La protection de la vie privée au Canada : surveillance de l'application de la loi

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Association des professionnel(le)s en vérification et contrôle des systèmes d'information :
Assemblée générale annuelle

Le 31 mai 2001
Ottawa, Ontario

Alwyn Child
Directeur général de la Direction des pratiques et des études
en matière de protection de la vie privée

(Le texte prononcé fait foi)


Permettez-moi d'abord de vous présenter le Commissariat à la protection de la vie privée, notre mandat et la façon dont nous l'exerçons dans le cadre de la Loi sur la protection des renseignements personnels et de la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques, qui est entrée en vigueur le 1er janvier dernier. Après cette brève introduction, j'aborderai plus précisément les questions relatives à l'application de la loi, notamment le rôle des vérifications. Je terminerai en abordant brièvement la notion de vie privée.

Le poste de commissaire à la protection de la vie privée a été créé en 1983; il est un ombudsman indépendant chargé d'enquêter sur les plaintes déposées par les Canadiens et Canadiennes concernant le traitement, par le gouvernement fédéral, des renseignements personnels. Le commissaire est un haut fonctionnaire du Parlement. Il ne relève pas d'un ministre, mais directement du Parlement, ce qui renforce l'indépendance du Commissariat.

Le commissaire a mission de veiller au respect de l'application de deux textes législatifs, d'une part, la Loi sur la protection des renseignements personnels, qui s'applique à plus de 140 institutions fédérales, et, d'autre part, la Loi sur la protection des renseignements personnels et les documents électroniques, qui s'applique aux organisations qui utilisent des renseignements personnels dans le cadre de leurs activités commerciales.

À titre d'ombudsman, le commissaire n'est pas habilité à prendre des décisions exécutoires. C'est pourquoi il a recours à la persuasion, et non pas à la contrainte. Lorsque la persuasion échoue, il peut, en dernier recours, faire appel à l'opinion publique pour obtenir l'exécution de mesures correctives.

Toutefois, il n'est pas complètement dénué de pouvoirs officiels. Le commissaire est habilité à contraindre la production de documents et de preuves sous serment, à rendre compte directement au Parlement de dossiers urgents et à saisir la Cour fédérale de certaines questions. Comme le montrent les dix-sept années d'expérience du Commissariat en tant que protecteur du citoyen, la méthode forte n'est pas nécessaire pour protéger les droits des Canadiens et Canadiennes à leur vie privée. Au lieu de la confrontation, l'ombudsman privilégie le règlement des plaintes et la correction des problèmes sous-jacents qui ont conduit au dépôt de ces plaintes.

Depuis 1983, nous avons traité plus de 20 000 plaintes mettant en cause une multitude de ministères et d'organismes gouvernementaux exerçant des fonctions et utilisant des systèmes de gestion fort différents.

Moins d'une douzaine de ces plaintes ont été déférées à la Cour fédérale, ce qui nous donne à penser que, dans l'ensemble, les recommandations que nous avons formulées sont perçues comme étant éclairées et justes. Nous avons toujours opté pour une approche non conflictuelle et non contradictoire - une approche qui s'avérera encore plus nécessaire à l'égard du secteur privé.

En outre, les gens peuvent nous écrire ou nous appeler pour tout ce qui touche leur vie privée. Il peut s'agir aussi bien de publicité importune que du numéro d'assurance sociale, des demandes de carte de crédit, de la surveillance vidéo et des achats effectués outre-frontières. Récemment, ces appels et ces lettres s'élevaient à plus de 10 000 par année. Depuis 1983, nous avons traité plus de 70 000 demandes de renseignements provenant de Canadiens et Canadiennes, sur tous les sujets relatifs à la protection de la vie privée.

Notre rôle le plus important est peut-être celui d'éducateur et de défenseur des droits de tous les Canadiens et Canadiennes à leur vie privée. Nous risquerions de perdre toute utilité si nous ne surveillions pas les questions qui peuvent menacer notre vie privée, ni n'en parlions.

La Loi sur la protection des renseignements personnels et les documents électroniques

Qu'apporte de particulier cette nouvelle loi – Dans un sens, pas grand-chose. La partie I de cette loi (la section sur la protection des renseignements personnels) confère au commissaire fédéral à la protection de la vie privée une fonction de surveillance comportant en substance les mêmes pouvoirs qu'il avait en vertu de la Loi sur la protection des renseignements personnels. Nous avons l'intention de continuer à maintenir la même approche non conflictuelle que nous avons adoptée en appliquant la Loi sur la protection des renseignements personnels.

Dans un autre sens, la nouvelle loi témoigne d'un profond changement. Elle représente une étape importante visant à faire en sorte que les Canadiens et Canadiennes soient en mesure d'exercer un certain contrôle à l'égard de l'utilisation de leurs renseignements personnels lorsqu'ils transigent avec le secteur privé. À l'exception de la province de Québec, le reste du Canada ne jouissait pas encore de ce droit.

Du point de vue du secteur privé, la Loi impose de nouvelles obligations. L'obligation probablement la plus importante, avec des exemptions limitées, est qu'aucune entreprise privée ne peut recueillir, utiliser ni communiquer de renseignements sur une personne à son insu et sans son consentement.

L'intention du législateur n'est pas d'interdire aux entreprises d'utiliser des données personnelles sur leurs clients, ni de leur faire obstacle- les entreprises ont légitimement besoin de renseignements personnels concernant leurs clients. Le but de la Loi est d'inciter les entreprises à établir des relations plus ouvertes et plus transparentes avec leurs clients et de fournir à ces derniers un moyen convivial de prendre connaissance des renseignements qui existent à leur sujet et de corriger ceux qui sont inexacts.

La Loi entrera en vigueur en trois étapes. Actuellement, elle s'applique aux entreprises privées de compétence fédérale telles que les banques, les entreprises de télécommunication, les sociétés aériennes et toutes les organisations qui communiquent des renseignements personnels outre-frontières- provinciales ou internationales- aux fins d'examen. De même, la Loi s'applique à toutes les organisations du Nunavut, du Yukon et des Territoires du Nord-Ouest qui utilisent des renseignements personnels dans l'exercice de leurs activités commerciales.

À compter du ler janvier 2002, la Loi s'appliquera aux renseignements personnels médicaux qui sont recueillis, utilisés ou communiqués par des organisations visées par la Loi.

À compter du ler janvier 2004, elle s'appliquera à toutes les activités commerciales au Canada, qu'elles soient réglementées par le gouvernement fédéral ou par les provinces. Toutefois, le gouvernement fédéral peut exempter des organisations ou des activités dans les provinces qui ont adopté des dispositions législatives dans une large mesure semblables. Autrement dit, la loi fédérale ou provinciale s'appliquera à toutes les entreprises qui recueillent, utilisent ou communiquent des renseignements personnels. Comme le Québec s'est déjà doté de telles dispositions législatives, il sera largement exempté des dispositions de la loi fédérale. D'autres provinces ont annoncé qu'elles adopteront des dispositions similaires.

Notre approche concernant le respect de la Loi

Maintenant, permettez-moi de vous expliquer comment nous évaluons le respect de la Loi. Nous avons deux façons d'évaluer la mesure dans laquelle une organisation respecte les normes équitables de traitement de l'information. La première consiste en les plaintes que nous recevons. Comme je vous l'ai déjà dit, nous recevons un grand nombre de plaintes chaque année en vertu de la Loi sur la protection des renseignements personnels. À ce jour, nous avons reçu plus de 20 plaintes concernant les pratiques de traitement de l'information par des entreprises. L'autre façon est au moyen de vérifications.

Le rôle des vérifications

Comment les vérifications s'insèrent-elles dans notre approche – Les enquêtes relatives aux plaintes déposées par le public ont toujours attiré plus d'attention et bénéficié de davantage de ressources que les vérifications. Les ressources consacrées aux vérifications ont été très élastiques, augmentant et diminuant en même temps que les ressources globales. Au cours des dix-sept dernières années, nous avons accordé plus ou moins d'importance aux vérifications. Avec les années, notre approche de la vérification- quelle organisation vérifier, l'étendue des vérifications et la méthode à adopter- a changé.

Peut-être fallait-il prévoir que, au cours des premières années de son existence, le Commissariat abandonnerait son plan optimiste, voire irréaliste, consistant à vérifier systématiquement toutes les institutions fédérales visées par la Loi sur la protection des renseignements personnels.

Avec le temps, le Commissariat a opté pour une vérification ciblée et a décidé de conseiller les organisations gouvernementales. Au lieu de nous intéresser à la sécurité matérielle, nous nous sommes davantage penchés sur les pratiques de traitement de l'information, les connaissances et l'attitude du personnel.

Le Commissariat n'a pas abandonné la vérification- nous vérifions actuellement deux organisations gouvernementales- mais nous sommes devenus très sélectifs. Permettez-moi de prendre un moment pour vous expliquer les résultats d'une de nos récentes vérifications.

Il y a trois ans, le Commissariat a affecté ses maigres ressources (quatre employés) réservées à la vérification de l'application de la loi presque entièrement à Développement des ressources humaines Canada (DRHC). Pourquoi DRHC – À la suite de la restructuration de l'administration fédérale, DHRC est devenu le plus important dépositaire de renseignements personnels que détient le gouvernement fédéral sur ses citoyens, dont des renseignements relatifs aux programmes d'adaptation au marché du travail, programmes d'aide sociale et de sécurité du revenu, programmes de développement social et programmes d'éducation, et programmes d'assurance-emploi. Les gigantesques bases de données du ministère, ses puissants systèmes informatiques et les liens croissants qu'il tisse avec les programmes sociaux des provinces et le secteur privé ont tout pour susciter des préoccupations en matière de protection de la vie privée.

Notre équipe de vérification a effectué un examen officieux, mais systématique qui lui a permis de dresser un profil de ce ministère. Elle a concentré ses ressources sur les activités qui semblaient constituer un plus grand risque pour la vie privée de la clientèle. Une de ces activités concernait de toute évidence le Fichier longitudinal sur la main-d'ouvre.

Vous vous souviendrez peut-être, d'après ce qu'en ont dit les médias, que ce fichier longitudinal renfermait des données sur plus de 33 millions de personnes, qui ont été extraites de fichiers gouvernementaux internes et externes fort distincts. Les données n'avaient jamais été épurées, ce qui explique pourquoi le fichier contenait plus de dossiers qu'il n'y a de Canadiens et Canadiennes. La base de données était 23 fois plus grande que celle du recensement et se mesurait en tera-octets de données.

Cette base de données contenait l'équivalent de plus de 15 ans de dossiers d'impôt complets de Revenu Canada. Il y avait des dossiers d'assurance-emploi, des données extraites de programmes d'aide sociale provinciaux et municipaux, des dossiers sur le crédit d'impôt pour enfants, des dossiers sur le programme national de formation, des données sur l'emploi, l'immigration, des dossiers sur les visiteurs, et bien davantage.

En quoi ce fichier était-il préjudiciable du point de vue de la vie privée – Pour plusieurs raisons. Tout d'abord, il s'agissait d'une base de données extraordinairement détaillée, pouvant contenir jusqu'à 2000 éléments sur une personne. Deuxièmement, il était relativement invisible. Troisièmement, les bases de données de recherche devraient être assorties de paramètres définis qui limitent la durée d'entreposage; or, celle-ci n'avait pas de limites. Finalement, il n'y avait pas de cadre juridique de protection.

Nous avons fait part à DHRC de nos préoccupations en septembre 1998. Le ministère, après avoir effectué son propre examen interne, nous a fait savoir que son organisation « respectait l'ensemble de la législation sur la vie privée ainsi que les lois et règlements connexes ». Dans son rapport annuel, rendu public en mai 2000, le précédent commissaire avait comparé la base de données à « presque un fichier sur chaque citoyen ». Le public n'a pas tardé à réagir pour manifester son insatisfaction et désavouer la constitution d'un dossier sur chaque citoyen. Le lendemain de la publication de notre rapport annuel, cette histoire a fait la une de tous les quotidiens anglophones et francophones dans l'ensemble du pays.

En l'espace de 48 heures, DRHC avait reçu plus de 500 demandes d'accès au fichier. Pour vous donner idée de la préoccupation du public à ce sujet, je devrais ajouter que le Ministère a reçu au-delà de 69 000 demandes de Canadiens et Canadiennes désireux de consulter les renseignements que le Ministère détient sur eux. Comme vous le savez probablement, le Ministère a réagi à ce mécontentement de la population en démantelant la base de données.

J'ai mentionné ce fichier de DRHC parce que deux points importants se dégagent de l'expérience : en premier lieu, la capacité du commissaire à la vie privée de faire largement connaître ses constations peut s'avérer un outil puissant, si on s'en sert judicieusement, même si le commissaire n'a pas le pouvoir d'ordonner aux organisations de changer leurs pratiques; en second lieu, selon les réactions du public aux reportages dans les médias sur cette affaire, les Canadiens et Canadiennes tiennent à préserver leur vie privée.

Les vérifications menées en vertu de la Loi sur la protection des renseignements personnels sont normalement effectuées par une équipe de deux à quatre personnes qui se rendent à l'administration centrale et à un certain nombre de bureaux régionaux des organisations. Les préposés examinent un échantillon de fichiers pris au hasard provenant de banques de données sélectionnées et interrogent les gestionnaires et le personnel qui utilisent ou gèrent ces fichiers. D'après notre expérience, ces vérifications ont révélé l'existence de certains problèmes persistants, entre autres :

  • en général, les employés ne sont pas conscients de l'incidence de la Loi sur le traitement au jour le jour des renseignements personnels;
  • la sécurité matérielle des renseignements personnels est souvent insuffisante;
  • il existe des fichiers en double dans l'ensemble des organisations;
  • les calendriers d'entreposage et d'épuration des fichiers sont inexistant ou ne sont pas respectés.

À la fin de la vérification, le commissaire fournit à l'organisation concernée copie du rapport de vérification ainsi que de ses recommandations. Des extraits de ce rapport peuvent figurer dans le rapport annuel que le commissaire présente au Parlement en vertu de la Loi. J'aimerais pouvoir dire que les parties concernées au sein des ministères qui ont fait l'objet des vérifications donnent immédiatement suite à conclusions. Or, il n'en est pas toujours ainsi. Une série d'examens de suivi subséquents ont révélé que, dans la plupart des cas, les mesures correctrices que nous avions proposées nombre d'années auparavant n'avaient pas encore été prises en considération.

Les pouvoirs conférés par la Loi sur la protection des renseignements personnels et les documents électroniques

La Loi sur la protection des renseignements personnels et les documents électroniques confère au commissaire le même pouvoir de vérifier les organisations du secteur privé que celui que lui confère la Loi sur la protection des renseignements personnels, à une différence près. Dans la nouvelle loi, le commissaire ne peut effectuer une vérification que « s'il a des motifs raisonnables de croire » qu'une organisation contrevient aux dispositions de la Loi.

Qu'est-ce qui peut pousser le commissaire à penser qu'une organisation ne respecte pas la Loi – Il existe plusieurs possibilités :

  • un incident grave rapporté par les médias, par exemple, la découverte de dossiers imprimés contenant des renseignements personnels de nature délicate dans un dépotoir ou dans un bac de recyclage déposé dans une ruelle;
  • une série de plaintes qui indiquent qu'une organisation connaît des problèmes généralisés en ce qui a trait à ses pratiques de traitement de l'information;
  • des renseignements fournis par un particulier aux termes de la disposition relative à la dénonciation.

Quand il mène une vérification, le commissaire a le pouvoir de contraindre des témoins à comparaître devant lui. Il a le pouvoir de faire prêter serment, de recevoir des preuves, à tout moment raisonnable, d'avoir accès à des locaux, à l'exception des résidences personnelles, dans la mesure où il respecte les conditions de sécurité de l'organisation. Il peut également examiner les dossiers, ou obtenir des copies des dossiers, qui se trouvent dans les locaux.

On commet une infraction criminelle si l'on fait obstacle au commissaire au cours d'une enquête ou d'une vérification ou si l'on se débarrasse sciemment de renseignements visés par une demande d'un particulier. Les employeurs commettent une infraction criminelle s'ils prennent des mesures de représailles contre des employés, par exemple, contre ceux qui informent le Commissariat du non-respect de la Loi ou qui refusent de contrevenir aux dispositions relatives à la protection de données.

À quoi doit-on s'attendre d'une vérification effectuée par le commissaire –

Les pouvoirs du commissaire peuvent paraître excessifs. En fait, ils témoignent de l'importance qu'accorde le gouvernement- et à mon avis la majorité des Canadiens et Canadiennes- à la protection des renseignements personnels. Comme je l'ai déjà mentionné, le Commissariat n'a pas l'intention de faire respecter la loi en cherchant la confrontation. Pour vous convaincre que nous privilégions la consultation et la collaboration, laissez-moi vous expliquer les étapes d'une vérification :

  • Conformément à l'approche de collaboration adoptée par le commissaire, les vérifications liées à la protection de la vie privée ne sont pas de nature conflictuelle. Il n'est pas dans notre intérêt d'embarrasser les organisations; au contraire, nous voulons les aider à améliorer leurs pratiques de traitement des renseignements personnels.
  • Le commissaire informe l'organisation par écrit qu'une vérification sera effectuée. Dans cette lettre, il précise l'objet de la vérification, propose un calendrier raisonnable et donne le nom de la personne chargée de la vérification.
  • Même s'il a le pouvoir de contraindre des témoins à comparaître devant lui, de faire prêter serment et d'exiger la production de preuves, le commissaire n'effectuera vraisemblablement pas les vérifications de façon aussi officielle.
  • Le mandataire rencontre le représentant de l'organisation pour discuter de façon préliminaire de l'intention, de l'objet et de la portée de l'examen.
  • Lorsqu'il demande d'avoir accès à des locaux de l'organisation, le mandataire doit satisfaire aux normes de sécurité. Il retourne les documents dans un délai de 10 jours suivant une demande dans ce sens. Il peut les demander de nouveau s'il en a besoin.
  • Une fois la vérification terminée, le mandataire informe le représentant de l'organisation de ses conclusions. Il prépare un rapport dans lequel il fait état de ses conclusions et des recommandations formulées par le commissaire, s'il y a lieu.
  • Le commissaire fait parvenir le rapport à l'organisation et peut demander à être tenu au courant des mesures prises par l'organisation pour corriger les problèmes.

Même si nous avons reçu des ressources additionnelles pour superviser l'application de la Loi sur la protection des renseignements personnels et les documents électroniques , nous ne disposons encore que d'un personnel relativement restreint. Tout comme par le passé, nous devrons utiliser ces ressources de façon sélective, ce qui signifie que nous ne pourrons mener tout au plus que quelques vérifications par an. Ainsi, nous n'avons pas encore commencé les vérifications auprès d'organisations du secteur privé.

Pourquoi le droit à la vie privée est-il important ?

J'aimerais conclure en examinant la situation dans son ensemble. Qu'entend-on par « droit à la vie privée » et pourquoi est-il important – Ce n'est pas facile de le définir, même si la plupart des gens ont une idée de ce qu'il est et savent ce que cela signifie.

La définition probablement la plus connue remonte à un siècle environ. Selon les juristes américains Samuel Warren et Louis Brandies, c'est « le droit de vivre en paix ». Définition toute simple et facile à comprendre.

George Radwanski, commissaire de la protection de la vie privée du Canada, définit le droit à la vie privée comme étant le droit d'une personne de contrôler l'accès à sa personne et aux renseignements qui la concernent. À mon avis, cette définition est mieux adaptée à notre mission. Elle englobe deux principes importants : d'une part, l'individu doit être en mesure d'exercer un contrôle sur sa vie privée et, d'autre part, les défis que nous avons à relever de nos jours concernent surtout la protection des renseignements personnels plutôt que la protection de la vie privée du point de vue physique. Quel que soit le sens qu'ils lui donnent, les gens tiennent à leur vie privé.

Comme tous les autres droits, le droit à la vie privée n'est pas absolu. Il peut être limité « en autant qu'on puisse démontrer que cette restriction est raisonnable dans le cadre d'une société libre et démocratique », comme l'énonce la Charte canadienne des droits et libertés.

Toutefois, je voudrais insister sur le fait qu'il ne faut pas opposer la vie privée d'une personne aux intérêts de la société.

Le droit à la vie privée n'est pas seulement un droit individuel, mais aussi un bien social et public. Notre société dans son ensemble a intérêt à protéger la vie privée. Sans le respect de la vie privée, il est impossible de conserver le genre de société que nous souhaitons tous avoir, à savoir, une société libre, ouverte et démocratique.

Autrement dit, le droit à la vie privée des individus fait partie intégrante des intérêts de la société. Quand l'individu perd sa vie privée, toute la société en sort perdante.

Je voudrais également définir clairement les notions de droit à la vie privée, sécurité et confidentialité. On a tendance parfois à les confondre. C'est une grave erreur, particulièrement dans le contexte de l'initiative Gouvernement en direct et des préoccupations relatives à Internet en ce qui a trait à la protection des renseignements personnels. Ce sont trois notions tout à fait distinctes.

Le droit à la vie privée est un droit fondamental que nous avons en tant qu'individu de contrôler la collecte, l'utilisation et la communication des renseignements personnels nous concernant.

La confidentialité s'entend de l'obligation qu'a le détenteur de ces renseignements de les protéger, d'en garder le secret et de ne pas les utiliser ni les communiquer à mauvais escient.

La sécurité consiste à évaluer les menaces ou les dangers qui pèsent sur les renseignements et à prendre les mesures qui s'imposent pour les protéger.

Les distinctions sont donc évidentes : le droit à la vie privée est un droit fondamental; la confidentialité, une obligation de protéger les renseignements; la sécurité, le mécanisme de protection.

Toutefois, l'obligation de confidentialité et la responsabilité en matière de sécurité découlent toutes les deux du droit à la vie privée. C'est ce droit qu'il faut respecter avant de garantir la confidentialité et la sécurité. S'il n'est pas respecté, il ne suffit pas de garantir la confidentialité et la sécurité. Par exemple, si vous obtenez, utilisez ou communiquez des renseignements sur une personne, à son insu ou sans son consentement, vous portez atteinte à sa vie privée et ce, même si vous assurez la confidentialité et la sécurité de ces renseignements.

Tout commence par le respect du droit à la vie privée.

Je vous remercie.

Date de modification :