Gouvernement ouvert et nécessité de concilier transparence institutionnelle et protection de la vie privée
Commentaire dans le cadre de la XXVIIe conférence Canada-Allemagne
Le 1er octobre 2012
Ottawa (Ontario)
Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
(La version prononcée fait foi)
Introduction
Tout d'abord, j'aimerais remercier les organisateurs de cette conférence d'avoir donné au sujet d'un gouvernement ouvert et transparent une place aussi importante dans les travaux de la conférence. En résumé, disons que, pour bien des gens, cette question renvoie à la nécessité de trouver un juste équilibre entre deux valeurs essentielles pour la démocratie – la protection de la vie privée et l'accès à l'information.
Personnellement, pour avoir occupé à la fois les fonctions de présidente de la Commission d'accès à l'information du Québec et celles de commissaire à la protection de la vie privée du Canada, j'aime à penser qu'il ne s'agit pas tant d'établir un équilibre que de trouver les moyens de maintenir un respect mutuel entre ces deux valeurs importantes.
Internet fait maintenant partie de la vie quotidienne au Canada et en Allemagne, ainsi que dans de nombreuses autres démocraties avancées. De plus en plus de renseignements se transmettent en ligne et, naturellement, les citoyens aspirent à avoir accès à encore plus de données d'un simple clic. Dans ce contexte, la mise en place et la gestion d'un gouvernement ouvert et transparent est un sujet important pour le présent et l'avenir de démocraties comme les nôtres.
Établir un juste équilibre entre les valeurs démocratiques essentielles
À mon avis, le Canada est bien placé pour faire face à l'avenir d'un gouvernement ouvert et transparent, tant sur le plan des institutions que sur le plan juridique. Sur le plan juridique, la Cour suprême du Canada a décrit notre Loi sur l'accès à l'information et notre Loi sur la protection des renseignements personnels comme « un code homogène dont les dispositions complémentaires peuvent et doivent être interprétées de façon harmonieuse ».
Sur le plan institutionnel, les commissaires provinciaux et fédéral responsables de l'accès à l'information et de la protection de la vie privée ont signé, en 2010, une résolution conjointe à l'appui de la transparence du gouvernement. Nous nous sommes concertés pour appuyer la transparence gouvernementale comme moyen d'améliorer à la fois la reddition de comptes et l'ouverture, tout en reconnaissant que la transparence doit respecter la vie privée.
Cette déclaration était importante et le demeure, car l'ingéniosité technologique qui permet à toute personne d'avoir accès à une immense quantité de données sur son téléphone mobile ou son ordinateur personnel met aussi en lumière le besoin d'une vigilance accrue sur le plan du respect et de la protection de la vie privée.
Possibilités et défis à l'ère de l'information
Autrement dit, ce qui facilite la vie d'un chercheur spécialisé en quête de renseignements bien précis engendre également le risque de divulgation par des personnes qui pourraient chercher à noircir une réputation ou par d'autres qui sont tout simplement indiscrètes. En tant qu'ancienne historienne, je me rappelle bien les longues heures que j'ai passées à fouiller dans les archives à la recherche de documents précis et à scruter des répertoires de microfiches à l'aide d'une visionneuse. Mais grâce à la puissance de la technologie actuelle, qui crée des moteurs de recherche pratiques et intuitifs, cette scène appartient de plus en plus à une époque révolue.
Du point de vue de la protection de la vie privée, à mesure que cette scène s'estompe dans le passé, « l'obscurité relative » offerte par les archives papier se dissipe également. Pour préciser ma pensée, permettez-moi de citer l'affaire AB c. Canada. Dans ce dossier de la Cour fédérale, il est question d'un homme séropositif qui avait obtenu la nationalité canadienne à la suite d'un contrôle judiciaire. Autrefois, on n'aurait guère accordé d'importance au fait que son nom de famille et son dossier médical figurent dans les archives du tribunal. Mais la décision a été affichée en ligne. Et, le temps que cet homme prenne conscience du fait que le dossier aurait dû être anonymisé, l'affaire était déjà citée par un autre juge, si bien qu'il n'a pas réussi à obtenir que cet élément d'information soit effacé du dossier.
Autrement dit, il y a des années, pour retrouver ces données personnelles sensibles, il aurait fallu faire l'effort de se présenter au palais de justice et de retrouver le dossier. Aujourd'hui, il suffit de quelques clics pour accéder à cette information, n'importe où et à n'importe quelle heure.
Un gouvernement ouvert et transparent dans le canada d'aujourd'hui et la nécessité de faire preuve de vigilance
Cet exemple est tiré des tribunaux, et nous ne sommes pas ici pour parler du principe de transparence du tribunal, mais plutôt de la transparence du gouvernement. Je trouve seulement que cet exemple illustre bien les risques à la protection des renseignements personnels associés aux données ouvertes.
Je devrais ajouter naturellement que, dans le Canada d'aujourd'hui, le Plan d'action du Canada pour un gouvernement ouvert s'applique en grande partie à la diffusion de données structurées, notamment des cartes terrestres et marines et de l'information statistique. Il vise également la diffusion proactive de l'information publiée en vertu de la Loi sur l'accès à l'information, que les responsables ministériels de l'accès à l'information et de la protection de la vie privée passent en revue pour s'assurer que les renseignements personnels ont bien été caviardés. Somme toute, du moins à première vue, le plan d'action ne suscite pas pour l'heure d'importantes préoccupations concernant la protection de la vie privée.
Le commissariat suit toutefois de près l'évolution de la situation, simplement parce que les supports de stockage de ces données ouvertes évoluent rapidement et que cette évolution est encore accélérée par les quantités toujours croissantes de données qui sont créées et par la puissance de calcul exponentielle des ordinateurs.
Habituellement, lorsque des séries de données sont diffusées, certains renseignements sont supprimés pour les rendre anonymes. Mais lorsque ces données sont analysées parallèlement à d'autres données rendues publiques, il y a un risque de repersonnalisation, c'est-à-dire d'ouvrir la porte à l'identification des personnes – et ce risque croît constamment en raison des tendances que je viens de signaler. Paul Ohm, universitaire spécialiste de la protection de la vie privée, a décrit dans le détail cette difficulté dans un article portant un titre particulièrement provocateur : « The Failure of Anonymization ». Dans cet article, il écrit que « les données peuvent être utiles ou parfaitement anonymes, mais jamais les deux à la fois » [traduction]. Il fait également observer que, au cours des dix dernières années, les ordinateurs sont devenus beaucoup plus rapides… Et, plus important encore, la quantité de renseignements personnels que les gens livrent délibérément en ligne, en particulier sur les réseaux sociaux, a connu une croissance phénoménale.
Pour donner une idée de ce que nous appelons les « mégadonnées », il suffit de jeter un coup d'œil sur une étude menée par la société IDC (International Data Corporation), qui estimait que plus de 1,8 zettaoctet d'information serait créé et stocké en 2011. Pour ceux qui sont curieux, mentionnons que 1,8 zettaoctet de données équivaut à 200 milliards de films en HD d'une durée de deux heures. Pour regarder tous ces films, il faudrait qu'une personne y consacre 47 millions d'années, sans interruption. Et, selon l'étude, il ne s'agit là que des données d'une année. Or, on y indiquait également que le nombre de serveurs à l'échelle mondiale serait multiplié par 10 au cours de la prochaine décennie.
Dans un tel contexte, nous ne pouvons garantir la protection des renseignements personnels en nous contentant de supprimer les identifiants des séries de données – un fait étayé par de nombreux exemples à l'issue malheureuse. Je n'en citerai qu'un seul. En 2006, Netflix a diffusé les données anonymisées de plus de 100 millions de cotes de films émanant de près de 500 000 clients. Des chercheurs de l'Université du Texas à Austin ont alors regroupé ces dossiers avec d'autres cotes de film obtenues auprès de l'Internet Movie Database.
Il ressort de cette expérience qu'un individu qui connaîtrait déjà l'identité d'une personne incluse dans les dossiers ainsi que quelques-uns des films qu'elle a aimés ou n'a pas aimés pourrait utiliser la série de données de Netflix pour retracer tous les films qu'elle avait vus avant 2005.
Que faire?
Si je devais conclure mon allocution maintenant, j'aurais l'impression de vous laisser en plan devant l'antinomie entre un avertissement sur les limites de l'anonymisation et l'appui du commissariat à un gouvernement ouvert comme moyen de favoriser la transparence et la reddition de comptes. En d'autres termes, « que peuvent faire les organisations? »
Je tiens à souligner en premier lieu que, malgré les difficultés, plusieurs estiment que tout est loin d'être perdu en ce qui a trait à l'anonymisation. En fait, le titulaire de la Chaire de recherche du Canada sur les données électroniques en matière de santé, Khaled El-Emam, a souligné dans certains de ses travaux que, dans la mesure où l'on associe les techniques appropriées de désidentification à des procédures de mesure du risque de recoupement, la désidentification demeure un outil essentiel dans la protection de la vie privée.
En ce qui concerne le travail quotidien des organisations, les risques en matière de vie privée associés à un gouvernement ouvert soulignent la nécessité d'intégrer les facteurs relatifs à la protection des renseignements personnels à la planification tout au long des processus. Cela signifie que la protection de la vie privée doit être un facteur de premier plan lorsqu'il s'agit de concevoir de nouvelles initiatives de collecte de données.
Lorsqu'elles déterminent le besoin réel de recueillir certaines données, les organisations devraient prendre en compte les attentes de transparence de la nouvelle ère tout en appréhendant le défi de la désidentification. Cela signifie également que les évaluations des facteurs relatifs à la vie privée devraient être analysées et prises en compte en amont, aux étapes de planification et de conception, plutôt que traitées en aval après coup, comme des annexes, des ajouts ou des cases à cocher. Les enjeux que j'ai abordés renvoient également au besoin de formation permanente en matière de protection de la vie privée au sein des organisations.
Au commissariat, nous sommes allés plus loin; nous avons fait équipe avec les commissariats provinciaux dans l'élaboration de lignes directrices sur l'affichage en ligne des décisions des tribunaux administratifs. Bien que ces lignes directrices aient été élaborées expressément à l'intention des tribunaux, la plupart des organisations pourraient s'inspirer des pratiques exemplaires suggérées.
Les lignes directrices exhortent les tribunaux à prévenir les parties des mesures qu'elles peuvent prendre pour identifier et protéger les renseignements personnels avant une audience publique. Par exemple, il n'y a habituellement aucune raison justifiant que les gens indiquent leur numéro d'assurance sociale dans les documents qu'ils présentent.
Lorsque des noms de personnes doivent figurer sur les documents affichés, il conviendrait d'avoir recours à des protocoles d'exclusion des robots informatiques de sorte que les recherches par Internet n'affichent pas nécessairement des liens conduisant à la décision. Naturellement, nous avons également incité les tribunaux à réfléchir sur la question de savoir si une version anonymisée de la décision pourrait être une solution de rechange viable à la divulgation complète.
Je recommanderais aussi aux organisations de consulter le Draft Anonymisation Code of Practice publié plus tôt cette année par le Bureau du commissaire à l'information du Royaume-Uni. L'intérêt de ce document tient, en partie, à ce qu'il émane d'un organisme ayant un double mandat de protection des données et de liberté de l'information. Le Code a pour ambition d'aider les organisations à déterminer les principaux enjeux qu'il leur faut examiner lorsqu'elles envisagent d'anonymiser des données personnelles. Il fournit aussi des avis sur les moyens appropriés de le faire et sur la meilleure façon de gérer le risque relatif à la diffusion de renseignements anonymisés.
Conclusion
Pour conclure, je tiens une fois encore à féliciter les organisateurs qui ne se sont pas contentés de mettre au programme le sujet d'un gouvernement ouvert, mais en ont fait un sujet de premier plan. Je suis reconnaissante d'avoir eu la chance d'entendre aujourd'hui Corrine Charrette, de même que Pierre Boucher et Matthi Bolte. Précisons en outre que je suis heureuse que notre débat soit animé par l'ambassadeur Wnendt. Et, dans la foulée de la présente conférence, je compte bien amorcer un dialogue approfondi avec le milieu fédéral de même qu'avec la communauté mondiale sur cette question importante. Je vous remercie.
- Date de modification :