Évaluations des facteurs relatifs à la vie privée : communiquer l'expérience canadienne à l'Europe

Conférence cadre d’évaluation des facteurs relatifs à la vie privée de l’identification par radiofréquence

Le 8 février 2012
Bruxelles (Belgique)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
(Livré par message vidéo)

(La version prononcée fait foi)


Bonjour à tous. Bien que je regrette de ne pas pouvoir être parmi vous, c'est avec plaisir que je vous fais part de l'expérience du Commissariat concernant les évaluations des facteurs relatifs à la vie privée.

Depuis bientôt dix ans, les ministères et organismes fédéraux doivent obligatoirement effectuer une évaluation des facteurs relatifs à la vie privée, ou EFVP, pour toute nouvelle initiative impliquant la collecte de renseignements personnels.

L'intérêt des EFVP réside en cela qu'elles obligent les développeurs à réfléchir à la protection de la vie privée dès l'étape de la conception. Auparavant, les problèmes étaient décelés suite aux plaintes logées auprès du Commissariat après la mise en œuvre d'une initiative. Maintenant, grâce aux EFVP, les risques sont identifiés tôt dans le processus de développement et des mesures sont prises en conséquence avant que les renseignements ne soient recueillis.

Aujourd'hui, je vais vous entretenir :

  • de notre expérience unique avec les évaluations des facteurs relatifs à la vie privée;
  • et des avantages qu'elles comportent pour notre travail et pour la population canadienne.

Je vais aussi vous parler de l'importance :

  • d'insister sur la formation et la responsabilisation;
  • de fournir des lignes directrices aux développeurs;
  • d'encourager les organisations à agir rapidement;
  • et de mettre en valeur les avantages que les organisations tireront du processus.

Tout d'abord, je voudrais attirer votre attention sur des différences essentielles entre les EFVP au Canada et telles qu'elles sont perçues selon votre cadre de travail. Si le cadre européen vise les développeurs du secteur privé, au Canada, les EFVP sont requises pour toute initiative du secteur public fédéral. Bien sûr, le Commissariat encourage les organisations du secteur privé à effectuer des EFVP, mais elles n'y sont pas légalement obligées.

Les EFVP permettent aux ministères de démontrer qu'ils ont analysé leurs initiatives afin de déterminer :

  • la nature des renseignements personnels qui seront recueillis;
  • les utilisations prévues;
  • les risques éventuels d'atteinte à la vie privée;
  • les mesures qui seront prises pour réduire ces risques.

Si l'expérience canadienne se rapporte à des évaluations concernant des initiatives du secteur public, il est possible de transposer plusieurs éléments clés au secteur privé.

Au Canada, le rôle du Commissariat consiste à faire l'examen des évaluations en vue de fournir des conseils aux développeurs pour qu'ils puissent modifier leurs plans de façon à mieux protéger et respecter la vie privée. Dans bien des cas, les ministères accueillent nos conseils d'un œil favorable et les suivent en conséquence — mais ils n'y sont pas tenus. Néanmoins, il est extrêmement bénéfique que les ministères soient tenus de nous soumettre leurs évaluations.

L'information que nous obtenons sur les nouvelles initiatives est inestimable. Comme je l'ai déjà mentionné, nous avons la chance d'analyser les évaluations et de fournir des conseils, ce qui donne souvent lieu à des initiatives plus respectueuses de la vie privée. En nous familiarisant avec tous les projets du gouvernement impliquant la collecte de renseignements personnels, nous pouvons identifier des tendances systémiques, lesquelles nous aident à faire des choix plus éclairés par rapport à nos priorités en matière de vérification, d'enquête, de politiques et de sensibilisation.

Un autre avantage — dont le public jouit directement —, c'est que les ministères et organismes gouvernementaux doivent publier un résumé des évaluations des facteurs relatifs à la vie privée sur leur site Web. Grâce à cette politique de transparence, tous les intervenants et tous les citoyens sont instruits de l'incidence des nouvelles initiatives sur la protection de la vie privée. Cela incite d'autant plus les ministères à prouver qu'ils accordent du respect aux valeurs des Canadiennes et des Canadiens.

J'ai déjà noté qu'il y a des différences considérables entre le régime canadien des EFVP et le cadre européen qui adopte une approche technospécifique. Cela dit, il me fait plaisir de vous fournir des conseils tirés de notre expérience. À l'instar du Canada, le cadre européen détermine le niveau d'examen requis en classant les applications. Au Canada aussi, la première étape du processus consiste en un exercice d'identification et de catégorisation des risques afin de déterminer la portée et la profondeur de l'évaluation.

L'évaluation initiale se fonde sur les informations fournies par les ministères dans notre cas, et par les développeurs du secteur privé dans le vôtre. Les organisations doivent donc disposer de l'expertise interne nécessaire pour s'assurer de l'exactitude et de la précision de l'information. D'où l'importance d'une formation adéquate.

Évidemment, certaines organisations hésiteront à investir dans la formation de plusieurs employés. C'est pour cette raison qu'il faut insister sur la responsabilité. Par exemple, au Canada, nous demandons aux ministères et aux organismes de désigner une personne ou un petit groupe de personnes responsable de la conformité de l'organisation aux principes de protection de la vie privée. Cela inclut l'élaboration des évaluations des facteurs relatifs à la vie privée et un processus d'approbation. Si l'Europe adoptait une démarche similaire, les entreprises seraient encouragées à rationaliser les coûts de formation et à développer les spécialisations de façon à ce que leur opérations en matière de protection de la vie privée soient cohérentes et constantes.

Bien sûr, plus les autorités de protection des données offrirent des conseils « gratuits », mieux c'est. C'est pourquoi le Commissariat propose aux ministères des lignes directrices pour les aider à effectuer des évaluations rigoureuses et de qualité. Nous organisons également chaque année des ateliers où sont offerts des conseils pratiques.

De plus, notre publication intitulée « Nos attentes » tient lieu de guide à l'intention des ministères et organismes. Elle les informe de ce que le Commissariat recherche en plus de transmettre une idée plus globale de l'importance des évaluations des facteurs relatifs à la vie privée. Autrement dit, elle fait valoir que ces évaluations ne se limitent pas à une tâche administrative; elles cherchent plutôt à répondre aux attentes du public et à préserver la confiance qui, idéalement, est le fondement de la relation entre l'état et le citoyen. Par conséquent, nous vous conseillons de trouver le moyen de fournir aux développeurs le savoir-faire et les connaissances nécessaires pour répondre aux besoins du processus, et de leur faire comprendre qu'il s'agit là d'une occasion d'établir la confiance des consommateurs.

Nous vous suggérons aussi de fournir des conseils au-delà de l'évaluation initiale. Selon votre cadre de travail, il est essentiel que les développeurs mettent leurs évaluations à jour au gré de l'évolution de leurs produits; identiquement, le Canada opte pour la continuité et le Commissariat recommande d'établir un calendrier pour la révision des évaluations. Bref, donnez aux entreprises des informations précises sur le moment où une révision s'impose pour déterminer si une mise à jour est nécessaire.

Enfin, usez de vos pouvoirs pour vous assurer que le processus débutera le plus tôt possible. Plus un problème est décelé rapidement, plus il sera facile — et moins il sera coûteux — d'y remédier. Nous savons tous que la protection de la vie privée doit être centrale à, et à l'avant-plan de tout processus de planification. Une EFVP précoce contribuera à atteindre cet objectif et, notre expérience le prouve, à éviter des événements néfastes.

Vous pouvez vous imaginer qu'à titre de voisin des États-Unis, le Canada vient de vivre une décennie marquée par nombre de nouvelles initiatives en matière de sécurité nationales et de commerce qui ont eu une incidence sur la protection de la vie privée. Plusieurs d'entre elles, d'ailleurs, recourent à l'IRF. Par exemple, l'instauration du passeport électronique et du permis de conduire amélioré, lesquels contiennent une puce qu'on peut lire lorsqu'une voiture fait la queue à un poste frontalier pour soi-disant accélérer le processus d'inspection et la circulation.

L'histoire du permis de conduire amélioré illustre particulièrement bien le besoin et l'utilité de recourir le plus tôt possible aux évaluations des facteurs relatifs à la vie privée et à la participation des autorités de protection des données. En 2007, l'Agence des services frontaliers du Canada travaillait avec le département de la Sécurité intérieure des États-Unis à l'élaboration de l'infrastructure pour rendre opérationnel le permis de conduire amélioré. Pendant la période d'essai du programme, il a été entendu que les fichiers de données de milliers de Canadiennes et Canadiens seraient stockés dans les bases de données du département de la Sécurité intérieure. Sur le plan de la protection de la vie privée, cette décision était troublante, surtout compte tenu de l'existence de la USA Patriot Act.

Par chance, nous en avons eu vent lors d'une rencontre pour le lancement du processus des évaluations des facteurs relatifs à la vie privée à laquelle assistait le Commissariat. Nous avons donc fait valoir que le transfert de données était extrêmement envahissant et n'était pas nécessaire à l'atteinte des objectifs du programme. Résultat : il n'y a pas eu de transfert massif des renseignements personnels des Canadiennes et des Canadiens vers les bases de données américaines. Aujourd'hui, lorsque le département de la Sécurité intérieure lit un permis de conduire amélioré, il est dirigé vers une base de données située au Canada qui lui donne accès uniquement au fichier en question.

Les choses auraient été bien différentes sans un processus obligatoire d'évaluation des facteurs relatifs à la vie privée. Si nous n'en avions pas été informées rapidement et que le transfert de données avait eu lieu comme prévu, il aurait été extrêmement coûteux — peut-être trop, même — pour renverser la situation.

Pour conclure, je tiens à vous remercier de nouveau pour cette invitation. Sachez que nous continuerons de suivre les développements de cette initiative et qu'un représentant du Commissariat assistera à l'atelier du Consortium sur le projet de cadre d'évaluation des facteurs relatifs à la vie privée au mois d'avril à Sopot, en Pologne.

J'ai aussi noté avec intérêt que le projet de Règlement général sur la protection des données, paru en décembre dernier, proposait un usage plus vaste des évaluations des facteurs relatifs à la vie privée au sein de l'Union européenne. Si besoin est, le Commissariat est prêt à s'entretenir davantage sur la question. Nous savons tous que les enjeux ayant un impact sur la vie privée font fi des nationalités — ils affectent tout le monde et subliment les frontières. C'est pourquoi je vois d'un œil favorable cet apprentissage et cette collaboration entre nos juridictions, dont les bienfaits son réciproques.

Merci encore. Nous vous souhaitons une conférence fructueuse et du succès dans la mise en œuvre de votre cadre de travail.

Date de modification :