Aperçu préalable de la LPRPDE 2.0

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion de la Conférence juridique canadienne et exposition de l’Association du Barreau canadien (ABC)

Québec (Québec)
Le 19 août 2008

Allocution prononcée par Jennifer Stoddart,
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Bonjour. C’est pour moi un grand honneur d’ouvrir cette séance. Inutile de vous dire que les discussions sur la réforme éventuelle de la LPRPDE sont d’un très grand intérêt pour le Commissariat.

Les enjeux entourant la protection de la vie privée évoluent constamment, et nos lois doivent suivre la cadence. Heureusement, les artisans de la LPRPDE, conscients de ce fait, ont prévu dans la loi l’obligation pour le Parlement d’examiner la partie sur la protection des renseignements personnels tous les cinq ans.

Si seulement on avait fait de même pour la Loi sur la protection des renseignements personnels! Celle-ci n’a pas été modifiée depuis 25 ans et cela se fait sentir. Cette loi, qui s’applique au secteur public, est tout à fait dépassée.

J’aimerais remercier l’ABC pour le rôle qu’elle a joué dans la promotion de la réforme de la loi, et pour son soutien à la protection de la vie privée, tant dans le secteur public que privé.

Le Commissariat encourage la prochaine génération d’avocats canadiens à se pencher sur les questions touchant la vie privée et le droit. Ainsi, cet automne, nous lancerons un concours de rédaction ouvert aux étudiants en droit du premier cycle de l’ensemble du Canada. Nous les inviterons à rédiger un texte sur la législation relative à la protection des renseignements personnels et sur un des quatre enjeux prioritaires pour le Commissariat en la matière, soit les technologies de l’information, la sécurité nationale, l’intégrité et la protection de l’identité et la protection des renseignements génétiques. Vous pourrez vous procurer le règlement du concours, ainsi que d’autres documents, au kiosque du Commissariat dans la salle d’exposition.

Pendant les prochaines minutes, j’aimerais situer le contexte dans lequel a lieu l’examen de la LPRPDE, et vous faire connaître mon opinion sur certaines questions importantes soulevées au cours de cet examen.

Contexte

L’examen, après les cinq premières années, de la LPRPDE a été confié au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes. Le Comité s’est attelé à la tâche à l’été 2006.

Les membres ont entendu 67 témoins et ont étudié 34 mémoires déposés par le CPVP, des particuliers, des associations du secteur privé et des défenseurs du droit à la vie privée. Ces chiffres témoignent de l’intérêt porté par les Canadiennes et les Canadiens à cette question.

En mai 2007, le Comité a remis son rapport final, comportant 25 recommandations couvrant un grand nombre d’aspects. La réponse du gouvernement a été déposée l’automne suivant.

Le Comité et le gouvernement sont tous deux d’accord avec nous pour dire que, dans l’ensemble, la LPRPDE fonctionne bien, et qu’une réforme en profondeur n’est pas nécessaire pour le moment. La LPRPDE n’est en vigueur dans son intégralité que depuis 2004, et il faut du temps avant de pouvoir évaluer l’incidence réelle d’une loi aussi complexe.

Cela dit, quelques modifications devraient tout de même être apportées.

Les consultations publiques tenues par Industrie Canada ont surtout porté sur la notification des atteintes à la sécurité des données, les concepts de « produit du travail » et d’« autorité légitime », les témoignages, le consentement des mineurs et les organismes d’enquête.

Avant de passer aux discussions, j’aimerais exprimer quelques idées sur les modifications que nous espérons voir proposées dans les prochains mois.

Notifications des atteintes à la sécurité des données

La notification des atteintes à la sécurité des données est la question qui a le plus attiré l’attention dans le contexte de la réforme. J’ai l’impression qu’elle a fait réagir plus fortement les Canadiennes et les Canadiens parce qu’ils ont été ébranlés par une série d’atteintes importantes survenues ces dernières années.

J’appuie fortement l’idée de rendre obligatoire la notification des atteintes. D’après ce que j’ai pu constater, ces atteintes sont de plus en plus fréquentes. Malgré les risques évidents, encore trop d’organisations, petites et grandes, sous-estiment l’importance de protéger les renseignements personnels. Il en résulte des mesures de protection et de sécurité déficientes, et, bien évidemment, des fuites de renseignements.

L’obligation d’aviser les intéressés contribuerait à réduire le nombre d’atteintes, car elle inciterait les organisations à prendre la protection de la vie privée et la sécurité plus au sérieux. La notification fournirait aussi aux personnes visées les renseignements dont elles ont besoin pour prendre les mesures qui s’imposent contre le vol d’identité et d’autres types de fraude.

Les opinions divergent, bien sûr, sur la nécessité de rendre la notification obligatoire. Lors de la première série de consultations publiques d’Industrie Canada, les organisations étaient divisées sur la question, en proportion à peu près égale.

Pourtant, les entreprises y gagneront beaucoup. Premièrement, une loi garantira que tous obéissent aux mêmes règles. Deuxièmement, nous aurons une meilleure idée de la manière dont surviennent les atteintes, et les organisations pourront tirer des leçons des expériences des autres.

Les initiatives du Canada visant à mettre en place un système de notification obligatoire suivent la tendance mondiale à cet égard.

Au cours des discussions qui vont suivre, nous nous pencherons sur le modèle provisoire de notification obligatoire d’Industrie Canada, mais j’aimerais vous dire tout de suite ce qu’en pense le Commissariat.

Dans l’ensemble, nous sommes satisfaits de la position du Ministère à ce chapitre. En fait, les propositions ressemblent beaucoup aux lignes directrices facultatives élaborées par les commissaires à l’information et à la protection de la vie privée de la Colombie‑Britannique et de l’Ontario, puis adaptées par le commissaire de l’Alberta et le CPVP. D’autres pays, comme la Nouvelle‑Zélande, ont aussi adopté ces lignes directrices.

Toutefois, nous aimerions que les seuils qui entraînent l’obligation d’émettre une notification soient abaissés.

En effet, nous croyons que l’obligation pour les entreprises d’aviser le public seulement en cas de « risque élevé » de préjudice important va mener à l’exclusion d’un trop grand nombre d’atteintes. Nous recommandons l’émission d’une notification dès qu’il y a « un risque de préjudice important ».

Nous avons aussi demandé à Industrie Canada de définir précisément le seuil à partir duquel il devient nécessaire d’aviser le Commissariat en cas « de perte ou de vol important de renseignements personnels ».

Il est certain que la notification obligatoire ne mettra pas à elle seule un terme aux atteintes à la sécurité des données. Cependant, il s’agit d’un pas important vers une meilleure protection de la vie privée des Canadiennes et des Canadiens. De plus, nous estimons que l’avis envoyé aux particuliers devrait comprendre les coordonnées du Commissariat ou de nos homologues provinciaux.

Pouvoir discrétionnaire concernant le traitement des plaintes

Par ailleurs, pour que le Commissariat demeure un défenseur efficace du droit à la vie privée, d’autres changements devront être apportés.

Ainsi, j’ai demandé au gouvernement de conférer au Commissariat Ie pouvoir de rejeter certaines plaintes, à savoir celles qui ne nécessitent pas d’enquête, très tôt dans le processus.

En effet, le délai de traitement des plaintes est de plus en plus long. À vrai dire, nos enquêtes prennent trop de temps. D’autres organismes chargés de la protection des données, notamment au Royaume-Uni, en Europe, en Australie et en Nouvelle‑Zélande, doivent relever des défis semblables pour traiter toutes les plaintes, quel que soit leur bien-fondé ou leur nature.

Un plus grand pouvoir discrétionnaire dans le traitement des plaintes nous permettrait de concentrer nos efforts sur les enjeux liés à la protection de la vie privée qui ont une portée plus vaste.

Auparavant, les enjeux liés à la protection de la vie privée étaient soulevés dans le cadre de relations entre un particulier et une organisation. Aujourd’hui, les grands enjeux à ce chapitre sont souvent soulevés par les technologies de l’information, qui sont en plein essor. On n’a qu’à penser aux sites de réseautage social, à Google et aux nouvelles technologies de surveillance comme l’identification par radiofréquence.

De plus en plus, les autorités de protection des données du monde entier reconnaissent qu’il faut concentrer nos efforts sur ces nouveaux enjeux.

Jugement dans l’affaire Blood Tribe

Enfin, j’aimerais aussi parler brièvement du jugement que la Cour suprême du Canada vient de rendre dans l’affaire Blood Tribe, ainsi que de son incidence sur la réforme de la LPRPDE.

L’affaire portait sur ma capacité, en tant que commissaire à la protection de la vie privée, d’exiger la production de documents protégés par le secret professionnel de l’avocat pour que je puisse procéder à la vérification de la légitimité de ce privilège au cours d’une enquête.

Le jugement nous permet de mieux comprendre le privilège du secret professionnel de l’avocat.

La Cour suprême a confirmé que le droit des personnes de prendre connaissance des renseignements les concernant pour en vérifier l’exactitude fait partie intégrante de la protection de la vie privée.

Donc, ce n’est pas parce qu’une organisation refuse l’accès à des documents en invoquant le privilège du secret professionnel de l’avocat qu’on doit la laisser faire. Elle doit pouvoir justifier ces allégations. Et on doit pouvoir soumettre les documents à des vérificateurs indépendants.

La Cour suprême soutient que les juges, et non la commissaire à la protection de la vie privée, sont les mieux placés pour effectuer une vérification indépendante de la légitimité du privilège du secret professionnel de l’avocat.

Dans un premier temps, à défaut d’avoir les documents en main, je peux utiliser mes pouvoirs d’enquête pour exiger la production de preuves à l’appui de l’allégation, y compris des preuves par affidavit et un contre-interrogatoire sur ces affidavits.

Nous espérons, bien sûr, pouvoir compter sur l’entière collaboration des organisations pour obtenir ces preuves, afin de régler les plaintes rapidement. Toutefois, si nous ne réussissons pas à obtenir les preuves requises, ou si celles-ci ne me convainquent pas – et nous espérons que ce sera rarement le cas –, la Cour suprême m’a montré la voie à suivre : je pourrai m’adresser aux tribunaux et invoquer soit le paragraphe 18.3(1) de la Loi sur les Cours fédérales soit l’article 15 de la LPRPDE. Je n’hésiterai pas à le faire si nécessaire.

Conclusion

Industrie Canada dit espérer que la loi soit modifiée cet automne. Nous avons bien hâte de prendre connaissance des modifications proposées.

En terminant, je ne saurais passer sous silence la contribution de l’ABC et le rôle important qu’elle a joué tout au long du processus d’examen de la LPRPDE par le gouvernement et le Parlement.

Je me réjouis à l’idée de vous entendre discuter des attentes envers la deuxième version de la LPRPDE. Merci de votre attention.

Date de modification :