Conférence des directeurs de la protection de la vie privée (DPVP)

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 12 février 2002
Toronto, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Bonjour. Je suis bien heureux de vous voir ici en si grand nombre.

C'est encourageant - pas seulement parce que j'aime bien avoir un bon auditoire, mais surtout parce que cela témoigne de l'attitude des entreprises face à la vie privée.

Selon un récent numéro de Privacy Times, il y a quelque 500 directeurs de la protection de la vie privée aux États-Unis. C'est dire que la vie privée est en passe de devenir un enjeu important pour l'entreprise.

Les organisations qui veulent relever le défi de la protection de la protection de la vie privée ont compris qu'elles doivent faire appel à des personnes dévouées, qui ont des compétences particulières et qui comprennent bien ce qu'est la vie privée.

Il est presque sûr que le Canada, compte tenu de la taille de son économie et de sa population, a autant sinon plus de DPVP que les États-Unis.

Si je le dis, c'est que la Loi sur la protection des renseignements personnels et les documents électroniques oblige les organisations à nommer des responsables de leurs pratiques de protection de la vie privée.

Pour les directeurs de la protection de la vie privée au Canada, une assemblée comme la vôtre est une excellente occasion de se réunir pour échanger de l'information.

Et une des choses dont vous voudrez parler, j'en suis certain, c'est la façon dont vous travaillez avec mon bureau pour vous acquitter des responsabilités que vous impose la nouvelle loi fédérale sur la protection de la vie privée - la « LPRPDE », comme nous disons.

J'espère pouvoir faciliter cette discussion en vous disant un mot de mon rôle de commissaire à la protection de la vie privée du Canada, et de vos rôles de directeurs de la protection de la vie privée. Je commencerai quand même par une mise en garde - une espèce de mise en contexte, si vous préférez.

Le poste de DPVP est presque obligatoire en vertu de la nouvelle loi applicable au secteur privé. Mais il ne doit pas être que de la poudre aux yeux.

Mes attentes à l'endroit des organisations à cet égard sont élevées.

Les DPVP sont à l'avant-garde de la protection de la vie privée. Et ils se doivent d'être les défenseurs de la vie privée, à l'interne, dans leur organisation. Les organisations doivent donc veiller à doter cette fonction de la structure et du personnel qu'il faut.

Il devrait aller de soi que le directeur de la protection de la vie privée doit comprendre les enjeux et y être sensible. Pas besoin d'être avocat, mais il faut comprendre la loi sur la protection de la vie privée et les droits et les responsabilités qui en découlent. Pas besoin d'être technologue de l'information, mais il faut comprendre la technologie, ses capacités et ses incidences.

Mais, au-delà de tout cela, le DPVP doit avoir un poste assez élevé, investi du pouvoir de faire bouger les choses. Il doit avoir accès aux plus hautes instances de l'organisation, et disposer des ressources nécessaires pour abattre le travail.

Ces derniers points sont cruciaux, parce que le DPVP, en tant que défenseur de la protection de la vie privée au sein de l'organisation, n'est pas toujours le type le plus populaire dans l'équipe de direction.

Il doit être le policier inflexible. Il est celui qui dit aux autres qu'ils ne peuvent pas faire ce qu'ils veulent faire. Il doit dire aux gens du marketing que leur nouvelle promotion astucieuse viole les principes de la protection de la vie privée. Il doit annoncer aux gestionnaires des ressources humaines qu'ils devraient cesser d'utiliser ce bon vieux numéro d'assurance sociale, fort commode par ailleurs, pour désigner les employés.

Il y aura donc des jours où il se sentira plus seul que le réparateur Maytag, et où il aura le sentiment que son seul allié dans la défense des droits à la vie privée est le commissaire à la protection de la vie privée du Canada.

Cela dit, permettez-moi de vous parler un peu de qui je suis et de ce que je fais.

Je suis un mandataire indépendant du Parlement, nommé pour être le champion des droits à la vie privée de tous les Canadiens et Canadiennes. Cela m'amène à jouer un double rôle. D'abord, je surveille les deux lois concernant la protection de la vie privée au Canada - la Loi sur la protection des renseignements personnels, qui régit le secteur public fédéral, et la nouvelle LPRPDE, qui s'applique au secteur privé.

Je dois veiller au respect des droits de tous les Canadiens et Canadiennes en vertu de ces lois-là et, après enquête, trancher les plaintes des personnes qui estiment que leurs droits à la vie privée ont été violés.

Mon autre rôle, très connexe, est l'exercice de mon mandat de sensibilisation des Canadiens et Canadiennes à leurs droits à la vie privée, de promotion du respect de la vie privée et de sensibilisation aux responsabilités pour la protection de la vie privée.

C'est dans le premier de ces rôles - celui de chien de garde de la vie privée - que les DPVP que vous êtes me connaissent probablement le mieux.

Lorsqu'un client ou un employé se plaint de l'une de vos organisations à mon bureau, vous risquez d'être le premier point de contact dans notre enquête.

Et, vous le savez sans doute, j'ai pleins pouvoirs d'enquête. Je peux ordonner la production de documents, visiter des locaux et contraindre des personnes à témoigner.

Mes prédécesseurs et moi n'avons jamais une seule fois eu à utiliser ces pouvoirs formels en vertu de la Loi sur la protection des renseignements personnels, parce que nous avons toujours pu obtenir une collaboration volontaire. J'espère vivement que ce sera la même chose avec la loi sur le secteur privé. Je préfère toujours l'approche de la collaboration.

Lorsqu'un différend sur les droits à la vie privée et les responsabilités en la matière oppose une organisation à ses clients ou ses employés, j'espère travailler avec tous les intéressés à la recherche d'une solution qui fera l'affaire de tous.

Si je conclus qu'une organisation viole la vie privée, je propose un remède pour corriger le problème.

Je n'ai pas de pouvoir de rendre des ordonnances.

Je suis essentiellement un protecteur du citoyen.

Mais j'ai des instruments à ma disposition pour le cas - que j'espère très rare - où une organisation violerait les droits à la vie privée et refuserait de s'amender.

Je peux demander à la Cour fédérale de lui ordonner de se conformer, voire d'accorder des dommages-intérêts aux victimes.

Ou encore, je peux faire savoir publiquement qu'une organisation donnée, trouvée coupable de violation de la loi sur la protection de la vie privée, s'entête à refuser de respecter les droits à la vie privée des Canadiens et Canadiennes - puis compter sur la publicité et l'opinion publique pour faire bouger les choses.

Je connais peu de mécanismes d'application de la loi qui soient plus efficaces, et c'est un mécanisme qui aide à sensibiliser tout le monde-l'organisation, les consommateurs, les employés et le grand public-à ce que signifie la vie privée et à leurs droits et responsabilités.

Maintenant que nous avons une année d'expérience de la loi applicable au secteur privé, j'aurais quelques conseils pratiques à vous donner sur le processus de plainte, des conseils inspirés de certaines de nos expériences.

En vertu de la Loi, une des choses que je peux faire lorsque mon bureau reçoit une plainte, c'est de renvoyer le plaignant à son organisation pour suite à donner à l'interne. C'est une disposition fort utile dans certains cas.

Mais, dans certaines organisations tout au moins, ce point semble mal compris :

Je peux renvoyer les plaignants, mais je n'y suis pas obligé, et je ne le fais pas si cela n'est pas opportun.

Quand est-ce opportun – Ma foi, dans bien des cas, les individus ont déjà tenté de régler leur problème avec l'organisation même, mais sans succès. Souvent, les plaignants en ont gros sur le cour contre l'organisation en question.

Mais, la chose la plus importante, c'est la question de l'intérêt public.

Lorsqu'une plainte est déposée en vertu de la LPRPDE, l'enjeu va plus loin que l'intérêt individuel. Les droits que confère la Loi sont des droits publics, et il y a un intérêt public pour leur protection-c'est, en somme, pour cela que nous avons une loi et un commissaire à la protection de la vie privée.

Surtout lorsque la plainte semble toucher une question systémique, je dois bien veiller à ce que le remède satisfasse cet intérêt public.

Nous devons également bien comprendre le rôle du DPVP dans une enquête. Encore une fois, il semble parfois y avoir une certaine incompréhension.

Outre qu'il constitue une ressource pour l'organisation elle-même, le DPVP est un point de contact précieux pour nous. Mais mon personnel et moi avons le pouvoir de décider de la façon de mener l'enquête.

C'est nous qui décidons qui nous allons interviewer, et quels documents nous aurons besoin de voir.

Et laissez-moi vous donner le conseil suivant-peut-être le conseil le plus judicieux dont je sois capable. Si nous vous téléphonons au sujet d'une plainte, n'appelez pas vos avocats. Notre système vise à éviter dans toute la mesure possible les coûteux litiges qui s'éternisent.

C'est pourquoi la loi n'est pas une simple loi que l'on fait appliquer par l'intervention des tribunaux. Et c'est pourquoi le commissaire à la protection de la vie privée fonctionne comme protecteur du citoyen plutôt que comme donneur d'ordres.

Ce système comparativement informel joue à notre avantage, à l'avantage des plaignants, et au vôtre. Ne le transformez pas en processus de confrontation qui n'avantage personne.

Ce n'est pas l'intervention des avocats qui m'empêchera de faire enquête sur une plainte, car la loi m'y oblige.

Les avocats ne peuvent pas m'empêcher de rendre une conclusion que je juge appropriée, car mon devoir m'y engage.

Ils peuvent tout au plus ajouter à votre facture - et, dans le scénario pessimiste pour toute société, causer assez d'obstruction pour créer exactement le genre de controverse publique que vous tenez justement à éviter au départ.

Mon conseil donc : N'essayez pas de me traiter et de traiter mon bureau comme un adversaire. Nous sommes là pour vous aider à vous conformer à la loi et à respecter les droits à la vie privée.

Puisque nous savons tous que la protection de la vie privée est une bonne affaire, nous sommes tous dans le même camp. Ne créez pas la confrontation dans des circonstances où la collaboration serait bien préférable.

Que découvrons-nous dans nos enquêtes sur les plaintes ?

Je sais que tout le monde est en faveur de la vie privée, mais il ne fait pas de doute qu'il y a encore un certain chemin à parcourir avant d'en arriver là.

Dans certains cas, les renseignements recueillis sont trop abondants.

L'organisation ne dit pas toujours clairement à quelle fin elle recueille, utilise ou communique des renseignements personnels.

Parfois, elle les conserve trop longtemps, sans motif valable, et elle ne le protège pas toujours au moyen de mesures de sécurité appropriées.

Il importe de se rappeler que ni la LPRPDE ni une autre loi ne peut protéger les renseignements personnels en soi. C'est aux organisations-à vous les DPVP-qu'il revient de les compléter par leurs politiques, procédures et programmes, et de faire naître une culture du respect de la vie privée.

Permettez-moi de dire un mot de quelques enjeux auxquels vous devriez consacrer votre réflexion, en tant que DPVP.

Vous êtes peut-être le DPVP d'une famille de sociétés-peut-être un conglomérat financier qui comprend des sociétés de placement, des sociétés de fonds communs de placement, des sociétés d'assurances et des sociétés de fiducie.

Dans des sociétés liées comme cela, l'envie est grande de partager des renseignements sur les clients entre filiales.

Il importe au plus haut point de retenir que, aux fins de la LPRPDE, le partage de renseignements personnels avec une filiale est considéré comme une communication.

Par conséquent, le consentement est obligatoire. Il y a aussi une chose que vous devez observer, à mon avis, même si la Loi ne s'applique pas à vous. C'est une simple question de respect pour les renseignements personnels des clients-et ce qui en fait une bonne pratique d'affaires.

Bon nombre d'entre vous consacrez beaucoup d'attention aux renseignements personnels des clients. C'est compréhensible, puisqu'une bonne part des affaires dans notre ère moderne sont liées à la gestion des relations avec la clientèle, à la connaissance de votre client.

Et c'est compréhensible, parce que l'intérêt pour les renseignements sur les clients a été dans une large mesure le déterminant des initiatives de protection des renseignements personnels ces dernières années.

Vous êtes continuellement confronté à ce défi : votre organisation veut connaître ses clients, et elle recueille des renseignements à leur sujet-mais ces renseignements personnels appartiennent aux clients, pas à l'organisation.

L'organisation a entre les mains la vie privée de ses clients : elle détient ces renseignements personnels en fiducie.

Pour importants que soient les renseignements sur les clients, la protection de la vie privée, c'est plus que cela, et la fonction et le rôle du DPVP doivent être plus qu'un simple prolongement des relations avec la clientèle.

La protection de la vie privée des clients est peut-être ce que vous connaissez le mieux, mais il y a aussi un autre enjeu à prendre en compte : celui des droits à la vie privée des employés.

Contrairement à ce que certaines personnes voudraient croire, les droits à la vie privée des employés sont réels et vont très loin.

Vous les verrez dans presque tous les aspects de l'activité de votre organisation.

La simple activité de base qui vous oblige à savoir qui sont vos employés, aux fins de la rémunération et des avantages sociaux, impose de grandes obligations en matière de protection des renseignements personnels.

C'est à vous de veiller à ce que la collecte des renseignements de vos employés se limite au vraiment nécessaire.

Vous devez veiller à les entourer des mesures de sécurité appropriées, et à n'en permettre la communication que dans des circonstances autorisées.

Vous devez veiller à ce que vos employés aient accès à leurs renseignements et leur donner le droit de les corriger.

Vous devez aussi examiner des choses comme la collecte et l'utilisation de renseignements aux fins des évaluations de rendement et des promotions.

Vous devez comprendre que les droits à la vie privée s'étendent à des choses comme les casiers et les tiroirs de bureau, à la surveillance des messages électroniques et de l'utilisation d'Internet, et à ce que l'organisation peut savoir sur ce que l'employé fait de ses temps libres.

Vous devez bien examiner les enjeux entourant les renseignements personnels sur la santé des employés, le dépistage des drogues et le dépistage génétique.

J'ai observé récemment une initiative très positive dans une organisation du secteur privé qui s'est inspirée du système qu'utilisent les ministères fédéraux aux fins de la Loi sur la protection des renseignements personnels. Elle a dressé un inventaire de tous ses renseignements au sujet de ses employés, et les a catalogués en banques de renseignements bien définies.

C'est important, parce que cela vous donne une idée claire des renseignements personnels que vous détenez et des utilisations que vous en faites. Cela vous oblige également à faire preuve de transparence avec vos employés et à leur rendre compte de leurs renseignements personnels.

Votre organisation a peut-être des responsabilités légales en matière de protection des renseignements personnels des employés.

C'est le cas si vous êtes une entreprise fédérale-vos employés sont couverts par la Loi sur la protection des renseignements personnels et les documents électroniques. La loi québécoise sur la protection des renseignements personnels s'applique aux employés.

Et les lois que les autres provinces se donneront pour la protection de la vie privée dans le secteur privé devront s'appliquer aux employés pour être considérées comme essentiellement similaires à la loi fédérale.

Mais même si la loi n'en fait pas obligation, le bon DPVP se doit de protéger de toute façon les droits à la vie privée des employés.

Ce sont des droits fondamentaux, et on ne peut demander aux individus de les laisser au vestiaire en entrant au travail.

C'est aussi une bonne affaire : vous serez bien servi par un effectif qui a un bon moral, et la vie privée, comme élément essentiel de la dignité humaine, est cruciale pour le moral.

Je suis désolé de dire que, malgré les exigences de la loi et les principes de bonne gestion, il semble bien que certaines organisations ne comprennent toujours pas.

Il y a encore trop d'organisations qui n'ont pas encore de code pour faire face aux enjeux du milieu de travail. Nous voyons trop de lieux de travail où les employés n'ont pas de processus de plainte.

C'est un domaine où je m'attendrais de voir le DPVP jouer un rôle de défenseur interne des droits à la vie privée.

Si votre employeur n'a pas vu à ces choses-là, c'est à vous de faire naître la culture de protection de la vie privée, et de mettre en place les structures à cette fin. Rappelez-vous : c'est de la bonne gestion, et c'est bon pour les affaires.

On finira bien par reconnaître que vous avez raison et vous remercier.

Il y a un enjeu qui me préoccupe particulièrement en matière de vie privée, et c'est la surveillance vidéo.

C'est une chose que nous n'avons heureusement pas vue souvent chez nous-à l'opposé du Royaume-Uni, par exemple, qui a plus de deux millions de caméras de surveillance.

Nous ne sommes pas allés jusque-là, mais certaines collectivités ont installé des systèmes de surveillance vidéo des lieux publics, et d'autres envisagent de les imiter. C'est le tranchant d'une hache très dangereuse.

Je crois que la surveillance vidéo des lieux publics, comme les rues et les parcs, est la question la plus urgente et la plus importante de protection de la vie privée à laquelle nous soyons confrontés comme société.

Notre droit fondamental à la vie privée, notre droit de vaquer à nos occupations légitimes et pacifiques dans nos rues publiques, sous le couvert de l'anonymat et sans être épié systématiquement par des agents de l'État, s'en trouve sérieusement menacé.

Si je vous en parle, c'est pour vous implorer, vous, citoyens très en vue, de vous élever contre cette initiative.

Mais je vous en parle aussi parce que ce n'est pas seulement une question d'application de la loi, ni surtout une question où je crains l'action du gouvernement.

Le droit à la vie privée des clients et des employés est en jeu ici également.

De fait, la prolifération des caméras de surveillance dans les entreprises est peut-être ce qui en a amené certains à vouloir en installer dans les lieux publics.

Et c'est peut-être ce qui a amené certaines personnes à acquiescer aussi timidement à l'enregistrement sur bande de chaque aspect de leur vie publique.

Et c'est dans le milieu de travail que le problème se concrétise vraiment. Lorsque, pour garder votre emploi, vous n'avez pas d'autre choix que de consentir à être filmé, on ne peut pas dire que vous avez donné votre consentement. Si quelqu'un vient me trouver pour se plaindre de la surveillance vidéo en milieu de travail, je ne serai pas impressionné lorsque l'organisation tentera de rejeter sa plainte du revers de la main en invoquant le consentement de l'employé.

La LPRPDE dit clairement que le consentement seul ne suffit pas. Précisément pour éviter le consentement forcé, la Loi dit que la collecte de renseignements personnels doit être à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Et lorsqu'il y a désaccord et plainte, cette « personne raisonnable » selon la Loi, c'est moi.

En êtres raisonnables que nous sommes, nous pouvons peut-être tous nous mettre d'accord sur un critère qui aidera à détenir si la surveillance vidéo est justifiée dans une situation donnée, comme dans un lieu de travail particulier.

J'ai proposé ce critère pour l'évaluation de toute nouvelle mesure de sécurité intrusive dans la foulée du 11 septembre. Je pense qu'il peut être très utile pour l'évaluation de la surveillance vidéo également.

Il y a quatre questions à se poser.

En premier lieu, y a-t-il un vrai problème ou une vraie menace ?

En second lieu, la violation envisagée de la vie privée est-elle réellement un moyen efficace de contrer le problème-fera-t-elle effectivement une différence décisive ?

En troisième lieu, la violation de la vie privée est-elle proportionnelle à l'ampleur du problème. Si votre problème n'est qu'un chapardage de crayons, il ne justifiera pas une surveillance vidéo à grande échelle dans tout un lieu de travail.

Enfin, y a-t-il une façon moins intrusive d'arriver au même but ?

Vous servirez bien vos organisations si vous examinez dès le départ tous ces genres de questions. Et vous serez un précieux allié pour moi et mon bureau, et pour la protection de la vie privée, lorsque vous soulèverez ces questions au sujet des pratiques intrusives.

La question des justifications pour les limitations de la vie privée a été particulièrement mise en lumière après les attentats terroristes de septembre dernier.

Le milieu des affaires, comme tout le monde après le 11 septembre, était bien résolu à empêcher qu'une chose pareille se répète. Et, pour des raisons parfaitement compréhensibles, une foule d'entreprises voulaient faire leur part.

Cela a eu de profondes conséquences pour les organisations et leur façon de traiter les renseignements personnels. Elles devaient savoir qui étaient leurs employés et s'ils représentaient une menace quelconque. Le souci est parfaitement légitime, mais il ne faut pas avoir de réactions exagérées, et il faut savoir où tirer la ligne. Une foule d'organisations détiennent des renseignements qui pourraient être utiles aux forces de l'ordre et de la sécurité. Encore une fois, il y a des façons légitimes d'aborder cela, avec un contrôle judiciaire approprié.

Soyons bien clairs : je n'ai pas l'intention de m'opposer à la protection du public par des moyens appropriés et nécessaires.

Mais nous n'allons pas défaire le terrorisme en abolissant les choses mêmes qui donnent tout son attrait à notre société et qui justifient le combat pour sa défense. C'est tout à fait l'inverse.

La protection de la vie privée et la sécurité peuvent et doivent coexister. La vie privée est un droit fondamental, et la sécurité est une condition que nous devons mettre en place pour jouir de nos droits fondamentaux.

Encore une fois, nous devons passer au peigne fin chaque mesure proposée qui violerait la vie privée.

Chaque fois qu'on propose une mesure qui sacrifie la vie privée aux impératifs dits supérieurs de notre sécurité, nous devons poser ces questions : est-ce nécessaire, est-ce efficace, est-ce proportionnel, et y a-t-il une solution de rechange moins intrusive ?

Tels sont les critères. Nous devons exiger que ceux qui proposent la mesure la justifient en fonction de ces critères.

À cet égard, en tant que DPVP, vous devez être la conscience interne de vos organisations. C'est à vous d'amener vos organisations à traiter leurs employés avec la plus grande discrétion, tout en veillant à répondre aux besoins légitimes et justifiés en matière de sécurité.

C'est à vous de veiller à ce que votre organisation recueille, utilise et communique des renseignements à leur sujet, en toute légalité-pas seulement en toute légalité, mais en toute équité également.

C'est vous qui pouvez encourager vos organisations à ne pas traiter chaque employé comme un terroriste en puissance.

C'est vous qui pouvez veiller à ce que vos organisations respectent la loi chaque fois qu'il est question de communiquer des renseignements sur leurs clients à des fins d'application de la loi.

En conclusion, je vous rappellerai l'importance de la responsabilité que vous avez assumée, et vous féliciter de l'avoir fait.

Parfois, il est difficile de faire la part des choses dans tous détails du cas particulier de renseignements personnels qui vous occupe, pour le tableau d'ensemble.

Vous vous affairez à rédiger une clause de consentement, ou à examiner la sécurité des dossiers de personnel, ou à voir de quels renseignements personnels, exactement, votre organisation a vraiment besoin pour sa prochaine campagne de marketing.

Vous vous activez à élaborer une procédure pour permettre à vos clients et à vos employés d'avoir accès à leurs renseignements personnels.

Vous tapez sur la tête des membres de votre équipe de direction, pour tâcher de leur « vendre » une politique de protection de la vie privée. Il est facile d'oublier l'objet exact de tout cela.

L'objet de tout cela, c'est la protection et le raffermissement d'un droit qui sous-tend toutes nos libertés humaines.

La vie privée, notre droit de contrôler l'accès aux renseignements nous concernant, est au cour de la liberté de parole, de la liberté de pensée, de la liberté de conscience, de la liberté d'association.

J'ai souvent dit que la vie privée est la question déterminante de notre décennie, parce qu'elle est tellement menacée par les progrès technologiques, les phénomènes sociaux et les événements politiques.

Notre réponse à ces menaces déterminera le monde que nous léguerons à nos enfants et nos petits-enfants.

En tant que DPVP, si vous avez les connaissances, l'ascendant, les ressources et, par-dessus tout, le cran de vous tenir debout pour défendre ce droit fondamental, vous aiderez à faire en sorte que ce soit un droit authentique et bien respecté dont nous jouissions dans notre quotidien.

C'est vous qui ferez la différence.

Donc, je vous félicite, et vous remercie d'accepter de relever ce défi.

Au plai

Date de modification :