Enjeux de protection des données personnelles à l’ère de la mondialisation

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de la 3ième conférence des commissaires à la protection des données personnelles de la Francophonie

Le 3 novembre 2009
Madrid (Espagne)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


  • L’idée maîtresse de cette présentation se pose comme une évidence : la mondialisation et l’intensification du partage des données personnelles qu’elle comporte, exige à la fois le renforcement de la protection nationale des données personnelles et l’accroissement de la collaboration internationale en ce sens.
  • C’est une évidence, mais une évidence qui mérite qu’on s’y penche.  Comme autorités de protection des données personnelles nous devons cerner les enjeux de la mondialisation et les stratégies correspondantes de protection des données personnelles.
  • Ce seront les deux grandes parties de mon exposé, mais d’abord, il convient de définir ce qu’on entend par « mondialisation ».
  • J’utilise le terme en référence à l’abaissement des frontières territoriales, institutionnelles et commerciales qui résulte de la mobilité des personnes, de l’intensification des échanges commerciaux, de l’accès planétaire à l’information et de l’interdépendance des États face à des défis communs – la pollution, les pandémies, le terrorisme ou le crime organisé, par exemple.
  • Bill Clinton décrit la mondialisation comme un « monde sans murs ».  J’aime utiliser cette expression parce qu’elle illustre de façon presque visuelle le défi de protection des données personnelles qui en découle. 
  • Et puisque que nous sommes dans les évidences, je me permets de vous en soumettre une autre: la protection des données personnelles est d’une importance accrue par l’effet de la mondialisation.  À travers le monde, les exemples abondent de réputations détruites et de vies affectées par le partage inapproprié de l’information personnelle.
  • Au Canada, un incident spectaculaire nous l’a rappelé.
  • Maher Arar, un canadien d’origine syrienne, jeune père de deux enfants, informaticien sans histoires, est devenu le symbole de cette réalité.  En septembre 2002, Maher Arar était détenu à New York, alors qu’il était en transit au retour de vacances pour revenir chez lui,  au Canada.  Les Services de renseignements canadiens avaient recueilli sur lui des données personnelles à titre de personne d’intérêt périphérique à la surveillance d’une autre personne. Ces données personnelles avaient été transmises à la Gendarmerie Royale du Canada qui a son tour les avaient partagées avec les autorités américaines.  Et c’est sur la  base de ces renseignements, dans le cadre de la surveillance d’une autre personne cible, que les États-Unis ont renvoyé Maher Arar en Syrie où il a été détenu et torturé pendant un an.

    Les autorités canadiennes ont finalement réussi à le faire libérer, une commission d’enquête a mis au jour toutes les failles de nos pratiques d’échanges des données personnelles et M. Arar a été compensé pour ses souffrances, autant que cela soit possible.
  • Cette tragédie a cristallisé dans l’esprit des Canadiens quelques leçons qui sous-tendent mon propos aujourd’hui:
    1. La règlementation de la gestion des données personnelles revêt la même importance que le respect des droits fondamentaux, non seulement parce que le droit à la vie privée est un droit fondamental mais aussi parce que le respect de tous les droits fondamentaux en dépend;
    2. Le partage interétatique des données personnelles ne doit se faire qu’à de strictes conditions, c'est-à-dire :
      • Seulement avec des États qui respectent les droits fondamentaux et qui protègent les données personnelles et
      • Même avec des États démocratiques, à la condition qu’ils ne transmettent pas les données personnelles que nous partageons avec eux, avec un tiers État qui ne respecte pas les droits fondamentaux ou qui ne protège pas les données personnelles.

En somme, un État qui veut participer à la mondialisation, politiquement ou  économiquement, doit offrir la garantie de la protection des données personnelles considérant l’ampleur des répercussions de la violation de cette protection dans le contexte de la mondialisation.

  1. Les répercussions de la mondialisation sur la protection des données personnelles :
    • À mon avis, l’exemple de Maher Arar met en lumière les principales répercussions de la mondialisation sur la protection des données personnelles:
      1. Le phénomène de « dépossession informationnelle », pour reprendre les termes du professeur Karim Benyekhel dans un article sur les normes internationales de protection des données personnelles et l’autoroute de l’information, pour décrire cette perte de contrôle sur l’information, qu’elle soit diffusée par un individu sur un réseau social, par exemple, ou partagée par un État dans le cadre d’une entente de coopération:
        • L’étendue de la diffusion de l’information, y inclus les données personnelles, est sans précédent
        • L’accès à cette information est sans précédent
        • La compétence décisionnelle à propos de cette information est fragmentée, de sorte que l’État perd le contrôle de la protection de l’information et l’individu perd non seulement le contrôle de l’information mais aussi des recours à l’encontre de la violation.
      2. La complexité de la gestion des données personnelles du fait de leur mise en commun: du fait de la technologie ou de la coopération internationale, les compagnies et les États se fondent de plus en plus sur des bases de données communes :
        • La mise en commun des données personnelles procède soit d’ententes interétatiques, pour des raisons de sécurité nationale, de lutte au crime organisé ou, dans des cas exceptionnels, de gestion des pandémies;
        • Elle procède également de l’utilisation commune des infrastructures technologiques comme des serveurs ou des câbles de transmission électronique;
        • La mise en commun des données personnelles souffre également des divergences entre les régimes de protection des données personnelles : un État qui n’assure pas la protection de ces données par l’absence de normes adéquates, met en péril la protection de la vie privée de tous les individus dont les données personnelles sont échangées.
      3. La gravité potentielle du partage inapproprié des données personnelles:
        • La situation de Maher Arar est un cas extrême mais il révèle la vulnérabilité qui découle du partage de l’information à l’échelle mondiale – Daniel Solove développe cette question de façon très convaincante dans The future of reputation;
        • Cette gravité découle de l’étendue de l’information et son caractère délicat : dans un contexte aussi tendu que celui de la sécurité nationale, par exemple, les données personnelles glissent facilement sous un nuage de soupçons qui peuvent mener à de graves restrictions à la liberté d’un individu ;
      4. Une quatrième répercussion de la mondialisation est l’effet de pressions interétatiques.  Puisque, comme je l’ai mentionné au début, la mondialisation se caractérise entre autres par l’interdépendance des États, la protection des données personnelles tombe sous le coup de cette interdépendance et un État se retrouve maintenant soumis aux exigences d’un autre dans le traitement des données personnelles 
        • C’est un phénomène que le Canada ressent particulièrement de par sa contiguïté avec les États-Unis et l’intensification de leurs mesures de sécurité,
          • Nous partageons une frontière de plus de 6 000 km au sud et plus de 2 000 km au nord Ouest avec les États-Unis – nous avons avec eux la plus grande économie d’échanges commerciaux de sorte que, simplement pour assurer la mobilité des personnes et des biens, nous devons négocier avec ardeur, mais pas toujours avec succès, la protection des données personnelles des Canadiens;
          • Si les menaces à la sécurité nationale ne sont pas nouvelles – on se rappelle tous de la guerre froide- les modalités de l’atteinte à la sécurité nationale ont changé;
          • Ce changement est déterminant des modalités de la protection des données personnelles puisque, justement, ce en quoi la menace a changé c’est qu’elle est passée d’une menace originant d’États – de sorte que la surveillance ce faisait surtout à l’encontre des États et que les renseignements recueillis étaient des secrets d’État, - une menace provenant d’individus – de sorte que la surveillance porte particulièrement sur des données personnelles;
          • En somme, ce n’est pas seulement l’intensification des mesures de sécurité nationale qui pose un défi accru de protection des données personnelles – c’est également une transformation de ces mesures  qui se sont de plus en plus fondées sur le prélèvement de données personnelles.
      5. Finalement, il faut mentionner les répercussions dues à la vulnérabilité technologique – les données personnelles sont maintenues dans des bases de données électroniques sujettes à des cyberattaques, à des fuites et à l’erreur humaine.  La mondialisation multiplie le risque d’attaques ainsi qu’elle accroît leurs répercussions.
  2. Les stratégies de protection correspondantes:
    • À la lumière de ce résumé des principales répercussions de la mondialisation sur la gestion des données personnelles, je passerai maintenant à la deuxième partie de mon exposé, sur les stratégies de protection qui doivent correspondre à ces nouveaux défis.
    • Je résumerais ces stratégies sous  quatre aspects: la protection des données personnelles repose sur:
      1. Un cadre législatif national robuste qui reflète les valeurs d’un pays à l’égard de la vie privée,
      2. Une structure  de gouvernance qui ait l’indépendance et les ressources nécessaires à assurer la mise en œuvre de ce cadre législatif
      3. Des normes internationales qui régissent la gestion des données personnelles échangées d’un État à un autre.
      4. Une infrastructure physique et technologique nécessaire à la protection des données personnelles pour prévenir les violations, délibérées ou accidentelles, à la vie privée, et l’expertise technologique à l’intérieur des autorités de protection des données personnelles, afin de suivre les développements technologiques, ou se prononcer sur les risques technologiques et collaborer avec les gouvernements dans le cadre des programmes de cybersécurité.
    • Nous avons tous ces outils  au Canada et pourtant j’ai à partager avec vous quelques exemples où même notre système robuste est sérieusement mis à l’épreuve :
      • La vaste utilisation d’Internet par nos citoyens, même très jeunes, force une vigilance correspondante des fournisseurs de service et des efforts correspondant d’éducation du public —  nous l’avons bien démontré dans l’enquête sur Facebook.
      • L’utilisation croissante d’Internet dans les transactions gouvernementales nous force à édicter de nouvelles normes à cet égard et mettre en place de nouvelles mesures de cybersécurité pour protéger les échanges électroniques avec le gouvernement et à l’intérieur du gouvernement.
      • L’accroissement du partage interétatique des données personnelles nous force à une vigilance accrue face à la conformité aux normes en vigueur.
    • Voici quelques exemples des écueils qui se posent et qui illustrent la nécessité d’une protection législative et administrative robuste de protection des données personnelles.
      • Dans le cadre de l’Initiative relative aux voyages dans l’hémisphère occidental (IVHO) les États-Unis exigent soit un passeport, soit un permis de conduire amélioré au passage de la frontière en voiture. Or, le permis de conduire amélioré contient plus de données personnelles qu’un permis de conduire ordinaire et contient une étiquette d’IRF; cette exigence était incontournable mais nous avons obtenu deux protections importantes à la vie privée : (1) le permis de conduire vient avec une enveloppe qui prévient la lecture à distance par des lecteurs illégitimes et (2)  toutes les données de renseignement sur les Canadiens restent au Canada — les agents américains ne peuvent y accéder qu’à la lecture du document. Ce qui nous a permis de bien protéger le droit des Canadiens dans ce contexte, ce sont les mécanismes robustes, législatifs et institutionnels de protection des données personnelles au Canada.
    • Dans le cadre de la lutte au crime organisé et au blanchiment d’argent à l’échelle mondiale, le Centre d’analyse des opérations et déclarations financières du Canada (ou CANAFE), est chargé de compiler des renseignements personnels liés à des transactions suspectes.  Notre vérification des processus du CANAFE a démontré que la pression mise sur les institutions financières pour rapporter toute transaction qui pourrait être suspecte donne lieu à une divulgation excessive des données personnelles.
    • Notre vérification de la liste des personnes spécifiées soulève un autre exemple de la vulnérabilité de la protection des données personnelles sous le poids de la lutte mondiale contre le terrorisme.  Nous avons conclu entre autres que la liste était distribuée aux compagnies aériennes sans que soient prises toutes les mesures de protection qui s’imposent.
    • Ce nouvel état de choses — c’est-à-dire l’accroissement des échanges, y compris l’échange de données personnelles, et la large diffusion des données grâce à la technologie de l’information — doit entraîner pour nous, défenseurs de la protection des données personnelles, une vigilance accrue pour gérer justement le partage nécessaire des données personnelles.
    • Il en va de la participation de notre pays et de nos citoyens aux occasions commerciales ou politiques rendues possibles par la mondialisation — le fait est que nous ne seront des joueurs dans cette nouvelle dynamique que si nous avons les outils législatifs et institutionnels pour y protéger les individus.
    • En résumé:
      1. Nous devons être à l’affût de tous les mouvements sociaux, technologiques et politiques qui mettent en jeu la protection des données personnelles. Par exemple,
        1. Se tenir informés des tendances des jeunes dans l’utilisation des réseaux sociaux sur Internet;
        2. Réviser toutes les mesures de sécurité nationale quant à leurs répercussions sur la vie privée – échange d’information entre les agences d’exécution de la loi, technologies de surveillance et échanges entre États;
        3. Présenter à nos gouvernements des propositions législatives concrètes pour assurer la protection des données personnelles dans un nouveau contexte.
      2.  Nous devons proposer à nos États respectifs ainsi qu’aux entités commerciales des politiques et des infrastructures technologiques adaptées à ce nouvel environnement de partage de l’information.

        Concrètement, cela signifie de connaître les mesures techniques de protection de sécurité technologique et de les mettre de l’avant, activement.  Nous devons devenir, en les recrutant dans nos diverses organisations, des « cracks » de la technologie et collaborer avec les entités étatiques de cybersécurité.
      3. Nous devons également appuyer la réflexion de nos gouvernements respectifs dans la redéfinition du droit à la vie privée dans un nouveau contexte de sécurité nationale et de pouvoirs technologiques. 
    • En somme, on ne peut freiner le progrès et on ne peut freiner la mondialisation.  Au contraire, il faut en tirer avantage.
    • Mais pour en tirer avantage, il faut pouvoir assurer à nos citoyens et aux citoyens des États avec lesquels on transige la protection de leurs données personnelles dans le cadre d’échanges sans précèdent.

Merci.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :