Équipement, logiciels et vie privée : les trois composantes des systèmes informatiques

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Conférence annuelle de l'Association Canadienne de Traitement de l'Information (CIPS) : Convergence 2001

Le 14 mai 2001
Calgary, Alberta

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Bonjour.

J'aimerais vous entretenir aujourd'hui de mon rôle de commissaire à la protection de la vie privée, de la signification et de l'importance de la protection de la vie privée et de son intégration aux systèmes informatiques. Nous aurons probablement un peu de temps à la fin pour quelques questions. J'y répondrai au meilleur de ma connaissance.

Le commissaire à la protection de la vie privée est un officier parlementaire; il est nommé pour une période de sept ans au cours de laquelle il se doit d'être le gardien indépendant et le maître d'œuvre du droit des Canadiens et Canadiennes à la vie privée.

Le commissaire à la protection de la vie privée du Canada ne travaille pas pour le gouvernement et ne relève pas non plus de lui. Je travaille pour la population du Canada à qui je rends directement des comptes par l'intermédiaire du Parlement fédéral.

Je suis mandaté pour veiller au respect de l'application de deux mesures législatives très importantes qui protègent la vie privée : la Loi sur la protection des renseignements personnels qui régit le secteur public fédéral, et la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques, qui est entrée en vigueur en janvier et qui reconnaît clairement aux Canadiens et Canadiennes, pour la première fois, le droit de protéger leur vie privée dans leurs rapports avec les organisations du secteur privé.

En vertu de la loi, mon mandat consiste également à sensibiliser le public à tout ce qui concerne la protection de la vie privée, à effectuer des recherches en ce domaine et à donner des avis impartiaux au Parlement et au gouvernement sur certains sujets.

Pourquoi le Canada affecte-t-il un haut fonctionnaire du Parlement à la protection de la vie privée et pourquoi possède-t-il deux lois établissant les droits des Canadiens et Canadiennes en la matière – Qu'y a-t-il de si important dans la protection de la vie privée pour que Parlement s'en préoccupe autant ?

C'est que le droit à la vie privée est un droit fondamental.

La protection de la vie privée est un élément critique d'une société libre. Comme le disait le juge La Forest, de la Cour suprême, la protection de la vie privée se situe au cœur même de la liberté dans un État moderne.

Aucune liberté réelle n'est possible sans protection de la vie privée. En fait, bon nombre sont d'avis que le droit à la vie privée est le droit dont découle tous les autres droits, c'est-à-dire la liberté d'expression, la liberté d'association, la liberté de choix et toutes les autres formes de liberté que vous pouvez nommer.

C'est ce qui explique pourquoi l'absence de vie privée réelle est caractéristique d'un si grand nombre de régimes totalitaires.

Et c'est la raison pour laquelle le droit à la vie privée n'est pas seulement un droit individuel, mais aussi une valeur partagée, un bien social et public. La société dans son ensemble a intérêt à protéger la vie privée.

Sans respect du droit à la vie privée, impossible de conserver le genre de société que nous souhaitons tous avoir, à savoir une société libre, ouverte et démocratique dans laquelle nous jouissons tous d'une autonomie suffisante pour nous épanouir pleinement.

Nous devons abandonner cette notion voulant que le droit d'un individu à sa vie privée soit secondaire à l'intérêt public. Au contraire, le bien de notre société repose en partie sur le respect de la vie privée de chaque individu. En effet, bien que ce soit l'individu qui ressente le plus directement la perte de sa vie privée, c'est en fait toute la société qui en ressort perdante.

Cela ne veut pas dire que le droit à la vie privée est absolu. Certains aspects de ce droit doivent parfois être sacrifiés pour tenter de réaliser d'autres objectifs sociaux essentiels.

Mais si nous faisons de trop nombreux compromis, si nous acceptons trop souvent de réduire la protection de notre vie privée, nous allons finir par ne plus réellement avoir de vie privée ni de liberté.

Chaque fois que quelqu'un propose une telle diminution ou un tel compromis au nom d'un quelconque objectif, étudions les moindres détails de cette proposition. Le besoin avancé est-il réel, et justifie-t-il sans équivoque une réduction de notre vie privée – Cette réduction permettra-t-elle vraiment d'atteindre l'objectif visé, ou y a-t-il une autre façon d'y parvenir sans pour autant porter atteinte à notre vie privée ?

Même si nous attachons tous de l'importance à la protection de la vie privée, le sens que nous lui donnons n'est pas toujours clair. Je crois que la façon de définir la vie privée nous aide à comprendre ce qui la menace et comment la protéger.

Il était auparavant assez courant de penser que le droit à la vie privée était le droit de ne pas être dérangé par autrui; c'est d'ailleurs ainsi que beaucoup de gens comprennent encore ce droit. C'est leur désir profond de vivre paisiblement et dans le respect des lois, sans être surveillés ni dérangés.

Mais il existe une autre forme moins évidente de violation de la vie privée, et c'est le fait de réunir et compiler des renseignements à notre sujet à notre insu et sans notre consentement.

Ni vous ni moi ne souhaitons vivre notre vie en sachant que nos moindres gestes peuvent être surveillés, de façon réelle ou indirecte. Si nous devons faire attention à chaque action, chaque achat, chaque parole, chaque rencontre, et si nous devons nous préoccuper de qui pourrait en prendre connaissance, les juger, les interpréter de façon incorrecte, ou encore s'en servir à notre détriment, nous ne serons plus vraiment libres.

C'est pourquoi je définis ici le droit à la vie privée comme étant le droit de chacun d'entre nous de contrôler l'accès à sa personne et à ses renseignements personnels.

Et c'est ce concept informationnel plus large de la protection de la vie privée qui me porte à croire que celle-ci sera l'un des enjeux déterminants des dix prochaines années.

C'est parce que nous sommes arrivés à un point critique.

Il n'y a pas si longtemps, la vie privée était protégée surtout par défaut. Dans la mesure où les renseignements nous concernant étaient inscrits sur papier, et dispersés en de multiples endroits, il était extrêmement difficile pour une personne de monter un dossier détaillé sur une autre personne.

Donc, à moins d'être célèbre, ou très important, ou d'avoir fait quelque chose de très mal, votre vie privée était assez bien protégée.

Mais le passage à la tenue de dossiers électronique est sur le point de supprimer les obstacles - le temps, la distance et le coût - qui, autrefois, protégeaient notre vie privée de la grande majorité des curieux.

Aujourd'hui, un étranger assis devant un clavier d'ordinateur peut, en quelques minutes seulement, constituer un dossier étonnamment détaillé sur l'ensemble de votre vie.

Devant ces menaces à la vie privée, les choix que nous allons faire détermineront le genre de monde que nous lèguerons à nos enfants et à nos petits-enfants.

Le Parlement a fait un choix important en adoptant la Loi sur la protection des renseignements personnels et les documents électroniques. Cette loi protège la vie privée des Canadiens et Canadiennes qui transigent avec le secteur privé.

En bref, la nouvelle loi prévoit les mesures suivantes :

Sauf quelques rares exceptions, aucune entreprise privée visée par la loi ne peut recueillir, utiliser ni communiquer de renseignements sur une personne sans son consentement.

Ces entreprises ne peuvent recueillir, utiliser ou divulguer de tels renseignements que pour les motifs pour lesquels elles ont obtenu le consentement de la personne en cause. Et même avec ce consentement, elles ne peuvent recueillir que les renseignements qu'une personne raisonnable jugerait pertinents.

Toute personne a le droit de prendre connaissance des renseignements qui existent à son sujet et de corriger ceux qui sont inexacts.

Mon Commissariat et moi surveillons l'application de cette loi, et les personnes estimant avoir été lésées dans leurs droits disposent de certains recours.

Cette nouvelle loi s'applique aux entreprises privées de compétence fédérale : les banques, les entreprises de télécommunications, de radio et de télédiffusion et de transport. La nouvelle loi vise aussi la vente de renseignements personnels outre frontières (provinciales ou nationales), ainsi que l'ensemble des entreprises privées faisant affaires dans les trois territoires (constitutionnellement de compétence fédérale). La nouvelle loi ne visera les renseignements personnels de santé détenus par ces entreprises qu'à compter du premier janvier prochain. À compter de 2004, la loi s'appliquera, dans les provinces qui n'ont pas adopté de législation similaire, à toutes les activités commerciales au Canada. À terme, l'ensemble du secteur privé canadien devra se conformer à la nouvelle loi fédérale ou à une loi provinciale du même ordre. La protection de la vie privée sera donc homogène à l'échelle du pays.

Cela signifie que vous devrez vous assurer que les systèmes informatiques en place respectent la vie privée. Si tel n'est pas le cas, vous pouvez vous attendre à ce que les citoyens et citoyennes déposent une plainte à mon Commissariat. Et même si mon rôle eu égard à l'application de la loi est celui d'un ombudsman, mon poste a des dents et, s'il le faut, je mordrai fort.

Cependant, la conformité à la loi n'est pas la seule raison, ni même la meilleure, pour vous préoccuper de la protection de la vie privée lorsque vous concevez des systèmes informatiques.

Je suis fermement convaincu que le respect de la vie privée des citoyens et citoyennes est la clé de l'efficacité des systèmes informatiques.

Les Canadiens et Canadiennes, comme les gens de partout dans le monde, sont de plus en plus conscients que leur vie privée est menacée. Lorsqu'ils seront convaincus qu'une société ou un gouvernement n'a pas respecté leur droit à la vie privée, ils vont réagir énergiquement.

Je suis persuadé que vous vous souvenez de ce qui s'est produit l'année dernière lorsque l'on a découvert l'existence d'un Fichier longitudinal sur la main-d'œuvre au ministère du Développement des ressources humaines.

Il s'agissait d'une base de données à caractère privé et très personnel sur plus de 30 millions de personnes au Canada. Cette base de données contenait entre autres des renseignements sur les emplois que ces personnes avaient occupés, sur les impôts qu'elles avaient payés, sur les programmes sociaux auxquels elles avaient eu recours.

Les Canadiens et Canadiennes se sont montrés tellement outragés que le gouvernement a été forcé de démanteler, pratiquement sur-le-champ, toute la base de données.

Il se peut que cette base de données ait été constituée avec les meilleures intentions dans le but d'atteindre des objectifs parfaitement raisonnables.

Mais ce qui préoccupait les Canadiens et Canadiennes, c'était la protection de leur vie privée. Le programme a échoué parce que cette protection n'a pas été assurée dès le début.

Vous connaissez sans doute cette vieille histoire au sujet de la société américaine de publicité sur le Web, DoubleClick, qui recueille des renseignements sur les internautes qui consultent ses annonces sur Internet - ce qu'ils regardent, pendant combien de temps ils regardent, ce sur quoi ils cliquent, où ils aiment aller et ainsi de suite.

Ces renseignements sont anonymes. Mais DoubleClick a acheté une société qui retrace les opérations commerciales hors ligne des consommateurs. Ces renseignements, par contre, ne sont pas anonymes. Et il devenait alors possible que DoubleClick croise les comportements en ligne avec les comportements hors ligne, et élabore des profils détaillés et hautement personnels de centaines de milliers, et peut-être de millions de personnes.

Le tollé général a été assourdissant. DoubleClick a fini par renoncer à son projet, mais ses agissements avaient déjà gravement porté atteinte à sa réputation - le nom DoubleClick est devenu pratiquement synonyme de violation de la vie privée. Depuis, DoubleClick a travaillé dur pour réparer les dégâts. Mais vous pouvez être sûrs que les dirigeants de cette entreprise souhaiteraient n'avoir jamais fait cette gaffe.

Ce ne sont là que deux exemples, mais il y en a bien d'autres, qui livrent tous le même message.

Les gens tiennent à leur vie privée. Vous allez perdre leur confiance si vous ne respectez pas leur vie privée. Et vous avez tout avantage à intégrer dès le départ des mécanismes de protection de cette vie privée dans vos systèmes informatiques. C'est beaucoup plus simple que de faire marche arrière après qu'une violation de cette vie privée aura compromis la réputation de votre entreprise et vous aura fait perdre la confiance des clients.

Le gouvernement est encore un peu lent à comprendre ce que représente exactement l'intégration de mécanismes de protection de la vie privée dans ses systèmes.

Quelques indices encourageants me permettent de croire que les ministères, surtout ceux qui se dirigent vers la prestation électronique de services - surnommée le Gouvernement en direct -commencent à comprendre le problème et tentent d'y trouver des solutions.

Mais il reste encore du chemin à faire. Le gouvernement parle beaucoup de respect de la vie privée, mais lorsque nous y regardons de plus près, nous constatons que le gouvernement s'attarde généralement à protéger la sécurité et la confidentialité des renseignements personnels.

La sécurité et la confidentialité sont parfois confondues, à tort bien entendu, avec la protection de la vie privée. Ce sont là des notions tout à fait distinctes.

Lorsque je parle de vie privée, je parle de mon droit de contrôler la collecte, l'utilisation et la communication de mes renseignements personnels.

Quand je parle de confidentialité, je fais référence à votre obligation de protéger ceux de mes renseignements personnels que vous avez, de les garder secrets, et de ne pas les utiliser ni les communiquer de façon abusive.

Le troisième concept, celui de sécurité, vise votre évaluation des menaces et des dangers qui pèsent sur mes renseignements personnels, et vos solutions à ces risques.

L'obligation de confidentialité et la responsabilité de la sécurité découlent toutes les deux du droit à la vie privée. Il ne suffit pas de garantir la confidentialité et la sécurité pour protéger la vie privée. Si vous obtenez, utilisez ou communiquez mes renseignements personnels sans mon consentement, vous porterez atteinte à ma vie privée et ce, même si vous assurez la confidentialité et la sécurité de mes renseignements.

Je suis donc très inquiet de la façon dont le gouvernement fédéral semble concevoir la protection de la vie privée, à en juger par ses propres déclarations.

J'ai encore de sérieuses réserves quant à certaines composantes du projet de Gouvernement en direct.

L'une des visions sur lesquelles s'appuie le Gouvernement en direct consiste à éliminer les cloisons qui séparent les organismes et les programmes, à l'intérieur du gouvernement et entre les différents paliers de gouvernement.

Cette idée peut sembler formidable si vous ajoutez foi aux histoires affirmant que les Canadiens et Canadiennes doivent entrer en contact avec une foule de ministères différents pour obtenir un seul service.

Mais les cloisons dont nous parlons séparent également les diverses activités de collecte de renseignements personnels.

Si le gouvernement devient un organisme unique et centralisé, la conséquence la plus sérieuse découlera de la fusion de ses bases de données.

Ces bases de données contiennent des renseignements sur les individus et leurs interactions avec le gouvernement, qui ont été recueillis à des fins précises.

Les renseignements conservés dans des bases de données distinctes à ces fins sont compartimentés, « cloisonnés » comme ils disent.

Lorsque les cloisons sont abattues, deux choses peuvent se produire. La première, c'est que quelqu'un qui n'a besoin que d'un seul renseignement a maintenant accès à beaucoup plus de données. La personne qui traite votre demande de pension d'invalidité, dans le cadre du Régime de pensions du Canada, se doit de connaître votre état de santé personnel. Mais aucun autre fonctionnaire du gouvernement n'a besoin ou ne devrait avoir besoin d'un tel renseignement.

C'est le premier problème. Le second problème, c'est que les renseignements peuvent être croisés afin de révéler de nouveaux renseignements. Une telle démarche peut mener à la création de profils personnels. C'est un sujet très délicat, que cette démarche soit entreprise par des organisations commerciales ou par un gouvernement. Rappelez-vous ce que je disais tout à l'heure au sujet de DoubleClick, et du Fichier longitudinal sur la main-d'œuvre constitué par Développement des ressources humaines Canada.

L'élaboration de profils sur des citoyens et citoyennes est caractéristique des sociétés de surveillance. La constitution de dossiers sur les individus, la surveillance de leurs activités et de leurs interactions avec le gouvernement n'ont pas leur place dans une société ouverte et démocratique. C'est la fin de l'anonymat. C'est la fin de notre droit de mener, sans nous sentir surveillés, une vie paisible et respectueuse des lois. C'est la fin de notre droit à la tranquillité.

Il existe parfois de bonnes raisons de croiser des renseignements personnels provenant de différentes sources. La Loi sur la protection des renseignements personnels et la nouvelle loi qui vise le secteur privé autorisent toutes les deux ces croisements dans certaines circonstances exceptionnelles. Mais ces circonstances sont strictement limitées et doivent être justifiées.

L'existence de bases de données séparées constitue une protection contre tout usage abusif de nos renseignements personnels et contre la création de dossiers sur chacun de nous. Cette protection disparaît avec la fusion des bases de données, à moins d'incorporer à ces dernières des mécanismes de protection de la vie privée.

C'est ce qui nous inquiète le plus dans l'initiative du Gouvernement en direct.

Un autre problème est celui de l'authentification des clients.

Le gouvernement se préoccupe du besoin d'identifier la personne avec qui il transige, tout particulièrement lorsque les gens accèdent aux services et aux programmes par des moyens électroniques. C'est pourquoi il examine la possibilité d'utiliser des numéros d'identification, des identités électroniques ou des cartes à mémoire.

La société électronique a forcément besoin de mécanismes d'authentification, mais ces mécanismes posent des problèmes dont il nous faut être conscients dès le départ.

Ainsi, les cartes à mémoire permettent de stocker ou de traiter de grandes quantités de renseignements personnels en rapport avec différents programmes et services gouvernementaux. Lorsque ces cartes sont bien conçues - par exemple, si vous avez différentes cartes qui servent à différentes fins - elles peuvent protéger la vie privée.

Mais une carte unique qui contient tous les renseignements concernant nos interactions avec le gouvernement soulève le problème des bases de données croisées à un niveau global. Une telle carte aurait pour effet d'accélérer la centralisation et l'échange de renseignements personnels. Si toutes les transactions d'une personne étaient effectuées par l'entremise d'une même organisation et consignées par cette dernière, le gouvernement disposerait d'un puissant centre de données sur l'ensemble des citoyens et citoyennes.

L'émission, la révocation ou la rétention d'une telle carte pourrait servir à contrôler le comportement social, à restreindre les activités des gens ou à punir des activités indépendantes.

Ce sont là des problèmes que nous constatons dans le projet de Gouvernement en direct. Nous avons fait comprendre au gouvernement qu'il était important de prendre les mesures qui s'imposent dès le début.

Et c'est sur ce même point que je veux insister aujourd'hui, sur la nécessité d'intégrer dès le départ, dans vos systèmes, des mécanismes de protection de la vie privée. Pas question de réfléchir à cet aspect après coup, et encore moins de le régler après coup. Pas question de dire : nous traverserons le pont lorsque nous serons rendus à la rivière. Ou pire encore : si quelqu'un se plaint, nous verrons ce que nous pouvons faire.

De crainte qu'une certaine confusion ne s'installe, je désire insister ici sur le fait que je ne parle pas de ces technologies qui permettent d'accroître la protection de la vie privée.

Comme on l'a vu avec le commerce électronique et particulièrement avec l'initiative du Gouvernement en direct, il existe des moyens électroniques pour protéger la confidentialité et la sécurité - par exemple, en mettant en place un canal protégé et une infrastructure à clés publiques pour les communications cryptées. Aucune de ces mesures technologiques n'est meilleure que le maillon le plus faible du système - habituellement un être humain faillible. C'est pourquoi je pense qu'il est important de faire preuve de scepticisme quant aux vastes utilisations envisagées de ces techniques. Cela dit, ce sont des techniques qui assurent une protection raisonnable de la confidentialité et de la sécurité.

Mais comme je l'ai souligné il y a un instant, protéger la confidentialité et la sécurité n'est pas la même chose que protéger la vie privée.

D'aucuns ont prétendu pouvoir utiliser la technologie pour protéger la vie privée des gens. Une industrie s'est même développée autour de pareilles technologies - je pense ici aux mécanismes utilisés pour protéger l'anonymat des transactions électroniques, au cryptage, aux cartes à mémoire contrôlées par les usagers. Le modèle de base prévoit que les citoyens et consommateurs sont responsables de se protéger eux-même contre les intrusions du gouvernement ou des entreprises commerciales dans leur vie privée.

Je ne suis pas très emballé par les solutions technologiques.

Je connais les arguments qui militent en leur faveur. Les gens disent que la technologie évolue plus rapidement que la législation en ce domaine. Ils estiment que les mesures législatives ont pour seul résultat d'accroître la surveillance et le contrôle, ce qui est l'antithèse même de la protection de la vie privée.

Que vous soyez d'accord ou pas avec ces impressions, je crois que c'est là que réside le principal problème. Même si le cryptage et les mécanismes de préservation de l'anonymat fonctionnent bien et sont faciles à utiliser, ces solutions ne sont rien de plus qu'une façon technologique de s'objecter à quelque chose.

Si vous avez suivi les débats sur la protection de la vie privée dans le monde commercial, vous êtes sûrement familiers avec la distinction établie entre le choix de participer et celui de refuser de participer.

Dans un système de refus de participer, la personne qui désire recueillir, utiliser ou communiquer des renseignements personnels nous concernant nous donne la possibilité de nous objecter à ces activités.

Dans le monde hors ligne, il suffit souvent de téléphoner ou d'écrire, par exemple à l'Association canadienne du marketing, pour bénéficier du service de retrait d'adresse et de numéro de téléphone. La démarche peut consister simplement à cocher une case indiquant que nous déclinons l'offre fort aimable qui nous est faite de nous envoyer de temps à autre de l'information sur les nouveaux services.

Lorsque nous ne nous objectons pas à ce qui est proposé, l'entreprise va de l'avant comme si elle avait obtenu notre consentement.

La plupart des défenseurs de la vie privée, dont je fais partie, considèrent que le choix de refuser de participer constitue une bien piètre protection de la vie privée.

Le consentement est un principe fondamental de la protection de la vie privée, peut-être même le principe fondamental. Le choix de refuser de participer est essentiellement une variante très faible du consentement - sauf avis contraire, vous êtes présumé consentant.

Je crois comme d'autres que cette façon de faire place la responsabilité du mauvais côté. Toute entreprise souhaitant recueillir, utiliser ou communiquer des renseignements personnels vous concernant devrait être obligée d'obtenir votre consentement actif, c'est-à-dire de vous inviter à participer.

Le refus de participer est un mécanisme qui fonctionne mieux en théorie qu'en pratique. Il est pris pour acquis que vous savez que quelque chose se passe, que vous avez le droit de refuser d'y participer et que vous savez comment exercer ce droit.

Il est également présumé que le refus de participer est en soi un choix valide et réaliste.

Ces présomptions valent peut-être pour le défenseur informé, patient, instruit et conscient des intérêts des consommateurs. Elles s'appliquent cependant plus difficilement à la protection généralisée de la vie privée.

Le refus de participer ne permet tout simplement pas de tendre aussi grand le filet de la protection de la vie privée que le choix de participer - ce qui explique bien sûr pourquoi les spécialistes du marketing et de la collecte de renseignements sont si nombreux à préférer le premier.

Le cryptage et les mécanismes de protection de l'anonymat, et les technologies permettant d'accroître la protection de la vie privée en général, transfèrent toutes les lacunes observées pour le refus de participer au monde hors ligne... et ajoutent toute une nouvelle kyriell

Date de modification :