Dix ans au poste de commissaire à la vie privée du Canada – regard sur le passé et l’avenir

Commentaire dans le cadre du Symposium sur la protection de la vie privée 2013 organisé par le chapitre canadien de l’International Association of Privacy Professionals (IAPP)

Le 23 mai 2013
Toronto (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)

---

Introduction

J’en suis bel et bien rendue à ma dixième année comme commissaire à la protection de la vie privée du Canada. C’est avec une certaine tristesse que je prends la parole pour la dernière fois en qualité de commissaire dans le cadre du Symposium sur la protection de la vie privée organisé par le chapitre canadien de l’IAPP. Ce genre d’activités m’a permis de rencontrer une foule de personnes extraordinaires  – des gens réfléchis et passionnés qui ont véritablement à cœur de protéger la vie privée.

Mon mandat prendra fin en décembre et il sera temps pour moi de relever de nouveaux défis.

Dans cette optique, je profite de l’occasion qui m’est offerte aujourd’hui pour jeter un regard en arrière et me pencher sur les enseignements des dix dernières années. Mais je veux aussi jeter un regard vers l’avenir en livrant quelques réflexions sur la façon de protéger la vie privée dans un contexte où les défis seront plus grands encore.

Le Commissariat publie aujourd’hui un exposé de principes qui explore ces enjeux et qui propose une feuille de route pour la modernisation de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) de manière à permettre de relever plus efficacement les défis actuels et futurs liés à la protection de la vie privée.

Depuis quelque temps déjà, il m’apparaît de plus en plus clairement que la LPRPDE ne permet pas de relever les défis d’aujourd’hui – et encore moins ceux de demain.

Il faut actualiser la législation canadienne en matière de protection des renseignements personnels dans le secteur privé afin de mieux protéger le droit à la vie privée des Canadiennes et des Canadiens et de préserver la confiance des consommateurs à l’égard de l’économie numérique.

Notre nouvel exposé de principes porte sur la façon de moderniser la LPRPDE pour renforcer les pouvoirs d’application, rendre obligatoire le signalement des atteintes à la vie privée et accroître les mesures axées sur les principes de responsabilité et de transparence. C’est ce sujet que j’aimerais aborder avec vous aujourd’hui.

Le monde de la protection de la vie privée a évolué – et la législation canadienne doit suivre le rythme.

Regard sur le passé

Tout d’abord, permettez-moi de dire quelques mots sur la transformation radicale du contexte dans lequel s’inscrit la vie privée.

Au moment de l’entrée en vigueur de la LPRPDE, en 2001 – et même lorsque j’ai été nommée commissaire à la protection de la vie privée en 2003 – Facebook, Twitter et l’application Street View de Google n’existaient pas. Les téléphones n’étaient pas intelligents. Le « nuage » ne faisait que bouleverser nos projets de pique-nique. Et l’analyse prédictive relevait en grande partie du domaine du tarot.

En très peu de temps, les technologies de l’information ont connu des avancées prodigieuses et ouvert la voie à une expansion majeure du rôle que jouent les renseignements personnels dans l’économie numérique.

Les renseignements personnels sont considérés comme le carburant de l’économie numérique. À mesure que les organisations trouvent de nouveaux moyens de mettre à profit cette information, les risques d’atteinte à la vie privée augmentent de façon exponentielle.

Certaines organisations qui recueillent d’énormes quantités de renseignements personnels sur les Canadiennes et les Canadiens sont devenues des géants du marché des données, des quasi-monopoles qui peuvent en apprendre beaucoup sur les intérêts, les habitudes et les opinions de chaque internaute.

Certaines des plus grandes entreprises se targuent d’avoir des centaines de millions de clients ou d’utilisateurs – par exemple, Facebook, qui compte un milliard d’utilisateurs dans le monde, dont près de 20 millions au Canada, et Twitter, qui en a plus de 500 millions.

Même les petites organisations, en particulier celles qui sont présentes en ligne, sont de plus en plus nombreuses à recueillir de grandes quantités de renseignements personnels. Pensez à Instagram : avant son acquisition par Facebook l’an dernier, ce site d’hébergement de photos comptait seulement 13 employés mais cinq millions d’utilisateurs.

La plupart des entreprises qui offrent des services liés à Internet le font gratuitement. Mais elles sont de plus en plus contraintes de trouver des façons de rentabiliser ces services.

L’une des options qu’elles semblent privilégier consiste à gagner de l’argent grâce aux renseignements personnels qu’elles recueillent – pour établir le profil des utilisateurs, mieux les comprendre, diffuser des publicités ou commercialiser leurs services.

En somme – comme d’autres l’ont affirmé avant moi –, si nous ne payons pas le produit, nous sommes le produit.

Dans l’environnement actuel hautement concurrentiel, les entreprises traquent et analysent nos habitudes personnelles et les détails qui nous concernent, et elles s’en servent pour dresser notre profil.

De plus en plus, de nombreuses entreprises cherchent à combiner les données en ligne et hors ligne pour mieux connaître leurs clients et prévoir leurs besoins et leurs désirs – parfois avant même que les clients en soient eux-mêmes conscients.

Nouveaux risques d’atteinte à la vie privée

De nombreux défis auxquels nous devons faire face découlent du fait que les technologies évoluent si rapidement que certaines organisations ne parviennent pas à cerner et à régler de façon proactive les problèmes relatifs à la vie privée. Elles sont trop pressées de lancer leurs produits et services sur le marché afin de demeurer concurrentielles.

Des entreprises utilisent les renseignements personnels de façons auxquelles on n’aurait jamais pensé auparavant – et ouvrent ainsi la voie à de graves atteintes à la vie privée. Les renseignements personnels sont utilisés à des fins que les consommateurs ne prévoient pas  – ou auxquelles ils ne consentent pas sciemment. La grande complexité de l’environnement fait en sorte qu’il est difficile de consentir de façon véritable et valable à ces utilisations.

Selon un sondage dont les résultats ont été rendus publics par le Commissariat plus tôt cette année, 56 % des Canadiens estiment ne pas savoir comment les nouvelles technologies portent atteinte à leur vie privée. Cela représente une hausse par rapport à l’année 2000, où seulement 47 % des Canadiens avaient indiqué la même chose.

Pendant ce temps, les lacunes au chapitre de la sécurité peuvent accroître le risque de perte ou de vol de renseignements personnels.

Nous avons vu certaines grandes entreprises faire preuve de négligence dans la protection des renseignements personnels – encore, encore et encore. Nous observons un nombre croissant d’atteintes à la sécurité des renseignements personnels, des cas de plus en plus graves, parce qu’un très grand nombre d’organisations recueillent des quantités prodigieuses de renseignements personnels.

Vers la fin de 2012, le Commissariat a mené une étude sur les fuites de données sur le Web. Nos travaux ont révélé que les responsables d’un site Web testé sur quatre ne savaient pas qu’ils communiquaient de l’information à des tiers ou n’indiquaient pas clairement aux utilisateurs que leurs renseignements personnels étaient transmis à des fournisseurs de services. C’est troublant.

De nouveaux défis et la LPRPDE

Ces exemples – et de nombreux autres – m’amènent à conclure que notre législation ne contient pas d’incitatifs assez efficaces pour que les organisations prennent vraiment en compte la protection de la vie privée au moment d’évaluer le risque.

À l’heure actuelle, les avancées technologiques sont très rapides, la capacité d’analyse des données est de plus en plus grande et la mondialisation s’accélère. Compte tenu de ces tendances, il est évident que la LPRPDE, sous sa forme actuelle, permettra encore moins de protéger notre vie privée au cours des années à venir.

L’équilibre que cette loi est censée établir fait de plus en plus défaut.

Je l’affirme car je sais que les efforts du Commissariat ont été fructueuxdans bien des dossiers.

Mais la LPRPDE, qui a été conçue pour favoriser l’établissement et le maintien d’un équilibre entre le droit à la vie privée et les besoins commerciaux légitimes, permet de moins en moins d’atteindre cet objectif.

Pour l’instant, j’ai un seul pouvoir réel, et c’est celui de communiquer le nom des entreprises. Cela me permet de renseigner les Canadiennes et les Canadiens sur les sites avec lesquels ils pourraient vouloir – ou ne pas vouloir – faire affaire. Mais comment les Canadiennes et les Canadiens peuvent-ils choisir de privilégier les entreprises qui ont mis en place de bonnes pratiques en matière de protection de la vie privée alors qu’un nombre de plus en plus réduit d’organisations possèdent des quantités croissantes de renseignements personnels les concernant? 

Les choses évoluent et la législation doit suivre le rythme.

De plus, je peux vous dire qu’il faut souvent déployer des efforts héroïques pour obtenir gain de cause – c’est-à-dire pour amener les organisations à améliorer leurs pratiques en matière de protection de la vie privée.

Notre organisation est modeste et elle dispose de ressources limitées. Or, il faut souvent investir des ressources considérables pour susciter des changements.

Trop nombreuses sont les organisations qui se contentent de se pencher sur les problèmes de protection de la vie privée après que le Commissariat a fait enquête sur leurs pratiques ou qu’il les a vérifiées – et parfois seulement après que l’affaire a été entendue par les tribunaux.

Il existe sûrement une meilleure façon de faire – en imposant à l’organisation le fardeau de s’acquitter de ses obligations et d’en faire la preuve – dès le départ, avant que les problèmes surviennent.

Au moment du premier examen de la LPRPDE, qui remonte à 2006, le Commissariat n’a réclamé aucun renforcement de ses pouvoirs d’application de la loi. Pour deux raisons : premièrement, la loi était encore relativement jeune et nous considérions qu’il fallait davantage de temps pour évaluer son efficacité; deuxièmement, le Commissariat était encore en reconstruction après des années difficiles.

Comme nous l’avons expliqué à l’époque, le moment n’était pas propice à un changement aussi fondamental dans les mécanismes d’application de la loi.

Depuis, nous avons fait beaucoup de chemin. Pendant ces années, le Commissariat s’est efforcé de tirer le maximum des pouvoirs que la LPRPDE lui confère.

Nous avons fait enquête sur des milliers de plaintes de particuliers. J’ai moi-même lancé 38 enquêtes sur des plaintes. Nous avons effectué trois vérifications, communiqué le nom d’entreprises dans l’intérêt du public 32 fois et lancé 17 poursuites en justice en vertu de la LPRPDE.

Ce que l’expérience nous a appris, au fil des ans, c’est qu’il faut des incitatifs plus forts pour que les organisations investissent dans la protection de la vie privée et qu’elles l’intègrent efficacement dès le début de la conception d’un tout nouveau produit ou service.

Vous avez été nombreux à discuter avec des employés du Commissariat des priorités concurrentes au sein de vos organisations. À titre de chefs de la protection des renseignements personnels, vous souhaitez que l’on appuie vos programmes de conformité parce que vous êtes convaincus de l’importance du droit à la vie privée. Mais je comprends qu’il est parfois difficile de convaincre les gens aux échelons supérieurs de la chaîne de gestion.

Naturellement, nous vous répondrons que la protection des données est rentable. Et c’est un fait.

Mais il vous faut des raisons plus convaincantes – des incitatifs – pour que les autres soutiennent vos efforts.

Réforme de la LPRPDE

Notre nouvel exposé de principes indique la forme que pourraient prendre ces incitatifs.

Un régime d’application de la loi plus musclé permettrait d’encourager les organisations à faire de la protection de la vie privée une véritable priorité. En outre, des principes de responsabilité et de transparence plus solides donneraient l’assurance que les renseignements personnels des Canadiennes et des Canadiens sont protégés comme il se doit dans un environnement complexe et interconnecté à l’échelle planétaire.

D’autres pays se sont déjà engagés dans cette voie. Il est important que la LPRPDE évolue pour que le Canada soit au même niveau que le reste du monde.

Je vais maintenant vous donner un aperçu des changements qui s’imposent selon nous.

Renforcement des pouvoirs d’application de la loi

Premièrement, nous recommandons une réforme de la LPRPDE pour renforcer les pouvoirs d’application de la loi.

Plusieurs options, seules ou ensemble, pourraient renforcer le modèle d’application actuel et favoriser une conformité accrue.

Par exemple, nous pourrions prévoir dans la loi une série explicite de dommages-intérêts qui seraient administrés par la Cour fédérale en vertu de l’article 16 de la LPRPDE.

Une autre option consisterait à habiliter le commissaire à la protection de la vie privée à ordonner aux organisations de faire ou de cesser de faire quelque chose de manière à se conformer à la LPRPDE. 

Une troisième option serait de conférer au commissaire le pouvoir d’imposer des sanctions pécuniaires administratives lorsque les circonstances le justifient.

Notre exposé de principes explore toutes ces options de façon assez détaillée. Vous remarquerez peut-être que nous n’exprimons aucune préférence. La décision revient au Parlement. Nous alimentons simplement le débat public sur ces enjeux.

À notre avis, n’importe laquelle de ces options favoriserait la conformité, mais l’incidence sur le mode d’organisation et de fonctionnement du Commissariat varie d’un modèle à l’autre. Nous reviendrons un autre jour sur ces questions opérationnelles.

Soyons clairs. La réforme ne signifierait pas la fin de la collaboration entre le Commissariat à la protection de la vie privée du Canada et les organisations. Différents modèles d’application peuvent convenir à différents rôles.

Signalement des atteintes à la vie privée

Notre deuxième recommandation vise à faire la lumière sur les atteintes à la vie privée.

Plus précisément, il faudrait obliger les organisations à signaler au commissaire les atteintes à la sécurité des renseignements personnels et à informer les personnes concernées lorsque la situation le justifie. Cela permettrait de prendre des mesures d’atténuation appropriées en temps utile. Le modèle plus vigoureux s’appliquerait aussi à ces atteintes.

La situation actuelle est inacceptable. Les organisations qui signalent de leur plein gré les atteintes à la vie privée – ce qui est tout à fait louable – risquent de voir leur réputation entachée et de devoir payer pour réparer les pots cassés. Par contre, celles qui gardent ces atteintes sous silence peuvent parfois sans tirer sans conséquences négatives pour leur réputation ou leur chiffre d’affaires. (À moins que les atteintes ne soient révélées au grand jour, naturellement. Le cas échéant, je dirais que leur réputation en souffrira beaucoup plus.)

C’est vraiment deux poids, deux mesures. Il est temps de remédier à cette iniquité afin que tout le monde soit sur un pied d’égalité.

Accroissement de la transparence

Notre troisième recommandation vise à améliorer la transparence et à lever le voile sur la communication autorisée de renseignements personnels.

En vertu de la LPRPDE, les organismes d’application de la loi et les institutions gouvernementales peuvent obtenir des renseignements personnels sans le consentement de l’intéressé à diverses fins, notamment la sécurité nationale, l’application de n’importe quelle loi du Canada, d’une province ou d’un pays étranger, ou la réalisation d’enquêtes ou la collecte de renseignements se rapportant à l’application de ces lois.

Quelques organisations rendent publics des « rapports sur les mesures de transparence », mais nous n’avons généralement aucune idée de la fréquence à laquelle de tels rapports sont rendus publics ou des circonstances entourant leur diffusion. D’ailleurs, personne d’autre ne sait à quoi s’en tenir. Nous savons cependant que les services policiers invoquent régulièrement ces dispositions pour obtenir auprès de fournisseurs de services Internet l’information qui leur permettra de faire le lien entre des adresses IP et des individus.

Une plus grande transparence s’impose pour montrer comment, pourquoi et à quelle fréquence ce mécanisme est utilisé.

Les organisations devraient être tenues de rendre public le nombre de communications de renseignements qu’elles font aux organismes d’application de la loi en vertu du sous-alinéa 7(3)(c.1) de la LPRPDE, à l’insu de l’individu et sans son consentement et sans mandat.

En modifiant la LPRPDE pour imposer une telle transparence, on ferait la lumière sur la fréquence et l’utilisation de cette exception extraordinaire.

À mon avis, cette mesure concorde avec les attentes des Canadiennes et des Canadiens, qui se sont déclarés profondément préoccupés par le fait que les organismes d’application de la loi ont accès sans mandat à des renseignements personnels, à plus forte raison au milieu du débat concernant la législation sur « l’accès légitime ».

Comme de nombreuses organisations détiennent d’énormes quantités de renseignements personnels, les améliorations dans le domaine sont encore plus urgentes.

Promotion de la responsabilité

Enfin, notre quatrième recommandation vise à modifier le principe de responsabilité énoncé à l’annexe 1. Il s’agit d’obliger les organisations à faire la preuve, sur demande, qu’elles sont responsables, d’intégrer le concept d’« ententes exécutoires » et de veiller à ce que certaines dispositions relatives à la responsabilité puissent être soumises à un contrôle judiciaire par une cour fédérale.

Sous sa forme actuelle, la LPRPDE oblige les organisations à se montrer responsables quant à leurs pratiques et à leurs procédures en matière de protection de la vie privée, et elle précise la façon de s’y prendre. Cela dit, elle renferme très peu de dispositions propres à encourager et à renforcer une conformité proactive.

Nos enquêtes révèlent trop souvent que des organisations ont omis à maintes reprises d’adapter leur processus de gouvernance en matière de protection de la vie privée pour corriger certains problèmes. Dans certains cas, elles ne l’ont pas fait, même après que nous ayons fait enquête à leur sujet. C’est d’ailleurs ce qui ressort de certains des exemples que je vous ai cités tout à l’heure.

Certains problèmes auraient sauté aux yeux si on avait examiné le produit ou le service plus minutieusement au départ.

Il faudra faire davantage pour que les organisations accordent au droit à la vie privée l’importance qu’il mérite. Des incitatifs sont nécessaires pour appuyer le travail essentiel que vous accomplissez en qualité de professionnels de la vie privée.

En obligeant les organisations à faire la preuve qu’elles sont responsables, on aiderait à créer ce genre d’incitatif.

Le temps requis pour effectuer le suivi auprès des organisations afin d’avoir l’assurance qu’elles ont respecté leurs engagements est un autre enjeu important pour le Commissariat.

Il faut parfois beaucoup de temps pour mettre en œuvre certains changements. Et le Commissariat ou le plaignant dispose de seulement 45 jours pour s’adresser au tribunal si aucun changement n’est apporté.

Nous estimons que la solution consiste à modifier la LPRPDE pour introduire explicitement des « ententes exécutoires ».

Autrement dit, il s’agit d’expliquer bien clairement dans la loi les conséquences qui attendent une organisation si elle ne respecte pas ses engagements envers le Commissariat dans un certain délai au terme d’une enquête, et d’expliquer clairement aussi nos recours devant les tribunaux.

Conclusion

Toutes ces mesures aideront à doter le Canada d’un cadre de protection de la vie privée moderne et équilibré. Des mesures de protection plus vigoureuses renforceraient la confiance des consommateurs à l’égard de l’économie numérique et stimuleraient la croissance économique du pays. Et elles ne freineraient pas l’innovation. Loin de là.

Nous vivons à l’ère de la mondialisation. Le Canada doit veiller à ce que sa législation en matière de protection de la vie privée évolue de manière à être à la hauteur des lois d’autres pays qui instaurent des pouvoirs d’application plus forts.

Le Canada ne peut se permettre de rester à la traîne des autres pays et de se contenter de prévoir des conséquences négligeables pour ceux qui contreviennent à ses lois sur la protection de la vie privée.

Les incitatifs financiers prévus par la LPRPDE appuieraient le travail des professionnels de la vie privée – votre travail. Ils permettraient d’accorder une plus grande place à cet aspect dans le calcul du risque intégré d’une entreprise, dont celle-ci se sert pour élaborer ses programmes de conformité.

La réforme de la LPRPDE offrira aux entreprises canadiennes des possibilités formidables en renforçant la confiance des consommateurs et en créant un avantage concurrentiel au pays et ailleurs dans le monde grâce à une protection judicieuse de la vie privée.

Je sais que la perspective d’un modèle d’application plus strict peut susciter un certain inconfort dans les milieux d’affaires. Mais, à mon avis, vous êtes nombreux ici aujourd’hui à être favorables à une responsabilité accrue, à l’adoption de règles équitables et à une utilisation responsable des renseignements personnels.

Il est réconfortant de voir que le champ d’activité des professionnels de la vie privée en Amérique du Nord est en plein essor. À cet égard, je remercie l’IAPP des efforts qu’elle déploie pour promouvoir la profession. C’est tout à son honneur.

J’attends avec impatience le débat qui suivra la publication de notre exposé de principes et j’espère que vous serez en faveur des changements proposés.

Nous avons besoin de nous doter de la législation moderne et efficace que les Canadiennes et les Canadiens méritent et à laquelle ils s’attendent.