Une ère nouvelle au Commissariat : un aperçu préliminaire des orientations stratégiques du Commissariat

Commentaires à la Conférence de Lexpert sur la confidentialité des renseignements et la protection des données

Toronto (Ontario)
Le 27 novembre 2014

Allocution prononcée par Patricia Kosseim
Avocate générale principale et directrice générale, Direction des services juridiques, des politiques, de la recherche et de l’analyse des technologies

(Le texte prononcé fait foi)


Vous m’avez demandé de parler des priorités et perspectives du Commissariat sous la gouverne du nouveau commissaire à la protection de la vie privée du gouvernement fédéral. Je vous donnerai donc un aperçu de celles­ci, telles que je les vois à l’heure actuelle. 

Le « nouveau » commissaire à la vie privée, qui a commencé son mandat il y a près de six mois, est demeuré fidèle à la vision qu’il a énoncée lorsqu’il s’est présenté devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, le 3 juin 2014, à titre de candidat pour le poste, quelques jours à peine avant sa nomination. L’objectif de ses démarches, ainsi que sa priorité globale, consiste à se pencher sur les facteurs qui permettent d’améliorer le niveau de contrôle des individus sur leurs renseignements personnels.

Le commissaire a également mentionné qu’il souhaitait continuer à promouvoir les relations internationales et fédérales-provinciales-territoriales établies par sa prédécesseure, car il reconnaît l’importance fondamentale de collaborer davantage avec nos homologues du monde entier si l’on veut parvenir à réduire les menaces à la vie privée, dont la nature et la portée sont devenues mondiales. 

Pour ce qui est du style, le commissaire a indiqué qu’il comptait mener de nombreuses consultations. Il a également souligné l’importance d’entendre le point de vue d’un vaste éventail d’intervenants afin de pouvoir orienter les priorités du Commissariat en matière de protection de la vie privée pour les cinq prochaines années environ, de manière à ce qu’elles correspondent aux questions les plus pertinentes qui présentent le plus d’intérêt pour les Canadiens. 

Ces orientations stratégiques préliminaires se sont déjà manifestées sous plusieurs formes au cours des derniers mois, et c’est ce dont j’aimerais vous parler aujourd’hui. 

1. Aider à améliorer le contrôle des gens sur leurs renseignements personnels

Quels facteurs peuvent contribuer à améliorer le contrôle des gens sur leurs renseignements personnels? En voici quelques-uns : donner aux individus la possibilité de faire des choix éclairés concernant les renseignements qu’ils communiquent et les fins auxquelles ceux-ci sont utilisés; imposer des limites extérieures claires pour la collecte et les usages autorisés des renseignements personnels; faire preuve de transparence envers les Canadiens relativement à l’utilisation de leurs renseignements personnels; et faire mieux connaître aux Canadiens les nouvelles technologies pour qu’ils soient bien informés de leurs effets sur la protection de la vie privée avant de les adopter d’emblée.  

Permettez-moi de vous donner quelques exemples :

Choix : Une récente enquête sur les pratiques de gestion des renseignements personnels d’Apple illustre très bien la façon dont nous pouvons contribuer à ce que les gens fassent des choix éclairés. Dans le cadre de cette enquête, un individu s’est plaint de l’information qu’il devait fournir pour télécharger des applications gratuites, notamment, et plutôt bizarrement, les renseignements relatifs à sa carte de crédit. L’enquête nous a permis de constater que, même si la section d’aide du site Web d’Apple contenait des instructions pour télécharger des applications gratuites sans communiquer de données de paiement, il fallait entrer le terme de recherche « carte de crédit » pour pouvoir accéder à ces informations. Nous avons examiné des centaines de commentaires d’utilisateurs frustrés dans un forum ouvert d’Apple qui ne comprenaient pas pourquoi ils devaient fournir les renseignements relatifs à leur carte de crédit s’ils voulaient seulement télécharger des applications gratuites! Finalement, nous avons conclu que l’option offerte pour télécharger des applications gratuites sans entrer ces renseignements était loin d’être évidente et avons recommandé à Apple d’être plus clair au moment de l’enregistrement. Apple a accepté de donner suite à notre recommandation.

Limites : Notre récente Énoncé de position sur l’utilisation des résultats des tests génétiques par les compagnies d’assurances de personnes est un exemple de nos efforts visant à améliorer le contrôle individuel en établissant des limites extérieures concernant la collecte et l’utilisation des renseignements personnels. Dans cet énoncé, nous demandons au secteur privé de ne plus demander aux requérants de fournir leurs résultats de tests génétiques jusqu’à ce qu’il puisse clairement démontrer que ces tests sont nécessaires et efficaces aux fins de l’évaluation du risque actuariel. À l’heure actuelle, la position du secteur privé est que, si un individu s’est soumis à un test génétique et en a obtenu les résultats, il doit communiquer ces résultats à l’assureur pour que les deux parties puissent conclure un contrat de bonne foi en toute connaissance de cause. Cependant, une personne peut subir un test génétique pour une myriade de raisons, notamment à des fins généalogiques, d’origine ancestrale, de tests parentaux, de planification familiale, d’expérience ou de loisirs en ligne, et bon nombre de celles-ci ont peu de pertinence actuarielle, voire aucune. Si la position du secteur privé pourrait se résumer à dire : « donnez-nous tous les renseignements personnels et laissez-nous décider de ce qui est pertinent ou pas », le Commissariat rétorque pour sa part : « aucun de ces renseignements ne devrait être communiqué, à moins que sa pertinence puisse être démontrée au départ. » 

Transparence : Pour faire preuve de transparence envers les Canadiens en ce qui touche l’utilisation de leurs renseignements personnels, le Commissariat a récemment publié des lignes directrices et des conseils à l’intention des organismes sur la façon d’élaborer des politiques plus efficaces sur la protection de la vie privée en ligne pour les utilisateurs. Pour ce qui est du secteur public, nous avons demandé au gouvernement d’être plus transparent concernant l’utilisation des renseignements personnels des Canadiens en rendant public, sous forme agrégat, le nombre de demandes d’accès faites auprès d’organismes du secteur privé par les organismes d’application de la loi. Lors de sa récente comparution au sujet du projet de loi C­13, le commissaire a exprimé sa profonde inquiétude du fait que, plusieurs mois après l’affaire R. c. Spencer, les Canadiens ne savent toujours pas ce qui peut advenir de leurs renseignements personnels. Il a encouragé vivement le Parlement à mettre fin à cette situation ambiguë et à clarifier les pouvoirs de la police en common law, le cas échéant, pour obtenir de l’information sans mandat à la suite à l’arrêt Spencer.

Connaissances : Le fait de sensibiliser davantage les Canadiens aux nouvelles technologies peut les aider à mieux connaître les effets de celles-ci sur la protection de la vie privée et leur éviter de les adopter trop hâtivement. Dans le domaine de la recherche, le Commissariat demeure déterminé à conserver une longueur d’avance pour que nous puissions diffuser les connaissances sur les nouvelles tendances et ainsi aider les Canadiens à mieux comprendre les nouvelles questions relatives à la protection de la vie privée et à faire des choix éclairés. Par exemple, nous avons tout récemment publié un document de recherche sur les accessoires intelligents ainsi qu’une analyse juridique et technique des métadonnées. Dans le cadre du programme de contributions du Commissariat pour 2014-2015, nous avons subventionné des projets sur les voitures communicantes; une analyse des politiques de protection des renseignements personnels des prêteurs sur salaire en ligne; des options de sécurité pour les applications de santé mobiles conçues pour les personnes âgées atteintes d’une maladie chronique; une application pour les enfants sur la protection de la vie privée en ligne; et des « Open Badges » pour éduquer les jeunes Canadiens à la protection de la vie privée. 

2. Établir des collaborations internationales pour contrer les risques mondiaux en matière de protection de la vie privée

Le nouveau commissaire a pour deuxième orientation stratégique de miser encore plus sur les collaborations du Commissariat avec ses homologues provinciaux, territoriaux et internationaux afin de faire davantage front commun contre les menaces mondiales pour la protection de la vie privée. Depuis sa nomination, le commissaire a eu l’occasion, cet été, d’assister pour la première fois à la Conférence internationale des commissaires à la protection des données, tenue à Maurice. Là-bas, il coprésidait un groupe de travail formé d’autorités responsables de la protection des données de partout dans le monde qui a appuyé une entente historique mondiale de coopération transfrontière dans l’application de leurs lois. Cette entente énonce les règles de base entourant l’échange de renseignements confidentiels entre ces autorités en vue de faciliter et de coordonner leurs efforts d’application des lois. Sans une telle entente, nous aurions dû continuer à élaborer, de façon ponctuelle, des accords bilatéraux ou multilatéraux avec des douzaines d’autorités.

Alors qu’il était à Maurice, le commissaire a également signé des résolutions internationales sur les données massives et l’Internet des objets, ce qui illustre l’engagement universel des autorités responsables de la protection des données du monde entier à ne pas cesser d’innover et plutôt à faire avancer les innovations d’une manière respectueuse de la vie privée des personnes. 

Les rencontres en personne à Maurice ont également permis de renforcer les relations et les collaborations internationales nécessaires pour jeter les fondements de futures initiatives conjointes fructueuses, comme la planification du prochain ratissage international du Global Privacy Enforcement Network (GPEN). En outre, le renforcement des relations permet de répondre de manière plus rapide et plus efficace à l’échelle mondiale aux principales menaces à mesure qu’elles se présentent. La semaine dernière, une lettre conjointe urgente a été envoyée aux exploitants d’Insecam, site Web sorti de nulle part sur lequel sont diffusées des séquences vidéo en direct à partir de caméras Web dont les propriétaires ont conservé le nom d’utilisateur et le mot de passe par défaut fournis par le fabricant. Même si le site Web indique que cette pratique vise à sensibiliser le public en démontrant l’importance de régler les paramètres de sécurité des caméras de surveillance, la décision de montrer en ligne des séquences vidéo en direct de personnes dans la quiétude de leur domicile, à leur insu et sans leur consentement, constitue une grave menace pour la vie privée des gens. Cette menace est accentuée par l’inclusion d’information sur l’emplacement géographique précis des personnes dans le monde. Les autorités responsables de la protection des données du Canada, de la Colombie-Britannique, de l’Alberta, du Québec, de l’Australie, de Macao et du Royaume-Uni se sont rapidement mobilisées et ont demandé conjointement aux exploitants de fermer le site Web. Depuis, les exploitants ont retiré de leur site web certaines des caméras Web, et la situation continue de progresser.

3. Engagement des intervenants dans l’ensemble du pays

Conformément à son approche axée sur la consultation, le commissaire a tenu des rencontres avec des intervenants du secteur privé de Toronto et d’Ottawa dans les premiers mois de son mandat. De plus, il a rencontré des représentants de la société civile et d’un bon nombre des principaux ministères. Dans les prochains jours, il rencontrera des représentants du milieu universitaire pour les consulter au sujet des nouveaux enjeux et des orientations stratégiques de notre Programme des contributions à la recherche.

Le commissaire a également annoncé son intention de consulter des intervenants de partout au pays pour aider à déterminer les priorités stratégiques des cinq prochaines années. En plus des intervenants habituels, cette consultation sera élargie pour inclure divers groupes de consommateurs, et intégrera des sondages d’opinion publique et des groupes de discussion avec les Canadiens!

Cet exercice a pour but de cerner les secteurs stratégiques qui représentent la plus grande menace pour la vie privée des Canadiens et sur lesquels le Commissariat est susceptible d’avoir une incidence positive optimale au cours des cinq prochaines années. Ces priorités aideront le Commissariat à concentrer ses efforts et à prendre des décisions discrétionnaires sur l’affectation des ressources, ce qui lui permettra d’accroître ses chances de faire une réelle différence. 

Cet exercice permettra de renouveler les anciennes priorités qui ont été bien utiles au Commissariat au cours des sept dernières années, notamment, la sécurité publique, les technologies de l’information, la gestion de l’identité et l’information génétique.

  Lors du choix des nouvelles priorités, nous tiendrons compte des considérations suivantes :

  1. L’importance intrinsèque de l’enjeu :
    1. S’agit-il d’un enjeu de portée nationale ou internationale?
    2. Quelle est son urgence relative?
    3. Est-il pertinent pour les Canadiens?
  2. Le rôle du Commissariat et sa contribution potentielle :
    1. L’enjeu relève-t-il de la compétence fédérale?
    2. Concorde-t-il bien avec le mandat du Commissariat?
    3. Quel type de leadership est requis?
    4. Dans quelle mesure permettra-t-il de faire avancer la protection de la vie privée?
    5. Est-il pertinent pour les secteurs public et privé?
  3. Les questions pratiques :
    1. Le Commissariat est-il susceptible d’avoir des effets significatifs?
    2. Dans quelle mesure est-il possible d’obtenir des résultats dans un délai de cinq ans?
    3. Quel engagement le Commissariat a­t­il pris à ce jour à l’égard de cet enjeu?

Les futurs secteurs prioritaires pourraient porter sur les thèmes suivants :

Surveillance et services gouvernementaux : Le gouvernement adopte de nouvelles technologies et accroit la quantité de renseignements échangés entre les différents ministères et ordres de gouvernement et, dans certains cas, avec des organismes du secteur privé, dans le but d’améliorer les programmes et de moderniser la prestation des services aux Canadiens.  En même temps, ces nouvelles technologies sont utilisées pour effectuer une plus grande surveillance à des fins d’intégrité des programmes, de sécurité publique et de sécurité nationale. Toutefois, où doit-on tracer la limite sur le plan du respect de la vie privée?

Économie des renseignements personnels : Il existe un nombre incalculable de services en ligne auxquels nous avons accès « gratuitement » (p. ex., les courriels, les moteurs de recherche et les sites des médias sociaux). Les modèles opérationnels tacites sous-jacents à ces transactions sont fondés sur la communication, par les utilisateurs, de renseignements personnels à leur sujet (c.-à-d., les détails sur l’utilisation, les contacts, les intérêts, l’expérience de navigation de l’utilisateur, etc.) en vue d’obtenir les avantages des services ou l’accès à ces derniers. Essentiellement, les renseignements personnels sont devenus une marchandise – et la recherche de moyens d’en tirer profit est devenue une activité très lucrative. Qu’arrive-t-il cependant lorsque les solutions de rechange moins intrusives sur le plan des renseignements personnels sont moins facilement accessibles, soit parce que leur prix est exorbitant, soit parce qu’elles sont toutes retirées du marché?

Réputation et respect de la vie privée : Internet a eu une profonde incidence sur la gestion de la réputation personnelle. Nous créons nous-mêmes notre réputation en ligne en publiant des profils, des photos, des commentaires, etc. dans les médias sociaux. Nos traces numériques permettent également de dresser notre portrait, parfois à notre insu, et d’autres peuvent également façonner notre réputation. Une fois que les renseignements personnels sont publiés en ligne dans un contexte donné, il peut être extrêmement difficile de les éliminer ou d’empêcher qu’ils soient utilisés dans d’autres contextes. Même si nous évoluons et changeons au fil du temps, les renseignements personnels que nous publions restent malheureusement immuables.

Le corps comme source d’information : L’information générée par notre corps est unique en son genre et peut, à ce titre, être de nature très délicate. Comme de plus en plus de renseignements sur notre corps sont recueillis et numérisés par des dispositifs informatiques portables et reliés à d’autres renseignements nous concernant en ligne et hors ligne, les effets sur la protection de la vie privée peuvent changer profondément la donne. Même si nous pouvons chercher ces renseignements pour nos propres besoins médicaux ou récréatifs, quelles en seront les répercussions sur notre future assurabilité ou employabilité?

Renforcer les mesures de protection de la vie privée et la responsabilisation : Comme de plus en plus de renseignements sont recueillis, traités et stockés électroniquement, les organismes doivent assumer la responsabilité de leurs pratiques de gestion des renseignements personnels. Ils devront continuellement trouver de nouvelles façons de mettre à jour les pratiques en matière de protection de la vie privée et les mesures de sécurité pour se protéger de manière efficace contre la prolifération de menaces de perte, de vol ou d’utilisation malveillante d’information. L’adoption de mesures de responsabilisation et de gouvernance deviendra plus importante que jamais.

Protéger les Canadiens dans un monde sans frontières : Dans une économie mondiale réseautée et intégrée, les données et les renseignements personnels peuvent voyager rapidement et facilement dans le monde entier, y compris dans les pays qui ont de faibles mesures de protection de la vie privée ou aucune, ce qui peut compromettre le respect de la vie privée des Canadiens à l’étranger. De quelle façon pouvons-nous protéger les flux de données personnelles dans un monde virtuel dépourvu de contrôles et de frontières?

Nous espérons établir les nouvelles priorités d’ici la fin de mars 2015.

Conclusion

Même si l’établissement des fondations de l’ère nouvelle au Commissariat est en cours, le parcours sera probablement semé de défis. L’amélioration des facteurs qui contribuent à l’accroissement du contrôle qu’ont les gens sur leurs renseignements personnels sera particulièrement difficile dans un monde où souffle un vent contraire.

Dans un monde de mégadonnées, on insiste de plus en plus pour que les principes fondamentaux qui sous-tendent la plupart des lois sur la protection des données soient remis en question. Certains grands penseurs ont commencé à demander une révision des principes traditionnels relatifs au traitement des renseignements personnels qui sont énoncés dans les principes directeurs de l’Organisation de Coopération et de Développement Économiques (OCDE), créés à une époque beaucoup plus simple. Ils remettent en question l’application continue du principe du consentement et de celui de la détermination des objectifs dans un monde de données massives où la quantité de données a augmenté dans des proportions stupéfiantes et où de puissants algorithmes détectent et affichent automatiquement des schémas qui pourraient avoir des applications encore inconnues. 

La question de la sécurité nationale et de l’application de la loi prend inévitablement une ampleur mondiale. Dans la décision de la Cour suprême du Canada sur l’affaire Wakeling c. États-Unis d’Amérique, le juge Moldaver, qui s’exprimait pour la majorité, a reconnu le caractère inévitable de cette orientation générale : « La collaboration entre les forces de l’ordre de différents pays sert l’administration de la justice de tous les pays concernés.  Il ne faut pas oublier que le Canada est souvent celui qui reçoit des renseignements précieux des forces de l’ordre étrangères. […] La collaboration entre organismes est essentielle à la prévention, à la détection et à la sanction des crimes transfrontaliers. » 

Même le nouveau « droit à l’oubli », qui a été récemment reconnu par la Cour européenne de justice et présenté comme le recours ultime des individus pour exercer un contrôle sur leurs renseignements personnels, s’avère difficile à appliquer. D’un point de vue concret, les entreprises comme Google doivent maintenant prendre des décisions difficiles, à savoir à quel moment les renseignements personnels deviennent inexacts ou inadéquats, non pertinents ou excessifs. On discute déjà des manières possibles de contourner les contrôles en faisant, par exemple, des recherches avec Google.com plutôt qu’avec Google.uk, ce qui annule complètement l’effet de la décision européenne. D’un point de vue plus fondamental, de quelle façon allons-nous nous préparer à équilibrer d’autres valeurs sociétales d’importance fondamentale – comme l’accès à l’information, la liberté d’expression, la recherche de la vérité et l’intégrité historique?   

L’amélioration des facteurs qui peuvent renforcer le contrôle des individus sur leurs renseignements personnels ne sera pas une mission facile à réaliser. Elle nécessitera des solutions réfléchies et créatives pour répondre aux besoins d’innovation par l’innovation. Le respect de la vie privée, qui est loin d’être un obstacle, peut réellement accroître la confiance des consommateurs nécessaire à la prospérité de l’économie numérique et améliorer la confiance nécessaire à la prestation des services à la population par les gouvernements.  

Elle nécessitera une plus grande ouverture et une plus grande transparence de la part des organismes et des gouvernements pour que les gens connaissent les règles du jeu et fassent des choix judicieux sur la façon d’y jouer ou même sur le fait d’y participer. 

Finalement, elle nécessitera une plus grande détermination que jamais de la part des autorités responsables de la protection des données afin de protéger le périmètre minimal de vie privée qui revient à chacun et qui doit être défendu jalousement de l’emprise du secteur commercial et du regard de l’État. Nos pensées et nos actions privées ne devraient jamais être réduites à de simples produits commerciaux dont les entreprises peuvent tirer profit ni être considérées en permanence comme des menaces potentielles sur lesquelles l’État pourrait agir. Elles devraient plutôt continuer d’être protégées en tant que partie intégrante des libertés fondamentales qui englobent non seulement notre autonomie, mais également notre dignité comme êtres humains.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :