données adoptée par l’Union européenne en 1995. Toutefois, avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’Union européenne en 2018, l’Union européenne devra évaluer en fonction du RGPD le caractère adéquat des mesures de protection prévues par la LPRPDE. Le RGPD renferme certaines dispositions absentes de la Directive actuelle et de la LPRPDE concernant, par exemple, la portabilité des données, l’effacement de données et la protection de la vie privée dès la conception et par défaut. Compte tenu des différences entre les deux textes législatifs ainsi que des répercussions de la décision SchremsNote de bas de page 8 pour les entreprises américaines, l’évaluation par l’Union européenne du caractère adéquat de la LPRPDE est un enjeu urgent susceptible d’avoir de profondes répercussions sur les relations commerciales du Canada avec l’Union européenne.

Conclusion

Enfin, vous trouverez ci-joint une liste de personnes que le Comité pourrait envisager d’inviter à témoigner dans le cadre de son étude de la LPRPDE. Elle comprend des intervenants qui ont participé aux consultations du Commissariat sur le consentement et la réputation. À mon avis, ces spécialistes connaissent très bien les enjeux et ils peuvent offrir au Comité une large gamme de perspectives sur la LPRPDE et la capacité de cette loi d’atteindre un équilibre entre le droit des personnes à la vie privée et le besoin légitime des organisations de recueillir et d’utiliser des renseignements personnels.Figurent également sur la liste, un certain nombre d’autorités de protection des données, au Canada et à l’étranger, qui cherchent toutes à adapter leurs lois respectives en fonction des technologies modernes. Les efforts de modernisation déployés par le Canada ne peuvent se poursuivre en vase clos. C’est pourquoi il est essentiel de comprendre l’orientation adoptée par nos partenaires pour ce qui est d’assurer la protection de la vie privée tout en encourageant l’innovation, la croissance et la confiance dans l’économie numérique.

J’espère que mes commentaires seront utiles au Comité. Je m’exprimerai volontiers davantage sur ces enjeux, entre autres, au cours des mois à venir lorsque j’aurai eu la possibilité de me pencher sur les résultats de consultations menées par le Commissariat et de définir moi même ma position de principe quant à savoir s’il faut moderniser la LPRPDE et, le cas échéant, comment s’y prendre, afin de relever les nombreux défis nouveaux que l’on ne pouvait prévoir au moment de son adoption et de son premier examen.

Veuillez agréer, Monsieur le Président, mes salutations distinguées.

Le commissaire,

(La version originale a été signée par)

Daniel Therrien

p. j.

c.c.: M. Hugues La Rue, Greffier du Comité


Témoins potentiels pour de possibles comparutions dans le cadre de l’étude du Comité ETHI sur la Loi sur la protection des renseignements personnels et documents électroniques

Universitaires et chercheurs :

  • Lisa Austin, Université de Toronto
  • Colin Bennett, Université de Victoria
  • Michael Geist, Université d'Ottawa
  • Samuel Trosow, Université Western

Groupes d'intérêt public :

  • Howard Deane, Conseil des consommateurs du Canada
  • Vincent Gogolek, BC Freedom of Information and Privacy Association
  • Michael Karanicolas, Centre for Law and Democracy
  • John Lawford, Centre pour la défense de l'intérêt public
  • Alexandre Plourde, Option consommateurs

Consultants :

  • Martin Abrams, Information Accountability Foundation
  • Waël Hassan, KI Design
  • Terry McQuay, Nymity

Associations de l'industrie :

  • Chambre de commerce du Canada
  • Association des banquiers canadiens
  • Association du barreau canadien
  • Association canadienne des compagnies d'assurances de personnes
  • Bureau d'assurance du Canada
  • Association canadienne du marketing
  • Association canadienne de la technologie de l'information
  • Bureau de la publicité interactive du Canada

Membres du barreau :

  • Karl Delwaide, Fasken Martineau
  • David Fraser, McInnes Cooper
  • Eloïse Gratton, Borden, Ladner, Gervais
  • Adam Kardash, Osler, Hoskin & Harcourt
  • Kirsten Thompson, McCarthy Tetrault

Présents et anciens commissaires à la protection de la vie privée et à l’accès à l’information :

  • Chantal Bernier, ancienne commissaire à la protection de la vie privée du Canada par intérim
  • Jean Chartier, président de la Commission d'accès à l'information du Québec
  • Jill Clayton, commissaire à l'accès à l'information et à la protection de la vie privée, Alberta
  • Drew McArthur, commissaire à l'accès à l'information et à la protection de la vie privée par intérim, Colombie britannique
  • Jennifer Stoddart, ancienne commissaire à la protection de la vie privée du Canada
  • Catherine Tully, commissaire à l'accès à l'information et à la protection de la vie privée, Nouvelle-Écosse

Gouvernement :

  • Conseil de la radiodiffusion et des télécommunications canadiennes
  • Federal Trade Commission des États-Unis
  • Commission nationale de l'informatique et des libertés, France
  • Bureau du commissaire à la protection de la vie privée de l'Australie
  • Bureau de la commissaire à l'information du Royaume-Uni,
Date de modification :