TECHNET 2000

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 13 avril 2000
Ottawa, Ontario

Gerald Neary
Directeur, Enquêtes et demandes de renseignements

(Le texte prononcé fait foi)


Je suis très heureux de venir vous entretenir aujourd'hui de la situation de la protection des renseignements personnels dans le commerce électronique. Surtout que j'ai de bonnes nouvelles à vous apprendre, pour une fois. C'est que la situation est en train de prendre un cours vraiment encourageant.

Il y a quelques jours, le Parlement a adopté un projet de loi intitulé Loi sur la protection des renseignements personnels et les documents électroniques (qui porte le numéro C-6). La nouvelle loi aura pour effet d'étendre la protection des renseignements personnels au secteur privé, y compris au commerce électronique, un domaine complexe s'il en est et en pleine croissance.

Il n'y a pas si longtemps, j'aurais commencé mon allocution d'une tout autre manière. J'aurais peut-être même pris un ton alarmiste en citant la page couverture du numéro de mars du magazine PC Computing où, en gros caractères, on peut lire ce message sans détours à donner froid dans le dos :

NOUS SAVONS TOUT DE VOUS

Où vous vivez.

Où vous travaillez.

Combien vous gagnez.

Ce que vous achetez.

Ce que vous faites sur le Web.

Votre passé.

Il n'y a pas longtemps, j'aurais pu baser toute mon allocution sur une citation comme celle-là. Voilà en un mot où nous en sommes, aurais-je pu conclure d'un ton pessimiste. Voyez l'état déplorable dans lequel le commerce électronique a fait tomber la protection de la vie privée. Lisez et pleurez. Et, pendant qu'on y est, prenez garde !

Or rassurez-vous, mon discours sera tout autre. Grâce à la nouvelle loi du Parlement, qui assoit la protection des renseignements personnels sur des bases beaucoup plus solides. Mon message aujourd'hui sera beaucoup plus positif et plus encourageant.

Ce n'est pas que le message alarmiste ne soit plus vrai. Au contraire, des voix s'élèvent pour dire que le commerce électronique fait bien peu de cas de la protection de la vie privée. Selon certaines, de nombreuses entreprises - et pas seulement celles qui se livrent au cybercommerce - en savent beaucoup et cherchent à en savoir plus que nécessaire sur les individus. Elles laissent entendre que nombre d'entreprises ont une attitude intéressée et désinvolte face à la vie privée de leurs clients ou de leurs employés et qu'elles utilisent et communiquent des renseignements personnels d'une manière carrément outrancière. Quoi qu'il en soit, il n'en demeure pas moins que les risques de voir les entreprises abuser des renseignements personnels et violer le droit à la vie privée tendent à augmenter presque chaque jour par le jeu des technologies qui s'insinuent de plus en plus dans notre quotidien. Oui, la vérité effrayante et déplorable est que votre vie privée court un danger considérable dans l'univers du commerce électronique et au sein du secteur privé en général.

Je présume que rien de cela n'étonnera un auditoire aussi perspicace que le vôtre. J'imagine que vous êtes plus ou moins au courant de la situation actuelle, du moins suffisamment pour être assez prudent. Quoi qu'il en soit, je sais que je pourrais employer mon temps aujourd'hui d'une manière bien plus constructive qu'en m'attardant aux aspects négatifs et effrayants. Le 4 avril 2000, le Parlement a adopté un nouveau texte de loi qui donne un nouvel espoir de voir la vie privée protégée, non seulement dans le commerce électronique mais dans l'ensemble du secteur privé. Cette loi, loin d'être une panacée, n'en demeure pas moins une force positive qui a selon moi le potentiel nécessaire pour rehausser de plusieurs crans les normes de protection des renseignements personnels dans le secteur qui a l'audace de s'appeler privé.

Permettez-moi maintenant de vous présenter la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques.

Je me réjouis particulièrement de l'avènement de cette loi car j'y aurai un rôle à jouer. Le commissaire fédéral à la protection de la vie privée s'est en effet vu confier des responsabilités de surveillance qui ressemblent beaucoup à celles qu'il assumait dans le cadre de la Loi sur la protection des renseignements personnels. Le commissaire et son personnel vont donc s'aventurer dans un territoire nouveau et combien intéressant. En ce qui me concerne, je suis très heureux d'élargir mon action au-delà de la sphère fédérale et de faire face aux nouveaux défis que le secteur privé ne manquera pas d'offrir.

Pour juger de la nouvelle loi avec tous les espoirs qu'elle porte, il serait bon que vous ayez une idée de la loi existante dont la nouvelle s'inspire largement en ce qui concerne les valeurs fondamentales que sont les pratiques équitables en matière d'information, soit la Loi sur la protection des renseignements personnels. Avant de parler des nouvelles tâches qui nous attendent mes collègues et moi, j'aimerais faire un bref survol historique de la loi qui nous a tenus occupés jusqu'ici. Pour certains d'entre vous, j'imagine que ce sera simplement un rappel.

La Loi sur la protection des renseignements personnels est en vigueur depuis 1983. C'est le commissaire à la protection de la vie privée du Canada qui est chargé d'en superviser l'application. Le commissaire est un haut fonctionnaire du Parlement, qui relève directement du Parlement et non d'un ministre de la Couronne.

Le titulaire du poste est Bruce Phillips, dont le mandat vient à terme après bonne dizaine d'années. Je sais, de par mes contacts personnels et professionnels avec lui, que le commissaire Phillips est extrêmement heureux d'avoir suffisamment persévéré dans ses fonctions pour assister à l'adoption de la Loi sur la protection des renseignements personnels et les documents électroniques. L'élargissement de l'influence du Commissariat à la sphère privée constitue le point d'orgue de la brillante carrière du commissaire dans la domaine de la protection de la vie privée.

Essentiellement, la Loi sur la protection des renseignements personnels régit la manière dont les institutions fédérales peuvent recueillir, utiliser et communiquer les renseignements personnels sur les citoyens canadiens. Quant aux citoyens eux-mêmes, la Loi leur accorde un droit d'accès aux renseignements détenus sur eux par le gouvernement fédéral, et un droit de demander de faire corriger toute information erronée.

La Loi confère au commissaire à la protection de la vie privée le pouvoir de vérifier si les institutions fédérales se conforment à ses dispositions. Elle fait également obligation au commissaire d'examiner les plaintes déposées par les citoyens pour manquement à la Loi.

Les citoyens peuvent par exemple déposer une plainte officielle auprès du commissaire s'ils estiment qu'une institution fédérale leur a refusé indûment l'accès à leurs renseignements personnels, ou qu'elle a mis trop de temps à les leur fournir, imposé des restrictions inacceptables, ou refusé d'en corriger les erreurs.

Ils peuvent également porter plainte parce qu'une institution gouvernementale a recueilli des renseignements personnels sur eux qu'elle n'aurait pas dû recueillir ou a détruit des données qu'elle n'aurait pas dû détruire, ou utilisé ou communiqué des données à des fins autres que celles pour lesquelles elles avaient été recueillies au départ.

Chaque année, le commissaire reçoit des centaines de plaintes de cette nature, que son personnel examine comme il se doit. Il communique par la suite les résultats des examens aux auteurs des plaintes et aux institutions fédérales concernées. Dans la plupart des cas, les plaintes sont résolues à la satisfaction de toutes les parties.

C'est en effet ce que le commissaire à la protection de la vie privée a toujours recherché : non pas l'affrontement, ni l'imposition de son autorité, ni le recours à la manière forte pour faire respecter la Loi sur la protection des renseignements personnels, mais plutôt la résolution des différends. Il cherche à résoudre non seulement les plaintes qu'il reçoit mais, ce qui est plus important peut-être, les problèmes qui en sont à l'origine.

Pour comprendre comment le travail du Commissariat à la protection de la vie privée va s'appliquer au secteur privé, il importe de comprendre le rôle d'ombudsman qu'il a toujours joué. Le commissaire s'est toujours comporté en protecteur du citoyen et non en policier. Vous ne le saviez peut-être pas, mais le commissaire n'a jamais eu de pouvoirs d'exécution. Vous serez peut-être plus étonné encore si je vous dis qu'il n'en veut pas de ces pouvoirs.

Son personnel non plus d'ailleurs. Nous préférons en effet jouer le rôle traditionnel d'ombudsman. Les pouvoirs d'exécution ont tendance à causer des rapports conflictuels et nous savons d'expérience qu'il y a beaucoup d'avantages à pouvoir vérifier et examiner la conduite des institutions gouvernementales sans qu'on nous considère comme des adversaires.

Aux pouvoirs d'exécution le commissaire préfère de beaucoup les pouvoirs d'enquête et de négociation, les pouvoirs de persuasion et de résolution. Parfois, mais seulement lorsque tous les recours ont été épuisés, il fait appel à un autre pouvoir très efficace dont il dispose, celui d'embarrasser par le biais de la publicité. Tout compte fait, le commissaire - comme son personnel - croit que la vraie valeur et l'efficacité du Commissariat dépendent depuis toujours du rôle d'ombudsman conféré au commissaire.

La Loi fédérale sur la protection des renseignements personnels et son pendant dans la plupart des provinces sont l'expression de principes internationalement reconnus et acceptés, qu'il est convenu d'appeler « pratiques équitables de traitement de l'information ». Ces lois ne s'appliquent toutefois qu'à l'information traitée par les pouvoirs publics. De plus en plus, la communauté internationale réclame que ces pratiques valent aussi pour le secteur privé. Or jusqu'à récemment, la réponse du Canada à cet appel est resté cruellement insuffisante. Seule la province de Québec a sanctionné une loi de portée générale sur la protection des données dans le secteur privé.

Comme je l'ai dit plus tôt, la Loi sur la protection des renseignements personnels et les documents électroniques va pallier cette insuffisance de façon magistrale. C'est le plus important texte de loi pour la défense de la vie privée depuis l'adoption en 1982 de la Loi sur la protection des renseignements personnels.

Essentiellement, la nouvelle loi fera obligation aux entreprises du secteur privé de respecter un code de pratiques équitables de traitement de l'information régissant la cueillette, l'utilisation et la communication de renseignements personnels. À cet égard, la nouvelle loi ressemble beaucoup à l'actuelle Loi sur la protection des renseignements personnels qui régit la sphère fédérale, mais elle apporte un élément nouveau de taille : le consentement de l'intéressé. Règle générale, personne ne pourra dorénavant utiliser les renseignements personnels d'un tiers sans son consentement. Autrement dit, les entreprises ne seront généralement pas autorisées à recueillir, utiliser ou communiquer des renseignements personnels sur vous sans vous avoir au préalable expliqué ses intentions et sans avoir obtenu votre consentement explicite.

De plus, les entreprises devront établir une relation ouverte et transparente avec leurs clients en leur expliquant clairement ce qu'elles comptent faire des renseignements personnels les concernant. Elles doivent donner à leur client le nom ou le titre et l'adresse d'une personne responsable des fonds de renseignements et de celle à qui les plaintes et les demandes de renseignements doivent être adressées.

Les citoyens, pour leur part, auront le droit d'accéder aux renseignements personnels qu'une entreprise possède sur eux et de demander qu'ils soient rectifiés s'ils contiennent des erreurs. De plus, l'entreprise doit mettre sur pied un mécanisme par lequel les citoyens peuvent obtenir les renseignements personnels les concernant.

Comme je l'ai dit plus tôt, la nouvelle loi prévoit également un mécanisme de surveillance indépendant, en l'occurrence le Commissariat à la protection de la vie privée du Canada par la voie de son commissaire. Les pouvoirs et responsabilités du commissaire en vertu de la nouvelle loi ressemblent à ceux prévus dans la Loi sur la protection des renseignements personnels. Il devra examiner les plaintes déposées par les citoyens et faire part de ses conclusions et recommandations dans un rapport. La Loi lui confère des pouvoirs d'assigner des témoins, de faire prêter serment, de recevoir la preuve, de pénétrer dans un établissement et d'examiner les documents. Le commissaire a également le pouvoir de vérifier si les organisations se conforment à la Loi.

Quant aux simples citoyens, la nouvelle loi leur permet de porter plainte devant le commissaire contre une entreprise qui, selon eux, contrevient à une disposition de la Loi sur la protection des renseignements personnels. Le commissaire peut lui-même porter plainte s'il est convaincu qu'il y a des motifs raisonnables de faire enquête dans un dossier en particulier.

En vertu de la nouvelle loi, comme en vertu de la Loi sur la protection des renseignements personnels, commet une infraction quiconque entrave le travail du commissaire durant une enquête ou une vérification, ou élimine des renseignements demandés par une personne. Quant à la nouvelle loi, elle va plus loin en assimilant à une infraction le fait qu'un employeur prenne des mesures de représailles contre un employé (c'est-à-dire qu'il le congédie, prenne des mesures disciplinaires à son encontre ou le désavantage d'une quelconque façon parce qu'il a signalé un manquement à la Loi au Commissariat à la protection de la vie privée ou refusé de contrevenir aux dispositions sur la protection des renseignements personnels, ou parce qu'il est intervenu ou a signifié son intention d'intervenir, pour empêcher une infraction à la Loi).

Par ailleurs, la Loi permet au plaignant, une fois reçu le rapport du commissaire, de faire appel à la Cour fédérale pour obtenir une audience. La Cour, de son côté, dispose de larges pouvoirs pour accorder des réparations. Elle peut, par exemple, ordonner à une entreprise de corriger ses pratiques de traitement de l'information, de publier un avis signifiant les mesures qu'elle a prises ou qu'elle entend prendre pour corriger ses pratiques et d'accorder des dommages-intérêts au plaignant, y compris pour l'humiliation subie.

Si certaines dispositions paraissent rigoureuses, c'est qu'elles reflètent l'importance que la nouvelle loi accorde à la protection des renseignements personnels. En ce qui concerne le recours à la Cour fédérale, il est bon de souligner qu'il existait déjà dans la Loi sur la protection des renseignements personnels, mais qu'il a été peu utilisé. Sur les quelque 20 000 plaintes reçues au Commissariat depuis 1983, moins d'une douzaine se sont révélées si problématiques qu'il a fallu en référer à la Cour fédérale. Le commissaire ne prévoit pas d'augmentation sensible de ce ratio sous le régime de la nouvelle loi.

Il convient également de signaler que le commissaire n'a toujours pas le pouvoir de rendre une ordonnance exécutoire ni d'imposer une amende. En vertu de la nouvelle loi, comme de la Loi sur la protection des renseignements personnels, les pouvoirs du commissaire seront limités à ceux d'un ombudsman. Je le répète, le commissaire et son personnel ne s'en plaindront pas. C'est d'ailleurs ce que nous faisons de mieux.

En fait, nous croyons que dans le secteur privé il sera plus important encore que nous continuions à exercer notre rôle traditionnel de protecteur du citoyen, plutôt qu'un rôle de policier. Il nous faudra continuer d'éviter l'affrontement et l'antagonisme, de rechercher des solutions aux problèmes, plutôt que d'imposer notre autorité. Nous estimons qu'une attitude autoritaire nous desservirait. Si nous devions provoquer une réaction hostile dans les milieux d'affaires en fonctionnant d'une manière arrogante et arbitraire, la nouvelle loi serait vraisemblablement vouée à l'échec. Pour nous, la consultation et la collaboration sont les clés du succès.

L'objectif du Commissariat à la protection de la vie privée n'est pas de forcer le respect de la Loi pour le simple respect de la Loi, mais plutôt de créer et cultiver un état d'esprit qui fera que les entreprises tiendront compte tout naturellement des droits à la vie privée des clients et des employés lorsqu'elles élaboreront et commercialiseront des produits et qu'elles instaureront des pratiques administratives.

La nouvelle loi ne vise pas à entraver le fonctionnement des entreprises, mais plutôt à établir un équilibre raisonnable entre leur besoin légitime de recueillir et utiliser des renseignements personnels et le droit de l'individu à la protection des renseignements personnels le concernant.

Néanmoins, il n'y a pas de doute que cela va exiger des entreprises une bonne dose d'adaptation. La Loi entend offrir une protection aux gens dont les renseignements étaient auparavant peu, pas ou mal protégés. Beaucoup d'entreprises devront changer leur mode de fonctionnement. Elles ne pourront y échapper. Pour respecter les nouvelles obligations auxquelles elles sont assujetties en matière de traitement des renseignements personnels, de nombreuses entreprises vont devoir actualiser leurs pratiques. Personne ne s'attend à ce que ces changements s'opèrent du jour au lendemain, mais ils sont inéluctables.

Bien des entreprises ont déjà pris des mesures en prévision de l'entrée en vigueur du projet de loi. Pour certaines, il s'agit d'un cheminement naturel, puisqu'un élément important de la Loi est le Code type sur la protection des renseignements personnels de la CSA, qui est issu notamment du secteur privé. Bon nombre d'entreprises sont ainsi parties prenantes au Code et, partant, à la nouvelle loi qui l'incorpore.

Nous, du Commissariat à la protection de la vie privée, savons que l'entreprise aura besoin de notre aide pour s'adapter à la nouvelle loi. Ce sera un apprentissage pour tous les intéressés. Au cours des mois qui viennent, le Commissariat s'emploiera à mieux connaître le monde des affaires et à mieux sensibiliser celui-ci au projet de loi C-6 et à son propre mandat. Nous rencontrerons les représentants des secteurs d'activité visés par le projet de loi, nous écouterons leurs doléances et nous rechercherons des solutions propres à rendre la loi applicable pour eux et efficace pour la population canadienne.

Nous sommes confiants que l'entreprise en général réalisera la sagesse de la nouvelle loi. Une chose est sûre : toute entreprise est tributaire de la satisfaction de sa clientèle et la réputation est un atout important, quelle que soit l'entreprise. Elles seront peu nombreuses, croyons-nous, à vouloir risquer d'être singularisées d'une manière ou d'une autre pour avoir bafoué les droits des individus.

Ce n'est pas seulement la menace de plaintes ou de mauvaise publicité, ni le recours possible aux tribunaux qui incitera les entreprises à se conformer à la nouvelle loi. Il est de plus en plus manifeste que les entreprises en viendront à saisir, par leur propre expérience, l'importance de la protection des renseignements personnels pour gagner et conserver la confiance des consommateurs. Selon nous, quand la Loi s'appliquera à tout le monde, la grande majorité des entreprises privées adopteront des principes communs de protection des renseignements personnels, non seulement parce que la Loi l'exige, mais aussi parce que c'est bon pour leurs affaires.

La nouvelle loi octroie deux nouveaux rôles au commissaire à la protection de la vie privée - un rôle de chercheur et un rôle d'éducateur. Jusque-là, le commissaire n'avait pas de mandat officiel, donc pas de ressources, ni pour la recherche ni pour l'éducation, même s'il s'est employé du mieux qu'il pouvait à faire les deux. Or à compter de maintenant, la nouvelle loi oblige le commissaire à entreprendre des recherches sur la protection des renseignements personnels, à en publier les résultats et à éduquer la population sur la protection de la vie privée dans le secteur privé.

Le commissaire considère son nouveau rôle d'éducateur comme essentiel à la mise en application de la Loi. Jusqu'à présent, sans pouvoirs particuliers et sans ressources, il a lutté pour sensibiliser les Canadiens à la problématique des droits à la vie privée et aux faits nouveaux qui les menacent ou les renforcent. Le nouveau mandat est on ne peut plus bienvenu, même s'il ne s'applique qu'à la nouvelle loi et non à la Loi sur la protection des renseignements personnels.

D'après de récents sondages, les consommateurs jugent inquiétantes les pratiques de traitement des renseignements personnels dans le monde des affaires et, plus particulièrement, celui du commerce électronique. Ces inquiétudes tiennent en grande partie au fait qu'ils ignorent à quoi servent les renseignements personnels qu'ils fournissent. Le Commissariat à la protection de la vie privée prendra des mesures pour mieux faire comprendre à la population comment les données personnelles sont utilisées et communiquées. L'un des objectifs du commissaire consiste à faire prendre conscience aux Canadiens des incursions dans leur vie privée et des conséquences sociales qu'elles ont. Le Commissariat a déjà commencé à mettre au point du matériel éducatif que les Canadiens pourront utiliser pour protéger leurs renseignements personnels.

Pour faciliter l'adaptation, l'entrée en vigueur de la nouvelle loi sera échelonnée sur plus de quatre ans. L'an 2000 sera la période d'adaptation, pendant laquelle les entreprises devront inventorier leur pratiques de traitement de l'information et mettre de l'ordre dans leurs affaires.

En 2001, la nouvelle loi prendra effet et s'appliquera d'abord aux seuls clients et employés des entreprises engagées dans des travaux et des chantiers du gouvernement fédéral ainsi qu'aux organisations procédant à des transferts transfrontaliers de renseignements personnels à des fins d'examen. En 2002, l'application de la loi sera étendue aux renseignements médicaux personnels.

En 2004, la Loi sera pleinement appliquée et visera toutes les entreprises qui traitent des renseignements personnels dans les limites d'une province, sauf si cette dernière possède une loi largement similaire.

Je pense que mon monologue a assez duré. Place au dialogue maintenant. Permettez-moi avant de finir de citer un auteur lu récemment, du nom de Will Crooks. J'ignore qui il est exactement, mais j'ai bien aimé ce qu'il a dit : « La chose la plus sacrée qui soit, c'est de pouvoir fermer sa propre porte. »

Ne vous en faites pas, je ne vais pas m'attarder longuement là-dessus. Ma réflexion sur cette analogie n'est pas encore terminée, mais je pense que l'auteur fait allusion aux technologies qui ouvrent de nouvelles portes sans permettre de les fermer. Mais ce qui m'a immédiatement frappé dans cette citation, et c'est sur cela que j'insiste, c'est le parallèle entre la protection de la vie privée et le sacré. Même si vous ne croyez pas forcément au sacré, je suis sûr que vous croyez à certains grands principes supérieurs que nous avons tendance à lui associer ou à lui substituer, soit la dignité, le respect, l'autonomie, la liberté. La protection de la vie privée est un de ces principes supérieurs qui gouvernent notre manière de vivre et façonnent notre personnalité. Je vous exhorte à considérer la Loi sur la protection des renseignements personnels et les documents électroniques non pas seulement comme un simple texte de loi qui régit le traitement des renseignements personnels dans le secteur privé, mais comme un instrument qui permet d'accroître le respect pour l'un des fondements de la société démocratique, c'est-à-dire le droit de contrôler ce que les autres peuvent savoir sur notre compte.

Je serais heureux de répondre aux questions qui ont pu effleurer votre esprit au cours de la dernière demi-heure. N'hésitez pas à me demander n'importe quoi sur la nouvelle loi, les enjeux de la protection des renseignements personnels, le commerce électronique, le Commissariat à la protection de la vie privée, la marque de cigare que le commissaire fume, etc.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :