Renforcer l’application des lois sur la protection de la vie privée à l’échelle mondiale : Bâtir des ponts

Commentaires dans le cadre de la 26e Conférence annuelle internationale sur les lois en matière de protection de la vie privée et les entreprises Bâtir des ponts entre les différentes cultures de protection de la vie privée

Le 2 juillet 2013
Cambridge, Royaume-Uni

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

On m’a demandé d’aborder avec vous ce matin une question qui se situe au cœur du thème de cette conférence, soit bâtir des ponts entre les différentes cultures de protection de la vie privée : le renforcement, à l’échelle mondiale, de la coopération entre les autorités responsables de la protection des données dans le dossier de l’application des lois.

Je pourrais discourir longtemps sur l’importance de la collaboration dans un monde où la vie privée transcende les frontières, où les multinationales qui lancent leurs produits et services à l’échelle mondiale se multiplient et où les ressources pour faire appliquer les lois sur la protection de la vie privée sont limitées.

Les récentes révélations au sujet de l’ampleur de la surveillance généralisée et de l’utilisation commerciale des mégadonnées illustrent l’importance pour les autorités responsables de la protection des données d’accroître leur efficacité.

Je crois que nous avons atteint un stade où tous, ou presque, reconnaissent que la coopération au chapitre de l’application des lois est essentielle à la protection du droit à la vie privée à l’échelle mondiale.

La preuve : une foule de personnes dévouées et perspicaces se sont réunies ici, à Cambridge, pour acquérir une meilleure compréhension des diverses approches en matière de protection de données.

Nous savons que la coopération est essentielle à notre réussite.

Le plus difficile consiste maintenant à déterminer la forme concrète que prendra cette coopération.

Comme bon nombre d’entre vous le savent, j’en suis à mes derniers milles après dix ans passés à la tête du Commissariat à la protection de la vie privée du Canada. Renforcer la coopération internationale a toujours constitué une priorité pour moi, et ce, depuis le tout début de mon mandat.

Mes remarques d’aujourd’hui se fondent sur les expériences que j’ai vécues au cours des dix dernières années. J’aimerais aborder avec vous certains des défis que j’entrevois au moment où nous nous employons à renforcer la coopération au chapitre de l’application des lois, de même que vous communiquer quelques unes de mes réflexions au sujet de l’avenir.

Voici certains des plus importants défis auxquels nous sommes confrontés :

  • Premièrement, nos différentes approches en matière de protection de la vie privée — et l’apparente diversité de nos cultures à cet égard;
  • Deuxièmement, ce que je qualifierais de « rouages » de la coopération — c’est à dire la façon dont des organisations chargées d’appliquer des lois différentes coopèrent véritablement;
  • Troisièmement, les pouvoirs en matière d’application de la loi — de réelles sanctions sont indispensables à une coopération fructueuse;
  • Enfin, le dernier défi que je souhaite aborder aujourd’hui concerne les nombreux pays — dont certains sont de grandes puissances économiques — qui viennent tout juste d’adopter des lois en matière de protection de la vie privée ou qui ne l’ont pas encore fait.

Bien entendu, tous les professionnels du domaine savent que ce ne sont là que quelques-uns des éventuels obstacles qu’il nous faudra surmonter.

Tout cela peut paraître un peu décourageant, mais je promets de vous faire part, également, d’une foule de raisons de garder espoir.

Nous avons déjà réalisé des progrès — nous bâtissons des ponts à l’heure actuelle — et je suis persuadée que nous pouvons effectuer d’importantes percées dans les années à venir.

Défi n° 1 : Différentes approches en matière de protection de la vie privée

Le fait que les fondements philosophiques des approches législatives en matière de protection de la vie privée varient considérablement d’une région du monde à une autre représente peut-être le défi le plus évident pour la coopération entre les autorités responsables de la protection des données sur le plan de l’application des lois.

Bien que ce défi existe réellement — j’y reviendrai dans une seconde — je tiens tout d’abord à souligner qu’il importe de ne pas trop mettre l’accent sur les différences.

Même si le sens accordé à la vie privée varie énormément d’un pays à l’autre, cette dernière renvoie toujours à des aspects communs de l’expérience humaine. En effet, tous les êtres humains ont besoin qu’on respecte leur vie privée.

À l’échelle mondiale, les lois en matière de protection de la vie privée reposent sur des principes fondamentaux couramment acceptés, comme la limitation de la collecte de renseignements personnels et de l’utilisation de ceux-ci aux fins pour lesquelles ils ont été recueillis.

Nous avons de nombreux points en commun et cela nous permettra de parvenir à une plus grande coopération, même si les différences qui existent entre nos approches respectives placent quelques embûches sur notre chemin. L’exposé du professeur Colin Bennett sur les valeurs communes aux différents peuples m’a donné espoir.

Toutefois, qui dit approches historiques distinctes dit aussi architectures des lois sur la protection des renseignements personnels distinctes.

Par exemple, on remarque que d’importants concepts sont définis différemment. En quoi consistent les renseignements personnels? Qu’est-ce qu’un consentement valable?

On note aussi que les obligations imposées aux organisations varient, tout comme la portée des lois.

Débat sur la réforme du cadre de l’Union européenne

Les différences qui existent entre des doctrines peuvent parfois entraîner des frictions, comme l’a démontré le va et vient transatlantique des propositions visant à actualiser le cadre de protection de la vie privée de l’Union européenne. Comme je l’ai dit plus tôt, l’Union européenne est un chef de file en ce qui a trait à l’établissement de normes de protection des données et à la définition de questions fondamentales pour les individus, comme le droit à l’oubli.

Il n’est donc pas surprenant que le projet de Règlement général sur la protection des données semble se classer parmi les textes législatifs déposés au Parlement européen ayant fait l’objet du plus grand nombre d’activités de lobbying.

Bien que suivre ce débat parfois acrimonieux me démoralise à l’occasion, je demeure raisonnablement sûre que celui-ci aura ultimement des effets positifs sur la coopération dans le dossier de la protection de la vie privée.

J’ai parfois l’impression que les intervenants du reste du monde sous estiment les mesures de protection des renseignements personnels mises en place aux États-Unis. Cela dit, il existe bel et bien des lacunes dans ce que le New York Times a qualifié de « courtepointe américaine incomplète de lois en matière de protection de la vie privée ».

Si les États-Unis adoptaient des lois exhaustives — semblables à celles proposées dans le livre blanc sur la vie privée de l’administration Obama, par exemple — cela pourrait grandement contribuer à atténuer certaines des tensions actuelles en changeant des perceptions répandues et en permettant aux intervenants du reste du monde de mieux savoir à quoi s’en tenir. Nous ne pouvons toutefois pas faire abstraction des particularités du système politique américain et devons nous résoudre au fait qu’une telle chose puisse ne jamais se produire.

Une question de caractère adéquat

Je suivrai aussi avec grand intérêt le débat sur la façon dont l’Union européenne traitera la question du caractère adéquat dans le cadre de l’examen en cours.

Les décisions prises à cet égard pourraient avoir d’importantes répercussions sur des pays comme le Canada, Israël et la Nouvelle Zélande, où les lois en matière de protection de la vie privée ont été jugées adéquates, et comme l’Australie, où ce n’est pas encore le cas.

Un comité du Parlement européen a proposé que les décisions prises en ce qui a trait au caractère adéquat fassent l’objet d’un examen deux ans après l’adoption du Règlement.

Je suis d’avis qu’avant même qu’un tel examen ait lieu, une série de critères devraient être rendus publics, à la suite de consultations avec les pays où les lois ont été jugées adéquates. Ces critères, qui viseraient à établir le caractère adéquat, devraient être fondés sur l’application de la loi nationale en matière de protection de la vie privée et sur ses résultats, plutôt que sur le libellé officiel de la loi.

Une loi qui semble différente des lois européennes, mais qui a de la poigne et est appliquée régulièrement et vigoureusement, pourrait être mieux à même de protéger la vie privée des citoyens d’un pays qu’une loi qui paraît bien sur papier, mais qui n’est pas appliquée de manière adéquate.

Lignes directrices de l’OCDE

La difficulté de parvenir à un accord dans le contexte des différentes approches en matière de protection de la vie privée était aussi manifeste lors des discussions visant à actualiser les Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel.

Il y a plusieurs semaines, j’ai assisté à une réunion éprouvante de l’OCDE qui portait sur des révisions possibles aux Lignes directrices. Comme certains d’entre vous le savent peut-être, les différends étaient nombreux, notamment sur la question de l’« indépendance » des autorités, des références au « caractère adéquat », du libellé des restrictions touchant la circulation transfrontières de données et des mécanismes visant à favoriser l’interopérabilité.

Heureusement, malgré ces différends, nous avons réussi à trouver un terrain d’entente. J’étais très heureuse que nous y soyons parvenus, car les Lignes directrices de l’OCDE demeurent les seuls principes de base en matière de protection des données adoptés par un éventail d’entités économiques, qui ont toutefois la possibilité de promulguer des lois plus restrictives en la matière.

Les recommandations seront bientôt soumises au Conseil de l’OCDE pour approbation.

Défi n° 2 : Les rouages de la coopération

Passons maintenant à un défi connexe : régler certains des problèmes pratiques auxquels les autorités responsables de la protection des données sont confrontées lorsqu’elles tentent de travailler ensemble.

Nous devons adopter des mécanismes qui nous permettront de travailler efficacement et rapidement, et d’obtenir les résultats souhaités au bout du compte.

L’inertie des membres de la communauté chargée de la protection des données n’a certes pas contribué à leur efficacité, tant individuelle que collective.

Au chapitre des rouages de la coopération, l’une des principales questions à régler concerne l’échange de renseignements.

Les lois de certains pays ne permettent toujours pas aux autorités responsables de la protection des données de procéder à l’échange de renseignements. Ce problème doit être résolu.

Au Canada, la loi s’appliquant au secteur privé vient tout juste d’être modifiée pour permettre l’échange de renseignements avec d’autres autorités responsables de la protection des données.

Nous avons donc pu conclure des ententes bilatérales d’échange de renseignements avec quatre autorités européennes, ce qui nous a permis de collaborer avec nos homologues néerlandais à l’enquête sur l’application WhatsApp — et qui, je l’espère, nous permettra de participer à de nombreuses autres enquêtes conjointes à l’avenir. Billy Hawkes, le commissaire à la protection des données de l’Irlande, a mentionné notre enquête en cours sur la récente fuite de Facebook.

La coordination constitue un autre problème. Si une question relative à la protection de la vie privée touche plusieurs pays, nous devons trouver une façon d’intervenir de façon coordonnée à l’échelle mondiale. Faut-il nommer une autorité chargée de la protection des données responsable du dossier? Si oui, dans quelle mesure les autorités des autres pays devraient-elles participer à l’enquête en cours? Nous nous trouvons de plus en plus souvent aux prises avec la difficulté d’expliquer aux citoyens d’un pays qu’une autre nation prendra la tête des efforts visant à régler un enjeu important en matière de protection de la vie privée.

Il ne s’agit pas là d’obstacles mineurs.

Heureusement, d’immenses efforts sont déployés pour tenter de régler ces problèmes. En fait, beaucoup trop d’initiatives sont en cours pour que je puisse les énumérer ici, mais je donnerai quelques exemples.

Résolution de Mexico

En 2011, des commissaires à la protection des données et de la vie privée des quatre coins du monde ont adopté une importante résolution visant à favoriser et à faciliter la coordination des mesures d’application des lois en matière de protection de la vie privée à l’échelle internationale.

Le Commissariat et ses homologues du Royaume-Uni coprésident un groupe de travail qui produira un cadre pratique pour traduire cette résolution en gestes concrets. D’immenses progrès ont été réalisés dans ce dossier.

Lors de la Conférence internationale des commissaires qui se tiendra à Varsovie en septembre, nous serons en mesure de discuter de l’amélioration des mécanismes d’échange de renseignements, ainsi que des moyens que nous avons pris pour contrer les menaces communes à la protection de la vie privée.

Nous avons déjà établi une série de principes pour orienter la coopération dans l’application des lois sur la protection de la vie privée, et nous avons tenu des discussions sur la façon de surmonter les obstacles à la coopération dans le cadre de réunions fructueuses à Montréal et à Washington et de téléconférences régulières portant sur les menaces communes.

Ces efforts ont récemment donné lieu à l’envoi d’une lettre conjointe à Google soulevant certaines préoccupations au sujet des lunettes Google.

Projet PHAEDRA

Autre pas dans la bonne direction, la Direction générale de la justice de la Commission européenne a versé des fonds au consortium PHAEDRA pour que ce dernier cerne les obstacles à la coopération internationale et formule des recommandations en vue d’accroître la coopération et la coordination.

Le consortium qui travaille à cette initiative d’une durée de deux ans regroupe des universitaires, des représentants de l’autorité responsable de la protection des données de la Pologne et un groupe de recherche et de consultation.

La coopération en pratique

Nous commençons à pouvoir citer des exemples concrets de coopération. Des pays disposant de lois différentes trouvent des façons de collaborer.

L’enquête menée conjointement par le Canada et les Pays-Bas sur l’application WhatsApp constitue l’un de ces exemples de coopération.

Le récent ratissage international d’Internet pour la protection de la vie privée qui a été coordonné par le Commissariat illustre aussi comment les différences qui existent entre les lois sur la protection de la vie privée peuvent être surmontées.

Un groupe très disparate composé de 19 autorités chargées de l’application des lois sur la protection de la vie privée du monde entier a participé au premier ratissage annuel international d’Internet pour la protection de la vie privée — une initiative du Global Privacy Enforcement Network.

Malgré leurs différentes lois, les autorités sont parvenues à se mettre d’accord sur un thème commun à exploiter — la transparence des pratiques en matière de confidentialité — en adoptant une vision générale et en veillant à la souplesse des approches.

J’aimerais aborder plus brièvement deux autres points susceptibles de représenter des défis.

Défi n° 3 : Des pouvoirs d’application de la loi adéquats

L’un de ces points est la nécessité de pouvoirs d’application de la loi adéquats. Comme je l’ai mentionné plus tôt, les autorités responsables de la protection des données doivent pouvoir imposer des sanctions, et non pas seulement formuler des recommandations, pour que leur coopération soit fructueuse.

Des pouvoirs d’application de la loi sont essentiels.

À l’heure actuelle, les diverses autorités disposent de pouvoirs très différents, ce qui pourrait constituer un obstacle à la coopération.

Par exemple, certaines autorités ne peuvent pas procéder à des vérifications ou à des inspections d’entreprises du secteur privé de leur propre chef. Certaines ont le pouvoir d’imposer des amendes, d’autres non; d’autres encore ne peuvent le faire que dans des circonstances très particulières.

Une autorité dépourvue de réels pouvoirs d’application de la loi éprouverait de toute évidence des difficultés à mener une enquête au nom d’autres autorités en mesure d’imposer des sanctions importantes.

Malheureusement, le Canada est l’un des retardataires à cet égard.

À l’heure actuelle, je ne dispose que du pouvoir de nommer une organisation. Or, bien que cette méthode connaisse un certain succès, elle n’est pas suffisante pour contraindre les organisations à traiter adéquatement les questions de protection de la vie privée et à investir à ce chapitre.

Certains de mes homologues européens, ainsi que la Federal Trade Commission des États-Unis, disposent du pouvoir d’imposer des sanctions exemplaires.

La proposition visant l’harmonisation des pouvoirs d’application de la loi dans toute l’Europe constituerait un pas important dans la bonne direction et donnerait l’exemple aux autres pays.

Défi n° 4 : Amener les pays qui viennent d’adopter des lois ou ne l’ont pas encore fait dans le giron de la protection de la vie privée

Faute de temps, je n’aborderai que brièvement le dernier défi que je tenais à mentionner aujourd’hui : amener les pays qui viennent d’adopter des lois ou ne l’ont pas encore fait dans le giron de la protection de la vie privée.

Aux quatre coins du monde, de multiples pays s’affairent à mettre en place des lois sur la protection de la vie privée.

Des pays aussi divers que Singapour, la Colombie et l’Angola ont récemment adopté des lois exhaustives sur la protection des données. Nous devons les inclure dans le dialogue mondial sur la protection de la vie privée.

À cette fin, la commissaire adjointe du Commissariat, Chantal Bernier, a récemment assisté à une réunion du Congrès latino-américain pour la protection des données, pendant laquelle elle a présenté les pratiques exemplaires en matière d’application novatrice de la loi.

Entre-temps, la circulation transfrontières des données croît, et il importera plus que jamais que les pays qui ne disposent pas de lois exhaustives sur la protection de la vie privée, mais jouent un rôle de plus en plus important dans l’économie mondiale, adoptent des lois efficaces.

Des travaux très prometteurs sont déjà en cours dans le but de tisser des liens avec des pays qui n’ont pas pris part aux discussions internationales concernant la protection de la vie par le passé.

J’aimerais, par exemple, mentionner l’Association francophone des autorités de protection des données personnelles, l’APEC et le Réseau ibéroaméricain de protection des données. Tous représentent un pas dans la bonne direction, mais des efforts supplémentaires sont nécessaires. Il incombe aux autorités de plus grande taille, comme le Commissariat, de continuer à travailler pour amener les autres dans le giron de la protection de la vie privée.

Conclusion

Pour conclure, il est clair qu’après des années de discussion, de nombreuses questions restent sans réponse.

La coopération à l’échelle mondiale n’est pas une sinécure.

Par ailleurs, les intérêts nationaux et régionaux plus généraux qui teintent l’ensemble des échanges internationaux la compliquent encore davantage.

Les discussions concernant les pratiques relatives au traitement des renseignements personnels et la réglementation connexe servent souvent de substituts à des débats plus difficiles au sujet des priorités économiques, des attitudes relatives au rôle du gouvernement et des stratégies de sécurité nationale.

J’ai passé d’innombrables heures, ces dix dernières années, à discuter de ces questions et j’admets avoir parfois eu la décourageante impression que les obstacles se dressant sur le chemin auraient raison de l’objectif commun de renforcer les mesures de protection des renseignements personnels. J’ai souvent senti qu’un sentiment d’urgence faisait défaut.

J’ai cependant aussi eu l’immense privilège de prendre part à des conversations stimulantes qui m’ont permis d’envisager l’avenir avec optimisme.

La communauté de la protection des données regorge d’individus brillants et talentueux fermement résolus à réaliser des progrès et à rendre la coopération possible.

Une coopération réussie repose sur un élément crucial déjà en place : la bonne volonté.

La volonté y étant, nous allons de l’avant dans la bonne direction et nous bâtissons ces ponts qui s’imposent de toute urgence. Comme disait Baudelaire : « La joie vient toujours après la peine ».

Date de modification :