La protection de la vie privée dans le secteur public
Défis et réponses du Commissariat à la protection de la vie privée du Canada

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires présentés lors des Conférences d'ACAPAP

Mai 5 2010
Toronto (Ontario)
Vancouver (C.-B.)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Bonjour, et merci de l’invitation à me joindre à vous aujourd’hui.

Nous savons qu’en plus de son rôle fondamental dans le domaine de l’accès à l’information et de la protection des renseignements personnels au Canada, l’Association canadienne des administrateurs professionnels de l’accès à l’information et de la protection des renseignements personnels (ACAPAP) se consacre au perfectionnement des professionnels des secteurs privé et public. C’est donc avec grand plaisir que je suis ici aujourd’hui.

On m’a demandé de faire le point sur la protection de la vie privée dans le contexte des organisations visées par la Loi sur la protection des renseignements personnels, et de me pencher notamment sur les questions, les décisions et les avancées dans ce domaine.

Voici ce que je propose :

  • Tout d’abord, pour les besoins de la discussion, je propose de nous remémorer quelles sont les caractéristiques de la protection de la vie privée dans le secteur public : quels sont les enjeux?
  • Ensuite, quels sont les risques?
  • Enfin, de quelle façon le CPVP répond-il à ces risques? Je décrirai des stratégies de travail et des décisions importantes du Commissariat.

I. Caractéristiques de la protection de la vie privée dans le secteur public

Qu’est-ce qui caractérise les enjeux liés à la protection de la vie privée dans le secteur public?

  1. Premièrement, les enjeux sont la démocratie et les libertés. Ce n’est pas seulement une question d’équité ou de droits individuels; il est question de la relation entre l’État et les citoyens, de valeurs démocratiques. Concrètement, cela signifie que les conséquences de chaque enjeu vont au-delà d’un cas ou d’une politique en particulier.

    Exemple : L’Agence du revenu du Canada envisage l’implantation d’un robot Web pour recueillir de l’information sur Internet au sujet de diverses entreprises et dessiner des tendances générales en fonction des bases de données de l’ARC pour élaborer des profils de risque lié à la fraude et aux non‑déclarants. Bien que processus soit incontestablement légitime, l’ARC redéfinit les droits de l’État à surveiller les particuliers.
  2. Deuxièmement, pour faire suite au premier point, les changements sociaux à long terme seront touchés, précisément en raison des profondes répercussions des politiques publiques sur la protection de la vie privée.

    Par exemple, dans combien de temps pensez-vous que nous serons en mesure de prendre l’avion sans être traités comme des présumés terroristes? À mon avis, ce sera bien après que la menace aura été écartée. Parce que nous en serons venus à accepter, en tant que société, les limites imposées à notre droit à la vie privée.
  3. Troisièmement, le secteur public recueille le type de renseignements personnels le plus délicat.

    Bien sûr, une entreprise privée peut faire preuve d’indiscrétion : un magasin vous demande votre numéro de téléphone pour vous informer de ses promotions; une banque se renseigne avec raison au sujet de vos antécédents en matière de crédit avant de vous accorder un prêt.
    Cependant, l’État a en sa possession des renseignements que personne d’autre ne peut prétendre détenir : votre NAS, vos niveau et sources de revenus et, en ce qui concerne les autorités chargées de l’application des lois, l’endroit où vous êtes, vos antécédents judiciaires, etc.
  4. Enfin, l’État détient beaucoup de pouvoir pour utiliser ces renseignements : plus particulièrement, dans le domaine de la sécurité nationale et du maintien de l’ordre, ce que l’État sait à votre sujet peut vous causer beaucoup d’ennuis, à juste titre ou non, comme nous l’avons vu, de façon extrême, dans l’affaire Maher Arar.

Bref, la protection de la vie privée dans le secteur public est un enjeu de taille et, par conséquent, oblige à la plus grande vigilance. Pourquoi je le mentionne? Parce qu’il est facile d’être trop confiant en présence d’un État démocratique bien dirigé comme le Canada. Pourtant, les risques sont bien réels.

II. Risques en matière de protection de la vie privée dans le secteur public

Attardons-nous maintenant à la question suivante : quels sont les risques?

Le dernier rapport annuel du Commissariat énonce deux risques principaux :

  1. Les pressions politiques découlant du contexte changeant de la sécurité publique et nationale.
  2. La force et la vulnérabilité de la technologie de l’information, désormais omniprésente.

Regardons chacun d’eux en profondeur, puisqu’ils ont défini la portée de notre travail au cours des dernières années.

1. Pressions liées aux politiques de sécurité publique et nationale.

Nous devons reconnaître que le contexte de la sécurité publique et nationale a changé.

Pour paraphraser la juge Beverley McLachlin, si le terrorisme n’est pas un phénomène nouveau, les manifestations du terrorisme, elles, ont changé. Nous pouvons en dire autant au sujet du crime. La façon dont ces manifestations ont évolué modifie complètement le domaine de la protection de la vie privée :

  1. En ce qui concerne la sécurité nationale, la menace est passée des États aux personnes : nous ne surveillons plus le bloc soviétique, mais un réseau diffus de personnes. La répercussion qui nous concerne, c’est que la surveillance gouvernementale est maintenant axée sur des personnes, ce qui a augmenté la collecte de renseignements personnels et, par le fait même, les répercussions sur la protection de la vie privée.
  2. En ce qui concerne le crime, le principal phénomène d’intérêt pour nous est que des crimes sont maintenant commis par Internet, que ce soit à titre d’outil commode et anonyme pour exercer des activités criminelles, ou de cible de cyberattaques.

Ces éléments se répercutent sur la protection de la vie privée de deux façons : d’abord, la police est appelée à agir sur Internet, par conséquent à pénétrer dans un territoire qui est considéré comme personnel; dans ce cas, on parle de surveillance Internet.

Ensuite, les renseignements personnels sont menacés par d’éventuelles cyberattaques. Notre dernier rapport annuel fait référence à un pirate informatique qui est entré dans le système informatique d’Agriculture et Agroalimentaire Canada, dévoilant les renseignements sur le crédit de 60 000 producteurs agricoles.

Ce qui nous amène au second risque principal lié à la protection de la vie privée dans le secteur public :

Chaque jour, nous sommes confrontés aux aléas d’un monde connecté : les courriels transmettent presque instantanément de l’information alors qu’il fallait auparavant des jours avant qu’elle atteigne sa destination… et cette information peut être tout aussi rapidement transmise à la mauvaise personne.

Les courriels ont remplacé les longues discussions qui, elles mêmes, se sont transformées en une grande quantité d’information écrite.

Les courriels sont informels; ils sont rédigés à partir de divers appareils et de divers endroits; ils diffusent largement l’information… et avec largesse.

Parallèlement, l’État utilise de plus en plus Internet. Les avantages d’un gouvernement en ligne en tant qu’outil démocratique et outil de service sont indéniables.

Toutefois, la transparence revêt une signification différente lorsque des renseignements personnels sont rendus accessibles partout dans le monde, sans restriction.

Je fais notamment référence aux décisions des tribunaux administratifs, une question que nous avons abordée dans notre rapport annuel de 2007‑2008.

Nous avons élaboré des lignes directrices avec nos homologues provinciaux et territoriaux à ce sujet, afin de réconcilier adéquatement la transparence du processus juridictionnel et la protection de la vie privée.

Cette augmentation du nombre de dossiers écrits et la diminution de la qualité des dossiers sont problématiques en soi, en raison des pressions qu’elles exercent sur la gestion de l’information, mais elles le sont d’autant plus à la lumière des problèmes de sécurité posés par la technologie de l’information.

La perte d’un ordinateur portatif ou d’une clé USB dont les données ne sont pas cryptées suffit à exposer 80 000 citoyens au risque. Les cyberattaques sont difficiles à enrayer, puisque les pirates informatiques ont toujours une longueur d’avance sur les mesures de sécurité.

Le rapport présenté par la vérificatrice générale, publié au printemps, en avril dernier, énonce les préoccupations liées au vieillissement de l’infrastructure de technologie de l’information du gouvernement fédéral; là encore, les renseignements personnels qu’elle détient sont menacés.

Ces deux principales sources de pressions se traduisent en deux difficultés principales pour le secteur public. Elles nous ont été clairement présentées lorsque, pendant le Forum des politiques publiques, nous avons dirigé des tables rondes réunissant des hauts fonctionnaires à propos des défis actuels dans le domaine de la protection de la vie privée dans le secteur public. Voici ce qu’on nous a dit :

  • Les fonctionnaires ont besoin de conseils pour concilier protection de la vie privée et autres objectifs de la politique publique dans ce nouveau contexte de peur.
  • La technologie de l’information se développe plus rapidement que nos politiques censées la gérer.

À la lumière de ces défis en constante évolution, le CPVP a mis en œuvre de nouvelles stratégies et approches.

III. Stratégies et décisions du CPVP

Commençons par les stratégies administratives avant de poursuivre avec les approches et les décisions importantes.

1. Stratégies du CPVP

Nos stratégies se divisent en cinq catégories.

  1. La première consiste à déterminer les principales menaces actuelles pour la protection de la vie privée et à y concentrer nos efforts.

Nous avons relevé quatre priorités stratégiques, à savoir des domaines où nous croyons que la protection de la vie privée est le plus menacée.

  • La sécurité nationale, parce que le gouvernement se fie en effet de plus en plus aux renseignements personnels pour assurer la sécurité.
  • Les renseignements génétiques, compte tenu des avancées technologiques qui, pour diverses raisons, utilisent ces renseignements, qu’il s’agisse des bases de données d’ADN pour les enquêtes criminelles, de la technologie de reproduction assistée qui recueille des renseignements génétiques ou, dans le secteur privé, des tests effectués directement auprès des consommateurs et des examens médicaux à des fins d’assurance ou d’emploi.
  • Les technologies de l’information, pour les raisons que je viens de mentionner; il nous a semblé que nous devions déterminer quel était le potentiel exact des technologies, tant pour la vulnérabilité des renseignements personnels que pour leur protection.
  • Et, enfin, la gestion de l’identité, car nous observons une multiplication de cas d’utilisation malveillante de renseignements personnels dans des transactions en ligne ou sur des sites de réseautage social.

Le fait d’avoir défini ces quatre priorités signifie que nous avons su coordonner nos efforts et nos ressources dans le but de nous y attaquer, que ce soit dans le domaine de la recherche, de la sensibilisation du grand public, de la vérification ou encore de l’analyse stratégique.

  1. La deuxième stratégie vise l’adoption de mesures administratives en remplacement des réformes législatives que nous avions demandées.

Comme vous le savez peut-être, la commissaire a déposé, devant le Parlement, une série de 12 modifications rapides afin de moderniser la Loi sur la protection des renseignements personnels. Bien que le Parlement ait recommandé d’apporter des réformes législatives à la Loi, le gouvernement a décidé de ne pas les entreprendre.

Nous proposons donc des mesures administratives en vue de moderniser l’application de la Loi sur la protection des renseignements personnels. Par exemple, si la Loi n’a pas été modifiée pour tenir compte des méthodes modernes de collecte de renseignements personnels afin d’y inclure les moyens électroniques, nous nous appuyons toutefois sur le libellé de l’article 3 de la Loi qui fait référence aux renseignements « quels que soient leur forme et leur support ».

  1. La troisième stratégie consiste à renforcer nos outils de conformité :
    • par l’augmentation du nombre de vérifications;
    • par l’élaboration d’un plan de vérification en fonction du risque de trois ans;
    • par la refonte des examens des facteurs relatifs à la vie privée afin de les intégrer aux lois sur les droits de la personne, c’est-à-dire que nous exigeons des institutions fédérales qu’elles revoient l’ensemble de leurs politiques ou de leurs programmes, susceptibles d’influer sur la protection de la vie privée, en fonction du test à quatre critères de l’arrêt R. c. Oakes prononcé par la Cour suprême du Canada :
      • Pourquoi la collecte, l’utilisation ou la communication des renseignements sont-elles nécessaires?
      • Dans quelle mesure sont-elles proportionnelles à ce besoin?
      • Dans quelle mesure permettent-elles d’atteindre l’objectif?
      • N’existe-t-il pas d’autres solutions qui portent moins atteinte à la vie privée?
    • parallèlement à la formation des fonctionnaires quant à cette nouvelle approche, nous sommes en train de rédiger un document qui décrit nos attentes et qui devrait les aider à calmer nos inquiétudes dans l’élaboration de leurs évaluations des facteurs relatifs à la vie privée.
  2. La quatrième stratégie vise à simplifier notre processus d’enquête.

Avec cette stratégie, nous cherchons à améliorer notre efficacité et à exercer une plus grande influence.

Pour l’efficacité,

  • nous avons mis en place un système de gestion des cas qui nous permet de faire le suivi des plaintes, de contrôler le processus et d’analyser les tendances;
  • nous avons accru l’orientation de base offerte aux enquêteurs par les commissaires adjointes tout au long des enquêtes;
  • nous avons élaboré une politique contenant des critères pour déterminer la pertinence ou non d’intenter une action en justice en cas de refus d’accès;
  • nous avons réduit le délai imposé aux ministères pour nous présenter des observations, le cas échéant;
  • nous avons augmenté la fréquence de nos interactions avec les ministères, particulièrement avec ceux qui détiennent le plus de renseignements personnels et qui sont le plus à risque.

Afin d’exercer une plus grande influence, nous avons adopté une approche systémique :

  • nous négocions avec les plaignants la possibilité de retirer leurs plaintes, lorsqu’elles sont nombreuses et lorsque nous croyons qu’une seule plainte déposée par la commissaire permettrait de mieux aborder l’enjeu systémique en cause (par exemple, le cas du sondage mené par EKOS sur l’enregistrement des armes à feu);
  • en plaçant la Direction de la vérification et de la revue ainsi que la Direction des enquêtes et des demandes de renseignements sous ma responsabilité, nous avons réuni la fonction d’observation du CPVP; ainsi, nous pourrons définir les suivis et les vérifications en fonction des plaintes, en plus de traiter les plaintes dans le contexte des enjeux systémiques qu’elles soulèvent.
  1. Enfin, nous avons grandement amélioré nos activités de sensibilisation.

À cet effet, nous avons multiplié le nombre de nos allocutions et de nos publications. Rien que l’année dernière, nous avons prononcé 159 discours et mis en œuvre 40 initiatives de sensibilisation du grand public, dont des publications, des lignes directrices ou un concours de vidéos portant sur la protection de la vie privée dans les écoles secondaires.

En conclusion, voici ce que vous pouvez attendre du CPVP dans un avenir rapproché :

  • une meilleure orientation offerte au Parlement, aux décideurs ainsi qu’aux Canadiennes et Canadiens sur la façon de concilier protection des renseignements personnels et autres objectifs de la politique publique;
  • une approche de plus en plus formelle axée sur les lois relatives aux droits de la personne en matière de vie privée plutôt que sur une inquiétude purement technique liée à la protection des données;
  • une meilleure fonction d’observation, comprenant plus de vérifications, des examens des facteurs relatifs à la vie privée plus détaillés ainsi que plus de plaintes déposées par la commissaire concernant des enjeux systémiques.

J’ai hâte de discuter avec vous et de répondre à vos questions.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :