Exploration des principales limites de la législation sur la vie privée

Commentaires à la Faculté de droit de l’Université McGill

Le 21 janvier 2013
Montréal (Québec)

Allocution prononcée par Patricia Kosseim
Avocate générale principale et directrice générale, Direction des services juridiques, des politiques et de la recherche,
et Kirk Shannon
conseiller juridique, Direction des services juridiques, des politiques et de la recherche

(Le texte prononcé fait foi)


Introduction

Merci Jonathan pour cette aimable présentation. Et au nom de la commissaire à la protection de la vie privée, je remercie la Faculté de droit de l’Université McGill, l’alma mater de la commissaire et la mienne, pour son invitation. J’aimerais vous présenter Kirk Shannon, de notre équipe des Services juridiques, qui est aussi un diplômé de la faculté de droit de McGill. Je me réjouis d’être de retour au tribunal-école, dont je garde de très bons souvenirs!

Mon allocution de ce soir portera sur certains enjeux difficiles liés à la vie privée auxquels nous faisons face dans un environnement qui change rapidement.

Vie privée et application de la loi

Ici au Canada, il ne fait aucun doute que le droit à la vie privée est un concept juridique estimé qui mérite la plus grande protection de l’État. Ce droit était un enjeu fondamental dans l’affaire Hunter c. Southam, l’une des premières causes importantes fondées sur la Charte canadienne à faire l’objet d’un arrêt de la Cour suprême du Canada. En 1984, dans le jugement unanime rédigé au nom de la Cour, le juge en chef Brian Dickson a conclu que la protection de la vie privée fait partie intégrante des protections prévues dans la Charte contre les fouilles, les perquisitions ou les saisies abusives.

Pourtant, les individus ne peuvent avoir que des attentes raisonnables quant au droit à la vie privée. Il ne s’agit pas d’un droit absolu. Comme l’a fait remarquer le juge Dickson :

« (…) il faut apprécier si, dans une situation donnée, le droit du public de ne pas être importuné par le gouvernement doit céder le pas au droit du gouvernement de s’immiscer dans la vie privée des particuliers afin de réaliser ses fins et, notamment, d’assurer l’application de la loi. »

L’équilibre entre un droit à la vie privée véritable et une sécurité efficace reste une question fondamentale dans toutes les sociétés ouvertes et démocratiques. Il demeure à la base de nombreux enjeux liés à la vie privée aujourd’hui. Il est vrai que les choses ont beaucoup changé depuis l’affaire Semayne en 1605. La Chambre des Lords avait alors énoncé pour la première fois le principe, souvent cité depuis, selon lequel « un homme est maître chez lui ». En citant cette cause désormais célèbre, le juge LaForest et d’autres juges de la Cour suprême ont ajouté que « le souverain lui-même n’a pas le droit de passer outre à l’inviolabilité du domicile sans avoir préalablement obtenu un mandat judiciaire ».

Accès autorisé aux renseignements sur les abonnés

Mais comment transposer ce principe dans le contexte moderne de l’application de la loi? Le Parlement étudie actuellement la question d’un « accès autorisé » aux renseignements sur les abonnés des entreprises de télécommunication dans le cadre du projet de loi C 30. Ce projet de loi vise à permettre aux organismes chargés de l’application de la loi d’avoir accès, sans mandat, aux renseignements sur les abonnés des fournisseurs de services Internet, y compris leur adresse IP, qui est l’équivalent en ligne de l’empreinte digitale. Le projet de loi C 30 est la plus récente expression d’une volonté de longue date de moderniser les instruments juridiques de l’État pour la surveillance de renseignements confidentiels et l’accès à ces renseignements et d’en élargir la portée.

Le Commissariat comprend les problèmes pratiques auxquels font face les organismes chargés de l’application de la loi et de la sécurité nationale à l’ère moderne des technologies des communications en pleine évolution.

Mais le projet de loi C 30 suscite de grandes inquiétudes concernant le droit à la vie privée. En particulier, nous avons des craintes en ce qui touche l’accès de l’État, sans mandat, aux renseignements sur les abonnés, y compris leur adresse IP. Dans le libellé actuel du projet de loi C 30, les vastes pouvoirs des organismes chargés de l’application de la loi ne seraient pas assez limités ou ne seraient pas soumis à une supervision judiciaire adéquate. En fait, le pouvoir d’exiger la production de certains renseignements personnels pourrait être utilisé contre n’importe quel citoyen respectueux des lois.

Interception des messages texte

L’affaire Telus c. La Reine, entendue par la Cour suprême du Canada en octobre, est un autre exemple d’accès autorisé dans l’univers moderne des services de télécommunication. Cet arrêt pourrait avoir des répercussions profondes sur la vie privée des personnes qui se servent d’un outil que bien des personnes ici présentes ont probablement adopté – c’est-à-dire la messagerie texte.

Le type de mandat que doit utiliser l’État pour avoir accès aux messages texte dans le cadre d’une enquête est au cœur du problème : un mandat général ou une autorisation d’écoute électronique (qui est l’autorisation la plus difficile à obtenir). Bien entendu, il s’agit d’un argument juridique très technique relevant du Code criminel, mais la question n’en a pas moins des répercussions importantes sur la vie privée..

Dans cette affaire, le problème est survenu lorsque la police d’Owen Sound, en Ontario, a présenté à Telus un mandat général et une ordonnance d’assistance obligeant l’entreprise à lui remettre, chaque jour, tous les messages texte échangés entre deux abonnés. Le mandat avait été délivré de façon prospective – par exemple, il visait l’accès aux messages texte envoyés dans les deux semaines suivant la date de l’ordonnance. Telus devait remettre les textes à la police quelques heures après leur transmission, qu’ils aient été reçus ou non par son client.

Telus était d’avis que l’État devait obtenir une autorisation d’écoute électronique en vertu du Code criminel parce que, dans les faits, la police « intercepterait » les messages en temps réel en y ayant accès avant même les destinataires dans certains cas. Cette autorisation est beaucoup plus difficile à obtenir.

Or, contrairement à certains de ses concurrents, Telus archive systématiquement sur ses serveurs les messages texte de ses clients. C’est pourquoi le gouvernement a fait valoir que la demande de la police ne constituait pas une « interception » de communications privées en temps réel, mais plutôt simplement une demande d’accès à des données stockées, pour laquelle il suffit d’avoir un mandat général, qui est plus facile à obtenir.

Un juge de la Cour supérieure de l’Ontario a accepté l’argument du gouvernement et Telus a été autorisée à interjeter appel directement auprès de la Cour suprême.

L’argument principal qu’a fait valoir l’Association canadienne des libertés civiles dans son intervention va comme suit :

Un message texte est-il comme une conversation téléphonique? Oui. Si la police obtient vos messages texte de la compagnie de téléphone qui les transmet, cela équivaut-il à écouter vos conversations téléphoniques? Oui. La protection de la vie privée devrait-elle être la même dans les deux cas? Oui. [Traduction]

Il s’agit d’un autre exemple qui fait ressortir la difficulté constante de vraiment protéger la vie privée des gens tout en donnant aux organismes chargés de l’application de la loi les outils adéquats pour faire leur travail.

Protection des renseignements personnels dans le secteur privé

En plus des enjeux liés à la protection de la vie privée qui opposent l’État aux individus, le Commissariat a également le mandat de réglementer le droit à la vie privée dans le secteur privé. L’un des problèmes les plus urgents que nous devons régler consiste à déterminer les mesures à prendre pour protéger les enfants et les jeunes contre les risques découlant des nouvelles technologies de l’information – des technologies que n’imaginaient même pas les rédacteurs des lois canadiennes de protection de la vie privée.

Protection des enfants et des jeunes contre la cyberintimidation

La Cour suprême du Canada a exprimé ses inquiétudes concernant la cyberintimidation dans un arrêt rendu en septembre dernier. Dans cette cause, l’affaire A.B. c. Bragg Communications, le Commissariat agissait comme intervenant. Il s’agissait d’un cas de cyberintimidation contre une fille de 15 ans par une personne qui avait créé un faux profil Facebook en utilisant une variante de son nom. Le profil contenait des commentaires peu flatteurs et certaines mentions sexuellement explicites.

Avec l’aide de son père, A.B. a voulu connaître l’identité de la personne associée à l’adresse IP correspondant au faux profil. Facebook était disposée à lui communiquer l’adresse IP de la personne, mais A.B. avait aussi besoin que l’entreprise de télécommunications, Bragg Inc. dans cette affaire, lui révèle l’identité de la personne. L’entreprise a invoqué les obligations lui incombant en vertu de la législation fédérale de protection de la vie privée. Elle était prête à révéler l’identité de la personne, mais seulement sur présentation d’une ordonnance d’un tribunal. A.B. a alors déposé à la cour une motion préliminaire demandant une ordonnance de divulgation. Elle a aussi demandé au tribunal de l’autoriser à présenter sa motion sous le pseudonyme « A.B. » et de rendre une ordonnance de non-publication du contenu du faux profil Facebook.

Deux tribunaux inférieurs ont accueilli favorablement la demande de divulgation, mais ils ont rejeté les demandes d’anonymat et de délivrance d’une ordonnance de non-publication. Ils ont fait valoir qu’A.B. n’avait pas fait la preuve d’un préjudice particulier pour justifier ces demandes.

Dans le jugement unanime rédigé au nom de la Cour, la juge Abella a exprimé son désaccord avec les tribunaux inférieurs. La Cour a jugé qu’il n’était pas nécessaire de faire la preuve d’un préjudice particulier dans ce cas. La juge Abella a conclu que les deux tribunaux n’avaient pas pris en compte le préjudice objectivement discernable subi par A.B. Selon le jugement, « il est logique d’inférer que la cyberintimidation peut causer un préjudice aux enfants ». C’est le simple bon sens.

La Cour suprême du Canada a conclu que les intérêts du droit à la vie privée et de la protection des enfants contre la cyberintimidation justifient les restrictions à la liberté de la presse et au principe d’audience publique. D’après son évaluation, le fait de garantir à A.B. son anonymat causerait un tort minime à la liberté de la presse et au principe de l’audience publique, en comparaison des effets bénéfiques de la protection des enfants contre le préjudice plus grand encore de la cyberintimidation, les risques de revictimisation au moment de la publication et l’effet paralysant potentiel sur les enfants victimes qui souhaitent avoir accès à la justice.

Cet arrêt de la Cour suprême montre que les tribunaux commencent à comprendre et à accepter le contexte de l’ère d’Internet. Les nouvelles technologies de l’information facilitent un accès pratiquement illimité aux renseignements personnels par un vaste public qui réclame un accès toujours plus grand et qui a bien des motifs pour utiliser ces renseignements. Nous devons exploiter le potentiel des technologies pour améliorer notre niveau de vie, mettre au jour de nouvelles formes de savoir et établir de nouvelles relations, mais nous devons aussi être attentifs aux effets nocifs qu’elles peuvent avoir, précisément parce que le contenu en ligne peut être distribué à grande échelle, rapidement et de façon anonyme. Les conséquences peuvent être profondes et durables pour les Canadiens les plus vulnérables, en particulier les enfants et les jeunes.

Protection des renseignements personnels en ligne

 Mais les enfants et les jeunes ne sont pas les seuls à être vulnérables aux risques d’atteinte à la vie privée en ligne. Il y a une dizaine d’années, les renseignements personnels se limitaient à des ensembles de données déterminés et bien définis. Aujourd’hui, la notion de renseignements personnels est beaucoup plus vaste. Certains prétendent même que l’adresse IP propre à un réseau donné ou l’identifiant unique d’un téléphone intelligent constituent des renseignements personnels. De nombreux experts demandent aujourd’hui quand les renseignements sur des « objets » peuvent aussi être considérés comme des renseignements à l’objet des personnes, d’autant plus que les gens sont de plus en plus reliés à leurs appareils sur le plan personnel, matériel, émotionnel et géographique. Et quand des renseignements disparates recueillis à des fins de publicité comportementale en ligne peuvent-ils être considérés comme des renseignements personnels? Les tribunaux ne se sont pas encore penchés sur ces questions.

Cela dit, la Cour suprême examinera en juin prochain la définition de la notion de renseignements personnels lorsqu’elle entendra une cause de la Cour d’appel de l’Alberta : l’affaire Travailleurs et travailleuses unis de l’alimentation et du commerce (TUAC).

Au cours d’une grève des travailleurs d’un casino, le syndicat a filmé et photographié les personnes qui franchissaient le piquet de grève et menacé de publier sur Internet les images des briseurs de grève. Des plaintes ont été déposées auprès du Commissariat à l’information et à la protection de la vie privée de l’Alberta pour utilisation abusive de renseignements personnels.

La Cour d’appel a jugé à l’unanimité que les dispositions de la loi albertaine sur la protection des renseignements personnels brimaient la liberté d’expression du syndicat garantie à l’alinéa 2b) de la Charte canadienne des droits et libertés. La Cour d’appel a conclu que le droit à la vie privée protégé dans cette affaire est minime. Les personnes filmées se trouvaient dans un lieu public, et les attentes sont considérées comme très faibles dans les circonstances :

Les citoyens ne peuvent pas (…) s’attendre raisonnablement à vivre leur vie de façon totalement anonyme. Les gens ne disposent pas du droit de garder secret tout ce qu’ils font en public, comme franchir un piquet de grève. Il n’existe aucun droit reconnu de refuser le consentement à la diffusion de renseignements relatifs à une conduite désagréable. Tenir les gens responsables de ce qu’ils font ou ne font pas en public fait partie du droit à la liberté d’expression. [Traduction]

Le Commissariat est d’accord avec la position adoptée par le Commissariat à l’information et à la protection de la vie privée de l’Alberta sur cette question.

Nous sommes favorables à une définition plus large de la notion de renseignements personnels, particulièrement à l’ère des mégadonnées où le volume de renseignements téléchargés et communiqués prend des proportions que nous n’aurions pu imaginer. L’accumulation de données est stupéfiante, mais ce n’est rien en comparaison de la capacité technologique croissante qui permet de filtrer les données, d’établir des relations entre elles et d’en dégager des tendances.

Teresa Scassa est titulaire de la Chaire de recherche du Canada en droit de l’information. D’après elle, plus cette capacité augmente et plus les renseignements sont conservés longtemps, plus il est probable que les renseignements seront couplés et traités avec d’autres données. En conséquence, « l’identification qui est impossible aujourd’hui pourrait bien être simple demain ». Si les tribunaux ou le législateur adoptent une définition étroite de la notion de renseignements personnels, ça pourrait désavantager les Canadiens en réduisant la protection de leur vie privée dans une société planétaire où d’autres pays adoptent une définition plus large.

Recours juridiques en cas d’atteinte à la vie privée

Au niveau fédéral, le Canada tire déjà de l’arrière par rapport à de nombreux autres pays en ce qui concerne sa capacité (ou son incapacité) de prévenir les pratiques abusives en matière de vie privée. Dans le secteur privé, le Commissariat peut malheureusement utiliser son arme la plus efficace uniquement après coup, lorsque nous rendons publics nos rapports d’enquête et nos conclusions. Nous pouvons demander à la Cour fédérale de réexaminer une affaire, mais la loi ne nous donne pas le pouvoir de rendre des ordonnances, d’imposer des sanctions ou des amendes ou encore d’accorder des dommages-intérêts pour non-respect de la loi. Autrement dit, nous n’avons pas toute la gamme d’outils nécessaires pour vraiment empêcher que ces situations se reproduisent ou, mieux encore, qu’elles surviennent une première fois.

Dans le secteur public, la Loi sur la protection des renseignements personnels ne prévoit aucun recours judiciaire en cas d’utilisation ou de divulgation abusives des renseignements personnels conservés par les institutions fédérales.

Mais d’autres options juridiques possibles très différentes des recours prévus par la loi commencent à retenir l’attention.

Intrusion dans l’intimité

Mentionnons notamment les recours en common law pour un acte délictuel portant atteinte à la vie privée d’une personne.

La décision rendue il y a un an par la Cour d’appel de l’Ontario dans l’affaire Jones c. Tsige est un exemple intéressant. Cette affaire met en cause deux femmes travaillant pour la même banque. La défenderesse, Tsige, a accédé à plusieurs reprises aux renseignements bancaires de la plaignante, Jones, qui était l’ex-femme de son conjoint actuel.

La défenderesse n’a pas utilisé les renseignements et elle ne les a communiqués à personne. Par ailleurs, la plaignante n’a subi aucune perte financière.

Mais dans une décision unanime, la Cour d’appel de l’Ontario a expliqué que la plaignante avait subi un préjudice et elle lui a accordé 10 000 $ à titre de dommages-intérêts.

Invoquant une tendance dans la jurisprudence et la protection constitutionnelle de la vie privée reconnue par la Cour suprême du Canada, la Cour d’appel a reconnu le droit d’intenter une poursuite civile en dommages-intérêts pour atteinte à la vie privée. Elle a intitulé cette nouvelle cause d’action en common law « intrusion dans l’intimité ».

Recours collectifs pour atteinte à la vie privée

Les recours collectifs visant à indemniser un groupe de personnes en cas d’atteinte grave à la vie privée suscitent un intérêt croissant. C’est le deuxième instrument juridique potentiel à signaler.

Jusqu’à maintenant, l’expérience canadienne semble indiquer que cet instrument ne ferait pas forcément évoluer le droit à la vie privée. De façon générale, les recours collectifs pour atteinte à la vie privée sont relativement nouveaux au Canada.

Par ailleurs, les tribunaux canadiens n’ont pas encore étudié les questions de fond se rapportant à l’autorisation ou au bien-fondé d’un recours collectif pour atteinte à la vie privée. Comme vous le savez peut-être, plusieurs recours collectifs de cette nature ont été déposés à la suite de la perte de renseignements personnels survenue récemment à RHDCC. Les renseignements personnels de plus d’un demi-million de personnes qui avaient obtenu un prêt d’études canadien entre 2000 et 2006. Les causes d’action invoquées sont notamment la négligence, le non-respect d’obligations contractuelles, l’abus de confiance et l’intrusion dans l’intimité.

Il faut déterminer si les recours collectifs peuvent constituer un instrument efficace pour compenser un préjudice subi par les personnes victimes d’atteinte à la vie privée. C’est une question clé pour le Commissariat. Et il est tout aussi important de savoir si les indemnités ou règlements qui découlent des recours collectifs faisant jurisprudence finiront par retenir l’attention des défendeurs et des autres organisations et institutions qui se trouvent dans une situation similaire. À terme, la question est la suivante : qu’est-ce qui incitera les organisations et les institutions à investir davantage pour protéger la vie privée et réduire le risque que les incidents se reproduisent – les répercussions financières ou l’atteinte à leur réputation?

Conclusion

Permettez-nous de vous faire part de quelques réflexions pour conclure. D’abord, il ne fait aucun doute que les technologies de l’information et les autres innovations à venir dans le domaine des télécommunications peuvent susciter des progrès très importants pour la société. Mais nous devons considérer toute la portée de cette capacité technologique et de ses effets croissants.

À certains égards, Internet et les médias sociaux rapprochent les gens comme aucun outil ne l’avait fait auparavant. Par ailleurs, ils créent un sentiment de fausse intimité. Autrement dit, les gens interagissent avec leurs appareils lorsqu’ils sont manifestement seuls. Ils ont peut-être l’intention de communiquer des renseignements personnels à certains amis ou à des fins particulières, mais leurs propos pourraient bien en réalité être conservés à jamais et vus par des millions de personnes.

D’après certains observateurs, les médias sociaux ont aidé des populations entières à se soulever contre des régimes autoritaires, mais les activités des annonceurs qui ont recours à la publicité comportementale en ligne placent presque tous les utilisateurs sous une forme constante de surveillance sournoise.

Les organismes chargés de l’application de la loi ont exprimé leurs inquiétudes du fait que les criminels utilisent les nouvelles technologies pour faciliter leurs activités. Mais la solution qu’ils préconisent pourrait leur donner plein accès aux autres renseignements personnels de citoyens respectueux des lois, qu’ils soient accusés d’un crime ou non, et ce, sans aucune surveillance judiciaire.

Enfin, les possibilités offertes par les technologies facilitent les communications, le commerce, le marketing et l’application de la loi. Mais ces possibilités doivent évoluer de pair avec un débat public approfondi concernant leurs effets potentiels sur la société, y compris sur le droit à la vie privée. C’est ce que le Commissariat s’efforce de faire chaque jour, non pas pour freiner l’innovation technologique, mais plutôt pour y ajouter de la valeur et pour encourager les organisations, les gouvernements et les citoyens à trouver des solutions équilibrées qui servent l’intérêt public.

Merci et nous avons hâte de répondre à vos questions.

Date de modification :