Bilan et perspectives d’avenir : Mises à jour du Commissariat à la protection de la vie privée

Commentaires à l’occasion de la rencontre du Council of Chief Privacy Officers organisée par le Conference Board du Canada

Le 28 février 2012

Allocution prononcée par Chantal Bernier,
Commissaire adjointe à la protection de la vie privée

(La version prononcée fait foi)


Aperçu

Le but de ma présentation est de vous informer de ce que nous avons au programme et dans notre mire.

  1. J’aborderai d’abord les nouveautés sur le plan législatif. Je vous expliquerai rapidement comment nous utilisons les nouveaux pouvoirs que nous avons obtenus en vertu de la Loi antipourriel du Canada et comment nous nous préparons à son entrée en vigueur. Je vous parlerai également du projet de loi sur l’accès légal qui a été déposé il y a deux semaines, ainsi que les modifications potentielles à la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE) en vertu du projet de loi C‑12, notamment.
  2. Je vous présenterai aussi un résumé des dossiers chauds en matière de protection de la vie privée en 2012 et dans un avenir rapproché.
  3. Enfin, je vous parlerai de notre volonté de favoriser la conformité. Je dirai d’abord quelques mots sur les façons d’y arriver en misant sur les intérêts convergents afin de bâtir une culture du respect de la vie privée, après quoi je présenterai les nouvelles mesures administratives que nous avons adoptées pour corriger plus adéquatement les pratiques déviantes. Ces nouvelles mesures — à savoir une utilisation accrue de nos pouvoirs discrétionnaires pour nommer des répondants et publier de nouveaux types de conclusions — auront des conséquences directes sur votre travail à titre de chefs de la protection des renseignements personnels.

Nouveautés sur le plan législatif

J’aimerais aborder trois grands sujets sur le plan législatif : la Loi antipourriel du Canada; les modifications potentielles à la Loi sur la protection des renseignements personnels et les documents électroniques, en vertu du projet de loi C‑12 et des examens parlementaires subséquents; et le projet de loi sur l’accès légal qui vient d’être déposé.

Modifications à la Loi sur la protection des renseignements personnels et les documents électroniques en vertu de la Loi antipourriel

Je commencerai en discutant des récentes modifications à la Loi sur la protection des renseignements personnels et les documents électroniques que l’on retrouve dans la Loi antipourriel. Depuis l’adoption de la Loi antipourriel, ces nouveaux pouvoirs s’appliquent à toutes les plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, et non pas seulement à celles liées aux pourriels. En d’autres mots, ils sont déjà en vigueur et s’appliquent à toutes les enquêtes menées en vertu de la LPRPDE.

Premièrement, la Loi antipourriel a modifié la Loi sur la protection des renseignements personnels et les documents électroniques pour autoriser la commissaire à transmettre des renseignements à ses homologues étrangers et provinciaux lorsqu’elle estime qu’ils se rapportent à une enquête en cours ou envisagée.

Nous avons déjà signé deux protocoles d’entente avec des autorités européennes de protection des données personnelles, et nous sommes en train d’en négocier d’autres. Les nouvelles dispositions relatives à la communication de renseignements personnels en vertu de la Loi antipourriel nous ont permis de nous joindre à l’Accord de coopération de l’APEC (la Coopération économique Asie‑Pacifique) sur la protection transfrontalière des données. Nous avons donc enfin la possibilité de partager de l’information avec plusieurs autorités d’Asie‑Pacifique, dont la FTC. Cette entente nous permettra de mener des enquêtes de concert avec nos homologues internationaux. Nous menons actuellement une telle enquête, parallèlement à celle d’une autre autorité de protection des données.

Ces nouveaux pouvoirs arrivent au moment où les APD intensifient leurs efforts en vue d’une coopération plus efficace. Une résolution a été adoptée lors de la séance à huis clos de la dernière Conférence internationale des commissaires à la protection des données et de la vie privée, qui s’est tenue à Mexico à l’automne, pour créer un groupe de travail chargé d’explorer les possibilités de coopération. Le Canada et le Royaume‑Uni parrainent conjointement cette résolution. Ce groupe de travail, qui a été créé lors de la réunion tenue à Montréal en mai dernier, établira les fondements d’une coopération internationale.

Deuxièmement, la Loi antipourriel modifie également la LPRPDE pour donner à la commissaire le pouvoir de refuser de faire enquête ou pour mettre un terme à une enquête dans certaines circonstances précises. La commissaire peut refuser de mener une enquête si elle est d’avis :

  • que le plaignant doit épuiser toutes les procédures d’examen ou de règlement des griefs disponibles;
  • que la plainte pourrait plus avantageusement être instruite en vertu d’autres lois fédérales ou provinciales;
  • que la plainte n’a pas été déposée dans un délai raisonnable.

La commissaire peut mettre fin à une enquête si elle est d’avis :

  •  qu’il n’existe pas suffisamment d’éléments de preuve pour poursuivre l’enquête;
  •  que la plainte est futile, vexatoire ou entachée de mauvaise foi;
  •  que l’organisation a fourni une réponse juste et équitable au plaignant;
  •  que la plainte fait déjà l’objet d’une enquête;
  •  qu’elle a déjà dressé un rapport sur l’objet de la plainte.

Sur cette question, nous avons mis en place des procédures internes et des directives juridiques pour aider notre équipe d’enquête à utiliser ces pouvoirs de façon juste et appropriée.

  • La décision de refuser de mener une enquête s’appuie sur les renseignements fournis par le plaignant, de même que sur les renseignements recueillis par les enquêteurs et les agents de réception des plaintes durant les appels de suivi ou la correspondance avec le plaignant potentiel et le mis en cause. La décision de refuser de faire enquête se prend au cas par cas en fonction des faits étudiés.
  • Les critères visent à évaluer chaque cas selon ses propres circonstances. Le « délai raisonnable » pour déposer une plainte, par exemple, n’est pas toujours le même. Nous tenons compte de facteurs tels que le moment où le plaignant a été mis au courant du présumé problème, les mesures prises par le plaignant pour régler la question avant de contacter le Commissariat, les raisons du délai et les préjudices causés au mis en cause en raison de ce délai.
  • La décision de mettre fin à l’enquête est prise après l’envoi des accusés de réception et des avis et assez rapidement pour assurer l’équité aux parties prenantes de ce long processus.
  • Nous avons établi des directives juridiques internes pour nous aider à interpréter les différents motifs d’abandon. Une plainte est jugée « futile », par exemple, lorsqu’elle est sans fondement juridique et sans chance raisonnable de succès.

Ce nouveau pouvoir discrétionnaire nous permettra de concentrer davantage nos efforts et nos ressources sur les plaintes relatives à des questions sérieuses, systémiques et générales qui constituent des risques de non-respect de la vie privée pour l’ensemble des Canadiennes et des Canadiens. Nous mettrons aussi à jour notre cadre de conformité, que l’on retrouve sur notre site Web, afin qu’il tienne compte de ces nouveaux pouvoirs.

En ce qui concerne la Loi antipourriel, vous êtes tous au courant que l’application de la Loi est une responsabilité partagée entre le CRTC, le Bureau de la concurrence et le Commissariat. Le Commissariat a pour mandat de s’occuper de deux types de violations :

  • la collecte de renseignements personnels par l’intermédiaire d’un accès illicite aux systèmes informatiques de tiers;
  • la collecte d’adresses électroniques, opération qui consiste à dresser des listes de courriels de masse au moyen de mécanismes parmi lesquels figure l’utilisation de programmes informatiques sondant automatiquement Internet, en vue d’y trouver des adresses.

La Loi antipourriel devrait entrer en vigueur en 2012. La date officielle de son entrée en vigueur sera déterminée lors de la publication de son règlement définitif dans la Gazette du Canada. En attendant, j’ai formé une sorte d’équipe d’élite à l’interne composée d’enquêteurs, de technologues, d’analystes des politiques, de communicateurs et d’avocats. Nous travaillons d’arrache-pied pour revoir notre procédure d’enquête à la lumière des plaintes qui pourraient être déposées en vertu de la Loi antipourriel. De plus, nous travaillons en étroite collaboration avec nos collègues du CRTC, du Bureau de la concurrence et d’Industrie Canada pour agir de façon coordonnée, que ce soit en matière de sensibilisation du grand public ou d’application de la loi.

Modifications à la Loi sur la protection des renseignements personnels et les documents électroniques : Du projet de loi C-12 et au-delà

Ma deuxième mise à jour législative concerne l’examen parlementaire de la Loi sur la protection des renseignements personnels et les documents électroniques. Le monde a beaucoup changé depuis son adoption, il y a 10 ans. La technologie a évolué et l’univers virtuel modifie notre façon de communiquer et de partager nos renseignements personnels. Cette nouvelle réalité offre aussi des possibilités sans pareil aux entreprises qui souhaitent recueillir, colliger et utiliser des renseignements personnels. En outre, l’adoption et l’utilisation à grande échelle des médias sociaux brouillent les frontières entre les activités commerciales et non commerciales de même qu’entre les univers public et privé.

La Loi contient une disposition qui prévoit son réexamen par le Parlement tous les cinq ans. Le premier examen parlementaire de la LPRPDE entrepris il y a quelques années a donné naissance au projet de loi C‑12, qui en est actuellement à sa première lecture à la Chambre des communes.

Le projet de loi C‑12 comprend une disposition imposant le signalement obligatoire des atteintes. Nous suivons de près les progrès du projet de loi au Parlement et nous sommes impatients de le commenter devant le Comité. Le projet de loi C‑12 nous apparaît être trop peu, trop tard. Il reste encore énormément à faire pour que la LPRPDE soit en mesure de relever les défis relatifs à la protection de la vie privée.

En ce qui concerne la nécessité et la façon de réformer la LPRPDE lors d’un prochain examen, afin de s’attaquer aux nouveaux enjeux, notre position s’appuie sur les trois thèmes suivants : la conformité, la portée et la reddition de comptes.

En ce qui a trait à la conformité, nous procédons actuellement à l’examen de la structure et du rôle du Commissariat en tant qu’autorité de protection des données. Nous avons commandé une étude à deux universitaires de renom sur l’efficacité de notre modèle d’ombudsman. L’étude conclut que des pouvoirs précis permettant de rendre des ordonnances et d’imposer des pénalités, comme des amendes, pourraient s’avérer nécessaires pour favoriser adéquatement la conformité à la Loi. Nous croyons de plus en plus que la Loi ne prévoit pas suffisamment de mesures pour inciter à s’y conformer. Nous étudions donc différentes façons d’instaurer de nouvelles mesures incitatives.

Concernant la portée, nous sommes d’avis qu’il faut étudier plus attentivement certains concepts qui jouent un rôle central dans l’application de la Loi, comme les définitions de renseignements personnels et d’activité commerciale. Ces définitions se veulent larges et souples dans leur portée, tout en respectant la compétence fédérale. Malgré tout, les technologies émergentes et les modèles d’affaires en constante évolution repoussent sans cesse les limites de ces deux concepts vitaux. Nous devons donc déterminer si les définitions de la Loi sont suffisamment larges et souples pour assurer aux Canadiennes et aux Canadiens le niveau de protection adéquat de leurs données personnelles dans un secteur commercial qui évolue rapidement.

Accès légal

Nous surveillons également de près les mesures législatives sur l’accès légal déposées il y a deux semaines devant le Parlement.

Avant d’aller plus loin, je tiens à insister sur le fait que nous sommes convaincus de la nécessité d’arrêter les criminels. Nous reconnaissons que l’évolution rapide des technologies de communication crée de nouveaux défis pour les autorités responsables de l’application de la loi et de la sécurité nationale, et qu’Internet ne peut être un espace où règne la loi de la jungle. Si des criminels sévissent dans le cyberespace, les forces de l’ordre doivent intervenir. Cela étant dit, nous nous inquiétons de la protection des principes reconnus et fondamentaux du respect de la vie privée, qui sont les piliers de notre société.

Si nous sommes rassurés par la présence de certains éléments inclus dans le projet de loi C‑30, comme la diminution des données précises qui peuvent être exigées aux fournisseurs de services de télécommunication et la consolidation des dispositions relatives à la surveillance, nous restons préoccupés par le fait qu’il pourrait étendre les pouvoirs des policiers au-delà des limites acceptables dans notre société. Nous devons insister sur l’importance de la surveillance judiciaire et de la présence de motifs raisonnables pour effectuer des recherches et saisir des données. Ce sont là des mesures mises en place pour protéger les droits fondamentaux des citoyens respectueux des lois dans la vie réelle; et nous sommes d’avis que ces mesures devraient aussi s’étendre au monde virtuel. Étant donné que le thème de votre séance aujourd’hui est « Bâtir une culture de la protection de la vie privée », il convient de noter que la première victime d’une telle loi pourrait être la culture de la protection de la vie privée au Canada.

Nous effectuons actuellement une analyse en profondeur des conséquences du projet de loi C‑30 sur la vie privée. C’est avec grand plaisir que nous communiquerons notre avis au Parlement dès qu’on nous invitera à le faire.

Dossiers chauds en matière de vie privée

Dans cette deuxième partie de ma présentation, je vous dresserai un bref portrait de certains dossiers chauds qui, d’après nous, exigent une attention particulière des professionnels de la protection de la vie privée.

En 2008, le Commissariat a choisi les priorités stratégiques qui coordonneraient l’ensemble de notre travail, à savoir la sensibilisation du grand public, les vérifications, les enquêtes et la recherche. Après une longue réflexion, nous avons choisi la technologie de l’information, la sécurité publique, la gestion de l’identité et les renseignements génétiques comme les sujets phares qui guideraient notre parcours en cette époque où tout évolue si rapidement.

Nous sommes d’avis que ces quatre priorités stratégiques sont aussi pertinentes que jamais. Ce matin, je vous résumerai les dossiers particuliers que nous avons dans notre ligne de mire pour chacune d’elles.

Technologie de l’information : Popularité croissante des services mobiles

L’un des dossiers chauds en matière de technologie de l’information est l’avènement d’une puissante informatique mobile. L’utilisation accrue des téléphones intelligents et des tablettes, combinée à l’offre massive d’applications, permet aux gens de répondre à leurs attentes concernant l’accès à « toutes les données n’importe où et en tout temps », et même de les avoir avec eux en tout temps. Cela rend les appareils mobiles extrêmement utiles et favorise leur utilisation.

Or, cela signifie également qu’ils deviennent des cibles beaucoup plus intéressantes pour le vol, les maliciels, l’hameçonnage, etc. Par conséquent, les données personnelles et commerciales sont beaucoup plus à risque d’être compromises. Alors que ces appareils sont de plus en plus performants, leurs contrôles de sécurité sont souvent insuffisants. Comme ce fut aussi le cas au départ avec les PC et les ordinateurs portables, on peut espérer que l’écart actuel de sécurité des téléphones intelligents et des tablettes devrait être réduit dans un avenir rapproché.

Nous participons aux discussions en commandant des documents techniques sur les applications à des experts de l’industrie. Ces derniers se penchent sur les attentes en matière de protection de la vie privée lors de l’utilisation d’applications, sur ce que les développeurs font pour protéger la vie privée des utilisateurs, sur les profits générés par les applications et sur leur importance dans l’économie mobile.

Sécurité publique : Entente de sécurité à l’intérieur du périmètre

Le dossier le plus important pour nous au chapitre de la sécurité publique est Par-delà la frontière, le plan d’action Canada‑États‑Unis pour accroître la sécurité à l’intérieur du périmètre. Ce plan d’action vise à créer un périmètre de sécurité Canada‑États‑Unis fondé sur quatre grands piliers : évaluation coopérative des risques, facilitation du commerce, intégration transfrontalière en matière d’application de la loi, et protection intégrée des infrastructures essentielles. De façon générale, les mesures prévoient une approche commune du contrôle des voyageurs, une coopération lors d’enquêtes criminelles et d’enquêtes relatives à la sécurité nationale et l’élargissement des efforts de cybersécurité mondiale.

Le Plan d’action, dans un effort pour satisfaire aux attentes des Canadiennes et des Canadiens en matière de protection de leur vie privée, s’est engagé à énoncer les principes conjoints Canada‑États‑Unis de protection des renseignements personnels à la fin du mois de mai. Le gouvernement du Canada, pour sa part, s’est engagé à nous soumettre pour examen leurs évaluations des facteurs relatifs à la vie privée de toutes les mesures ayant des conséquences sur la protection de celle-ci.

Il est important de souligner que nous ne considérons le Plan d’action ni comme un événement unique ni comme un aboutissement. Il s’agit d’un processus qui exigera plusieurs autres initiatives des ministères fédéraux et prendra des années à mettre en œuvre. En d’autres mots, ce plan n’est qu’un plan, et les conséquences d’un plan doivent être évaluées non seulement sur ses objectifs, mais aussi sur sa mise en œuvre.

Voici, à ce propos, certains des éléments que nous garderons à l’œil tout au long de ce processus :

  1. Premièrement, l’une de nos principales préoccupations est la mention des « principes conjoints Canada‑États‑Unis de protection des renseignements personnels » dans le Plan d’action. Bien entendu, il est possible que ces « principes conjoints » découlent des politiques et des priorités étatsuniennes et qu’ils ne correspondent pas aux nôtres. Nous demandons donc aux autorités canadiennes d’être vigilantes à cet égard.
  2. Deuxièmement, nous voudrions que la communication de renseignements entre nos deux pays soit soumise à une discipline plus stricte. Nous demandons depuis des années que la Loi sur la protection des renseignements personnels soit modifiée de façon à exiger que la transmission de renseignements personnels entre les corps policiers n’ait lieu que dans le cadre d’ententes écrites qui en définiraient clairement les conditions.
  3. Troisièmement, nous voudrions améliorer les mesures visant à garantir l’exactitude des renseignements détenus par la police. Notamment des mesures garantissant que l’on retire rapidement les renseignements dépassés ou non pertinents.
  4. Quatrièmement, nous souhaitons voir une surveillance adéquate et indépendante des mesures relatives à la communication de renseignements personnels.
  5. Cinquièmement, nous voulons qu’on établisse des limites claires sur ce qui peut ou non être communiqué.
  6. Sixièmement, les personnes impliquées devront recevoir une formation appropriée afin de bien comprendre les enjeux liés à la protection des renseignements personnels et les conséquences potentielles d’une atteinte; une demande qui fait écho au rapport du juge O’Connor dans l’affaire Maher Arar.

Dans l’ensemble, si ce plan est mis en place adéquatement et contrôlé soigneusement, et que le respect de la vie privée est une priorité dès le départ, il devrait représenter une bonne occasion de faciliter les déplacements des voyageurs. Par contre, si sa mise en œuvre entraîne la collecte excessive de renseignements personnels et leur utilisation arbitraire par des responsables de la sécurité, elle pourrait mener à de nouvelles complications.

Recueillir des renseignements est une chose. C’est leur utilisation qui pose souvent problème. Au cours des dix dernières années, trois commissions d’enquête fédérales — O’Connor, Iacobucci et Major — ont porté sur cet enjeu extrêmement sérieux. Je pense que le Canada a aujourd’hui la possibilité de faire des progrès dans ce domaine.

Par conséquent, nous n’évaluons pas uniquement le plan lui-même. Nous suivrons plutôt de près toutes les initiatives afin d’évaluer leurs conséquences sur le respect de la vie privée. Certaines initiatives, comme celles qui portent sur les normes des produits et le transport des marchandises, n’exigent pas d’examen de notre part. Toutefois, celles portant sur le partage de renseignements à l’entrée et à la sortie du territoire, la communication de données biométriques et l’échange de renseignements entre les autorités policières pourraient avoir des conséquences majeures sur le respect de la vie privée.

Toute initiative en lien avec la collecte et l’échange de renseignements personnels devra avoir sa propre évaluation des facteurs relatifs à la vie privée. Nous surveillons toutes les initiatives afin de nous assurer que les mesures de sécurité appropriées sont mises en place et que les renseignements personnels des Canadiennes et des Canadiens sont protégés conformément aux normes canadiennes à ce chapitre.

Nous sommes encouragés par l’engagement du gouvernement du Canada à définir des principes conjoints en matière de protection des renseignements personnels à la fin du mois de mai. Le gouvernement ayant affirmé vouloir nous consulter tout au long du processus, nous n’hésiterons pas à lui rappeler son engagement et à suivre les choses de près.

Renseignements génétiques : L’offre et la demande

En ce qui concerne les renseignements génétiques, les principaux dangers sont liés à la baisse rapide et importante des coûts du séquençage et des tests génétiques. On observe donc une explosion des renseignements génétiques. Les gens peuvent « acheter » des tests génétiques sur Internet, sans l’intervention d’un professionnel de la santé. Les sociétés pharmaceutiques, les universités et d’autres organismes créent d’énormes biobanques de renseignements génétiques. De plus, il est désormais très facile d’obtenir des tests de paternité. Le pouvoir de ces renseignements utilisés à des fins socialement avantageuses ou dangereuses est important. Cela soulève également d’importants problèmes juridiques, éthiques et moraux et des problèmes de respect de la vie privée que notre société vient à peine d’aborder.

Le Commissariat mène actuellement une recherche sur la valeur prédictive des renseignements génétiques sur la santé. Nous avons retenu l’expertise de Pavel Hamet pour nous aider à explorer cette question émergente. Nous nous sommes engagés à en partager les résultats avec l’Association canadienne des compagnies d’assurances de personnes comme contribution à notre dialogue constant avec l’industrie.

De plus, je représente toujours le Commissariat au Comité consultatif de la Banque nationale de données génétiques. Les nouveaux enjeux dans ce domaine sont : la possibilité de prélever l’ADN d’une personne dès qu’elle est accusée d’une infraction plutôt que lorsqu’elle est déclarée coupable d’un crime; la privatisation des laboratoires; et, surtout, l’apparition de la recherche de liens de parenté. Ces problèmes sont encore dans un horizon lointain au Canada, mais ils se rapprochent. Il nous faut donc en suivre de près les développements.

Gestion de l’identité : Suivi, profilage et ciblage d’individus

En ce qui concerne la gestion de l’identité, notre principale préoccupation est le suivi, le profilage et le ciblage d’individus. On s’en sert notamment en publicité comportementale. Le problème du suivi, du profilage et du ciblage en ligne a fait l’objet de beaucoup d’attention durant nos consultations de 2010 sur la protection de la vie privée des consommateurs. Plus récemment, nous avons émis des directives sur la protection de la vie privée et la publicité comportementale en ligne, qui ont généralement été bien reçues et qui ont provoqué un dialogue constructif entre le Commissariat et l’industrie.

L’autre enjeu dont nous avons abondamment discuté durant nos consultations de 2010 est l’infonuagique. La valeur de l’infonuagique pour les organismes est évidente, et il n’est pas étonnant que son utilisation se répande rapidement. Cependant, elle pourrait présenter des risques en ce qui concerne les renseignements personnels, en plus de soulever des problèmes juridiques intéressants si les serveurs sont situés dans d’autres pays.

Pour encadrer le débat sur les principes de protection des renseignements personnels et encourager les organisations à en tenir compte dès le départ, nous avons publié une fiche d’information et un rapport de recherche sur la question. De plus, nous sommes en train de rédiger des directives sur l’infonuagique dans les petites et moyennes entreprises.

Les voies de la protection de la vie privée : Symposium « La protection de la vie privée pour tous »

J’aimerais profiter de cette rencontre pour vous annoncer une nouvelle réjouissante. Dans le même esprit que « Bâtir une culture du respect de la vie privée », nous misons sur le succès de notre Programme des contributions pour lancer une série de symposiums afin de présenter les recherches de calibre mondial que nous finançons. Le premier de la série aura lieu à Ottawa, le 2 mai prochain.

Intitulé « La protection de la vie privée pour tous », cet événement portera sur des sujets comme l’atteinte de différentes populations, les perspectives culturelles de la protection de la vie privée et les problèmes propres aux jeunes, aux personnes âgées, aux Autochtones et aux immigrants.

Nous sommes très heureux de collaborer avec le Conseil de recherches en sciences humaines et le Bureau de la consommation d’Industrie Canada pour l’organisation de ce symposium. J’espère d’ailleurs que vous pourrez être des nôtres.

Favoriser la conformité

Le troisième sujet de ma présentation d’aujourd’hui est la conformité. La conformité découle d’une culture du respect de la vie privée. Cette constatation est en lien direct avec le thème de votre séance. Nous devons maintenant découvrir comment bâtir cette culture. La conformité aux lois sur la vie privée peut être le résultat d’une convergence d’intérêts — le fait que ce soit bon pour les affaires, par exemple — ou d’une volonté de corriger des pratiques déviantes. Bâtir une culture du respect de la vie privée signifie offrir de l’aide et, parfois, sévir.

Conformité grâce à la convergence d’intérêts

Bâtir une culture du respect de la vie privée est un élément essentiel pour favoriser la conformité par convergence d’intérêts.

Les organisations, petites et grandes, ont un intérêt direct à protéger la vie privée. La première fois que j’ai rencontré les représentants de Facebook, je leur ai demandé quelle importance revêtait le respect de la vie privée à leurs yeux. Ils m’ont répondu que cela garantissait à leurs utilisateurs une expérience positive. Lorsque j’ai posé la même question à l’Association des banquiers canadiens, ils m’ont répondu que cela garantissait que leurs clients continueraient à faire affaire avec eux.

Ces réponses illustrent bien que la protection de la vie privée est jugée essentielle aux affaires, même si s’entendre sur ce que cette protection signifie vraiment est d’un tout autre ordre. Malgré tout, cet intérêt réel des entreprises à garantir la protection de la vie privée est un élément central de la conformité.

Voilà la bonne parole que vous devez transmettre au sein de votre propre organisation : la protection de la vie privée est rentable.

Ce qui peut être plus difficile pour vous, c’est d’expliquer comment cela se traduit dans les activités quotidiennes. Il ne suffit pas d’affirmer qu’il est important de respecter la vie privée ni même d’inclure le respect de la vie privée dans vos politiques et vos modèles. Les employés de l’organisation doivent intégrer ces pratiques.

Analysons les événements ayant entraîné la collecte de données utiles par les voitures de Google Street View depuis des réseaux sans fil non sécurisés : l’ingénieur qui avait mis au point le code avait rempli les formulaires nécessaires et coché la case indiquant que le produit n’avait aucune conséquence en matière de vie privée. Pensons également à un événement plus récent, survenu dans un organisme fédéral, où un employé a recueilli de l’information pour appuyer une demande de grief et a transféré le contenu de 16 CD remplis de renseignements personnels précieux sur des citoyens canadiens sur l’ordinateur portable d’un tiers, sans penser aux conséquences potentielles en matière de confidentialité.

Souvenons-nous aussi du récent cas à Anciens Combattants Canada, lors duquel des renseignements personnels sensibles sur un ancien combattant ont été largement diffusés au sein du Ministère, bien au-delà des besoins d’information.

Dans tous ces cas, les dommages auraient pu être évités si les employés avaient bien compris comment la protection de la vie privée se traduit dans leurs activités. Notre vérification à Anciens Combattants pourrait faire la lumière sur le sujet que vous abordez aujourd’hui, à savoir que la protection de la vie privée est une question de culture organisationnelle. Bâtir une culture du respect de la vie privée signifie bâtir une culture où chacun est conscient de faire partie de la solution. Le respect de la vie privée n’est pas seulement l’affaire des responsables de la protection de la vie privée, de l’avocat général ou du gestionnaire de la Section de l’accès à l’information et de la protection des renseignements personnels : c’est l’affaire de tous.

Conformité par la correction des pratiques déviantes

La deuxième façon de favoriser la conformité est de corriger les pratiques déviantes, notamment par l’application de la Loi. J’ai mentionné précédemment que nous envisageons de demander des pouvoirs accrus lors du prochain examen législatif. En attendant, nous maximisons les outils que nous avons. Nous avons déjà le pouvoir de nommer des répondants, la latitude de choisir le type de constatations que nous émettons et la capacité d’assurer un suivi quant à la mise en œuvre de nos recommandations.

Vous avez probablement noté ces dernières années, et particulièrement dans notre dernier rapport annuel sur la LPRPDE, que nous rendons désormais public le nom de certaines organisations. Nous utilisons davantage notre pouvoir de divulguer les pratiques d’une organisation en matière d’information lorsque nous considérons qu’il en va de l’intérêt public. Cette volonté est liée aux conséquences accrues des violations observées.

Nous avons réalisé que divulguer l’identité d’une organisation est une pratique efficace en raison de la perte potentielle de réputation qui risque de nuire à ses intérêts commerciaux. Cela repose également sur le fait qu’en fin de compte, il coûte moins cher, particulièrement pour les grosses entreprises, de se conformer à la loi que d’y contrevenir.

Autre exemple de l’utilisation maximale de nos pouvoirs existants : la nouvelle obligation imposée aux répondants de produire, dans certains cas, une vérification externe afin de démontrer qu’ils ont mis en œuvre toutes nos recommandations avant la fermeture officielle du dossier. Ce faisant, nous nous réservons le droit d’utiliser nos recours en vertu de la loi, y compris d’aller devant la Cour fédérale en cas d’absence de vérification externe ou d’évaluation négative. Nous avons déjà inclus cette obligation dans le suivi de notre enquête sur la collecte de données Wi-Fi par Google et de notre vérification de Bureau en gros.

Cette nouvelle obligation, ainsi que nos nouveaux pouvoirs discrétionnaires en vertu de la Loi antipourriel, transparaît dans la récente révision des définitions de nos constatations et d’autres dispositions.

Mot de la fin

Pour finir, j’espère que je vous aurai convaincus à quel point nous souhaitons protéger les droits à la vie privée des Canadiennes et des Canadiens pendant les années à venir et bâtir notre propre culture de protection de la vie privée.

  • Nous exerçons notre rôle de conseiller du Parlement sur les lois et règlements ayant des conséquences sur les renseignements personnels des Canadiennes et des Canadiens. Nous commentons les projets de loi et nous demandons des modifications aux lois existantes, au besoin. Une fois que ces projets de loi et ces modifications entreront en vigueur, nous les administrerons le mieux possible, comme nous le faisons pour la Loi antipourriel.
  • Nous nous tenons informés des avancées sociales et technologiques qui ont des conséquences, ou qui pourraient en avoir, sur le respect de la vie privée des Canadiennes et des Canadiens.
  • Nous utilisons au maximum les pouvoirs qui nous sont conférés afin de favoriser la conformité à la loi.

Les pierres angulaires de la culture du respect de la vie privée se trouvent dans l’annexe 1 de la LPRPDE : une structure de gouvernance solide, où le responsable de la protection de la vie privée se trouve à la tête de l’organisation; de la formation et des mesures de motivation et d’évaluation du personnel en matière de protection de la vie privée; la compréhension des mesures de sécurité, qu’il s’agisse de cyberrésilience, de contrôle d’accès ou d’évaluations constantes de la vulnérabilité.

Bref, à mon avis, bâtir une culture de la protection de la vie privée signifie intégrer la protection de la vie privée dans la culture axée sur le service de l’organisation ainsi que des mesures de sécurité à tous les niveaux de l’organisation.

Date de modification :