Sélection de la langue

Recherche

L'ingénierie de la protection de la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Université Carleton

Le 25 mars 2003
Ottawa, Ontario

Julien Delisle
Directeur exécutif


On pourrait trouver un peu bizarre qu'un porte-parole du Commissariat à la protection de la vie privée vienne s'adresser à un groupe d'étudiants en génie. On dit, à juste titre, que le génie est « l'art ou la science du pratique ». Comme futurs ingénieurs, vous vous intéressez aux sciences appliquées — vous voulez faire profiter le vrai monde des bienfaits de la science pure.

La protection de la vie privée, par contraste, est souvent perçue comme pas des plus pratiques — pas vraiment très loin de la conjecture philosophique.

Mais, à mon avis, votre domaine et le mien sont, en réalité, étroitement reliés. Et ce n'est pas seulement parce que c'est en génie que j'ai effectivement débuté mes études universitaires que je dis cela.

La génie, ce n'est pas seulement pratique; c'est aussi une entreprise philosophique. La curiosité scientifique est l'une des façons possibles d'envisager notre monde. Lorsque nous pensons en scientifiques, nous nous interrogeons sur le monde et la façon dont il fonctionne. Lorsque nous pensons en ingénieurs, nous nous demandons comment le monde pourrait mieux fonctionner. Le génie est une façon de donner au monde son sens physique, et d'essayer d'en faire un meilleur endroit.

La protection de la vie privée, par contre, n'est pas seulement philosophique. Elle est pratique. Nous pensons à la vie privée — et, au Commissariat à la protection de la vie privée, nous y pensons, nous en parlons, nous écrivons à son sujet — parce qu'elle est au coeur d'une façon de vivre fondée sur le respect de l'autonomie et de la liberté individuelles. Nous voulons en faire la promotion et la raffermir, pour faire du monde un meilleur endroit.

L'éducateur britannique sir Eric Ashby disait des ingénieurs qu'ils sont les figures clés du progrès matériel du monde. Il disait que le génie « fait une réalité de la valeur potentielle de la science en traduisant le savoir scientifique en outils, ressources, énergie et main-d'oeuvre pour les mettre au service de l'homme... » Mais il ajoutait que pour faire cette contribution, les ingénieurs ont besoin de « l'imagination voulue pour visualiser les besoins de la société et comprendre ce qui est possible ». Et ils ont besoin non seulement de la compréhension technologique, mais de ce qu'il appelait « une vaste compréhension de l'âge social », pour transformer leurs visions en réalité.

Je veux vous proposer aujourd'hui l'idée selon laquelle la vie privée est un élément absolument crucial de cette « vaste compréhension de l'âge social ». En définitive, les ingénieurs que vous serez ne pourront pas accomplir les choses qui les intéressent sans tenir compte de leurs incidences sur la vie privée et sans intégrer la protection de la vie privée dans le processus d'ingénierie.

Je veux donc vous entretenir aujourd'hui de la signification et de l'importance de la protection de la vie privée, du rôle du Commissariat à la protection de la vie privée, et de l'intégration de la protection des renseignements personnels dans vos projets. J'articulerai mes exemples sur les systèmes d'information, mais la même façon de voir vaut de façon globale pour le travail des ingénieurs.

La vie privée est un droit fondamental de la personne. C'est un élément essentiel d'une société libre. L'ancien juge La Forest de la Cour suprême du Canada a déjà écrit que « la notion de vie privée est au coeur de celle de la liberté dans un État moderne ».

Il n'y a pas de vraie liberté sans vie privée. De fait, pour certaines personnes, la vie privée est « le droit dont émanent toutes les autres libertés ». Elle est une sphère privée de pensée et d'action, qui est votre affaire et celle de personne d'autre, le fondement même de la liberté de pensée, de la liberté de conscience, de la liberté de parole, et ainsi de suite. Comme le dit souvent le commissaire à la protection de la vie privée, George Radwanski, si vous devez passer votre vie à vous demander si quelqu'un vous a à l'oeil, surveille chacun de vos mouvements, chacun de vos achats, et chacune de vos interactions humaines, notant, jugeant, interprétant — peut-être mal — vos actions, si vous devez passer votre vie comme cela, vous n'êtes pas libre.

En tant qu'ingénieurs, vous voudrez peut-être pousser votre réflexion sur la liberté qui découle de la vie privée — la liberté d'avoir des idées originales, de tenter de nouvelles choses, de faire l'expérience de différentes approches. Vous n'avez pas à me dire que cette liberté est cruciale pour l'enquête scientifique et le bon génie.

Qu'est-ce que je veux donc dire par vie privée ?

On dit souvent qu'elle est « le droit d'être laissé seul », et c'est une bonne définition. Une définition qui reflète la réaction viscérale de chacun au fait d'être surveillé, ou passé sous la loupe ou dérangé. Voilà ce que signifie « violation de la vie privée » pour bien des gens.

Mais il y a un autre genre de violation de la vie privée qui est moins évident, et c'est la collecte, l'utilisation et la communication de renseignements nous concernant, à notre insu ou sans notre consentement.

Pour le commissaire à la protection de la vie privée du Canada, George Radwanski, la vie privée, c'est le droit de contrôler l'accès à sa personne et aux renseignements la concernant. Ce concept plus vaste, à base d'information, de la vie privée est utile pour comprendre comment la vie privée est menacée.

Jusqu'à tout récemment, la vie privée était protégée par défaut. Du temps que les renseignements nous concernant étaient dispersés dans des dossiers papier, il était extrêmement difficile de dresser un dossier détaillé sur un individu.

À moins d'être célèbre et important, ou notoire, notre vie privée était assez bien protégée. Elle était protégée par les obstacles du temps, de la distance et du coût.

Ces obstacles n'existent plus, dans un monde numérique et branché, où vous laissez vos empreintes informationnelles partout où vous passez. Aujourd'hui, il suffit de quelques minutes à un étranger muni d'un ordinateur pour constituer un dossier détaillé de toute votre vie.

Au Canada, notre réaction a été, en particulier, de légiférer pour protéger la vie privée.

Le commissaire à la protection de la vie privée et le personnel du Commissariat surveillent deux lois : la Loi sur la protection des renseignements personnels, qui s'applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques — la LPRPDE, comme nous disons — qui s'applique au secteur privé.

À l'heure actuelle, la LPRPDE s'applique aux entreprises fédérales — surtout les secteurs des banques, des télécommunications et de la radiotélédiffusion et des transports — ainsi qu'à la vente de renseignements personnels à l'extérieur de la province ou du pays.

En 2004, sauf dans les provinces qui se seront donné de loi similaire, elle s'appliquera à toutes les activités commerciales au Canada. Tôt ou tard, l'ensemble du secteur privé au Canada sera tenu de se conformer soit à la LPRPDE soit à une loi provinciale similaire.

En tant qu'ingénieurs, vous fonctionnerez dans ce contexte juridique. Tout système de votre conception qui comportera la collecte, l'utilisation et la communication de renseignements personnels, n'importe où au pays, dans les secteurs public et privé, devra respecter les principes de la protection de la vie privée qui sous-tendent les lois canadiennes.

Quels sont donc ces principes de la protection de la vie privée – En quelques lignes :

Les renseignements personnels doivent être obtenus directement des individus concernés dans toute la mesure du possible et selon qu'il y a lieu.

Les individus doivent pouvoir contrôler l'utilisation et la communication de leurs renseignements en donnant ou en refusant leur consentement.

Les renseignements personnels recueillis à une fin particulière ne doivent pas pouvoir servir à des fins non reliées.

Les renseignements ne doivent pas être conservés plus longtemps qu'il ne faut pour les fins auxquelles l'individu a consenti.

L'accès aux renseignements personnels par un tiers doit être réservé à ceux qui ont besoin de savoir, à des fins autorisées.

Qui plus est, la collecte, l'utilisation et la communication de renseignements personnels doit être à des fins qu'une personne raisonnable estimerait acceptables.

Ces principes doivent être le point de départ de tout système qui utilise des renseignements personnels.

Je veux maintenant vous parler de la distinction à faire entre la vie privée et certains autres concepts que l'on a parfois tendance à confondre avec celui de la vie privée : la sécurité et la confidentialité. Bien qu'on ait tendance à les considérer comme synonymes de vie privée, ces concepts en sont très différents.

La vie privée, c'est notre droit fondamental de contrôler les renseignements qui nous concernent — y compris la collecte, l'utilisation et la communication de ces renseignements.

La confidentialité, c'est notre obligation de protéger les renseignements personnels qui nous sont confiés, d'en maintenir le secret et de ne pas en faire un usage abusif et de ne pas les communiquer de façon inappropriée.

La sécurité, c'est le processus d'évaluation des menaces et des risques pour les renseignements.

Le point essentiel à retenir est ceci : sans respect de la vie privée, la confidentialité et la sécurité ne veulent rien dire. Si vous recueillez, utilisez ou communiquez des renseignements concernant quelqu'un, sans son consentement, vous avez violé sa vie privée. Et ce n'est pas parce que vous protégez la confidentialité et la sécurité des renseignements que cela y change quoi que ce soit.

Voici un exemple concret pour bien me faire comprendre. Voyez la base de données du Système d'information préalable sur les voyageurs/dossier passager — IPV/DP en bref — que l'Agence des douanes et du revenu du Canada est en voie d'assembler.

Il s'agit d'une base de données de renseignements personnels concernant chaque passager entrant au Canada par avion. Elle comprend plus de 30 éléments de données : chaque destination du voyageur, avec qui il a voyagé, comment il a payé son billet, voire ses préférences alimentaires et ses besoins particuliers en matière de santé.

Ces renseignements ne sont pas recueillis sur des personnes particulières dont on a des motifs de croire qu'elles sont mêlées à des affaires criminelles ou de sécurité nationale. Ils sont recueillis sur chaque passager, même s'il s'agit d'une personne respectueuse de la loi, et peu importe qu'il n'ait rien fait pour éveiller des soupçons.

Je suppose que ceci a de quoi surprendre la plupart d'entre vous : chaque fois que vous prendrez un vol international, un dossier sur votre compte sera communiqué à l'ADRC. Je pense que vous serez peut-être encore plus surpris d'apprendre que ces renseignements qui vous concernent peuvent être communiqués aux forces policières, au ministère du Développement des ressources humaines, à Citoyenneté et Immigration Canada, au Centre d'analyse des opérations et déclarations financières, et à toute personne qu'une loi fédérale autorise à exiger la production des renseignements. Ils peuvent être communiqués aux fins de l'application, entre autres choses, de la Loi sur les douanes, de la Loi sur l'assurance-emploi, de la Loi de l'impôt sur le revenu, de la Loi sur les mesures spéciales d'importation ou de la Loi sur le recyclage des produits de la criminalité. Ils peuvent, de fait, être partagés avec n'importe qui, si le ministre l'estime dans l'intérêt public.

Et ce n'est pas tout. L'ADRC a l'intention de conserver tous ces renseignements pour six ans à compter de la date de leur collecte. Donc, si vous prenez l'avion pour Paris pour des vacances, tous les renseignements vous concernant et concernant votre voyage seront conservés par une institution fédérale pendant six ans, même si elle n'en fait rien, même si votre voyage ne vous met en rien sur aucun des écrans radar, même si vous franchissez tous les obstacles de l'examen auquel vous êtes soumis en vertu des lois régissant la sécurité, l'impôt sur le revenu, le blanchiment d'argent, ou l'assurance-chômage.

La confidentialité de ces renseignements ne pose aucun problème. Ils ne seront pas criés sur tous les toits; l'accès en sera réservé aux personnes autorisées.

Et la sécurité n'est pas un problème non plus. Nous sommes convaincus que ces renseignements seront conservés en lieu sûr et que les ressources technologiques et humaines pour les protéger sont suffisantes.

Mais cela ne change rien au fait qu'il s'agit, dès le départ, une collecte et une utilisation injustifiées de renseignements personnels. Autrement dit, le problème est que la vie privée sera violée. Et ce n'est pas parce que la confidentialité et la sécurité sont assurées que cela y change quoi que ce soit.

Permettez-moi maintenant de vous donner une idée des genres de problèmes de protection de la vie privée qui peuvent se poser dans la conception de systèmes d'information. Voici certaines des choses que nous avons observées avec l'initiative fédérale du Gouvernement en direct.

Le Gouvernement en direct propose le décloisonnement des organisations et des programmes, à l'intérieur du gouvernement et entre paliers de gouvernement.

Cela a des airs de progrès et d'efficacité.

Mais les murs à abattre sont aussi des murs entre les collectes de renseignements personnels concernant des individus et leurs interactions avec le gouvernement.

Ces renseignements ont été recueillis à des fins particulières. Lorsqu'ils sont conservés dans des bases de données distinctes ou « couloirs » spécifiquement à ces fins, on dit qu'ils sont gardés séparés.

Lorsque les murs de ces couloirs disparaissent, deux choses peuvent se produire. La première est qu'une personne ayant besoin de connaître un seul élément d'information a accès à beaucoup plus. Les personnes qui traitent ma demande de pension d'invalidité du RPC, par exemple, doivent connaître mes renseignements personnels sur la santé. Nul autre fonctionnaire n'en a besoin, ou ne devrait en avoir besoin.

C'est le premier problème. L'autre, c'est qu'il y a moyen de regrouper les renseignements pour révéler de nouveaux renseignements ou créer des profils des individus.

L'établissement de profils est la marque distinctive des sociétés de surveillance. Les dossiers sur les individus, qui documentent leurs activités et leurs interactions avec le gouvernement, n'ont pas leur place dans une société libre et démocratique.

Il est parfois justifié de coupler des renseignements personnels provenant de différentes sources. La Loi sur la protection des renseignements personnels et la LPRPDE le permettent toutes les deux dans certaines circonstances. Mais ces circonstances sont strictement limitées, et elles doivent être justifiées.

Les bases de données séparées sont une protection intégrée contre les utilisations non reliées et contre l'établissement de profils. Leurs avantages peuvent se perdre lorsque les bases de données sont regroupées — à moins que vous ne preniez des mesures pour y intégrer des protections.

Un autre de nos soucis est l'authentification du client.

Les gouvernements doivent souvent établir l'identité de leurs administrés, particulièrement lorsque ces derniers accèdent par électronique à des prestations et des programmes. C'est ce qui les a amenés à s'intéresser aux « identités électroniques » et aux cartes à mémoire.

Les problèmes de protection de la vie privée que posent les mécanismes d'identification sont légion.

Les cartes à mémoire, par exemple, sont capables d'emmagasiner de vastes quantités de renseignements personnels, concernant différents programmes et services, ou d'y donner accès. Bien conçues, elles peuvent protéger la vie privée.

Mais une carte unique documentant toutes nos interactions avec le gouvernement accélérerait la centralisation et le partage des renseignements personnels, et poserait le problème des bases de données combinées à un niveau jamais vu.

Voilà, ce sont certaines de nos craintes. Comment les apaiseriez-vous ?

Je n'ai pas de solution à vous prescrire. Ce sera votre domaine d'expertise en tant qu'ingénieurs, pas le mien. Je vous dirais simplement qu'il vous est nécessaire d'intégrer la protection des renseignements personnels dans vos systèmes dès le départ. Plus tard, il sera trop tard. Vous ne pouvez dire que vous allez traverser ce pont lorsque vous y serez rendus, ou s'il y a des plaintes. La conception des systèmes d'information doit faire une place aussi fondamentale aux principes de la protection de la vie privée qu'au matériel et au logiciel.

Si vous concevez un système d'information respectueux de la vie privée pour un client, un bon point de départ consiste à évaluer les pratiques et systèmes existants du client en matière de renseignements personnels au regard du critère de la personne raisonnable — à demander si les renseignements personnels sont recueillis, utilisés ou communiqués à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

La responsabilité à l'égard de ces renseignements personnels est entière. À partir du moment où des renseignements personnels tombent entre les mains de votre client, jusqu'au moment où il en est disposé correctement, il faut respecter la vie privée de la personne concernée. Cette responsabilité ne commence pas seulement lorsque les renseignements sont versés dans une base de données, et ne s'arrête pas lorsque les renseignements sont transmis à une autre partie.

Vous devez utiliser le critère « qui a besoin de savoir quoi ». Les personnes devraient pouvoir révéler les renseignements personnels les concernant lorsqu'elles le doivent, et dans la mesure où elles le doivent — et pas plus.

Par-dessus tout, il est crucial de se rappeler l'importance de la connaissance et du consentement. Les personnes doivent savoir quels renseignements sont recueillis à leur sujet, et comment ils sont utilisés et communiqués. Et elles doivent avoir la possibilité d'exercer un contrôle sur la collecte, l'utilisation et la communication, par le pouvoir du consentement.

Voilà donc certaines des considérations que vous auriez à prendre en compte dans la conception de systèmes d'information respectueux de la vie privée. Encore une fois, la clé, c'est d'y intégrer dès le départ la protection des renseignements personnels.

Une façon d'intégrer la protection de la vie privée dans un système que vous concevez, c'est de faire une Évaluation des facteurs relatifs à la vie privée.

C'est une chose que le gouvernement fédéral a rendue obligatoire pour tous ses systèmes d'information — nouveaux ou refaits — y compris les systèmes du Gouvernement en direct. N'importe quelle organisation peut adopter un processus semblable, à échelle plus modeste.

En termes simples, cela oblige à analyser les répercussions probables d'un projet, d'une pratique ou d'un système sur la vie privée. Cela oblige à examiner toutes les pratiques de renseignements personnels qui y entrent, comme les genres de renseignements personnels qui sont recueillis, la façon dont le consentement est obtenu, comment et pour combien de temps les renseignements sont conservés, comment ils sont utilisés, et à qui ils sont communiqués.

Cela oblige à examiner des choses comme les objets de la collecte, de l'utilisation et de la communication des renseignements personnels, et le pouvoir que l'on a de les avoir, les genres de liens qu'il y aura entre ces renseignements et d'autres, et la façon dont les individus pourront exercer leur droit d'accès à leurs renseignements. Et, bien sûr, cela oblige à évaluer comment le système respecte la législation et les principes de protection de la vie privée.

Certains des genres de questions que vous poseriez dans une évaluation des facteurs relatifs à la vie privée pourraient être :

Le système restreindra-t-il l'accès à ceux qui ont besoin de savoir ?

Sera-t-il possible de faire des inférences au sujet d'une personne, par couplage d'éléments d'information disparates ?

Le système équivaudra-t-il à un système de surveillance – Servira-t-il à surveiller les activités des clients ou des employés, ou tout au moins à faciliter le pistage – Si oui, est-ce justifié ?

Outre les questions au sujet des violations possibles de la vie privée, il y en a d'autres qui concernent les ressources à y consacrer — comme celle de savoir s'il y a en place un cadre d'obligation de rendre compte. Y a-t-il un endroit au sein de l'organisation où les individus peuvent s'adresser en cas de problème touchant leur vie privée – Ont-ils un accès rapide à leurs renseignements personnels – Y a-t-il quelqu'un dans l'organisation qui comprend la vie privée, qui peut les conseiller – Et cette personne a-t-elle un certain poids au sein de l'organisation, pour faire respecter la vie privée ?

Ce ne sont pas là, à strictement parler, des questions d'ingénierie, bien sûr. Mais la protection de la vie privée est si cruciale dans l'entreprise de génie que vous devez veiller à ce qu'elle soit examinée, même si ce n'est pas vous qui faites l'examen.

Et, bien sûr, ceux d'entre vous qui auront leur propre bureau d'ingénierie, et particulièrement s'ils emploient d'autres personnes, devront porter une attention particulière à la protection de la vie privée. Cette évaluation ne fait pas que faire découvrir les écueils pour la vie privée dont la voie à suivre est parsemée; elle fait autre chose également : elle vous aide à sensibiliser les personnes de votre organisation aux questions de vie privée. Elle peut vous aider à créer une culture organisationnelle de respect de la vie privée, où chacun appuie et comprend la vie privée, dans le cadre de l'objectif d'ensemble.

Et c'est un outil très utile pour surveiller les systèmes d'information au fil du temps. Vous avez défini les risques pour la vie privée, vous pouvez voir si les moyens que vous avez mis en place pour les gérer sont efficaces, et vous êtes aux aguets des risques imprévus qui pourraient surgir.

Je pourrais ajouter que l'une des choses intéressantes que nous avons notées, aux premiers stades de la mise en oeuvre de la Politique sur l'évaluation des facteurs relatifs à la vie privée, c'est que le processus permet aux concepteurs de projet et aux gestionnaires de saisir plus que les répercussions sur la vie privée. Il leur a donné un deuxième coup d'oeil précieux sur leurs projets — ce qui, parfois, suffit pour les renvoyer à leur planche à dessin, lorsqu'ils comprennent qu'ils ont oublié un élément crucial. En bref, c'est un outil de gestion utile pour des raisons qui vont au-delà de la protection de la vie privée.

Malgré cet avantage, certaines personnes — peut-être même certaines personnes présentes dans cette salle — lèveront les bras lorsqu'elles verront ce processus d'évaluation des facteurs relatifs à la vie privée. Elles seront indignées. Elles diront qu'il va à l'encontre de l'un des objectifs principaux des ingénieurs et des concepteurs de systèmes : l'efficacité. Il sera un obstacle. Il compliquera les choses.

Suis-je en train de vous proposer l'inefficacité – Que non!

L'« efficacité », c'est la possibilité de choisir la meilleure utilisation des ressources pour atteindre des buts définis.

Ce qui est crucial, c'est notre façon de définir les buts.

En tant qu'ingénieurs, votre but est de comprendre le monde et d'en construire un meilleur. Le raffermissement et la protection du droit à la vie privée doivent faire partie intégrante de votre mission. Le droit fondamental à la vie privée doit faire partie de votre objectif.

La protection de la vie privée fait partie de ce qui fait le succès ou l'échec de la conception de systèmes d'information et du bon génie en général.

Donc, respectez ce droit fondamental à la vie privée. Intégrez-le dans vos systèmes et vos projets. Ne cessez jamais de croire qu'il est possible de diriger une entreprise ou de gouverner un pays tout en assurant des services de façon efficace et commode sans sacrifier la vie privée.

Comme l'a déjà dit l'ancien premier ministre R.B. Bennett : « Cette longue frontière {canadienne} qui s'étend de l'Atlantique au Pacifique, protégée par le seul respect de bon voisinage et d'obligations honorables, est un exemple pour chaque pays et un modèle pour l'avenir du monde. »

Il devrait en être ainsi dans notre monde numérique.

Signaler un problème ou une erreur sur cette page
Erreur 1: Aucune sélection n’a été faite. Vous devez choisir au moins une réponse.
Veuillez cocher toutes les réponses pertinentes (obligatoire) :

Remarque

Date de modification :