Le tout ou la somme des parties : les défis de la protection de la vie privée à l'ère d'Internet

Commentaires dans le cadre du Quatrième Programme international sur la communication préalable transfrontalière et la protection des données de la Sedona Conference

Le 20 juin 2012
Toronto (Ontario)

Allocution prononcée par Daniel Caron
Conseiller juridique, Commissariat à la protection de la vie privée du Canada

(La version prononcée fait foi)

Bonjour à tous et à toutes. J'aimerais vous souhaiter la bienvenue à deux journées de franches discussions sur un bon nombre d'enjeux variés. Hello to you all and I would like from the outset to wish you a warm welcome to not only what I anticipate to be two days full of reflection and discussion, but also to Canada and to this magnificent city of Toronto.

L'un des principaux objectifs des discussions qui se dérouleront dans le cadre de la Sedona Conference consiste à élaborer une version canado-américaine du modèle européen des principes de communication préalable, de communication et de protection des données. D'après moi, cette initiative arrive à point nommé, non seulement parce qu'une version canadienne des principes s'inscrirait bien dans la foulée de la version européenne, mais aussi parce que l'impératif de la protection de la vie privée dans un monde de plus en plus interconnecté continue de soulever un nombre grandissant d'enjeux pertinents liés aux questions de juridiction.

La réalité de notre environnement interconnecté fait ressortir l'importance décroissante des frontières et l'importance croissante d'un renforcement de la coopération et de la coordination. En particulier, on reconnaît de plus en plus la nécessité d'assurer une plus grande « interopérabilité » entre les régimes de protection de la vie privée et de coordonner les efforts des autorités internationales de protection des données. L'interopérabilité tient vraiment à la façon dont différents régimes permettent d'aborder les enjeux d'une manière similaire mais non nécessairement identique. Autrement dit, il s'agit de créer à l'intention des entreprises des règles prévisibles et réalistes à partir de normes qui varient d'un pays à l'autre. Dans une certaine mesure, les principes du groupe de travail no 6 de Sedona incarnent précisément cette notion.

Le débat grandissant sur « l'interopérabilité » a vraiment été mis à l'avant-scène lors de la 33^e Conférence internationale des commissaires à la protection des données et de la vie privée, qui a eu lieu à Mexico au début de novembre 2011. À bien des égards, cette conférence sur le thème de la protection de la vie privée à l'ère de la mondialisation s'inscrivait dans le sillage de la conférence tenue deux ans plus tôt à Madrid, où plusieurs autorités internationales en matière de protection des données avaient adopté une résolution sur la coopération internationale. De nombreux participants à la conférence de Mexico avaient convenu de l'importance de la notion de l'interopérabilité et une résolution avait été adoptée sur la coordination, au niveau international, de l'application des lois de protection de la vie privée.

Je suis fasciné de voir comment les percées technologiques des dix dernières années ont suscité une approche plus collective et coopérative en matière de protection de la vie privée. Cette interconnexion croissante me rappelle un phénomène extraordinaire qui s'est produit récemment en Australie.

Plus tôt cette année, nous avons tous appris dans les médias que trois États australiens avaient subi des inondations d'une envergure historique. À Wagga Wagga, en Nouvelle-Galles du Sud, les eaux de la rivière Murrumbidgee ont atteint, semble-t-il, un niveau inégalé depuis 1844. La montée des eaux, qui a suscité beaucoup d'anxiété chez les habitants, a eu une conséquence très particulière. Pour se protéger contre les eaux, des milliers d'araignées-loups qui vivent sous terre ont recouvert d'une immense toile blanche les champs de la zone inondée. Je suis toujours ébahi de voir de si petites créatures construire si rapidement une structure aussi extraordinaire et complexe; c'est impressionnant à voir et je vous encourage tous (à moins que vous n'ayez la phobie des araignées, bien sûr) à regarder sur Internet des photos de cette toile géante.

Les spécialistes ont employé le terme « ballooning » (gonflement) pour décrire le comportement des araignées. Dans le but d'échapper aux eaux en crue, les araignées grimpent sur les hautes herbes et tissent des centaines de mètres de soie dans l'espoir qu'une rafale de vent emporte la toile et les transporte ainsi en lieu sûr. Cette toile est essentiellement le résultat des efforts collectifs déployés par les araignées pour se hisser au-dessus des eaux turbulentes.

Sans être amateur d'araignées, je trouve fascinant non seulement la taille de cette immense toile, mais aussi le fait qu'elle a été tissée avec une rapidité étonnante par une armée de petites araignées, en réaction à un changement du milieu environnant.

À mes yeux, « la toile d'araignée de Wagga Wagga » illustre bien le nouvel environnement profondément interconnecté dans lequel nous nous trouvons aujourd'hui et dans lequel les autorités en matière de protection des données font face à la vague croissante de questions relatives à la protection de la vie privée. Cet environnement interconnecté, qui occupe un territoire de plus en plus vaste, a pris forme de façon relativement rapide et il réunit des entités autrement isolées.

Tout comme l'environnement dans lequel œuvre les autorités en matière de protection des données, la toile d'araignée de Wagga Wagga constitue à proprement dire une immense couverture blanche composée d'un nombre éléments distincts qui apportent chacun une nuance unique. De même, des différences subsistent à l'échelle régionale et nationale dans la façon d'aborder les enjeux juridiques particuliers d'un monde de plus en plus interconnecté, y compris la protection de la vie privée. Prenons l'exemple de la loi fédérale qui régit la protection des renseignements personnels au Canada — la Loi sur la protection des renseignements personnels et les documents électroniques, désignée le plus souvent par le sigle LPRPDE. Tout comme la plupart des lois sur la protection de la vie privée en vigueur dans l'hémisphère occidental, cette loi repose en grande partie sur les principes établis par l'OCDE. Mais on observe certaines différences, par exemple entre la LPRPDE et la Directive de l'Union européenne sur la protection des données. En fait, j'ai suis confiant que nous ferons allusion à un grand nombre de ces différences aujourd'hui et demain.

Alors, à quoi le segment canadien de la toile d'araignée de Wagga Wagga ressemble-t-il? En ce qui a trait à la protection des données, la LPRPDE impose des obligations aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'activités commerciales. Au bout du compte, cette loi vise à établir un équilibre entre le besoin d'une entreprise d'utiliser des renseignements personnels pour offrir des services et des produits et le droit des personnes de contrôler la façon dont l'entreprise utilise leurs renseignements personnels.

La LPRPDE est unique en son genre; c'est la seule loi fédérale canadienne qui intègre l'ensemble d'un code type volontaire concernant la protection des renseignements personnels et qui en rend certaines parties obligatoires. La LPRPDE repose sur 10 principes de protection de la vie privée et, du fait qu'elle repose sur des principes et qu'elle est neutre sur le plan technologique, elle demeure pertinente pour aborder les répercussions sur la vie privée de nouvelles technologies qui n'existaient pas au moment qu'elle a été adoptée.

La LPRPDE est relativement jeune — promulguée en 2001, elle est entrée en vigueur dans son intégralité en 2004. Le Parlement s'est donné la possibilité de l'examiner tous les cinq ans, mais il n'a pas encore terminé son premier examen quinquennal. Le projet de loi C 12, qui est en première lecture à la Chambre des communes, prévoit plusieurs modifications à la LPRPDE à la lumière de son premier examen quinquennal — par exemple la notification obligatoire en cas d'atteinte à la vie privée et l'éclaircissement des dispositions se rapportant au consentement. En ce qui a trait à la circulation transfrontalière de renseignements personnels à des fins de communication préalable aux États-Unis, la LPRPDE constitue certainement un élément clé pour les organisations. Au cours des deux prochains jours, j'aborderai des aspects plus précis de la législation. Il sera intéressant d'analyser les différences juridiques et pratiques entre les contextes canadien et européen, puisque la Sedona Conference vise à élaborer une série de principes canado-américains sur la communication préalable transfrontalière et la protection de la vie privée.

J'aimerais souligner une caractéristique propre à la LPRPDE: elle cède le pas aux lois provinciales déclarées comme étant « essentiellement similaires ». En vertu de la LPRPDE, le gouverneur en conseil peut exclure une organisation, une catégorie d'organisations, une activité ou une catégorie d'activités de l'application de ses dispositions lorsque la loi provinciale est considérée comme essentiellement similaire. À l'heure actuelle, les lois de la Colombie-Britannique, de l'Alberta et du Québec régissant la protection des renseignements personnels sont reconnues comme essentiellement similaires, de même que les lois de l'Ontario et du Nouveau-Brunswick régissant la protection des renseignements personnels de la santé.

L'existence d'une législation essentiellement similaire ne signifie pas pour autant que les commissaires à la protection de la vie privée à la grandeur du Canada travaillent en vase clos. En fait, toute la notion d'interopérabilité analysée au niveau international est également pertinente dans le contexte canadien. Le Commissariat à la protection de la vie privée du Canada et les commissaires des provinces et des territoires travaillent ensemble pour assurer, dans la mesure où le permettent leurs lois respectives, une certaine uniformité dans l'application des lois sur la protection des renseignements personnels. Par le passé, le Commissariat que je représente et divers organismes provinciaux analogues ont publié conjointement des lignes directrices sur certains enjeux, y compris tout récemment un document d'orientation sur l'infonuagique à l'intention des petites et moyennes entreprises ainsi que sur le principe de responsabilité. De plus, à la suite de modifications apportées récemment à la LPRPDE, le Commissariat a maintenant le pouvoir de conclure des accords ou des ententes avec nos homologues internationaux pour communiquer des renseignements recueillis lors d'une enquête, dans certaines situations. Ces modifications facilitent la collaboration entre le Commissariat et des organismes analogues à l'internationale.

Il ne faut pas sous-estimer l'importance de cette collaboration avec nos homologues. Depuis le début de son mandat, la commissaire, Jennifer Stoddart, ne cesse de souligner l'importance de travailler avec ses homologues, tant au pays qu'à l'échelle internationale. Dans un esprit de dialogue et de collaboration sur la scène internationale, le Commissariat participe régulièrement aux réunions de l'OCDE et de l'APEC portant sur la protection de la vie privée. En outre, nous avons conclu avec d'autres autorités en matière de protection des données divers accords et ententes nous permettant de communiquer des renseignements et nous collaborons avec d'autres autorités sur des points précis d'application de la loi.

Alors que la toile d'araignée de Wagga Wagga a fini par disparaître quand les eaux se sont retirées, je suis d'avis que notre environnement international ne risque pas de subir le même sort et deviendra forcément de plus en plus interconnecté. Une interopérabilité accrue, une coopération plus étroite et des conseils essentiels sur la façon de résoudre les conflits de compétence possibles — tous ces éléments aideront les entreprises, les autorités en matière de protection des données et les tribunaux à relever les défis courants, ainsi que ceux qui se pointent à l'horizon.