Priorités en matière de protection de la vie privée - Réflexions sur 10 ans à titre de commissaire à la protection de la vie privée du Canada

Commentaires dans le cadre de la conférence Access and Privacy 20/20

Le 11 octobre 2013
Vancouver, Colombie-Britannique

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

J’ai peine à croire que près de dix ans se sont écoulés depuis que j’ai franchi pour la première fois les portes du Commissariat à la protection de la vie privée du Canada.

Mon mandat tire maintenant à sa fin. Et ce qui me frappe aujourd’hui, c’est à quel point j’ai été privilégiée d’être commissaire à la protection de la vie privée du Canada à ce moment précis de l’histoire. Certes, nous vivons à une époque tumultueuse et difficile pour la protection de la vie privée — mais c’est aussi une période fascinante.

Le Commissariat lance aujourd’hui un rapport sur les quatre priorités stratégiques qui nous ont aidés à orienter nos travaux ces dernières années : les technologies de l’information; l’intégrité et la protection de l’identité; la sécurité publique; les renseignements génétiques. Ce rapport raconte des histoires qui se cachent derrière les changements révolutionnaires observés dans le domaine du droit à la vie privée.

Il met en lumière certaines observations et les leçons que nous avons tirées de nos activités au cours des dernières années — et c’est également ce dont j’aimerais vous entretenir aujourd’hui.

Trois tendances

Au cours de mon mandat, j’ai été frappée par trois tendances très marquées. Premièrement, dans le secteur privé, nous avons assisté à une montée en puissance des géants multinationaux du monde en ligne, qui jouent un rôle central dans nos activités quotidiennes sur Internet.

Deuxièmement, les répercussions des attentats du 11 septembre qui se font encore sentir. Mentionnons à cet égard les révélations récentes concernant l’ampleur de la surveillance exercée par la National Security Agency des États-Unis et des organismes similaires d’autres pays. Ces répercussions sont au cœur de nos travaux visant le secteur public.

La troisième tendance qui a attiré mon attention est la question de la responsabilité individuelle dans un monde en ligne où quiconque peut affirmer n’importe quoi à propos de n’importe qui à qui veut bien l’entendre. Le droit à la vie privée ne concerne plus seulement les citoyens par rapport à leurs gouvernements ou les consommateurs par rapport aux entreprises.

Ces trois tendances créent de nouveaux risques d’atteinte à la vie privée. L’insuffisance des cadres en place pour relever ces nouveaux défis constitue un autre point commun à la base de ces tendances. Les Canadiennes et les Canadiens ont besoin que leur vie privée soit protégée par des lois modernes et efficaces. Pour l’heure, le Canada accuse un retard dans ce domaine. Cette question préoccupe aussi mes collègues des provinces et territoires. Plus tôt cette semaine, lors de notre réunion fédérale‑provinciale-territoriale annuelle, nous avons approuvé une résolution sur la modernisation des lois en matière d’accès à l’information et de protection de la vie privée pour le 21e siècle.

Nous exhortons les gouvernements à réitérer leur engagement à l’égard des valeurs démocratiques fondamentales à la base de ces lois en les renforçant à la lumière des technologies de l’information modernes, des pratiques gouvernementales en évolution et des attentes de la population canadienne.

Chacune des tendances que je viens d’évoquer crée de nouveaux risques d’atteinte à la vie privée et nous oblige à réfléchir à la réaction qui s’impose.

Le droit à la vie privée et la montée en puissance des géants en ligne

Vous êtes tous au courant de la saga des échanges du Commissariat à la protection de la vie privée du Canada avec Facebook et Google. Ces entreprises et quelques autres géants ont modifié radicalement le monde en ligne et suscité par le fait même de nouveaux défis pour les organismes de réglementation de la protection des données.

Ces géants, qui sont des quasi-monopoles, accumulent d’énormes quantités de renseignements personnels se rapportant aux Canadiens et ils peuvent recueillir de l’information sur nos intérêts, nos habitudes et nos opinions. Au moment où je suis entrée en fonction au poste de commissaire, Facebook était à la veille d’être lancée. Aujourd’hui, l’entreprise se glorifie de compter bien au-delà d’un milliard d’utilisateurs dans le monde. Chaque jour, le moteur de recherche de Google traite trois milliards de demandes. Et, d’après le président et chef de la direction de Twitter, nous envoyons collectivement 500 millions de gazouillis par jour. Les renseignements personnels sont au cœur de l’économie numérique mondiale.

Nous constatons que de nombreuses entreprises centrées sur Internet offrent leurs services gratuitement. Mais elles cherchent des façons de rentabiliser ces services — et l’un des moyens les plus évidents consiste à tirer parti des tonnes de renseignements personnels qu’elles détiennent.

Des organisations utilisent les renseignements personnels en prenant des moyens que l’on n’aurait pu imaginer auparavant — et de nouveaux risques d’atteinte à la vie privée voient le jour. Par ailleurs, en raison de la mondialisation, le Commissariat traite de plus en plus avec de grandes sociétés ayant leur siège dans d’autres pays qui imposent ou non leurs propres exigences réglementaires dans le domaine de la protection de la vie privée.

Nous avons publié plus tôt cette année un exposé de principes concernant la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Une question se pose : comment un petit organisme comme le nôtre disposant de ressources limitées pourrait-il attirer l’attention de ces entreprises, alors que les infractions à la loi canadienne en matière de protection de la vie privée entraînent très peu de conséquences?

Nous devons mettre en place des mesures incitatives plus vigoureuses pour nous assurer que les organisations s’attaquent dès le départ aux problèmes de protection de la vie privée — et leur imposer des sanctions si elles ne le font pas.

Theodore Roosevelt affirmait qu’il faut « parler doucement en brandissant un gros bâton ». Pour décrire notre approche actuelle en matière d’application de la loi, je dirais plutôt qu’il s’agit de « parler doucement en transportant une grosse tarte à la crème à la banane ».

Pour pousser plus loin l’analogie avec les gâteries, j’aimerais vous rappeler la nouvelle récente concernant une enquête du Bureau de la concurrence sur la collusion pour fixer le prix des tablettes de chocolat. Nous avons appris que les entreprises en défaut s’exposaient à des sanctions allant jusqu’à une amende de 10 millions de dollars et à cinq ans de prison. Et c’est pour avoir fixé le prix de tablettes de chocolat!

Quelle devrait être la sanction imposée à ceux qui portent atteinte au droit des Canadiennes et des Canadiens à la vie privée? La montée en puissance des grandes multinationales en ligne fait ressortir la nécessité non seulement de renforcer les pouvoirs d’application de la loi, mais aussi de concerter les efforts des différents pouvoirs publics.

C’est pourquoi le Commissariat a travaillé si fort pour encourager la collaboration en participant activement à diverses organisations internationales.

La protection de la vie privée et la sécurité publique

Je vais maintenant aborder la question de la protection de la vie privée et de la sécurité publique.

Au fil des ans, le Commissariat a fait face à une foule d’initiatives de sécurité publique et d’application de la loi ayant des répercussions sur la protection de la vie privée. Mentionnons la Loi antiterroriste, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, leProgramme de protection des passagers (mieux connu sous le nom de « liste d’interdiction de vol »), les scanneurs à ondes millimétriques utilisés dans les aéroports, la loi sur l’accès légal et l’initiative Par-delà la frontière.

Et récemment, bien entendu, nous avons pris connaissance des révélations d’Edward Snowden concernant l’ampleur alléguée de la collecte d’information par la National Security Agency des États-Unis.

Évidemment, cette histoire ne concerne pas seulement les États-Unis.

Les États-Unis ont leur National Security Agency, mais le Canada a aussi un organisme qui recueille des renseignements relatifs aux transmissions. C’est le Centre de la sécurité des télécommunications Canada (CSTC), qui a le mandat très large de recueillir l’information provenant de « l’infrastructure mondiale d’information » et de l’analyser dans l’optique du renseignement. Dans le but de s’assurer que ces activités respectent les lois et les valeurs canadiennes, le gouvernement a créé le Bureau du commissaire du Centre de la sécurité des télécommunications. Le commissaire examine les activités du CSTC.

Les récentes révélations concernant l’ampleur de la surveillance exercée ont fait la lumière sur certains aspects méconnus. Les choses que nous avons apprises du point de vue de la protection de la vie privée sont troublantes. Mais elles nous incitent à examiner le rôle de nos organismes chargés de la sécurité nationale et font ressortir l’importance de la supervision et de la transparence.

Le droit à la vie privée est un droit fondamental, mais pas un droit absolu. Il doit être exercé en relation avec d’autres droits fondamentaux — dans le cas de la sécurité publique et de la sécurité nationale, le droit de vivre à l’abri des risques d’atteinte à la sécurité publique. La sécurité publique et la protection de la vie privée ne sont pas incompatibles.

En fait, il faut plutôt les intégrer et les adapter afin qu’elles puissent continuer de coexister dans une société libre et démocratique. La relation entre les organismes chargés de la sécurité publique et les citoyens qu’ils protègent doit reposer sur la confiance.

Les Canadiennes et les Canadiens sont prêts à accepter certains inconvénients, entre autres à faire quelques sacrifices concernant leur droit à la vie privée, pourvu que l’État fasse preuve de transparence, de responsabilité et d’intégrité. À mon avis, la solution consiste en partie à nous assurer que nos lois sur la protection de la vie privée sont efficaces dans le contexte de la sécurité publique et de l’application de la loi. La Loi sur la protection des renseignements personnels est désuète. Sa réforme est réclamée depuis de très… très nombreuses années par les commissaires qui m’ont précédée et par moi-même.

Une refonte complète de cette loi s’impose. Certaines améliorations que nous avons proposées par le passé aideraient à renforcer la transparence, la responsabilité et l’intégrité dans le cadre des initiatives de sécurité publique menées par le gouvernement fédéral.

Par exemple, nous avons recommandé d’instaurer par voie législative un « test de nécessité » pour obliger les institutions gouvernementales qui recueillent des renseignements personnels à démontrer la nécessité de leur collecte.

Nous avons fait valoir l’importance de renforcer les dispositions régissant la communication de renseignements personnels aux États étrangers par le gouvernement du Canada.

Et nous avons recommandé d’élargir la gamme de motifs de recours aux tribunaux garantis par la loi et d’autoriser la Cour fédérale à accorder des dommages-intérêts aux victimes des institutions fautives.

On observe à l’heure actuelle une absence de mécanismes de recours efficaces lorsque le gouvernement est dans l’erreur. Et c’est particulièrement important lorsqu’il s’agit de sécurité publique et d’application de la loi, car les conséquences pour les citoyens peuvent être extrêmement graves.

Le récent débat déclenché par les révélations d’Edward Snowden a aussi mis en évidence l’absence d’une ligne de démarcation nette entre le secteur privé et les organismes chargés de la sécurité nationale et de l’application de la loi.

Nous pourrions aussi améliorer la Loi sur la protection des renseignements personnels et les documents électroniques. Une recommandation importante formulée dans notre récent exposé de principes consiste à lever le voile sur les communications autorisées.

La LPRPDE prévoit une exception extraordinaire permettant aux autorités chargées de l’application de la loi et aux institutions fédérales d’obtenir des renseignements personnels auprès des entreprises à différentes fins sans le consentement de l’intéressé et sans mandat. Mentionnons notamment la sécurité nationale, l’application de toutes les lois du Canada, d’une province ou de pays étrangers ou encore les enquêtes ou la collecte de renseignements en lien avec l’application de ces lois. Nous avons demandé que les organisations soient tenues de faire rapport en pareil cas.

Rôle des individus

Passons maintenant à la troisième grande tendance. Les médias font de plus en plus état du rôle joué par les individus dans la protection — et la violation — du droit à la vie privée dans le monde numérique. Nous connaissons le sort tragique de Rehtaeh Parsons et d’Amanda Todd — et d’autres victimes de cyberintimidation.

L’an dernier, la Cour suprême du Canada a entendu une affaire mettant en cause la cyberintimidation à caractère sexuel d’une adolescente par un individu qui avait créé un faux profil Facebook en utilisant sa photo et une variante de son nom. (Le Commissariat à la protection de la vie privée est d’ailleurs intervenu dans cette cause.)

La Cour suprême devait déterminer si l’adolescente pouvait chercher à démasquer le cyberintimidateur sans renoncer à son propre anonymat. Elle a statué à l’unanimité que l’adolescente pouvait procéder de façon anonyme pour découvrir l’identité du cyberintimidateur.

La situation actuelle soulève plusieurs questions : Quelle est la responsabilité des auteurs des messages publiés dans Internet? Comment devrait-on répartir la responsabilité entre les plateformes de réseautage social et les utilisateurs?

Internet a donné du pouvoir aux individus en leur permettant de diffuser facilement des renseignements et des opinions. Ce pouvoir relativement nouveau présente d’énormes avantages, mais il soulève aussi des problèmes troublants en ce qui concerne le droit à la vie privée et la dignité humaine.

Tout comme la plupart des lois sur la protection de la vie privée dans le monde, la LPRPDE ne s’applique pas à l’utilisation de renseignements personnels à des fins personnelles ou domestiques. Je me réjouis du débat qui a eu lieu jusqu’à présent sur les solutions possibles au problème de la cyberintimidation chez les jeunes, mais j’espère que nous élargirons la discussion sur le droit à la vie privée et le rôle des individus. Par exemple, en Europe, le « droit à l’oubli » fait l’objet d’un débat intéressant. La Californie vient tout juste d’adopter une loi permettant aux jeunes de supprimer leurs indiscrétions en ligne. Mais les cadres juridiques ne sont qu’une partie de la solution.  

La culture numérique est extrêmement importante au moment où les gens doivent se frayer un chemin en ces premiers moments de l’ère de l’information. Le Commissariat s’intéresse de près à la question — particulièrement aux problèmes de protection de la vie privée des jeunes.

Lors de la Conférence internationale des commissaires à la protection des données et de la vie privée qui s’est tenue en Pologne le mois dernier, nous avons approuvé une résolution sur l’importance de l’éducation numérique pour aider les gens à prendre des décisions éclairées concernant l’utilisation des possibilités qu’offre la technologie numérique.

Comme le dit la résolution, l’éducation et la culture numériques aideront les gens à comprendre comment agir de façon responsable dans le monde en ligne.

Le droit à la vie privée et la confiance

Alors, que signifient ces trois tendances pour le droit à la vie privée — et pour la confiance?

J’ai récemment assisté à une conférence articulée autour de l’examen d’une question très intéressante : Pourquoi perdons-nous confiance dans le gouvernement? On pourrait aussi demander : Pourquoi perdons-nous confiance dans les entreprises? Pourquoi perdons-nous confiance dans les autres personnes? Ces questions revêtent de plus en plus d’importance dans le contexte de la protection de la vie privée. Si vous ne répondez pas aux attentes de vos citoyens, de vos clients, de vos parents et amis et de vos connaissances en matière de protection de la vie privée, vous perdrez très rapidement leur confiance.

L’ère des mégadonnées a créé un nouveau type de confidentialité. Les gens savent énormément de choses ou font énormément de suppositions à notre sujet par suite de la collecte et de l’analyse de ces pistes numériques interminables que nous créons tous. Les renseignements personnels sont recueillis et utilisés à diverses fins.

Nombre de ces objectifs sont louables — nous protéger contre les terroristes, nous fournir de meilleurs services et maintenir les relations d’amitié. Mais je tiens à faire valoir que ces relations axées sur l’accumulation de quantité de renseignements exigent un niveau de respect et de responsabilité sans précédent à l’égard du traitement de l’information.

Les gens sont prêts à partager leurs renseignements personnels lorsqu’ils pensent en tirer un avantage. Mais si vous ne répondez pas à leurs attentes, les répercussions pourraient être terribles.

La nécessité d’éviter le plus possible les mauvaises surprises a été l’un des grands thèmes de la Conférence internationale qui a eu lieu en Pologne. Il faut éviter de prendre les gens par surprise lorsque l’on recueille, utilise ou communique leurs renseignements personnels. Ce concept s’applique également aux secteurs privé et public et dans le cadre de nos relations sociales. Le respect et la responsabilité — de bonnes pratiques de protection de la vie privée — aideront à renforcer la confiance et l’assurance.

Perspectives d’avenir

Pour l’avenir, j’ai bon espoir qu’il y aura des améliorations sur le front du droit à la vie privée.

D’après les médias, le gouvernement proposera dans le discours du Trône de la semaine prochaine un plan d’action accordant la priorité aux consommateurs. Espérons que cela permettra d’améliorer la LPRPDE pour mieux protéger la vie privée des consommateurs dans l’économie numérique.

J’avoue que je serais étonnée que le Parlement réforme à court terme la Loi sur la protection des renseignements personnels. Je vais devoir passer le flambeau au prochain commissaire. Les Canadiennes et Canadiens méritent une meilleure loi pour protéger leur vie privée dans le secteur public. Je quitte mes fonctions en éprouvant le regret de ne pas avoir été en mesure de convaincre le Parlement de corriger cette loi boiteuse.

Et, enfin, sur la question du rôle des individus dans la protection de la vie privée, je suis heureuse de constater que les germes d’une discussion sur les jeunes et la cyberintimidation ont été semés.

C’est un début, mais nous devons penser aux mesures à prendre pour combler le vide législatif concernant l’utilisation des renseignements personnels à des fins personnelles. J’encourage les défenseurs de la vie privée à poursuivre cette discussion au cours des années à venir.

Conclusion

En terminant, j’aimerais formuler une observation. Un bon nombre des nouveaux enjeux dans le domaine du droit à la vie privée soulèvent des questions d’éthique. La technologie peut nous permettre de faire certaines choses, mais devons-nous les faire? Comment devrions-nous nous y prendre pour agir de manière éthique? Qui décide de ce qui est approprié? À qui faisons-nous confiance pour trancher? En tant que société, nous devons réfléchir très sérieusement à l’éthique des organisations et à celle des individus. Nous devons recentrer nos valeurs dans une société plus ouverte et transparente.

Comme nous le signalons dans le rapport que nous publions aujourd’hui sur nos priorités stratégiques, les décisions que nous prenons aujourd’hui en ce qui a trait aux initiatives de sécurité publique, aux technologies utilisées dans le quotidien ou aux politiques et aux lois qui protègent nos renseignements personnels auront des conséquences à long terme.

Les gouvernements, les organisations et les individus doivent s’interroger non seulement sur ce que permettent les lois en matière de protection de la vie privée, mais aussi sur ce que nous devrions faire, comment nous nous définissons et quelles relations nous entretenons avec les autres individus, les organisations et les gouvernements?

Ils doivent aussi se poser la question la plus importante de toutes : « Dans quel monde voulons-nous vivre? »

Je vous remercie.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :