Évolution des concepts entourant la protection de la vie privée à l’échelle mondiale

Commentaires dans le cadre du Privacy Law Salon

Le 2 février 2012
Miami, Floride

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Nous savons tous que l’univers de la protection de la vie privée a radicalement changé au cours des dernières années. J’aimerais aujourd’hui aborder deux dimensions de ce changement qui sont particulièrement pertinentes pour les entreprises américaines.

La première se rapporte au nombre croissant de pays qui adoptent des lois sur la protection des données. Les mesures législatives sont maintenant devenues la norme.

En même temps, nous constatons un élargissement des types de données protégées par ces lois.

Les concepts entourant la nature même des renseignements personnels évoluent au rythme des nouvelles applications technologiques, telles que la publicité comportementale en ligne, la géolocalisation et la reconnaissance faciale.

Ces deux changements — l’expansion géographique de la protection de la vie privée, et l’élargissement des types de données protégées par ces lois — constituent autant d’obstacles pour les sociétés commerciales des États-Unis, établies dans un pays dépourvu de cadre global en matière de protection de la vie privée.

Ce que j’aimerais vous faire comprendre, c’est que ces obstacles ne sont pas insurmontables. Mais il importe d’agir maintenant.

Les autorités internationales chargées de la protection des données collaborent de mieux en mieux entre elles. On peut espérer que ce changement se traduira par une application des lois plus efficace en cas de préoccupations relatives à la protection de la vie privée.

Foisonnement des lois sur le respect de la vie privée

Je reviendrai bientôt à la question de I’application des lois, mais j’aimerais d’abord faire un survol des événements des dernières années. Bien que je sois tout à fait consciente que la réglementation sur la protection de la vie privée revêt une multitude de facettes, facettes que Mulligan et Bamberger ont explorées récemment dans leur article sur l’influence exercées par les responsables de la protection de la vie privée au sein de grandes entreprisesNote de bas de page 1, mes observations d’aujourd’hui porteront essentiellement sur les règles hiérarchisées conventionnelles en matière de protection des données.

Aux quatre coins du monde, les pays qui adoptent des lois sur la protection de la vie privée foisonnent Note de bas de page 2.

Regardez au Sud : le Mexique, l’Uruguay et le Pérou viennent tous de promulguer des lois détaillées, tout comme l’ont fait, en Afrique, le Maroc et l’Angola.

Le pouvoir économique évolue, et la protection des données aussi.

Voyez ce qui se passe dans les économies de la zone BRIC. Des lois sur la protection des données sont entrées en vigueur en Inde et en Russie en 2011. La Chine vient tout juste d’introduire des dispositions qui exigent des fournisseurs de services d’information sur Internet qu’ils obtiennent le consentement des personnes concernées avant de recueillir ou de divulguer des renseignements personnels. Le Brésil est en train de rédiger une loi qui reconnaîtra la protection de la vie privée comme un droit fondamental de la personne.

Dans la plupart des pays que je viens de mentionner, ces nouvelles lois sont modelées sur la directive de l’UENote de bas de page 3, ou sont influencées par celle-ci.

L’an prochain, il y aura déjà 40 ans que la Suède adoptait la toute première loi détaillée sur la protection des données. On compte maintenant environ 80 lois de ce genre dans le monde entier, dont beaucoup sont assez récentes. Une analyse réalisée par Privacy Laws & Business a révélé que la multiplication des lois sur la protection des données ne cesse d’accélérerNote de bas de page 4.

Alors que certains pays qui ne disposaient d’aucune loi sur la protection des données s’en munissent, d’autres renforcent les lois en vigueur.

Dernièrement, par exemple, le bureau de protection des données d’Israël a pris du galon, et la loi de ce pays est maintenant appliquée avec plus de rigueur.

De son côté, l’Europe présentait récemment des propositions visant à renforcer son cadre juridique en matière de protection des données. Ces propositions prévoient un cadre plus harmonisé et uniforme sur l’ensemble du territoire européen, de même que des pouvoirs d’application accrus, y compris des pénalités plus sévères pour les organismes qui font fi des règles.

Ces propositions laissent supposer que l’UE souhaite réaffirmer son rôle de chef de file en matière de promotion de la protection des renseignements personnels. Le règlement proposé renforce également les droits de chacun, par exemple en ajoutant un « droit à l’oubli ».

L’Europe a adopté une approche très différente de celle des États-Unis en matière de protection de la vie privée, et je sais que l’application concrète de la directive de l’UE a été une source de frustration pour les États‑Unis.

Toutefois, je crois que nous pouvons convenir que cette directive a eu des retombées très favorables sur l’amélioration de la protection des données dans le monde entier.

Évolution du concept de renseignements personnels

Avec le nombre de lois qui ne cesse d’augmenter, nous voyons également d’intéressants débats s’engager au sujet tant des répercussions de la protection de la vie privée que de la nature même des renseignements personnels qui méritent d’être protégés par la loi.

Lorsque j’assiste à des conférences aux États-Unis, j’entends souvent parler du rapport entre la protection de la vie privée et l’innovation, en particulier de la crainte que la protection de la vie privée puisse entraver l’innovation. Je n’entends pourtant pas parler de cette préoccupation en dehors du contexte nord-américain.

Quoique le concept de « vie privée » prenne différents sens pour chacun, les gouvernements du monde entier ont reconnu la nécessité de protéger la vie privée selon des normes et des critères objectifs, dont la notion de renseignement personnel.

Ce concept de « renseignements personnels » est à la base de la loi fédérale canadienne applicable au secteur privé et de nombreuses lois adoptées dans le monde entier.

Lorsque je suis devenue commissaire à la protection de la vie privée du Canada, il y a huit ans, notre définition du concept de « renseignements personnels » était généralement plutôt simple.

Toutefois, l’évolution des technologies nous oblige à réfléchir davantage.

Une adresse IP constitue-t-elle un renseignement personnel? Et une adresse MAC?

Pensons à la reconnaissance faciale. Ne parlons-nous pas de « renseignement personnel » lorsqu’un visage est détecté? Reconnu?

Et dans la publicité comportementale en ligne, à quel moment les données recueillies à des fins publicitaires ciblées deviennent-elles des renseignements personnels?

Il n’y a pas de réponses faciles.

Nous nous soucions de plus en plus de l’information dérivée, c’est‑à‑dire de l’information provenant des innombrables données engendrées par nos allées et venues sur le Web, l’utilisation de nos téléphones intelligents et autres. Toutes ces données peuvent être utilisées pour extrapoler votre identité, vos activités et le lieu où vous les exercez.

Le concept de renseignements personnels demeure-t-il pertinent dans un monde où des informations en apparence inoffensives peuvent être si facilement associées à des personnes?

Certains soutiennent que le concept de renseignements personnels, ou renseignements permettant d’identifier une personne, comme vous les appelez aux États-Unis, est voué à disparaîtreNote de bas de page 5.

D’autres affirment que, même si le concept actuel de renseignements permettant d’identifier une personne est imparfait, il ne convient pas pour autant de le reléguer aux oubliettes. Il faudrait plutôt l’actualiser.

Paul Schwartz et Daniel Solove, par exemple, ont cerné le besoin de garanties juridiques sur mesure, déterminées par le principe du risque pour les personnesNote de bas de page 6.

Cependant, ces débats ont essentiellement cours aux États-Unis, dans les cercles de discussion sur la protection de la vie privée, en réaction aux réalités des nouveaux modèles d’entreprise. Je n’ai toutefois pas connaissance que ce débat a la même résonnance à l’extérieur des États-Unis.

Au contraire, ailleurs dans le monde, les débats portent sur d’autres questions. En adoptant un ancien concept de droit civil analogue au pardon dans le contexte du traitement de l’information, l’UE a trouvé une réponse imaginative, proactive et centrée sur la personne au déluge de renseignements personnels.

Ceux d’entre vous qui s’intéressent tout particulièrement à cette question pourraient prendre connaissance du travail d’un éminent chercheur canadien du secteur de la santé, monsieur Khaled El EmamNote de bas de page 7.

M. El Emam s’est penché sur les questions d’anonymisation et de repersonnalisation des données. Il affirme que nous ne devrions pas abandonner l’anonymisation en tant que mesure concrète de protection de la vie privée, en particulier lorsque les données servent à promouvoir un bien commun, tel que la recherche en santé, par exemple. Toutefois, son travail met en lumière la fiabilité de plus en plus incertaine de l’anonymisation.

J’aimerais également signaler le travail de la juriste Teresa ScassaNote de bas de page 8 de l’Université d’Ottawa, qui a exploré les rapports entre l’information d’ordre géographique et le concept de renseignements personnels.

Mme Scassa soutient que la prise en compte de la dimension géographique ou spatiale des données pourrait souvent déclencher l’application des lois sur la protection des données.

Lignes directrices sur la publicité comportementale en ligne

J’aimerais citer en exemple la façon dont le Commissariat à la protection de la vie privée du Canada s’attaque actuellement à la tâche parfois délicate de définition du concept de renseignements personnels.

Dernièrement, nous avons publié des lignes directrices sur la publicité comportementale en ligne.

Selon la loi canadienne régissant la protection de la vie privée dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, l’expression « renseignement personnel » s’entend de « [t]out renseignement concernant un individu identifiable ».

Le Commissariat est d’avis qu’en général, les renseignements qui servent au suivi des activités de navigation et au ciblage des consommateurs à des fins de publicité comportementale ciblée constituent des renseignements personnels au sens de la LPRPDE.

Dans le milieu de la publicité comportementale en ligne, la collecte d’information sert à créer des profils qui, à leur tour, permettent de diffuser des annonces publicitaires ciblées. Il existe de puissants moyens de recueillir et d’analyser les données disparates. La publicité qui en résulte peut être extrêmement personnalisée.

Nos lignes directrices prient tous les acteurs qui s’adonnent à la publicité comportementale en ligne de ne rien cacher aux Canadiennes et Canadiens de leurs activités et de faire en sorte que les gens puissent facilement refuser le suivi en ligne.

La publicité comportementale en ligne soulève de nombreux débats au sujet du consentement positif et du consentement négatif.

Pour notre part, nous croyons que le consentement négatif peut être utilisé pour la publicité comportementale si certaines conditions sont réunies. Par exemple, le consentement négatif pourrait être acceptable si l’information à ce sujet était claire et explicite et si les gens pouvaient facilement signifier leur refus.

Cette approche diffère sensiblement de celle de l’Europe, où le Groupe de travail Article 29 préconise le consentement positif, ou consentement actif.

Toutefois, nous souhaitons que les utilisateurs aient une réelle possibilité d’exprimer leurs préférences et qu’ils soient suffisamment informés pour pouvoir prendre une décision éclairée. C’est là le fil conducteur de nos lignes directrices, de la position de la Federal Trade Commission des États-Unis sur le refus de suivi et de celle de l’Europe sur l’utilisation de témoins.

Situation aux États-Unis

J’ai parlé de deux tendances mondiales qui transforment le paysage de la protection de la vie privée. Mais où les États-Unis et les sociétés américaines, qui sont souvent établies dans de nombreux pays, se situent-ils dans cet environnement changeant?

Plus tôt, j’ai mentionné quelques-uns des nombreux pays qui ont adopté des lois sur la protection de la vie privée. Un acteur de poids brille visiblement par son absence.

Les États-Unis sont devenus en quelque sorte une anomalie. Vous ne disposez pas de lois détaillées sur la protection des données dans le secteur privé, malgré les nombreuses tentatives menées au Congrès à cet égard.

Comme l’ont souligné les spécialistes Paul Schwartz et Daniel Solove, vous avez en général une conception réductrice ou minimaliste des renseignements dits « personnels ». Cela vous place en quelque sorte en marge du reste du monde, comme nous pouvons le constater dans les domaines de la publicité comportementale en ligne, de l’utilisation de la reconnaissance faciale et des technologies de géolocalisation.

Les États-Unis disposent d’un grand nombre de lois sectorielles, qui se sont avérées assez efficaces. Les États-Unis ont également été les pionniers des lois sur le signalement des atteintes à la vie privée. De plus, il serait injuste de ma part de passer sous silence la Federal Trade Commission et son travail remarquable dans le domaine de la protection de la vie privée, dont l’effet positif se fait ressentir non seulement sur les Américains, mais sur les gens du monde entier.

Les États-Unis possèdent également une puissance moins officielle en matière de protection de la vie privée : une communauté de défense des droits très bien organisée. Nous avons eu droit à une démonstration de son efficacité le mois dernier, avec la décision de suspendre la Stop Online Piracy Act (SOPA) et la Protect IP Act devant la critique généralisée.

En dehors des États-Unis, bien des gens attendent avec impatience la publication du livre blanc sur la protection de la vie privée du département du Commerce afin de voir comment ce dernier se propose d’aborder certains des obstacles que j’ai mentionnés.

À l’échelle internationale, plusieurs autorités de protection des données ont été alarmées par le non-respect des principes fondamentaux et des lois nationales en matière de protection de la vie privée par certaines sociétés établies aux États-Unis lors du dévoilement de leurs produits.

Ces préoccupations nous ont incités à prendre d’importantes mesures afin d’améliorer la coordination de nos efforts d’application des lois.

Pour les entreprises américaines, il est évident que cela signifiera une surveillance plus serrée.

Coordination internationale accrue

Pour parler franchement, il a fallu trop longtemps pour en arriver là, mais la communauté internationale chargée de la protection des données est en train de se mobiliser.

La coordination des efforts et la coopération se produisent sur plusieurs plans.

Pour commencer, les organismes de réglementation échangent plus d’information d’ordre général et explorent les enjeux ensemble.

L’automne dernier, par exemple, le Commissariat à la protection de la vie privée du Canada a organisé une réunion avec bon nombre de mes homologues internationaux afin de discuter de l’incidence croissante de la reconnaissance faciale sur la vie privée. La Federal Trade Commission (FTC) des États-Unis a tenu un atelier sur la reconnaissance faciale auquel mon équipe et moi‑même avons assisté en décembre.

Les organes de réglementation ont également créé de nouvelles structures pour encourager la collaboration.

La plupart d’entre vous connaissez probablement le Global Privacy Enforcement Network, qui doit en grande partie son existence aux efforts de la FTC. Le GPEN, qui compte plus de 20 membres, est un réseau non officiel composé d’autorités d’application des lois sur la protection de la vie privée ayant pour mission de promouvoir la coopération relative à l’application de ces lois.

L’automne dernier, des commissaires à la protection des données et de la vie privée des quatre coins du monde ont adopté une importante résolution sur la coordination des mesures d’application des lois en matière de protection de la vie privée à l’échelle internationale. Nous avons convenu d’entreprendre des efforts précis pour faciliter la coordination des enquêtes et de l’application des lois transfrontalières, dans les cas appropriés.

Le Commissariat et nos homologues du Royaume-Uni coprésident un groupe de travail qui produira un cadre pratique pour traduire cette résolution en gestes concrets. En mai, je tiendrai une réunion à Montréal sur le thème de la coopération dans l’application des lois sur la protection de la vie privée afin de donner suite à cette résolution.

Entre-temps, le Commissariat a mis à profit les récentes modifications législatives qui nous permettent d’échanger l’information issue des enquêtes avec d’autres organes de réglementation.

Nous avons signé des ententes sur l’échange d’information avec les bureaux de la protection des données d’Irlande et des Pays-Bas. En conséquence, nous avons pu partager des éléments de notre enquête de 2009 sur Facebook avec nos collègues irlandais lors de leur vérification de ce site de réseautage social.

De plus, nous continuons de participer à une entente multilatérale d’échange d’information avec plusieurs autres économies de la Coopération économique Asie‑Pacifique (APEC).

Coopération au Canada

Chaque fois qu’une multitude de pays participent à la réglementation d’un enjeu, comme c’est le cas aux États-Unis, au sein de l’Union européenne et au Canada, des obstacles uniques se dressent. Mais cette situation présente également d’importantes possibilités de collaboration.

Le Canada, tout comme les États-Unis, est une fédération dont le pouvoir de législation est divisé entre les provinces et le gouvernement fédéral. Peu importe les responsabilités constitutionnelles réelles ou potentielles, la collaboration des diverses administrations est essentielle.

Le Commissariat à la protection de la vie privée du Canada continue de travailler de concert avec ses homologues provinciaux afin de garantir l’uniformité de notre approche en matière de protection des renseignements personnels. Nous publions des lignes directrices communes, par exemple avec la Colombie-Britannique, l’Alberta et le Québec, des provinces dont la loi en matière de protection de la vie privée est jugée essentiellement similaire à la loi fédérale. Nous assurons également la coordination des enquêtes et discutons régulièrement des questions d’intérêt commun.

Conclusion

De plus en plus, les gens du monde entier sont confrontés à des problèmes communs en matière de protection de la vie privée. Que nous habitions au Canada, aux États‑Unis, en Russie, en Inde ou au Pérou, nous avons tous accès aux mêmes sites Web et nous utilisons tous le même genre de téléphones intelligents et autres technologies.

Nous pouvons nous attendre à ce que la réglementation sur l’utilisation des renseignements personnels augmente dans de nombreux pays où le concept de liberté commerciale et de liberté d’expression n’occupe pas le même rang dans leurs cultures juridiques respectives.

Pour les entreprises qui mènent des activités à l’échelle internationale, la bonne nouvelle est que les lois sur la protection de la vie privée en vigueur dans les autres pays sont fondées sur des principes communs, des principes qui, en général, sont également acceptés aux États-Unis. Bien entendu, il y a certaines nuances et certains niveaux de réglementation, mais les principes fondamentaux demeurent les mêmes. Voilà pourquoi le travail réalisé pour actualiser l’application des principes de l’OCDE est si important. Pour vous mettre à jour, à l’heure où nous nous parlons, trois questions se sont distinguées en vue d’une réflexion plus poussée : le rôle des personnes, la circulation transfrontalière des données et l’application des lois sur la protection des données.

Le reste du monde continuera de suivre avec intérêt la réponse des États-Unis face à l’évolution du domaine de la protection de la vie privée.

Cela dit, il est fini le temps où le reste du monde se tournait vers les États-Unis pour voir comment on y faisait les choses.

D’autres pays se sont dotés de lois sur la protection de la vie privée, et les multinationales qui souhaitent faire leur place dans les marchés mondiaux devront de plus en plus se tourner vers ces autres pays pour voir comment on y fait les choses.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :