Projet de loi C-54, Loi sur la protection des renseignements personnels et les documents électroniques

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commissariat à la protection de la vie privée du Canada devant le Comité permanent de l'industrie

Le 2 décembre 1998
Ottawa, Ontario

Bruce Phillips
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)


Je crois que ma présence ici aujourd'hui aura été utile si je parviens à vous convaincre du caractère fondamental de la question qui est en jeu.

Vous aurez un exemplaire de notre mémoire et, naturellement, je laisserai la plus grande partie du temps à vos questions. Mais, puisque la protection de la vie privée est habituellement le domaine du Comité de la justice, j'ai pensé qu'il était indiqué de traiter des fondements moraux de la protection de la vie privée. Pourquoi avons-nous atteint un point où nous avons besoin d'une loi pour assurer la protection des renseignements personnels concernant les Canadiens dans le secteur privé ?

Nous tenons tellement la protection de la vie privée pour acquise dans une démocratie, elle va tellement de soi qu'elle a presque cessé d'être évidente. Pensons-y. La protection de la vie privée est la valeur sur laquelle se fondent le scrutin secret, la confidentialité des rapports médecin-patient, le secret professionnel de l'avocat, la loi sur l'écoute électronique, l'inviolabilité du domicile et la défense acharnée dans notre société de l'autonomie individuelle.

La protection de la vie privée n'est pas la dernière mode de la rectitude politique. Loin de là. Il s'agit d'une valeur humaine fondamentale, que le juge La Forest, de la Cour suprême, décrivait comme étant « au cour de la liberté dans l'État moderne ». Il ne s'agit pas non plus d'un droit individuel dont on jouirait aux dépens de la société dans son ensemble. Le respect mutuel de la vie privée constitue un élément essentiel du respect mutuel qui forme le tissu d'une société libre. Le respect des limites que nous choisissons d'établir autour de nous-mêmes est l'élément qui fait la distinction entre une vie de liberté, d'autonomie et de dignité, et une existence creuse et apeurée sous la menace d'une surveillance oppressive constante.

Le choix de révéler ou de cacher les détails de nos vies est un choix qu'il nous appartient à nous de faire, non à d'autres, non à des entreprises, et encore moins à l'État, sinon dans des cas très limités et exceptionnels.

La protection la vie privée importe. Jamais cette valeur n'a été plus essentielle à la libre existence de l'individu ni plus menacée que dans les sociétés technologiquement avancées dans lesquelles nous vivons. Et jamais les défis et les menaces ne se sont présentés sous des formulations plus apaisantes et plus raisonnables que dans les démocraties attachées à la liberté de parole, aux marchés libres, à la sécurité personnelle, à des programmes sociaux généreux et, menace la pire, à un gouvernement « efficient ».

Nous vivons une époque dangereuse pour cette valeur que nous tenons pour acquise. Pour la sauver, il faut des mesures énergiques. La surveillance, cet outil de tous les régimes totalitaires d'oppression, est maintenant à la portée de quiconque le souhaite et possède les quelques dollars qu'il faut pour acquérir l'équipement sophistiqué nécessaire. Lorsque je parle de surveillance, je ne parle pas des agents en imper ou des caméras omniprésentes, bien que la prolifération des caméras et des microphones en Amérique, tant dans les lieux publics que dans les entreprises, soit étonnante. Ce dont je parle, c'est de la surveillance invisible par le moyen des bases de données informatiques des gouvernements et des entreprises, grandes ou petites.

La capacité des nouveaux systèmes d'information d'enregistrer, d'explorer, d'apparier et de traiter les données a connu une croissance exponentielle depuis l'adoption de la Loi sur la protection des renseignements personnels du Canada. Prenons comme exemple le tout petit commissariat que je dirige. Lorsque la loi est entrée en vigueur en 1983, trois secrétaires avaient des appareils de traitement de texte, le commissaire et un membre du personnel avaient une machine à écrire. Bien que notre équipement n'ait jamais été à la fine pointe, nous étions probablement comme de nombreux autres organismes de l'Administration. Le traitement informatique, lorsqu'il y en avait, se faisait sur des calculateurs centraux qui, malgré leurs dimensions impressionnantes d'alors, ne servaient qu'à stocker et à extraire des données statiques.

Aujourd'hui, tous les employés disposent d'un ordinateur de bureau. Le modèle d'ordinateur de bureau qui constitue la norme de fait a une mémoire vive de 64 megs, une puissance nettement plus grande que les anciens calculateurs centraux. Et dans l'environnement d'un bureau, ces ordinateurs sont rarement autonomes, mais sont reliés dans des réseaux internes qui nous permettent de partager des données. Mais, pour la protection de notre vie privée, ce qui compte, ce n'est pas tant la capacité de mémoire des nouvelles machines que leur capacité de collecter, d'échanger, de traiter, d'analyser et de stocker les données.

Plus les machines peuvent en faire, plus nous cherchons des façons nouvelles et créatrices de les utiliser et d'utiliser les données qui y sont stockées. Il s'agit de ce qu'on pourrait appeler la « propagation des fonctions » ou, pour reprendre les mots de l'auteur W.P. Kinsella, « Si on construit un nouvel appareil, on va lui trouver des utilisations nouvelles et parfois contestables ».

Personne ne pense que les sociétés modernes peuvent vivre sans le traitement électronique de l'information. Mais la contrepartie de l'utilisation de ces systèmes consiste à fournir une protection légale aux individus sur lesquels des renseignements personnels peuvent être amassés, explorés, traités et communiqués souvent, on pourrait peut-être même dire habituellement, à leur insu ou sans leur consentement. Nous faisons maintenant face à un environnement économique, social et technique que peu de députés, de fonctionnaires et de défenseurs de la vie privée prévoyaient il y a seulement dix ans et a fortiori en 1982 lorsque la loi canadienne a été élaborée. Nous avons connu une période d'essor économique, une récession, une reprise et maintenant la grippe asiatique.

L'économie a forcé les gouvernements de toutes les tendances et les entreprises à examiner leurs résultats avec un regard d'acier et un cour de marbre. Nous sommes tous contribuables et consommateurs ici. Nous pouvons certainement appuyer des efforts pour rationaliser et économiser; nous devons tous le faire dans nos vies. Mais à mesure que nos économies se sont mises au régime minceur, nos sociétés sont devenues plus mesquines. Notre attachement tant vanté aux valeurs sociales de soutien mutuel et de compassion et notre capacité de laisser un certain mou dans le système pour protéger nos voisins de privations réelles tout en maintenant nos libertés démocratiques semblent menacés de partout.

Nous semblons aussi être devenus plus craintifs au sujet de notre sécurité. Bombardés par des médias centrés sur les affaires criminelles, malgré les statistiques qui indiquent une criminalité généralement à la baisse, nombreux sont ceux qui semblent disposés à accepter de vivre, ou même qui souhaitent vivre, dans un périmètre plus circonscrit si cela peut garantir leur propre sécurité et celle de leurs familles. Dans cette quête d'une vie à l'abri du risque, nous sommes en train de nous construire des goulags électroniques.

Lorsqu'on offre à une société travaillée par ces pressions des technologies qui promettent de réduire les coûts, de manipuler les consommateurs pour améliorer les résultats, d'attraper les tricheurs et les criminels, d'identifier ceux qui mènent des vies malsaines et d'effectuer l'élagage, ce sont des tentations auxquelles il est très difficile de résister. Le risque que nous courons est de conclure un pacte avec le diable qui nous ferait sacrifier beaucoup plus que les lois sur la protection de la vie privée. C'est la pente douce vers la renonciation à notre liberté. L'effet pourrait être mortel pour l'âme de nos sociétés.

Je ne veux pas avoir l'air trop apocalyptique. Nous entendrons suffisamment d'avertissements apocalyptiques à l'approche du nouveau millénaire. Mais je souhaite que nous envisagions non seulement l'impact de quelques-unes des initiatives particulières dont vous discuterez plus tard, mais aussi leur effet cumulatif sur nos valeurs sociales.

Le dispositif disparate de protection légale au Canada n'est pas de taille à mettre en échec la technologie de l'information actuelle aux mains de gouvernements efficaces, d'entreprises agressives et des nouveaux hybrides. Ces nouvelles entités peuvent être en partie fédérales, en partie provinciales, des entreprises publiques, des entrepreneurs privés ou une combinaison de ces éléments. Quelle est la loi applicable – La réponse simple est : qui sait ?

La Loi fédérale sur la protection des renseignements personnels, dont je surveille l'application, ne couvre que les activités de la plupart des organismes du gouvernement fédéral, mais non de tous. La plupart des provinces, mais non toutes, ont également des lois sur la protection des renseignements personnels couvrant leurs propres activités.

Mais il n'y a qu'au Québec que cette loi couvre aussi le secteur privé. Non seulement cela crée des anomalies, mais aussi cela laisse les 23 millions d'autres Canadiens démunis. Par exemple :

  • lorsqu'une Montréalaise va faire des achats à La Baie, elle jouit d'une meilleure protection de sa vie privée que son cousin de Calgary au magasin local de La Baie;
  • lorsque les renseignements sur son crédit sont envoyés à Equifax, la plus grande agence d'évaluation de crédit au Canada, ces renseignements sont protégés par la loi, ce qui n'est pas le cas pour son cousin de Calgary;
  • notre Montréalaise a le droit à la protection de sa vie privée si elle fait ses opérations bancaires à la caisse populaire locale qui est soumise à la loi québécoise sur la protection de la vie privée, mais son cousin de Calgary n'a aucune protection s'il choisit la Banque de Montréal qui, bien que constituée en vertu d'une loi fédérale, fait partie du secteur privé et n'est donc pas assujettie à la Loi fédérale sur la protection des renseignements personnels.

À l'heure actuelle, je n'ai aucun droit de connaître les renseignements que les entreprises possèdent à mon sujet, ni de savoir comment ils ont été obtenus, s'ils sont exacts, avec qui elles peuvent les partager et comment elles vont les conserver.

Les sociétés commerciales considèrent de plus en plus les données sur les clients comme une ressource qu'elles possèdent et qu'elles peuvent exploiter, utiliser et vendre à leur gré. Plus les renseignements personnels à mon sujet sont largement partagés, plus il est probable qu'on s'en servira pour décider quels services m'offrir, quels avantages je peux recevoir et à quels emplois je peux être admissible, toujours sans ma permission, habituellement sans contribution de ma part et fréquemment à mon insu. Il faut également signaler le danger que ces décisions puissent se prendre sur la base de renseignements erronés, que je n'ai pas le droit de corriger.

En plus d'être disparate, le dispositif de protection légale est mince et plein de lacunes. Or les Canadiens souhaitent obtenir une meilleure protection pour les renseignements personnels les concernant.

Deux facteurs ont incité le gouvernement à agir. Le premier facteur est la future Directive européenne et son impact possible sur les transferts de données vers des pays n'assurant pas une protection suffisante des renseignements personnels, dont le Canada. Le second facteur et, disons-le franchement, probablement le plus décisif, c'est l'avènement du commerce électronique et toutes les possibilités qu'il offre. Le gouvernement a pris conscience qu'une économie fondée sur le savoir est le moteur de la croissance mondiale et il est résolu à faire du Canada « la nation la plus branchée au monde ». Et il veut créer un environnement qui placera le Canada à l'avant-garde du développement du commerce électronique. Cela se comprend, après tout, il y a des emplois et des affaires qui sont en jeu.

Cependant, le gouvernement comprend également qu'il faut inspirer confiance dans le système, car de nombreux Canadiens refuseront de faire des achats ou des opérations bancaires ou de déposer leur déclaration de revenus en ligne, sachant qu'ils risquent de partager leur vie personnelle avec des dizaines de millions de personnes dans le monde entier. Selon une enquête récente, plus de 80 pour cent des personnes interrogées refuseraient de fournir leur numéro de carte de crédit lorsqu'elles font un achat sur Internet. J'avoue que je me pose des questions au sujet des 20 pour cent qui restent. Le nombre de ceux qui refuseraient d'effectuer des opérations électroniquement baisse sous les 50 pour cent lorsqu'on leur offre la possibilité de savoir et de décider comment l'entreprise utiliserait les renseignements personnels les concernant. Encore là, les promoteurs du commerce électronique ont une forte pente à remonter.

La motivation sous-jacente du gouvernement ne m'importe guère : à cheval donné on ne regarde pas la bride. Dans ma réponse à la consultation menée par Industrie Canada au sujet de son document de travail, j'ai donné les conseils suivants :

  • Rester simple. Éviter de constituer des bases de données qui deviendront coûteuses, lourdes et bureaucratiques, et probablement un irritant considérable pour l'entreprise. J'ai également conseillé d'éviter les codes sectoriels, peu pratiques dans l'environnement actuel des affaires en Amérique du Nord;
  • Établir des règles uniformes. La dernière chose dont nous ayons besoin, c'est de paradis pour les bases de données au pays;
  • Concevoir un régime musclé. Le régime doit être placé sous la surveillance d'une autorité indépendante possédant de solides pouvoirs d'enquête, mais il doit rester simple pour les consommateurs et ne pas créer de confrontation avec l'entreprise;
  • Faire assumer le fardeau à l'entreprise. L'entreprise devrait être obligée de traiter les plaintes au départ. Cela lui donnera l'occasion de comprendre les plaintes, de les examiner et, peut-on espérer, de tirer profit de l'expérience. Également, exiger de l'entreprise qu'elle procède à une vérification périodique de ses pratiques en matière d'information et qu'elle prenne les mesures voulues en fonction des conclusions de la vérification;
  • Éduquer le public et l'entreprise. Aucune loi ne sera efficace si elle n'est pas comprise des consommateurs et de l'entreprise. L'entreprise doit assumer la responsabilité première d'informer ses clients et ses employés. J'ai également demandé un mandat spécifique et des fonds en vue de sensibiliser le public. À l'heure actuelle, je n'ai ni le mandat, ni les fonds, et je sais comment cela a entravé notre action.

Je sais que certains se préoccupent du rôle de surveillance qui m'est conféré dans ce projet de loi. J'aimerais donc terminer en vous expliquant comment la fonction de l'ombudsman dans le domaine de la protection de la vie privée. Et j'aimerais vous donner une idée de la façon dont nous exerçons notre activité.

L'ombudsman traditionnel est un fonctionnaire nommé par l'assemblée législative ou le Parlement pour protéger le « petit » contre les erreurs bureaucratiques et les abus de pouvoir. L'ombudsman enquête sur les plaintes du public au sujet de l'injustice de l'Administration, contribuant par là à rétablir l'équilibre entre un citoyen démuni et un gouvernement puissant.

On trouve, dans la plupart des provinces, un ombudsman qui fait enquête au sujet des organismes du gouvernement provincial. Et le gouvernement fédéral a plusieurs « ombudsman spéciaux » (comme le commissaire aux langues officielles et le commissaire à la protection de la vie privée) chargés d'exercer une surveillance dans un domaine particulier.

Mais le modèle a suscité l'intérêt de nombreuses organisations à l'extérieur de l'Administration. Les journaux, les universités et les banques ont nommé des ombudsmans, parce qu'ils y voyaient un moyen efficace de résoudre les plaintes de clients et souvent une occasion d'apprendre quelque chose à la faveur du processus.

Alors, quelle est la différence par rapport aux autres organismes d'enquête ?

Comme les organismes d'enquête, les ombudsmans ont des pouvoirs étendus leur permettant d'interroger toute personne, de la contraindre à témoigner et d'examiner les documents dont ils ont besoin pour établir leurs conclusions.

À la différence de certains organismes qui leur ressemblent en apparence, les ombudsmans ne prononcent pas d'ordonnances et n'infligent pas de sanctions. Les ombudsmans résolvent les différends par la persuasion, en se fondant sur leur compétence, leurs connaissances et leur impartialité. Ce sont des tiers inspirant confiance et respect qui jouent un peu le rôle d'un mécanisme extrajudiciaire de règlement des conflits. Ce ne sont pas des tribunaux administratifs, ni des mini-tribunaux judiciaires. Ils exonèrent souvent le personnel et protègent les organisations contre des accusations injustes. Et leur approche moins formelle rend le processus moins intimidant pour les citoyens, et beaucoup moins coûteux pour l'entreprise.

L'une des plus grandes contributions qu'un ombudsman spécial peut faire, c'est d'aider l'organisation à comprendre la question en cause et à se mobiliser à son sujet. L'ombudsman et son personnel peuvent constituer une ressource précieuse pour les organisations qui sont soumis à leur compétence. La plupart des organisations ne veulent pas agir injustement. Beaucoup n'ont simplement pas conscience que, à l'occasion, leurs actions peuvent causer un préjudice à leurs clients ou à leurs employés. Si on leur donne une chance de réparer le préjudice ou d'améliorer leurs procédures, elles la saisissent.

Selon notre expérience, le modèle fonctionne bien et je crois qu'il se transposera bien dans le secteur privé. Je vois le rôle que nous confie le projet de loi comme celui d'apprendre à l'entreprise l'activité renseignements personnels. Notre première priorité est d'apprendre leur activité comme ils apprennent la nôtre, nous comprenons ce besoin de comprendre.

Notre deuxième priorité est d'aider les sociétés à trouver des solutions conduisant à une meilleure gestion des renseignements personnels et donc à prévenir les plaintes dans toute la mesure du possible. Je m'attends à ce que l'accent soit mis de façon très marquée sur notre rôle d'éducation dans la première année.

Notre troisième priorité est de résoudre les différends de manière efficace. Nous allons compter sur l'entreprise pour traiter les plaintes selon la procédure existante de résolution des différends. Comme la solution des plaintes est notre spécialité, il s'agit d'un domaine où nous avons beaucoup à offrir à nos clients du secteur de l'entreprise.

Nous allons procéder avec prudence. Les ombudsmans ne portent pas de bottes de cavalerie. Mais ils ne portent pas non plus de pantoufles. Nous aurons à l'occasion des désaccords, parfois avec l'entreprise et parfois avec les plaignants. Mais nous serons informés, réceptifs et équitables, comme j'espère que nous l'avons toujours été.

Je veux terminer sur une note intensément pratique : les fonds. Ce régime ne fonctionnera pas si le Commissariat n'a pas les ressources suffisantes. J'en parle avec une expérience considérable. Un financement insuffisant a freiné le Commissariat sûrement pendant toute la durée de mon mandat et, si je ne m'abuse, pratiquement depuis sa création. Mais au cours des cinq dernières années, nous avons atteint un point d'« anorexie budgétaire ».

Votre comité ne sait peut-être pas que, une fois les salaires de nos 38 employés payés, il nous reste 100 000 $ pour la réalisation de notre programme. Le Commissariat enquête sur environ 1 800 plaintes par année et traite annuellement plus de 10 000 demandes de renseignements. Nous nous efforçons de surveiller les pratiques du gouvernement en matière de traitement des renseignements personnels. Nous tentons d'assurer la vigile sur les nouvelles lois et les nouvelles technologies pour évaluer leur incidence sur la protection de la vie privée. Et nous nous efforçons d'éduquer le public au sujet de la loi, de ses droits et des menaces qui pèsent sur la vie privée, avec pour toutes ressources du chewing-gum et de la broche à foin, puisque nous n'avons absolument aucuns fonds pour l'éducation.

Nous avons présenté notre dossier au Conseil du trésor qui convient que nous sommes sous-financés. Notre budget fait maintenant l'objet d'un examen approfondi. Mais l'examen est limité à notre mandat actuel. Il ne prévoit pas de nouvelles tâches. Je vous demande avec insistance de recommander que le Commissariat reçoive le financement nécessaire pour exercer les attributions prévues dans ce projet de loi. En ne le faisant pas, vous risquez de renforcer des attentes de protection de la vie privée auxquelles il sera impossible de répondre. Ce serait simplement nous vouer à l'échec.

Je pense que le régime prévu par le projet de loi peut fonctionner correctement. Nous ne demandons pas mieux que de relever le défi; je vous prie simplement de faire en sorte que nous ayons les outils pour faire le travail.

Merci.

Date de modification :