Prêcher par l’exemple : Se montrer responsable en matière de protection des données

Commentaires dans le cadre du Sommet mondial et de la Conférence nationale du printemps de l’ACCJE 2012

Le 17 avril 2012
Montréal (Québec)

Allocution prononcée par Patricia Kosseim
Avocate générale principale et directrice générale, Direction des services juridiques, des politiques et de la recherche, Commissariat à la protection de la vie privée du Canada

(La version prononcée fait foi)


Une responsabilisation adéquate grâce à un programme de gestion de la protection de la vie privée

Je suis particulièrement fière de vous annoncer aujourd’hui la publication de nos nouvelles lignes directrices en matière de responsabilisation, préparées conjointement avec les commissariats de l’Alberta et de la Colombie‑Britannique. Nous aimerions remercier nos collègues des provinces pour leur partenariat de longue date et les efforts constants qu’ils déploient pour coordonner les mesures prises en vue de régler les problèmes de protection de la vie privée dans le secteur privé. Plus particulièrement, nous soulignons la prévoyance de la commissaire à la protection de la vie privée de la Colombie‑Britannique, qui a proposé la rédaction de ces lignes directrices.

Ces nouvelles lignes directrices, intitulées « Un programme de gestion de la protection de la vie privée : la clé de la responsabilité1 », présentent les éléments qui, selon les commissariats, devraient être présents dans le programme de gestion de la vie privée d’une entreprise. Elles visent à orienter les organisations pour qu’elles remplissent leurs obligations dans le cadre des lois applicables en matière de protection des renseignements personnels et, surtout, à donner confiance aux consommateurs et à protéger ce qui est devenu un atout extrêmement précieux et une matière première pour les entreprises partout dans le monde — les renseignements personnels.

Pourquoi accorder maintenant autant d’attention à la responsabilité? Ce n’est pourtant pas un concept nouveau. La responsabilité est reconnue comme un principe de protection des données depuis l’adoption des lignes directrices de l’OCDE en 1980, qui ont inspiré la LPRPDE en 2000. En fait, la responsabilité est le tout premier principe énoncé par la LPRPDE, qui souligne ainsi son importance puisque c’est grâce à elle que les organismes donnent vie à tous les autres principes de protection des données.

Cependant, ce sont parfois des choses primordiales qui se retrouvent tout en bas de la liste des « choses essentielles, mais ennuyeuses » — un peu comme les principes « incontournables » que tout le monde croit évidents, innés, déjà pris en charge par quelqu’un d’autre — jusqu’à ce qu’une crise éclate. Le défi a toujours été d’amener les organisations à dire ce qu’elles font et à faire comme elles disent, c’est‑à‑dire à accepter ultimement la responsabilité. Or, le défi consiste maintenant à amener les organisations à démontrer la responsabilité.

Comment passe‑t‑on de la théorie à la pratique?

Engagement de l’organisation

Parmi les éléments constitutifs d’un bon programme de gestion de la protection de la vie privée, notons tout d’abord l’engagement des organisations à établir une culture respectueuse de la vie privée. Cela doit commencer par le sommet, c’est-à-dire par un véritable appui de la part de la haute direction. Ce n’est que lorsque cet appui a été obtenu que la responsabilité peut être déléguée à un responsable de la protection de la vie privée appuyé, éventuellement, par un bureau de protection de la vie privée dans le cas des organisations de grande taille. Les employés désignés comme responsables de la protection de la vie privée doivent avoir des rôles et des responsabilités clairement définis, un soutien organisationnel et des ressources adéquates pour veiller à ce que la protection de la vie privée soit intégrée à toutes les principales fonctions de l’organisation. Parallèlement, des mécanismes d’établissement de rapports doivent être en place pour surveiller la conformité et garantir que les problèmes en matière de vie privée soient dirigés vers le niveau approprié de responsabilité quand des atteintes réelles ou potentielles sont détectées.

Mesures de contrôle du programme

Viennent ensuite les mesures de contrôle du programme, qui commencent par un inventaire documenté des renseignements personnels que possède l’organisation, de l’endroit où ces renseignements sont conservés, de leur niveau de sensibilité et du but dans lequel ils sont recueillis, utilisés et communiqués.

Les autres mesures de contrôle du programme sont notamment les politiques internes en matière de protection des renseignements personnels sur des aspects clés de la protection des données; des outils d’évaluation du risque afin de cerner et d’atténuer les risques liés aux renseignements personnels; des exigences nouvelles et constantes pour l’ensemble du personnel en fonction de besoins précis; des protocoles d’intervention en cas d’atteinte à la protection des données et des ententes contractuelles exécutoires avec les fournisseurs de services et les sous‑traitants afin qu’ils respectent les mêmes normes. Des communications externes efficaces sont également essentielles pour fournir aux consommateurs l’information dont ils ont besoin pour fournir un consentement éclairé.

Évaluation et révision continues

Quand les éléments constitutifs sont établis, une organisation doit se doter d’un mécanisme pour surveiller, évaluer et améliorer son programme. Cela comprend un plan de supervision et d’examen pour évaluer, à intervalles périodiques, l’efficacité des mesures de contrôle du programme de l’organisation en comparaison avec des indicateurs et des échéanciers clairs en matière de rendement. Comme les menaces et les risques changent sans cesse, les organisations doivent mettre à jour et peaufiner leurs mesures de contrôle pour s’assurer qu’elles demeurent pertinentes, souples et efficaces.

Tous ces éléments font partie d’un programme de gestion de la protection de la vie privée nécessaire à l’atteinte d’une responsabilisation démontrable. Une solide structure de gouvernance pour la protection de la vie privée doit être profondément ancrée dans l’organisation et pas seulement rajoutée par la suite, quand les systèmes ne peuvent plus être modifiés et que les erreurs ne peuvent plus être réparées.

Démontrer leur responsabilité n’ajoute pas au fardeau réglementaire des organisations; cela leur permet plutôt d’assurer une conformité réelle à ce qui existe déjà.

Quels en sont les avantages? Une plus grande flexibilité pour les organisations qui peuvent ainsi créer des programmes modulables et adaptés à leur réalité; la réaffectation des rares ressources accordées à la conformité vers des secteurs de risque plus élevé; une protection des données plus efficace sur place; un discours plus constructif et transparent avec les organismes de réglementation; une différenciation positive du marché par rapport aux autres compétiteurs; un degré d’assurance plus élevé pour les partenaires commerciaux; un point de départ pour faciliter les transferts de données transfrontaliers et, surtout, une confiance et un degré d’assurance accrus de la part des consommateurs.

Étant donné la très grande quantité de renseignements personnels que possèdent les organisations, l’augmentation exponentielle de la puissance informatique, la valeur économique accrue des renseignements personnels, qui sont devenus une nouvelle monnaie d’échange, et les répercussions et les risques importants d’atteinte à la protection des données, la nécessité de se responsabiliser comme il se doit n’a jamais été aussi grande.

Interprétation de la responsabilité

En plus des lignes directrices sur la responsabilité, j’ai le plaisir d’annoncer la publication de notre Nouvelle interprétation sur le concept d'imputabilité2 qui figure aussi sur notre site Internet depuis aujourd’hui. Le Commissariat publie parfois des Interprétations sur des concepts clés associés à la LPRPDE quand ceux‑ci ont atteint une certaine maturité. Ces interprétations sont publiées quand la jurisprudence créée par les tribunaux et les décisions de la commissaire sont assez volumineuses et nous permet de commencer à établir des principes généraux et à en codifier l’interprétation sur une certaine période.

Ce que les tribunaux ont dit

Dans une série de cas de dommages‑intérêts récents, la Cour fédérale du Canada a affirmé que les organisations seraient tenues responsables de leurs manquements aux obligations exposées à l’annexe 1 de la Loi. Elles ne peuvent se défendre en faisant valoir qu’elles se conforment aux normes de l’industrie si ces normes sont inférieures aux exigences de la LPRPDE. De plus, aucune défense de nécessité pratique ne libère une organisation de ses obligations3.

La Cour a également affirmé qu’une organisation peut être tenue responsable des actes fautifs commis par ses employés qui contreviennent à la LPRPDE, en particulier lorsque les employés tentent de dissimuler leur acte fautif4.

La Cour a étudié la nature des organisations en établissant ce qu’elle attendait d’elles et en évaluant le montant des dommages. Par exemple, dans un cas portant sur l’utilisation et la divulgation sans consentement de rapports de solvabilité inexacts, la Cour a dit qu’« [u]ne agence d’évaluation du crédit tire profit de l’échange de renseignements personnels de tiers. Une telle entreprise, peut‑être plus que d’autres types d’entreprise, doit saisir l’importance de l’exactitude des renseignements et de la correction rapide en cas d’erreur, et doit s’attendre à être tenue responsable lorsqu’elle ne le fait pas5. »

Dans un autre cas portant sur une infraction à la LPRPDE par un cabinet d’avocats, la Cour a décrété que les avocats qui « conseillent des clients qui traitent les renseignements personnels de leurs propres clients doivent être au fait du droit relatif au respect de la vie privée et des risques de communication […] L’omission d’avocats de prendre des mesures pour protéger des renseignements personnels en leur possession peut justifier un montant plus élevé de dommages‑intérêts que celui auquel seraient condamnées d’autres parties qui sont moins bien informées sur ces questions6. »

En évaluant les facteurs aggravants ou atténuants, la Cour a minutieusement étudié les mesures prises par l’organisation en réaction à l’infraction. L’organisation n’avait pas assumé la responsabilité d’une infraction et avait omis d’en informer les autres, de prendre des mesures rapides pour enquêter sur la situation et la corriger; toutes ces omissions ont joué contre l’organisation dans la décision rendue par la Cour7.

Conclusions de la commissaire sur la responsabilité

La Commissaire elle‑même a eu à maintes reprises l’occasion de réfléchir sur le concept de responsabilité. Notre nouvelle interprétation sur le concept d'imputabilité tire des principes généraux de diverses conclusions d’enquêtes importantes, mais l’exemple probablement le plus instructif de l’obligation d’une organisation à joindre le geste à la parole est le cas de la technologie Wi‑Fi de Google.

En mai 2010, Google a découvert qu’en voulant recueillir des renseignements diffusés publiquement à partir de points d’accès Wi‑Fi pour améliorer les services géodépendants de l’entreprise, ses voitures Street View avaient recueilli du contenu de véritables courriels (c.‑à‑d. « données de charge utile ») transmis par des réseaux sans fil non sécurisés.

Le 1er juin 2010, la commissaire à la protection de la vie privée a ouvert une enquête et, dans son rapport de constatation présenté un an plus tard, concluait que l’entreprise avait enfreint la LPRPDE en recueillant des renseignements personnels sans obtenir de consentement, notamment des renseignements personnels de nature hautement délicate dans certains cas.

Ce cas sert à illustrer le problème de la responsabilité, car cette grave erreur aurait pu être évitée si les propres procédures de Google avaient été suivies comme prévu.

Essentiellement, l’ingénieur de Google qui a créé le code permettant d’échantillonner des catégories de données Wi‑Fi diffusées publiquement dans le cadre d’un projet expérimental a également intégré un code permettant de capter des données de charge utile, pensant que cela pourrait un jour servir à Google. L’ingénieur a relevé ce qu’il croyait être des problèmes « superficiels » en matière de protection de la vie privée, mais, contrairement à la procédure de l’entreprise, ne les a pas portés à l’attention du conseiller légal en produits, dont la responsabilité aurait été de les étudier et de les résoudre avant la mise en œuvre du projet.

En raison de l’omission de cet employé et de la surveillance superficielle effectuée par les gestionnaires, qui ne se sont aperçus de rien, les procédures de protection de la vie privée de l’entreprise n’ont jamais été appliquées comme elles auraient dû l’être.

La commissaire à la protection de la vie privée a recommandé de garder en sûreté les données de charge utile des Canadiens et de les éliminer dès que possible, ce que Google a accepté de faire. L’entreprise a accepté d’améliorer ses programmes de formation aux employés et de sensibiliser son personnel. Elle a également entrepris de renforcer son modèle de gouvernance en matière de protection de la vie privée en assurant la mise en œuvre efficace de ses mesures de contrôle internes de protection de la vie privée, en faisant participer des employés qualifiés en matière de protection de la vie privée aux processus d’examen et d’approbation de nouveaux produits avant leur lancement et en tenant les cadres supérieurs responsables de la conformité de Google aux lois canadiennes en matière de protection des renseignements personnels.

Compte tenu de la gravité de cet incident, la commissaire, qui reconnaît par ailleurs qu’il faudra du temps pour mettre en œuvre ses recommandations, a l’intention de surveiller de près les progrès réalisés par l’entreprise. Elle a demandé à Google de lui fournir les résultats d’une vérification indépendante effectuée par un tiers d’ici un an pour garantir que l’entreprise a véritablement donné suite à ses engagements et qu’elle respecte maintenant la LPRPDE.

Cela correspond au mode de pensée contemporain observé partout dans le monde qui veut que, pour que les organisations soient tenues responsables de la protection des données, elles doivent prouver leur capacité à les protéger. Par le passé, nous avons parfois cru sur parole les organisations qui, pendant une enquête, promettaient d’adopter certaines mesures correctives. Sur la foi de ces promesses, nous considérions que le problème était « résolu ». Même si nous avons assuré un suivi dans de nombreux cas, il y a une limite à ce que nous pouvons faire après les faits.

En raison de cette expérience et de plusieurs autres expériences, nous avons décidé de réviser nos décisions pour ces cas. Depuis janvier 2012, la catégorie de plaintes « fondées et résolues » est réservée seulement aux cas où les organisations ont, au moment où notre rapport est publié, concrètement prouvé qu’elles se sont conformées à la Loi. Une nouvelle catégorie de plaintes « fondées et conditionnement résolues » s’appliquera aux organisations qui n’ont pas encore mis en œuvre toutes les recommandations au moment où la conclusion est émise, mais qui se sont formellement engagées à le faire et à prouver les mesures correctives prises dans un délai précis.

Responsabilité — observer ce qui se fait ailleurs

Après avoir dit tout cela, je ne voudrais pas vous donner l’impression que les Canadiens sont les seuls aux prises avec ce problème. En fait, l’importance de démontrer la responsabilisation en matière de protection des renseignements personnels s’est accrue à l’échelle internationale et est devenue une préoccupation pour le monde entier.

Europe

En janvier 2012, la Commission européenne a proposé un nouveau règlement qui remplacerait sa directive antérieure et contraindrait directement les États membres. Sous les pressions du groupe de travail « Article 29 », le règlement proposé de l’UE exige que les contrôleurs des données adoptent des politiques et mettent en œuvre des mesures appropriées pour assurer la conformité et être en mesure de prouver cette conformité. Le groupe de travail exige également que les contrôleurs évaluent les répercussions sur la vie privée lorsque des risques précis le justifient; conservent une documentation détaillée de leurs activités d’exploitation et, dans le cas des entreprises qui emploient plus de 250 personnes, nomment un responsable de la protection des données affichant un niveau d’indépendance déterminé.

Le règlement proposé intègre expressément le principe de « protection intégrée de la vie privée », un concept de responsabilité mis au point par la commissaire à l’information et à la protection de la vie privée de l’Ontario et adopté à l’unanimité par les commissaires internationaux à la protection des données, en 2010. Selon ce concept, la protection de la vie privée doit être intégrée aux programmes et aux initiatives dès leur conception. Le but est d’être proactif et non réactif, préventif, et non curatif; de faire de la protection de la vie privée un paramètre par défaut et d’intégrer la protection de la vie privée à la conception même du système ou de la technologie et dans l’ensemble du cycle de vie des renseignements.

Le règlement encourage également la mise en place de mécanismes de certification par un tiers et l’adoption de timbres et de sceaux marquant la protection des données pour permettre aux consommateurs d’évaluer le niveau de protection offert.

Coopération économique Asie‑Pacifique (APEC)

En novembre 2011, les dirigeants de l’APEC ont appuyé la création d’un système de règles transfrontalières de protection de la vie privée, qui donnent effet aux principes relatifs à la protection des renseignements personnels de l’APEC de 2005, notamment la responsabilité. Ces règles visent à promouvoir une plus grande interopérabilité entre les régimes de protection de données des divers pays et faciliter un flux d’informations transfrontalier plus responsable. Des travaux sont en cours pour créer des mécanismes d’acceptation mutuelle de règles transfrontalières de protection de la vie privée par les économies membres du système. L’une des nouveautés est l’entrée en jeu d’agents chargés de la responsabilité, dont le rôle consisterait à garantir que les politiques et les pratiques en matière de protection de la vie privée des entreprises respectent les exigences de base des règles. Pour obtenir la reconnaissance de l’APEC, les agents chargés de la responsabilité devraient eux‑mêmes répondre à des critères établis en matière d’indépendance et de surveillance.

États‑Unis

En mars 2012, l’administration Obama publiait un livre blanc sur la « protection de la vie privée des consommateurs dans un monde en réseaux. » Il s’agissait d’« un cadre pour protéger la vie privée et promouvoir l’innovation dans l’économie numérique mondiale ». Le cadre consistait en une déclaration des droits des consommateurs en matière de protection de la vie privée, assortie d’un principe de responsabilité affirmant le droit des consommateurs à voir leurs renseignements personnels traités par des entreprises qui ont adopté des mesures appropriées pour respecter les autres pratiques équitables en matière de renseignements personnels.

Le livre blanc d’Obama suggère également de créer des « codes de conduite » plus détaillés et élaborés par consensus auprès des partenaires visés, qui deviendraient exécutoires en vertu de la FTC Act.

Responsabilité — coup d’œil sur l’avenir

Comme vous pouvez le voir, le monde prépare le terrain pour la prochaine loi sur la responsabilité. De nombreuses administrations étudient et mettent actuellement à l’essai de nouvelles approches pour renforcer la responsabilité en matière de protection de données : pour la phase finale, non seulement les organisations remplissent leurs promesses, mais elles peuvent également le prouver. Le Canada étudiera bon nombre de ces idées et de ces expériences en vue de son deuxième examen de la LPRPDE. Sans aucun doute, nous avons hâte de participer à cette discussion avec de nombreux autres intervenants.

Conclusion

Avant de conclure, j’aimerais parler du rôle des conseillers juridiques d’entreprises et des défis qui vous attendent. De nombreux thèmes ont été abordés pendant cette conférence, et il existe tout autant de façons d’aborder la question de la responsabilité démontrable. Si vous en faites une question de conformité, vous ferez ce qui est exigé. Si vous considérez qu’il s’agit d’une question de gestion des risques juridiques, vous ferez ce qui est nécessaire. Si vous croyez qu’il s’agit d’une question de responsabilité sociale, vous ferez ce qui est bien. Si vous voyez cela comme une occasion d’innover, vous ferez quelque chose de mieux et de plus ingénieux que tous les autres, en vous distinguant et en jouant le rôle de leaders courageux et créatifs qui respectent la vie privée des consommateurs et qui sont dignes de confiance.

En ce 100e anniversaire de la tragédie du Titanic, je conclurai par une métaphore à laquelle vous pourrez réfléchir. Au cours du dernier siècle, de nombreuses analyses ont été faites et de nombreux documents ont été rédigés sur les constructeurs de navires de Belfast, les matériaux utilisés, la conception du navire et le nombre de canots de sauvetage à bord; l’absence de projecteurs et de systèmes radars modernes qui, aujourd’hui, auraient détecté l’iceberg plus tôt, même par une nuit sans lune; le capitaine au gouvernail qui, instinctivement, a essayé d’éviter l’iceberg, déchirant ainsi tout le côté du navire, plutôt que de foncer directement sur la masse de glace, comme il aurait dû le faire; le capitaine dont le leadership en temps de crise a été mis à rude épreuve, car il devait faire évacuer des milliers de passagers du navire, et nous savons maintenant que les survivants n’ont pas été nombreux…

En comparaison, par contre, personne n’a vraiment semblé se soucier de l’iceberg. Or, voici ce qui s’est passé. Loin d’être la masse immobile de glace que nous imaginons tous, l’iceberg se déplaçait, rempli d’une formidable énergie enfermée en lui, comme un ressort comprimé. Les scientifiques croient qu’après avoir passé des milliers années bien congelé sur la côte ouest du Groenland, il s’est détaché, probablement en 1910, a mis un an à quitter le fjord pour ensuite fendre les flots. Vers l’automne de 1911, il aurait été entraîné par le puissant courant de l’Ouest du Groenland, d’abord vers le nord, puis a dérivé sans but vers le sud, le long de la côte Est du Canada. Des milliers de morceaux de glace se sont détachés et ont fondu en raison des températures plus élevées le long de la côte, mais l’iceberg du Titanic a été entraîné vers des eaux plus froides et a poursuivi sa route vers le sud, parcourant 12 kilomètres par jour, pendant plusieurs semaines, au‑delà des Grands Bancs, puis vers les voies de circulation de l’Atlantique, où le Titanic a connu son destin tragique le 15 avril 1912.

« La responsabilité n’attend pas une défaillance du système8. » Elle prévoit les risques bien avant qu’ils ne se matérialisent. Aucun processus statique de détection du risque ne pouvait prévoir la présence de cet iceberg à ce moment‑là. Seul un processus dynamique d’anticipation, de prévoyance et d’étroite surveillance établi longtemps à l’avance aurait pu aider à éviter le danger.

Merci.

Date de modification :