La voie de l’avenir en matière de protection des données du secteur privé

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Déjeuner d’information économique de l’Association des comptables généraux accrédités du Canada

Le 27 septembre 2006
Ottawa, Ontario

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)


Introduction

Je suis heureuse d’avoir l’occasion de m’adresser à vous en cette rentrée parlementaire. Au cours de cette session, les parlementaires devront se pencher sur plusieurs enjeux importants en matière de protection de la vie privée, dont les répercussions de la publication du rapport du juge O’Connor, la semaine dernière, sur le traitement inéquitable de M. Maher Arar. Cet incident est imputable, en grande partie, à un échange de renseignements personnels – certains exacts et d’autres faux, selon le rapport – entre deux pays, échange relatif a une question de sécurité nationale. Un autre enjeu relatif à la protection de la vie privée, celui‑ci un peu plus terre à terre à prime abord, est l’examen quinquennal de la Loi sur la protection des renseignements personnels et les documents électroniques, connue sous le nom de LPRPDE. Je dis « à prime abord » parce que bien que la LPRPDE soit principalement perçue comme un outil visant à protéger les renseignements personnels des personnes lorsque celles-ci font affaire avec des organisations exerçant des activités commerciales, les dispositions de cette loi alimentent le débat sur le rôle du secteur privé quant aux questions de sécurité nationale.

Je ne doute pas que vous tiriez tous profit de la LPRPDE dans votre vie privée. La LPRPDE s’étend également à vos activités professionnelles, et je note que votre association convient de l’importance de la Loi et de la protection de la vie privée en général. Ainsi, votre rapport annuel de 2003‑2004 reconnaît que la protection de la vie privée est devenue une importante question commerciale à la fois pour les organisations canadiennes et les CGA. Vous avez également élaboré des outils de conformité, tels qu’un modèle de code de conduite et un serment en matière de protection de la vie privée, de même qu’un modèle d’engagement, et il me tarde d’en apprendre davantage à ce sujet.

Qu’est-ce que la LPRPDE

Lorsque j’étais étudiante en droit, j’ai vite appris l’adage suivant : « l’ignorance de la loi n’est pas une excuse » – lequel adage s’applique tout particulièrement lorsque vous passez des examens de droit. Cela dit, je ne crois pas me tromper en supposant que malgré notre obligation apparente de connaître la loi, tout le monde ici présent ne connaît pas la LPRPDE dans ses moindres détails. En bref, la LPRPDE régit la collecte, l'utilisation et la communication de renseignements personnels par le secteur privé dans le cadre d'activités commerciales. Cette loi accorde aux personnes l’accès aux renseignements personnels qu’un organisme peut détenir à leur sujet et leur donne le droit d’y apporter des corrections.

La Loi s'applique aux renseignements personnels recueillis, utilisés ou communiqués par le secteur de la vente au détail, des éditeurs, l'industrie de services, des fabricants et d'autres organisations sous réglementation provinciale.

Le gouvernement fédéral peut exonérer des organisations ou des activités dans des provinces qui ont adopté leurs propres lois en matière de protection des renseignements personnels si ces lois sont essentiellement similaires à la LPRPDE. À ce jour, le Québec, la Colombie‑Britannique et l’Alberta, ainsi que l’Ontario pour ce qui est des questions liées aux soins de santé, ont promulgué des lois essentiellement similaires à la loi fédérale. Toutefois – pourquoi ne pas se compliquer la vie –, la LPRPDE continue de s'appliquer dans ces provinces aux entreprises du secteur privé sous réglementation fédérale, de même qu'aux renseignements personnels obtenus dans le cadre d'opérations interprovinciales et internationales par l'ensemble des organisations exerçant des activités commerciales. Par ailleurs, la Loi ne s'applique pas aux renseignements personnels des employés des organisations sous réglementation provinciale. Cette complexité en matière de juridictions n’est pas délibérée et n’avait pas pour but d’embaucher davantage d’avocats pour nous éclairer. Elle illustre simplement la division constitutionnelle des pouvoirs au Canada.

En ma qualité de commissaire à la protection de la vie privée du Canada, je dois assurer la surveillance de la LPRPDE. Le Commissariat enquête sur les plaintes reçues et il est également autorisé à vérifier les pratiques relatives au traitement des renseignements personnels des organisations. Je joue le rôle d’un ombudsman, avec le pouvoir de saisir la Cour fédérale d’affaires et de dénoncer les organisations qui enfreignent la LPRPDE. 

Certains disent que toute publicité est bonne à prendre, mais je peux vous assurer que ce n’est pas le cas dans le domaine de la protection de la vie privée. La publicité peut être un outil puissant pour assurer le respect de ce que nous appelons les « pratiques équitables de traitement des renseignements », pratiques sur lesquelles repose la LPRPDE. J’en veux pour preuve les entreprises mondiales qui ont subi les foudres des consommateurs après avoir appris qu’elles se livraient à des pratiques qui contrevenaient à leur droit à la vie privée. Les grandes multinationales comme Wal‑Mart, Benneton et Gillette ont fait les frais du courroux des consommateurs lorsqu’elles ont essayé d’intégrer à leurs produits un dispositif de repérage appelé Identification par radiofréquence, ou IRF.

L’examen quinquennal

La première phase de la LPRPDE  est entrée en vigueur en 2001. La Loi ne s’applique pleinement que depuis trois ans, ce qui est relativement récent. Toutefois, nous en savons suffisamment pour pouvoir déceler des lacunes éventuelles, et nous envisageons des mesures pour rendre la Loi plus efficace sur le plan de la protection de la vie privée. 

Cela dit, la LPRPDE semble fonctionner raisonnablement bien, bien que certaines lacunes n’aient pas été anticipées au moment de sa rédaction il y a plusieurs années. Il faudra peut-être réexaminer certaines dispositions de la LPRPDE en tenant compte de notre expérience, notamment celle acquise après l’adoption de lois provinciales essentiellement similaires sur la protection de la vie privée.

En plus des défis posés par la Loi, des changements dans la société nous obligent à repenser certains aspects de la LPRPDE. Ces changements sont dus à plusieurs facteurs – par exemple, l’augmentation de la circulation transfrontalière des renseignements personnels, les logiciels espions, le trafic illégal de données, les menaces croissantes à la sécurité des systèmes informatiques et le désir croissant des organismes gouvernementaux d’obtenir l’accès aux renseignements personnels détenus par le secteur privé pour les programmes gouvernementaux visant à assurer la sécurité nationale.

Nos préparatifs en vue de l’examen

Lorsque le Parlement a promulgué la LPRPDE, celle-ci comprenait une disposition prévoyant un examen tous les cinq ans. Cinq années se sont écoulées. En vue de l’examen, le Commissariat a cerné une série de questions à aborder. Nous avons soulevé bon nombre de ces questions dans un document de discussion affiché sur notre site Web en juillet, et nous avons fait appel à la rédaction de documents de présentation.

Les observations soumises au Commissariat ne nous engageaient pas à adopter l’opinion des répondants. Cela ne serait en aucun cas possible, étant donné les points de vue parfois divergents, et ce, sur toute question donnée. Toutefois, nous savions que ces documents de présentation enrichiraient grandement notre discussion sur l’examen de la LPRPDE et sur sa réforme éventuelle. Lorsque je me présenterai devant un comité parlementaire pour discuter de la réforme de la LPRPDE, j’aurai la certitude de mieux saisir les préoccupations des personnes visées par la Loi.

Parfois, nous obtenons plus que ce que nous demandons. Le 7 septembre, date limite pour remettre les documents de présentation, nous en avions reçu près de 60 de la part de l’industrie, de groupes d’intérêts, d’associations professionnelles, d’entreprises et de personnes en réponse à notre document de discussion sur la réforme de la LPRPDE. Comme vous pouvez l’imaginer, les points de vue varient considérablement, et nous nous employons à les analyser et à comprendre le raisonnement qui les sous‑tend.

Quels sont les enjeux?

Je n’ai pas l’intention de m’attarder sur les questions abordées dans notre document de discussion, mais j’aimerais souligner ceci : ceux qui souhaitent examiner ces questions plus en profondeur peuvent consulter le document de discussion sur notre site Web. Bien que la date limite pour nous soumettre vos observations soit largement dépassée, n’hésitez tout de même pas à nous en faire part; le Commissariat est toujours à l’affût de commentaires.

Communication de renseignements personnels dans le cadre de transferts d’entreprises

Aucune disposition de la LPRPDE ne permet à une organisation de communiquer des renseignements personnels – sur les clients, par exemple – à des acquéreurs éventuels ou à des partenaires commerciaux sans avoir obtenu le consentement de l’intéressé. Il peut être nécessaire pour ces acquéreurs ou partenaires de prendre connaissance de ces renseignements (il peut s’agir de listes de clients) pour évaluer avec une « diligence raisonnable » s’ils doivent procéder à l’opération – il peut s’agir d’une fusion, d’une acquisition ou de la vente d’une entreprise. Ces opérations peuvent varier en importance, allant notamment de la vente d’un cabinet de dentistes (comprenant la liste des patients) à de vastes prises de contrôle d’entreprises.

D’autres lois, comme la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) de l’Ontario et la Personal Information Protection Act (PIPA) de l’Alberta et de la Colombie-Britannique, permettent la communication d’information sans avoir obtenu le consentement de l’intéressé, sous réserve de la conclusion d’un accord rigoureux de confidentialité.

Lors d’une vente ou d’une fusion, certaines personnes pourraient ne pas vouloir que leurs renseignements personnels soient transférés. Dans ce cas, ces personnes devraient-elles avoir le droit de s’opposer au transfert de leurs renseignements personnels?

Obligation d’aviser

Ce que nous appelons l’« obligation d’aviser » est une autre question à aborder dans le cadre de l’examen de la LPRPDE, une question tout à fait d’actualité à en juger par les préoccupations croissantes relatives au vol d’identité. Selon certains, les organisations victimes d’infractions à la sécurité ou du vol qualifié de leurs fonds de renseignements personnels devraient être tenues de réduire les risques de vol d’identité des intéressés. Suite à une infraction à la sécurité, ce risque pourrait être réduit par l’envoi d’un avis aux personnes dont la protection des renseignements est compromise, aux agences d’évaluation du crédit, aux organismes gouvernementaux appropriés (par exemple, à ceux qui gèrent des prestations, telle l’aide sociale) et à d’autres entités commerciales, comme les banques.

À la fin de 2005, environ la moitié des États américains avaient adopté une loi qui exigeait que les clients soient avisés lorsque la protection de leurs renseignements personnels était compromise. Le gouvernement fédéral des États-Unis a présenté plusieurs projets de loi à ce sujet, mais aucun d’eux n’a encore été adopté. Habituellement, ces lois prévoient l’imposition d’amendes élevées à ceux qui omettent d’envoyer un avis. Par exemple, dans l’État de New York, la loi prévoit l’imposition de pénalités pouvant s’élever à 150 000 $ à ceux qui se soustraient sciemment ou imprudemment aux exigences relatives à l’envoi d’avis. Certains pourraient demander que la LPRPDE, de la même façon, prévoit l’obligation d’aviser les personnes concernées par une infraction à la sécurité.

Parmi les lois canadiennes sur la protection des données, la Loi sur la protection des renseignements personnels sur la santé de l’Ontario est la seule qui exige d’envoyer un avis suite à une infraction à la sécurité. Cette loi requiert que les dépositaires de l’information sur la santé avertissent les intéressés le plus tôt possible lorsque les renseignements personnels sur leur santé sont volés ou perdus, ou que des personnes non autorisées y ont eu accès.

Impartition et perte du contrôle sur les renseignements personnels

Le milieu des affaires actuel favorise souvent l’impartition du traitement des données. Dans certains cas, cette impartition entraîne la transmission de renseignements personnels à des organisations au Canada assujetties à la LPRPDE ou à des lois provinciales essentiellement similaires sur la protection des données. L’impartition peut également entraîner la transmission de renseignements personnels à l’extérieur du Canada; ce processus est appelé « la circulation transfrontalière de renseignements personnels ».

La LPRPDE attribue à une organisation la responsabilité des renseignements personnels transmis à une tierce partie aux fins de traitement. L’organisation est tenue d’assurer un degré comparable de protection des renseignements qui sont en cours de traitement par une tierce partie au moyen de dispositions contractuelles ou par tout autre moyen. Ce principe s’applique à toute transmission, peu importe que l’entreprise réceptrice se trouve au Canada ou à l’étranger.

Néanmoins, la préoccupation croissante au sujet de la perte du contrôle sur les renseignements personnels de citoyens et résidents canadiens, lorsque ces renseignements sont envoyés à l’extérieur, a suscité un débat sur les diverses options visant à accroître le respect du principe de responsabilité. Parmi les mesures mises en oeuvre pour protéger les renseignements personnels, mentionnons les dispositions ajoutées aux contrats intervenus entre une organisation canadienne assujettie à la LPRPDE et l’entreprise réceptrice. Il pourrait s’agir de dispositions permettant à l’organisation au Canada de vérifier les pratiques en matière de gestion des renseignements de l’entreprise qui traite les données à l’étranger, notamment ses pratiques en matière de sécurité et sa procédure d’élimination des données, et la façon dont l’entreprise réceptrice applique ces pratiques et cette procédure. Le contrat pourrait également exiger que l’entreprise étrangère offre aux personnes l’accès aux renseignements personnels qu’elle détient à leur sujet.

La LPRPDE en contexte

J’aimerais aborder un aspect plus général de la protection de la vie privée, ou ce que j’appelle « la LPRPDE en contexte ». Il m’arrive d’entendre les personnes visées par la LPRPDE affirmer que si leurs activités portent quelque peu atteinte à la vie privée, celles-ci ne constituent pas une intrusion importante en soi. La réaction du Commissariat et mes objections à l’égard de leurs activités peuvent leur sembler démesurées. Toutefois, pour assurer une surveillance efficace du respect de la vie privée des Canadiennes et des Canadiens, il ne suffit pas d’examiner les pratiques individuelles. La protection de la vie privée suppose nécessairement l’examen de l’incidence collective de ces pratiques. 

Permettez-moi d’établir un parallèle avec une autre question d’intérêt public : l’environnement. Selon certaines personnes, verser un litre d’huile pour moteurs dans le lac Ontario résulterait en un désastre environnemental. Et elles ont raison. Si tout le monde faisait ainsi, il en résulterait une catastrophe environnementale. La même logique s’applique à la protection de la vie privée. Une ingérence – par exemple, le fait qu’une entreprise recueille des renseignements personnels à l’insu ou sans le consentement d’une personne – pourrait ne pas être considérée comme un désastre sur le plan de la protection de la vie privée. Mais si tout le monde agissait de la sorte, le problème deviendrait grave – dans la mesure où nous accordons réellement de l’importance au droit à la protection de la vie privée et à son rôle fondamental dans toute démocratie. Si la protection de la vie privée nous tient à cœur, nous devons réfléchir sérieusement à la portée de nos actions selon une perspective plus large de la protection de la vie privée.

On observe un autre phénomène – qui va au-delà de l’analogie avec le déversement d’huile. La propension avec laquelle les gouvernements – même dans les pays que nous considérions jusqu’à maintenant comme de solides démocraties – d'obtenir les renseignements personnels sur les étrangers, les immigrants et les citoyens a atteint un niveau sans précédent.

Depuis l'adoption de la LPRPDE, une série de lois a graduellement érodé sa portée, estompant dangereusement la distinction entre le secteur public et le secteur privé et conférant, de fait, le rôle d'agent d'application de la loi au monde des affaires. Dans un premier temps, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes a été modifiée de manière à obliger les institutions financières et d'autres organisations à communiquer des renseignements personnels au Centre d'analyse des opérations et déclarations financières du Canada. Par la suite, la Loi sur l'aéronautique a été modifiée pour permettre aux transporteurs aériens du Canada de communiquer des renseignements sur les passagers aux autorités des douanes et de l'immigration de pays étrangers. En outre, la Loi sur la sécurité publique confère au ministre des Transports, à la GRC et au SCRS le pouvoir d'exiger des transporteurs aériens ou des exploitants de systèmes de réservation de services aériens qu'ils leur fournissent certains renseignements relatifs aux passagers et aux équipages d'avions ou d'autres modes de transport commercial. Elle a par ailleurs modifié la LPRPDE afin de permettre aux organisations de recueillir des renseignements personnels, sans consentement, aux fins de leur communication à des organismes gouvernementaux, à des organismes d'application de la loi et à des organismes de sécurité nationale. Cet affaiblissement progressif de la LPRPDE est très préoccupant pour un commissaire à la protection de la vie privée.

Je ne cherche pas à minimiser les conséquences éventuelles du terrorisme. Mais nous devons prendre garde de ne pas laisser les gouvernements miser sur la peur pour réduire la protection de la vie privée de façon indue. Ce droit est trop important pour être sacrifié à l’opportunisme.. Le récent rapport du juge O’Connor sur le traitement inéquitable de M. Maher Arar démontre comment, dans notre actuel régime de peur, le traitement et l’utilisation inappropriés des renseignements personnels, de même que la communication d’information erronée, peuvent avoir des conséquences désastreuses pour un individu.   

Il arrive parfois que nous devions évoquer un cas comme celui du juge O’Connor pour alimenter le débat sur la protection de la vie privée, particulièrement en ce qui a trait à la sécurité nationale et au terrorisme. Dans vos rapports avec vos clients et dans vos activités professionnelles, je vous encourage à vous rappeler que chaque personne contribue à un tout. Et j’encourage chacun d’entre vous à aborder de façon équilibrée la question de la protection de la vie privée et les forces en présence dans notre monde qui menacent de la diminuer.

Date de modification :