Commerce électronique international et réglementation d'internet

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Bureau of National Affairs
3e forum annuel des politiques publiques du BNA

Le 14 novembre 2001
Washington, D.C.

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Nous faisons tous front commun dans la lutte contre le terrorisme. Je crois qu'il ne s'agit pas seulement d'une lutte pour assurer la protection des citoyens, fin cruciale en soi, mais ce qui est peut-être encore plus fondamental, d'une lutte livrée pour protéger et renforcer les valeurs de base qui animent nos sociétés et font en sorte que nous puissions vivre librement et dignement.

C'est pourquoi le sujet que vous aborderez ici demeure très pertinent, même à la lumière des nouvelles priorités et distractions que présente cet après 11 septembre.

L'un des principaux enjeux auquel les sociétés occidentales font face est le maintien d'une économie vibrante et dynamique, et l'avenir du commerce électronique constitue un élément déterminant vital qui permettra de façonner et d'assurer la croissance économique.

Le moyen qu'emprunte le commerce électronique -Internet -transforme le monde, et ses effets sont comparables à ceux de la presse à imprimer de Gutenberg. Et il semble, à certaines personnes du moins, que la réglementation d'Internet soit une condition nécessaire pour assurer le succès du commerce électronique.

Au cour de cette question se trouve un droit humain fondamental : le droit à la vie privée.

Dans mes fonctions, je dois tenir compte d'enjeux multiples touchant la protection de la vie privée, allant du dépistage génétique à la surveillance vidéo, de la collecte d'information à notre sujet par les banques à la gestion de renseignements personnels en matière de santé. Compte tenu de tout cela, une question d'importance critique est la collecte, l'utilisation et la divulgation de renseignements personnels dans le contexte du commerce électronique. Je m'attends à voir beaucoup d'activités dans ce domaine au cours des quelques prochaines années, particulièrement à mesure qu'Internet fera l'objet d'une réglementation rigoureuse et efficace.

Le jumelage du « commerce électronique international » et de la « réglementation d'Internet » comme sujet de la conférence est fort évocateur. Ces deux réalités juxtaposées en disent long sur où nous en sommes et comment nous y sommes parvenus.

Il n'y a pas bien longtemps, la « réglementation d'Internet » était perçue par bon nombre de gens comme un oxymore. Les gens croyaient que par sa nature même Internet ne pouvait être réglementé.

Internet était sans frontière, diffus et décentralisé. Les sites Web et leur contenu se trouvaient dans le cyberespace et non dans l'espace réel. Il était bien futile d'essayer de leur appliquer les lois et les règlements de l'espace matériel.

Puisque les sites Web pouvaient être parrainés par l'un ou l'autre de centaines de secteurs de compétence, quelles lois seraient applicables – Si les sites pouvaient être supprimés en appuyant sur une seule touche et réapparaître sous un jour nouveau dans un différent secteur de compétence, quel règlement aurait force exécutoire à leur égard ?

Le cyberespace ne pouvait être régi. Il s'agissait d'une contrée sauvage, d'une fantaisie pour libertaires devenue réalité.

Il semble aujourd'hui que ce soit une idée farfelue d'il y a bien longtemps. Nous savons maintenant qu'Internet peut être réglementé. Et nous nous en sommes rendu compte grâce au commerce électronique.

Il est devenu évident que le commerce électronique n'était pas bien différent de n'importe quelle autre forme de commerce. Il devait s'appuyer sur des contrats exécutoires, l'authentification de l'identité, et la vérification des titres et des justificatifs. Pour faire affaire avec des gens il fallait, dans la majorité des cas, savoir qui ils étaient, où ils se trouvaient, et les lois qui leur étaient applicables.

Les enjeux sont rapidement devenus manifestes. Quelles lois appliquer – À quelles lois doivent se conformer les entreprises pour mener des affaires sur Internet – Comment les entreprises peuvent-elles se protéger contre les fraudeurs et les pirates de propriété intellectuelle qui fonctionnent dans des centaines de régimes juridiques différents ?

Il est également apparu qu'Internet, en ce qui concerne le commerce électronique, était de fait moins anonyme que l'espace réel. Il fallait accroître l'authentification de l'identité et la vérification des titres et justificatifs. Les transactions qui peuvent être anonymes dans l'espace réel -par exemple, une vente au comptant -se sont compliquées dans le cyberespace. En outre, le fait de connaître ses clients dans le cyberespace demandait beaucoup plus de renseignements que ce dont a besoin l'épicier de quartier. Et il semblait que la seule façon de protéger la propriété intellectuelle était de faire un suivi de ses utilisateurs.

Les clients qui seraient responsables du succès ou de l'échec du commerce électronique ont vite cerné les implications de cette situation. Les préoccupations touchant la vie privée ont vite pris la forme d'un obstacle important à l'acceptation généralisée du commerce électronique.

L'enjeu qui s'est alors présenté concernait la façon de réglementer Internet et d'assurer la sûreté du commerce électronique sans porter atteinte à la vie privée.

Au Canada, nous avons réagi à cet enjeu en adoptant la Loi sur la protection des renseignements personnels et les documents électroniques, qui équilibre les besoins légitimes de renseignements des entreprises et le droit fondamental en matière de protection des renseignements personnels des individus. La loi énonce les règles du jeu que les entreprises doivent suivre au Canada. Et elle me confère, à titre de commissaire à la protection de la vie privée, un mandat fort élargi afin de protéger la vie privée par la persuasion, la surveillance et la sensibilisation du public.

J'aimerais vous parler aujourd'hui de cette loi pour que vous sachiez comment nous avons abordé la question au Canada et l'incidence qu'elle peut avoir sur vous. Mais tout d'abord, j'aimerais vous glisser quelques mots au sujet de la vie privée, et pourquoi il est si important au Canada d'avoir des lois ainsi qu'un commissaire à la protection de la vie privée pour justement la protéger. J'aimerais aussi vous parler de la protection de la vie privée et du monde difficile dans lequel nous évoluons depuis les attaques terroristes du 11 septembre.

La vie privée est un droit humain fondamental. Ce droit est reconnu en tant que tel par les Nations Unies, dans des conventions et des traités internationaux, et dans de nombreuses constitutions nationales.

Il s'agit sans doute de la liberté la plus fondamentale. Certaines personnes sont d'avis que tous les autres droits découlent de celui-ci, c'est-à-dire la liberté de parole, la liberté d'association, la liberté de conscience, pour n'en nommer que quelques-uns.

Ce n'est pas seulement un droit individuel, bien que nous en fassions l'expérience en tant que tel et que nous avons tendance à l'envisager sous cet angle. Il s'agit d'une valeur commune, et d'un bien social, public. Il joue un rôle essentiel dans le fonctionnement d'une démocratie libérale saine. Lorsque notre vie privée est brimée, nous en ressentons les effets en tant qu'individu. Mais c'est la société qui est la vraie perdante.

Au cour de la vie privée se trouve la question du contrôle des renseignements personnels, renseignements à notre sujet, sur nos relations avec d'autres personnes, qui nous sommes, ce que nous faisons, où nous allons, et ce que nous achetons. Si nous exerçons un contrôle sur les renseignements personnels, leur collecte, leur utilisation et leur communication, nous avons assuré la protection de notre vie privée.

Si d'autres personnes exercent un contrôle sur elle, elles la violent et, ce faisant, portent atteinte à notre autonomie et à notre liberté. Le totalitarisme sous ses divers revers nous a montré qu'une façon d'exercer un contrôle sur les gens est d'obtenir les détails de leur vie personnelle. Il est possible d'avoir une emprise sur les gens en leur faisant savoir qu'une personne les épie en tout temps. Ils doivent ainsi peser chaque geste, chaque parole, voire même chaque contact humain. Vous leur laissez imaginer qui peut être mis au courant de leurs agissements, les consigner, les juger, les interpréter faussement ou les utiliser à leur détriment.

Nous faisons face à des possibilités sans précédent concernant la vie privée en raison des percées technologiques et scientifiques. À tout moment, nous devons composer avec de nouvelles technologies qui permettent ou exigent la collecte, l'utilisation ou la communication de renseignements personnels. Ces technologies sont souvent prometteuses d'une vie meilleure, plus confortable, plus sûre et moins risquée. Tout ce qu'elles demandent en retour, c'est que nous cédions un peu de notre intimité.

Les choix que posent ces questions ne sont pas particulièrement nouveaux. Ils nous accompagnent au moins depuis l'avènement des ordinateurs et, sans doute, depuis que les États ont commencé à recueillir des renseignements sur les citoyens pour les besoins des programmes sociaux.

Mais ces choix revêtent une nouvelle urgence et signification du fait de deux réalités.

La première est l'accroissement du commerce électronique et l'utilisation de technologies comme les témoins, les bogues et les certificats numériques qui facilitent le commerce mais peuvent porter atteinte à la vie privée, dans la mesure où nous n'exerçons pas de contrôle sur elles et ne leur imposons pas nos valeurs.

La seconde est l'équilibre entre le droit à la vie privée et les besoins de la sécurité publique.

Les forces de l'ordre et les intérêts de sécurité ont toujours été quelque peu irrités des droits en matière de protection des renseignements personnels. Cette irritation a toujours été perçue comme saine. C'est ce que votre pays a reconnu en adoptant le quatrième amendement de la Constitution. Et c'est également ce que les Canadiens ont embrassé en adoptant la Charte des droits et libertés.

La protection des renseignements personnels sur Internet et les diverses façons de les protéger, comme l'anonymisation et le chiffrement, ont posé un enjeu nouveau et substantiel pour les forces de l'ordre et les intérêts de sécurité. Au cours des dernières années, nous avons dû composer avec un déséquilibre précaire. Les forces de l'ordre parlaient des menaces posées par les criminels utilisant Internet ou de ce qu'elles ont désigné comme des préoccupations « excessives » en matière de protection des renseignements personnels, qui rendaient difficile leur protection. Les défenseurs de la vie privée ont soutenu, avec plus ou mois de succès, que les menaces étaient exagérées et que la vie privée n'était pas reconnue à sa juste valeur.

Tout cela a basculé à la suite des événements horrifiques du 11 septembre.

Nous savons maintenant de quoi sont capables les terroristes. La destruction qu'ont semée les terroristes est sans précédent en Amérique du Nord, et nous ne pouvons faire fi de l'évidence d'une menace qui persiste. Cela veut dire que les personnes qui veulent radicalement limiter la vie privée ou même la faire disparaître ne sont plus marginales ou extrémistes. Elles peuvent désormais compter sur un auditoire large et sympathique.

Soudainement, il est beaucoup plus difficile de plaider la cause de la vie privée. Un argument contre toute mesure qui semble vouloir rehausser la sécurité semble être, pour de nombreuses personnes, le comble de la sottise -voire même, de l'irresponsabilité.

Les choix que nous faisons, alors que nous subissons des pressions sans précédent pour renoncer à notre vie privée par intérêt de sécurité, détermineront le genre de société que nous léguerons à nos enfants et à nos petits-enfants.

Le défi que nous devons relever consiste à préserver le droit humain fondamental en matière de protection des renseignements personnels contre les assauts du terrorisme.

Le fait de dire que la vie privée est un droit fondamental n'est bien entendu pas la même chose que dire qu'il s'agit d'un droit absolu. Aux États-Unis, au Canada et en Europe, nous avons tous accepté certaines mesures intrusives en raison des menaces à la sécurité auxquelles nous faisons maintenant face. Et il se peut que nous devions en accepter davantage.

Mais s'il nous faut choisir entre la sécurité et la vie privée, il nous fait le faire calmement, prudemment et au cas par cas. Si les gouvernements croient qu'ils doivent empiéter sur la vie privée afin d'assurer la sécurité, il nous faut tout de même insister pour qu'ils le fassent en proposant des mesures particulières et limitées. Il faut également soumettre leurs propositions à un examen le plus minutieux qui soit, et insister sur leur bien-fondé à la lumière des critères suivants :

Tout d'abord, toute mesure proposée pour limiter ou empiéter sur la vie privée doit être nécessaire pour aborder un problème particulier.

En deuxième lieu, cette mesure doit pouvoir régler efficacement le problème -autrement dit, elle doit réellement assurer notre sécurité et non seulement nous donner un sentiment de sécurité.

Troisièmement, le degré d'ingérence dans la vie privée ou la restriction de celle-ci doit être proportionnel aux avantages en matière de sécurité qui en découlent. Il n'est pas nécessaire d'utiliser une masse pour tuer un moustique.

Enfin, il ne peut y avoir de mesures moins intrusives qui permettraient d'obtenir les mêmes résultats.

La nécessité, l'efficacité, la proportionnalité et l'absence de mesures de rechange moins intrusives sont les critères que nous devons appliquer à toute nouvelle mesure proposée qui limiterait le droit à la vie privée.

Et même en de telles circonstances, nous devons faire preuve de circonspection afin de distinguer ce qui constitue une mesure d'urgence indiquée à court terme et un changement durable légitime.

Ce que j'ai dit vaut principalement pour les actions des gouvernements. Mais cela ne concerne pas seulement les gouvernements. Les entreprises de toutes sortes sont préoccupées au sujet de leur sécurité dans l'environnement actuel et prennent des mesures pour l'assurer. Bon nombre des mesures qu'elles prennent concernent les renseignements personnels de leurs clients ou employés. Elles doivent savoir que leurs clients et employés ont des droits en matière de protection des renseignements personnels. Et la meilleure façon d'assurer que les nouvelles mesures de sécurité envisagées n'empiètent pas indûment sur la vie privée est d'appliquer les critères que j'ai mentionnés.

Laissez-moi maintenant vous parler des mesures de protection de la vie privée prévues par la loi au Canada, et leurs implications pour le commerce électronique, particulièrement en ce qui concerne les entreprises à l'extérieur du Canada.

Je vous parlerai d'abord brièvement de mon rôle de commissaire à la protection de la vie privée du Canada, pour ceux qui ne le connaissent pas.

Je suis mandataire du Parlement, nommé pour un mandat de sept ans, et mon rôle consiste à être le gardien indépendant et le maître d'ouvre des droits à la vie privée des Canadiens. Je ne travaille pas pour le compte du gouvernement et je ne lui suis pas comptable. Je travaille pour le peuple canadien et dois lui rendre compte directement par le biais du Parlement national.

Mon mandat découle de deux lois. Tout d'abord, la Loi sur la protection des renseignements personnels, adoptée en 1982, accorde aux Canadiens le droit de contrôler les renseignements personnels que détiennent les institutions fédérales à leur sujet et de contrôler l'accès à ces renseignements. La Loi sur la protection des renseignements personnels et les documents électroniques, qui est entrée en vigueur le 1er janvier 2001, confère des droits semblables aux personnes dans leurs relations avec le secteur privé.

Mon travail consiste à exercer un droit de regard sur ces deux lois, et à offrir aux gens des recours lorsque leurs droits à la vie privée sont bafoués. La Loi sur la protection des renseignements personnels et les documents électroniques est celle qui nous intéresse aujourd'hui. Pour des motifs que j'éclaircirai, il vous faut comprendre cette loi si vous faites affaire au Canada, même si elle ne s'applique pas directement à vous.

La loi s'applique aux renseignements personnels recueillis, utilisés ou communiqués au cours d'activités commerciales. Elle limite toute activité de collecte, d'utilisation et de communication, tel qu'il est indiqué dans la loi, « à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances ».

Vous devez prêter une attention particulière à cet aspect, car il est fondamental à l'objet de la loi. Ce que cela signifie, c'est qu'il ne suffit pas pour une organisation de savoir exactement pourquoi elle cherche à recueillir, utiliser ou communiquer les renseignements personnels d'une personne, mais elle doit être en mesure de justifier ses gestes. Elle doit savoir que ses raisons résisteront à l'examen rigoureux d'un tiers raisonnable.

La loi comprend un code type sur la protection des renseignements personnels, qui a été élaboré conjointement par des entreprises, des gouvernements et des consommateurs. Le code est fondé sur les principes de l'OCDE touchant les pratiques d'information équitables, qui ont été établies il y a 20 ans, et acceptées dans le monde entier comme une ligne de base.

Les plus importants principes du code sont les suivants :

Hormis certaines exceptions fort limitées, il est interdit à un organisme du secteur privé de recueillir, d'utiliser ou de communiquer des renseignements personnels au sujet d'un individu sans avoir obtenu son consentement.

Il peut recueillir, utiliser ou communiquer des renseignements aux seules fins pour lesquelles l'individu a donné son consentement.

Les gens ont le droit de voir les renseignements personnels qui sont détenus à leur sujet, et de corriger toute inexactitude.

Mon bureau et moi exerçons un droit de regard afin d'assurer le respect de la loi, et des mesures de recours sont offertes en cas de violation des droits des individus.

Les mécanismes de la loi, et la façon dont ils sont appliqués, reflètent les complexités du fédéralisme canadien, avec la répartition des pouvoirs et des responsabilités entre les gouvernements fédéral et provinciaux. Je sais que vous devez tenir compte de complications analogues dans votre pays.

En bout de ligne, ce qui est plus efficace pour les entreprises est une norme unique en matière de protection des renseignements. La nouvelle loi permettra justement de réaliser cela au Canada, même s'il faudra y mettre un certain temps.

La loi entre en vigueur progressivement. Elle est appliquée depuis janvier 2001 relativement aux renseignements personnels, autres que les renseignements en matière de santé de clients ou d'employés de ce qu'on désigne comme des travaux ou des entreprises fédéraux -surtout touchant les banques, les télécommunications, la radiodiffusion et les transports interprovinciaux ou internationaux.

La loi s'applique également aux renseignements personnels -de nouveau, autres que ceux en matière de santé -lorsque ceux-ci sont communiqués par-delà les frontières provinciales ou nationales pour contrepartie, y compris la vente, la location ou l'échange, et lorsque les renseignements personnels eux-mêmes font l'objet d'un échange.

Dans environ un mois et demi, c'est-à-dire en janvier 2002, l'exclusion des renseignements personnels en matière de santé cessera. La loi s'appliquera alors à ces renseignements sur les employés ou les clients de travaux ou d'entreprises fédérales ou qui sont communiqués au-delà des frontières pour contrepartie.

La loi sera pleinement en vigueur en 2004. À ce temps-là, elle s'appliquera à toutes les activités commerciales au Canada. Dans la mesure où les provinces ont adopté des lois sur la protection des renseignements personnels essentiellement semblables, le gouvernement fédéral peut exempter les organisations et les activités dans la province de l'application de la loi fédérale relativement à la collecte, à l'utilisation et à la communication des renseignements personnels sur le territoire de la province, où les lois provinciales s'appliqueront alors. Les entreprises sous réglementation fédérale dans ces provinces continueront d'être régies par les lois fédérales. Il en est de même des renseignements personnels dans tous les échanges interprovinciaux et internationaux, que font les organisations au cours de leurs activités commerciales.

Il en résultera avant bien longtemps une protection homogène des renseignements personnels au Canada. Tous les organismes du secteur privé devront se conformer aux lois fédérales ou à une loi provinciale essentiellement identique. C'est pourquoi j'ai dit il y a un instant qu'il vous faudra vous renseigner sur les lois fédérales, même si celles-ci ne s'appliquent pas directement à vous. Qu'il s'agisse d'une loi fédérale ou provinciale, il faudra respecter la façon de mener des affaires au Canada.

Aux termes de la loi, je suis un ombudsman. Ma démarche concernant les enquêtes et la résolution des plaintes est habituellement non conflictuelle. Je ne suis pas investi de pouvoirs directs de prise d'ordonnances. J'essaie de régler les plaintes par la médiation et les discussions.

Toutefois, la loi a du muscle. Je peux contraindre des témoins à comparaître et, au besoin, visiter et perquisitionner des locaux. Mais en 20 ans d'administration de la loi, la loi visant le secteur public, mon bureau n'a jamais eu à invoquer ces pouvoirs, parce qu'on a toujours fait preuve de collaboration volontaire. Jusqu'à date, cela a aussi été le cas du secteur privé, et je suis optimiste qu'il continuera d'en être ainsi.

Je peux également prendre des mesures lorsqu'une organisation enfreint les droits à la vie privée et refuse de modifier ses agissements ou de remédier à la situation.

Je suis investi du pouvoir de communication. Je peux rendre publiques -dans un rapport au Parlement ou un communiqué, par exemple -les pratiques d'une organisation qui contrevient à la loi.

Je peux aussi m'adresser à la Cour fédérale et lui demander d'ordonner à une organisation de faire ou de cesser de faire ce qu'il faut pour se conformer à la loi. Et, je peux aussi demander à la Cour d'accorder des dommages-intérêts à toute personne dont les droits à la vie privée ont été violés.

Cependant, je n'hésiterai pas à faire si j'y suis contraint, mais je crois que la majorité des entreprises du secteur privé se rendront compte, si ce n'est pas déjà fait, que la protection de la vie privée est une bonne affaire.

Je crois savoir que bon nombre d'entre vous se demandent quelle sera l'incidence de la nouvelle loi sur le commerce électronique, et plus particulièrement en ce qui concerne les entreprises américaines.

La plus grande incidence se fera probablement sentir sur les entreprises américaines qui sont présentes au Canada. Jusqu'en 2004, la loi ne s'appliquera seulement qu'aux travaux et aux entreprises fédéraux ainsi qu'à toute organisation qui communique des renseignements personnels au-delà une frontière pour contrepartie. Parce qu'elles sont sous réglementation fédérale, la loi s'applique maintenant aux banques, y compris les banques américaines qui font affaire au Canada, y compris Citibank Canada et The Chase Manhattan Bank of Canada. Ainsi, les clients de Citibank Canada jouiront d'une meilleure protection de leurs renseignements personnels que les clients de Citibank aux États-Unis. En 2004, lorsque la loi s'appliquera à toute organisation engagée dans des activités commerciales, le nombre d'entreprises américaines touchées augmentera considérablement.

En raison des lois sur les travaux fédéraux, les fournisseurs de services Internet sont régis par celles-ci. Cela signifie qu'ils peuvent recueillir, utiliser ou communiquer des renseignements personnels seulement après avoir obtenu un consentement, qu'ils doivent protéger les renseignements, accorder l'accès sur demande, et se conformer aux autres dispositions de la loi. Autrement dit, au Canada, nous avons déjà une certaine forme de protection en ligne des renseignements personnels, bien qu'elle soit limitée. Ce genre de protection a fait l'objet de nombreux débats aux États-Unis.

Comme je l'ai dit il y a un instant, la loi s'applique à toute organisation qui communique des renseignements personnels au-delà des frontières ou à l'extérieur du Canada pour contrepartie. En outre, cela signifie qu'une organisation canadienne ne peut vendre des renseignements personnels à une entreprise américaine ou en échanger avec elle sans obtenir le consentement de la personne concernée. Ainsi une société de cartes de crédit américaine, qui veut acheter une liste de diffusion portant les noms de Canadiens ayant une bonne cote de solvabilité, peut trouver plus difficile d'obtenir ces renseignements.

Aux termes de la loi, une organisation qui veut transmettre des renseignements personnels à un tiers aux fins de traitement doit s'assurer que ce dernier protégera ces renseignements. Si l'organisation veut envoyer les renseignements aux États-Unis pour qu'ils soient traités, la même exigence s'applique. Si l'organisation ne veille pas à ce que les renseignements traités aux États-Unis soient convenablement protégés, mon bureau peut faire enquête et publier un rapport.

Je crois que vous verrez également une importante incidence indirecte. L'adoption de la loi a déjà sensibilisé davantage aux questions de protection des renseignements personnels et a fait que les Canadiens sont mieux renseignés sur leurs droits à la vie privée. Cela a contribué à instaurer ce que j'appelle une « culture de la vie privée ». Cet effet de la loi ne sera pas circonscrit par la frontière canado-américaine, parce que ce ne sont pas seulement les Canadiens qui jouissent de droits aux termes de la loi, mais toute personne dont les renseignements personnels sont recueillis, utilisés ou communiqués par une organisation visée par la loi.

Et j'ai bon espoir que cette culture de la vie privée aura une incidence sur les entreprises qui ne sont pas régies par la loi.

En bref, il est impossible d'ignorer la loi.

Toutefois, il n'est pas nécessaire que la conformité soit pén

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :