La renaissance nécessaire de la Loi sur la protection des renseignements personnels
Commentaires à la Bibliothèque du Parlement
Le 29 novembre 2013
Ottawa, Ontario
Notes pour l’allocution de Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
(La version prononcée fait foi)
Introduction
Permettez-moi tout d’abord de remercier la Bibliothèque du Parlement de m’avoir offert la possibilité de faire valoir l’urgence de réformer la Loi sur la protection des renseignements personnels.
L’activité d’aujourd’hui me donne une dernière occasion de souligner, en tant que commissaire, la nécessité croissante de modifier une loi d’une extrême importance. C’est aussi la dernière fois que je prendrai la parole dans l’enceinte de ces murs de pierre vénérables.
Bien entendu, ce fut pour moi un grand privilège de servir les Canadiens au cours des 10 dernières années et je n’aurais pas pu choisir un sujet plus approprié pour ma dernière allocution en qualité de commissaire sur la Colline du Parlement.
Comme la plupart d’entre vous le savez déjà, la Loi sur la protection des renseignements personnels définit les règles de base en ce qui concerne la façon dont les ministères et les organismes fédéraux doivent traiter les renseignements personnels.
Ou, plus précisément, la façon dont ils devaient les traiter au moment de l’adoption de la Loi il y a une trentaine d’années.
Le monde des renseignements personnels a changé radicalement depuis cette époque. Nous le reconnaissons tous. Mais le libellé de la Loi est pratiquement le même qu’au moment de son adoption.
Il n’a pas été adapté en fonction des avancées technologiques extraordinaires qui ont vu le jour au cours des 30 dernières années.
La Loi n’a de toute évidence pas suivi le rythme des préoccupations et des attentes des Canadiens concernant la protection de leur vie privée.
Des mesures ont été proposées à maintes reprises afin de rafistoler différents aspects de la Loi.
C’est un peu comme les réparations et l’entretien effectués au fil des ans dans le bâtiment historique où nous nous trouvons aujourd’hui, l’édifice du Centre du Parlement.
Mais, à un moment donné, le rafistolage ne suffit plus.
Nous en serons là en 2018, lorsque le Parlement sera délocalisé pour permettre la réalisation de travaux de grande envergure afin de remettre à neuf le mortier effrité, les pierres fissurées et les conduites d’eau vieillissantes.
On fera aussi des rénovations majeures pour adapter l’édifice à des exigences technologiques que l’on n’aurait pu imaginer il y a un siècle, au moment de sa reconstruction après un incendie dévastateur.
Les responsables utilisent le terme « renaissance » pour désigner le projet de l’édifice du Centre.
La Loi sur la protection des renseignements personnels a fait l’objet d’un entretien minimal et a elle aussi besoin d’une renaissance.
Un débat public à grande échelle et un examen exhaustif des points faibles de la Loi devraient permettre d’offrir aux Canadiens une version modernisée de la Loi sur la protection des renseignements personnels.
Mais, qui plus est, le gouvernement fédéral montrera clairement aux fonctionnaires et aux citoyens qu’il prend au sérieux sa responsabilité en matière de protection des renseignements personnels.
Pour préserver sa légitimité, sa crédibilité et la confiance du public à son égard, le gouvernement doit gérer les renseignements personnels en prenant en compte les inquiétudes et les attentes plus grandes des Canadiens en ce qui a trait à la protection de la vie privée.
Voyons ensemble les différentes étapes qui m’ont amenée à réclamer cette renaissance.
Rétrospective
Faisons un bref retour sur le passé.
Vers la fin des années 1960, la protection des renseignements personnels a commencé à susciter des inquiétudes généralisées en raison de la convergence de deux tendances – la révolution de l’information découlant de l’arrivée des premiers ordinateurs centraux et l’utilisation croissante des renseignements personnels à des fins administratives.
Dans le monde occidental, les pouvoirs publics ont créé des groupes de travail, des commissions et des comités pour étudier la question.
Au Canada, dès 1969, la Commission royale sur la sécurité a tiré la sonnette d’alarme :
« Au cours des dernières années, on a exprimé de l’inquiétude au sujet des empiétements de l’État (ainsi que des particuliers et des organisations) sur ce qu’il est convenu d’appeler « le droit à la vie privé ». Le problème est vaste et comprend, par exemple […] le recueil et l’entreposage de données personnelles dans des ordinateurs. » [Traduction]
En 1973, le gouvernement de la Suède a adopté une loi sur les renseignements. Il s’agissait de la première loi nationale sur la protection des renseignements.
La loi sur la protection des renseignements personnels des États‑Unis a ensuite été adoptée en 1974.
Ici, au Canada, c’est en 1977 que le gouvernement fédéral a décidé de confier à un membre de la toute nouvelle Commission canadienne des droits de la personne la responsabilité de la protection de la vie privée.
La commissaire aux droits de la personne désignée à cette fin était Inger Hansen, qui est décédée en septembre dernier.
Elle avait été nommée pour quatre ans en 1977 et son mandat avait été renouvelé en 1981.
Parallèlement, des représentants de l’Organisation de coopération et de développement économiques (OCDE) s’attachaient à formuler une série de principes de base que les États membres et d’autres pays pourraient adopter pour protéger les renseignements personnels.
Le but était d’éviter de restreindre la circulation transfrontière des renseignements.
En septembre 1980, le Conseil de l’OCDE a adopté huit principes relatifs à l’équité dans le traitement de l’information.
Du fait qu’ils sont concis, neutres sur le plan technologique et rédigés dans un style accessible, ces principes s’adaptent remarquablement bien à l’environnement social et technologique en évolution et ils ont conservé leur influence et leur importance.
Les auteurs de la Loi sur la protection des renseignements personnels du Canada, qui était alors en cours de rédaction, ont repris les principes relatifs à l’équité de l’information adoptés par l’OCDE.
Ils ont en outre défini le rôle du nouveau commissaire à la protection de la vie privée en s’inspirant de celui d’un ombudsman.
En promulguant la Loi, le 1er juillet 1983, le Canada est devenu un chef de file mondial de la protection de la vie privée.
Les observateurs considéraient alors que notre loi allait plus loin que celle de pays comme l’Irlande, l’Australie et les Pays-Bas, pour ne nommer que ceux-là.
C’était le cas à cette époque – mais les temps ont bien changé.
Alors, comment se fait–il que notre Loi sur la protection des renseignements personnels soit demeurée inchangée pendant une période de l’histoire marquée par de nombreux changements, au point où elle est maintenant trop dépassée pour servir de modèle à quiconque?
Efforts de réforme passés
Ce n’est pas faute d’avoir tenté de réformer la Loi, puisque des efforts en ce sens ont été déployés presque dès la création de cette dernière.
En effet, les premiers efforts en vue de la réforme de la Loi datent de 1987, soit quatre ans seulement après l’entrée en vigueur de la Loi et bien avant mon entrée en fonction au poste de commissaire.
Dans son rapport intitulé Une question à deux volets : Comment améliorer le droit d’accès à l’information tout en renforçant les mesures de protection des renseignements personnels, le Comité permanent de la justice et du Solliciteur général de la Chambre des communes a formulé à l’unanimité plus de 100 recommandations visant à améliorer la législation sur la protection des renseignements personnels et l’accès à l’information. Mais la Loi est demeurée inchangée.
Dix ans plus tard, en 1997, après avoir mené une longue étude et de vastes consultations pancanadiennes, le Comité permanent des droits de la personne et de la condition des personnes handicapées a publié un rapport intitulé La vie privée : Où se situe la frontière?
Il y recommandait d’élargir la portée de la Loi et de la renforcer sur tous les aspects ayant trait à la protection des renseignements personnels dans la sphère fédérale. Une fois encore, aucun changement n’a été apporté à la Loi.
Quelques années plus tard, en juin 2006, j’ai présenté une série de propositions au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes en vue de la réforme de la Loi sur la protection des renseignements personnels.
J’ai témoigné de nouveau devant le Comité permanent en août 2008 pour mettre à jour ces propositions en recommandant dix modifications rapides, puis en mai 2009 pour recommander deux modifications supplémentaires, pour un chiffre rond de douze modifications rapides.
Il faut instaurer par voie législative un « test de nécessité » pour obliger les ministères et organismes gouvernementaux à démontrer la nécessité des renseignements personnels qu’ils recueillent.
Cette mesure est à mon avis l’une des plus urgentes. D’ailleurs, des efforts ont déjà été déployés dans ce sens.
La loi fédérale sur la protection de la vie privée dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, prévoit déjà un test semblable.
L’obligation d’aviser les autorités compétentes en cas d’atteinte à la sécurité des renseignements personnels au sein de l’administration fédérale est aussi extrêmement souhaitable.
En juin 2009, le Comité permanent a publié un rapport intitulé La Loi sur la protection des renseignements personnels : Premiers pas vers un renouvellement dans lequel il est indiqué que le ministre devrait « s’attarder davantage » au test de nécessité.
Le Comité n’a pas pris position en ce qui a trait à l’obligation d’aviser les autorités compétentes en cas d’atteinte à la sécurité des renseignements personnels, mais il s’est prononcé en faveur du renforcement des mesures de sécurité et de six modifications rapides supplémentaires.
En ce qui a trait à deux autres modifications rapides recommandées, il a préconisé un entretien entre le ministre et la commissaire à la protection de la vie privée.
Enfin, le Comité a rejeté une dernière modification rapide recommandée car il n’estimait pas qu’elle devait figurer au nombre des réformes prioritaires.
En ce qui a trait aux réformes proposées par d’autres intervenants, le Comité a recommandé qu’elles « soient prises en considération lors d’une prochaine étude, quand un examen exhaustif et approfondi de réformes supplémentaires de la Loi sur la protection des renseignements personnels sera[it] amorcé ».
Or, à ce jour, le gouvernement n’a adopté aucune réforme de la Loi sur la protection des renseignements personnels et n’a amorcé aucun examen exhaustif et approfondi.
État des lieux
Pour résumer, au cours des 26 dernières années, on a tenté à maintes reprises de moderniser la Loi sur la protection des renseignements personnels, mais sans jamais réussir à y apporter des changements appréciables.
Comme je l’ai indiqué au début de mon allocution, il est temps de cesser de rafistoler la législation de première génération sur la protection des renseignements personnels.
On doit la faire renaître en utilisant une procédure identique à celle qui a conduit à son adoption à l’origine. Il faut prendre des mesures législatives en réponse aux défis sur le front de la protection de la vie privée auxquels nous faisons face aujourd’hui et à ceux auxquels nous ferons face dans un avenir immédiat.
Permettez-moi de vous faire part de quelques faits qui donnent une bonne idée de l’environnement dans lequel s’inscrit actuellement la protection de la vie privée.
- Les Canadiens vivent de plus en plus leur vie en ligne. Plus de 80 % d’entre eux utilisent Internet et les deux tiers ont déclaré à Statistique Canada avoir utilisé un réseau social en 2012.
- La puissance de traitement des téléphones intelligents d’aujourd’hui est supérieure à celle des premiers gros ordinateurs, ceux-là mêmes qui ont été les premiers à susciter des préoccupations en matière de protection de la vie privée.
- Et, aujourd’hui, les gouvernements transmettent régulièrement des quantités phénoménales de renseignements personnels au-delà des frontières. On est bien loin de l’époque où la Loi sur les renseignements personnels a vu le jour, alors que les télécopieurs et le courrier postal étaient la norme.
Dans ce contexte, examinons les résultats obtenus il y a un an lorsqu’on a demandé aux membres d’un échantillon représentatif de Canadiens dans quelle mesure ils estimaient que le gouvernement prenait au sérieux sa responsabilité à l’égard de la protection des renseignements personnels.
Seulement 21 % d’entre eux ont répondu qu’il prenait cette responsabilité au sérieux, ce qui était la réponse occupant le deuxième rang le plus élevé sur une échelle de sept points. Il s’agit d’un résultat très similaire à celui du sondage mené l’année précédente.
Et ce vote de méfiance a été mesuré AVANT l’annonce dévoilant que l’ancien ministère des Ressources humaines et du Développement des compétences du Canada avait perdu un disque dur externe renfermant les renseignements personnels de plus d’un demi-million de bénéficiaires de prêts d’études.
Le sondage s’est aussi tenu AVANT le début des révélations d’Edward Snowden concernant les programmes de surveillance gouvernementaux.
Examinons ensemble les réalités du xxie siècle :
Des technologies de l’information et des communications plus puissantes, la difficulté de gérer l’information électronique, et les revendications sociales et politiques de citoyens engagés.
Ces réalités nous obligent à moderniser la Loi sur la protection des renseignements personnels.
Le Secrétariat du Conseil du Trésor a toutefois tenté de pallier l’absence de mesures législatives en élaborant des politiques sur des questions telles que l’externalisation du traitement de l’information gouvernementale et l’évaluation des facteurs relatifs à la vie privée par les organismes ou les ministères qui proposent des initiatives.
Ces efforts sont louables, mais les lignes directrices et les directives n’ont pas le même poids qu’une loi et elles n’apportent pas la même certitude absolue.
Dans la pratique, les organisations qui contreviennent aux lignes directrices et aux directives ne s’exposent à pratiquement aucune sanction.
Idéalement, ne serait-il pas préférable que les dispositions aient force de loi pour inciter les organisations à adopter des pratiques exemplaires? Ne devrait-on pas mettre l’accent sur la façon d’éviter les atteintes à la vie privée en amont plutôt que d’en faire état par la suite?
Sous le régime actuel, le Conseil du Trésor indique que le Commissariat devrait être avisé de toute atteinte à la vie privée.
Or, les rapports ministériels internes font état de 3 134 incidents distincts ayant touché plus de 725 000 Canadiens entre 2002 et 2012.
Sur ce nombre, à peine 13 % des incidents ont été déclarés au Commissariat. Même en faisant un gros effort d’imagination, cette proportion ne saurait respecter le seuil de reddition de comptes et de transparence accrues que les Canadiens exigent du gouvernement.
La suite des choses
Nous avons brossé un tableau du passé et du présent de la protection de la vie privée au Canada. Mais qu’en sera-t-il demain? Comment nous y prendrons-nous pour la suite des choses?
Tout d’abord, nous devrions cesser d’essayer de rafistoler la Loi sur la protection des renseignements personnels en empruntant des éléments ici et là dans les différentes mesures proposées que j’ai déjà décrites.
Il faudrait certes intégrer certains de ces éléments à la Loi repensée.
Mais un examen exhaustif s’impose pour déterminer quels éléments il faut retenir et leurs répercussions les uns sur les autres. Il faut examiner à la fois les attentes plus grandes des Canadiens en matière de protection de la vie privée et les menaces plus grandes qui pèsent aujourd’hui sur la protection de leurs renseignements personnels.
Comme nos prédécesseurs l’ont fait avant l’élaboration de la Loi sur la protection des renseignements personnels, nous devons nous renseigner sur ce que font les autorités d’autres pays pour moderniser leur législation dans le domaine. Nous devons porter une attention toute particulière à ce qui se passe au sein de l’Organisation de coopération et de développement économiques.
Compte tenu des nouvelles réalités de notre monde de plus en plus numérique, l’OCDE a mis à jour ses Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.
Elle y énonce les principes relatifs à l’équité dans le traitement de l’information qui ont précédé et inspiré notre Loi sur la protection des renseignements personnels.
Les nouvelles lignes directrices de l’OCDE élargissent la notion de responsabilité en ce qui a trait à la protection de la vie privée en soulignant que les organisations doivent faire la preuve qu’elles disposent d’un programme bien établi et efficace à cet égard.
Les lignes directrices exhortent aussi les États membres à exiger que les autorités compétentes soient avisées en cas d’atteinte à la sécurité des renseignements personnels et à doter ces autorités de la gouvernance, des ressources et de l’expertise technique nécessaires pour exercer leurs pouvoirs efficacement.
Des examens détaillés et approfondis de la législation en matière de protection des renseignements personnels sont également en cours au sein de l’Union européenne et en Australie.
Il faudrait se pencher attentivement sur les résultats de ces examens.
Dernières réflexions
En terminant, l’aspect le plus important pour aller de l’avant ne réside peut-être pas dans les lignes directrices ou les activités de modernisation des autres pays.
À mon avis, ce qui est vraiment primordial, c’est de recentrer l’approche adoptée par le Canada pour atteindre un équilibre entre la protection de la vie privée et les préoccupations liées à la sécurité nationale.
Au cours des 12 dernières années, nous avons été témoins de pressions exercées sans relâche en faveur du renforcement de la sécurité dans un monde où règne l’incertitude.
Dans ses rapports annuels, le Commissariat a documenté de nombreux incidents où les exigences relatives à la sécurité l’avaient emporté sur la protection de la vie privée.
Et, à l’heure actuelle, le débat et la controverse ne cessent de s’amplifier par suite des révélations selon lesquelles des organismes d’espionnage auraient surveillé en secret des millions de citoyens respectueux de la loi en vérifiant leurs courriels et leurs autres activités sur Internet.
J’ai bon espoir que le malaise encore grandissant du public à l’égard de l’attitude envahissante de cette société où la surveillance est omniprésente marque le début du retour du balancier en faveur du respect de la vie privée.
Enfin, comme j’en suis à quelques jours seulement de la fin de mon mandat comme commissaire à la protection de la vie privée, permettez-moi de vous faire part d’une réflexion un peu philosophique.
Nous devrions peut-être prendre du recul et nous demander ce que nous tentons de protéger et si d’autres moyens ne s’offrent pas à nous pour y parvenir.
Il est possible que le moment soit venu de faire preuve d’une plus grande ambition.
Dans bien des régions du monde, le respect de la vie privée est considéré comme un droit de la personne. Il est reconnu comme tel par les Nations Unies et dans la Charte des droits et libertés de la personne du Québec.
En serions-nous là si le respect de la vie privée avait été expressément inclus dans la Charte canadienne des droits et libertés en 1982? Serions-nous encore à la merci de la volonté politique pour relever les défis du xxie siècle en matière de protection de la vie privée?
Je laisserai à nos spécialistes le soin de répondre à cette question. Tout comme je dois passer le relais à mon successeur pour ce qui est de promouvoir la renaissance de la Loi sur la protection des renseignements personnels.
Il sera épaulé dans cette démarche par les personnes privilégiées qui travaillent au jour le jour dans ces murs pour servir les intérêts de leurs quelque 30 millions de concitoyens.
Je vous remercie de votre attention.
- Date de modification :