Destination vie privée : Tracer un chemin vers une meilleure protection

Commentaires en vue du Symposium Association of Privacy Professionals (IAPP) Canada Privacy Symposium 2015

Le 28 mai 2015
Toronto (Ontario)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

Regardez la vidéo (disponible en anglais seulement)

(Le texte prononcé fait foi)


Introduction

Lorsque j’ai été reçu en comité parlementaire pour discuter de ma nomination au poste de commissaire à la protection de la vie privée du Canada, on m’a demandé de décrire ma vision.

J’ai indiqué que mon objectif durant mon mandat serait de permettre aux citoyens d’avoir un plus grand contrôle sur leurs renseignements personnels.

Une fois en poste, une de mes premières initiatives a été de lancer un exercice d’établissement des priorités afin d’orienter les efforts discrétionnaires du Commissariat pour concrétiser cette vision.

Nous avons notamment organisé des groupes de discussion partout au pays afin de connaître l’avis des Canadiennes et Canadiens.

Lors d’une de ces discussions, une femme s’est levée pour proposer une idée : le gouvernement devrait nommer quelqu’un pour protéger la vie privée des individus.

Mesdames et Messieurs, entre vous, mes homologues provinciaux et moi, il semble que nous ayons déjà pris une bonne longueur d’avance!

Je suis ravi d’être parmi vous aujourd’hui à l’occasion du Symposium annuel sur la protection de la vie privée de l’IAPP. À l’évidence, le public ne sait pas toujours exactement en quoi consiste notre travail. Mais au cours de la dernière année, j’ai été franchement très impressionné par votre dévouement à améliorer la protection de la vie privée des consommateurs du monde entier. J’espère avoir l’occasion de collaborer avec vous au cours des six prochaines années, pour renforcer la protection de la vie privée des Canadiennes et Canadiens.

Je vous remercie de m’avoir invité à prendre la parole aujourd’hui. J’aimerais centrer mon allocution sur les priorités que nous avons établies au cours de ma première année en poste — grâce à une mûre réflexion et aux suggestions du public et d’intervenants, dont certains sont dans cette pièce.

Mais avant de discuter des nouvelles priorités qui guideront les efforts du Commissariat, j’aimerais brièvement vous parler de mon parcours et des défis qui ont ponctué ma première année comme commissaire.

Ma première année comme commissaire

Certains d’entre vous se demandent peut-être pourquoi j’ai quitté mon ancien poste de conseiller juridique principal pour les enjeux de sécurité nationale au ministère de la Justice.

Après une carrière comme agent de libération conditionnelle, mon père, qui était criminologue de formation, a été commissaire du Service canadien des pénitenciers dans les années 1970.

Il a œuvré à défendre les droits des détenus, à une époque difficile où il y avait des émeutes au tristement célèbre Pénitencier de Kingston. Nos discussions à l’heure du souper portaient souvent sur l’importance du service public, de la dignité des individus, même les plus désavantagés, et de la relation entre les citoyens et l’État.

Mon rôle de commissaire à la protection de la vie privée du Canada est une continuation de la passion pour les droits de la personne que mon père m’a transmise : une passion qui a guidé toute ma carrière de fonctionnaire depuis le jour où je suis devenu conseiller juridique pour le gouvernement, peu après mon admission au barreau.

On pourrait décrire ma première année en poste comme... un baptême de feu? Surtout peut-être la première semaine suivant ma nomination. Moi qui étais inconnu dans le milieu, ma nomination a soulevé bien des questions. J’avais des détracteurs avant même d’ouvrir la bouche. Bien que cela n’ait pas été de tout repos, j’ai tout de même pu constater qu’on se préoccupait beaucoup de savoir qui occuperait ces fonctions.

Mais il n’y avait pas de temps à perdre. Plusieurs dossiers m’attendaient : le débat sur le nouveau projet de loi sur la cyberintimidation, la réforme de la LPRPDE, l’examen des pratiques de la GRC en matière d’accès légal, deux rapports annuels en préparation et une déclaration de politique quant à l’usage de tests génétiques par le secteur de l’assurance.

Puis sont survenus les tragiques événements sur la Colline du Parlement et à Saint-Jean-sur-Richelieu, qui ont mené au projet de loi C-51. N’ayant pas été invité à m’adresser au comité de la Chambre qui a examiné ce projet de loi, j’ai participé au débat par d’autres moyens, afin de souligner les questions de protection de la vie privée qui étaient en jeu. Bien que très peu modifié, ce projet de loi a vu son soutien populaire décliner, et j’espère que de nouveaux débats auront une certaine incidence sur les politiciens à long terme.

En définitive, je m’attends à ce qu’on évalue mon travail en fonction de mes actes. Jusqu’ici, j’espère qu’ils démontrent que je suis un homme réfléchi, rigoureux et indépendant d’esprit, qui aime offrir des solutions concrètes et qui sait être direct lorsque c’est nécessaire. J’espère aussi que ceux d’entre vous qui ont participé à l’exercice d’établissement des priorités auront pu constater que je prône la consultation et la collaboration.

Ce qui nous amène au point central de mon allocution d’aujourd’hui.

Établir des priorités pour la protection de la vie privée

L’exercice d’établissement des priorités reposait avant tout sur une vision : accroître le contrôle des Canadiennes et Canadiens sur leurs renseignements personnels. Cela peut sembler ambitieux, en cette ère de mégadonnées où une quantité massive de renseignements personnels est collectée et où de puissants algorithmes permettent de cerner des tendances, que ce soit à des fins commerciales ou de sécurité nationale.

Il ne fait aucun doute que l’ère numérique a engendré d’immenses avantages économiques et sociaux, qu’elle a accru l’innovation scientifique et l’efficacité promotionnelle, et qu’elle a offert davantage de commodité et de possibilités aux individus. Elle a notamment élargi nos horizons en facilitant l’accès au savoir et la communication. Mais tout cela a un prix. Les individus qui prennent part à l’économie numérique sont de plus en plus souvent invités à se fermer les yeux et à cliquer « J’accepte ». Les choses ne devraient pas être ainsi.

Afin de trouver de meilleures solutions à ce problème généralisé, mon équipe s’est déployée partout au pays afin de consulter des intervenants des secteurs public et privé, des universitaires, des ONG, des groupes de consommateurs et le public. Par le biais de groupes de discussion et de tables rondes, nous avons sondé ces gens au sujet de six enjeux qui sont souvent soulevés dans le cadre de notre travail au Commissariat.

Nous voulions savoir si nous avions bien cerné les enjeux, lesquels étaient prioritaires, et quelles mesures devaient être prises — par les individus, les organisations, les autorités de réglementation ou les législateurs — pour améliorer les choses le plus possible.

Cet exercice a été très éclairant; il nous a permis de beaucoup mieux comprendre les préoccupations des intervenants et sur quoi le Commissariat devait se concentrer pour tirer le meilleur parti possible de ses ressources limitées.

En juin, le Commissariat publiera un rapport qui présentera en détail les quatre priorités qui sont ressorties de ces discussions, les stratégies qui nous aideront à atteindre nos objectifs et certaines des activités concrètes que nous prévoyons lancer lors des semaines, des mois et des années à venir.

Permettez-moi de vous en donner un aperçu.

Les discussions organisées nous ont permis de dégager quatre grandes priorités, que j’ai pu présenter plus tôt cette semaine à mon « patron » — le Parlement. Ces quatre priorités sont :

  • l’économie des renseignements personnels;
  • la surveillance du gouvernement;
  • la réputation et la protection de la vie privée;
  • le corps comme source d’information.

Notre but est de mieux comprendre comment chacun de ces domaines affecte la vie privée, pour ensuite pouvoir informer les organismes et le public sur les enjeux en cause, afin d’influencer leur comportement et d’utiliser nos pouvoirs de réglementation le plus efficacement possible. Que visons-nous, précisément?

Pour ce qui est de l’économie des renseignements personnels, nous voulons améliorer la protection des renseignements personnels et la confiance des gens, de sorte qu’ils pourront participer en toute confiance à une économie numérique innovatrice.

En matière de surveillance du gouvernement, nous souhaitons contribuer à l’adoption et à l’application de lois qui protègent manifestement la sécurité nationale et la vie privée.

En ce qui a trait à la réputation et la protection de la vie privée, nous voulons participer à créer un environnement dans lequel les gens peuvent utiliser l’Internet pour explorer leurs intérêts et se développer en tant que personnes sans craindre que leur trace numérique entraine un traitement injuste.

Enfin, pour ce qui est du corps comme source d’information, nous souhaitons promouvoir le respect de la vie privée et de l’intégrité du corps humain en tant que récipient de nos renseignements personnels les plus intimes.

Comment allons-nous procéder? Nous comptons axer nos activités sur cinq stratégies transversales :

  • Examiner des moyens novateurs et technologiques de protéger la vie privée;
  • Améliorer l’imputabilité et faire la promotion de bonnes pratiques de gouvernance de protection de la vie privée;
  • Tenir compte du fait que la vie privée ne connaît pas de frontières;
  • Accroitre notre rôle en matière d’éducation du public;
  • Prêter une attention particulière aux groupes vulnérables.

Afin de faire avancer ces priorités, j’entends veiller à ce que nous utilisions pleinement les outils, les ressources et les pouvoirs à notre disposition. Nous n’hésiterons pas à exiger des modifications législatives là où il y a des lacunes.

Explorons maintenant plus en détail chacune de ces priorités.

Gros plan sur les quatre priorités en matière de vie privée

L’économie des renseignements personnels

L’économie des renseignements personnels est un sujet qui a suscité de très vifs débats chez le public et les intervenants que nous avons interrogés.

Plusieurs ont affirmé que « lorsque quelque chose est gratuit, c’est l’utilisateur qui est le produit ». Cette idée a trouvé écho chez beaucoup de gens à qui nous avons parlé.

Certains intervenants ont dit avoir l’impression que l’industrie avait le gros bout du bâton, et que davantage de mesures réglementaires étaient nécessaires, compte tenu du fait que les gens ont de moins en moins le choix d’être présent sur Internet. D’autres ont souligné les avantages du modèle d’affaires en ligne, comme l’accès à des services gratuits et novateurs, la commodité, la croissance économique, la prévention de la fraude et les économies d’échelle.

La publicité comportementale en ligne a constitué l’un des enjeux les plus polarisants dont nous avons discuté. Je dois vous avouer que... c’est souvent grâce aux publicités qui apparaissent sur l’ordinateur familial que je trouve le cadeau de Noël idéal pour ma femme.

Presque tout le monde a indiqué que la question du consentement les préoccupait grandement. Plusieurs ont souligné que les politiques de protection des renseignements personnels sont incompréhensibles, et ils souhaiteraient qu’on leur explique clairement comment leurs renseignements seraient utilisés, et par qui.

D’autres se demandaient s’il était réaliste d’exiger ce consentement à l’ère des mégadonnées, de l’Internet des objets et de l’environnement mobile. Je conviens qu’il s’agit d’un enjeu qu’il faut aborder en priorité, et nous ébaucherons un document pour cerner les défis actuels et les solutions possibles, comme l’autoréglementation, ainsi qu’une responsabilité et une réglementation accrues.

Nous discuterons avec les intervenants afin de connaître leur avis, puis nous présenterons notre position. Nous devrons notamment cerner les mesures qui pourraient améliorer le modèle actuel, mettre en œuvre les solutions qui sont applicables dans le cadre juridique actuel et, si nécessaire, recommander des modifications législatives. Ce faisant, nous souhaitons garantir la protection des renseignements personnels de façon à ce que les individus contrôlent réellement leurs renseignements, tout en respectant l’esprit d’innovation.

Nous ne voulons en aucun cas que la protection de la vie privée devienne un obstacle à l’innovation technologique, et c’est pourquoi nous devons aussi explorer des solutions novatrices. Les avis de confidentialité et les fenêtres contextuelles sont par exemple de bons moyens d’obtenir le consentement des utilisateurs pour la collecte de leurs renseignements personnels en ligne. En ce qui a trait à l’anonymisation, nous voulons explorer des avenues pour que les chercheurs puissent recourir aux données sans risque d’identifier involontairement les individus. Nous voulons encourager un usage créatif et novateur des technologies pour renforcer la protection de la vie privée.

Surveillance du gouvernement

Comme les menaces à notre sécurité nationale sont bien réelles, les gouvernements du monde entier recueillent de plus en plus de renseignements sur leurs citoyens. Les nouvelles technologies permettent de recueillir et d’analyser une quantité d’information autrefois inimaginable.

Je comprends parfaitement cela. Compte tenu de mon ancien poste au ministère de la Justice, je suis bien au fait de ces menaces et des mesures gouvernementales pour les endiguer. Il est absolument essentiel de trouver le juste équilibre, car tout déséquilibre pourrait ici entraîner d’importantes conséquences. C’est une question qui m’empêche parfois la nuit de fermer l’œil.

Si les Canadiennes et Canadiens consentent à une certaine surveillance pour des raisons de sécurité nationale et de prévention du crime, ils s’inquiètent des conséquences de cette surveillance sur leurs libertés et droits fondamentaux, dont leur droit à la vie privée. Plusieurs souhaitent une transparence accrue en ce qui a trait aux ententes intergouvernementales sur l’échange d’information et l’accès sans mandat aux données sur les télécommunications.

Comme le public n’a pas le choix de transiger avec le gouvernement, et étant donné le fait que ce dernier s’apprête à mettre en œuvre divers projets de loi à ce sujet, plusieurs intervenants nous ont indiqué qu’ils souhaitaient nous voir prendre l’initiative sur cette question.

Malgré nos efforts, nous n’avons pas réussi à convaincre le Parlement de modifier la Loi antiterroriste. Mais ce dossier n’est pas clos. Nous entendons consacrer d’importantes ressources aux contrôles de conformité, afin de veiller à ce que les dispositions de ce projet de loi soient mises en œuvre conformément à la Loi sur la protection des renseignements personnels. Cela concerne notamment les dispositions sur la collecte massive de renseignements personnels et sur son partage entre les ministères et organismes gouvernementaux. Nous présenterons nos conclusions au Parlement et au public. Si notre examen confirme qu’il existe des problèmes ou des lacunes dans la législation ou la pratique, nous exigerons l’adoption de modifications.

Nous inviterons aussi les ministères à minimiser les risques lorsqu’ils rédigent des ententes d’échange d’information et en menant des évaluations des facteurs relatifs à la vie privée. Nous demanderons également aux secteurs public et privé d’accroître leur transparence en produisant davantage de rapports sur la transparence. Nous étudierons aussi les effets des activités de surveillance sur les populations vulnérables.

Réputation et protection de la vie privée

Je ne compte plus les fois où j’ai entendu quelqu’un de ma génération dire « heureusement que l’Internet n’existait pas quand j’étais jeune ».

Avec les médias sociaux et les nouvelles technologies des communications, il est plus facile et plus rapide que jamais d’échanger de l’information. En fait, c’est si facile qu’on en oublie parfois ce qu’on partage et combien de personnes pourront voir cette information compte tenu de la nature du Web.

Mais cela ne s’applique qu’à l’information que nous contrôlons. Qu’en est-il des renseignements que les autres publient à notre sujet? Que penser du fait que tout ce que nous lisons, recherchons et achetons en ligne peut être retracé et utilisé par le gouvernement et le secteur privé pour classer et catégoriser nos intérêts, prédire nos comportements, nous profiler et évaluer les risques que nous posons?

La désinformation, les erreurs et l’absence de contexte peuvent mettre notre réputation en péril, avec des conséquences dévastatrices.

Tous ceux que nous avons rencontrés étaient conscients que le partage d’information en ligne pouvait comporter des risques pour leur réputation.

Le public nous a fait part de ses préoccupations quant au flou entourant certains paramètres de confidentialité et au manque de mécanismes permettant de supprimer ou de rectifier des renseignements. Le profilage par les organisations et la possibilité de pratiques discriminatoires, comme les prix différentiels, ont également été cernés comme des préoccupations majeures. Certains intervenants estiment que nous devrions nous limiter à un rôle éducatif dans ce domaine, alors que d’autres souhaitent nous voir prendre position sur des enjeux comme le droit à l’oubli. Selon moi, ce point symbolise le carrefour entre la vie privée, les droits de la personne et les risques de discrimination, d’où son importance.

Au cours de l’année à venir, nous lancerons un dialogue à ce sujet, entre autres grâce à des initiatives de recherche sur la réputation et la vie privée. Nous prendrons position sur le droit à l’oubli ou d’autres mécanismes de recours pertinents dans le contexte canadien. Nous nous appuierons sur des initiatives menées cette année, comme le ratissage des sites Web et des applications mobiles en vue d’assurer la protection de la vie privée des enfants. Nous mènerons des activités éducatives et de sensibilisation auprès du public et des groupes vulnérables, notamment les jeunes et les aînés, afin de renforcer leur compréhension de l’univers numérique.

Le corps comme source d’information

Qu’on pense à la carte de voyageur digne de confiance NEXUS, qui utilise des données biométriques, aux bracelets de suivi de l’activité physique ou aux implants permettant de vérifier la tension artérielle après un arrêt cardiaque, les nouveaux outils technologiques qui recueillent et stockent des renseignements provenant du corps humain posent de nombreux risques potentiels d’atteinte à la vie privée des Canadiennes et Canadiens.

On sait par exemple que des sociétés d’assurance ont modifié leurs primes après avoir consulté les tests génétiques de leurs clients. L’automne dernier, un avocat de Calgary spécialisé en dommages corporels a écrit une page d’histoire en utilisant les données collectées par un appareil de suivi de l’activité physique pour essayer de démontrer que les capacités de son client avaient été réduites, ouvrant ainsi la voie à de multiples nouveaux usages de ce type de données.

Les citoyens avec qui nous avons discuté semblaient parfaitement inconscients de ces risques potentiels. Cette préoccupation a davantage trouvé écho auprès des universitaires et des groupes de consommateurs. Ceux-ci craignent de voir les données analytiques être utilisées à de multiples fins secondaires, dont certaines auxquelles nous n’avons même encore songé.

Certains ont indiqué que le Canada devait adopter de nouvelles lois pour préciser les usages appropriés de ces données, alors que d’autres ont exigé une transparence accrue afin que le public sache quels renseignements sont collectés et à quelles fins.

On nous a également communiqué l’idée que la protection de la vie privée ne devait pas freiner l’innovation, puisque l’utilisation de ces données présente un immense potentiel pour la science et la recherche.

À cet égard, le Commissariat entend examiner la vaste gamme d’appareils et d’applications de suivi de la santé et de l’activité physique, afin de mieux les comprendre. Nous diffuserons des renseignements afin de sensibiliser le public aux risques associés aux dispositifs portables et à d’autres types d’appareils fonctionnels. Nous fournirons aussi des conseils afin d’aider les concepteurs à intégrer la protection de la vie privée à la conception des appareils.

Compte tenu de la nature très sensible et personnelle de ces renseignements, et compte tenu des risques potentiels, cette question occupera une place importante dans les discussions relatives au modèle de consentement.

Conclusion

Je dois vous avouer que ce n’est qu’après être devenu commissaire que j’ai commencé à lire minutieusement les politiques de confidentialité de mes sites Web préférés et à m’emballer en voyant un avis de confidentialité apparaitre au bon moment à l’écran de mon téléphone.

Bien que j’aie toujours tenu à ma vie privée, certains diront que je suis devenu un peu obsédé par la protection de la vie privée. Un des risques du métier? Peut-être, mais il m’apparaît de plus en plus évident que les atteintes à la vie privée nous guettent constamment, à chaque clic de souris.

Voilà pourquoi j’ai estimé qu’une de mes premières missions devait être de cerner les préoccupations les plus pressantes du 21e siècle en matière de respect de la vie privée au pays et de tracer la voie pour aborder ces préoccupations de concert avec les citoyens, les organisations, les législateurs et mes homologues en matière de réglementation. Je veux continuer de mettre à profit les réussites et les importantes réalisations accomplies par le Commissariat et ma distinguée prédécesseure, Jennifer Stoddart, durant son mandat. J’espère aussi pouvoir contribuer positivement à la protection de la vie privée des Canadiennes et Canadiens.

Nous avons donc maintenant cerné nos priorités et établi des objectifs clairs. Nous avons élaboré une stratégie pour atteindre ces objectifs et, au cours des cinq prochaines années, vous nous verrez agir sur tous les fronts.

Les derniers mois ont été pour le moins très intéressants et inspirants. C’est maintenant l’heure de s’atteler à la tâche, comme on dit. Je suis enthousiasmé par ce qui nous attend. Et j’ai très hâte de travailler avec vous tous sur ces enjeux évolutifs, afin d’élaborer des solutions concrètes qui permettront aux Canadiennes et Canadiens de mieux contrôler leurs renseignements personnels.

Date de modification :