Conférence sur l'intégration des données et les données découlant du lien employeur-employé

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 22 mars
Wellington, Nouvelle-Zélande

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Cette conférence est consacrée au problème d'établir un lien entre les données d'un sondage de recherche et les données recueillies dans un but administratif. Je trouve un peu étonnant que vous discutiez d'abord de la création de ces banques de données, ensuite de leur utilisation en recherche et, seulement par la suite, de la protection des renseignements personnels et de la confidentialité.

Ceci m'amène à penser que la protection des renseignements personnels ne débute qu'après que vous avez obtenu les renseignements. Si je comprends bien, une fois que vous créez ces banques de données et que vous les utilisez par la suite pour compléter certaines recherches, la seule question qui reste à régler consiste à s'assurer que ces données ne sont pas accessibles aux utilisateurs non autorisés.

Est-ce que vous ne confondez pas la protection des renseignements personnels et, la confidentialité et la sécurité ?

La protection des renseignements doit signifier autre chose que la confidentialité et la sécurité. Ceci ne peut pas être considéré comme un fait postérieur. Elle doit être intégrée dans le système dès sa conception. En effet, les préoccupations sur la protection des renseignements personnels peuvent influer sur la façon dont vous bâtissez ces systèmes et, même parfois, à savoir si vous les bâtirez.

La protection des renseignements personnels est ce droit qui nous est accordé de contrôler l'accès aux renseignements sur ce que nous sommes, y compris la cueillette, l'utilisation et la divulgation de cette information.

C'est ce qui la différencie de la confidentialité et de la sécurité.

La confidentialité constitue l'obligation que nous avons de protéger les renseignements personnels que nous possédons en rapport avec d'autres personnes. C'est une obligation de traiter ces renseignements avec précaution, d'en respecter la confidentialité, et de ne pas en abuser ou les divulguer sans raison.

Et la sécurité consiste à évaluer les risques et à contrer les possibilités de divulgation de ces renseignements.

Si les renseignements sont recueillis ou utilisés sans un consentement lucide, ceci constitue une violation flagrante de la protection des renseignements personnels; aucune mesure de confidentialité et de sécurité ne pourra y remédier. Si ces données ont été recueillies dans un but spécifique et qu'elles sont utilisées dans un dessein tout autre, sans autorisation, cela représente aussi une violation de la protection des renseignements personnels.

Au Canada, nous avons connu certaines expériences de banques de données intégrées qui étaient à toute épreuve au point de vue sécurité et confidentialité, mais qui néanmoins constituaient une violation de la protection des renseignements personnels. On l'avait baptisé le fichier longitudinal de la main d'ouvre.

Le fichier longitudinal de la main d'ouvre accumulait des renseignements qui avaient été recueillis par certaines agences et ministères du gouvernement canadien pour les besoins de l'impôt sur le revenu, l'immigration, l'aide sociale, les services d'emploi et l'assurance-chômage; tous ces renseignements avaient été emmagasinés dans une immense banque de données.

On ne remet pas en question les bonnes intentions du ministère qui avait accumulé cette banque de données. Et cela ne constituait pas une violation de la Loi canadienne sur la protection des renseignements personnels - du moins, ce n'était pas une violation de la lettre de la loi. La Loi permet spécifiquement à un organisme gouvernemental qui a recueilli des renseignements personnels dans un but administratif de l'utiliser ou de la divulguer à des fins de recherche et de statistiques. Tous les renseignements personnels accumulés dans ce fichier concernaient directement des programmes d'exploitation du ministère ou lui avaient été divulgués légalement par les autres ministères. Le ministère avait même avisé les Canadiens et les Canadiennes de l'existence de cette banque de données, du moins jusqu'à concurrence de leur obligation légale telle que stipulée dans la loi.

Il existait cependant des problèmes graves qui en ont fait une violation de l'esprit de la Loi sur les renseignements personnels. Ceux-ci incluaient l'immensité et la perspective globale de cette banque de données, l'absence de transparence sur l'utilisation de ces informations lorsqu'elles étaient recueillies et accumulées, la nature permanente de ces données, et l'absence d'un cadre explicite de bouclier légal. En définitive, un fichier «Big Brother» construit à partir de dossiers complets sur chacun des Canadiens et Canadiennes constitue une tentation énorme pour un gouvernement de l'utiliser à des fins d'exploitation des données, d'établissement de profils, de surveillance et de localisation de personnes, ou de les classifier et de faire des prédictions les concernant basées sur des éléments tels que l'origine ethnique, l'invalidité ou les activités politiques.

Un véritable tumulte de protestations a été déclenché lorsque le rapport annuel de mon prédécesseur haussa le niveau de sensibilisation du public à l'existence de cette banque de données. Éventuellement, cette initiative du commissaire à la protection de la vie privée du Canada combinée à la pression issue de l'opinion publique a contraint le gouvernement à supprimer cette banque de données. Ce qui est à l'honneur du ministère, c'est que la suppression fut effectuée rapidement et dans la plus grande collaboration avec mes fonctionnaires.

Voilà un exemple de mon rôle de protecteur du citoyen en tant que commissaire à la protection de la vie privée. Même si je n'ai pas les pouvoirs requis pour ordonner à un ministère du gouvernement ou à une compagnie privée d'entreprendre certaines activités afin de respecter les droits à la vie privée des Canadiens et Canadiennes, j'ai le mandat imposé par la loi de revendiquer en faveur du respect de ces droits. Les paroles du commissaire portent plus de poids qu'une voix parmi tant d'autres; elle constitue la voix de tout le peuple canadien, exprimée par un fonctionnaire qui est autonome du Parlement.

Comme bien des défenseurs des droits à la vie privée, je ne nie pas qu'il est important dans un État moderne de recueillir certains renseignements personnels, à des fins d'élaboration de politiques et de programmes, de gestion de l'économie, d'information générale du public et d'évaluation de l'efficacité de politiques et des programmes.

Mais la leçon que l'on doit retenir de l'aventure du Fichier longitudinal de la main d'ouvre est que la vie privée doit être respectée; elle doit être intégrée dans le système, sinon, les objectifs légitimes du gouvernement ne pourront pas être atteints.

Cela fait partie de vos tâches de découvrir une façon d'assurer que vos banques de données statistiques et de recherche protègent les renseignements personnels. C'est un droit fondamental, et le fardeau d'en assurer le respect repose sur les épaules de ceux qui conçoivent ces systèmes.

Voici quelques-uns des points clés sur lesquels j'attire l'attention des gouvernements lorsque je discute avec eux de la conception de leurs systèmes administratifs. Ces éléments ne constituent peut-être pas des bonnes nouvelles pour les promoteurs de banques de données intégrées. Mais je conserve l'espoir que ceci peut vous aider à protéger la vie privée lors de la conception de vos systèmes et vous éviter les problèmes auxquels nous avons dû faire face au Canada.

Premièrement, maintenez des cloisonnements entre les banques de données.

Les renseignements sur les personnes et leurs interactions avec les gouvernements sont recueillis dans un but spécifique. Les banques de données dans lesquelles ils sont conservés - les «réserves» ainsi qu'on les appelle - correspondent aux fins spécifiques qui justifient la collecte et l'archivage de ces renseignements. Les renseignements sont compartimentés.

Une agence qui désire obtenir un élément d'information peut accéder sans ces cloisonnements à beaucoup plus de renseignements qu'elle n'a besoin ou même qui plus est, elle a le droit de connaître.

Et les renseignements peuvent être recoupés afin de créer des profils de personnes. Cela peut rendre l'analyse statistique plus facile, mais cela représente aussi une des caractéristiques des sociétés qui font l'objet de surveillance. Monter un dossier sur une personne, localiser leurs activités et leurs interactions avec le gouvernement, même si l'intention est valable, n'ont pas leur place dans une société ouverte et démocratique.

Deuxièmement, faire attention au code d'identification commun - un mécanisme qui permet de relier les données, ce qui est primordial à l'utilisation des données administratives à des fins de recherche et, en même temps, sert de mécanisme d'authenticité, d'identification et d'accès.

Nous devons toujours nous demander s'il est indispensable d'identifier le client. Il arrive parfois qu'il existe un besoin authentique - à titre d'exemple, lorsqu'une personne demande un service ou une prestation gouvernementale. Toutefois, plusieurs activités pourraient - et devraient- être anonymes. Une simple demande de renseignements généraux, par exemple, ne requiert aucune vérification de l'identité du client autre qu'une adresse postale ou un numéro de téléphone.

Par contre, les gouvernements peuvent être tentés d'exiger une vérification d'identité lorsque cela n'est pas nécessaire, particulièrement si un mécanisme facile de vérification d'identité, telle une carte à puce, est mis en service.

Les gouvernements ne devraient exiger une vérification d'identité seulement lorsque cela est indispensable. La procédure normale devrait être l'anonymat. Une telle présomption en faveur de l'anonymat représente un outil puissant pour la protection de la vie privée.

Troisièmement, le désir de concevoir des banques de données administratives ne doit pas servir à justifier l'abolition de l'anonymat. Nous ne pouvons permettre la généralisation des mécanismes de liaison afin de justifier l'élaboration de système d'identification, comme une espèce de «boucle de contrôle de l'information par retour».

Quatrièmement, les agences gouvernementales ne devraient pas fouiller plus à fond qu'il n'est requis lors de la vérification de l'identité. Diverses agences doivent obtenir différents renseignements sur un client, même s'il y a des chevauchements évidents, tels que le nom, l'adresse et la date de naissance. L'architecture des systèmes exploités par des agences et des ministères différents doit aller dans ce sens. Lorsqu'il n'est pas possible de fonctionner d'une manière anonyme, les renseignements de vérification devraient être limités et segmentés; les seuls renseignements personnels qui sont révélés devraient être les renseignements requis pour cette transaction particulière.

Maintenant, comment intégrer la protection des renseignements personnels dans les systèmes dès leur conception – La meilleure solution consiste à modifier votre manière de penser en plaçant la protection de la vie privée en premier lieu. A l'instar des projets importants de construction ou d'ingénierie qui doivent maintenant préparer, longtemps avant que la construction ne débute, une évaluation des impacts environnementaux; les concepteurs de systèmes devraient mener une évaluation d'impact sur la protection de la vie privée avant que le moindre renseignement personnel ne soit recueilli.

Une évaluation d'impact sur la protection de la vie privée consiste en une analyse des impacts potentiels sur la protection de la vie privée d'un projet, d'une pratique ou d'un système. Cela requiert l'examen des pratiques des renseignements personnels qui seront incorporées dans le système, telles que, quels genres de renseignements seront recueillis, de quelle manière le consentement sera-t-il obtenu, de quelle manière et pour combien de temps les renseignements seront-ils conservés, de quelle manière seront-ils utilisés et à qui seront-ils divulgués – Ces éléments tels que les fins et les autorisations législatives pour la cueillette, l'utilisation et la divulgation, doivent être examinés; quels liens existeront entre les banques de renseignements, de quelle manière les personnes pourront-ils exercer leur droit d'accès à ces renseignements, et de quelle manière pourront-ils faire corriger les erreurs – Il examine et évalue aussi la manière dont le projet ou le système se conforme dans l'ensemble aux lois sur la protection de la vie privée et leurs principes.

Quels sont les impacts sur la protection de la vie privée que vous devriez évaluer – Laissez-moi vous citer quelques exemples :

Est-ce qu'il sera possible de relier des renseignements qui n'ont aucun rapport dans le but de créer de nouveaux renseignements sur des personnes identifiables ?

Sera-t-il possible de localiser les transactions d'une personne à partir de différents programmes ?

Est-ce que le système, ou plus particulièrement ces demandes de vérifications d'identité, pourront mener à l'établissement de profils, au contrôle des transactions, ou à toute autre forme de surveillance ?

Est-ce que le programme ou le système incitera à l'observation visuelle des personnes ?

Est-ce que cela facilitera l'utilisation électronique malveillante des renseignements personnels disponibles au public ?

On réfère parfois à ceci comme à un outil de gestion des risques. Une erreur d'appréciation sur la protection de la vie privée représente un risque inacceptable. Ainsi que notre gouvernement l'a réalisé avec le Fichier longitudinal sur la main d'ouvre, une bonne conception est plus rentable et moins exigeant en main d'ouvre que le réajustement.

La protection des renseignements personnels est souvent menacée par des personnes de bonne foi qui suggèrent de la transiger au nom d'un principe quelconque. Souvent la sécurité du public a été décrite comme la cause plus importante; ceci a été présenté en particulier récemment au nom du combat contre le terrorisme. D'autre part, l'appât présenté peut être «l'efficacité».

On oublie trop souvent ce qu'est le véritable sens de l'efficacité. L'efficacité réfère à la relation qui existe entre les moyens et la fin, c'est-à-dire le choix des meilleurs moyens pour atteindre un objectif particulier.

La définition de ces objectifs constitue la question cruciale. Et la protection de la vie privée doit figurer en tête de nos objectifs, parce que la protection de la vie privée fait partie des droits fondamentaux de la personne, celui dont découlent tous les autres - la liberté d'expression, la liberté de pensée, la liberté d'association, à peu près toutes les libertés que vous pourriez nommer.

La protection de la vie privée ne devrait pas être considérée comme un obstacle à l'efficacité, ou encore comme un élément que vous pouvez sacrifier au nom de l'efficacité. C'est quelque chose de précieux qui doit être protégée. Ceci doit constituer un élément fondamental de vos objectifs. Que vous soyez en train de concevoir un programme pour le gouvernement, ou de mener des sondages de recherche, ou de chercher des façons de combiner ces deux activités, il vous revient de découvrir des mécanismes efficaces pour atteindre ce but.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :