Sécurité nationale et protection de la vie privée en 2015

Allocution prononcée à la conférence Privacy and Access 20/20

Le 12 novembre 2015
Vancouver (Colombie-Britannique)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Bonjour. Je remercie la commissaire Denham, ainsi que le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique, de m’avoir invité à prendre la parole ici aujourd’hui.

Les principaux points à l’ordre du jour de la conférence, notamment la sécurité nationale, le droit à l’oubli, les mégadonnées et la protection de la vie privée des jeunes, sont des enjeux sur lesquels le Commissariat à la protection de la vie privée du Canada se penche quotidiennement pour son travail dans le domaine des politiques, de la recherche, de la sensibilisation et des enquêtes.

La conférence a pour thème l’avenir de la protection de la vie privée. Certains considèrent que la vie privée n’existe plus, à l’ère des mégadonnées, de l’Internet des objets, de l’environnement mobile et des nouvelles lois qui renforcent les pouvoirs de surveillance du gouvernement.

Au lieu d’examiner ces facteurs et de conclure que la vie privée n’existe plus, je dirais qu’il y a des défis de taille à relever. Et aujourd’hui, j’aimerais vous parler de certains efforts déployés par le Commissariat pour relever quelques-uns des défis qui nous attendent et qui nous semblent particulièrement importants.

Comme je l’ai promis, mon allocution portera principalement sur la surveillance exercée au Canada et ailleurs dans le monde. Je proposerai quelques idées constructives sur les mesures à prendre pour mieux protéger les renseignements personnels face aux risques découlant des lois récemment promulguées au Canada.

Je parlerai en particulier des seuils établis pour la communication de l’information et de l’importance de la supervision et de la transparence. Je dirai quelques mots sur le travail effectué par le Commissariat relativement à la surveillance exercée par le gouvernement et à l’accès légitime. Et j’expliquerai brièvement la voie que nous entendons suivre pour améliorer les mesures de protection de la vie privée.

Mais permettez-moi d’abord de présenter les priorités pour la protection de la vie privée qui façonneront et orienteront notre travail au cours des cinq prochaines années.

Priorités

Comme je l’ai déjà dit, l’objectif primordial de mon mandat consiste à amener les Canadiennes et les Canadiens à exercer un meilleur contrôle sur leurs renseignements personnels. À cette fin, nous avons établi quatre priorités pour la protection de la vie privée après avoir tenu de vastes discussions dans diverses régions du pays avec la population canadienne et les intervenants—dont bon nombre d’entre vous. Ces priorités sont :

  • l’économie des renseignements personnels, c’est-à-dire la marchandisation des renseignements personnels;
  • la réputation et la protection de la vie privée, qui renvoient au risque que le passé numérique d’une personne compromette son avenir;
  • le corps comme source d’information, c’est-à-dire les préoccupations découlant de l’utilisation accrue de renseignements sur la santé et de renseignements génétiques et biométriques très sensibles, du point de vue de la protection des renseignements personnels; et
  • la surveillance du gouvernement, dont je parlerai en détail aujourd’hui.

L’économie des renseignements personnels

En ce qui concerne l’économie des renseignements personnels, notre objectif consiste à renforcer la protection de la vie privée et la confiance des gens pour qu’ils puissent participer avec assurance à l’économie numérique.

Notre principal défi tient au fait que la valeur des renseignements personnels va en augmentant, tout comme la motivation des organisations à les recueillir.

Mais les citoyennes et les citoyens ne comprennent pas toujours clairement cette dynamique et, sans les connaissances nécessaires, ils ne peuvent pas donner un consentement valable à la collecte, à l’utilisation et à la communication de leurs renseignements personnels.

Le modèle de protection des renseignements personnels fondé sur le consentement a été élaboré à une époque où, dans les transactions, la communication d’information se produisait à des moments clairement définis. Qu’une personne fasse affaire avec une banque ou qu’elle présente une demande d’indemnisation à son assureur, les transactions étaient visibles et souvent prévisibles. Les gens savaient généralement avec quelles organisations ils faisaient affaire, quels renseignements étaient recueillis et à quelles fins cette information servirait.

Aujourd’hui, les mégadonnées, l’infonuagique, la publicité comportementale en ligne et l’Internet des objets ont changé la donne. Autrefois, on transférait les données d’un endroit à un autre. Elles circulent maintenant au moyen de systèmes répartis, si bien que les gens peuvent difficilement connaître l’identité des organisations qui traitent les données les concernant et savoir à quelles fins.

La législation sur la protection des renseignements personnels dans le secteur privé au Canada a été conçue de manière à ce qu’elle repose sur des principes neutres sur le plan technologique. Mais la complexité de l’écosystème d’information d’aujourd’hui pose problème lorsqu’il s’agit d’obtenir ou de donner un consentement valable.

Comme nous l’avons constaté grâce aux travaux de recherche du Commissariat sur l’analyse prévisionnelle et à notre travail continu sur l’Internet des objets, les nouvelles technologies et les nouveaux modèles d’affaires ont donné lieu à un environnement en évolution rapide et dynamique, où une foule d’intervenants invisibles recueillent, communiquent et utilisent des quantités sans précédent de renseignements personnels, à une multitude de fins qui existent déjà ou qui n’ont pas encore été déterminées.

Ainsi, à court terme—c’est-à-dire le printemps prochain—, nous produirons un document de discussion portant sur les divers défis que pose le modèle de consentement actuel. Nous explorerons les solutions possibles, comme les codes de pratique de l’industrie et d’autres formes d’autoréglementation; une reddition de comptes accrue, ce qui, d’après certains, attribuerait davantage la responsabilité à ceux qui sont en mesure d’évaluer le risque; et une réglementation renforcée, y compris la délimitation de zones interdites où les renseignements personnels devraient toujours être protégés.

À moyen terme, nous déterminerons les améliorations que l’on pourrait apporter au modèle en place, nous appliquerons les solutions qui relèvent de notre compétence et, s’il y a lieu, nous recommanderons des modifications législatives.

La réputation et la protection de la vie privée

En ce qui a trait à la réputation et à la protection de la vie privée, notre objectif consiste à créer un environnement où les gens pourront se servir d’Internet pour explorer leurs champs d’intérêt sans craindre que leur trace numérique n’entraîne un traitement injuste.

Depuis l’avènement des médias sociaux, la réputation en ligne et les répercussions qu’elle peut avoir sur la vie des gens ont fait couler beaucoup d’encre. L’incidence du monde virtuel a modifié la façon dont les réputations se forgent, et la société doit composer avec les effets qui se font sentir sur les relations sociales et les possibilités professionnelles. Il faudrait approfondir la discussion sur le type de recours dont disposent les personnes qui contestent les renseignements personnels affichés en ligne à leur sujet.

Il peut être très difficile d’effacer l’information que les autres affichent à notre sujet, que ce soit de façon délibérée ou par mégarde, dans une intention malveillante ou pour la rendre publique.

Et lorsque nous examinons les mécanismes à notre disposition pour supprimer ou corriger l’information, il est clair que les diverses parties concernées—y compris les organisations, les législateurs, les technologues, les éducateurs et les particuliers—influencent la façon dont les réputations en ligne se forgent.

Par conséquent, nous voulons aider à renforcer la littératie numérique en accordant une attention particulière aux groupes vulnérables, par exemple les jeunes et les personnes âgées.

Nous publierons un document de discussion, nous tiendrons une consultation puis nous prendrons position sur le droit à l’oubli ou les autres mécanismes de recours dans le contexte canadien. Nous contribuerons aussi à des solutions technologiques comme la protection de la vie privée par l’obscurité, l’anonymisation ou les mécanismes de suppression automatique.

Le corps comme source d’information

En ce qui a trait au corps comme source d’information, notre objectif consiste à faire la promotion du respect de la vie privée et de l’intégrité du corps humain comme véhicule des renseignements personnels les plus intimes.

Autrefois, la protection de la vie privée était considérée comme relevant de trois catégories distinctes—celles de l’information, du corps et du territoire. Avec l’arrivée des accessoires intelligents à porter sur soi, de la technologie de localisation et des appareils intelligents connectés à Internet, la délimitation entre ces catégories s’estompe de plus en plus.

Dans ce contexte, les renseignements personnels sont devenus plus sensibles que jamais pour l’intimité et les risques d’atteinte à la vie privée sont considérablement amplifiés.

Nous avons vu l’émergence d’une industrie mondiale qui tire parti de l’information sur le corps—qu’il s’agisse de mesurer numériquement le poids, la taille et le rythme cardiaque ou d’effectuer des analyses sanguines ou des tests génétiques. Les innovations développées ne se limitent pas aux appareils de suivi de la condition physique. Elles comprennent des avancées biomédicales qui promettent de réels avantages, tant pour les patients que pour le système de santé dans son ensemble.

Mais les technologies de l’information utilisées pour obtenir de l’information de notre corps et à son sujet véhiculent nos renseignements personnels les plus intimes et les plus sensibles. Les organismes d’application de la loi comptent de plus en plus sur les données biométriques pour identifier et authentifier les individus à diverses fins. On observe le même phénomène sur les lieux de travail et dans les écoles.

Les mesures de protection vigoureuses et la question de savoir qui contrôle l’information et comment elle est communiquée et utilisée, ainsi que la sensibilité du contexte, revêtent une importance cruciale.

C’est pourquoi nous donnerons dorénavant des conseils aux entreprises et aux concepteurs de technologies sur la façon d’intégrer des moyens de protection dans les produits et services. Nous sensibiliserons les utilisateurs aux risques d’atteinte à la vie privée associés aux accessoires à porter sur soi et aux analyses génétiques offertes directement aux consommateurs, et nous les conseillerons sur les mesures à prendre pour se protéger.

La surveillance du gouvernement

Enfin, passons à la question de la surveillance du gouvernement. Sur ce plan, notre objectif est de contribuer à l’adoption et à l’application de lois et d’autres mesures qui assurent la sécurité nationale et la protection de la vie privée.

D’après mon expérience au ministère de la Justice du Canada, je peux vous affirmer que notre monde a changé. Je suis très sensible à la réalité de la menace qui pèse sur la sécurité nationale. Les Canadiennes et les Canadiens veulent se sentir en sécurité, mais ils ne veulent pas que ce soit au détriment de leur vie privée. Ils souhaitent une approche équilibrée.

Projet de loi C-51

En ce qui concerne le projet de loi C-51, la Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC), vous vous rappelez peut-être que le Commissariat a présenté un mémoire au Parlement le printemps dernier. Nous lui avons alors fait part de nos préoccupations concernant le projet de loi, qui a été adopté en août.

Un nouveau gouvernement a été élu depuis. Et ce gouvernement s’est engagé à modifier la loi après avoir mené des consultations. Nous serons heureux d’exprimer notre point de vue.

Je peux vous dire aujourd’hui que nos préoccupations demeurent les mêmes. À notre avis, les dispositions de la loi régissant la communication d’information sont excessives et disproportionnées. Nous sommes favorables à l’établissement de seuils plus appropriés afin que l’information personnelle soit communiquée non pas simplement si elle « se rapporte » au mandat de l’institution destinataire, mais uniquement si elle est « nécessaire » à son mandat ou « proportionnelle » à son besoin en matière de sécurité nationale.

Nous nous préoccupons aussi du fait que 14 des 17 organisations qui reçoivent de l’information à des fins de sécurité nationale ne font l’objet d’aucune surveillance ni d’aucun examen indépendant.

Surveillance

Pour ce qui est de la surveillance, nous avons recommandé que les activités des institutions fédérales chargées de la sécurité et de l’application de la loi fassent l’objet d’un examen indépendant efficace.

La surveillance des activités de sécurité et de renseignement figurait à l’ordre du jour de la 37e Conférence internationale des commissaires à la protection des données et de la vie privée, qui a eu lieu à Amsterdam il y a deux semaines. Les commissaires ont alors reconnu que la confiance du public avait été minée par les révélations concernant la surveillance exercée par les États, de même que par le manque de transparence et la surveillance fragmentée.

Nous avons convenu de promouvoir les critères de nécessité, de proportionnalité et de légitimité dans les activités de sécurité et de renseignement ainsi qu’une transparence accrue. Les recommandations formulées par le Commissariat concernant le projet de loi C-51 cadrent avec cet engagement.

Comme d’autres personnes l’ont mentionné, le Canada est le seul pays du « Groupe des cinq » où le Parlement n’exerce aucune surveillance. Dans sa plateforme électorale, le nouveau gouvernement  a promis de créer « un comité multipartite qui devra surveiller les opérations de tous les ministères et organismes fédéraux chargés de la sécurité nationale ». C’est une bonne nouvelle.

À l’heure actuelle, le Canada n’est pas non plus en mesure de demander à des experts d’examiner la communication d’information entre les organismes de renseignement et d’application de la loi. Le Centre de la sécurité des télécommunications, le Service canadien du renseignement de sécurité et la Gendarmerie royale du Canada collaborent souvent dans des dossiers d’intérêt commun et leurs activités sont examinées par des organismes de surveillance distincts. Mais ces organismes se heurtent à des obstacles empêchant la tenue d’examens conjoints. Je continuerai de prôner un accroissement des pouvoirs de communication d’information entre les organismes de surveillance, de façon à ce que nous puissions suivre la piste de l’information d’un organisme de sécurité nationale à l’autre.

Seuils établis pour la communication de l’information

Dans le mémoire que nous avons soumis au printemps, nous recommandions d’améliorer la surveillance, tout en indiquant clairement qu’aucun examen, si rigoureux soit-il, ne peut compenser des normes inadéquates.

Il est important d’exercer une surveillance efficace. Mais la mise en place de normes adéquates établissant des seuils appropriés pour la communication de l’information peut éviter des problèmes en amont. Les seuils limitent l’utilisation des pouvoirs d’une institution et les dommages qui pourraient découler de leur mauvaise utilisation.

Comme l’indique clairement notre mémoire, les organismes de sécurité nationale ne devraient pas déterminer eux-mêmes les limites de leurs pouvoirs. De plus, la loi devrait établir des normes claires et raisonnables pour régir la communication, la collecte, l’utilisation et la conservation des renseignements personnels.

En examinant les mesures à prendre pour modifier les seuils prévus dans le projet de loi C-51, nous nous sommes penchés sur des exemples au pays et à l’étranger. En effet, le Canada n’est pas le seul pays à modifier ses lois pour accroître la communication d’information entre les organismes afin de renforcer la sécurité publique.

En Europe, un certain nombre de pays ont proposé ou adopté des lois portant sur la communication d’information aux fins de la sécurité nationale. Les seuils varient, mais il y a des exemples qui justifient d’aller au-delà du simple critère de pertinence par rapport au mandat. Par exemple, un projet de loi déposé en Suisse créerait une assise législative pour le fonctionnement des organismes de renseignement du pays. Il imposerait l’obligation de communiquer toute information qui permettrait de détecter une menace concrète pesant sur la sécurité nationale lorsqu’un organisme de renseignement en a besoin pour s’acquitter de son mandat—et non uniquement lorsque l’information se rapporte à son mandat.

Le concept de proportionnalité est aussi au cœur du droit constitutionnel de l’Union européenne, particulièrement de sa législation sur la protection de la vie privée et les droits de la personne.

Au Canada, certaines dispositions restreignent même la communication de l’information aux situations où elle est nécessaire et proportionnelle. Par exemple, en vertu de la Loi sur l’immigration et la protection des réfugiés, les renseignements concernant des personnes dans certaines situations, comme les demandeurs de visa, d’asile ou du statut de réfugié, peuvent être communiqués aux gouvernements étrangers uniquement lorsqu’ils sont « nécessaires, pertinents et proportionnels » à l’atteinte d’un objectif énoncé. Nous recommanderons d’établir un seuil similaire pour la communication de l’information sous le régime de la LCISC.

Examen de l’application de la LCISC

Comme je l’ai mentionné, nous sommes ravis que le nouveau gouvernement se soit engagé à mener des consultations sur les changements à apporter et qu’il nous offre la possibilité de faire connaître notre point de vue. Mais, en parallèle, nous nous préparons à exercer nos pouvoirs si les modifications apportées à la loi se limitaient à prévoir une surveillance parlementaire.

En pareil cas, nous exercerons nos pouvoirs actuels pour examiner la façon dont les institutions fédérales échangent l’information aux fins de la sécurité nationale.

Nous consacrerons des ressources considérables aux activités de conformité pour nous assurer que la communication d’information autorisée par la LCISC est conforme à la Loi sur la protection des renseignements personnels, comme il se doit. Nous présenterons ensuite nos conclusions aux parlementaires et à la population canadienne afin d’éclairer le débat public et d’aider à définir les modifications législatives éventuelles.

Le projet de loi C-13

Le projet de loi C-51 n’était pas le seul projet de loi touchant la surveillance qui a été adopté récemment et qui nous préoccupe. Le projet de loi C-13, la Loi sur la protection des Canadiens contre la cybercriminalité, a été adopté en décembre dernier.

Ce projet de loi comporte une clause d’immunité visant à protéger contre d’éventuelles poursuites les personnes qui communiquent de leur plein gré des renseignements personnels à la suite de demandes d’accès sans mandat émanant du gouvernement. Dans notre mémoire, nous avons fait part de nos inquiétudes à ce sujet.

Nous avons également soulevé des préoccupations concernant l’absence d’un mécanisme de reddition de comptes qui permettrait aux Canadiennes et aux Canadiens d’obliger le gouvernement à rendre compte de l’exercice des nouveaux pouvoirs conférés par cette loi et des demandes présentées sans mandat.

Rapports de transparence

Depuis, nous avons travaillé avec Industrie Canada et avec des fournisseurs de services de télécommunications pour fournir aux Canadiens des renseignements utiles.

Plus précisément, nous avons participé à l’élaboration des lignes directrices sur la transparence publiées par Industrie Canada en juin dernier. Ces lignes directrices établissent des normes s’appliquant aux rapports de transparence et de responsabilisation produits par les entreprises qui communiquent des renseignements personnels aux organismes d’application de la loi.

Parallèlement, nous avons publié une analyse comparative des rapports de transparence déjà produits volontairement par des entreprises de télécommunications. Malgré des lacunes dans les mécanismes de rapport, nous avons constaté que ces documents peuvent aider les Canadiennes et les Canadiens à faire des choix éclairés et à mieux comprendre comment et quand les organismes gouvernementaux consultent les renseignements personnels détenus par des organisations du secteur privé.

Nous espérons que les entreprises se conformeront aux lignes directrices et que les rapports de transparence seront plus uniformes. Dans le cas contraire, nous pourrions réclamer des modifications législatives.

Dans l’ensemble, ces rapports constituent un premier pas vers l’amélioration de la transparence.

Il y a quelques semaines, nous avons donné une dimension internationale à notre plan. Au cours de la conférence internationale qui a eu lieu à Amsterdam, notre résolution sur le sujet a été appuyée par mes homologues des autres pays. La résolution exhorte les organismes du secteur privé à produire des rapports de transparence précisant le nombre et le fondement juridique des demandes d’accès des institutions gouvernementales aux renseignements sur leurs clients et leurs employés, et indiquant aussi la nature des réponses.

La résolution demande également aux gouvernements de tenir des registres exacts de leurs demandes d’accès légitime à des renseignements personnels, de rendre publics leur nature, la fin visée et le nombre de ces demandes et d’éliminer les obstacles à la production de rapports de transparence.

Au Canada, pour emboîter le pas au secteur privé, nous voulons aussi que les institutions fédérales produisent des rapports de transparence sur les demandes qu’elles présentent aux entreprises.

La structure actuelle d’établissement de rapports publics sur la surveillance électronique remonte aux années 1970. Elle s’applique à l’écoute téléphonique et à la vidéosurveillance secrète. La jurisprudence a permis d’élargir un peu la portée de cette structure au cours des dernières années, mais à peine.

Une approche modernisée, conçue en fonction des moyens de communication et des capacités de surveillance actuels, donnerait aux citoyennes et aux citoyens ainsi qu’au Parlement une meilleure idée de la façon dont les institutions fédérales exercent leurs pouvoirs d’accès légitime.

Comme nous l’avons fait remarquer en juin, les rapports publiés par le secteur privé brossent un tableau partiel de la situation. Une transparence accrue du secteur public aiderait à déterminer comment ces pouvoirs apportent à la société des avantages proportionnels aux risques d’atteinte à la vie privée.  

Conclusion   

J’espère vous avoir donné une meilleure idée de la position du Commissariat concernant la surveillance, les seuils pour la communication de l’information, la transparence et l’accès légitime. J’espère aussi que vous avez une vision plus claire de nos priorités pour la protection de la vie privée au cours des prochaines années.

Vous savez maintenant que le projet de loi C-51 et la communication de l’information qu’il autorise entre les ministères fédéraux me préoccupent encore. Surtout quand on pense aux autres projets de loi qui ont été adoptés, par exemple le projet de loi C-13, et aux révélations récentes sur les activités de surveillance aux fins de sécurité nationale.

Tout cela entraîne un risque de surveillance ou de profilage des Canadiens susceptible de porter atteinte à leur vie privée. Je crois que nous devrions tous nous en préoccuper véritablement.

Mais j’ai aussi des raisons d’être optimiste. En effet, les Canadiennes et les Canadiens ont la sécurité à cœur vu les menaces qui pèsent sur le monde à l’heure actuelle, mais ils accordent aussi une très grande importance à leur vie privée et ils veulent la protéger. Ils veulent traiter avec des entreprises qui respectent leur vie privée et qui expliquent clairement leurs pratiques de traitement des renseignements personnels. Ils veulent s’assurer qu’il existe des lois et des procédures permettant de surveiller les institutions gouvernementales. Ils veulent une transparence accrue afin que les institutions puissent gagner leur confiance.

Nous vivons dans un État de droit—un pays démocratique qui fait la promotion des droits de la personne et les respecte. C’est pour moi une autre raison d’être optimiste.

Tout compte fait, je demeure convaincu que nous pouvons nous protéger contre les menaces qui pèsent sur nous tout en protégeant notre droit à la vie privée.

Je vous remercie.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :