Qu'est-ce que la vie privée ?

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

8e Programme stratégique annuel de la gestion de l'information (PSGI)

Le 3 octobre 2002
Ottawa, Ontario

Julien Delisle
Directeur exécutif

(Le texte prononcé fait foi)


Le domaine de la vie privée est ramifié et l'enjeu est complexe. Ce que j'espère donc réaliser aujourd'hui est de définir pour vous la vie privée, d'expliquer pourquoi la vie privée est différente de la confidentialité et de la sécurité, et vous donner un bref aperçu de la nouvelle Loi sur la protection des renseignements personnels et les documents électroniques ainsi qu'un bref résumé de la Loi sur la protection des renseignements personnels.

Ainsi, qu'est-ce que la vie privée ?

Il n'est pas facile de définir la vie privée, bien que la plupart des gens aient une idée de ce qu'elle est.

La définition la mieux connue date de plus d'un siècle, c'est celle des juristes américains Samuel Warren et Louis Brandeis. Ils ont défini la vie privée comme « le droit d'être laissé tranquille », une définition qui est rien de plus facile à comprendre, mais qui est inadéquate pour traiter de la complexité moderne de la vie privée et de ce qui la menace.

Bien entendu, la vie privée concerne le fait d'être laissé tranquille, d'être libre d'interférences et exempt de surveillance.

Mais les menaces modernes contre la vie privée sont plus subtiles. Elles concernent la compilation et la manipulation de renseignements personnels à notre sujet et l'utilisation de ces renseignements à des fins auxquelles nous n'avons pas consenti ou dont nous ne sommes pas pleinement au courant ou que nous ne comprenons pas.

Le commissaire à la vie privée du Canada, George Radwanski, définit la vie privée comme le droit de contrôler l'accès à sa personne et aux renseignements qui nous concernent. Je pense que cette définition convient mieux aux défis auxquels nous faisons face dans le monde d'aujourd'hui.

Quel que soit ce qu'ils entendent par elle, les gens reconnaissent qu'il y a quelque chose de fondamentalement important au sujet de la vie privée. 1984 de George Orwell est devenu un phare culturel, à cause de son expression d'un monde sans vie privée. Les gens réagissent viscéralement à cela, ils ressentent qu'il ne peut y avoir de réelle liberté sans vie privée, que la vie privée est le droit d'où découlent toutes les libertés - la liberté d'expression, la liberté de conscience, la liberté d'association, la liberté de choix.

La vie privée est souvent citée dans les constitutions nationales comme droit inviolable. Elle est sous-jacente à l'interdiction de perquisitions et saisies déraisonnables de la Charte canadienne des droits et libertés. En interprétant cette interdiction, Monsieur le juge La Forest, ex-juge de la Cour suprême du Canada, a défini la vie privée comme étant au cœur de la liberté dans un État moderne.

Dire que c'est une question fondamentale ne signifie évidemment pas qu'elle est absolue. La vie privée existe dans un équilibre avec d'autres droits et obligations.

Mais je veux souligner qu'il n'est pas question d'équilibrer la vie privée des personnes en regard des intérêts de la société.

La vie privée n'est pas seulement un droit individuel, c'est aussi un bien social et public. Notre société dans son ensemble a intérêt à sa préservation. Nous ne pouvons pas rester une société libre, ouverte et démocratique, à moins que ne soit respecté le droit à la vie privée.

Autrement dit, les intérêts de la société incluent la vie privée des personnes. Et lorsque celle-ci est perdue, la société est aussi perdante.

Je voudrais maintenant préciser en quoi la vie privée diffère de la sécurité et de la confidentialité, parce que, malheureusement, ces termes sont souvent utilisés de façon interchangeable. Ils représentent en fait trois questions séparées et distinctes.

La vie privée est notre droit fondamental de contrôler la collecte, l'utilisation et la divulgation de renseignements qui nous concernent.

La confidentialité est l'obligation d'un gardien de protéger des renseignements personnels sous sa garde, de maintenir le caractère secret des renseignements et de ne pas en faire un mauvais usage ni de les divulguer de manière indue.

La sécurité est le processus qui consiste à évaluer les menaces et les risques pesant sur des renseignements et à prendre des mesures pour les protéger.

Ainsi, ces distinctions sont frappantes : la vie privée est un droit fondamental, la confidentialité est l'obligation de protéger des renseignements et la sécurité est le processus de protection.

Mais c'est la vie privée qui entraîne l'obligation de confidentialité et la responsabilité de la sécurité. C'est de la vie privée dont il faut s'occuper avant de pouvoir traiter des notions de confidentialité et de sécurité qui s'ensuivent. Et si elle n'est pas respectée, assurer la confidentialité et la sécurité ne suffit pas. Si les renseignements concernant une personne sont recueillis, utilisés ou divulgués à son insu ou sans son consentement, assurer la confidentialité et la sécurité de ses renseignements ne signifie pas que sa vie privée a été respectée.

Pour illustrer les différences entre la vie privée, la confidentialité et la sécurité, on peut prendre un exemple canadien récent : le cas du long fichier de DRHC. Le ministère du Développement des ressources humaines (DRHC), qui est notre plus important ministère, comporte une Direction de la politique stratégique. Cette instance avait élaboré un fichier de données longitudinales sur la population active pour une évaluation de la recherche, une analyse de la politique et des programmes en vue d'appuyer les programmes du Ministère. Il contenait des enregistrements sur 33,7 millions de personnes, extraits de fichiers internes et externes largement distincts, comme les enregistrements sur le bien-être et l'impôt sur le revenu. Le profil de chaque citoyen pouvait contenir jusqu'à 2 000 éléments de données. Le Fichier longitudinal sur la population active était relativement invisible pour le public et il y avait d'importantes lacunes dans le cadre juridique de protection des renseignements personnels.

Lorsque l'existence de la base de données fut rendue publique, plus de 70 000 Canadiens et Canadiennes ont demandé à avoir accès à leurs renseignements personnels contenus dans la base de données. Par suite du tollé public, la base de données a été démantelée.

Même si DRHC avait en place de stricts protocoles pour accéder à la base de données - son accès était strictement limité à très peu de fonctionnaires et de chercheurs seulement - et même si la sécurité n'était pas un problème - aucune information de la base de données n'a jamais été divulguée de manière impropre - les Canadiens et Canadiennes se préoccupaient néanmoins de ce que leur vie privée avait été violée. Ils se préoccupaient du vaste recueil de renseignements personnels sans qu'un but particulier ne soit défini. Ils étaient préoccupés par le fait que les renseignements n'avaient jamais été supprimés dans la base de données. Ils se préoccupaient de ce que l'État s'était indûment mêlé de leur vie privée.

On parle beaucoup maintenant des questions stratégiques qui entourent les progrès de la technologie de l'information, ou TI, et de ce que cela signifie pour les affaires. En même temps, les solutions de la TI, avec leur facilité à manipuler des masses de renseignements, peuvent importer des risques considérables pour la vie privée, si elles n'établissent pas dans leur conception la protection de la vie privée. En elle-même, la technologie peut être neutre. Mais, sans règles de route pour régir la manipulation des renseignements personnels, elle devient n'importe quoi, mais rien de neutre.

Une technologie non réglementée devient une menace pour la vie privée, parce qu'elle accroît de manière exponentielle notre capacité de recueillir, d'utiliser et de divulguer un grand nombre de renseignements personnels. Elle nous permet de les transmettre instantanément à de grandes distances. La technologie a supprimé la protection des renseignements personnels, qui était un sous-produit inhérent aux systèmes inefficaces de classement manuel. Les personnes ont besoin d'une protection supplémentaire de leur vie privée, maintenant que les systèmes de classement manuel ne servent plus de contrôleurs d'accès de fait à la vie privée.

La crainte justifiée que la technologie servirait à supprimer ce droit fondamental de la vie privée a été l'un des moteurs clés qui a poussé à l'élaboration de la Loi sur la protection des renseignements personnels et les documents électroniques. Les principales dispositions de la Loi concernant la vie privée sont entrées en vigueur le 1er janvier 2001.

Je voudrais vous donner un bref aperçu de cette loi : le délai de la mise en œuvre, des détails sur l'application et le processus de plainte.

Le calendrier de la mise en œuvre est le suivant :
Au 1er janvier 2001, la loi s'applique aux entreprises, affaires et ouvrages de compétence fédérale, comme les banques, les entreprises de télécommunication, les entreprises ferroviaires, de transport aérien et de camionnage interprovincial, et aux dossiers des employés de ces organisations. Elle s'applique aussi aux renseignements personnels divulgués entre les frontières pour étude.

Depuis le 1er janvier dernier, la Loi s'applique aussi aux renseignements personnels sur la santé recueillis, utilisés et divulgués par les organisations décrites dans la phase un de la Loi.

Au 1er janvier 2004, la Loi s'appliquera à la collecte, à l'utilisation et la divulgation de renseignements personnels au cours d'activités commerciales dans une province et dans les transactions internationales, par toutes les organisations soumises à la Loi, au cours d'activités commerciales.

La Loi sur la protection des renseignements personnels et les documents électroniques édicte ce qui est connu, dans le secteur de la vie privée, comme un code de principes justes d'information. Ces principes justes d'information consistent en règles pour réglementer la collecte, l'utilisation et la divulgation de renseignements personnels et pour donner aux personnes un accès aux renseignements personnels détenus par d'autres.

Les renseignements personnels sont tous les renseignements concernant une personne identifiable. Les organisations incluent des associations, des partenariats, des personnes et des syndicats. Les entreprises traditionnelles et le commerce électronique sont couverts par la Loi. L'expression activité commerciale inclut la vente, le troc ou la location de listes de donateurs, de membres ou d'autres listes de souscripteurs.

La Loi ne couvre pas toutes les collectes de renseignements personnels. Par exemple, elle n'inclut pas les données personnelles recueillies strictement à des fins personnelles (comme votre liste personnelle de cartes de souhaits) ou dans des buts journalistiques, artistiques ou littéraires ou pour une activité non commerciale.

Le cœur de la Loi est le Code type de l'Association canadienne de normalisation, qui est intégré dans l'annexe de la Loi. Le code est un consensus élaboré par un partenariat d'entreprises et le gouvernement. Il a été conçu pour donner aux organisations les renseignements personnels dont elles ont besoin dans des buts légitimes, tout en protégeant les droits et les intérêts des personnes. Le code s'appuie sur 10 principes qui définissent normalement les responsabilités d'une organisation.

Ces principes sont les suivants.

1. Responsabilité
Une organisation est responsable des renseignements personnels sous son contrôle et elle désignera des personnes qui sont responsables de la conformité de l'organisation avec les principes qui suivent.

2. Identification des buts
L'organisation doit identifier les buts pour lesquels elle recueille des renseignements personnels au moment de la collecte ou avant celle-ci.

3. Consentement
Une personne doit être au courant de la collecte, de l'utilisation et de la divulgation des renseignements personnels et donner son accord, sauf si c'est inopportun.

4. Limite de la collecte
L'organisation doit limiter sa collecte de renseignements personnels à ceux qui sont nécessaires pour les buts identifiés, et elle doit le faire par des moyens justes et licites.

5. Limite de l'utilisation, de la divulgation et de la conservation
Les organisations ne doivent pas utiliser ou divulguer des renseignements personnels pour des buts autres que ceux pour lesquels ils ont été recueillis, sauf avec le consentement de la personne ou selon ce que demande une loi. Et elles ne doivent conserver les renseignements personnels que pendant le temps nécessaire pour réaliser ces buts.

6. Exactitude
Les renseignements personnels doivent être aussi exacts, complets et à jour que nécessaire pour les buts pour lesquels ils sont utilisés.

7. Protections
Les organisations doivent protéger les renseignements personnels par des protections assurant une sécurité proportionnée à la sensibilité des renseignements.

8. Ouverture
Une organisation doit mettre facilement à la disposition des personnes des renseignements particuliers au sujet de ses politiques et pratiques concernant la gestion des renseignements personnels.

9. Accès individuel
À sa demande, il faut informer une personne de l'existence, des utilisations et des divulgations de ses renseignements personnels et lui donner accès à ces renseignements. Une personne doit pouvoir contester l'exactitude et la complétude des renseignements et les faire corriger, le cas échéant.

10. Contestation de la conformité
Une personne doit pouvoir contester la conformité d'une organisation aux principes auprès de la personne désignée comme responsable de la conformité de l'organisation.

Bien entendu, pour se conformer à ces principes, une organisation doit effectuer un travail interne. Elle doit examiner et analyser la façon dont elle mène ses affaires pour déterminer :

  • les renseignements personnels qu'elle recueille;
  • la raison de le faire;
  • la façon de le faire;
  • ce que l'on en fait;
  • l'endroit où on les garde;
  • e moment où ils sont utilisés ou éliminés;
  • les bénéficiaires des renseignements.

Nombre d'organisations peuvent avoir la surprise de découvrir qu'elles ne connaissent réellement pas les renseignements personnels qu'elles recueillent, la façon dont elles les utilisent ou les contrôles de la qualité et les protections de sécurité, s'il y en a, dont elles disposent. Une leçon apprise dans les premiers jours de la Loi sur la protection des renseignements personnels fédérale a été que certains organismes gouvernementaux recueillaient des quantités excessives de renseignements personnels sans raison valable et à un coût inutile. Des lois comme celle-ci visent à éliminer la pratique de tout obtenir, tout de suite, et de penser plus tard à en faire l'utilisation. C'est ce dont sont faites les fiches descriptives et c'est le contraire d'une bonne pratique de la vie privée.

Essentiellement, la Loi demande aux organisations d'établir des relations ouvertes et transparentes avec leurs clients. Ce ne peut être qu'une bonne chose pour les affaires. Les exceptions à cette règle générale devraient être limitées et particulières.

Que se passe-t-il maintenant, si les choses vont mal, ce qui se produira inévitablement – Toute personne qui n'est pas satisfaite des méthodes de traitement des renseignements d'une organisation ou est mécontente des résultats d'une demande d'accès, peut se plaindre auprès de l'agent désigné de l'organisation. Ce devrait être un responsable d'un niveau assez élevé pour avoir la confiance de l'organisation et qui a assez de poids pour faire des modifications, au besoin.

Cette première étape est une partie importante du mécanisme, car elle place le poids de traiter avec des clients insatisfaits là où il devrait être - sur l'organisation. Le règlement de différend est une bonne expérience d'apprentissage. Il peut demander au personnel d'examiner en détail des procédures qu'il n'a jamais mises en question et, souvent, de les changer lorsqu'elles ne réussissent pas l'examen.

L'étape suivante du processus, si le demandeur n'est toujours pas satisfait, consiste à se plaindre auprès du commissaire à la protection de la vie privée. Le commissaire doit faire une enquête pour toutes les plaintes. Cependant, il peut décider de ne pas émettre un rapport officiel s'il conclut que le plaignant devrait d'abord utiliser d'autres mesures correctrices ou une autre loi ou si les circonstances sont simplement trop anciennes pour faire enquête ou si la plainte est sans objet, vexatoire ou faite de mauvaise foi. Le commissaire peut aussi déposer sa propre plainte, si les preuves le justifient.

Le commissaire a de larges pouvoirs d'enquête, dont assigner des témoins, contraindre à donner des preuves et entrer dans des locaux. En pratique, il a rarement besoin de se montrer aussi ferme. L'aspect le plus essentiel du rôle du commissaire est d'être un ombudsman. Et comme tout ombudsman, il met l'accent sur la découverte des faits et la résolution du problème - en obtenant des solutions raisonnables par des personnes raisonnables. Le Commissariat n'est pas un lieu de confrontation ou d'accusation.

Une fois que le commissaire émet un rapport officiel, le plaignant a le droit d'obtenir un examen par un tribunal fédéral. Le commissaire ne peut pas ordonner aux organisations de se conformer à la loi. Il tente simplement une médiation et une conciliation.

Si le tribunal en convient, il effectue un examen de novo, ce qui veut dire qu'il examine la légalité des mesures de l'organisation, non de l'enquête du commissaire. Si le tribunal conclut qu'une organisation a enfreint la loi, il peut ordonner au contrevenant de changer ses pratiques et de publier des avis au sujet de ces changements. Le tribunal peut aussi accorder des dommages-intérêts, dont des dommages-intérêts pour humiliation.

L'autorité détenue par le commissaire à la vie privée découle en fait de sa nomination à ce titre en vertu de la Loi sur la protection des renseignements personnels. Cette loi a été proclamée en 1983 et a mené à la création du Commissariat à la protection de la vie privée.

Le commissaire est nommé par le gouverneur en conseil (Cabinet des ministres) après que cette nomination a été approuvée par un vote dans les deux chambres du Parlement - la Chambre des communes et le Sénat.

La Loi sur la protection des renseignements personnels a été promulguée dans le cadre de l'engagement du Canada d'appuyer les lignes directrices de l'OCDE en matière de protection des données.

Les principes fondamentaux de la Loi sur la protection des renseignements personnels sont les mêmes que ceux que j'ai décrits précédemment dans le cas de la LPRPDE : consentement éclairé, spécificité de l'objet, accès et droit de correction, notamment.

Les principales différences entre ces deux lois sont les suivantes : la Loi sur la protection des renseignements personnels ne repose pas sur le Code de la CSA et ne permet pas l'éducation du public et la recherche.

Les exemptions relatives au droit d'accès sont différentes de manière à permettre des notions comme l'application de la loi, la sécurité nationale et les documents confidentiels du Cabinet.

L'autorité du commissaire en vertu de la Loi sur la protection des renseignements personnels, bien qu'identique en ce qui concerne ses pouvoirs d'enquête, diffère quant à son pouvoir de vérification. En vertu de l'article 37 de la Loi sur la protection des renseignements personnels, le commissaire est tout à fait libre de faire ses enquêtes. En vertu de l'article 18 de la LPRPDE, il ne peut faire une vérification que s'il a des motifs raisonnables de croire qu'une organisation enfreint une disposition de la Loi.

En ce qui concerne les renvois à la cour fédérale, la Loi sur la protection des renseignements personnels ne permet au commissaire de donner suite que s'il y a eu refus d'accès aux renseignements.

Pour que le gouvernement, les entreprises et les organisations se conforment à la fois à la Loi sur la protection des renseignements personnels et à la LPRPDE, elles doivent insérer la protection de la vie privée dès le début de leur plan d'activité. Une façon de le faire est d'utiliser une évaluation des incidences sur la vie privée. Elle permet l'examen de tout système ou de toute initiative que des organisations envisagent de développer, en vue de prévoir ses répercussions sur la vie privée, d'évaluer sa conformité avec des mesures législatives et des principes ainsi que de déterminer ce qui est nécessaire pour résoudre tout problème éventuel.

Les évaluations des incidences sur la vie privée permettent aux organisations de prévoir les répercussions d'une proposition sur la vie privée, d'évaluer sa conformité avec les lois et les principes concernant la vie privée et de déterminer ce qui est nécessaire pour surmonter des effets indésirables. Elles aident à éviter des coûts, une publicité négative et la perte de crédibilité et de la confiance du public, qui pourraient découler d'une proposition qui porte atteinte à la vie privée.

M. Radwanski, notre commissaire à la vie privée, défend énergiquement l'évaluation des facteurs relatifs à la vie privée (ÉFVP). Depuis son entrée en fonction, en septembre 2000, il a encouragé le gouvernement du Canada à mettre en œuvre une politique en cette matière. Je suis heureux de signaler que l'honorable Lucienne Robillard, présidente du Conseil du Trésor, a annoncé, le 24 avril dernier, que le gouvernement du Canada était en voie de mettre en œuvre une politique d'ÉFVP complète qui s'appliquera à tous les ministères et organismes fédéraux, ce qui fait du Canada un chef de file mondial en matière d'ÉFVP.


Pour conclure :

La LPRPDE introduit une nouvelle manière d'organiser les choses au Canada. Cependant, ce n'est pas une façon absolument nouvelle de le faire, par comparaison avec d'autres pays de l'Ouest, loin de là. La Loi permet simplement au Canada de se mettre en harmonie avec le reste du monde occidental, qui a reconnu depuis longtemps l'importance d'établir de justes pratiques concernant l'information, dans les secteurs public et privé.

Il y aura des anicroches lors des premières étapes d'application de la LPRPDE. Le Commissariat à la protection de la vie privée n'a pas l'intention d'intervenir et de demander une conformité immédiate et parfaite avec la Loi. Cela présenterait une demande impossible pour le secteur privé et ferait percevoir la Loi comme un instrument d'oppression, plutôt que comme un moyen d'encourager le respect d'un droit humain fondamental.

Aussi longtemps que nous aurons la technologie, nous serons confrontés à la tentation de l'intrusion. Mais est-ce que nous voulons réellement être une caractéristique qui définit notre société, une société dans laquelle le droit humain fondamental à la vie privée est à la merci d'esprit exagérément inquisiteurs et de technologies indiscrètes, comme la vidéo surveillance – J'espère que vous convenez avec moi que ce n'est

Date de modification :