Information, protection de la vie privée et sécurité

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

IT Net, Série conférencier invité au déjeuner

Le 23 avril 2002
Ottawa, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Bonjour. Je suis heureux d'être ici aujourd'hui en compagnie d'autant de personnes ouvrant dans le domaine de la protection de la vie privée.

Si vous vous demandez pourquoi je dis cela, c'est parce que vous tous ici présents êtes au cour d'un des plus grands enjeux auxquels nous ayons à faire face en tant que société dans le domaine de la protection de la vie privée.

Vous êtes les décideurs en matière de systèmes d'information gouvernementale. Ces systèmes, quels qu'ils soient, comportent inévitablement la collecte, l'utilisation et la divulgation de renseignements personnels, ce qui vous place au centre des questions liées à la protection de la vie privée.

Les renseignements personnels jouent un rôle primordial dans la protection de la vie privée. En effet, je définis la protection de la vie privée comme le droit de décider de l'accès à sa propre personne et aux renseignements qui nous concernent.

Le vieux cliché selon lequel « savoir, c'est pouvoir » n'est nulle part plus pertinent que dans le contexte des renseignements personnels. Non seulement ceux qui connaissent nos secrets les plus profonds peuvent nous contrôler, mais notre capacité à maîtriser la collecte, l'utilisation et la divulgation de renseignements à notre sujet est la clé de notre liberté.

C'est ce qui nous permet de vivre comme sujets libres : libres de lire ce que nous voulons, de penser comme nous le voulons et de nous associer comme nous le désirons. Notre droit à la vie privée implique que nous ne serons pas obligés de passer notre vie avec quelqu'un à nos côtés qui regarde par-dessus notre épaule, épiant nos moindres gestes, nos plus petits achats et nos interactions humaines les plus intimes, analysant nos schémas de comportement, essayant d'interpréter chacune de nos actions et de juger de nos intentions

Le droit à la vie privée sous-tend les libertés que nous prisons le plus dans notre société. En effet, la liberté de pensée, la liberté d'association, la liberté de conscience et la liberté de parole, pour n'en nommer que quelques-unes, sont toutes fondées sur notre possibilité de disposer d'une sphère privée de pensée et d'action qui ne concerne que nous.

Vous évoluez dans le domaine de la protection de la vie privée à un moment critique de notre histoire technologique et sociale. Les organismes du secteur gouvernemental comme du secteur privé détiennent plus de renseignements que jamais à notre sujet, et leur appétit augmente de jour en jour. Nous assistons à une croissance soutenue de la vitesse et du degré de complexité avec lesquels nos renseignements personnels peuvent être analysés, combinés, passés au peigne fin, appariés et exploités. C'est pourquoi je crois que la protection de la vie privée est sans aucun doute l'enjeu marquant de la présente décennie. Et c'est pourquoi aussi je suis venu vous adresser la parole ici, parce qu'une énorme responsabilité pèse sur vos épaules : celle de bâtir des systèmes d'information qui permettront de protéger la vie privée.

Soyons clairs : je crois qu'il est possible d'y arriver. Je ne suis pas un luddite. Je suis en faveur de la prestation électronique de services et, en particulier, de l'initiative fédérale Gouvernement en direct (GED). Je suis enthousiaste quant à la possibilité d'améliorer la façon dont les programmes sont livrés aux citoyens, en leur donnant une gamme de choix plus vaste pour leur accès aux services gouvernementaux. Qui ne serait pas en faveur d'une initiative qui rendra le gouvernement plus efficace et plus accessible – Tout en aidant à faire du Canada un chef de file mondial en matière de technologie ainsi qu'à développer un secteur privé prospère !

Mais nous devons rester vigilants. Nous devons nous assurer que tous les avantages et bienfaits promis par ces systèmes ne se feront pas au détriment de notre droit fondamental à la vie privée. Les systèmes informatiques que vous érigez doivent protéger la vie privée des citoyens.

Certains parmi vous le font peut-être déjà, mais je dois vous dire que pendant longtemps les informaticiens travaillant à l'initiative Gouvernement en direct du Conseil du Trésor croyaient et disaient qu'ils respectaient la vie privée des gens. Mais ils ne faisaient que protéger la sécurité et la confidentialité des données. Une recherche sur le mot clé « vie privée » dans le site Web de Gouvernement en direct ne vous mènera qu'à des renseignements sur les mesures de sécurité, l'infrastructure à clé publique et la protection contre une utilisation et une divulgation non autorisée. Tout cela est très important. Et nécessaire. Mais non suffisant. Cela n'assure pas la protection de la vie privée.

Donc, à des fins de clarté, permettez-moi de réaffirmer ce qu'est la protection de la vie privée et en quoi elle diffère de la sécurité et de la confidentialité.

La protection de la vie privée, dans le contexte des systèmes d'information, est notre droit fondamental en tant que personnes d'avoir la maîtrise sur la collecte, l'utilisation et la divulgation des renseignements qui nous concernent. Le droit à la vie privée signifie qu'il revient à chaque personne de décider quels renseignements elle donne, dans quelle quantité, à qui et pour quelles fins.

La confidentialité est une chose différente. C'est l'obligation pour un détenteur de données de protéger les renseignements personnels qu'on lui a confiés. Une promesse de confidentialité impose un devoir de diligence afin de maintenir le caractère confidentiel des renseignements et de ne pas les utiliser ou les divulguer à mauvais escient

La sécurité est encore autre chose. C'est le processus d'évaluation des menaces et des risques aux renseignements et la prise de mesures pour protéger ces renseignements contre un accès, une utilisation, une intrusion, une destruction ou une perte qui ne serait pas autorisée ou ne correspondrait pas au but pour lequel ces renseignements ont été colligés.

La protection de la vie privée entraîne le devoir de confidentialité et la responsabilité de sécurité. Vous devez d'abord considérer la protection de la vie privée et mettre en place des mesures pour assurer son respect avant d'aborder les questions de confidentialité et de sécurité.

Si vous ne respectez pas la vie privée, si vous recueillez, utilisez ou divulguez des renseignements au sujet de quelqu'un sans son consentement, alors peu importe que vous respectiez la confidentialité et la sécurité. Si vous encryptez les renseignements et les protégez par les meilleurs coupe-feu, vous avez peut-être garanti la sécurité, mais cela ne change rien au fait que vous avez violé la vie privée des personnes.

Jusqu'à tout récemment, cette réalité n'était pas aussi bien comprise qu'elle aurait dû l'être dans les cercles informatiques du gouvernement. Il était évident que les gens qui assuraient et mettaient en ouvre les systèmes informatiques de GED avaient été formés à penser sécurité et confidentialité, mais pas protection de la vie privée. Je sais que les choses ont changé, mais je dois quand même vous faire remarquer que, si je vais sur le site de Gouvernement en direct et fais une recherche sur « vie privée », je ne trouve toujours que de l'information sur les mesures de sécurité, l'infrastructure à clé publique et la protection contre une utilisation ou une divulgation non autorisée. Il est grand temps que le Conseil du Trésor mette à jour le site Web GED afin de refléter une meilleure compréhension des enjeux liés à la protection de la vie privée.

Les architectes des systèmes d'information et leurs clients ont un grand intérêt personnel à respecter la vie privée. La protection de la vie privée n'est pas qu'un droit abstrait. Il est vrai que les gens tiennent quelquefois la protection de la vie privée pour acquise, tout comme ils prennent souvent leur propre santé pour acquise. Mais il suffit aussi de presque rien pour qu'ils prennent soudain conscience de la fragilité de cet acquis et de la nécessité de le protéger. Nous avons appris du développement du commerce électronique que les gens hésitent à s'engager dans des transactions s'ils croient que leur vie privée est menacée.

Les Associés de recherche EKOS ont récemment constaté que seuls 32 pour cent des utilisateurs quotidiens d'Internet, qui se décrivent pourtant comme très à l'aise avec cette réalité, sont prêts à inscrire des renseignements personnels dans les sites Internet qu'ils visitent. Ce chiffre descend même à 11 pour cent pour les utilisateurs occasionnels.

Ce manque de confiance quant à la protection de la vie privée sur Internet se traduit en conséquences bien réelles pour le commerce électronique. EKOS a constaté que seuls 22 pour cent des Canadiens seraient prêts à donner leur numéro de carte de crédit en ligne. Parmi les utilisateurs confirmés d'Internet, ce chiffre n'augmente qu'à 31 pour cent. Même parmi les utilisateurs quotidiens d'Internet, il n'est que légèrement au-dessus de 50 %.

La même chose se produira pour la prestation électronique de services gouvernementaux si vous ne faites pas ce qu'il faut pour protéger la vie privée. Ces systèmes ne pourront fonctionner sans une adhésion du grand public. Et cette adhésion ne pourra pas se produire si les gens ne sont pas assurés que leur vie privée est protégée.

Plusieurs d'entre vous auront noté la déclaration récente de la vérificatrice générale, dans son rapport au Parlement, selon laquelle les Canadiens hésitent à faire affaire en ligne avec le gouvernement sans assurance que les systèmes sont sûrs et que leurs renseignements personnels seront protégés.

Elle a raison, bien sûr. Les gens veulent aussi des assurances que les renseignements seront colligés de façon juste et ne seront pas utilisés ou partagés de façon inappropriée. En d'autres termes, non seulement les gens veulent qu'on protège leurs renseignements personnels, mais ils veulent aussi qu'on respecte leur droit à la vie privée.

Laissez-moi décrire trois des principaux sujets de préoccupation relativement au Gouvernement en direct.

Premièrement, la fusion des bases de données, au fur et à mesure que les murs tombent entre les organismes et les programmes, au sein du gouvernement et entre niveaux de gouvernement.

Nous aimons tous la collaboration et la coordination entre organismes partageant un objectif commun, et nous nous opposons tous au dédoublement et au gaspillage. Voilà pourquoi l'idée d'abattre les murs peut nous sembler intéressante.

Mais certains murs qui se dressent entre les recueils de renseignements personnels sont cruciaux.

Les renseignements sur les individus et leur interaction avec le gouvernement sont recueillis à des fins précises. Les bases de données distinctes où ces renseignements sont conservés - les « silos » - traduisent les fins particulières justifiant la collecte et le maintien des renseignements. Ces derniers sont cloisonnés. Oui, il y a un certain dédoublement, c'est là le compromis pour obtenir quelques avantages.

Sans les silos, une personne qui aurait besoin de connaître un seul renseignement aurait accès à bien plus que ce qu'elle a besoin de savoir ou à ce qu'elle a le droit de savoir. Si je donne des renseignements dans le but d'avoir une prestation d'invalidité du RPC, la seule personne qui devrait avoir accès à ces renseignements est celle qui peut faire la preuve qu'elle en a besoin, pour les fins auxquelles j'ai accepté de les transmettre. Et même cette personne n'a pas à savoir quoi que ce soit d'autre à mon sujet. La seule façon d'être sûr que cela se produira c'est de conserver des murs entre les différentes banques de données.

C'est l'une des raisons d'être de ces cloisons. Une autre de ces raisons est que sans elles, les renseignements pourraient être combinés pour révéler d'autres informations, ce qui peut mener à l'établissement de profils des citoyens, ce qui constitue l'une des caractéristiques des entreprises de surveillance. Les dossiers sur les personnes, le suivi de leurs activités et de leur interaction avec le gouvernement, n'ont pas leur place dans une société ouverte et démocratique. Nous disposons d'un droit bien établi et qui nous tient à cour : celui de mener nos activités de façon anonyme et libre de toute surveillance, lorque ces activités sont légales et pacifiques. Nous ne pouvons pas sacrifier ce droit sur l'autel de l'efficacité.

La deuxième source de préoccupation concernant GED découle de la participation du secteur privé à la prestation de services ou au versement de prestations par voie électronique.

Intrinsèquement, il n'y a rien de mal à cela. La prestation de services peut en devenir plus efficace et ce phénomène contribuera probablement aussi à la santé économique du secteur privé. Si la protection de la vie privée est intégrée au processus, il est possible qu'il n'y ait aucun problème, mais sans cette protection, il y aura certainement des problèmes.

Encore une fois, rappelez-vous que les murs entre les banques de renseignements personnels aident à protéger la vie privée. Le fait de relier les réseaux pourrait éventuellement donner lieu à un seul système interopérable combinant les fonds de renseignements personnels des secteurs public et privé.

Et la protection de la vie privée demeure inégale dans le secteur privé, en dépit de l'entrée en vigueur de la Loi sur la protection des renseignements personnels et de la Loi sur les documents électroniques. Si elle n'est pas surveillée et encadrée, la poursuite des objectifs d'efficacité du gouvernement et du développement du secteur privé pourrait bien engendrer l'apparition de bases de données non contrôlées sur les Canadiens, ce à quoi je m'oppose fortement. Les renseignements personnels transmis aux fins de programmes gouvernementaux ne doivent pas servir au télémarketing ou à des listes d'envoi, comme ça a été le cas aux États-Unis avec les renseignements fournis pour les permis de conduire.

La troisième source de préoccupation est le besoin d'authentification, d'identification et de contrôle d'accès - c'est-à-dire, d'une identité virtuelle.

L'authentification est un des grands enjeux d'une économie en réseau. Le commerce électronique a tendance à exiger que les entreprises sachent avec qui elles font affaire. Des esprits ingénieux sont constamment à la recherche d'autres moyens pour que nous puissions faire des affaires de façon anonyme, mais les solutions de rechange n'ont pas fait l'unanimité et je crois que c'est parce qu'elles bloquent sur la question de l'authentification. La plupart des gens semblent l'accepter quand il s'agit de commerce électronique, mais son utilisation par l'État est une autre paire de manches, et nous devons être conscients dès le départ des problèmes qu'elle peut causer.

Nous devons nous poser deux questions au sujet de l'authentification des clients de services gouvernementaux. Premièrement, dans quelle mesure est-il réellement nécessaire d'identifier le client ?

Si les gens disposent déjà d'un moyen d'authentifier leur identité dans une interface électronique du gouvernement, il peut s'avérer tentant d'exiger une authentification alors que ce n'est pas vraiment nécessaire.

De toute évidence, si vous chercher à obtenir une prestation du gouvernement, vous devez vous identifier. Le gouvernement doit pouvoir vérifier que vous êtes bien la personne que vous prétendez être, que vous êtes admissible à la prestation et que vous ne l'avez pas déjà reçue.

Mais il n'est pas nécessaire de demander aux gens d'authentifier leur identité lors d'une transaction qui pourrait tout aussi bien être faite de façon anonyme. Par exemple, une simple demande d'information, ne nécessite pas d'authentification de l'identité du client.

Il faut ici faire le choix conscient de n'exiger l'authentification que lorsqu'elle est indispensable. Le paramètre par défaut devrait être l'anonymat.

Les mouchards (ou « cookies »), les certificats numériques et l'encryptage à clé publique contribuent tous à l'identification du client et nuisent à l'anonymat. On ne devrait les utiliser que lorsque l'anonymat n'est pas acceptable.

L'autre question que nous devons nous poser est : jusqu'où faut-il aller pour authentifier une identité, quelles preuves pourront nous satisfaire ?

Si vous vous reliez en ligne à Développement des ressources humaines Canada pour le versement d'une prestation du Régime de pensions du Canada, le Ministère doit pouvoir vérifier certaines choses à votre sujet. Si vous faites une demande de renseignements en direct au sujet de votre passeport, le ministère des Affaires étrangères doit aussi pouvoir vérifier certaines choses à propos de vous.

Les renseignements que ces ministères doivent savoir à votre sujet ne sont pas les mêmes, bien que, de toute évidence, il y ait parfois un certain chevauchement - par exemple, votre nom et votre date de naissance. Quel que soit le moyen d'authentification choisi, l'architecture de ces systèmes doit en tenir compte.

Je suis sceptique à propos des dispositifs d'authentification uniformisés, comme les cartes à puce qui incorporent toutes les informations sur nos interactions avec le gouvernement et qui les rendent disponibles, sans discernement, chaque fois que nous interagissons avec un ministère. L'authentification servant à une fin précise ne doit pas exiger de vous des renseignements qui ne sont utiles qu'à une autre fin.

Une seule carte qui incorpore toutes les informations sur nos interactions avec le gouvernement soulève le problème des bases de données à un nouveau niveau. Et, à moins que nous ne prenions des moyens pour la réduire, les avantages et efficacités la propulseront à devenir la carte d'identité nationale.

Au Canada, nous n'avons à nous identifier à personne - que ce soient aux agents de l'État ou à qui que ce soit d'autre - sauf dans des buts spécifiques et limités. Ce n'est pas un pays où vous pouvez vous faire intercepter par un policier ou encore vous faire demander de montrer vos papiers. Au Canada, vous avez le droit de vaquer à vos affaires de façon anonyme et en toute quiétude, sans avoir à vous justifier, sans être l'objet de surveillance.

Ce ne serait pas acceptable de perdre cela.

Voilà donc mes sources de préoccupation concernant le Gouvernement en direct. Elles devraient aussi être les préoccupations de tous les architectes du GED, parce que le GED sera un échec, malgré les investissements énormes consentis, si on ne répond pas à ces préoccupations.

Comme je l'ai mentionné, je suis en faveur de la prestation électronique de services et je veux contribuer à la réussite du GED. Mais je ne peux pas y parvenir à moins d'être tenu au courant de la situation. J'ai eu des rencontres avec la dirigeante principale de l'information, mais elles sont peu nombreuses et distancées. Ses nombreux engagements pour me tenir au courant n'ont pas été respectés. Ceci est certes troublant.

Les points que j'ai mentionnés au sujet des enjeux sur la vie privée au Gouvernement en direct s'appliquent aux systèmes d'information gouvernementaux en général. L'architecture doit intégrer les principes de protection de la vie privée - de façon que, par exemple, l'information recueillie à une fin ne serve pas à d'autres fins non connexes, et qu'elle ne soit gardée que pour le temps où elle est utile aux fins où l'individu a consenti à la divulguer.

Voilà pourquoi, depuis ma nomination à titre de commissaire à la protection de la vie privée, j'ai constamment enjoint les concepteurs de systèmes d'information d'intégrer la protection des renseignements personnels dès le départ. Et la clé réside dans l'évaluation des répercussions sur la protection des renseignements personnels.

Cette évaluation doit analyser les répercussions sur la vie privée d'un système proposé à instaurer ou d'un système déjà créé et à remanier. Elle doit se pencher sur toutes les pratiques liées aux renseignements personnels mises en application dans le système, par exemple, le genre de renseignements recueillis, la façon dont on obtient le consentement, la durée de conservation de l'information, son utilisation et sa divulgation. Elle doit aussi étudier des aspects comme les buts permis et les autorisations conférées par la loi relativement à la collecte, à l'utilisation et à la divulgation, le genre de liens qui existeront entre ces renseignements et d'autres informations, le moyen par lequel les individus pourront exercer leur droit d'accès à l'information qui les concerne. Il faut aussi étudier les lois et les principes régissant la protection des renseignements personnels et déterminer si le projet ou le système s'y conforme dans l'ensemble.

Voyons maintenant de plus près le genre de question que vous devriez poser.

Vous voudrez savoir si votre système ou votre projet donne lieu à un couplage de données. Sera-t-il possible de combiner des renseignements personnels non liés afin de créer de nouveaux renseignements sur les personnes ?

Sera-t-il possible de suivre les opérations effectuées par une personne dans le cadre des programmes

Le système mènera-t-il à l'établissement de profils, au contrôle des opérations et à d'autres formes de surveillance, tout particulièrement s'il exige une identification et une authentification ?

Le programme ou le système entraînera-t-il la surveillance physique des personnes ?

Facilitera-t-il l'utilisation abusive de renseignements personnels accessibles au public ?

Ce sont là des questions portant sur la violation possible de la vie privée. Vous devez également vous poser des questions au sujet des ressources permettant de traiter ces cas - par exemple, existe-t-il une structure de reddition de comptes permettant de traiter les problèmes de protection des renseignements personnels.

Il s'agit donc de mener une étude de faisabilité de la protection des renseignements personnels. C'est un excellent moyen de prévoir les répercussions dans ce domaine et de déterminer ce qu'il faut faire pour surmonter les impacts négatifs.

On considère souvent ce document d'évaluation des répercussions sur la protection des renseignements personnels comme un outil de gestion des risques. En effet, une fois cernées, une grande partie de ces répercussions sur la vie privée ne se produiront pas. Lorsqu'on dit, par exemple, que le couplage des données créera des renseignements nouveaux ou que l'authentification mènera à l'établissement de profils, il s'agit d'un risque plutôt que d'une certitude, et ce risque peut être généralement évité.

L'évaluation est également un outil de gestion des risques parce que le fait de se tromper en matière de protection de la vie privée équivaut à prendre des risques. Comme je l'ai mentionné plus tôt, il est plus économique de bien concevoir dès le départ que de faire des modifications de rattrapage. Et vous ne voulez pas que votre tout dernier projet entraîne des plaintes pour violation de la vie privée.

Cette évaluation vous permettra aussi de sensibiliser les divers intervenants de votre organisme et vous aidera donc à créer une culture d'entreprise qui favorise le respect de la vie privée, où chacun comprend que cet aspect fait partie des objectifs de l'organisation et où chacun ouvre en ce sens.

De plus, la Politique sur l'évaluation des facteurs relatifs à la vie privée est un outil très utile pour surveiller le système au fur et à mesure qu'il évolue. Vous avez cerné les risques au niveau de protection de la vie privée et vous pouvez constater que les moyens dont vous disposez pour y faire face fonctionnent. Vous êtes aussi à l'affût des nouveaux problèmes non prévus qui pourraient survenir

En fin de compte, lorsque vous examinez la conformité de votre système aux lois et aux principes régissant la protection des renseignements personnels, la Politique sur l'évaluation des facteurs relatifs à la vie privée est un excellent moyen de garantir que les personnes participant à l'examen - les administrateurs de système, la direction et les représentants de l'organisme de contrôle - se comprennent entre eux et comprennent le système.

Depuis que j'ai soulevé le sujet en juillet 2001, je presse le gouvernement fédéral d'avoir recours aux évaluations des facteurs relatifs à la vie privée, et l'idée semble gagner du terrain. Nous avons travaillé avec le Conseil du Trésor pour élaborer une politique sur leur utilisation. En fait, j'espère que vous apprendrez des choses intéressantes sur le sujet demain.

Si la protection des renseignements personnels est abordé dès le début, cela réduirait le nombre de plaintes que je reçois. Bien sûr, les plaintes ont leur place et il faut leur conserver cette place. Les Canadiens doivent pouvoir contester les organismes qui ne respectent pas leur vie privée. Mais il n'est dans l'intérêt de personne que je m'oppose après coup à quelque chose qui est solidement établi et sur quoi on a dépensé des millions. Comme toujours, la prévention est la meilleure solution. Il vaut mieux protéger les renseignements personnels d'entrée de jeu que de tenter de réparer les pots cassés une fois qu'il y a eu violation de la vie privée. Évidemment, quelqu'un peut se plaindre à moi lorsque sa vie privée a été violée; je peux contribuer à régler le problème et prendre des mesures pour que cela ne se reproduise plus. Mais honnêtement, les personnes lésées ne pourront pas retrouver leur intégrité perdue.

Voilà pourquoi ce genre de démarche de collaboration est tout à fait logique pour un bureau comme le mien. Mon travail consiste à être à cheval sur les principes tout en faisant preuve de souplesse dans la protection des renseignements personnels. Aider les organisations à mettre en ouvre leur évaluation des répercussions sur la protection des renseignements personnels est un bon moyen d'y parvenir.

D'ailleurs, il n'y a pas que les institutions gouvernementales qui devraient procéder à une évaluation des répercussions sur la protection des renseignements personnels : elle s'avère tout aussi utile dans le secteur privé.

De plus en plus

Date de modification :