La protection de la vie privée : un enjeu d’importance croissante

Commentaire lors de la Conférence 2014 de l’Association canadienne d’accès à l’information et de protection des renseignements personnels (ACAP)

Le 8 décembre 2014
Ottawa (Ontario)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Pour commencer, permettez-moi de remercier l’Association canadienne d’accès à l’information et de protection des renseignements personnels, qui m’a offert l’occasion de participer à cette conférence. C’est un plaisir de m’adresser à des passionnés du domaine de la vie privée.

Comme vous le savez sans doute, j’ai été nommé commissaire à la protection de la vie privée en juin dernier. Ma nomination coïncide avec une période où les enjeux de protection de la vie privée figurent au premier plan dans les médias, et occupent tant le Parlement que les tribunaux. Le respect de la vie privée constitue de plus en plus un indicateur du degré d’imputabilité des organisations et, par le fait même, de la confiance des citoyens et des consommateurs. Je suis heureux d’aborder aujourd’hui certains de ces enjeux.

Comme il s’agit de la première allocution que je prononce devant des professionnels de l’accès à l’information et de la protection des renseignements personnels, j’aimerais d’abord vous dire quelques mots sur mon parcours professionnel. À vrai dire, ce sont les droits de la personne qui me passionnent et qui ont dicté mon cheminement professionnel.

Les droits de la personne ont été au cœur de nombreux enjeux sur lesquels je me suis penché dans le cadre de mes fonctions aux services correctionnels, à l’immigration et à la sécurité nationale. Et, bien entendu, ils demeurent l’élément clé de mon travail actuel en tant que commissaire à la protection de la vie privée. Comme nous le savons tous, les renseignements personnels ne sont pas simplement des données. Il s’agit en fait d’informations qui ont une incidence sur la vie et la réputation des gens.

Étant donné ma longue expérience dans la fonction publique, je connais très bien les enjeux qui concernent le secteur public – et j’ajouterais que cette expérience m’a bien servi cet automne au moment de formuler des commentaires au Parlement au sujet de projets de loi. J’ai moins d’expérience avec le secteur privé, mais eu égard à l’importance de ce secteur dans la vie des consommateurs, je compte accorder une attention significative aux enjeux du secteur privé au cours de mon mandat.

Tant dans le secteur privé que le secteur public, nous vivons une époque importante pour la protection de la vie privée.

Tirer parti des avantages de l’ère de l’information, tout en assurant la protection de notre droit fondamental à la vie privée, c’est un défi de tous les instants.

Protection de la vie privée et sécurité nationale

Ce défi atteint peut-être son paroxysme lorsqu’il est question de la sécurité nationale.

Comme en témoignent clairement les drames survenus le 20 octobre à Saint-Jean-sur-Richelieu et le 22 octobre ici-même à Ottawa, la menace pesant sur notre sécurité est bien réelle. Ces événements ont choqué les Canadiens.

Les citoyens s’attendent à ce que les gouvernements les protègent contre ces types de menaces, mais ils ne s’attendent pas à devoir pour autant renoncer à leur droit à la vie privée. La protection de la vie privée constitue une valeur au fondement solide.

Cette affirmation ne minimise en rien l’importance de la sécurité. En effet, la sécurité est essentielle pour assurer le maintien de la société démocratique dont nous bénéficions tous.

Par ailleurs, comme nous l’avons affirmé, la commissaire à l’information du Canada et moi-même, ainsi que nos collègues des provinces et des territoires, dans une déclaration commune publiée le 28 octobre, la réaction à ces drames doit être mesurée et proportionnée, fondée sur des données factuelles et conçue de manière à préserver nos valeurs démocratiques.

J’aimerais également m’assurer que toute modification proposée tienne compte des leçons déjà apprises.
La commission d’enquête du juge Major sur l’attentat à la bombe contre l’avion d’Air India, celle du juge O’Connor sur l’affaire Maher Arar et celle du juge Iacobucci sur le cas de trois personnes expulsées du Canada et maltraitées à l’étranger ont toutes trois fait ressortir la nécessité d’intégrer un véritable respect de la vie privée à même les mécanismes de communication des renseignements. On devrait très certainement mettre en place des mesures garantissant que personne ne sera maltraité ou torturé à la suite de la communication de renseignements.

En outre, toute législation qui confère des pouvoirs supplémentaires aux organismes chargés de l’application de la loi et de la sécurité, notamment la sécurité publique, devrait prévoir des mesures pour surveiller l’exercice de ces pouvoirs.

Surveillance

En regardant les événements d’octobre avec un peu de recul, nous demeurons frappés par la tragédie de ces attentats cruels contre des innocents, et choqués que nos institutions démocratiques aient été ciblées.

Aussi tragiques aient été ces événements, nous devons nous rappeler que nous vivons dans une société de droit. Les débats concernant les choix stratégiques et les décisions prises par les gouvernements peuvent se dérouler dans une tribune gouvernée par la raison, au bénéfice ultime de nos droits et libertés.

Par exemple, songeons un instant à la discussion entourant l’accès légal aux renseignements sur les abonnés détenus par les entreprises de télécommunications. Voilà des dizaines d’années qu’on en parle comme d’un débat entre les besoins en matière de sécurité et le droit à la vie privée. Et ce débat a atteint une étape importante lors d’un jugement de la Cour suprême en juin dernier.

En fait, l’arrêt Spencer représente un grand pas pour la protection de la vie privée. La cour a reconnu que l’information concernant les abonnés des entreprises de télécommunications est assujettie à une attente raisonnable en matière de vie privée – étant entendu que ces renseignements pourraient être utilisés pour dévoiler des détails sensibles concernant les activités en ligne d’un individu. Un annuaire téléphonique peut indiquer un nom et une adresse, mais la cour a jugé que l’établissement d’un lien entre un nom et une adresse IP est d’un tout autre ordre et justifie une protection constitutionnelle.

Sur le plan pratique, cela signifie que, en l’absence de circonstances contraignantes ou d’une loi raisonnable, les autorités doivent obtenir une autorisation judiciaire afin d’avoir accès à ces renseignements.

Je suis heureux de constater que de nombreuses organisations, y compris plusieurs fournisseurs de services de télécommunications, ont pris des mesures depuis cet arrêt pour mieux respecter la vie privée et améliorer la transparence en ce qui a trait à la gestion des renseignements sur les abonnés. J’encouragerais les autres organisations à les imiter.

Examen de la GRC

Bien entendu, l’arrêt Spencer a aussi des répercussions importantes dans le secteur public.

À cet égard, l’examen récent par le Commissariat des demandes d’accès présentées sans mandat par la Gendarmerie royale du Canada (GRC) à des sociétés de télécommunications s’est avéré instructif.

Notre examen visait à déterminer si la GRC avait mis en place des contrôles appropriés pour s’assurer que la collecte de renseignements sans mandat sur les abonnés de services de télécommunications était conforme aux articles 4 et 5 de la Loi sur la protection des renseignements personnels.

Nous espérions également assurer plus de transparence au bénéfice de la population canadienne en déterminant et en signalant à quelle fréquence la GRC avait recueilli sans mandat des renseignements sur les abonnés et, le cas échéant, en précisant si ces demandes étaient justifiées sous le régime de la Loi sur la protection des renseignements personnels.

Malheureusement, la GRC nous a informé que la conception de son système de gestion des dossiers ne permettait pas ce type de surveillance et de compte rendu.

En conséquence, la seule façon d’obtenir l’information serait d’examiner individuellement chaque dossier dans le système principal de gestion des documents de la GRC, où l’on saisit en moyenne environ deux millions de nouvelles entrées sur des incidents chaque année.

À terme, nous n’avons donc pas été en mesure de faire la lumière sur la question à laquelle nous souhaitions répondre, mais nos travaux ont donné lieu à une recommandation importante.

Cette recommandation ­– que toutes les demandes d’accès présentées sans mandat soient bien documentées – a été faite dans le cadre d’un examen concernant la GRC, mais nous demanderons aussi aux autres organisations fédérales d’y donner suite.

Certes, les Canadiens comprennent bien que les organismes d’application de la loi et de sécurité nationale ont des motifs légitimes de recueillir des renseignements personnels – mais ils s’attendent à ce que ces organismes soient imputables pour le type de renseignements qu’ils recueillent ainsi que la façon dont ils les recueillent, les utilisent et les communiquent.

L’absence de transparence mine la confiance du public à l’égard des institutions, ce qui réduit par le fait même leur capacité d’être efficaces.

En outre, nous nous attendons à ce que les ministères et organismes fédéraux élaborent de nouvelles procédures dans la foulée de l’arrêt Spencer. Comme je l’ai mentionné lors de mon témoignage devant le Comité permanent des affaires juridiques et constitutionnelles sur le projet de loi C-13 en novembre, plusieurs mois après l’affaire Spencer, les Canadiens ne savent toujours pas ce qui pourrait advenir de leurs renseignements personnels.

Confiance

Ce manque de transparence et, par ricochet, l’ignorance et l’incertitude engendrées contribuent forcément aux préoccupations des Canadiens concernant la protection de leur vie privée – préoccupations qui se manifestent dans nos sondages d’opinion et par un nombre croissant de plaintes.

En 2013, notre organisme a reçu 426 plaintes officielles en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques. C’est presque deux fois plus qu’au cours de l’année précédente.

Cette augmentation est imputable en grande partie à un seul dossier – l’initiative de Bell Canada, qui visait à utiliser l’information relative aux comptes et aux habitudes d’utilisation du réseau de leurs clients pour leur envoyer de la publicité ciblée.

Le nombre de plaintes suscitées par cette idée corrobore les résultats du sondage d’opinion publique que nous avons mené il y a deux ans.

Dans le cadre de ce sondage, plus de 90 % des répondants ont déclaré que les entreprises sur Internet devraient être tenues de demander l’autorisation des utilisateurs pour les suivre à la trace en ligne; près de 70 % avaient choisi de ne pas utiliser un site ou un service parce qu’ils se sentaient mal à l’aise avec les modalités de sa politique de confidentialité; et plus de la moitié avaient décidé de ne pas installer ou de désinstaller une application en raison de la quantité de renseignements personnels demandés.

Nous travaillons présentement à terminer un autre sondage auprès des Canadiens pour en savoir plus sur le lien entre le respect qu’accorde une organisation à la vie privée et les choix que font les individus. Nous avons hâte de vous faire part des résultats de ce sondage au cours des mois à venir.

De plus, il sera intéressant de voir ce que notre prochain sondage révélera concernant la confiance des Canadiens en la capacité des organisations à protéger leurs renseignements personnels. Les médias ont largement fait état de plusieurs atteintes à la sécurité des renseignements personnels dans le secteur privé et nous constatons aussi une augmentation constante du nombre d’incidents que les ministères et organismes fédéraux signalent à notre organisme.

Le nombre d’atteintes à la sécurité des renseignements personnels signalées par les ministères fédéraux a battu un nouveau record au cours de la dernière année financière. Mais, comme nous l’avons mentionné dans le passé, nous ne pouvons affirmer avec certitude si les atteintes sont effectivement plus nombreuses ou si les ministères sont simplement plus soucieux de les signaler.

Nous devrions en savoir plus à l’avenir, du moins en ce qui touche le secteur public fédéral, grâce à la Directive sur les pratiques relatives à la protection de la vie privée, qui est entrée en vigueur en mai dernier. En effet, la nouvelle version de cette directive du Secrétariat du Conseil du Trésor indique clairement que les institutions fédérales ont l’obligation de rendre compte des atteintes substantielles à la vie privée au Commissariat et au Secrétariat du Conseil du Trésor. Par souci de clarté, nous avons travaillé en étroite collaboration avec le Conseil du Trésor pour donner une orientation aux ministères concernant ce qui constitue une « atteinte substantielle ».

Il reste difficile d’établir l’incidence et la fréquence réelles des atteintes à la sécurité des renseignements personnels au sein de l’administration fédérale, mais la directive révisée donne davantage de détails et renforce la responsabilité des organismes d’en rendre compte avec diligence, d’y réagir de façon efficace et, nous l’espérons, d’atténuer davantage les risques.

Protection de la vie privée : un indicateur du degré d’imputabilité des organisations

Voilà un point important. La protection de la vie privée constitue un indicateur clé du degré d’imputabilité de toute organisation. Mais, je tiens à le souligner, le Commissariat est conscient de la difficulté d’atteindre la perfection.

L’environnement est tout simplement trop complexe et il évolue trop rapidement pour que l’on puisseraisonnablement s’attendre à une éradication complète des atteintes à la sécurité des renseignements personnels.

Comme vous le savez sans doute, même le Commissariat n’est pas à l’abri des atteintes : nous avons égaré un disque dur lors de notre déménagement dans un nouvel immeuble plus tôt cette année. Et nous en avons tiré de précieuses leçons.

Au lieu de juger les organisations uniquement sur la base des incidents, nous tenons à souligner l’importance d’être vigilant — de cerner et d’atténuer les risques en amont pour éviter les problèmes et, lorsqu’un incident survient, être prêt à réagir de manière à réduire le plus possible les préjudices éventuels.

En ce qui a trait à la vigilance, notre organisme a besoin d’avoir accès à l’information en temps voulu pour faire enquête et pour s’assurer que les recommandations qui en découlent peuvent être mises en œuvre de façon efficace.

Il faut aussi reconnaître davantage qu’un volet essentiel de l’atténuation des risques consiste à accorder une plus grande place à la protection de la vie privée aux premières étapes de toute initiative utilisant des renseignements personnels. Il est beaucoup plus facile et efficace de se soucier de cet aspect dès le début et de le prendre en compte au moment de la conception au lieu de l’ajouter après-coup quand tout le reste est fait.

C’est l’un des avantages les plus intéressants des évaluations des facteurs relatifs à la vie privée pour les institutions fédérales et pour les Canadiens qu’elles servent. Ces évaluations sont de précieux outils véritablement utiles aux ministères, car elles aident à cerner les risques d’atteinte à la vie privée et à élaborer des stratégies pour les atténuer. D’où l’importance de faire en temps opportun des évaluations complètes et détaillées. Autrement dit, les évaluations devraient aider à atténuer les risques d’atteinte à la vie privée dès la conception des nouvelles initiatives. Il ne doit pas s’agir d’une simple case à cocher pour respecter une procédure.

Conclusion

En terminant, j’aimerais dire quelques mots sur l’importance de votre rôle.

Un grand nombre d’entre vous sont des professionnels et des défenseurs de l’accès à l’information et de la protection de la vie privée. Je sais pertinemment que vous ne vous contentez pas de proposer des procédures. En fait, vous pouvez et devez apporter une contribution stratégique majeure à la voie qu’empruntent vos organisations.

Dans notre société et notre économie de plus en plus tributaires de l’information, la protection de la vie privée revêt un intérêt sans précédent. C’est pourquoi elle devient une considération stratégique de plus en plus importante pour les organisations.

Qu’il s’agisse d’entreprises offrant des produits ou des services ou bien de ministères ou d’organismes chargés d’élaborer, de mettre en œuvre et d’appliquer des lois, le respect de la vie privée joue de plus en plus un rôle essentiel pour gagner et conserver la confiance du public.

Je vous encourage donc à conseiller en conséquence votre équipe de direction – pour aider à instaurer une culture où le respect de la vie privée est considéré comme un avantage pour tous et non comme un fardeau.

Je vous remercie.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :