Priorités, conformité proactive et la LPRPDE – un survol

Allocution prononcée à la Section nationale du droit de la vie privée et de l’accès à l’information de l’Association du Barreau canadien

Le 1er octobre 2015
Ottawa (Ontario)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Vous connaissez certainement ma collègue Patricia Kosseim, avocate générale principale du Commissariat à la protection de la vie privée. J’aimerais vous présenter notre directrice des services juridiques, Julia Barrs, qui fait partie de notre équipe depuis peu. Nous serons heureux de répondre à vos questions à la fin de mon allocution.

Vous m’avez indiqué très clairement les sujets à traiter aujourd’hui. Je vous parlerai donc de nos nouvelles priorités stratégiques, de notre travail proactif afin d’assurer la conformité et de la façon dont nous entendons mettre en œuvre les modifications apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par suite de l’adoption du projet de loi S-4.

Avant d’entrer dans le vif du sujet, j’aimerais dire quelques mots sur la relation entre le Commissariat et l’Association du Barreau canadien (ABC).

Au fil des ans, nous avons adopté une position similaire dans de nombreux dossiers.

En ce qui touche le projet de loi C-51, nous avons souvent exprimé les mêmes préoccupations concernant les pouvoirs accrus de communication de l’information conférés par la nouvelle Loi sur la communication d’information ayant trait à la sécurité du Canada et l’absence de surveillance indépendante.

Pour ce qui est de la réforme de la Loi sur la protection des renseignements personnels, l’ABC a défendu notre position lorsque nous avons réclamé le pouvoir de refuser de faire enquête dans certaines situations pour simplifier la procédure de plainte et en améliorer l’efficacité.

Et en ce qui a trait à notre récente démarche d’établissement des priorités, l’ABC a participé de bonne grâce à nos discussions avec les intervenants. Elle a donné des avis utiles concernant notre approche et un point de vue éclairé sur certains sujets particuliers à débattre.

Mon approche en matière de leadership consiste à privilégier la collaboration et la consultation. J’espère entretenir avec l’ABC une relation étroite et fructueuse alors que nous progresserons sur le front de nos priorités et d’autres questions d’intérêt commun.

Je suis également conscient du fait qu’en tant que membres du milieu du droit à la vie privée, vous avez toujours parlé de façon franche et ouverte avec mes prédécesseurs.

J’aimerais que nous maintenions cette relation d’ouverture.

Vos clients sont ceux qui essaient sur le terrain de mettre en œuvre les lignes directrices que nous élaborons et de se conformer aux lois que nous appliquons.

Vous êtes bien placés pour nous rappeler la réalité à laquelle font face les entreprises. J’attache une grande importance aux commentaires que votre expertise vous permet de formuler.

Priorités pour la protection de la vie privée

Dans cet ordre d’idées, voyons de plus près les priorités pour la protection de la vie privée. Notre démarche visait à déterminer les principaux enjeux relatifs à la protection de la vie privée qui touchent le plus les Canadiens, dans le but de leur permettre d’exercer un meilleur contrôle sur leurs renseignements personnels.

À l’issue de longues discussions avec des intervenants des secteurs public et privé, les représentants d’établissements universitaires, des organisations de la société civile, des regroupements de consommateurs ainsi que des citoyens, nous avons établi quatre priorités et adopté cinq stratégies pour les mettre en œuvre.

Certains aspects de mes explications n’auront peut-être rien de nouveau pour ceux d’entre vous qui ont participé aux discussions.

La première priorité retenue, soit l’économie des renseignements personnels, porte sur la marchandisation des renseignements personnels et les nouveaux modèles d’affaires qui s’articulent autour de l’utilisation des mégadonnées, de l’Internet des objets et des technologies mobiles.

La deuxième priorité est la surveillance du gouvernement. Comme vous le savez, j’ai adopté une position ferme concernant le projet de loi C-51, la Loi antiterroriste adoptée récemment, et je suivrai de près sa mise en œuvre.

Notre troisième priorité est la réputation et la protection de la vie privée, qui renvoie aux atteintes à la réputation qui pourraient découler de l’omniprésence et de la pérennité des renseignements personnels en ligne.

Et enfin, nous concentrerons nos efforts sur le corps comme source d’information. Il est question ici des préoccupations croissantes concernant la protection des renseignements sur la santé et des renseignements génétiques et biométriques très sensibles que les organisations et les gouvernements utilisent de toutes sortes de nouvelles façons.

Nos activités s’arrimeront avec cinq stratégies transversales :

  • étudier des moyens novateurs et technologiques de protéger la vie privée;
  • augmenter la responsabilisation et promouvoir une bonne gouvernance en matière de protection de la vie privée;
  • prendre en compte le fait que la vie privée n’a pas de frontières;
  • accroître notre rôle d’éducation du public;
  • accorder une attention particulière aux groupes vulnérables.

J’aimerais maintenant vous expliquer plus en détail certaines activités que nous entreprendrons pour répondre aux priorités.

L’économie des renseignements personnels

Une activité importante a trait au modèle de consentement, qui relève en grande partie de notre priorité de l’économie des renseignements personnels.

Nous examinerons les défis pratiques que pose le modèle de consentement. Bon nombre de ces défis sont ressortis au cours de nos discussions avec les intervenants et le public.

Des individus se sont dits préoccupés par le manque de contrôle sur leurs renseignements en ligne.
Certains estiment que la relation de pouvoir entre les personnes et les organisations est faussée en faveur de l’industrie, que le consentement ne signifie généralement rien et qu’il faut renforcer la réglementation à cet égard.

Certains intervenants ont remis en question l’efficacité et la pertinence du modèle de consentement prévu dans la LPRPDE dans le contexte des mégadonnées, de l’Internet des objets et des services mobiles.

Et bien sûr, des intervenants nous ont fait part de leurs préoccupations concernant la formulation inadéquate des politiques de confidentialité.

On nous a également dit qu’il est de plus en plus difficile de déterminer les fins précises de la collecte des renseignements personnels lorsque ces renseignements sont recueillis.

Certains ont fait valoir que les organisations ne devraient pas recueillir de renseignements personnels si elles n’ont aucune fin précise, tandis que d’autres sont d’avis qu’un tel interdit pourrait alors nuire à l’innovation.

À court terme, plus précisément le printemps prochain, nous produirons un document de travail faisant état des divers défis que pose le modèle de consentement actuel.

Nous examinerons les solutions possibles, comme l’adoption de codes de pratique et d’autres formes d’autoréglementation par l’industrie; l’accroissement de la responsabilisation, ce qui, d’après certains, attribuerait davantage la responsabilité à ceux qui sont en mesure d’évaluer le risque; et le renforcement de la réglementation, y compris la délimitation de zones interdites où les renseignements personnels devraient toujours être protégés.

Nous examinerons des solutions qui visent à réduire le plus possible le risque, des mesures législatives, des possibilités de sensibilisation et des moyens techniques ou d’autres moyens pratiques d’améliorer le modèle de consentement actuel.

Nous essaierons également de préciser le rôle des individus, des organisations, des organismes de réglementation et des législateurs et nous discuterons de toute cette question avec les intervenants.

Je serai très heureux de connaître votre opinion à cette étape.

À moyen terme, nous déterminerons les améliorations que l’on pourrait apporter au modèle en place, nous appliquerons les solutions qui relèvent de notre compétence et nous recommanderons les modifications législatives appropriées.

La surveillance du gouvernement

En ce qui concerne la surveillance du gouvernement, nous consacrerons la majeure partie de nos efforts à surveiller la mise en œuvre du projet de loi C-51, en tenant compte du fait que nous sommes au milieu d’une campagne électorale fédérale et que le vote du 19 octobre pourrait changer la donne.

Avant le dépôt du projet de loi C-51, mes homologues provinciaux et moi-même avons demandé que l’on s’en tienne à une approche fondée sur des données factuelles avant d’adopter une nouvelle loi qui renforcerait les pouvoirs des organismes de sécurité nationale.

Après le dépôt du projet de loi C-51, j’ai fait part de mes préoccupations concernant l’étendue des nouveaux pouvoirs et l’absence de supervision.

Maintenant que le projet de loi C-51 a été adopté, nous exercerons les pouvoirs d’examen et d’enquête qui nous sont conférés en vertu de l’article 37 de la Loi sur la protection des renseignements personnels pour examiner les pratiques de collecte, d’utilisation et de communication des ministères et des organismes exerçant des activités de surveillance.

Notre objectif sera double : premièrement, nous assurer que ces activités sont menées conformément à la loi et, deuxièmement, informer les Canadiens de la façon dont les nouvelles dispositions seront appliquées, leur dire s’il y a, comme on le craint, des risques pour les renseignements personnels des citoyens respectueux de la loi et recommander des modifications législatives au besoin. Nous nous fonderons cette fois sur des preuves concrètes de l’utilité et la proportionnalité de la nouvelle loi.

Nous nous efforcerons également d’améliorer la transparence dans les rapports. J’aborderai cette question dans quelques minutes, lorsque je parlerai du projet de loi S-4.

La réputation et la protection de la vie privée

Dans le cadre de la troisième priorité, soit la réputation et la protection de la vie privée, nous mettrons l’accent sur le caractère permanent des renseignements personnels publiés sur le Web et les traces numériques pas toujours flatteuses que laissent les individus ou qu’ils doivent gérer par suite des actions d’autres personnes ou des faits ou propos qu’elles rapportent.

À court terme, l’une de nos principales initiatives consistera à rédiger un document de travail qui portera sur les défis et les risques d’atteinte à la réputation que pose l’environnement en ligne, la gestion de la réputation et les recours à la disposition des citoyens. Nous nous pencherons entre autres sur le droit à l’oubli.

Le document contiendra des questions à débattre pour les intervenants, y compris ceux qui ont exprimé leurs préoccupations sur le sujet au cours de nos discussions antérieures, pour orienter les points de vue sur le droit à l’oubli dans le contexte canadien ainsi que sur d’autres façons nouvelles et novatrices d’améliorer la protection de la réputation et des renseignements personnels.

En bout de ligne, nous voulons élaborer un énoncé de politique sur les mécanismes de recours possibles. Nous espérons aussi contribuer à l’adoption de solutions technologiques, comme des options axées sur la protection de la vie privée par l’obscurité, l’anonymisation ou la suppression automatique.

Le corps comme source d’information

Nous en sommes maintenant à notre dernière priorité, le corps comme source d’information.

Avec l’arrivée des accessoires intelligents à porter sur soi, des dispositifs de localisation et de la technologie intelligente, les renseignements personnels n’auront jamais été aussi sensibles.

Les personnes qui achètent ces appareils devraient être bien informées des renseignements qui sont recueillis et de l’utilisation qui en est faite. Elles devraient aussi pouvoir déterminer d’entrée de jeu si ces renseignements seront communiqués et à quelles fins.

À court terme, il sera important d’analyser le contexte des applications et des technologies numériques actuelles et nouvelles dans le domaine de la santé, comme les applications de conditionnement physique et les moniteurs de fréquence cardiaque.

Nous prévoyons tester quelques-uns de ces nouveaux produits dans notre propre laboratoire de technologie pour mieux comprendre leurs répercussions sur la vie privée.

Cette initiative va dans le sens de notre objectif à moyen terme consistant à élaborer des lignes directrices à l’intention des entreprises canadiennes de technologie numérique dans le domaine de la santé et des concepteurs d’applications. Ces lignes directrices porteront sur la façon d’intégrer des mesures de protection de la vie privée dans leurs nouveaux produits ou services tout en évitant certaines zones interdites.

Travail proactif et LPRPDE

En ce qui a trait au travail proactif visant à assurer la conformité à la LPRPDE, je tiens à répéter que le rôle du Commissariat à la vie privée du Canada ne se limite pas à réagir.

Nous consacrons une bonne partie de nos efforts à faire enquête sur des plaintes déposées auprès du Commissariat, mais la LPRPDE nous donne aussi un mandat fort d’éducation et de recherche.

La majeure partie de notre travail proactif vise à déceler des problèmes systémiques et à faire un suivi auprès des organisations et des associations de l’industrie pour leur donner une orientation dans le but d’atténuer ou de corriger ces problèmes.

Ces activités peuvent déboucher sur des enquêtes officielles lorsque la situation le justifie, mais elles servent le plus souvent à amorcer un dialogue avec des organisations qui voient généralement nos efforts d’un bon œil.

Nous avons constaté que nos activités d’éducation et de sensibilisation nous permettent de susciter des changements sans avoir à mener des enquêtes officielles qui nécessitent beaucoup de temps et d’argent.

À ce propos, j’aimerais vous parler brièvement de trois activités proactives que nous menons, soit le ratissage pour la protection de la vie privée, notre projet de recherche sur la publicité comportementale en ligne et notre initiative portant sur la collecte d’adresses.

Le ratissage pour la protection de la vie privée

Comme bon nombre d’entre vous le savent déjà, le ratissage pour la protection de la vie privée est devenu une initiative annuelle au cours de laquelle les autorités de protection des données du monde entier choisissent un thème pour ensuite évaluer ensemble les communications concernant la protection de la vie privée et les contrôles en place en lien avec ce thème. Le ratissage de cette année avait pour thème la protection de la vie privée des enfants dans les applications mobiles et les sites Web s’adressant à eux.

Nous avons constaté que la plupart des sites Web et des applications mobiles évalués recueillaient des renseignements personnels auprès des enfants et les communiquaient ensuite à des tiers. Nous avons également constaté qu’un trop grand nombre de concepteurs recueillaient des renseignements personnels particulièrement sensibles comme des photos, des vidéos et des données sur la localisation, et permettaient souvent que l’emplacement soit affiché publiquement.

Dans de nombreux cas, les enfants étaient redirigés vers d’autres sites ayant des pratiques de protection des renseignements personnels différentes. Ils étaient souvent redirigés au moyen d’une publicité ou de l’icône d’un concours qui semblait parfois faire partie intégrante du site initial.

Nous avons aussi vu des mesures de protection novatrices, par exemple le recours à des noms d’utilisateurs et à des avatars prédéfinis, des fonctions de message ou de clavardage supervisés et des tableaux de bord parentaux. Nous avons été encouragés de constater que de nombreux sites Web très fréquentés qui ciblent les enfants ne recueillaient aucun renseignement personnel, ce qui prouve que c’est possible.

Comme par le passé, nous écrirons aux concepteurs pour leur faire part de nos préoccupations dans l’espoir qu’ils apportent des changements permettant de mieux protéger les renseignements personnels des utilisateurs.

Il est encore trop tôt pour parler de l’incidence des résultats de cette année, car notre travail de suivi du ratissage n’est pas terminé. Je peux toutefois vous dire que nous avons envoyé l’an dernier 46 lettres aux concepteurs de nombreuses applications mobiles soumises au ratissage.

La majorité des concepteurs auxquels nous avons écrit ont répondu favorablement. Grâce à nos efforts, les concepteurs de plus de 130 applications se sont engagés à modifier leurs pratiques de protection de la vie privée en ligne et leurs communications connexes.

Et, je le répète, nous n’avons pas eu à mener d’enquête officielle.

Le projet de recherche sur la publicité comportementale en ligne

Notre projet de recherche sur la publicité comportementale en ligne, qui a été lancé en juin dernier, constitue une autre initiative proactive. Dans ce contexte, nous nous sommes penchés sur la publicité comportementale en ligne affichée sur 46 sites Web gratuits très fréquentés par les Canadiens et assujettis à la LPRPDE.

Nous avons mis en œuvre le projet près de quatre ans après avoir publié des lignes directrices à l’intention des organisations faisant de la publicité comportementale en ligne. À certains égards, il a permis d’évaluer la façon dont ces lignes directrices ont été suivies dans la pratique.

Je suis heureux de vous informer que nous avons constaté de nombreux exemples de pratiques exemplaires de protection de la vie privée concernant la publicité comportementale en ligne.

Par exemple, la grande majorité des publicités ciblées que nous avons examinées, soit plus de 96 %, donnaient sous la forme d’icônes et d’options de refus un avis quelconque concernant la publicité comportementale en ligne.

Mais il y a encore matière à amélioration.

Dans bien des cas, les procédures de refus étaient trop complexes.

Nous avons été particulièrement déçus de constater que certains renseignements sensibles étaient utilisés pour faire la publicité comportementale en ligne.

Par exemple, nous avons constaté que les recherches en ligne sur des sujets sensibles comme les tests de grossesse, les avocats spécialisés en divorce, la dépression et la faillite pouvaient entraîner l’affichage de publicités connexes à l’écran de l’utilisateur.

Ces publicités ciblées de nature sensible ne proposaient aucune option permettant d’obtenir un consentement explicite, comme le prévoient les lignes directrices que nous avons publiées.

Nous avons fait part de nos conclusions de façon générale aux organisations qui font de la publicité et, plus précisément, aux trois organisations qui avaient utilisé des renseignements sensibles sans avoir obtenu un consentement valable.

J’ai le plaisir de vous informer que les associations du domaine de la publicité ont indiqué qu’elles prennent le rapport au sérieux, qu’elles trouvent les résultats utiles et qu’elles les utiliseront pour façonner leur travail à l’avenir.

Bien entendu, nous poursuivons notre suivi auprès de ces entreprises et d’autres organisations qui font de la publicité pour nous assurer qu’elles apportent des améliorations. J’ai bon espoir, encore une fois, de voir des résultats positifs.

La collecte d’adresses

Je sais que certains d’entre vous ont posé des questions concernant expressément notre initiative portant sur la collecte d’adresses.

Ce projet vise à dresser l’état des lieux. Nous voulions avoir une meilleure idée du travail des courtiers en données, de leur marché, des produits et services qu’ils offrent et des enjeux relatifs à la protection de la vie privée qui entrent en jeu.

Nous voulions entre autres savoir quels renseignements personnels ils recueillent, utilisent et communiquent – que ce soit en leur propre nom, au nom de leurs clients ou auprès de fournisseurs de listes d’adresses de courriel. Nous voulions également savoir comment ils structurent les listes d’adresses de courriel et comment ils obtiennent le consentement des personnes figurant sur ces listes, et comprendre le lien entre certains fournisseurs et le Canada.

Nous faisons maintenant un suivi en posant des questions aux organisations et nous avons bon espoir de pouvoir travailler avec elles pour améliorer les pratiques de protection de la vie privée.

Par la suite, nous examinerons les résultats de cette recherche et déterminerons les mesures qui pourraient être nécessaires sur le front de la sensibilisation ou, possiblement, de l’application de la loi.

La Loi sur la protection des renseignements personnels numériques

J’aimerais, en terminant, vous dire quelques mots concernant la Loi sur la protection des renseignements personnels numériques. L’adoption de cette loi en juin a entraîné une série de modifications à la LPRPDE.

Comme vous le savez, nous sommes ravis de bon nombre des modifications apportées à la Loi.

On peut penser, bien entendu, à la déclaration et à la notification obligatoires de certaines atteintes à la sécurité des données. Ces modifications ne sont pas encore en vigueur et tout comme vous, nous attendons les règlements avec impatience.

Bien que l’élaboration des règlements dans le domaine relève d’Industrie Canada, nous formulerons des commentaires à la lumière de notre propre expérience dans le cadre du système de déclaration volontaire et de l’expérience d’autres autorités de protection des données assujetties à des règles de déclaration obligatoire des incidents.

On nous dit que le dossier a été mis en veilleuse en attendant les résultats de l’élection et la nomination du ministre de l’Industrie.

D’ici l’entrée en vigueur des nouvelles dispositions portant sur les atteintes à la sécurité des données, la déclaration et la notification des atteintes continueront de se faire sur une base volontaire. Entre-temps, nous exhortons les organisations à nous signaler les atteintes et à en aviser les clients touchés s’il y a lieu, comme le prévoient nos lignes directrices sur la déclaration des atteintes à la vie privée.

J’aimerais vous parler brièvement d’une nouvelle disposition qui permet au Commissariat de conclure des accords de conformité. Grâce à ce nouvel outil, nous bénéficions d’un autre mécanisme pour nous assurer que les entreprises se conforment à la Loi.

Ce sont des accords volontaires, mais ils ont force exécutoire. Nous espérons qu’ils aideront grandement à assurer la conformité à la LPRPDE sans que nous devions recourir aux tribunaux.

Je peux vous dire que nous n’avons conclu aucun accord de conformité avec des entreprises à ce jour. Mais nous demeurons à l’affût des dossiers qui s’y prêteraient.

Deux nouveaux sous-alinéas de la Loi sur la protection des renseignements personnels numériques me préoccupent encore. Ce sont les alinéas 7(3)(d.1) et (d.2), en vertu desquels une organisation pourrait, dans certaines situations, communiquer des renseignements personnels à toute une autre organisation sans le consentement de l’intéressé. Par le passé, dans ces situations, les organisations pouvaient communiquer des renseignements uniquement à des organismes d’enquête désignés.

Je m’inquiète du fait que ces modifications pourraient entraîner une communication excessive de renseignements personnels.

J’ai exprimé mon point de vue au cours de mon témoignage devant le Comité. J’ai alors proposé diverses modifications, entre autres obliger les organisations à publier des rapports de transparence documentant toute communication d’information.

Ces dispositions ont maintenant été adoptées, mais nous nous attendons à ce qu’on les applique en tenant compte de la protection des renseignements personnels.

J’aimerais soulever un dernier point au sujet de la transparence. Industrie Canada a récemment publié des lignes directrices concernant la production de rapports sur les mesures de transparence à l’intention des entreprises, par exemple les fournisseurs de services de télécommunications. On demande souvent à ces entreprises de fournir des renseignements sur leurs clients aux organismes d’application de la loi, ou on les oblige à le faire.

Le Commissariat réclame depuis des années que les organisations soient tenues de rendre publiques les statistiques sur ces demandes. D’ailleurs, la nécessité de la transparence est devenue plus évidente encore dans la foulée de l’arrêt clé rendu par la Cour suprême du Canada dans l’affaire Spencer.

Certaines entreprises de télécommunications avaient déjà commencé à publier des rapports de transparence avant la publication des lignes directrices. Mais d’autres n’en publiaient pas.

À mon avis, les lignes directrices encourageront les autres à le faire et ce, de façon plus systématique. Ces rapports aideront les Canadiens à mieux comprendre à quelle fréquence et dans quelles situations les entreprises communiquent les renseignements personnels les concernant. Je suis heureux d’avoir pu travailler avec Industrie Canada en vue de l’élaboration des lignes directrices.

Le Canada doit se doter d’une structure uniforme d’établissement de rapports et d’une nomenclature normalisée pour les différentes catégories de renseignements personnels et les différents types de communication au gouvernement. Ces exigences pourraient être rendues obligatoires par voie législative ou réglementaire, mais le système d’établissement de rapports proposé par Industrie Canada constitue un premier pas dans la bonne direction et nous nous attendons à ce que les organisations l’adoptent et s’y conforment en grand nombre.

Nous avons aussi demandé aux ministères fédéraux de commencer à publier eux-mêmes des rapports de transparence concernant les demandes de renseignements personnels sur les clients qu’ils présentent à des organisations du secteur privé. Nous espérons qu’ils donneront suite eux aussi à notre demande.

Conclusion

Je vous ai donné un aperçu de nos priorités pour la protection de la vie privée, de notre travail proactif en vue d’assurer la conformité et des prochaines étapes en ce qui concerne la mise en œuvre de la Loi sur la protection des renseignements personnels numériques.

J’espère avoir répondu à quelques-unes de vos questions, mais je suis certain que vous en avez encore beaucoup d’autres. Je vous cède donc la parole sans plus attendre.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :