Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique concernant l’examen de la Loi sur la protection des renseignements personnels et les documents électroniques

Le 16 février 2017
Ottawa (Ontario)

Déclaration de Daniel Therrien,
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Monsieur le président et Mesdames et Messieurs les membres du Comité,

Je vous remercie de m’avoir invité à comparaître dans le cadre de votre examen de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Je suis accompagné aujourd’hui de Patricia Kosseim, avocate générale principale, et de Brent Homan, directeur général des enquêtes liées à la LPRPDE.

Introduction

Comme vous le savez, la LPRPDE est neutre sur le plan technologique et est fondée sur des principes d’application générale. Il faudrait conserver ces deux caractéristiques, car ce sont des points forts de cette loi, qui en font un instrument flexible. Mais depuis son entrée en vigueur au début du 21e siècle, le rythme des changements technologiques s’accélère sans cesse, ce qui remet en cause l’efficacité de la Loi et sa viabilité en tant qu’instrument de protection de la vie privée des Canadiens.

Ces changements technologiques présentent des avantages importants pour les individus. En plus de faciliter grandement les communications, ils donnent accès à une mine de renseignements de toutes sortes ainsi qu’à des produits et services provenant de toutes les régions du globe. Mais les nouvelles technologies créent aussi des risques considérables. Les internautes veulent exprimer leur opinion et faire des recherches sur des questions sensibles comme la santé sans craindre que quelqu’un suive ces activités et en fasse part à des tiers ayant des intérêts opposés aux leurs. En effet, c’est un aspect essentiel du droit à la vie privée que de donner aux individus le choix des personnes ou des organisations auxquelles leurs renseignements personnels seront communiqués.

Les nouvelles technologies promettent aussi des avantages substantiels pour la société. La croissance économique future reposera en grande partie sur la croissance de l’économie numérique. Par exemple, le Canada est bien placé pour devenir un chef de file mondial de l’intelligence artificielle, qui dépend de la collecte et de l’utilisation d’énormes quantités de données. Dans la Déclaration ministérielle de l’OCDE sur l’économie numérique publiée en 2016, les pays signataires se sont notamment engagés à déployer des efforts à l’échelle internationale pour protéger la vie privée, puisqu’ils reconnaissent son importance pour la prospérité économique et sociale. En réalité, la protection de la vie privée est cruciale pour gagner la confiance des consommateurs et permettre l’instauration d’une économie numérique dynamique, forte et concurrentielle.

Pourtant, la grande majorité des Canadiens craignent de perdre le contrôle qu’ils exercent sur leurs renseignements personnels. Dans notre plus récent sondage d’opinion publique, 92 % des répondants ont exprimé des préoccupations au sujet de la protection de leur vie privée; et 57 % sont très préoccupés par cette question. Si nous n’améliorons pas considérablement les mécanismes de protection de la vie privée, les Canadiens n’auront pas la confiance voulue pour que l’économie numérique soit florissante et ils ne profiteront pas de tous les avantages rendus possibles grâce à l’innovation. En fin de compte, leurs droits ne seront pas adéquatement respectés.

Consentement

Le consentement a toujours été considéré comme un élément fondamental de la LPRPDE. En vertu de cette loi, une organisation doit obtenir le consentement d’un individu pour recueillir, utiliser et communiquer ses renseignements personnels, sauf dans certains cas d’exception.

Mais il devient de plus en plus difficile d’obtenir un consentement valable à l’ère des mégadonnées, de l’Internet des objets, de l’intelligence artificielle et de la robotique.

Au moment de l’adoption de la LPRPDE, les interactions avec les entreprises étaient généralement prévisibles, transparentes et bilatérales. Les consommateurs comprenaient bien pourquoi l’entreprise avec laquelle ils transigeaient avait besoin de certains renseignements personnels. Il est maintenant difficile de savoir avec certitude qui traite nos données et à quelles fins.

C’est pourquoi l’applicabilité du modèle de consentement actuel a été remise en question.

Je tiens à préciser qu’à mon avis, le consentement devrait continuer de jouer un rôle important dans la protection de la vie privée, dans les situations où la personne concernée dispose d’information suffisante pour donner un consentement valable. Mais, dans certaines situations, l’obtention d’un consentement valable n’est peut-être pas réaliste. Et, dans des conditions appropriées, il y aurait lieu de vérifier si des solutions de remplacement peuvent protéger autrement la vie privée des Canadiens. Certaines solutions pourraient nécessiter des modifications à la Loi.

Nous avons reçu des mémoires et consulté des intervenants en personne partout au Canada. Ils ont formulé un large éventail de suggestions.  

Par exemple, on pourrait donner aux individus le pouvoir de prendre des décisions en s’en remettant à des avis de confidentialité simplifiés. Ces avis attireraient leur attention sur les pratiques qui s’écartent d’une norme définie ou mettraient en évidence l’information présentant le plus d’intérêt pour les individus (par exemples quelles données sont recueillies, à quelles fins elles sont utilisées et à qui elles sont communiquées).

Pour leur part, les organisations pourraient inciter à une plus grande confiance en protégeant la vie privée dès la conception, en faisant la preuve de leur conformité au principe de responsabilité ou bien en adoptant des codes de pratique de l’industrie.

Certains souhaiteraient que nous donnions davantage d’orientation aux organisations ou que nous favorisions la conformité grâce à des moyens proactifs, par exemple des vérifications. D’autres voudraient que nous ayons des pouvoirs d’application de la loi accrus. Je reviendrai sur ce point. On nous a souvent dit qu’il est essentiel de sensibiliser le public et qu’il faut redoubler d’efforts à cet égard.

Nous analysons ces solutions et de nombreuses autres dans nos conclusions générales sur le sujet. Nous vous ferons part de nos conclusions à la fin de nos travaux – vers le milieu de 2017.

Réputation

La réputation et la protection de la vie privée constituent une autre priorité pour le Commissariat. Notre objectif ultime dans le domaine est d’aider à créer un environnement où les gens pourront se servir d’Internet pour explorer leurs intérêts et se développer comme personnes sans craindre que leur trace numérique n’entraîne un traitement injuste. Comme dans le projet portant sur le consentement, nous avons entrepris nos travaux en publiant un document de discussion et en sollicitant des mémoires.

Bon nombre des mémoires que nous avons reçus renferment des commentaires sur « le droit à l’oubli ». Selon ce concept, qui a vu le jour au sein de l’Union européenne, les individus peuvent demander que certains liens soient retirés des résultats des recherches associées à leur nom. Tout en reconnaissant les préjudices qui peuvent découler d’un « Internet qui n’oublie jamais », les auteurs de certains mémoires ont soulevé de sérieuses préoccupations quant à l’incidence qu’aurait la reconnaissance officielle du droit à l’oubli sur la liberté d’expression.

Les auteurs d’autres mémoires se demandaient même si la LPRPDE s’applique à certains aspects de la réputation en ligne ou aux moteurs de recherche, lesquels constituent des acteurs de premier plan dans ce débat. Ils réclament d’autres solutions, par exemple un recours accru à une législation ciblée pour empêcher des préjudices particuliers (comme celles visant la cyberintimidation et la pornographie de vengeance), une amélioration de la sensibilisation à l’utilisation sécuritaire et appropriée d’Internet (en particulier pour les populations vulnérables) et une bonification des pratiques pour les sites Web et les services en ligne, par exemple les réseaux sociaux.

Nous vous ferons part de notre point de vue lorsque nous aurons arrêté notre position de principe sur le sujet.

Pouvoirs d’application de la loi

J’en reviens maintenant à la question des pouvoirs d’application de la loi. En fait, l’application de la loi est essentielle pour garantir la confiance dans l’écosystème numérique. D’après notre récent sondage, sept Canadiens sur dix seraient enclins à faire affaire avec une entreprise qui s’exposerait à des pénalités financières si elle utilisait à mauvais escient leurs renseignements personnels.

À l’heure actuelle, le Commissariat n’a pas le pouvoir de rendre des ordonnances ni d’imposer des amendes. Sur bien des plans, nous avons moins de pouvoirs que certains commissariats provinciaux ou étrangers. L’industrie craint que les organisations soient moins disposées à collaborer avec nous pour négocier une solution si le législateur nous donne davantage de pouvoirs. Pourtant, ce n’est pas l’expérience que vivent mes homologues des provinces et d’autres pays. Alors, il est peut-être temps de doter le Commissariat de pouvoirs correspondant à ceux d’autres organismes similaires dans le monde.

Cela dit, je crois que la conformité proactive a un rôle important à jouer. Des organisations trouvent des façons novatrices d’utiliser les données en vue d’en tirer profit. Les Canadiens s’attendent à ce que cette activité soit réglementée. Une approche proactive pour surveiller la conformité en amont, avant de recevoir des plaintes, apporterait une plus grande certitude pour le marché et donnerait aux Canadiens l’assurance que l’on tient compte de leurs préoccupations.

Caractère adéquat

Le Règlement général sur la protection des données de l’Union européenne entrera en vigueur en 2018. En vertu de ce règlement, les décisions concernant le caractère adéquat devront être examinées tous les quatre ans. Le caractère adéquat attribué au Canada (qui permet depuis 2001 le transfert de données de l’Union européenne au Canada) devra être revu.

Dans une communication en date de janvier 2017, la Commission européenne signale que le caractère adéquat du Canada est « partiel », c’est-à-dire qu’il s’applique uniquement à la LPRPDE, et que toutes les décisions à venir concernant le caractère adéquat reposeront sur une évaluation exhaustive du régime de protection de la vie privée du pays. Cette évaluation portera notamment sur l’accès des autorités publiques aux données personnelles aux fins d’application de la loi, de sécurité nationale et d’autres objectifs d’intérêt public.

Compte tenu de l’incidence considérable sur le commerce et des différences entre le Règlement général et la LPRPDE, il sera important que le Comité prenne en considération la décision concernant le caractère adéquat de notre pays lorsqu’il poursuivra cet examen.

Conclusion

En conclusion, le professeur Klaus Schwab, fondateur du Forum économique mondial, estime que nous sommes au début de la quatrième révolution industrielle. D’après lui, les démarcations entre les sphères matérielle, numérique et biologique s’estompent et cette transformation ne ressemblera à rien de ce que l’humanité a vécu auparavant.

La LPRPDE était une loi efficace au moment de son entrée en vigueur en 2001. Et elle continue d’offrir une assise solide sur laquelle on peut s’appuyer. Mais je suis d’avis qu’il faut la moderniser pour s’adapter à cette nouvelle révolution – et, à plus forte raison, pour répondre aux attentes des Canadiens en matière de protection de la vie privée.

Date de modification :