La réglementation dans un environnement en rapide évolution

Commentaires dans le cadre de l’Atelier national de la Communauté des régulateurs fédéraux

Le 4 novembre 2013
Ottawa, Ontario

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je suis très heureuse d’être ici en compagnie de mes homologues de la réglementation. Même si nous travaillons dans des domaines très différents, nous avons de nombreuses expériences en commun. Il est merveilleux que vous soyez en mesure de vous réunir chaque année pour discuter de vos pratiques exemplaires et échanger des idées et des récits.

Comme vous le savez, je suis commissaire à la protection de la vie privée du Canada depuis maintenant dix ans. Je quitterai mon poste le 3 décembre.

J’ai assumé les fonctions de commissaire durant une période fascinante, ayant eu le grand privilège de plonger au cœur de certains dossiers liés au respect de la vie privée qui ont marqué l’histoire, tant dans le secteur public que dans le secteur privé. Je pense notamment à la naissance des réseaux sociaux et aux répercussions des événements du 11 septembre, pour ne nommer que ceux-là.

À titre de commissaire, j’ai le mandat de veiller à l’application de la Loi sur la protection des renseignements personnels, qui vise les ministères et les organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques — ou LPRPDE — à laquelle est assujetti le secteur privé canadien.

J’aimerais vous parler aujourd’hui de ce qui a constitué le principal défi de mon mandat — ainsi que des efforts que nous avons déployés pour nous y attaquer de front.

Je parle de la vitesse ahurissante à laquelle notre environnement évolue.

Le paysage de la protection de la vie privée subit constamment d’énormes changements — et cette tendance se maintiendra probablement dans un avenir prévisible.

Je suppose que bon nombre d’entre vous doivent également composer avec les transformations rapides qui se produisent dans divers dossiers.

J’aimerais d’abord vous parler de l’évolution des enjeux liés à la protection de la vie privée; puis, vous décrire certaines mesures qu’a prises le Commissariat au chapitre de la gestion réglementaire.

Je pense notamment aux mesures suivantes que nous avons prises:

  • adopter une culture fondée sur l’éthique, l’excellence et la transparence;
  • se doter d’un effectif ayant les compétences nécessaires à l’accomplissement de notre mandat;
  • établir les priorités;
  • repenser nos processus d’enquête;
  • obliger les organisations à rendre des comptes;
  • établir des partenariats.

Je reviendrai sur ces points dans un moment. D’abord, examinons la nature changeante de la protection des renseignements personnels.

Transformation du paysage de la protection de la vie privée

Rappelez-vous un instant à quel point le monde était différent quand j’ai été nommée commissaire à la protection de la vie privée en 2003.

Facebook n’existait pas, ni Twitter, ni Google Street View.

Les téléphones n’étaient pas particulièrement intelligents. Les « nuages » menaçaient seulement de gâcher les pique-niques. Et l’analyse prédictive était surtout l’apanage des tireuses de tarot.

Au cours d’une période incroyablement courte, nous avons été témoins de changements spectaculaires sur le plan des technologies de l’information. Ces changements ont ouvert la voie à un accroissement important du rôle que jouent les renseignements personnels dans notre économie numérique. Et, par conséquent, les risques en matière de protection de la vie privée ont augmenté de façon exponentielle.

Vous avez tous déjà entendu dire que nous vivons maintenant à l’ère des mégadonnées. Au fond, ce que cela signifie, c’est qu’on se sert des renseignements du passé pour essayer de découvrir des choses sur le présent et l’avenir.

Dans son livre Le pouvoir des habitudes, Charles Duhigg raconte l’incroyable histoire de la façon dont Target, géant du commerce au détail, a apparemment pu déterminer que certaines femmes étaient enceintes, y compris une adolescente qui n’avait pas encore appris la nouvelle à son père.

Grâce à la magie de l’analyse des données, Target a compris que les femmes enceintes ont tendance à acheter de grandes quantités de lotion inodore, beaucoup de tampons d’ouate et du désinfectant pour les mains — et ce, bien avant de se mettre à acheter des vêtements de maternité.

Target a ainsi créé un score de « prédiction de grossesse » et s’en est ensuite servi pour envoyer des bons de réduction à certaines femmes en fonction de la date présumée de leur accouchement.

Le moteur d’une grande partie des transformations auxquelles nous assistons est évidemment la technologie.

Les changements dont nous sommes témoins ne se limitent toutefois pas au monde en ligne. Par exemple, les technologies ont permis la réalisation de progrès rapides en génétique — domaine où la protection de la vie privée pose un problème croissant, car les tests génétiques sont de plus en plus courants. De plus, sur le plan de la sécurité publique, de puissantes technologies ont permis aux gouvernements de se livrer aux activités de surveillance en ligne à très grande échelle dont nous avons tant entendu parler dans les médias.

Alors, que doit faire un régulateur quand il fait face à des difficultés et à des besoins pressants et que — comme toujours — il ne dispose pas de toutes les ressources nécessaires?

Le Commissariat a adopté une approche à plusieurs volets.

1. Adopter une culture fondée sur l’éthique, l’excellence et la transparence

Quand je suis arrivée à Ottawa pour devenir commissaire à la protection de la vie privée, c’était par une journée glaciale et neigeuse de décembre. Je m’apprêtais alors à me joindre à un organisme qui commençait à peine à se remettre d’une période éprouvante.

À l’époque, le Commissariat avait vu ses pouvoirs administratifs gravement restreints. Nous ne pouvions pas embaucher de personnel — la Commission de la fonction publique devait le faire en notre nom. La part de notre budget qui était allouée à la mise en œuvre de la LPRPDE était presque épuisée. Nous croulions sous les questions de la GRC, du Bureau du vérificateur général et d’autres organismes d’enquête qui s’étaient pratiquement installés dans nos bureaux.

Il a fallu redoubler d’efforts, mais nous avons réussi à mettre de l’ordre dans nos affaires.

Cette expérience a renforcé ma croyance dans un principe auquel je me suis accrochée tout au long de ma carrière dans la fonction publique — c’est-à-dire l’importance de gagner et de conserver la confiance de la population.

La confiance de la population à notre endroit est absolument essentielle à notre succès en tant que régulateurs — surtout en période difficile.

Nous devons toujours nous rappeler que la confiance, c’est fragile.

Nous devons nous conformer aux normes d’excellence les plus élevées et adopter le comportement éthique auquel les Canadiens s’attendent de la part de leurs fonctionnaires. Nous devons en outre être les plus transparents possible dans l’exécution de notre mandat.

2. Se doter des ressources nécessaires à  notre époque

J’ai mentionné que nous devions faire preuve d’excellence. À cette fin, il est crucial de pouvoir compter sur des employés de premier plan qui possèdent les compétences dont nous avons besoin.

Nous avons travaillé très fort pour améliorer notre expertise et notre capacité, particulièrement dans les domaines du droit et des technologies.

Je suis fière d’être appuyée par une équipe d’avocats issus des meilleures facultés de droit du pays. Ils ont précédemment travaillé dans de nombreux environnements à la fois stimulants et difficiles, par exemple en tant que clerc à la Cour suprême du Canada et à la Cour d’appel fédérale, ou encore à l’emploi de cabinets d’avocats respectés et de divers ministères.

Sur le plan technique, nous avons créé la Direction de l’analyse des technologies et embauché des technologues hautement spécialisés. Nous avons également mis sur pied un laboratoire technologique qui nous aide à mieux comprendre ce qui se passe derrière l’écran.

Cela a joué un rôle fondamental dans une très grande partie de nos travaux.

Vous vous souviendrez, par exemple, de l’enquête qui a été lancée par le Commissariat après que Google ait admis que ses voitures — qui photographiaient des quartiers pour son service de cartographie Street View — avaient recueilli des données transmises sur des réseaux sans fil non sécurisés au Canada et ailleurs dans le monde.

Initialement, Google a affirmé que les données recueillies ne contenaient aucun renseignement personnel. Or, nos experts techniques se sont rendus au siège social de la société et ont pu confirmer que de tels renseignements avaient bel et bien été recueillis.

Plus récemment, nos technologues ont réussi à démontrer la légitimité de certaines de nos préoccupations en matière de respect de la vie privée. On parle du projet de loi sur l’accès légal proposé par le gouvernement fédéral.

Les promoteurs du projet de loi plaçaient sur un même pied d’égalité les renseignements pouvant être obtenus au moyen d’une adresse IP et ceux qui figurent dans un annuaire téléphonique.

Sauf qu’au contraire des renseignements qui figurent dans un annuaire téléphonique, les renseignements qui se cachent derrière une adresse IP ne sont habituellement pas publics et peuvent donner accès à beaucoup d’autres renseignements.

Nos technologues se sont penchés sur le degré d’atteinte à la vie privée qui pourrait résulter de la communication des données que le projet de loi proposait de rendre facilement accessibles par la police. Nous avons constaté qu’une adresse IP peut constituer un point de départ permettant de dresser un portrait des activités en ligne d’une personne et de découvrir, notamment, à quels services en ligne elle s’est abonnée, quels sont ses intérêts personnels en fonction des sites Web qu’elle a visités, à quelles organisations elle appartient et même l’endroit où elle se trouve.

3. Établir les priorités

En 2007, le Commissariat a amorcé un processus visant à définir de grandes priorités stratégiques autour desquelles s’articuleraient désormais ses travaux.

Nous avons établi un certain nombre de critères pour nous aider à faire un choix. Par exemple, nous nous sommes posé les questions suivantes : Le dossier est-il urgent? Est-il pertinent pour la population canadienne? Nos efforts pourront-ils engendrer des retombées importantes d’ici quelques années?

Nous avons retenu quatre domaines prioritaires : 1) les technologies de l’information; 2) la sécurité publique; 3) l’intégrité et la protection de l’identité; 4) les renseignements génétiques.

Au cours des années qui ont suivi, ces priorités nous ont aidés à classer par ordre d’importance les demandes reçues par le Commissariat, à élaborer nos plans de travail et à tirer le maximum de nos ressources.

Le Commissariat vient de publier le bilan de notre travail sur les quatre priorités stratégiques. On y souligne quelques-unes de nos réalisations et on y fait part de ce que nous avons appris. Le rapport est disponible sous forme de livre numérique sur notre site Web.

4. Repenser nos processus d’enquête

Pour nous adapter au nouvel environnement dans lequel nous évoluons, nous avons aussi remanié nos processus d’enquête afin de pouvoir consacrer notre énergie aux enquêtes ayant le plus de retombées pour les Canadiens.

Nous avons apporté diverses modifications à ces processus, notamment en préconisant un recours accru au règlement rapide.

Lorsque nous acceptons une plainte qui nous semble pouvoir être réglée rapidement, le dossier est confié à un agent de règlement rapide. L’agent travaille avec le plaignant et l’organisation mise en cause afin de régler la plainte au moyen d’une approche axée sur la collaboration et, souvent, sur la conciliation.

Le principal avantage de cette approche pour le Commissariat est que cela nous permet de régler les plaintes en y consacrant beaucoup moins de temps et de ressources.

Le fait que nous nous penchons rapidement sur les préoccupations soulevées représente aussi un énorme avantage pour les plaignants et les organisations mises en cause.

Ce ne sont pas toutes les plaintes qui peuvent — ou qui devraient — être traitées ainsi, mais le règlement rapide constitue une importante réussite pour le Commissariat.

5. Promouvoir la responsabilité

Je vais maintenant parler de l’importance de promouvoir la responsabilité chez les organisations que nous réglementons, et ce, tant dans le secteur public que dans le secteur privé.

Il s’agit de faire pression sur les organisations afin qu’elles rendent des comptes en ce qui a trait à la façon dont elles gèrent les questions relatives à la protection des renseignements personnels. Il faut, si je puis dire, garder les organisations sur la sellette.

Plus la gestion et l’utilisation des renseignements personnels deviennent complexes, et plus la notion de responsabilité prend de l’importance.

Le principe de responsabilité n’est pas nouveau. Il figure dans les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’OCDE — qui ont été rédigées il y a plus de trente ans — et il est explicitement mentionné dans la LPRPDE.

Cela dit, nous avons constaté qu’il suscite un intérêt accru à l’échelle internationale depuis les dernières années.

Pour une organisation, ce principe consiste à aller au-delà de la simple conformité aux exigences légales. L’organisation doit assumer la responsabilité de protéger les renseignements personnels que ses clients lui confient. Elle doit démontrer que la protection de la vie privée est au cœur même des décisions opérationnelles et qu’elle respecte le droit des personnes à la vie privée.

Pour ce faire, plusieurs moyens s’offrent aux organisations — pensons, par exemple, aux processus d’auto-évaluation, aux vérifications internes et aux évaluations et validations effectuées par des tiers.

Même si l’adoption de la LPRPDE remonte à plus de dix ans, le Commissariat se heurte encore à certains problèmes fondamentaux en matière de responsabilité dans le cadre de ses enquêtes et de ses vérifications.

La responsabilité a essentiellement pour but de renforcer la confiance des consommateurs et des citoyens. Il vaut beaucoup mieux aborder les problèmes de respect de la vie privée de façon proactive que nettoyer les dégâts après coup.

Anciens Combattants Canada serait certainement d’accord avec cette affirmation. Rappelez-vous la publicité négative que le Ministère a reçue après avoir mal géré les renseignements personnels d’un ancien combattant. Les renseignements médicaux et personnels délicats de ce dernier ont été communiqués — sans contrôle apparent — à des fonctionnaires du Ministère qui n’avaient pas un besoin légitime de les connaître.

Notre enquête sur cette affaire a mené à la tenue d’une vérification qui a débouché sur d’importants changements.

Si vous souhaitez en savoir davantage sur la responsabilité, je vous invite à lire le document d’orientation que nous avons rédigé à ce sujet en collaboration avec nos homologues de l’Alberta et de la Colombie-Britannique, de même que le guide que nous avons élaboré pour la présentation d’évaluations des facteurs relatifs à la vie privée au Commissariat. Les deux documents se trouvent sur notre site Web.

6. Établir des partenariats

Le fait de travailler avec nos partenaires — y compris nos homologues provinciaux et des autorités internationales chargées de la protection des données — nous a grandement aidés à surmonter les difficultés liées à l’évolution de l’environnement.

La coopération est cruciale compte tenu de la structure fédérale du Canada et de la façon dont circulent les renseignements. Dans le cadre de nombreuses transactions commerciales, des renseignements personnels franchissent des frontières non seulement provinciales, mais aussi nationales.

Dans l’arrêt Abika, la Cour fédérale a confirmé que le Commissariat a la pouvoir d’enquêter sur les plaintes liées au flux transfrontières de renseignements personnels. Cette décision a eu une incidence particulièrement importante dans le contexte de l’univers en ligne.

Plus tôt cette année, nous avons annoncé les résultats d’une enquête — menée conjointement avec l’autorité néerlandaise de protection des données — sur le traitement des renseignements personnels par WhatsApp, société californienne qui conçoit des applications mobiles.

Nous avons signé des ententes de collaboration et d’échange de renseignements avec l’Irlande, le Royaume-Uni, l’Allemagne, les Pays-Bas et l’Uruguay. Nous sommes également partie à une entente multilatérale conclue sous l’égide de l’APEC qui nous permet d’échanger des renseignements avec la Federal Trade Commission des États-Unis.

La coopération entre les autorités est essentielle pour protéger le droit à la vie privée dans un monde où les questions relatives à la protection de la vie privée transcendent les frontières et où les ressources pour faire appliquer les lois à cet égard sont limitées.

Il me semble que si une question liée à la protection de la vie privée touche plusieurs pays, il n’est pas nécessaire que les autorités chargées de la protection des données de tous ces pays fassent enquête.

Nous avons grandement amélioré la coopération entre les autorités ces dernières années, mais il nous reste encore bien du chemin à faire.

Conclusion

Avant de clore mon allocution, j’aimerais mentionner un aspect qui, je crois, concerne un certain nombre d’entre vous — et je constate d’ailleurs qu’il sera abordé cet après-midi. Je veux parler de l’importance de s’assurer que les lois et règlements demeurent pertinents pour leur époque.

Au cours des dix dernières années, j’ai consacré beaucoup d’énergie à tâcher de convaincre les parlementaires du besoin de moderniser les lois relatives à la protection de la vie privée.

Nos lois ont des fondements solides, mais elles font l’objet de pressions.

La Loi sur la protection des renseignements personnels date de 1983 — la plupart des fonctionnaires travaillaient encore à la machine à écrire à l’époque — et elle n’a pas été modernisée depuis son adoption. La LPRPDE devrait également faire l’objet d’une mise à jour.

Je n’aurai malheureusement pas eu la chance, au cours de mon mandat, d’assister à la réalisation des changements qui doivent absolument être apportés à ces lois afin de protéger la vie privée des Canadiens. Ce sera au prochain commissaire à la protection de la vie privée de veiller à ce qu’on les apporte.

J’ai abordé de nombreux enjeux en peu de temps. J’espère que mes observations pourront vous être utiles dans le cadre de vos fonctions de régulateurs. Je vous remercie — et j’espère qu’il me reste quelques minutes pour répondre à vos questions.

Date de modification :