Modèles d’évolution des pratiques en matière de protection des renseignements personnels : prise en compte de la perspective éthique

Commentaires lors de la Conférence Ethics Essentials

Ottawa, Ontario
le 27 mars 2014

Allocution prononcée par Patricia Kosseim
Avocate générale principale et directrice générale, Direction des services juridiques, des politiques et de la recherche

(Le texte prononcé fait foi)


Introduction

Je vous remercie de m’avoir si gentiment invitée à me joindre à vous aujourd’hui pour participer à votre conférence sur l’élément au cœur de l’éthique, soit la gestion de la responsabilité et de la reddition de comptes au sein du gouvernement, des organismes d’État et de la société civile. Plus précisément, vous m’avez demandé de vous parler du « prochain niveau de perfectionnement dans la protection des renseignements personnels ».

Le respect de la vie privée repose non seulement sur des obligations législatives immuables, mais aussi sur des obligations éthiques et morales fondamentales. C’est ce que je pense depuis longtemps. Comme vous pourrez le constater en prenant connaissance de mon parcours, je me passionne depuis un certain temps pour le dialogue juridique, éthique et social dans son ensemble concernant la protection de la vie privée – un dialogue nuancé et intégré ouvert à tous qui se déroule à la jonction de la société et de la technologie émergente. Ce dialogue éclaire et appuie une innovation responsable tant pour nous que pour les générations futures.

Trop souvent, les conversations sur la vie privée accordent une importance excessive au libellé exact des lois et des règlements pour déterminer ce que nous devons faire au minimum dans une situation donnée. Ce type de discours est nécessaire pour réduire le risque de responsabilité civile, mais il n’en restreint pas moins indûment la portée du dialogue – intentionnellement ou non – en excluant la question éthique la plus importante, à savoir « Que devrions-nous faire dans les circonstances? »

Le droit à la vie privée

La Cour suprême du Canada a clairement établi que le droit à la vie privée constitue une valeur fondamentale dans une société démocratique moderne. « Fondée sur l’autonomie morale et physique de la personne, la notion de vie privée est essentielle à son bien-être. Ne serait-ce que pour cette raison, elle mériterait une protection constitutionnelle, mais elle revêt aussi une importance capitale sur le plan de l’ordre public. »

Un corollaire reconnu du droit à la vie privée est le droit pour les individus d’avoir accès à l’information les concernant détenue par d’autres pour pouvoir vérifier et contester leur exactitude.

Une autre conséquence directe est le besoin de pouvoir compter sur des mécanismes transparents pour aviser les individus de l’existence même de cette information afin de s’assurer que ceux qui la recueillent, l’utilisent et la communiquent en assument la responsabilité.

Ces valeurs constituent l’assise sur laquelle nous exerçons nos activités, mais le contexte dans lequel nous tentons de les appliquer est aussi instable que des sables mouvants. La nature et le rythme du changement dont nous sommes actuellement témoins sont sans précédent.

Remise en contexte

Bien qu’énumérer les changements qui découlent de l’omniprésence de l’informatique puisse sembler banal, les changements comme tels n’ont rien d’anodin. Les plateformes des médias sociaux, la surveillance audio, vidéo, aérienne et dans Internet, le suivi du comportement et la reconnaissance faciale, les applications mobiles, les appareils intelligents et l’Internet des objets ont complètement changé notre mode de vie au quotidien, nos interactions avec notre employeur, nos relations avec l’État, nos transactions avec les entreprises, ainsi que la façon dont nous apprenons les uns des autres, entretenons des relations et communiquons ensemble.

La démarcation autrefois bien nette entre les secteurs public et privé commence à s’estomper puisque les gouvernements se tournent de plus en plus vers les acteurs du secteur privé pour externaliser certaines procédures ou fonctions. Les transporteurs aériens, les banques, les entreprises de services publics et les fournisseurs de services Internet sont devenus des tentacules indispensables pour élargir la portée de l’État et recueillir de l’information aux fins d’application de la loi et de sécurité nationale. Dans son vingtième rapport annuel au Premier ministre, le greffier du Conseil privé exhorte les fonctionnaires fédéraux à « miser sur les approches intégrées » et à s’inspirer du secteur privé pour accroître leur productivité et leur efficacité et améliorer le service à la clientèle grâce à des technologies d’information novatrices.

Il devient de plus en plus difficile de maintenir la séparation que nous nous efforcions autrefois de préserver entre notre vie publique et notre vie privée. À mesure que les mégadonnées et la capacité d’analyse deviennent plus puissantes et perfectionnées, des éléments disparates de notre identité en ligne et hors ligne sont combinés pour brosser un portrait plus complet de notre personne (ou à tout le moins de l’image qu’en perçoivent les autres). Notre historique de navigation dans le Web, nos données sociodémographiques, nos données de géolocalisation en temps réel, nos habitudes en matière de voyages, nos opérations financières, nos habitudes d’achat, nos métadonnées informatiques, nos données biométriques, entre autres, ont une valeur inestimable pour les organisations commerciales et les gouvernements, y compris les gouvernements étrangers dans certains cas.

Les changements que nous observons appellent une remise en contexte de notre compréhension du droit à la vie privée.

Retour à l’essentiel

Mais qu’entend-on par « remise en contexte »? Trop souvent, les gens lèvent les bras en l’air et soupirent de découragement en se demandant si le droit à la vie privée même existe encore. On entend beaucoup trop souvent la rengaine affirmant à tort que les jeunes ne se soucient pas de la protection de leur vie privée – sur Facebook. Et c’est sans compter les dirigeants d’entreprise influents dont les inepties sont malheureusement répétées en boucle par d’autres. Mentionnons à cet égard les propos de Scott McNealy, PDG de Sun Microsystems : « Vous n’avez absolument aucune vie privée. Revenez-en! ».

Ou ceux d’Eric Schmidt, PDG de Google : « Si vous faites quelque chose et que vous voulez éviter que quelqu’un le sache, peut-être devriez-vous commencer par ne pas le faire. »

Mais le simple fait que le contexte a évolué ne signifie pas que nos valeurs de base ont changé.

Les gens se préoccupent encore de leur vie privée, et ce, de plus en plus. Selon un sondage d’opinion publique commandé l’an dernier par le Commissariat à la protection de la vie privée du Canada, les deux tiers des Canadiens sont préoccupés ou extrêmement préoccupés par la protection de leur vie privée.

Sept Canadiens sur dix considèrent que leurs renseignements personnels sont moins protégés qu’il y a dix ans, tandis qu’une proportion légèrement plus élevée (71 %) estime que la protection des renseignements personnels sera l’un des plus grands enjeux auxquels le pays sera confronté au cours des dix prochaines années.

Les entreprises elles-mêmes ont compris qu’il faudrait recommencer à investir dans la protection de la vie privée. Elles diffusent des publicités qui font directement écho aux besoins des consommateurs désireux de se protéger, en affirmant qu’elles ont une longueur d’avance par rapport à leurs concurrents. Je doute fort qu’il serait rentable d’affirmer ce genre de choses si les gens ne se préoccupaient vraiment pas de leur vie privée.

D’après la recherche menée sous l’égide de notre Programme des contributions, les jeunes se préoccupent de leur vie privée, même s’il s’agit d’un concept relatif à leurs yeux et même s’ils choisissent parfois de l’exprimer différemment.

Dans une affaire récente impliquant des briseurs de grève photographiés alors qu’ils franchissaient le piquet de grève devant l’entrée d’un casino, la Cour suprême a été claire : on ne perd pas son droit à la vie privée pour la simple raison qu’on se trouve en public.

Remettre en contexte, cela ne signifie pas atténuer ou diluer la notion de vie privée en réduisant son importance. Il s’agit plutôt de donner un sens concret aux principes du droit à la vie privée et de les incarner d’une façon qui prend en compte la nouvelle réalité dans laquelle nous vivons.

Dans cette conjoncture, permettez-moi maintenant de répondre à la question précise que vous m’avez posée : « Comment peut-on atteindre le prochain niveau de perfectionnement dans la protection des renseignements personnels? »

Le prochain niveau de perfectionnement dans la protection des renseignements personnels

Un grand nombre d’entreprises et d’entrepreneurs intelligents ont élaboré des modèles d’évolution très colorés et attrayants sur le plan visuel que les organisations et les institutions gouvernementales peuvent utiliser lorsqu’elles évaluent leur rendement au chapitre de la protection de la vie privée. Il ne m’appartient pas d’en cautionner un plutôt qu’un autre.

Toutefois, si vous me demandiez de proposer un modèle d’évolution des pratiques en matière de protection des renseignements personnels qui évalue ce qui constitue à mon avis « le prochain niveau de perfectionnement dans la protection des renseignements personnels », je choisirais un modèle qui prend en compte trois facteurs : la responsabilité, le leadership et l’éthique.

Responsabilité accrue

À maintes reprises, le Commissariat a réitéré l’importance de « joindre le geste à la parole » lorsqu’il s’agit de protéger la vie privée. Nous voyons trop souvent des politiques de confidentialité et des procédures qui sont de véritables chefs-d’œuvre sur papier, mais dont les organisations font fi dans la pratique. Les problèmes surviennent souvent à l’étape de la mise en œuvre, lorsque les employés n’ont suivi aucune formation ou, même s’ils sont formés, lorsqu’ils choisissent de ne pas respecter le protocole organisationnel dans une culture où il y a trop peu de rappels et trop peu de conséquences.

On peut observer un exemple récent de cette réalité dans le rapport de conclusions publié par la commissaire à la suite de l’enquête sur l’atteinte à la vie privée survenue à Emploi et Développement social Canada (EDSC). Vous vous rappelez sans doute que cette enquête a été amorcée l’an dernier après que le Ministère eut signalé la perte d’un disque dur externe renfermant les renseignements personnels de 583 000 bénéficiaires de prêts d’études, notamment leur numéro d’assurance sociale, leur nom, leur date de naissance, leur adresse résidentielle, leur numéro de téléphone et le solde de leur prêt d’études.

Ce rapport, qui a été déposé au Parlement lundi, est affiché dans notre site Web. Il explique en détail que le disque dur était laissé sans protection pendant de longues périodes, qu’il n’était pas protégé par un mot de passe et que l’information y figurant n’était pas chiffrée.

D’après l’enquête, en raison d’un décalage entre la politique et la pratique, il y avait des défaillances dans les mesures de contrôle physiques, techniques et administratives et dans la sensibilisation des employés aux politiques et aux méthodes du Ministère.

EDSC disposait bien sur papier d’une politique de protection de la vie privée et de sécurité qui était conforme aux exigences fédérales relatives à la protection des renseignements personnels, mais il n’avait pas réussi à transposer ses propres politiques de protection de la vie privée et de sécurité en pratiques opérationnelles judicieuses.

L’enquête menée par le Commissariat il y a quelques années au sujet de la collecte de données par Google sur un réseau sans fil fait ressortir la même réalité dans le secteur privé.

En 2010, Google a découvert qu’en voulant recueillir des renseignements diffusés publiquement à partir de points d’accès Wi-Fi pour améliorer les services géodépendants de l’entreprise, ses voitures Street View avaient recueilli le contenu de véritables courriels (c.-à-d. des « données utiles ») transmis par des réseaux sans fil non sécurisés.

En menant son enquête, la commissaire à la protection de la vie privée du Canada a constaté que l’entreprise avait enfreint la législation fédérale sur la protection de la vie privée en recueillant des renseignements personnels sans le consentement des intéressés, y compris certains renseignements très délicats.

L’ingénieur de Google qui avait créé le code pour l’échantillonnage des catégories de données Wi-Fi diffusées publiquement dans le cadre d’un projet expérimental avait également intégré un code permettant de capter des données utiles, pensant que cela pourrait un jour servir à Google. L’ingénieur avait relevé ce qu’il croyait être des problèmes « superficiels » en matière de protection de la vie privée. Mais, contrairement à la procédure de l’entreprise, il ne les a pas portés à l’attention du conseiller juridique qui aurait dû les étudier et les résoudre avant le déploiement.

En raison de l’omission de cet employé et de la surveillance sommaire effectuée par les gestionnaires, qui ne se sont aperçus de rien, les procédures de protection de la vie privée de l’entreprise n’ont jamais été appliquées comme elles auraient dû l’être avant le lancement du produit.

Dans ces deux cas, comme dans de nombreux autres, les entreprises ont convenu, à la suite de l’intervention du Commissariat, de monter d’un cran et de renforcer leurs mécanismes de gouvernance et de responsabilité internes.

Grâce à l’adoption et à l’intégration des principes de prise en compte du respect de la vie privée dès la conception, ratifiés dans une résolution unanime à la Conférence internationale des commissaires à la protection des données à Jérusalem en 2010, les organisations et les entreprises peuvent incorporer la protection de la vie privée aux nouvelles technologies de l’information dès les premières étapes du développement de produits ou de services, et ce, avant le déploiement sur le marché.

En outre, le Commissariat offre un certain nombre de ressources utiles aux entreprises et aux gouvernements pour renforcer leurs structures, leurs processus et leur culture de responsabilité en matière de protection des renseignements personnels. Le document intitulé Un programme de gestion de la protection de la vie privée : la clé de la responsabilité et notre Bulletin d’interprétation sur la responsabilité peuvent aider les organisations désireuses d’élever leur régime de protection de la vie privée au prochain niveau de perfectionnement afin que les mesures de reddition de comptes ne soient pas que des vœux pieux et qu’il soit possible de les mettre en pratique de façon manifeste et efficace.

Donner courageusement l’exemple

Les modèles efficaces d’évolution des pratiques de protection de la vie privée aident à assurer la conformité aux lois et aux règlements en vigueur pour « bien faire les choses », mais une protection plus perfectionnée aide à orienter les institutions et les organisations pour les amener à « faire la bonne chose ». En donnant courageusement l’exemple, on favorise le respect de la vie privée, on instaure une culture en la matière et on fait comprendre son importance au-delà de la lettre de la loi.

Par exemple, il est très révélateur d’examiner quelles organisations et institutions gouvernementales choisissent (ou non) de signaler au Commissariat les atteintes à la vie privée ou d’aviser les personnes touchées. Même si la loi ne les y oblige pas (à tout le moins pas encore), plusieurs d’entre elles le font de façon volontaire et proactive. Elles sont conscientes de l’importance de la transparence et prennent au sérieux leur responsabilité de rendre des comptes. Ces organisations et ces institutions choisissent de déclarer les atteintes et d’aviser les individus qui pourraient, une fois informés, prendre les mesures d’atténuation nécessaires pour réduire le risque de préjudice.

Certaines le font pour éviter les éventuels recours en common law au titre de la responsabilité civile ou pour préserver leur réputation, mais on peut espérer que dans une salle du conseil quelque part un PDG ou un cadre supérieur de la fonction publique préconise de « faire la bonne chose ».

Les organisations et les institutions gouvernementales qui investissent volontairement et proactivement dans l’élaboration de protocoles et de procédures pour réagir de façon efficace et rapide aux atteintes à la vie privée auront une longueur d’avance si la déclaration devient obligatoire.

Le cas d’une autre organisation qui donne courageusement l’exemple me vient à l’esprit. Je veux parler du Commissariat et de ses responsabilités en matière de protection de la vie privée et d’accès à l’information. Bien avant le dépôt en 2006 du projet de loi C-2, la Loi fédérale sur la responsabilité, qui a assujetti le Commissariat à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels, notre commissaire en poste à l’époque avait déjà commencé à inculquer une culture de responsabilité publique en nous amenant à nous gérer nous-mêmes dans un esprit de transparence, comme si nous étions déjà régis par ces deux lois.

Le niveau d’investissement des organisations et des institutions dans la protection de la vie privée témoigne également d’un leadership courageux. La triste réalité, comme elle nous a été décrite par de nombreuses personnes qui la vivent, c’est que les entreprises à but lucratif doivent concentrer leurs efforts sur le résultat net. Si elles doivent choisir entre un régime fédéral de protection de la vie privée qui ne prévoit pas de sanctions pécuniaires appréciables pour les contrevenants et d’autres régimes législatifs de conformité assortis d’amendes élevées ou de lourdes sanctions administratives, elles auront tendance à affecter leurs ressources là où ça compte.

Mais les dirigeants d’entreprise et les chefs de gouvernement les plus avertis savent ce qui en est. Ils comprennent les conséquences que les atteintes à la vie privée peuvent avoir sur la réputation de leur organisation ou de leur institution. De surcroît, ils sont conscients du lien de confiance à préserver dans leurs relations avec les clients ou les citoyens pour connaître un succès durable à long terme.

Pour franchir le prochain niveau de perfectionnement dans la protection de la vie privée, il faut avoir le courage d’affecter des fonds au chef de la protection des renseignements personnels ou au bureau de l’accès à l’information et de la protection des renseignements personnels, et de faire ressortir avec fierté l’importance de cette fonction interne. Le Modèle d’évolution des pratiques en matière de protection des renseignements personnels leur assure les ressources, le pouvoir décisionnel, le leadership et l’indépendance nécessaires pour faire leur travail de façon efficace et utile.

Prise en compte de la perspective éthique en amont

La prise en compte de la perspective éthique dans le processus décisionnel d’une organisation ou d’une institution constitue un troisième facteur que l’on pourrait envisager d’inclure dans le modèle d’évolution des pratiques en matière de protection des renseignements personnels. Les principes de prise en compte du respect de la vie privée dès la conception dont je vous ai parlé tout à l’heure renforcent la responsabilité, car on examine la façon d’intégrer la protection de la vie privée dès l’élaboration des produits.

Toutefois, même avant cela, je crois qu’on pourrait entamer un dialogue plus éclairé et ouvert pour déterminer s’il y a lieu de poursuivre le développement du produit ou du service. Le simple fait que nous puissions faire quelque chose ne signifie pas toujours que nous devrions le faire.

Depuis des dizaines d’années, le milieu de la recherche scientifique a élaboré le concept des comités d’éthique de la recherche pour examiner les aspects éthiques des projets de recherche proposés. De nombreux organismes de financement exigent une approbation préalable par l’un de ces comités avant de débloquer des fonds. Les membres d’un comité d’éthique de la recherche apportent des perspectives variées dans les discussions et se penchent sur les répercussions éthiques avant de donner le feu vert à une expérience. Ils soupèsent les avantages éventuels des résultats de la recherche et les risques pour les participants. Récemment, des universitaires, des autorités de la protection des données et les entreprises elles-mêmes ont commencé à se demander s’il ne faudrait pas disposer d’un mécanisme équivalent pour aider les organisations commerciales qui souhaitent exploiter des mégadonnées afin d’étudier et d’analyser le comportement des consommateurs.

On a proposé de mettre sur pied des comités d’éthique de la consommation jouant un rôle consultatif auprès des sociétés commerciales pour les aider à évaluer les répercussions globales de l’utilisation des renseignements personnels et à faire des choix plus délibérés concernant les « avenues » que ces entreprises décideront d’emprunter ou non.

Conclusion

En conclusion, j’estime que le modèle d’évolution des pratiques en matière de protection des renseignements personnels doit prendre en considération la mesure dans laquelle les entreprises ou les institutions peuvent faire la preuve d’une responsabilité judicieuse, donner courageusement l’exemple et prendre en compte la perspective éthique dans leurs décisions concernant les futurs produits ou services.

Les points de vue alarmistes et les perspectives pessimistes ne peuvent mener à dialogue constructif, mais jouer à l’autruche n’est pas non plus la solution. Il ne faut pas se bercer d’illusions. Les modifications graduelles que nous apportons aujourd’hui et les décisions que nous prenons, en tant qu’individus, groupes, entreprises et gouvernements, changeront à jamais la vie de nos enfants.

L’omniprésence des technologies de surveillance peut modifier non seulement la façon dont nous nous exprimons, mais aussi la façon dont nous pensons et apprenons. Les enfants qui grandissent en sachant que d’autres suivent les activités par lesquelles ils s’expriment pourraient à la longue perdre leur spontanéité, leur créativité et devenir incapables d’apprendre par l’expérience, c’est-à-dire perdre leur capacité ou leur volonté d’apprendre librement de leurs erreurs.

Les internautes qui ont conscience que les entreprises et les gouvernements recueillent leurs métadonnées et leur historique de navigation pourraient bien cesser de faire les recherches qu’ils avaient l’habitude de faire pour comprendre les deux côtés d’un débat de société qui les intéresse et ainsi se faire une idée plus juste. Pendant combien de temps encore pourront-ils rechercher de l’information de façon anonyme, par exemple dans les bibliothèques publiques, les librairies ayant pignon sur rue, les clubs vidéo traditionnels ou la télévision conventionnelle? Dans combien de temps ces moyens anonymes deviendront-ils complètement désuets et par quelles technologies seront-ils remplacés?

Les individus dont les données de géolocalisation sont suivies en temps réel au moyen de leur appareil mobile ou dont les images pourraient être saisies et reconnues au moyen d’une technologie de reconnaissance faciale pourraient bien finir par limiter les types de personnes avec lesquelles ils ont des contacts et les types d’activités auxquelles ils prennent part. Pendant combien de temps encore les idées de tous et les perspectives variées seront-elles tolérées si les gens craignent de se trouver d’une certaine façon à trois degrés de séparation de « personnes d’intérêt » en raison des médias sociaux et des salles de clavardage, voire des courriels?

Qu’adviendra-t-il de notre notion de la solidarité humaine et de la responsabilité civile si nous craignons que les dons que nous faisons à des organismes de bienfaisance apparemment légitimes ne se retrouvent sur la liste d’organisations terroristes suspectes?

Le droit à la vie privée revêt une importance fondamentale pour une société libre et démocratique. Sans ce droit, de nombreuses libertés connexes sont également menacées. Il ne faut pas être alarmiste, mais il ne faut pas négliger cet aspect. Il s’inscrit dans le grand débat éthique qui s’impose sur le type de monde où nous voulons vivre et que nous souhaitons léguer aux générations futures. Chaque individu, groupe, entreprise et ministère est un participant légitime à ce débat et un acteur dynamique dans les décisions que nous prenons aujourd’hui et qui influeront sur la façon dont nous vivrons demain. Ce sont les types de perspectives et de considérations que doit prendre en compte à mon avis le modèle d’évolution des pratiques en matière de protection des renseignements personnels.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :