Tirer parti de nos réussites pour garantir un avenir florissant

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires présentés dans le cadre d'un exposé au Comité de liaison avec Ottawa de la Chambre de commerce du Canada

Le 24 février 2011
Ottawa, Ontario

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Mot d'ouverture

J’ai connu sept années palpitantes en tant que commissaire à la protection de la vie privée. Je dois admettre que les premières années se sont avérées plus difficiles en raison de problèmes organisationnels, mais le Commissariat a ensuite trouvé son rythme de croisière.

Nous avons effectué des enquêtes et des vérifications importantes et investi beaucoup d’efforts pour sensibiliser le public. Nous avons aussi ouvert un bureau à Toronto afin de pouvoir tisser des liens solides avec le milieu des affaires.

En décembre, j’ai eu l’honneur de voir mon mandat reconduit pour une autre période de trois ans. Je suis résolue à profiter de l’occasion pour tirer parti des réussites du Commissariat afin de lui garantir un avenir florissant.

Je suis consciente du fait que le Commissariat ne doit pas relâcher sa vigilance. Le domaine de la protection de la vie privée évolue sans cesse, et de nouveaux défis apparaissent continuellement. C’est pourquoi j’ai établi trois priorités sur lesquelles je mettrai l’accent pendant le reste de mon mandat au Commissariat :

  1. faire preuve de leadership dans les quatre domaines qui, selon le Commissariat, auront les répercussions les plus importantes sur la vie privée des Canadiennes et des Canadiens;
  2. aider les organisations et les citoyens canadiens à prendre des décisions éclairées en matière de protection de la vie privée;
  3. améliorer la prestation de services à la population canadienne.

Priorités

1 : Exercer un leadership dans quatre domaines stratégiques prioritaires

Le Commissariat travaille déjà depuis quelques années à la première priorité. Dans le contexte de la protection de la vie privée, il a cerné quatre domaines stratégiques sur lesquels axer ses efforts :

  • la sécurité publique;
  • les technologies de l’information;
  • les technologies génétiques;
  • la protection des renseignements personnels.

Ces domaines prioritaires orientent les activités du Commissariat, telles que le type de soutien accordé à la recherche, le choix des sujets de vérification et d’enquête, la décision d’examiner ou non certaines évaluations des facteurs relatifs à la vie privée, etc.

En ce qui concerne les technologies de l’information, par exemple, le Commissariat s’intéresse beaucoup à l’univers numérique, où de plus en plus de Canadiennes et de Canadiens mènent une partie de leurs activités quotidiennes. J’ai lu récemment que, depuis 2007, les membres d’un couple américain sur quatre s’étaient d’abord rencontrés en ligne.

Comme vous le savez, le Commissariat entretient un dialogue avec des géants du monde virtuel comme Facebook et Google. Des enquêtes sont présentement en cours sur d’autres plaintes visant Facebook, un site ciblant les enfants et un site de rencontre en ligne.

Pas plus tard que la semaine dernière, le Commissariat a publié un document d’information sur le recours à la biométrie dans les secteurs public et privé.

L’incidence des initiatives en matière de sécurité publique et d’application des lois sur la protection des renseignements personnels constitue une autre priorité permanente du Commissariat. Il reconnaît que les mesures de protection de la vie privée doivent parfois être assouplies pour servir des intérêts supérieurs. Mais ce compromis ne doit être fait que si le résultat promis est atteignable et si aucune solution plus respectueuse de la vie privée n’a été trouvée.

Un des résultats concrets des travaux du Commissariat dans le domaine est, entre autres, la publication d’un document de référence exhaustif sur les préoccupations liées à la protection de la vie privée découlant des initiatives en matière de sécurité publique.

2 : Soutenir la prise de décisions éclairées en matière de protection de la vie privée

Aider les organisations et les citoyens canadiens à prendre des décisions éclairées en matière de vie privée constitue ma deuxième priorité. Les Canadiennes et les Canadiens possèdent une connaissance poussée du monde virtuel, mais leur compréhension de la vie privée lorsqu’elle s’inscrit dans l’univers numérique pourrait être améliorée.

Combien de personnes lisent réellement les politiques sur la protection de la vie privée? Les gens savent-ils comment sécuriser leur ordinateur et leur réseau à domicile?

Les entreprises ont aussi un rôle à jouer. Elles doivent, par exemple, s’assurer que leurs employés possèdent les connaissances nécessaires en matière de protection de la vie privée - qu’ils sachent comment manipuler adéquatement les renseignements personnels qu’ils traitent.

Une formation adéquate et continue permet aux organisations d’éviter bien des désagréments - et de réaliser des économies. Un employé sensibilisé aux questions de vie privée est moins susceptible de laisser un ordinateur portatif contenant des renseignements personnels traîner dans sa voiture ou de composer le mauvais numéro de télécopieur lors de la transmission de documents de nature délicate.

Toutefois, un sondage réalisé par le Commissariat révèle que moins de deux entreprises sur cinq offrent une telle formation à leurs employés. Il faut faire mieux.

Le Commissariat s’efforce de mettre son épaule à la roue. À l’aide d’outils en ligne, il aide les Canadiennes et les Canadiens à mieux comprendre leurs droits en matière de protection des renseignements personnels et à faire des choix avisés dans un environnement où les enjeux en matière de protection de la vie privée évoluent rapidement.

La plupart des efforts de sensibilisation du public déployés par le Commissariat nécessite la collaboration d’autres parties, notamment des groupes d’entreprises, des consommateurs et des organisations gouvernementales.

3 : Prestation de services

Ma troisième grande priorité sera d’améliorer notre prestation de services destinés à la population canadienne.

Pour ce faire, le Commissariat devra demeurer à l’écoute des besoins des entreprises et du gouvernement.

Rehausser la qualité des services offerts aux Canadiennes et aux Canadiens exigera une capacité organisationnelle exceptionnelle. Le Commissariat s’est engagé sur cette voie l’an dernier : les responsabilités des deux lois ont été fusionnées et incombent maintenant à une seule commissaire adjointe très compétente, Chantal Bernier. Le Commissariat exploitera à bon escient cette structure simplifiée et renforcée au cours de l’année qui vient.

L’ouverture d’un bureau à Toronto l’an dernier, où ont été transférés la plupart des dossiers liés à la LPRPDE, constitue la preuve irréfutable de la volonté du Commissariat de nouer des liens avec les intervenants. En s’établissant dans la métropole canadienne des affaires, ce dernier sera en mesure d’établir des rapports plus constructifs avec les industries réglementées.

Au moyen de la sensibilisation, de la consultation et de l’orientation, le Commissariat croit qu’il peut favoriser l’adoption, par les entreprises canadiennes, de meilleures pratiques en matière de protection de la vie privée. Il est préférable d’encourager les organisations à éviter les problèmes plutôt que de dénoncer et de punir, après coup, les actes répréhensibles.

Premier examen de la LPRPDE

Nous vivons dans un monde imparfait, et de nouveaux défis surgissent constamment. Il serait donc naïf de croire qu’on pourrait un jour passer outre le  respect de la législation en matière de protection des renseignements personnels.

Les artisans de la LPRPDE ont eu la clairvoyance de rédiger une loi neutre sur le plan technologique, ce qui nous a été d’une grande utilité depuis son entrée en vigueur il y a plus d’une décennie.

Toutefois, le domaine de la protection de la vie privée évolue rapidement, et le cadre réglementaire du Commissariat doit être adapté afin de rester solide et efficace.

On veille notamment à ce que la LPRPDE reste moderne et efficace en la soumettant, tous les cinq ans, à un examen par le Parlement.

Plusieurs modifications législatives ont été apportées ou sont en voie de l’être par suite du premier examen, qui remonte à quelques années.

Certaines de ces modifications ont été regroupées dans le projet de loi C-29, qui est toujours à l’étude au Parlement. En vertu de cette mesure législative, les organisations seraient tenues d’informer le Commissariat et les personnes touchées en cas de graves atteintes à la protection des données. Un tel changement arriverait à point nommé.

Loi antipourriel

D’autres modifications importantes à la LPRPDE ont été approuvées par le Parlement en décembre dernier; il s’agit en fait de mesures législatives visant à réduire le volume de communications électroniques trompeuses, ou « pourriels », en circulation au Canada.

En vertu de ces nouvelles mesures, le Commissariat disposera d’un plus grand pouvoir discrétionnaire quant au rejet et à l’abandon de plaintes. Ce pouvoir lui permettra de concentrer ses ressources d’enquête là où elles auront le plus d’incidence, ce qui aura pour effet d’améliorer les services offerts aux Canadiennes et aux Canadiens.

Les nouvelles mesures législatives permettront aussi au Commissariat d’échanger des renseignements avec ses homologues nationaux et internationaux en ce qui a trait aux pourriels et à d’autres questions relatives à la protection de la vie privée. En cette ère de circulation des données à l’échelle mondiale, la collaboration avec d’autres organismes responsables de l’application des lois est essentielle.

Toutefois, ces mesures sont principalement axées sur les pourriels et les multiples fraudes qui sont souvent indissociables de ces derniers. Plus que de simples nuisances, les pourriels peuvent mener au vol d’identité et à d’autres types d’abus. Ils peuvent nuire à une entreprise et détruire la confiance du public en l’économie numérique.

Le Commissariat partagera les responsabilités liées à l’application de cette nouvelle loi avec le CRTC et le Bureau de la concurrence. Nous sommes impatients de prendre part à cet effort collectif.

Deuxième examen de la LPRPDE

Le Parlement se préparera, cette année, à entreprendre le deuxième examen de la LPRPDE. Pour sa part, le Commissariat a déjà accompli des travaux préparatoires substantiels dans ce dossier.

Consultations

Vous vous rappelez peut-être que le Commissariat a organisé une toute première série de consultations publiques dont le but était de recueillir des renseignements sur les enjeux relatifs aux nouvelles technologies susceptibles d’avoir une grande incidence sur la protection de la vie privée dans les années à venir.

Ces consultations ont eu lieu le printemps dernier sous la forme, entre autres, de rencontres publiques à Montréal, à Toronto et à Calgary. Nous avons sollicité le point de vue d’entreprises, de fonctionnaires, d’universitaires, d’associations des consommateurs et de représentants de la société civile.

Les consultations ont étudié, dans la perspective de la protection de la vie privée, les questions de l’infonuagique, ainsi que du suivi, du profilage et du ciblage en ligne des consommateurs par les publicitaires ou d’autres entreprises.

Le Commissariat a publié un rapport provisoire sur les témoignages entendus; un rapport définitif suivra sous peu.

Sossin et Houle

Une autre façon de s’assurer de la congruence de la LPRPDE est de déterminer si cette loi soutient la structure et les activités actuelles du Commissariat.

À cette fin, nous avons demandé à deux universitaires reconnus - Lorne Sossin, doyen de la Osgoode Hall Law School de l’Université York, et France Houle, professeure titulaire à la Faculté de droit de l’Université de Montréal - d’examiner la façon dont nous évaluons l’efficacité de lois telles que la LPRPDE. Ils ont également étudié des modèles d’application de la loi dans d’autres pays et au sein d’autres institutions fédérales.

Au terme de leur examen, les professeurs ont indiqué que le Commissariat devrait disposer de pouvoirs ciblés de rendre des ordonnances, dont la capacité d’imposer des pénalités telles que les amendes.

Leur rapport, que nous avons récemment publié sur notre site Web, recommande que le Commissariat soit investi du pouvoir explicite d’établir des directives en appui à la mise en œuvre équitable et transparente du nouveau pouvoir de rendre des ordonnances.

Je suis du même avis; il est temps d’envisager la mise en place de mesures incitatives plus rigoureuses pour s’assurer que les organisations protègent les renseignements personnels.

Pouvoirs de rendre des ordonnances et d’imposer des amendes

Le Canada est l’un des quelques rares principaux pays dont l’autorité en matière de protection des données n’a pas le pouvoir de rendre des ordonnances et d’imposer des amendes

La Cour fédérale a, il est vrai, le pouvoir d’imposer des dommages-intérêts aux organisations qui contreviennent à la LPRPDE. Toutefois, la Cour n’a accordé des dommages-intérêts qu’une seule fois depuis l’entrée en vigueur de la LPRPDE, il y a dix ans. En effet, il y a quelques mois, la Cour a imposé des dommages-intérêts totalisant 5 000 dollars à une agence d’évaluation du crédit. La Cour avait conclu que l’agence avait tiré profit de la communication de renseignements personnels inexacts et avait agi de mauvaise foi en n’assumant pas la responsabilité de son erreur et en ne corrigeant pas le problème rapidement.

En revanche, au Royaume-Uni, le commissaire à l’information a utilisé ses pouvoirs pour communiquer d’importants messages à l’égard des atteintes à la protection des données.

Depuis le mois de novembre seulement, trois conseils de comtés et une agence de placement ont reçu des sanctions pour des infractions telles que la perte d’ordinateurs dont les données n’étaient pas chiffrées et l’envoi par télécopieur de documents de nature délicate aux mauvais destinataires.

Et les sanctions sont sévères : un des conseils a reçu une amende équivalant à 157 000 dollars canadiens.

Pendant ce temps, l’organisme pour la protection des données de l’Espagne a engagé une poursuite contre Google au sujet de sa collecte de données inopportunes provenant des réseaux WiFi - une action qui pourrait entraîner des amendes totalisant des centaines de milliers d’euros.

Au Canada, le CRTC peut imposer des amendes pour les contraventions aux Règles sur la Liste nationale de numéros de télécommunication exclus - et a récemment imposé une sanction record de 1,3 million de dollars à Bell Canada. De plus, la nouvelle loi antipourriel mentionnée plus tôt permettra au CRTC d’imposer aux entreprises des amendes allant jusqu’à 10 millions de dollars.

Le risque de recevoir de fortes amendes inciterait la plupart des entreprises à veiller au respect de la protection des renseignements personnels.

Responsabilité

J’aimerais expliquer un peu plus en détail le concept de responsabilité.

Dans le monde entier, le courant de pensée actuel veut que les organisations prouvent qu’elles assument la responsabilité de la protection des renseignements personnels dont elles ont le contrôle.

Pour l’instant, ce n’est malheureusement pas toujours le cas au Canada.

Vraisemblablement, un trop grand nombre d’organisations recueillent encore trop de renseignements à l’égard d’un trop grand nombre de personnes pour que nous puissions continuer à dépendre uniquement d’un système fondé sur les plaintes.

La LPRPDE vise des dizaines de milliers d’organisations; il est donc impossible que le Commissariat les surveille toutes.

En effet, nous ne disposons d’aucun mécanisme simple grâce auquel nous pourrions vérifier la conformité de manière proactive. Notre capacité de lancer une enquête à l’égard d’une plainte ou de mener des vérifications est limitée par notre obligation de présenter des motifs raisonnables.

Parmi les mesures à envisager figurent la mise en œuvre d’un plus grand nombre de vérifications du secteur privé par le Commissariat, de vérifications indépendantes par les organismes de réglementation de l’industrie et d’incitatifs en vue d’assurer la conformité.

Collaboration renforcée à l’échelle internationale

Compte tenu de la mondialisation accrue de la circulation des données, il est de plus en plus important de travailler en collaboration, et ce à l’intérieur et à l’extérieur de nos frontières. Aucune administration ne peut, à elle seule, s’attaquer à la multitude de préoccupations que soulève le Web relativement à la protection de la vie privée.

Je suis heureuse de dire qu’il y a également beaucoup d’activité sur la scène internationale. Nous prenons part à de nombreuses initiatives afin d’élaborer une norme internationale en matière de protection de la vie privée et nous faisons partie des membres fondateurs du nouveau réseau mondial de l’application des lois sur la protection de la vie privée.

Nous avons également participé aux activités liées à la protection de la vie privée de l’APEC et de l’OCDE. L’année 2010 a d’ailleurs marqué le 30e anniversaire des Lignes directrices révolutionnaires régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, mises sur pied par l’OCDE.

Dix commissariats à la protection des données (dont le mien) ont fait front commun l’an dernier pour rappeler à Google et à d’autres entreprises en ligne la nécessité de respecter, dans le cadre du lancement de nouveaux produits et services, les lois sur la protection des renseignements personnels en vigueur partout dans le monde.

Conclusion

La LPRPDE nous a bien servi au cours des dix dernières années, et les modifications qui lui ont été apportées récemment permettront de la renforcer.

Au cours des prochaines années, vous pouvez vous attendre à d’autres améliorations, parmi lesquelles figurent des mesures pour le traitement approprié des atteintes à la protection des données.

Mais je ne veux pas que vous pensiez que nous nous concentrons uniquement sur l’application de la loi.

Au contraire, la protection des renseignements personnels des Canadiennes et des Canadiens nécessitera une stratégie proactive, adoptée par l’ensemble de l’organisation, et à toutes les étapes de ses activités.

La protection de la vie privée est l’affaire de tous - y compris (et surtout) des entreprises comme les vôtres.

Les défis en matière de protection de la vie privée prennent de plus en plus d’ampleur. Nous avons donc besoin de votre engagement. Nous avons besoin que vous reconnaissiez que la protection des renseignements personnels est importante pour vos consommateurs et vos clients. Leur confiance en dépend.

Au cours des trois prochaines années, je me suis donné comme objectif de continuer à collaborer avec vous afin de nous montrer dignes de cette confiance.

Merci.

Date de modification :