La protection de la vie privée à l'époque de la circulation transfrontalière de l'information

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Présentation au Groupe de travail sur la sécurité de l'information et la vie privée Organisation de coopération et de développement économiques (OCDE)

Le 3 octobre 2005
Paris, France

Document présenté par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)


Le problème

À l’instar d’autres sujets d’intérêt public, la protection de la vie privée se voit transformée par la mondialisation. De nombreuses réalités nouvelles – croissance continuelle des multinationales, prolifération de technologies communes (Internet, communications sans fil, technologies de positionnement, etc.), intensification récente du terrorisme international et même augmentation de la criminalité transnationale comme le blanchiment d’argent et les fraudes par Internet – forcent les commissaires à la protection de la vie privée et aux données personnelles à affronter un ensemble de problèmes en apparence insolubles qui découlent de la circulation ininterrompue de renseignements personnels à travers le monde.

Pour ne citer que quelques exemples :

  • Partout dans le monde, les gouvernements cherchent de nouvelles manières d’identifier leurs citoyens et leurs visiteurs afin de lutter contre le terrorisme, de réprimer la fraude et d’offrir des services. C’est ainsi que sont apparus les cartes d’identité, les passeports et les autres titres de voyage à caractéristiques de sécurité accrues et les cartes de santé, les permis de conduire et les autres documents officiels qui contiennent des données biométriques. Ces documents laissent des pistes de données pouvant entraîner des risques dans les pays où la protection de l’information est insuffisante.
  • Soucieux de réduire leurs coûts et d’améliorer leur rendement, les sociétés et les gouvernements confient des tâches à l’extérieur de leurs structures, notamment le traitement des renseignements personnels de leurs clients et de leurs citoyens. Le phénomène n’est pas nouveau, mais l’ampleur et la vitesse du traitement des données et le de personnes impliquées sont sans précédent et continueront apparemment d’augmenter. Cela soulève des préoccupations légitimes au sujet de la sécurité des renseignements communiqués dans des pays qui ne sont pas dotés de lois sur la protection des renseignements et sur les mésusages que l’on peut en faire.
  • Des technologies et des applications nouvelles aussi diversifiées que les moteurs de recherche, les puces d’identification par radiofréquence, le système vocal sur Internet, l’enregistrement Web et les communications sans fil produisent une importante quantité  d’informations lors de transactions personnelles et engendrent des pistes de données hétéroclites qui survivent longtemps après que la transaction ou la conversation est terminée. De nouvelles exigences en matière de conservation des données, un sujet que nous connaissons bien, pourraient faire en sorte qu’une bonne partie de ces données puissent exister pendant des années, disséminées chez divers gouvernements dans le monde entier.
  • La lutte contre le terrorisme et les préoccupations afférentes concernant la sécurité publique ont incité les gouvernements à faire peser sur les personnes un regard inquisiteur sans précédent. Les gouvernements exigent des quantités considérables de renseignements personnels sur les gens qui entrent sur leur territoire; ils élaborent des outils d’évaluation destinés à déceler les déplacements et les comportements suspects; ils créent des listes de personnes à surveiller et ils échangent ces informations avec d’autres pays. Ces nouvelles exigences soulèvent de vives inquiétudes quant à la capacité des personnes d’exercer leurs droits à la protection de la vie privée dans les pays où ils se rendent.

Ces tendances posent des difficultés nouvelles et complexes aux responsables de la protection des données personnelles et aux autres organismes chargés de superviser l’application des lois en matière de protection de la vie privée et des données personnelles. La circulation transfrontalière de l’information augmente à un rythme exponentiel, que ce soit pour le traitement de l’information, le commerce électronique, l’application des lois et la sécurité nationale; elle peut aussi être le simple fait d’activités de la vie courante.

L’expérience récente du Canada en matière de circulation transfrontalière de l’information

Au Canada, nous faisons face à plusieurs de ces difficultés. Nous avons reçu des plaintes concernant des entreprises situées dans d’autres pays qui vendent des renseignements personnels sur des résidants du Canada, notamment des profils psychologiques et des vérifications de casiers judiciaires. Or, il est très difficile de mener une enquête sur une entreprise qui a une présence très ténue sur le territoire et a fortiori sur une entreprise qui se trouve à l’étranger.

Des inquiétudes ont été soulevées au Canada quant à la capacité des organismes américains chargés de l’application de la loi d’accéder aux dossiers personnels de Canadiennes et de Canadiens traités par des entreprises américaines en vertu de l’article 215 de la USA PATRIOT Act. Mon collègue de la Colombie-Britannique a mené une enquête longue et approfondie sur cette question. Il a conclu que le FBI pourrait se faire délivrer une ordonnance de la cour obligeant une personne relevant de la compétence de ce tribunal à obtenir des dossiers situés à l’extérieur des États-Unis, mais sous le contrôle de cette personne, et de les remettre aux autorités américaines aux États-Unis.

Au Canada, on exige maintenant que les aéronefs qui arrivent sur le territoire fournissent à l’Agence des services frontaliers du Canada (ASFC) des renseignements personnels sur les passagers et les membres d’équipage. À la suite de négociations avec la Commission européenne, le gouvernement du Canada a accepté de modifier son programme quant à l’utilisation et la conservation des données. L’ASFC a également accepté certains droits prévus par la Loi sur la protection des renseignements personnels à des personnes qui ne sont pas présentes sur le territoire canadien. En conséquence de ces engagements, le groupe de travail sur l’article 29 a publié un Avis dans lequel il conclut que le Canada offre une protection suffisante pour ce qui est du traitement des informations transmises à l’ASFC.

J’aurais pu donner d’autres exemples, mais ces derniers illustrent bien les obstacles auxquels nous nous heurtons lorsque nous devons aborder des questions de vie privée mettant en cause la circulation transfrontalière de l’information et l’application internationale de la loi et les initiatives antiterroristes.

Le défi commun

Lorsque des renseignements personnels traversent les frontières, des personnes peuvent perdre une partie de leur droit à la vie privée, notamment la possibilité de demander accès à l’information qui les concerne et de contester son exactitude. Pour ce qui est de l’information qui est communiquée à des organismes gouvernementaux des États-Unis, nous sommes préoccupés par le fait que la loi régissant la protection des renseignements personnels de ce pays ne s’applique pas aux ressortissants étrangers, de sorte que les Canadiennes et les Canadiens, ainsi que les citoyens des autres pays, sont privés de certaines protections, dont la possibilité de consulter et d’apporter des corrections à leur dossier, qu’offre la loi américaine. Si les dossiers sont au Canada, le Commissariat peut les consulter, même s’ils sont tenus par des organismes d’application de la loi ou de sécurité nationale, ce qui n’est pas le cas lorsque les données se trouvent aux États-Unis.

Les bureaux de protection des données personnelles et d’autres organismes croulent sous les plaintes et les enquêtes menées sur les activités d’organisations situées hors du Canada. Trop souvent nous sommes obligés de dire aux victimes ou aux plaignants que nous ne pouvons faire grand-chose pour les aider, notamment dans les cas de plaintes relatives au pourriel.

Les moyens d’intervenir des commissaires à la protection des données personnelles s’avèrent particulièrement limités lorsque que ceux-ci doivent affronter ces problèmes seuls. Car, dès lors que l’information a quitté le pays, nous pouvons perdre tout espoir de la protéger ou d’aider les plaignants. Je suis convaincue que nombre de commissaires à la vie privée et de responsables de questions similaires éprouvent les mêmes frustrations.

Cette convergence d’enjeux porte à conclure qu’il serait mutuellement bénéfique, pour les instances qui souhaitent réglementer la circulation transfrontalière d’information, de partager leurs connaissances et leur expertise pour faire respecter la loi à l’extérieur des frontières. Nous devons travailler en collaboration afin de fournir aux personnes des mécanismes de correction et de poursuivre les organisations qui enfreignent nos lois en matière de vie privée et de protection des données personnelles, au même titre que des organismes nationaux d’application de la loi collaborent dans la lutte contre la criminalité ou que les organismes nationaux de sécurité unissent leurs efforts contre le terrorisme.

Dans le cadre de notre fédération, notre collaboration avec nos homologues provinciaux a permis de protéger le droit à la vie privée des Canadiennes et des Canadiens. Nous organisons des réunions fédérales-provinciales‑territoriales à ce sujet deux fois par année. Selon les circonstances, les commissaires canadiens coordonnent leur représentation aux tribunes internationales. Ainsi, en janvier dernier, les commissaires du gouvernement fédéral et de la Colombie-Britannique ont participé à une réunion sur le droit à la vie privée organisée par le gouvernement mexicain. Nous avons conclu des protocoles d’entente avec certaines provinces afin d’assurer une application plus harmonieuse des lois fédérales et provinciales en matière de protection des renseignements personnels et nous avons organisé des séances de formation conjointes. Plus tôt en 2005, le Commissariat fédéral a publié une étude portant sur la jurisprudence au Québec, premier gouvernement provincial ou territorial canadien à s’être doté d’une loi sur la protection des données dans le secteur privé. Les résultats de cette étude ont été publiés et ont été transmis aux milieux juridiques canadiens. Nous pensons que cette approche coopérative se poursuivra et se diversifiera à mesure que le régime canadien de protection des renseignements personnels gagnera en maturité.

Précédents internationaux

Nous commençons à voir des signes encourageants sous la forme de programmes de coopération visant à promouvoir la protection des renseignements personnels et l’observance des principes de traitement de l’information. Les 21 membres du groupe de Coopération économique Asie-Pacifique (APEC) ont approuvé un “cadre de gestion en matière de protection de vie privée” qu’ils sont à mettre en pratique.

En plus de participer au processus de l’APEC, l’Australie et la Nouvelle-Zélande ont mis sur pied le PANZA (Privacy Agencies of New Zealand and Australia), un groupe qui vise à l’atteinte d’objectifs communs.

En octobre 2004, le Canada a fait partie de l’un des 27 pays ayant élaboré le Plan d’action de Londres, visant à promouvoir la coopération internationale dans l’application des lois et qui s’attaquera tout particulièrement au pourriel, à la fraude en ligne, à l’hameçonnage et à la propagation de virus. Le commissaire à l’information du Royaume-Uni a signé un protocole d’entente avec d’autres organismes du RU et des organisations des États-Unis et de l’Australie dans le but de coordonner leurs efforts anti-pourriel. L’Union internationale des télécommunications lutte aussi activement contre le pourriel et nous en apprendrons davantage sur le groupe de lutte contre le pourriel de l’OCDE demain.

Je suis revenue depuis peu de la 27e Conférence internationale des commissaires à la protection des données personnelles, tenue en Suisse, et j’ai trouvé fort encourageant d’apprendre qu’un nombre record de délégués de partout dans le monde y sont venus discuter de problèmes communs.

Le groupe de travail sur l’article 29 représente sans doute l’exemple parfait de coopération internationale et d’aide mutuelle. Étant un pays extérieur à l’Europe, nous avons grandement profité des préoccupations exprimées par le groupe à notre gouvernement dans différents domaines importants. Ces préoccupations ont contribué à renforcer la loi canadienne sur la protection des données personnelles dans le secteur privé et à la mise en place d’un programme plus limité sur l’information préalable sur les voyageurs/dossier passager (IPV/DP). Nous pourrions nous inspirer de ce modèle dans notre recherche de solutions au problème complexe de la circulation transfrontalière de l’information.

De nombreux autres modèles mériteraient d’être étudiés, mais il nous faut d’abord améliorer l’infrastructure d’aide mutuelle et mettre en place d’autres mécanismes pour échanger de l’information et favoriser la coopération. Il est certes important de comprendre les particularités des différentes lois, mais nous ne devons pas laisser les différences nous empêcher d’agir. Oublions les différences nationales et concentrons-nous plutôt sur la résolution de problèmes communs.

Les lignes directrices de l’OCDE

Une façon de procéder consisterait à revenir sur les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’OCDE.

La circulation transfrontalière de l’information pose deux grandes difficultés : la transparence et la responsabilité.

Le principe de transparence des lignes directrices de l’OCDE prévoit ceci : « Il devrait être possible de se procurer aisément les moyens de déterminer l'existence et la nature des données à caractère personnel, et les finalités principales de leur utilisation, de même que l'identité du détenteur du fichier et le siège habituel de ses activités. » Le principe de la responsabilité exige que le détenteur de fichier soit responsable du respect des mesures donnant effet aux principes énoncés dans les lignes directrices.

Ces principes peuvent paraître obsolètes dans un monde où les sociétés peuvent transmettre des renseignements personnels au-delà des frontières au simple clic d’une souris, où les consommateurs qui appellent une ligne de service à la clientèle ne peuvent dire si la personne qui leur répond se trouve à l’autre bout de la ville ou sur un autre continent et où les fournisseurs de services créent d’immenses bases de données personnelles. Quoi qu’il en soit, ces principes soulèvent des questions fondamentales : Qui est responsable? Qui contrôle les données? Et surtout, que la réponse ne soit pas « personne ».

Il se peut que les lignes directrices de l’OCDE aient été occultées par les nouvelles lois nationales et l’émergence de défis concernant la protection des données personnelles que personne n’aurait pu envisager à l’époque où ces lignes directrices furent rédigées, il y a 25 ans. Il reste que les principes énoncés dans les lignes directrices demeurent encore aujourd’hui un point de départ valable pour affronter les défis du XXIe siècle.

Nous devons concerter nos efforts et nous assurer que les organisations sont ouvertes au sujet de leurs pratiques et de leurs politiques. Les gens doivent pouvoir savoir à quelles fins sont employées les informations qui les concernent, où elles sont traitées et comment ils peuvent demander d’y avoir accès.

Suggestions d’initiatives

L’idée de travailler en collaboration peut paraître de prime abord rebutante. Mais l’autre solution, qui consiste à affronter seuls les problèmes, semble tout aussi rebutante. Nous devrions miser sur les initiatives déjà lancées, notamment les différents programmes visant à empêcher le pourriel, et reconnaître d’autres problèmes qui pourraient être résolus grâce à une coopération et à une application conjointes de la loi. En guise de conclusion, permettez-moi de vous suggérer quelques quelques domaines qui orienteront nos premières discussions.

  • Droits des ressortissants et des non-résidants – Nous devons mettre en place un cadre pour garantir que les citoyens et les résidants d’autres pays peuvent exercer leurs droits sur les informations personnelles les concernant détenues par des organisations ou des organismes gouvernementaux dans d’autres pays.
  • Échange de l’information– Nous devrions conclure des accords multilatéraux ou bilatéraux en vue d’échanger de l’information sur des problèmes communs mettant en cause la circulation transfrontalière des données, y compris les résultats d’enquêtes et peut-être même des preuves qui pourraient être utilisées pour prendre des mesures d’application de la loi.
  • Contrôles ou examens conjoints – Dans le cas d’organisations qui communiquent ou transmettent de l’information personnelle par-delà les frontières, nous pourrions examiner la possibilité de réaliser des contrôles ou des examens conjoints afin de suivre la circulation de l’information et de déterminer son sort et ainsi savoir si elle est utilisée et protégée correctement.
  • Sécurité – Nous pourrions élaborer de concert des instructions à l’intention des organisations afin que celles-ci établissent des critères satisfaisants en matière de pratiques industrielles de sécurité.
  • Application de la loi – Nous devons chercher des moyens de reconnaître et d’appliquer les jugements et d’autres mesures ordonnées sur d’autres territoires.

Voilà mes suggestions pour la poursuite de nos discussions. Je vous invite à me faire part des vôtres.

Date de modification :