Réunion du Club Kiwanis de Belleville

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 27 août 2002
Belleville (Ontario)

Julien Delisle
Directeur exécutif

(Le texte prononcé fait foi)


Ce que j'espère donc réaliser aujourd'hui est de définir pour vous la vie privée, d'expliquer pourquoi la vie privée est différente de la confidentialité et de la sécurité, et vous donner un bref aperçu de la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques ou la LPRPDE.

Ainsi, qu'est-ce que la vie privée ?

Il n'est pas facile de définir la vie privée, bien que la plupart des gens aient une idée de ce qu'elle est.

La définition la mieux connue date de plus d'un siècle, c'est celle des juristes américains Samuel Warren et Louis Brandeis. Ils ont défini la vie privée comme « le droit d'être laissé tranquille », une définition qui est rien de plus facile à comprendre, mais qui est inadéquate pour traiter de la complexité moderne de la vie privée et de ce qui la menace.

Bien entendu, la vie privée concerne le fait d'être laissé tranquille, d'être libre d'interférences et exempt de surveillance.

Mais les menaces modernes contre la vie privée sont plus subtiles. Elles concernent la compilation et la manipulation de renseignements personnels à notre sujet et l'utilisation de ces renseignements à des fins auxquelles nous n'avons pas consenti ou dont nous ne sommes pas pleinement au courant ou que nous ne comprenons pas.

Le commissaire à la vie privée du Canada, George Radwanski, définit la vie privée comme le droit de contrôler l'accès à sa personne et aux renseignements qui nous concernent. Je pense que cette définition convient mieux aux défis auxquels nous faisons face dans le monde d'aujourd'hui.

Quel que soit ce qu'ils entendent par elle, les gens reconnaissent qu'il y a quelque chose de fondamentalement important au sujet de la vie privée. 1984 de George Orwell est devenu un phare culturel, à cause de son expression d'un monde sans vie privée. Les gens réagissent viscéralement à cela, ils ressentent qu'il ne peut y avoir de réelle liberté sans vie privée, que la vie privée est le droit d'où découlent toutes les libertés - la liberté d'expression, la liberté de conscience, la liberté d'association, la liberté de choix.

La vie privée est souvent citée dans les constitutions nationales comme droit inviolable. Elle est sous-jacente à l'interdiction de perquisitions et saisies déraisonnables de la Charte canadienne des droits et libertés. En interprétant cette interdiction, le juge La Forest de la Cour suprême du Canada a défini la vie privée comme étant au cour de la liberté dans un État moderne.

Dire que c'est une question fondamentale ne signifie évidemment pas qu'elle est absolue. La vie privée existe dans un équilibre avec d'autres droits et obligations.

Mais je veux souligner qu'il n'est pas question d'équilibrer la vie privée des personnes en regard des intérêts de la société.

La vie privée n'est pas seulement un droit individuel, c'est aussi un bien social et public. Notre société dans son ensemble a intérêt à sa préservation. Nous ne pouvons pas rester une société libre, ouverte et démocratique, à moins que ne soit respecté le droit à la vie privée.

Autrement dit, les intérêts de la société incluent la vie privée des personnes. Et lorsque celle-ci est perdue, la société est aussi perdante.

Je voudrais maintenant préciser en quoi la vie privée diffère de la sécurité et de la confidentialité, parce que, malheureusement, ces termes sont souvent utilisés de façon interchangeable. Ils représentent en fait trois questions séparées et distinctes.

La vie privée est notre droit fondamental de contrôler le recueil, l'utilisation et la divulgation de renseignements qui nous concernent.

La confidentialité est l'obligation d'un gardien de protéger des renseignements personnels sous sa garde, de maintenir le caractère secret des renseignements et de ne pas en faire un mauvais, ni de les divulguer de manière indue.

La sécurité est le processus qui consiste à évaluer les menaces et les risques pesant sur des renseignements et à prendre des mesures pour les protéger.

Ainsi, ces distinctions sont frappantes : la vie privée est un droit fondamental, la confidentialité est l'obligation de protéger des renseignements et la sécurité est le processus de protection.

Mais c'est la vie privée qui entraîne l'obligation de confidentialité et la responsabilité de la sécurité. C'est de la vie privée dont il faut s'occuper avant de pouvoir traiter des notions de confidentialité et de sécurité qui s'ensuivent. Et si elle n'est pas respectée, assurer la confidentialité et la sécurité ne suffit pas. Si les renseignements concernant une personne sont recueillis, utilisés ou divulgués à son insu ou sans son consentement, assurer la confidentialité et la sécurité de ses renseignements ne signifie pas que sa vie privée a été respectée.

Un bon exemple pour illustrer les différences entre la vie privée, la confidentialité et la sécurité est le cas du long fichier de DRHC. Vous vous rappelez peut-être que la Direction de la politique stratégique de DRHC avait élaboré un fichier de données longitudinales sur la population active pour une évaluation de la recherche, une analyse de la politique et des programmes en vue d'appuyer les programmes du Ministère. Il contenait des enregistrements sur 33,7 millions de personnes, extraits de fichiers internes et externes largement distincts, comme les enregistrements sur le bien-être et l'impôt sur le revenu. Le profil de chaque citoyen pouvait contenir jusqu'à 2 000 éléments de données. Le long fichier sur la population active était relativement invisible pour le public et il y avait d'importantes lacunes dans le cadre juridique de protection des renseignements.

Lorsque l'existence de la base de données fut rendue publique, plus de 70 000 Canadiens et Canadiennes ont demandé à avoir accès à leurs renseignements personnels contenus dans la base de données. Par suite du tollé public, la base de données a été démantelée.

Même si DRHC avait en place de stricts protocoles pour accéder à la base de données - son accès était strictement limité à très peu de fonctionnaires et de chercheurs seulement - et même si la sécurité n'était pas un problème - aucune information de la base de données n'a jamais été divulguée de manière impropre - les Canadiens et Canadiennes se préoccupaient néanmoins de ce que leur vie privée avait été violée. Ils se préoccupaient du vaste recueil de renseignements personnels sans qu'un but particulier ne soit défini. Ils étaient préoccupés par le fait que les renseignements n'avaient jamais été supprimés dans la base de données. Ils se préoccupaient de ce que l'État s'était indûment mêlé de leur vie privée.

On parle beaucoup maintenant des questions stratégiques qui entourent les progrès de la technologie de l'information, ou TI, et de ce que cela signifie pour les affaires. En même temps, les solutions de la TI, avec leur facilité à manipuler des masses de renseignements, peuvent importer des risques considérables pour la vie privée, si elles n'établissent pas dans leur conception la protection de la vie privée. En elle-même, la technologie peut être neutre. Mais, sans règles de route pour régir la manipulation des renseignements personnels, elle devient n'importe quoi, mais rien de neutre.

Une technologie non réglementée devient une menace pour la vie privée, parce qu'elle accroît de manière exponentielle notre capacité de recueillir, d'utiliser et de divulguer un grand nombre de renseignements personnels. Elle nous permet de les transmettre instantanément à de grandes distances. La technologie a supprimé la protection des renseignements personnels, qui était un sous-produit inhérent aux systèmes inefficaces de classement manuel. Les personnes ont besoin d'une protection supplémentaire de leur vie privée, maintenant que les systèmes de classement manuel ne servent plus de contrôleurs d'accès de fait à la vie privée.

La crainte justifiée que la technologie servirait à supprimer ce droit fondamental de la vie privée a été l'un des moteurs clés qui a poussé à l'élaboration de la Loi sur la protection des renseignements personnels et les documents électroniques. Les principales dispositions de la Loi concernant la vie privée sont entrées en vigueur le 1er janvier 2001.

Je voudrais vous donner un bref aperçu de cette loi : le délai de la mise en ouvre, des détails sur l'application et le processus de plainte. Vous serez heureux de savoir que le site Web du Commissariat à la protection de la vie privée, à www.priv.gc.ca, contient un guide détaillé sur l'application de la Loi.

Le calendrier de la mise en ouvre est le suivant :

Au 1er janvier 2001, la loi s'applique aux entreprises, affaires et ouvrages de compétence fédérale, comme les banques, les entreprises de télécommunication, les entreprises ferroviaires, de transport aérien et de camionnage interprovincial, et aux dossiers des employés de ces organisations. Elle s'applique aussi aux renseignements personnels divulgués entre les frontières pour étude.

Depuis le 1er janvier dernier, la Loi s'applique aussi aux renseignements personnels sur la santé recueillis, utilisés et divulgués par les organisations décrites dans la phase un de la Loi.

Au 1er janvier 2004, la Loi s'appliquera à la collecte, à l'utilisation et la divulgation de renseignements personnels au cours d'activités commerciales dans une province et dans les transactions internationales, par toutes les organisations soumises à la Loi, au cours d'activités commerciales.

La Loi sur la protection des renseignements personnels et les documents électroniques édicte ce qui est connu, dans le secteur de la vie privée, comme un code de principes justes d'information. Ces principes justes d'information consistent en règles pour réglementer la collecte, l'utilisation et la divulgation de renseignements personnels et pour donner aux personnes un accès aux renseignements personnels détenus par d'autres.

Les renseignements personnels sont tous les renseignements concernant une personne identifiable. Les organisations incluent des associations, des partenariats, des personnes et des syndicats. Les entreprises traditionnelles et le commerce électronique sont couverts par la Loi. L'expression activité commerciale inclut la vente, le troc ou la location de listes de donateurs, de membres ou d'autres listes de souscripteurs.

La Loi ne couvre pas toutes les collectes de renseignements personnels. Par exemple, elle n'inclut pas les données personnelles recueillies strictement à des fins personnelles (comme votre liste personnelle de cartes de souhaits) ou dans des buts journalistiques, artistiques ou littéraires ou pour une activité non commerciale.

Le cour de la Loi est le Code type de l'Association canadienne de normalisation, qui est intégré dans l'annexe de la Loi. Le code est un consensus élaboré par un partenariat d'entreprises et le gouvernement. Il a été conçu pour donner aux organisations les renseignements personnels dont elles ont besoin dans des buts légitimes, tout en protégeant les droits et les intérêts des personnes. Le code s'appuie sur 10 principes qui définissent normalement les responsabilités d'une organisation. Ces principes sont les suivants.

  1. Responsabilité

    Une organisation est responsable des renseignements personnels sous son contrôle et elle désignera des personnes qui sont responsables de la conformité de l'organisation avec les principes qui suivent.

  2. Identification des buts

    L'organisation doit identifier les buts pour lesquels elle recueille des renseignements personnels au moment de la collecte ou avant celle-ci.

  3. Consentement

    Une personne doit être au courant de la collecte, de l'utilisation et de la divulgation des renseignements personnels et donner son accord, sauf si c'est inopportun.

  4. Limite de la collecte

    L'organisation doit limiter sa collecte de renseignements personnels à ceux qui sont nécessaires pour les buts identifiés, et elle doit le faire par des moyens justes et licites.

  5. Limite de l'utilisation, de la divulgation et de la conservation

    Les organisations ne doivent pas utiliser ou divulguer des renseignements personnels pour des buts autres que ceux pour lesquels ils ont été recueillis, sauf avec le consentement de la personne ou selon ce que demande une loi. Et elles ne doivent conserver les renseignements personnels que pendant le temps nécessaire pour réaliser ces buts.

  6. Exactitude

    Les renseignements personnels doivent être aussi exacts, complets et à jour que nécessaire pour les buts pour lesquels ils sont utilisés.

  7. Protections

    Les organisations doivent protéger les renseignements personnels par des protections assurant une sécurité proportionnée à la sensibilité des renseignements.

  8. Ouverture

    Une organisation doit mettre facilement à la disposition des personnes des renseignements particuliers au sujet de ses politiques et pratiques concernant la gestion des renseignements personnels.

  9. Accès individuel

    À sa demande, il faut informer une personne de l'existence, des utilisations et des divulgations de ses renseignements personnels et lui donner accès à ces renseignements. Une personne doit pouvoir contester l'exactitude et la complétude des renseignements et les faire corriger, le cas échéant.

  10. Contestation de la conformité

    Une personne doit pouvoir contester la conformité d'une organisation aux principes auprès de la personne désignée comme responsable de la conformité de l'organisation.

Bien entendu, pour se conformer à ces principes, une organisation doit effectuer un travail interne. Elle doit examiner et analyser la façon dont elle mène ses affaires pour déterminer :

  • les renseignements personnels qu'elle recueille;
  • la raison de le faire;
  • la façon de le faire;
  • ce que l'on en fait;
  • l'endroit où on les garde;
  • le moment où ils sont utilisés ou éliminés;
  • les bénéficiaires des renseignements.

Nombre d'organisations peuvent avoir la surprise de découvrir qu'elles ne connaissent réellement pas les renseignements personnels qu'elles recueillent, la façon dont elles les utilisent ou les contrôles de la qualité et les protections de sécurité, s'il y en a, dont elles disposent. Une leçon apprise dans les premiers jours de la Loi sur la protection des renseignements personnels fédérale a été que certains organismes gouvernementaux recueillaient des quantités excessives de renseignements personnels sans raison valable et à un coût inutile. Des lois comme celle-ci visent à éliminer la pratique de tout obtenir, tout de suite, et de penser plus tard à en faire l'utilisation. C'est ce dont sont faites les fiches descriptives et c'est le contraire d'une bonne pratique de la vie privée.

Essentiellement, la Loi demande aux organisations d'établir des relations ouvertes et transparentes avec leurs clients. Ce ne peut être qu'une bonne chose pour les affaires. Les exceptions à cette règle générale devraient être limitées et particulières.

Je voudrais maintenant traiter de quelques exemptions, éclaircissements et amplifications. Chaque principe que je viens de décrire est modifié ou précisé dans la Loi. Je ne vais pas en traiter de manière exhaustive mais je vais me concentrer sur la collecte, l'utilisation et la divulgation de données sur des clients. Nous examinerons ensuite l'obligation de répondre aux demandes des clients pour voir leurs données personnelles. En dernier lieu, je dirai un mot sur la surveillance de la Loi.

En examinant les différentes parties, je vous demande de garder à l'esprit un test établi dans le paragraphe sur le « But » de la loi - c'est-à-dire le concept de la « personne raisonnable ». Le paragraphe demande aux organisations d'équilibrer le droit des personnes à leur vie privée avec les besoins de l'organisation en renseignements personnels dans des buts qu'une « personne raisonnable » considérerait comme adéquats. Le concept influence toute la Partie I de la Loi (le droit relatif au respect de la vie privée), ainsi que l'Annexe 1, essentiellement le code de la CSA.

Tout d'abord, examinons la collecte de renseignements sur les clients. La loi établit des règles pour la collecte par une organisation des renseignements, en la limitant aux détails nécessaires pour atteindre le but énoncé. Quels détails devez-vous avoir pour assurer le service ou effectuer la recherche – Les organisations devraient déterminer les détails requis pour le projet, puis préciser - pour les employés et pour les clients - les renseignements nécessaires. Et la loi énonce clairement que les organisations ne peuvent induire en erreur ou tromper les personnes à propos du but de la collecte des renseignements.

Ensuite, nous traiterons du consentement. La Loi demande que les personnes consentent à la collecte, à l'utilisation ou à la divulgation de leurs renseignements, sauf lorsque c'est « inopportun ».

L'article de la Loi permet aux organisations de recueillir des renseignements sans qu'une personne le sache ou y consente, mais uniquement si :

  • la collecte est clairement dans l'intérêt de la personne et que son consentement ne peut être obtenu opportunément;
  • la connaissance par la personne de la collecte ou son consentement à celle-ci compromettrait la disponibilité ou l'exactitude des renseignements et la collecte est raisonnable en vue d'enquêter sur une infraction à des lois;
  • la collecte n'a que des buts journalistiques;
  • les renseignements sont disponibles publiquement et spécifiés dans un règlement.

La Loi établit aussi clairement que les organisations peuvent utiliser des renseignements personnels sans la connaissance et le consentement d'une personne :

  • pour enquêter sur une infraction à une loi;
  • pendant une situation d'urgence qui menace la vie d'une personne;
  • en vue d'étude ou de recherche statistique ou érudite;
  • si les renseignements sont disponibles publiquement;
  • si la collecte a été faite dans l'intérêt de la personne ou était raisonnable pour enquêter sur une infraction à des lois.

Enfin, la Loi détermine plusieurs circonstances dans lesquelles il est possible de divulguer des renseignements à d'autres, sans la connaissance ni le consentement d'une personne. Elles incluent, par exemple, parmi d'autres :

  • à un avocat représentant l'organisation;
  • pour recouvrer une dette qu'une personne a envers l'organisation;
  • pour se conformer à un subpona; etc.

La composante peut-être la plus essentielle du droit à la protection des données est la responsabilité; le droit qu'une personne a de savoir comment une organisation gère ses fonds de renseignements personnels. Les clients devraient pouvoir obtenir ces renseignements sans un effort déraisonnable, et les renseignements devraient être généralement compréhensibles.

Mais on peut soutenir que le noud du problème de la responsabilité repose sur les droits des personnes à obtenir l'accès aux renseignements que vous détenez à leur sujet, de savoir comment vous les utilisez et à qui vous les divulguez, ainsi que d'en assurer l'exactitude. La Loi établit certaines procédures pour obtenir un accès.

Certes, une organisation n'est pas toujours tenue de se conformer à la requête d'un demandeur. Il y a des cas où l'organisation peut refuser.

Une organisation peut refuser un accès si :

  • les renseignements sont protégés par le secret professionnel;
  • en donnant accès aux renseignements, des renseignements commerciaux confidentiels seraient révélés;
  • le fait de donner accès pourrait menacer la vie d'une autre personne;
  • les renseignements ont été recueillis pour enquêter sur une infraction à des lois;
  • si les renseignements ont été produits pendant un processus de règlement de différend.

Que se passe-t-il maintenant, si les choses vont mal, ce qui se produira inévitablement – Toute personne qui n'est pas satisfaite des méthodes de traitement des renseignements de votre organisation ou est mécontent des résultats d'une demande d'accès, peut se plaindre auprès de l'agent désigné de l'organisation. Ce devrait être un responsable d'un niveau assez élevé pour avoir la confiance de l'organisation et qui a assez de poids pour faire des modifications, au besoin.

Cette première étape est une partie importante du mécanisme, car elle place le poids de traiter avec des clients insatisfaits là où il devrait être - sur l'organisation. Le règlement de différend est une bonne expérience d'apprentissage. Il peut demander au personnel d'examiner en détail des procédures qu'il n'a jamais mises en question et, souvent, de les changer lorsqu'elles ne réussissent pas l'examen.

L'étape suivante, si le demandeur n'est toujours pas satisfait, consiste à se plaindre auprès du commissaire à la protection de la vie privée. Le commissaire doit faire une enquête pour toutes les plaintes. Cependant, il peut décider de ne pas émettre un rapport officiel s'il conclut que le plaignant devrait d'abord utiliser d'autres mesures correctrices ou une autre loi ou si les circonstances sont simplement trop anciennes pour faire enquête ou si la plainte est sans objet, vexatoire ou faite de mauvaise foi. Le commissaire peut aussi déposer sa propre plainte, si les preuves le justifient.

Le commissaire a de larges pouvoirs d'enquête, dont assigner des témoins, contraindre à donner des preuves et entrer dans des locaux. En pratique, il a rarement besoin de se montrer aussi ferme. L'aspect le plus essentiel du rôle du commissaire est d'être un ombudsman. Et comme tout ombudsman, il met l'accent sur la découverte des faits et la résolution du problème - en obtenant des solutions raisonnables par des personnes raisonnables. Le Commissariat n'est pas un lieu de confrontation ou d'accusation.

Une fois que le commissaire émet un rapport officiel, le plaignant a le droit d'obtenir un examen par un tribunal fédéral. Le commissaire ne peut pas ordonner aux organisations de se conformer à la loi. Il tente simplement une médiation et une conciliation.

Si le tribunal en convient, il effectue un examen de novo, ce qui veut dire qu'il examine la légalité des mesures de l'organisation, non de l'enquête du commissaire. Si le tribunal conclut qu'une organisation a enfreint la loi, il peut ordonner au contrevenant de changer ses pratiques et de publier des avis au sujet de ces changements. Le tribunal peut aussi accorder des dommages-intérêts, dont des dommages-intérêts pour humiliation.

Pour que le gouvernement, les entreprises et les organisations se conforment à la LPRPDE, elles doivent insérer la protection de la vie privée dès le début de leur plan d'activité. Une façon de le faire est d'utiliser une évaluation des incidences sur la vie privée. Elle permet l'examen de tout système ou de toute initiative que des organisations envisagent de développer, en vue de prévoir ses répercussions sur la vie privée, d'évaluer sa conformité avec des mesures législatives et des principes ainsi que de déterminer ce qui est nécessaire pour résoudre tout problème éventuel.

Les évaluations des incidences sur la vie privée permettent aux organisations de prévoir les répercussions d'une proposition sur la vie privée, d'évaluer sa conformité avec les lois et les principes concernant la vie privée et de déterminer ce qui est nécessaire pour surmonter des effets indésirables. Elles aident à éviter des coûts, une publicité négative et la perte de crédibilité et de la confiance du public, qui pourraient découler d'une proposition qui porte atteinte à la vie privée.

Pour conclure :

La Loi introduit une nouvelle manière d'organiser les choses au Canada. Cependant, ce n'est pas une façon absolument nouvelle de le faire, par comparaison avec d'autres pays de l'Ouest, loin de là. La Loi permet simplement au Canada de se mettre en harmonie avec le reste du monde occidental, qui a reconnu depuis longtemps l'importance d'établir de justes pratiques concernant l'information, dans les secteurs public et privé.

Il y aura des anicroches lors des premières étapes d'application de la Loi. Le Commissariat à la protection de la vie privée n'a pas l'intention d'intervenir et de demander une conformité immédiate et parfaite avec la Loi. Cela présenterait une demande impossible pour le secteur privé et ferait percevoir la Loi comme un instrument d'oppression, plutôt que comme un moyen d'encourager le respect d'un droit humain fondamental.

Aussi longtemps que nous aurons la technologie, nous serons confrontés à la tentation de l'intrusion. Mais est-ce que nous voulons réellement être une caractéristique qui définit notre société, une société dans laquelle le droit humain fondamental à la vie privée est à la merci d'esprit exagérément inquisiteurs et de technologies indiscrètes, comme la vidéo surveillance – J'espère que vous convenez avec moi que ce n'est pas ce que nous voulons. Nous voulons plutôt nous assurer que les organisations ont accès aux renseignements personnels dont elles ont légitimement besoin pour exercer leurs activités. Mais en même temps, l'abandon de la vie privée ne doit pas devenir le prix qu'il faut payer pour vivre dans une société démocratique moderne. Les règles de pratique justes en matière d'information portent, pour l'essentiel, sur le respect les uns des autres.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :