Le défi de la vie privée - Brancher les citoyens à tous les paliers de gouvernement

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Conférence 2002 sur le gouvernement électronique
du Conference Board du Canada
Traverser les ponts qui mènent au succès

Le 9 mai 2002
Ottawa, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Le sujet que vous vous êtes rassemblés pour débattre, le branchement en direct des gouvernements avec les citoyens et entre eux, est l'une des choses les plus positives à sortir de l'ère de l'Internet. C'est aussi l'un des plus grands défis qui s'offrent à notre société en matière de protection de la vie privée. Je veux vous parler aujourd'hui de la concertation possible entre nous pour relever ce défi.

Ceux qui ont déjà attendu en ligne ou qui ont été ballottés d'un message enregistré à l'autre, se rendent vite compte des avantages qu'offre le gouvernement en direct.

Toutefois, qui dit gouvernement électronique, dit collecte, utilisation et communication de renseignements personnels. Si bien que cela met en cause la vie privée. De fait, ma définition du droit à la vie privée, c'est le droit de contrôler l'accès à sa personne et aux renseignements la concernant.

Les branchements dont vous êtes venus discuter la création - entre citoyens et gouvernement, entre institutions gouvernementales, et entre paliers de gouvernement - pourraient porter atteinte à ce droit, voire le détruire. Je sais que ce n'est pas ce que vous voulez. Parlons-en donc un peu.

Le gouvernement électronique pose plusieurs problèmes pour la vie privée. Dans mon esprit, le plus important, et le moins évident, se cache dans l'idée d'« interconnexion ».

Entendre parler de regroupements de données, de décloisonnement et d'élimination des redondances est toujours très intéressant et très séduisant. Chacun est en faveur de la collaboration et de la coordination entre organismes qui poursuivent un but commun. Chacun est contre le double emploi et le gaspillage. Alors, pourquoi s'opposer à ce décloisonnement ?

Pour favorable que je sois à l'amélioration des services, je dois tenu professionnellement en tant que commissaire à la protection de la vie privée, de faire prophète de malheur. C'est bien malheureux, mais certaines cloisons entre banques de renseignements personnels sont indispensables à la protection de la vie privée. Nous devons donc y penser deux fois avant de les abattre.

Un des principes fondamentaux de la protection de la vie privée est que les renseignements personnels recueillis à une fin ne doivent pas servir à une autre, sauf consentement de l'intéressé. Vous avez tous entendu cette expression classique du souci pour la vie privée : « Je peux bien vous le dire, mais je ne veux pas que cela se répande, ni que cela serve contre moi, ni que cela revienne me hanter ». Les cloisons entre fichiers de renseignements personnels sont une sorte de protection intégrée de ce principe.

Les renseignements sur les individus et leurs interactions avec le gouvernement sont recueillis pour des utilisations bien précises. Les bases de données distinctes où ils sont conservés - les « couloirs » - reflètent les fins qui ont justifié la collecte et la conservation des renseignements au départ.

La compartimentalisation des renseignements entraîne certaines pertes d'efficacité. Il y a du double emploi. Il y a des questions désespérantes auxquelles vous pourriez répondre facilement, pour peu que vous puissiez regrouper quelques bases de données. Mais ces inefficacités sont le prix à payer pour des avantages réels - des avantages très importants mais qui ne sautent pas aux yeux.

Sans ce cloisonnement des couloirs, celui qui a besoin d'un seul élément d'information aurait accès à beaucoup plus que ce à quoi il a besoin ou droit. Si je cède des renseignements pour obtenir une pension d'invalidité du RPC, la seule personne qui devrait y avoir accès est celle qui en a un besoin dont la démonstration peut être faite, aux fins auxquelles j'ai consenti au départ. Et cette personne n'a besoin de rien savoir d'autre à mon sujet. Or, je ne peux compter là-dessus que s'il y a des cloisons pour séparer les différents fichiers de renseignements.

Voilà la première raison du cloisonnement des couloirs. L'autre, c'est que, sans ce cloisonnement, on peut toujours combiner les renseignements - apparier les données - pour révéler de nouveaux renseignements. Cela peut amener à l'établissement de profils des citoyens - et c'est là une caractéristique distinctive des sociétés de surveillance.

Les dossiers sur les individus, le contrôle suivi de leurs activités et de leurs interactions avec le gouvernement, rien de cela n'a sa place dans une société ouverte et démocratique. Nous avons depuis toujours le droit, qui nous tient à cour, de vaquer à nos occupations pacifiques et légitimes dans l'anonymat et à l'abri des regards indiscrets. C'est une chose à laquelle nous ne pouvons pas nous permettre de renoncer au nom de l'efficience - surtout que, comme j'en parlerai un peu plus loin, que le sens exact du mot n'est pas entièrement clair.

Nous vivons à une époque extraordinaire. Je suis conscient de l'ironie de la situation qui m'amène à confier ceci à un imposant rassemblement de savants technologues, mais je vais quand même vous le dire : La conjoncture technologique et sociale qui rend possible le gouvernement électronique révolutionne notre monde. C'est particulièrement le cas lorsque nous l'envisageons sous l'angle du droit à la vie privée et de sa protection.

Ce n'est pas seulement que les organisations des secteurs public et privé détiennent tellement de renseignements personnels nous concernant. C'est que les renseignements sont utilisés de toutes sortes de nouvelles façons. C'est l'accélération phénoménale et le perfectionnement constant des moyens d'analyser, de combiner, de passer au peigne fin, d'apparier et d'extraire les renseignements personnels.

C'est pourquoi j'estime que la vie privée est la question déterminante de notre décennie. Et c'est pourquoi il importe tant que, avec mon bureau, j'unisse mes forces à celles de personnes comme vous, responsables de la conception et de la construction des systèmes de gouvernement électronique, afin de pouvoir intégrer la protection de la vie privée dans ces systèmes.

Je suis sûr que vous avez tous déjà entendu cela. Mais je vous demande quand même votre indulgence, parce que vous l'avez peut-être entendu dire par des personnes qui croyaient protéger la vie privée, alors qu'en réalité elles ne protégeaient que la sécurité et la confidentialité.

Tel a été longtemps le cas, au moins chez certains spécialistes de la TI qui ont travaillé au projet Gouvernement en direct du Conseil du Trésor. Peut-être bien que, dans leur quotidien et entre eux, ils faisaient des distinctions claires entre vie privée, sécurité et confidentialité. Mais cette distinction ne se reflète pas sur le site du Gouvernement en direct - et bien que je reconnaisse que leur compréhension sur cet aspect se soit améliorée sensiblement, il reste qu'on ne saurait jamais si c'est le cas en visitant le site. Je peux vous dire qu'une recherche sur le terme « vie privée » dans le site Web GED ne vous apprenait rien au sujet de la vie privée. Elle vous permettait d'obtenir une foule de renseignements sur les protections de sécurité, l'infrastructure des clés publiques, et la protection contre l'utilisation et la communication non autorisées. Ces choses-là ont leur importance, que je serai bien le dernier à minimiser. Si elles sont très nécessaires, par contre, elles ne sont pas suffisantes. Elles protègent la sécurité et la confidentialité - ce qui ne veut pas dire qu'elles protègent la vie privée.

Quelle est donc la différence entre ces termes ?

Appliquée aux systèmes d'information, la protection de la vie privée, c'est notre droit fondamental, en tant qu'individus, de contrôler la collecte, l'utilisation et la communication de renseignements nous concernant. Le droit à la vie privée permet aux individus de décider quels renseignements et combien de renseignements céder, à qui et à quelles fins.

Pourquoi est-ce si important ?

C'est important parce que le vieux dicton selon lequel « l'information, c'est le pouvoir » n'a jamais été aussi vrai que dans le contexte des renseignements personnels. Ce n'est pas seulement parce que ceux qui connaissent nos secrets les plus intimes peuvent nous contrôler. C'est parce que notre capacité de contrôler la collecte, l'utilisation et la communication de renseignements nous concernant est la clé de notre liberté.

La vie privée, c'est ce qui nous permet de vivre en individus libres - libres de lire ce que nous voulons, de penser comme nous voulons, et de nous associer avec qui nous voulons. Notre droit à la vie privée signifie que nous n'avons pas à passer notre vie sous l'oil scrutateur de quelqu'un d'autre - qui vérifie chaque geste, chaque achat et chaque interaction humaine; qui analyse nos habitudes de vie; qui interprète, bien ou mal, nos actions; qui jugent, bien ou mal, nos intentions.

On dit souvent que la vie privée est le droit dont découle toutes les libertés. C'est parce que les libertés de pensée, d'association, de conscience et de parole, pour ne nommer que celles-là, partent du fait que nous avons une sphère privée de pensée et d'action, une chose qui nous appartient, et qui n'appartient à personne d'autre.

Voilà donc ce qu'est la vie privée. C'est le cour qui bat de cette expression bien sèche : « le contrôle de la collecte, de l'utilisation et de la communication de renseignements personnels ».

La confidentialité – C'est autre chose. La confidentialité, c'est l'obligation de protéger les renseignements personnels qui vous ont été confiés. Une promesse de confidentialité impose le devoir de diligence de maintenir le secret des renseignements, et de ne pas les communiquer abusivement ou à tort.

La sécurité, c'est aussi autre chose - quelque chose dont un grand nombre d'entre vous êtes sûrement des experts. C'est le processus d'évaluation des menaces et des risques pour les renseignements, et de prise de mesures pour protéger les renseignements contre l'accès, l'utilisation, l'intrusion, la perte ou la destruction non autorisés ou accidentels.

Le point crucial de tout cela, c'est que la vie privée détermine l'obligation de confidentialité et la responsabilité de la sécurité. Nous devons respecter d'abord le droit à la vie privée, avant de nous occuper des exigences de confidentialité et de sécurité.

Si la vie privée n'est pas respectée - si les renseignements au sujet de quelqu'un sont recueillis, utilisés ou communiqués sans son consentement - la confidentialité et la sécurité perdent tout leur sens. Chiffrez les renseignements, protégez-les avec les meilleurs pare-feu, et vous en aurez probablement assuré la sécurité. Mais cela ne change rien au fait que la vie privée de l'individu a été violée.

Comme je l'ai dit tantôt, cela n'a pas toujours semblé bien compris dans les milieux gouvernementaux de la TI. Il a semblé que les responsables de la conception et de la mise en ouvre des systèmes de TI dans l'initiative GED avaient été formés à penser à la sécurité et à la confidentialité, mais pas à la vie privée. Les choses ont changé récemment - et je vous dirai dans un instant à quel point.

Il y a un certain temps que j'incite le gouvernement à intégrer des considérations de protection de la vie privée dans les projets, dès le départ, plutôt qu'après coup. La raison est que, contrairement au stéréotype que certaines personnes se sont faites d'un défenseur de la vie privée, je ne suis pas un luddite.

Si vous avez visité le site Web de mon bureau, vous savez déjà combien nous comptons sur la puissance d'Internet pour diffuser notre information. La communication est l'une de mes grandes priorités depuis mon arrivée au Commissariat à la protection de la vie privée. et je crois comprendre aussi bien que n'importe qui l'efficacité de la technologie comme moyen de diffuser l'information

Qui plus est, je crois véritablement à la compatibilité de la vie privée et du gouvernement électronique. Je suis un partisan de l'électronisation des services. Je suis enthousiaste à la perspective d'améliorations des modes d'exécution des programmes, et d'un plus vaste choix des modalités d'accès aux services de l'État. Qui n'applaudirait pas à une initiative qui augmentera l'efficience et l'accessibilité du gouvernement – Et si cela contribue à faire du Canada un leader mondial en technologie, et à promouvoir la prospérité du secteur privé, tant mieux.

Mais nous avons tous besoin de tempérer un peu notre enthousiasme. Nous devons veiller à ne pas sacrifier notre droit fondamental à la vie privée.

J'ai expliqué mes réserves au sujet des bases de données interconnectées. Voici quelques autres grandes craintes que le gouvernement électronique m'inspire pour la vie privée.

En premier lieu, la participation du secteur privé à l'électronisation des services ou des prestations.

Il n'y a rien de fondamentalement répréhensible à cela. Si cela débouche sur une plus grande efficience de la prestation des services, tant mieux. Si cela contribue à la vigueur économique du secteur privé, c'est encore mieux. Dans la mesure où l'on aura prévu les bonnes protections de la vie privée, cela devrait être parfait. Mais autrement, nous avons un sérieux problème sur les bras.

Je reviens à mon propos au sujet des cloisons entre fichiers de renseignements personnels qui aident à protéger la vie privée. Si nous commençons à relier des réseaux publics et privés, nous risquons de nous retrouver avec un même système interopérable combinant les fonds de renseignements personnels des secteurs public et privé.

Et la protection de la vie privée dans le secteur privé, même avec la Loi sur la protection des renseignements personnels et les documents électroniques, est inégale. À moins qu'elle ne soit contrôlée et réglementée rigoureusement, l'intervention du secteur privé dans l'exécution des programmes pourrait bien donner naissance à des bases de données non contrôlées sur les Canadiens et Canadiennes. Et cela, je m'y opposerai fermement. Comme vous pouvez sans doute l'imaginer, je ne vais pas demeurer spectateur passif si j'observe que des renseignements personnels communiqués pour un programme gouvernemental deviennent la source de listes de télémarketing ou de diffusion. Cela paraîtra invraisemblable pour certains, je suppose, mais cela s'est néanmoins vu aux États-Unis, dans le cas des renseignements provenant des permis de conduire.

L'autre réserve consiste en le besoin d'un dispositif d'authentification, d'identification et d'accès - d'une « identité électronique ».

L'authentification est un enjeu de taille dans une économie réseautée. Le commerce électronique a tendance à amener les entreprises à vouloir savoir avec qui elles traitent. Ce n'est pas toujours une authentification très rigoureuse ou significative - l'indication d'une adresse postale ou d'un numéro de carte de crédit valide ne dit pas vraiment grand-chose à la cyberentreprise au sujet du client avec qui elle traite - mais cela se fait quand même. Et, même s'il y a des esprits ingénieux qui cherchent constamment des trucs pour nous permettre de transiger nos affaires dans l'anonymat, j'estime que le commerce électronique continuera probablement de nécessiter un certain niveau d'authentification, pour l'instant. Par contre, cela a beau être accepté dans le secteur privé, son utilisation par l'État est une autre affaire, et nous devons être conscients des problèmes, dès le départ.

Nous devons poser deux questions au sujet de l'authentification des clients des services de l'État. D'abord, dans quelle mesure est-il vraiment nécessaire de connaître l'identité du client ?

Si les gens ont un moyen d'authentifier leur identité dans une interface électronique avec le gouvernement, l'envie pourrait être grande d'exiger l'authentification là où elle n'est pas vraiment nécessaire.

Bien sûr, si vous demandez une prestation gouvernementale, vous devez établir votre identité. Le gouvernement doit pouvoir vérifier que vous êtes qui vous dites, que vous avez droit à la prestation, et que vous ne l'avez pas déjà reçue.

Mais il n'est pas utile de vous obliger à établir votre identité dans une transaction qu'il est tout aussi raisonnable de faire dans l'anonymat. Une simple demande de renseignements, par exemple, n'exige pas que soit connue l'identité du demandeur.

Les systèmes de cybergouvernement devraient n'exiger l'authentification que là où c'est nécessaire. Le réglage par défaut devrait être l'anonymat. Des choses comme les mouchards, les certificats numériques et le chiffrement des clés publiques contribuent toutes à l'identification des clients et diminuent l'anonymat. Elles ne devraient être utilisées que là où l'anonymat n'est pas possible.

L'autre question à poser est celle-ci : Jusqu'où faut-il creuser pour établir l'identité, et quelles preuves faut-il pour nous convaincre ?

Si vous êtes en liaison directe avec le ministère du Développement des ressources humaines pour des prestations du Régime de pensions du Canada, le ministère doit vérifier certaines choses à votre sujet. Si vous posez une question en direct au sujet de votre passeport, le ministère des Affaires étrangères doit vérifier certaines choses à votre sujet.

Les genres de renseignements dont ces ministères ont besoin à votre sujet ne sont pas les mêmes, mais il y a certains éléments communs, comme votre nom et votre date de naissance. Quel que soit le moyen d'authentification retenu, l'architecture du système doit le refléter.

Je demeure sceptique au sujet des dispositifs d'authentification universels, comme la carte à mémoire qui renferme tous les renseignements au sujet de nos interactions avec le gouvernement, puis les livre tous, sans nuance, chaque fois que nous avons une interaction avec un ministère. L'authentification à une fin ne doit pas vous obliger à fournir des renseignements qui ne sont nécessaires qu'à une autre fin.

Une carte unique contenant tous les renseignements au sujet de nos interactions avec le gouvernement porte à un autre niveau le problème de la combinaison des bases de données. Et, à moins que nous ne prenions des mesures pour la restreindre, les forces de la commodité et de l'efficience finiront bien par en faire une carte d'identité nationale.

Au Canada, nous n'avons pas à décliner notre identité pour quiconque - ni pour les agents de l'État ou ni pour les autres - sauf à des fins précises et limitées. Nous ne sommes pas un pays où un agent de police peut vous arrêter, parce que l'envie lui en prend, pour vous demander vos papiers. Au Canada, vous avez le droit de vaquer à vos occupations, dans l'anonymat et pacifiquement, sans avoir à vous justifier, sans être surveillé.

Il ne serait pas acceptable de perdre ce droit.

Voilà donc mes réserves au sujet du gouvernement électronique. Et je pense véritablement que vous devriez les partager. Parce qu'il me semble très probable que le gouvernement électronique sera un échec, au prix d'énormes investissements, si l'on ne tient pas compte de la protection de la vie privée.

La vie privée n'est pas seulement un droit abstrait. Il est vrai qu'on tient parfois ce droit pour acquis, tout comme nous tenons notre santé pour acquise. Mais comme pour notre santé, il en faut peu pour nous rappeler notre vie privée, et vouloir la protéger dès qu'il y a quelque chose qui cloche. Le développement du commerce électronique nous a appris que les gens n'aiment pas les transactions électroniques s'ils pensent que leurs renseignements personnels sont à risque. Pour ma part, j'estime que le gouvernement électronique a les mêmes obstacles à surmonter.

C'est pourquoi j'incite toujours les concepteurs de systèmes d'information au gouvernement et dans le secteur privé à prévoir la protection des renseignements personnels dès le départ. La clé pour cela, c'est l'évaluation des facteurs relatifs à la vie privée.

Qu'est-ce au juste qu'une évaluation des facteurs relatifs à la vie privée – Très simplement, c'est une analyse des répercussions que risque d'avoir sur la vie privée un système envisagé ou en voie de refonte. Elle s'appuie sur un examen des pratiques concernant les renseignements personnels qui entrent dans le système, des objets et des pouvoirs statutaires régissant la collecte, l'utilisation et la communication de renseignements personnels, et de la conformité d'ensemble du système avec les lois et les principes concernant la protection de la vie privée.

Supposons que vous avez un nouveau système en planification. Comment vous y prendriez-vous pour en évaluer les facteurs relatifs à la vie privée ?

D'abord et avant tout, vous voudriez savoir quels genres de renseignements sont recueillis, comment le consentement s'obtient, et comment et pour combien de temps les renseignements sont conservés, comment ils sont utilisés, et à qui ils sont communiqués. Vous voudriez également connaître les genres de liens qu'il y aura avec d'autres renseignements, et comment les individus pourront exercer leurs droits d'accès à leurs renseignements.

Vous voudriez vous demander si votre système se prêtera à l'appariement ou au couplage des données. Sera-t-il possible de combiner des renseignements personnels sans rapport entre eux afin de créer de nouveaux renseignements au sujet d'individus – Le système, surtout s'il exige l'identification et l'authentification, amènera-t-il l'établissement de profils, la surveillance de transactions entre programmes, et d'autres formes de surveillance ?

Facilitera-t-il l'exploitation abusive des renseignements personnels du domaine public – Par exemple, allez-vous créer des bases de données de renseignements personnels qui pourraient être téléchargés ou reconfigurés électroniquement en listes de diffusion ?

Voilà autant de questions au sujet des violations possibles du droit à la vie privée. Vous devez également poser des questions au sujet des ressources à y consacrer - comme s'il y a en place une structure d'obligation de rendre compte pour les questions de vie privée.

En définitive, il s'agit d'une étude de faisabilité dans une perspective de protection de la vie privée. C'est une façon de prévoir les facteurs relatifs à la vie privée, et d'établir ce qu'il faut pour surmonter les facteurs négatifs.

Elle vous aide à sensibiliser les membres de votre organisation aux questions de vie privée et à créer une culture organisationnelle où la vie privée fait partie de l'objectif global.

Et c'est un outil utile pour surveiller le système au fur et à mesure. Vous avez cerné les risques d'entrave à la vie privée, vous pouvez voir si les moyens que vous mettez en ouvre pour les gérer fonctionnent bien, et vous êtes aux aguets pour déceler les nouveaux risques imprévus, au fur et à mesure qu'ils apparaissent.

Plus tard, lorsque vous ferez l'évaluation de la conformité de vos systèmes avec les lois et les principes concernant la vie privée, vous aurez une excellente base pour veiller à ce que les intervenants à l'examen - les opérateurs du système, la direction, et les représentants de l'organisme de surveillance - comprennent le système.

Depuis que j'ai commencé à en parler en juillet 2001, j'incite le gouvernement fédéral à utiliser les évaluations des facteurs relatifs à la vie privée. Cela m'amène à la question d'un important fait nouveau au sein du gouvernement fédéral, un fait nouveau qui représente un grand pas en avant pour la protection de la vie privée des Canadiens et Canadiennes.

Il y a une semaine, le 2 mai, la nouvelle Politique du Conseil du Trésor sur les évaluations des facteurs relatifs à la vie privée est entrée en vigueur. En vertu de cette politique, les évaluations des facteurs relatifs à la vie privée sont une condition du financement de tous les programmes et services nouveaux, substantiellement remaniés ou électroniques, qui recueillent, utilisent ou communiquent des renseignements personnels. Le Canada devient ainsi le premier pays du monde à imposer à tous ses ministères et organismes l'obligation d'évaluations des facteurs relatifs à la vie privée - des ÉFVP, comme disent les initiés.

Qu'est-ce que cela signifie pour vous, et pour la conception des systèmes de gouvernement électronique – Ma foi, cela signifie que les institutions gouvernementales devront se mettre à songer à la protection de la vie privée dès le moment où elles commenceront à imaginer un nouveau programme. Si elles n'ont pas les renseignements détaillés qu'il faut pour une ÉFVP, elles devraient quand même procéder à une évaluation préliminaire le plus tôt possible, et consulter mon bureau. Elles devraient lancer une ÉFVP formelle dès qu'elles ont les renseignements détaillés nécessaires, en consultant encore une fois mon bureau à ce stade-là. Dans les évaluations préliminaires et comme dans les ÉFVP formelles, nous incitons les ministères à nous saisir directement de leurs questions dès le départ. Nous pouvons ainsi les aider à comprendre ce que nous recherchons dans une ÉFVP.

L'ÉFVP nécessite une description du programme, avec diagrammes des processus opérationnels et tableaux de cheminement des données, ainsi qu'une analyse de ce qui arrivera des renseignements personnels en cause. Ensuite, vous évaluez si le programme respecte les principes, les lois et les politiques en matière de protection de la vie privée, en vous appuyant sur les Lignes directrices sur l'évaluation des facteurs relatifs à la vie privée du Conseil du Trésor.

Cela oblige à poser des questions, comme celle de savoir si le programme ou le projet nécessitera le lancement ou l'augmentation d'activités de collecte, d'utilisation ou de communication de renseignements personnels, avec ou sans le consentement des individus. Y aura-t-il un élargissement des populations visées – La collecte indirecte remplacera-t-elle la collecte directe de renseignements personnels ?

Y aura-t-il une extension de la collecte de renseignements personnels pour des choses comme l'intégration et l'administration des programmes ou relativement aux critères d'admissibilité connexes

Date de modification :