La protection de la vie privée : Perspectives canadiennes

Commentaires à l’occasion du 20e Congrès annuel de l’Association sur l’accès et la protection de l’information (AAPI)

Le 25 avril 2012
Québec (Québec)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Je tiens à vous remercier de cette aimable invitation. Il me fait toujours plaisir de revenir à Québec pour retrouver mes amis et collègues de l’Association sur l’accès et la protection de l’information. (...)

Je retrouve également à Québec des amis et anciens collègues de la Commission d’accès à l’information, qui célèbre ses 30 ans cette année. (...)

À titre de professionnels de l’accès et de la protection des renseignements personnels, vous savez que le droit à la vie privée se retrouve au cœur de tous les grands enjeux de l’heure. Les questions de vie privée transpercent les secteurs économiques et les champs d’activité, et font fi des limites territoriales.

Je voudrais profiter du temps qui m’est accordé ce matin pour vous parler de certains travaux du Commissariat à la protection de la vie privée du Canada qui ont une portée nationale ou internationale. En premier lieu, j’aborderai la question du projet de Règlement européen sur la protection des données personnelles, et ce que ce projet signifie pour le Canada. Ensuite, je dirai quelques mots sur les dossiers chauds que nous surveillons du côté de la sécurité publique.

Projet de Règlement européen

J’entreprends donc ce tour d’horizon en disant quelques mots sur le cadre de protection des renseignements personnels en Europe, et sur l’impact que son renouvellement pourrait avoir de notre côté de l’Atlantique.

Nous savons tous que de nos jours, le commerce s’arrête de moins en moins à la frontière, que ce soit à la frontière entre deux provinces ou entre deux États. Le Commissariat fédéral hérite du devoir de protéger les renseignements personnels de tous les consommateurs lorsqu’ils vont au-delà de la frontière du Canada, ou celle d’une province dotée de sa propre législation sur le secteur privé.

C’est pourquoi nous suivons avec intérêt le projet de renouvellement du cadre européen de protection des données personnelles, lancé par la commissaire européenne chargée de la justice, Viviane Reding.

Je vous situe d’abord dans le contexte actuel : la Commission européenne a émis en 1995 la Directive sur la protection des données personnelles. Tout comme la loi québécoise sur la protection des renseignements personnels dans le secteur privé, qui est entrée en vigueur l’année précédente [le 1er janvier 1994], la Directive européenne reflète les principes phares qui ont guidé l’élaboration de lois subséquentes ailleurs au monde. Fondée sur les huit principes des lignes directrices de l’OCDE [adoptées en 1980], la Directive européenne vise à harmoniser les normes des États membres afin que les données personnelles des citoyens de l’Union européenne soient protégées, notamment lorsqu’elles se retrouvent à l’étranger.

En ce qui concerne le commerce international, les données personnelles de citoyens de l’Union européenne ne peuvent être envoyées dans un pays tiers que si le cadre législatif du pays tiers a été jugé adéquat. La Loi sur la protection des renseignements personnels et les documents électroniques a été reconnue adéquate par la Commission européenne en 2001. La loi fédérale canadienne a été la première loi manifestement différente des lois de l’Union européenne à obtenir cette reconnaissance, et la première en dehors de l’Europe.

En janvier dernier, la Commission européenne a proposé une réforme globale des règles adoptées par l’Union européenne en 1995. Le projet de Règlement dévoilé en janvier dernier représente le principal élément du nouveau cadre à l’étude.

Le Règlement proposé diffère de la Directive actuelle d’abord par son statut juridique : alors que la Directive devait être transposée dans les textes législatifs des pays membres, le Règlement aurait force de droit en soi.

Cette différence fondamentale vise à remplir un objectif premier de la réforme du cadre européen, celui d’harmoniser la protection des données personnelles parmi les pays membres de l’Union européenne. En effet, l’expérience des 15 dernières années a mis en lumière l’importance de se doter de régimes de protection des données similaires, compatibles et pratiques.

Le deuxième objectif de la réforme du cadre européen est de renforcer la protection des droits individuels. Cet objectif est reflété par des dispositions telles le droit à l’oubli et la transférabilité des données. Les individus auront un meilleur accès à leurs données personnelles. Les pouvoirs en matière d’application des diverses autorités de protection des données seront plus uniformes et plus robustes, ce qui fera également avancer les droits individuels.

Le troisième objectif de la réforme du régime européen de protection des données personnelles est de réduire le fardeau procédural des sociétés qui font affaire dans les pays de l’Union européenne. Il va sans dire que l’uniformisation des lois parmi les États membres de l’Union européenne rendrait la vie plus facile aux entreprises qui font affaire dans ces États. D’autres éléments du cadre projeté vont également en ce sens, notamment l’allégement des exigences de déclaration du traitement des données aux autorités nationales.

Le projet de Règlement aurait également des conséquences sur les autorités en dehors des États membres de l’Union européenne. Tout d’abord, la possibilité de reconnaître le statut adéquat des lois infranationales d’États fédérés est mentionnée explicitement dans le Règlement projeté, alors qu’elle ne l’est pas dans la Directive.

À ce sujet, il y a quelques années, l’ancien président de la Commission d’accès à l’information, Me Jacques Saint-Laurent, et moi avons eu l’occasion de discuter longuement de la répartition des compétences entre le Canada et le Québec avec le Groupe de travail Article 29, alors que celui-ci examinait en 2009 la protection accordée aux renseignements personnels contenus dans la base de données ADAMS de l’Agence mondiale antidopage, située à Montréal. Bien que le Groupe de travail ait émis une opinion à ce sujet, la Commission européenne ne s’est toujours pas prononcée quant au caractère adéquat de la loi québécoise à ce chapitre. Nous osons espérer que la mention explicite des régimes infranationaux dans le projet de règlement traduit une volonté de clarifier davantage de telles situations.

Autre conséquence du régime projeté pour les autorités de protection des données en dehors de l’Europe : l’uniformisation des régimes nationaux, et surtout la désignation d’une seule autorité de protection des données de l’Union européenne comme interlocutrice pour les entreprises non européennes, facilitera grandement la coopération dans le cadre d’enquêtes conjointes.

Pour le reste, le cadre européen projeté demeurerait la norme d’excellence en matière de protection des renseignements personnels. Les multinationales qui font affaire partout au monde devront conformer leurs politiques de protection des renseignements personnels à cette norme rehaussée, ce qui aura pour effet d’améliorer le sort de tous leurs clients, peu importe où ils se retrouvent.

Le Commissariat fédéral s’inspire de ce renforcement proposé du régime européen dans ses propres efforts d’affermir le cadre normatif canadien.

Sécurité publique

Je passe maintenant à la seconde partie de mon exposé, où j’aborderai des enjeux de l’heure en matière de sécurité publique.

Depuis le 11 septembre 2001, les mesures visant à améliorer la sécurité ont augmenté progressivement. Il s’agit là d’un paradoxe : ces mesures qui visent à nous protéger le font trop souvent en empiétant sur nos libertés civiles, qui sont au cœur de cette intégrité que nous tentons de maintenir.

Le Commissariat à la protection de la vie privée du Canada examine les projets de loi et de programmes liés à la sécurité publique qui ont une incidence sur la protection de la vie privée à partir d’un cadre analytique ancré dans une démarche empirique pour déterminer de la nécessité réelle de leurs mesures et dans un cadre juridique pour en évaluer la légalité.

Je voudrais dire quelques mots au sujet de deux de ces initiatives ce matin, soit l’accord sur la sécurité à l’intérieur du périmètre canado-américain et le projet de loi C-30 sur l’accès légal.

Par-delà la frontière

En février 2011, le premier ministre Harper et le président Obama ont signé Par delà la frontière, une déclaration conjointe visant à faciliter les échanges commerciaux et améliorer la sécurité.

En juin 2011, le Commissariat fédéral a soumis des recommandations au gouvernement du Canada sur la protection des renseignements personnels dans le cadre d’un tel partenariat, qui impliquera nécessairement un échange accru de renseignements personnels sensibles d’un État à l’autre.

En décembre 2011, le Canada et les États-Unis ont diffusé un plan d’actionqui précise comment la déclaration sur la sécurité à l’intérieur du périmètre sera implantée. Un point central de ce plan d’action est l’engagement des deux partenaires à émettre avant le 31 mai 2012 un énoncé conjoint de principes sur la protection des renseignements personnels. Nous l’examinerons de près, ainsi que toutes les mesures qui découleront du Plan d’action.

En ce sens, au début du mois, Me Chartier et moi avons signé, avec nos homologues des autres provinces et territoires, une résolution qui exhorte le gouvernement à faire en sorte qu’aucun des programmes qui seront créés pour mettre en œuvre le plan d’action ne vienne compromettre les normes et les valeurs qui sous-tendent nos lois sur la protection de la vie privée.

Cette résolution conjointe comprend entre autres les recommandations suivantes :

  • Que toutes les initiatives qui découlent du plan d’action et qui incluent une cueillette de renseignements personnels prévoient des mécanismes de recours et de réparation appropriés;
  • Que le Parlement, les commissaires provinciaux et territoriaux, et les représentants de la société civile participent à la conception de ces initiatives;
  • Que les renseignements des Canadiennes et Canadiens soient conservés autant que possible en territoire canadien;
  • Que les nouvelles technologies de surveillance — les véhicules aériens sans pilote, par exemple — soient l’objet de mesures de contrôle et d’un cadre réglementaire adéquats.

Tous les programmes du gouvernement fédéral qui entraînent le traitement de données personnelles doivent faire l’objet d’une évaluation des facteurs relatifs à la vie privée qui nous est ensuite soumise pour examen. Par conséquent, tous les programmes fédéraux qui découleront de la mise en œuvre du plan d’action seront soumis à cet exercice. Nous soumettrons chacune des évaluations des facteurs relatifs à la vie privée que nous recevrons dans le cadre de Par-delà la frontière au modèle d’analyse empirique que j’ai décrit plus tôt, soit un modèle fondé sur un critère de légitimité et sur les principes d’équité dans le traitement de l’information.

Projet de loi sur l’accès légal

Un second dossier chaud que nous surveillons à partir d’Ottawa est celui du projet de loi C-30, visant à élargir les pouvoirs d’enquête des forces de l’ordre sur les réseaux électroniques. C’est à la fois un dossier chaud et un dossier de longue date, puisque les consultations initiales du gouvernement au sujet de l’accès légal ont commencé alors qu’on était encore au 20e siècle.

Le projet de loi actuel, C-30, a fait couler beaucoup d’encre après avoir été déposé au Parlement en février dernier. Nous avons eu l’occasion de le passer en revue et de le comparer à la dernière itération législative des mesures proposées, qui comprenait trois projets de loi distincts (C‑50, C‑51 et C‑52).

Nous avons été heureux de constater certaines améliorations par rapport aux projets de loi antérieurs, qui répondent en partie aux recommandations que nous avions formulées au Parlement précédent.

Toutefois, nous demeurons préoccupés par plusieurs aspects du projet de loi C-30. Je tiens à préciser qu’il ne s’agit pas de nouvelles préoccupations; nous avons fait part de ces inquiétudes au législateur à de nombreuses reprises quand nous avons commenté les projets de loi précédents sur l’accès légal.

Nous reconnaissons que l’avènement de nouvelles technologies de l’information entraîne de nouveaux défis de protection de la sécurité publique.

Or, les entraves aux droits fondamentaux et aux libertés civiles changent de manière fondamentale le rapport entre le citoyen et l’État — cet État qui les représente et est censé les protéger.

C’est pourquoi il est primordial que les pouvoirs de l’État ne fassent entrave aux libertés civiles que là où il est approprié et justifié de le faire, et ce, dans des circonstances bien délimitées, et sous le contrôle d’un encadrement très strict. Nous sommes d’ailleurs encouragés par la récente décision de la Cour suprême dans R. c. Tse. La décision stipule qu’un article du Code criminel, qui prévoit l’accès à des communications privées sans autorisation préalable dans des situations d’urgence, est inconstitutionnel.

Lorsque le projet de loi C-30 sera soumis à l’étude d’un comité, il me fera plaisir de faire part au Parlement de ces observations, une fois de plus.

Conclusion

Voilà qui termine mon tour d’horizon des enjeux de l’heure du point de vue d’Ottawa. Vous aurez remarqué au fil des exemples que j’ai donnés que le dénouement favorable de ces enjeux dépend souvent de la collaboration avec mes homologues provinciaux. Je tiens donc à remercier une fois de plus Me Chartier et les membres de la Commission d’accès à l’information pour la collégialité dont ils font preuve dans leurs échanges avec nous.

J’espère vous retrouver tous ce midi alors que l’Association sur l’accès et la protection de l’information lancera la trousse pédagogique qu’elle a préparée avec le soutien du Programme des contributions du Commissariat à la protection de la vie privée du Canada. J’ai eu la chance de voir le résultat de ce projet et c’est vraiment une réalisation de très haut calibre.

À tous, je vous souhaite deux excellentes journées de congrès.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :