La protection de la vie privée au Canada – Pour suivre l’évolution des normes mondiales

Commentaires à l’occasion de la Conférence de 2012 sur l’accès à l’information et la protection des renseignements personnels, organisée par l’Université de l’Alberta

Le 14 juin 2012
Edmonton (Alberta)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


J’aimerais tout d’abord vous exprimer tout le plaisir que me procure cette première visite en Alberta depuis la nomination de Mme Jill Clayton au poste de commissaire à l’information et à la protection de la vie privée.

Mme Clayton a œuvré pendant plusieurs années dans les domaines de l’accès à l’information et de la protection de la vie privée. Les Albertains ont beaucoup de chance de bénéficier d’une personne aussi expérimentée, énergique, raisonnable et accessible que Jill au poste de commissaire. Et la communauté des commissaires à la protection de la vie privée du Canada a aussi beaucoup de chance de la compter dans ses rangs.

En tant que commissaires, nous devons effectuer notre travail en toute conscience et dans le respect de nos domaines de compétence respectifs. Toutefois, lorsque les circonstances le justifient, nous ne devons pas laisser des considérations de champs d’application nous empêcher de nous soutenir les uns les autres ou de travailler en collaboration. En effet, nous ne devons jamais oublier que, même si l’application des lois qui protègent la vie privée relève de compétences diverses, la vie privée demeure une valeur universelle qui transcende les frontières.

En conséquence, compte tenu notamment de l’interconnectivité de l’économie mondiale, aucune loi, action ou décision n’existe vraiment de manière isolée. Tout ce qui se produit – dans une province, au pays ou à l’étranger – doit être envisagé dans cette optique. Qu’il s’agisse d’assurer à nos résidants ou citoyens un niveau de protection équivalent à celui dont jouissent nos voisins ou de favoriser l’accès de nos entreprises aux marchés, nos normes doivent s’adapter et suivre la cadence des divers acteurs mondiaux. Et ce concept est véritablement au cœur de l’allocution que je m’apprête à vous livrer.

Modifications proposées à la directive de l’Union européenne

De nos jours, la mondialisation du commerce fait en sorte que les renseignements personnels traversent de plus en plus les frontières, que ce soit entre les provinces, les pays ou les continents. Au Canada, la loi fédérale sur la protection de la vie privée encadre le transfert de renseignements personnels vers l’étranger ou entre les provinces. C’est principalement pour cette raison que le Commissariat à la protection de la vie privée du Canada a suivi de près la mise à jour proposée du régime européen de protection des données personnelles.

C’est en Europe qu’a vu le jour la législation sur la protection de la vie privée telle que nous la connaissons. La Directive sur la protection des données, émise par la Commission européenne en 1995, reflète les principes fondamentaux qui ont orienté la rédaction de presque toutes les lois subséquentes sur la scène mondiale. Généralement fondée sur les huit principes des Lignes directrices de l’OCDE régissant la protection de la vie privée, publiées en 1980, la directive avait pour but d’harmoniser les lois existantes des États membres, de manière à ce que les données personnelles des citoyens de l’Union européenne soient protégées, tant au sein de l’Union qu’à l’extérieur.

De nos jours, une organisation de l’Union européenne ne peut transmettre des données personnelles vers un pays tiers que si elle est en mesure de démontrer que ces données seront adéquatement protégées par le destinataire. Bien que cette exigence puisse faire l’objet d’un contrat, la meilleure façon d’y satisfaire est de traiter avec des entreprises installées dans des pays qui disposent de lois sur la protection de la vie privée jugées satisfaisantes par la Commission européenne. Par exemple, la Loi sur la protection des renseignements personnels et les documents électroniques a été jugée adéquate en 2001. Ce fut la première loi non européenne à obtenir cette reconnaissance.

En janvier dernier, la Commission européenne a proposé une réforme en profondeur des règles originales adoptées en 1995. Ce projet de règlement représente la principale composante du nouveau cadre proposé. L’un de ses objectifs premiers est de renforcer la protection des droits individuels, de sorte que les particuliers aient plus facilement accès à leurs données personnelles. Les pouvoirs exécutoires des divers organismes de protection des données seront plus uniformes et plus vigoureux, ce qui favorisera les droits individuels.

En résumé, au train où vont les choses, il semble que le cadre européen proposé demeurera la norme d’excellence mondiale en matière de protection des renseignements personnels. Les entreprises internationales devront adapter leurs politiques de protection des renseignements personnels afin de répondre à cette norme renforcée. En retour, elles bénéficieront d’un meilleur accès à l’un des marchés les plus importants du monde et leurs clients jouiront d’une meilleure protection de leurs données, où qu’ils soient.

Il est certain que le renforcement proposé nous inspirera dans la préparation du prochain examen parlementaire de la Loi sur la protection des renseignements personnels et les documents électroniques.

L’importance d’une loi fédérale efficace en matière de protection des données

Il n’y a pas que les changements législatifs apportés à travers le monde qui devraient retenir l’attention des autres gouvernements et organismes de protection des données. Nous devons aussi tenir compte des tendances systémiques qui influent sur la protection des données sur le marché, de même que de leurs effets sur le public. Permettez-moi d’attirer votre attention sur un exemple précis, soit les atteintes à la sécurité des renseignements personnels.

Il convient de mentionner un rapport de Verizon publié plus tôt cette année. Après avoir étudié 855 atteintes survenues dans 36 pays en 2011, lesquelles ont porté atteinte à plus de 174 millions de dossiers, Verizon a déterminé que la grande majorité des incidents – soit 81 % – étaient liés au piratage informatique. De plus, on avait eu recours à des logiciels malveillants dans 69 % des cas.

Enfin – et les chiffres qui suivent pourront vous sembler décourageants ou inspirants, selon le point de vue – les experts de Verizon ont conclu qu’environ 97 % des attaques n’étaient pas très raffinées, et que des contrôles de niveau simple ou intermédiaire auraient permis de les prévenir.

Un pessimiste serait tenté de croire que trop peu d’entreprises considèrent que « la protection des renseignements personnels est rentable » et, par conséquent, ne prennent pas les mesures nécessaires pour les protéger. Mais de l’autre bout de la lorgnette, on peut penser que des lois visant le signalement obligatoire des atteintes à la sécurité des renseignements personnels pourraient favoriser un plus grand souci de la protection des données. Autrement dit, il est possible que le poids de la loi et l’éclat des projecteurs incitent un plus grand nombre d’entreprises à mettre en œuvre les « contrôles de niveau simple ou intermédiaire » que j’ai mentionnés plus tôt.

Examinons la situation ici même, en Alberta. Non seulement le Commissariat à l’information et à la protection de la vie privée a le pouvoir de rendre des ordonnances, mais l’Alberta est aussi la seule province du Canada où le secteur privé est visé par des dispositions exhaustives en matière de signalement obligatoire des atteintes à la sécurité des renseignements personnels. D’ailleurs, l’une des plus récentes enquêtes menées par le Commissariat auprès des entreprises révèle que, comparativement aux autres provinces, c’est en Alberta que les entreprises sont les plus susceptibles d’offrir à leurs employés une formation en matière de protection des renseignements personnels. Il ne s’agit peut-être pas d’une coïncidence. La même enquête démontre également que les entreprises albertaines étaient aussi les plus susceptibles d’obliger leurs employés à changer leur mot de passe une fois par mois.

En ce qui concerne la mise en place d’une obligation de signaler les atteintes à la sécurité des renseignements personnels, l’Alberta est à l’avant-garde d’une tendance qui gagne en popularité. Aux États-Unis, presque tous les États disposent de lois en matière de signalement des atteintes. Au sein de l’Union européenne, il est proposé que les organisations soient tenues de signaler toute atteinte aux autorités sans retard indu et, dans la mesure du possible, pas plus de 24 heures après en avoir pris conscience. Par ailleurs, un avis serait envoyé au besoin à un particulier pour l’informer qu’une atteinte serait susceptible de mettre en danger la sécurité de ses données personnelles ou de porter atteinte à sa vie privée. En Colombie-Britannique, la commissaire Denham a souligné la nécessité pour la province d’adopter une loi visant le signalement des atteintes.

Pendant ce temps, sur la scène fédérale, le gouvernement a déposé le projet de loi C-12, qui a pour objet d’établir pour tout le Canada une forme d’exigence relativement au signalement des atteintes. J’aimerais souligner toutefois que les changements proposés découlent de recommandations faites aux parlementaires en 2006. La première fois que ces propositions ont été présentées, j’espérais qu’elles constituent un premier pas dans la bonne direction. Cependant, beaucoup d’eau a coulé sous les ponts depuis, de sorte que les propositions de signalement des atteintes du projet de loi C-12 ne sont tout simplement plus à jour.

De nos jours, les Canadiens passent de plus en plus de temps en ligne. De plus en plus de données sont transmises et stockées en ligne, et la cybercriminalité suscite une inquiétude croissante. Ces dernières années, nous avons été témoins de très graves atteintes à la sécurité des renseignements personnels de grande envergure. Et nous en verrons d’autres. Dans cette optique, le projet de loi C-12 n’est peut-être plus suffisant pour mettre en place les mesures incitatives nécessaires pour que les organisations envisagent plus sérieusement la protection des renseignements personnels.

Au vu de cette réalité, il faudrait vraiment songer à donner plus de mordant aux propositions actuelles. C’est pourquoi j’encourage vivement le gouvernement fédéral à explorer de véritables mesures d’application qui sauraient mieux convaincre les organisations de protéger adéquatement les renseignements personnels.

Pour l’instant, et contrairement à l’Alberta, le Commissariat n’a pas le pouvoir de rendre des ordonnances. En conséquence, si le projet de loi C-12 devait être adopté, nous serions probablement forcés de traîner des entreprises récalcitrantes devant les tribunaux afin qu’elles nous informent des atteintes à la sécurité des renseignements personnels, et je ne parle même pas d’informer leurs clients. Compte tenu de la vitesse à laquelle circule l’information de nos jours, les Canadiens n’en tireront sans doute pas un très grand réconfort.

Entre autres lacunes, le projet de loi C-12 ne précise pas de délai de signalement. Et comme le rapport Verizon l’a révélé, étant donné que nombre d’atteintes à la sécurité des renseignements personnels sont le fait d’organisations criminelles, il faudrait envisager de modifier ce projet de loi afin d’y inclure le signalement à l’organisme d’application de la loi approprié.

Il convient également de noter que nombre d’États américains ont adopté des lois – dont certaines sanctionnent sévèrement les atteintes – tandis que l’Union européenne envisage des amendes pouvant atteindre un million d’euros à l’encontre des entreprises coupables d’infractions aux règles de protection des renseignements personnels.

En résumé, si les tendances actuelles se maintiennent, tant sur le marché qu’au sein des organes législatifs de nos principaux partenaires commerciaux, les mesures minimales et déjà désuètes prises par les autorités fédérales canadiennes feront piètre figure en comparaison et la majorité des Canadiens se trouveront floués sur le plan de la protection de leurs renseignements personnels.

Récents jugements de la Cour d’appel de l’Alberta

J’aimerais maintenant quitter les scènes nationale et internationale pour vous entretenir quelques instants d’un jugement relativement récent de la Cour d’appel de l’Alberta au sujet des détaillants de meubles Leon’s. Je donnerai tout d’abord quelques détails pour ceux d’entre vous qui ne seraient pas au courant. Toute l’affaire découle du fait que l’entreprise a pour politique d’exiger que les clients fournissent le numéro de leur permis de conduire et de leur plaque d’immatriculation lorsqu’ils prennent livraison de meubles.

Opposé à cette pratique, un client a porté plainte à la commissaire à l’information et à la protection de la vie privée de l’Alberta. L’enquête qui a suivi a permis de déterminer que cette pratique contrevenait à la loi albertaine sur la protection des renseignements personnels. La question a finalement été soumise à la Cour d’appel de l’Alberta qui a rejeté la plupart des conclusions du Commissariat.

La Cour a estimé qu’un numéro de plaque d’immatriculation n’est pas un renseignement personnel parce qu’il se rapporte à un objet plutôt qu’à une personne.

À mon avis, il serait préoccupant qu’une telle vision des renseignements personnels soit adoptée ailleurs. Il s’agit effectivement d’une vision très étroite comparativement aux visions adoptées par la Cour fédérale et la Cour suprême du Canada. De plus, ce jugement survient alors que l’Union européenne et la Federal Trade Commission des États-Unis adoptent des définitions plus larges de la notion de renseignements personnels.

Au bout du compte, si le Canada devait adopter une vision plus étroite, que ce soit devant les tribunaux ou dans les lois futures, il pourrait se trouver en divergence avec certains de ses principaux partenaires commerciaux, de sorte que les Canadiens deviendraient des citoyens de seconde zone sur la scène mondiale, en matière de sécurité des renseignements personnels.

Je me dois également de mentionner l’affaire de l’Union internationale des travailleurs et travailleuses unis de l’alimentation et du commerce du Canada contre le Commissariat à l’information et à la protection de la vie privée de l’Alberta, dans laquelle la Cour d’appel de l’Alberta a rendu un jugement, en avril dernier, affirmant que l’application la loi albertaine sur la protection des renseignements personnels à un syndicat qui filmait des gens franchissant une ligne de piquets de grève allait à l’encontre du droit à la liberté d’expression du syndicat. La semaine dernière, le Commissariat de l’Alberta annonçait son intention de porter ce jugement en appel. Je suis heureuse d’annoncer aujourd’hui que nous appuierons cette autorisation d’appel, car nous sommes très inquiets des répercussions de ce jugement sur le statut de la législation canadienne en matière de protection de la vie privée. Nous offrons donc tout notre appui à la commissaire Clayton et à son équipe dans leurs efforts pour affirmer et maintenir la protection de la vie privée et des renseignements personnels de tous les Albertains.

Publication de documents d’orientation conjoints

Des initiatives conjointes comme la publication de documents d’orientation nous ramènent à l’une des remarques que j’ai faites en introduction. À titre de commissaires de partout au pays, il est essentiel que nous respections nos compétences respectives, sans toutefois nous laisser confiner dans leurs limites. En plus de collaborer à la protection de la vie privée, nous pouvons nous associer – comme nous l’avons déjà fait – pour fournir aux organisations des outils et une orientation qui les aideront à se conformer aux lois canadiennes régissant la protection de la vie privée dans le secteur privé et ainsi mieux protéger les renseignements personnels des Canadiens.

En avril, le Commissariat s’est joint aux commissariats de l’Alberta et de la Colombie-Britannique pour publier le document d’orientation intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité. Ce document destiné aux organisations du secteur privé présente les éléments de base à considérer au moment d’élaborer un programme de gestion des renseignements personnels. Plus particulièrement, le document donne de l’information sur l’élaboration de programmes qui respectent les exigences de reddition de comptes des lois canadiennes sur la protection de la vie privée.

Je suis également heureuse de vous parler d’un nouveau document d’orientation que nous lançons aujourd’hui. Ce document, qui est une réalisation conjointe du Commissariat que je dirige ainsi que de ceux de l’Alberta et de la Colombie-Britannique, a été conçu pour aider les petites et moyennes entreprises (PME) à comprendre leurs responsabilités en matière de protection de la vie privée lorsqu’elles ont recours à des services infonuagiques afin d’entreposer, de communiquer et de traiter des renseignements personnels. Il les aide aussi à réfléchir à ce qu’implique le recours à de tels services sur le plan de la protection de la vie privée.

De manière générale, plus une entreprise est petite, moins elle est susceptible d’avoir les ressources nécessaires pour embaucher un conseiller et un responsable de la protection des renseignements personnels à temps plein, ou de mettre en œuvre de coûteuses solutions reposant sur les technologies de l’information. Par ailleurs, les PME ont plus tendance à se tourner vers des fournisseurs de services infonuagiques pour obtenir des services qu’elles n’auraient pas les moyens de mettre en œuvre ou de maintenir autrement.

Comme vous le savez sans doute, l’allusion au mot « nuage », dans l’expression « services infonuagiques », est trompeuse. D’une certaine façon, les services et les données qu’une entreprise y stocke peuvent sembler flotter et suivre les usagers où qu’ils se trouvent. Toutefois, les données doivent forcément être stockées quelque part, sur un serveur fixe – ou encore sur plusieurs serveurs situés en divers pays. Notre document d’orientation explique clairement le fait que les entreprises sont responsables de la sécurité des données qu’elles stockent sur des serveurs infonuagiques et qu’elles doivent s’assurer qu’elles jouissent du même niveau de protection que si elles étaient stockées en territoire canadien.

Dans l’ensemble, notre document ne tente pas de dissuader les entreprises d’avoir recours aux services infonuagiques. Il encourage plutôt toutes les entreprises à s’informer avant de s’engager, par exemple, en s’assurant que les données qu’elles stockeront ne seront pas divulguées à des tiers ou mises en péril par une sécurité relâchée. J’invite chacun d’entre vous à prendre connaissance de notre document; vous le trouverez sur le site du Commissariat de même que sur ceux de nos partenaires de l’Alberta et de la Colombie-Britannique.

Conclusion

En terminant, permettez-moi de reprendre les propos du premier commissaire fédéral à la protection de la vie privée, feu John Grace, dans l’un de nos premiers rapports annuels :

« Les protecteurs de la vie privée ne peuvent pas se laisser paralyser par l’ordre établi ni relâcher leur vigilance. Nouveaux, urgents, variés et ingénieux, les dangers qui menacent la vie privée émanent d’une technologie qui ne sommeille jamais et qui est rarement interdite. »

Bien qu’ils aient été écrits il y a plus d’un quart de siècle, ces propos sont toujours d’actualité. En fait, les dangers auxquels M. Grace fait référence n’ont fait que s’intensifier avec la montée des géants numériques et la disparition graduelle des frontières qui limitaient le commerce et les réseaux.

Dans un tel monde, il importe de déployer le maximum d’efforts afin que nos dispositifs de protection de la vie privée demeurent à la hauteur de ce qui se fait dans le reste du monde, et particulièrement chez les meilleurs dans le domaine. Nous devons nous engager activement dans la course afin d’éviter que la vie privée des Canadiens se retrouve isolée sur les basses terres alors que les marées s’élèvent de plus en plus.

Merci.

Date de modification :