Conférence de La sécurité et la protection des renseignements personnels pour Gouvernement en direct

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 4 décembre 2001
Toronto, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


J'ai pris la parole lors d'une conférence de l'Institut canadien sur la protection des renseignements personnels pour Gouvernement en direct en avril dernier. Il est révélateur que l'Institut canadien consacre aussi tôt une autre conférence au même sujet. Cela traduit bien l'importance de la question.

J'aurais aimé venir vous entretenir de quelque chose de bien différent de ce que j'ai dit en avril. J'aurais souhaité pouvoir vous dire que les questions de protection des renseignements personnels dans Gouvernement en direct(GED) ont été examinées et sont désormais réglées.

Malheureusement, tel n'est pas le cas. Mes préoccupations au sujet de GED demeurent les mêmes, et je ne saurais encore dire qu'on y a accordé l'attention qu'elles méritent.

Il y a quand même des signes prometteurs, et j'y reviendrai. Mais je manquerais à mon devoir de défense des droits à la vie privée de tous les Canadiens et Canadiennes si je ne réénonçais pas très clairement mes réserves.

GED est une initiative importante. Il promet d'améliorer les modes d'exécution des programmes, et de donner aux Canadiens et Canadiennes une plus vaste gamme de choix quant à la façon dont ils accèdent aux services gouvernementaux. Il promet d'accroître l'efficience et l'ouverture du gouvernement. Il contribuera à faire du Canada un leader mondial en technologie, et favorisera la prospérité du secteur privé. Ce sont là des choses que nous souhaitons tous.

Mais la vie ne va pas toujours comme nous voulons. Elle oblige souvent à prendre des décisions raisonnées devant des choix difficiles. Et GED nous oblige à prendre des décisions raisonnées et à faire des choix difficiles. Pour tous les avantages et les retombées qu'il promet, il ne faut pas que le prix à payer soit le droit fondamental de la personne qu'est la vie privée.

Le gouvernement fédéral ne doit pas oublier un seul instant que Gouvernement en direct passe de façon incontournable par le respect de la vie privée des citoyens.

C'est l'une des leçons que nous avons tirées de la mise sur pied du commerce électronique. Jaloux de leurs renseignements personnels, les gens refusent de participer à des transactions électroniques s'ils y voient un risque pour leur vie privée.

La réponse à ces préoccupations était au nombre des principales raisons pour lesquelles le Parlement a adopté la Loi sur la protection des renseignements personnels et les documents électroniques, qui donne à chacun la maîtrise de ses renseignements personnels dans les échanges commerciaux. La Loi a une application limitée pour l'instant. Mais, d'ici quelques années, cette loi ou une loi provinciale essentiellement similaire s'appliquera à tous les échanges commerciaux au Canada. Et c'est essentiellement parce que le législateur reconnaît que le commerce électronique n'aura toutes ses retombées au Canada que si nous savons répondre aux soucis que les consommateurs se font pour leur vie privée.

C'est la même chose pour Gouvernement en direct. Les Canadiens et Canadiennes ne l'accepteront pas, du moins pas en grand nombre, à moins d'avoir une garantie de protection de leur vie privée.

Le titre de votre conférence, « La sécurité et la protection des renseignements personnels pour Gouvernement en direct », indique, j'espère, qu'il est bien compris que sécurité et vie privée ne sont pas une seule et même chose. Il faut bien distinguer l'une de l'autre, et distinguer chacune d'un troisième concept connexe, la confidentialité.

Ces distinctions n'ont pas toujours été claires pour les architectes de GED. À ma dernière présence ici, j'ai expliqué que le gouvernement fédéral, dans son site Web de GED, pensait prêcher le respect de la vie privée, alors qu'en réalité il parlait de confidentialité et de sécurité.

Encore une fois, permettez-moi de préciser mes termes.

Le droit à la vie privée, c'est le droit de contrôler les renseignements qui nous concernent, y compris leur collecte, leur utilisation et leur communication.

La confidentialité, c'est l'obligation de protéger les renseignements personnels d'autrui lorsqu'ils sont en notre possession. C'est une obligation de protection des renseignements, de maintien de leur secret, et de non-abus ou de non-communication non autorisée.

Et, la sécurité, c'est le processus d'évaluation et de répression des menaces et des risques pour les renseignements.

J'insiste : la vie privée c'est le principe même de l'obligation de confidentialité et de la responsabilité de la sécurité. Si vous ne respectez pas la vie privée-si vous recueillez, utilisez ou communiquez des renseignements au sujet de quelqu'un sans son consentement-la confidentialité et la sécurité perdent tout leur sens.

C'est pourquoi toutes les assurances au monde quant à la sécurité et à la confidentialité ne suffiront pas à me convaincre que l'initiative Gouvernement en direct a répondu aux préoccupations de protection de la vie privée.

On peut toujours dire que les renseignements sont protégés contre l'utilisation et la communication non autorisées, que la sécurité physique est assurée, qu'il y a des pare-feu et des mesures de chiffrement ainsi que des moyens de détection des intrusions.

Ces choses-là régissent les renseignements après leur collecte. Elles sont nécessaires, mais pas suffisantes. Elles ne sont pas la même chose que la protection de la vie privée. Les préoccupations pour la vie privée demeurent entières.

Et quelles sont donc ces préoccupations pour la vie privée – Eh bien, je vais vous en résumer trois des plus importantes.

En premier lieu, la fusion de bases de données, avec le décloisonnement des organismes et des programmes, au sein du gouvernement et entre paliers de gouvernement.

Nous aimons tous la collaboration et la coordination entre organismes qui ont un but commun. Nous sommes tous contre le double emploi et le gaspillage. Donc, l'idée d'abattre les cloisons peut être assez séduisante.

Mais certaines cloisons entre collectes de renseignements personnels sont cruciales.

Les renseignements sur les individus et leurs interactions avec le gouvernement sont recueillis à des fins particulières. Les bases de données distinctes dans lesquelles ils sont conservés-les « couloirs » comme on dit-reflètent les fins particulières justifiant la collecte et la conservation des renseignements. Les renseignements sont compartimentés. Oui, il y a un certain double emploi. C'est le compromis dont il faut s'accommoder pour certains avantages.

Sans ce cloisonnement des couloirs, deux choses peuvent se produire.

La première est que la personne qui a besoin de connaître seulement un renseignement peut avoir accès à beaucoup plus qu'elle n'a besoin ou qu'elle n'a le droit de voir. Si je cède des renseignements pour avoir une pension d'invalidité du RPC, la seule personne qui devrait avoir accès à mes renseignements est celle qui en a un besoin dont la démonstration peut être faite, aux fins sur lesquelles j'étais d'accord lorsque je les ai cédés. Et cette personne n'a besoin de savoir rien d'autre à mon sujet. Et je ne peux compter là-dessus que s'il y a des cloisons pour séparer les différents fichiers de renseignements.

Voilà pour le premier problème. L'autre, c'est qu'il y a moyen de combiner les renseignements, pour en révéler de nouveaux-parfois trompeurs ou inexacts. Cela peut déboucher sur l'établissement de profils des individus, et c'est là que le bât blesse.

L'établissement de profils des citoyens est une caractéristique distinctive des sociétés de surveillance. La constitution de dossiers sur les individus, la surveillance de leurs activités et leur interaction avec le gouvernement, rien de cela n'a sa place dans une société ouverte et démocratique.

Nous avons un droit bien établi, auquel nous tenons depuis toujours, de faire tranquillement notre petite affaire légitime, dans l'anonymat et sans être surveillé. Aucun d'entre nous ne serait disposé à renoncer à ce droit s'il y était invité. Aucun parti politique au pays n'envisagerait même de demander au public de le céder.

Nous ne pouvons pas le laisser nous glisser entre les doigts, au nom d'une efficacité mal conçue.

La deuxième préoccupation, c'est l'intervention du secteur privé dans la prestation des services ou la livraison des prestations par voie électronique.

Il n'y a rien d'intrinsèquement mauvais à cela, bien sûr. Cela pourrait bien déboucher sur une plus grande efficience de la prestation des services, et probablement contribuer à la vigueur économique du secteur privé également. Moyennant les bonnes protections de la vie privée, cela peut ne pas poser de problèmes. Mais sans ces protections, des problèmes, il y en aura sûrement.

Encore une fois, le problème, c'est que les cloisons existantes entre les fichiers de renseignements personnels aident à protéger la vie privée. L'établissement de liens entre les réseaux pourrait aboutir à un seul système interopérable combinant les fonds de renseignements personnels du secteur public et du secteur privé. Et la protection des renseignements personnels dans le secteur privé, même avec la Loi sur la protection des renseignements personnels et les documents électroniques, est inégale. La poursuite non contrôlée et débridée des objectifs d'efficience gouvernementale et de développement du secteur privé pourrait bien donner naissance à des bases de données non contrôlées sur les Canadiens et Canadiennes.

La troisième préoccupation, c'est la nécessité d'un dispositif d'authentification, d'identification et d'accès-une « identité électronique ».

L'authentification est une grosse affaire dans une économie réseautée. Le commerce électronique a tendance à obliger les entreprises à savoir à qui elles ont affaire. Les esprits ingénieux cherchent sans cesse des moyens de contourner l'obligation d'authentification pour faire des affaires, mais ces moyens n'ont pas vraiment pris, et je pense que nous resterons probablement condamnés à garder l'authentification. La plupart des gens semblent s'en accommoder dans le commerce électronique. Mais son utilisation par l'État, c'est une autre affaire, nous devons être conscients des problèmes, dès le départ.

Nous devons poser deux questions au sujet de l'authentification des clients des services de l'État. D'abord, dans quelle mesure est-il vraiment nécessaire de connaître l'identité du client ?

Si les gens ont un moyen facile d'authentifier leur identité dans une interface électronique avec le gouvernement, l'envie pourrait être grande d'exiger l'authentification là où elle n'est pas vraiment nécessaire.

Bien sûr, si vous demandez une prestation gouvernementale, vous devez établir votre identité. Le gouvernement doit pouvoir vérifier que vous êtes qui vous dites, que vous avez droit à la prestation, et que vous ne l'avez pas déjà reçue.

Mais il n'est pas utile de vous obliger à établir votre identité dans une transaction qu'il est tout aussi raisonnable de faire dans l'anonymat. Une simple demande de renseignements, par exemple, n'exige pas que soit connue l'identité du demandeur.

Ce qu'il faut ici, c'est un choix conscient de n'exiger l'authentification que lorsque c'est nécessaire. Le paramètre par défaut doit être l'anonymat.

Nous ne devrions pas avoir à nous en justifier, mais c'est malheureusement ce qu'il faut faire. Si l'authentification est nécessaire pour certaines transactions, il est facile de l'exiger lorsqu'elle ne l'est pas vraiment.

Des choses comme les mouchards, les certificats numériques et le chiffrement des clés publiques contribuent toutes à l'identification du client et diminuent l'anonymat. Il ne faut les utiliser que lorsque l'anonymat ne suffit pas.

L'autre question à poser est celle-ci : jusqu'où faut-il creuser pour établir l'identité, et combien de preuves faut-il pour nous convaincre ?

Si vous êtes en liaison directe avec le ministère du Développement des ressources humaines pour des prestations du Régime de pensions du Canada, le ministère doit vérifier certaines choses à votre sujet. Si vous posez une question en direct au sujet de votre passeport, le ministère des Affaires étrangères doit vérifier certaines choses à votre sujet.

Les genres de renseignements dont ces ministères ont besoin à votre sujet ne sont pas les mêmes, mais il y a certains éléments communs, comme votre nom et votre date de naissance. Quel que soit le moyen d'authentification retenu, l'architecture du système doit le refléter. L'authentification à une fin ne doit pas servir à vous arracher des renseignements qui ne sont requis qu'à une autre fin.

Encore une fois, nous ne devrions pas avoir à défendre cela, mais il le faut bien. Il est bien trop facile de concevoir un dispositif universel d'authentification, comme une carte à mémoire, qui intègre tous les renseignements au sujet de nos interactions avec le gouvernement, puis les ressort, sans nuance, chaque fois que nous avons une interaction avec un ministère.

Quelles sont donc mes réserves au sujet de Gouvernement en direct. Elles faisaient parties de mes réserves la dernière fois que je vous ai parlé, et elles en sont encore.

Elles devraient être les préoccupations des architectes de GED également, parce que GED est voué à l'échec, et fera perdre d'énormes investissements, si l'on ne s'y arrête pas.

Or, je l'ai déjà dit, il y a eu une certaine évolution qui donne toutes les raisons d'être optimiste. Au gouvernement fédéral, et en particulier chez le dirigeant principal de l'information au Conseil du Trésor, les gens de GED prennent ces préoccupations très au sérieux. Je ne dis pas qu'ils ont éliminé tous les problèmes. Je dis tout simplement qu'ils reconnaissent l'existence des problèmes et que les architectes de GED étudient des moyens de les régler.

Mieux encore, ils étudient des moyens d'intégrer des solutions aux problèmes de protection de la vie privée dès les premiers stades des projets de GED. Les architectes de GED commencent à reconnaître que la vie privée n'est pas une question à laquelle on peut songer après coup, et qu'une bonne conception, c'est toujours plus rentable qu'un bon rattrapage.

Pour eux, le défi est maintenant de trouver des moyens d'accroître l'efficience tout en respectant la vie privée. Ils ont reconnu que l'architecture des systèmes de GED doit tenir compte des principes de la protection de la vie privée-de sorte que, par exemple, les renseignements recueillis à une fin ne puissent servir à d'autres fins non reliées, et qu'ils ne soient pas conservés plus longtemps qu'il faut pour la fin à laquelle l'individu a consenti.

Le bureau du dirigeant principal de l'information reconnaît de plus en plus que le respect des principes de protection de la vie privée peut obliger les ministères à maintenir certains de ces couloirs d'information distincts.

Ils reconnaissent que les transferts de renseignements personnels au secteur privé doivent être soumis à des protections comme des contrats engageant les entreprises à respecter la Loi sur la protection des renseignements personnels.

Et je crois qu'ils commencent à accepter la réalité que les ministères n'ont pas à connaître l'identité de chaque personne qui entre en contact avec le gouvernement. Ils commencent à accepter, selon moi, que l'anonymat doit être le paramètre par défaut. Et que, lorsque l'anonymat n'est pas possible, les renseignements d'authentification doivent être limités et segmentés; les seuls renseignements personnels qui sont révélés pour l'authentification, ce sont les renseignements nécessaires pour la transaction particulière.

La chose la plus utile pour la prise en compte, dès le départ, du droit à la vie privée dans les systèmes est une Étude d'impact sur la vie privée. Et c'est ce dont je voudrais vous parler maintenant, parce que ce genre d'étude est très prometteur pour l'initiative GED du gouvernement fédéral. Au bureau du dirigeant principal de l'information, on s'intéresse vivement aux Études d'impact sur la vie privée, et je m'en réjouis.

Qu'est-ce au juste qu'une Étude d'impact sur la vie privée – En un mot, c'est une analyse de l'impact probable qu'un projet, une pratique ou un système peut avoir sur la vie privée. Elle oblige à examiner toutes les pratiques concernant les renseignements personnels pour le système, comme les genres de renseignements recueillis, les modalités d'obtention du consentement, la façon dont les renseignements sont conservés et leur durée de conservation, ce à quoi ils servent, et les personnes à qui ils sont communiqués. Elle tient compte de choses comme les objets et les pouvoirs statutaires de collecte, d'utilisation et de communication, les genres de liens qu'il y aura entre ces renseignements et d'autres, et la façon dont les individus pourront exercer leurs droits d'accès à leurs renseignements. Et elle tient compte de la législation et des principes de protection de la vie privée, et évalue comment le projet ou le système les respecte dans l'ensemble.

Et quels genres d'impacts sur la vie privée rechercheriez-vous – Je vous donne quelques exemples.

Vous voudriez savoir si votre système ou projet mènera à l'appariement de données. Sera-t-il possible de combiner des renseignements personnels non connexes pour créer de nouveaux renseignements au sujet des individus ?

Sera-t-il possible de suivre les transactions de l'individu avec les programmes ?

Le système, et en particulier ses exigences en matière d'identification et d'authentification, déboucheront-ils sur l'établissement de profils, la surveillance des transactions, et d'autres formes de surveillance ?

Le programme ou le système débouchera-t-il sur l'observation physique des individus ?

Facilitera-t-il l'abus électronique de renseignements personnels qui sont du domaine public ?

Voilà des questions à se poser sur les violations possibles de la vie privée. Vous devez aussi vous poser des questions sur les ressources à y consacrer-comme la question de savoir s'il y a en place une structure d'obligation de rendre compte des questions de protection de la vie privée.

De fait, il s'agit d'une étude de faisabilité dans une perspective de protection de la vie privée. C'est une excellente façon de prévoir les impacts sur la vie privée, et d'établir les moyens à mettre en ouvre pour surmonter les impacts négatifs.

Et c'est encore plus. Cela s'appelle parfois un outil de gestion du risque. C'est parce qu'il y a une foule d'impacts possibles sur la vie privée qui seront définis mais qui ne se concrétiseront peut-être pas. Il y a un risque plutôt qu'une certitude que l'appariement des données, par exemple, débouche sur de nouveaux renseignements, ou que l'authentification débouche sur l'établissement de profils.

Mais c'est un outil de gestion du risque, parce que les conséquences d'une erreur de conception dans le cas de la protection de la vie privée sont lourdes. Comme je l'ai dit plus tôt, la conception, c'est plus rentable que le rattrapage. Et vous ne voudriez pas que votre projet amène un organisme de surveillance comme le mien à vous inviter à vous expliquer.

Une Étude d'impact sur la vie privée vous permet de sensibiliser les divers éléments et personnalités de votre organisation aux questions de protection de la vie privée, et vous aide à créer une culture organisationnelle de respect de la vie privée, où chacun appuie et comprend que le respect de la vie privée est un objectif de l'organisation.

Et une Étude d'impact sur la vie privée est un outil des plus utiles pour surveiller le système en cours de route. Vous avez repéré les risques pour la vie privée, vous pouvez voir si les moyens que vous avez mis en place pour les gérer sont efficaces, et vous êtes aux aguets et à l'affût des nouveaux risques imprévus qui pourraient se concrétiser.

Plus tard, lorsque vous examinerez dans quelle mesure vos systèmes respectent la législation et les principes de protection de la vie privée, l'Étude d'impact sur la vie privée sera un excellent moyen de veiller à ce que les intervenants à l'examen-les utilisateurs du système, la direction et les représentants de l'organisme de surveillance-se comprennent les uns les autres et comprennent le système.

Il y a déjà un certain temps que je presse le gouvernement fédéral d'utiliser les Études d'impact sur la vie privée, et l'idée semble prendre racine. Le bureau du dirigeant principal de l'information au Conseil du Trésor travaille à la formulation d'une politique sur leur utilisation, et son expertise en Études d'impact sur la vie privée croît rapidement.

Nous avons aussi envisagé la mise au point d'un processus selon lequel nous pourrions examiner les Études d'impact sur la vie privée et les commenter, dès le départ.

Ce genre d'approche me réjouit. Elle serait un moyen objectif de concertation pour promouvoir les objets de la Loi sur la protection des renseignements personnels. Cela nous éloignerait du modèle à base de plaintes, caractéristique d'un si grand nombre d'organismes de protection des droits. Mon personnel pourrait travailler utilement avec les gens de GED, afin qu'ils n'aient pas à attendre une plainte pour voir s'ils ont peut-être oublié quelque chose au sujet de la vie privée.

Bien sûr, le processus de plaintes a sa place, et il est nécessaire. Les Canadiens et Canadiennes doivent avoir le droit de mettre les organisations au défi de respecter leur vie privée. Mais personne n'a intérêt à ce que j'attende que les choses soient allées trop loin et que des millions de dollars aient déjà été dépensés avant que j'intervienne. Et, comme toujours, mieux vaut prévenir que guérir. Il vaut mieux protéger la vie privée dès le départ que de tenter de réparer les dégâts après une violation de la vie privée. Certes, on peut venir se plaindre à moi en cas de violation de la vie privée, et je peux aider à trouver un remède, et prendre des mesures pour que la chose ne se reproduise pas. Mais soyons réalistes : cela ne redonne pas sa vie privée à qui l'a perdue.

Donc, ce genre d'approche de concertation serait très logique pour un Commissariat comme le mien. Mon travail consiste à appliquer principes et souplesse aux questions de vie privée. Un excellent moyen d'y arriver serait d'aider les organisations dans leurs Études d'impact sur la vie privée.

Votre conférence est axée sur le gouvernement, mais un grand nombre d'entre vous, je le sais, êtes du secteur privé. Je tiens à souligner que l'Étude d'impact sur la vie privée est un outil utile dans le secteur privé également.

De plus en plus d'organisations tombent sous le coup de la législation sur la protection des renseignements personnels et, bien sûr, même celles qui n'y sont pas tenues par la loi attachent habituellement beaucoup de prix à la protection de la vie privée.

Ces organisations devraient faire des Études d'impact sur la vie privée, parce que se soucier de protection de la vie privée n'est habituellement pas suffisant. Les bonnes intentions, en soi, ne sont pas une protection.

La vie privée, de fait, est souvent très menacée par des gens bien intentionnés, qui n'ont pas l'impression de la violer. Ils ont plutôt l'impression qu'ils la troquent pour un bien supérieur. Parfois, c'est le service à la clientèle. Parfois c'est la sécurité publique. Et souvent, et surtout lorsque le gouvernement est dans le tableau, c'est quelque chose que l'on qualifie d'efficience.

Si je dis « quelque chose que l'on qualifie d'efficience », c'est que, à mon sens, on oublie trop souvent ce qu'est véritablement l'efficience.

Ce n'est pas faire plus avec moins, ni pratiquer une gestion minimaliste, ni optimiser ses dépenses, ni rien de tous les autres clichés.

L'efficience se dit de la relation entre la fin et les moyens, du choix du meilleur moyen pour atteindre un objectif donné.

La façon dont nous définissons ces objectifs est la question cruciale. Et la réalité toute simple est que la protection de la vie privée doit faire partie de ces objectifs. La vie privée n'est pas un obstacle à l'efficience, ni une chose que l'on peut sacrifier à une plus grande efficience. C'est quelque chose à protéger. C'est un élément fondamental de votre objectif. À vous de trouver le moyen efficient de l'atteindre.

J'ai bon espoir qu'il sera possible d'exécuter les programmes gouvernementaux avec efficience et de façon commode, et d'obtenir notre Gouvernement en direct sans rien sacrifier à la vie privée.

La clé, cependant, c'est de reconnaître toute l'importance de la vie privée pour notre société, et de comprendre comment les Canadiens et Canadiennes y tiennent, et de construire votre système en conséquence.

Construisez-le, et ils l'adopteront. Les Canadiens et Canadiennes réserveront un accueil enthousiaste à Gouvernement en direct s'ils ont l'assurance de la protection de leur vie privée. Si j'ai un conseil à vous donner à tous, c'est de trouver un moyen de vous concerter, un moyen faisant intervenir les architectes du système, les gestionnaires du programme et les représentants des organismes de surveillance comme mon Commissariat. Une approche de concertation et un engagement envers la vie privée, voilà votre meilleure garantie de pouvoir compter sur l'appui des Canadiens et Canadiennes pour Gouvernement en direct.

Merci.

Date de modification :