Donner suite aux préoccupations des Canadiens concernant la protection de la vie privée

Présentation devant l'Association canadienne de l'accès à l'information et de la protection des renseignements personnels (ACAP)

Le 30 novembre 2015
Ottawa (Ontario)

Allocution prononcée par Sue Lajoie
Directrice générale, Enquêtes de la Loi sur la protection des renseignements personnels

(Le texte prononcé fait foi)


Introduction

C’est un plaisir pour moi d’être ici aujourd’hui et d’avoir cette occasion de faire le point sur les activités du Commissariat à la protection de la vie privée du Canada. Je vous donnerai un aperçu de ce que nous avons fait depuis que le commissaire a pris la parole ici l’an dernier, quelques mois à peine après son entrée en fonction.

Le commissaire conviendrait certainement que nous avons eu une année à la fois chargée et intéressante.

J’aimerais tout d’abord vous donner un aperçu de ce que nous avons fait au cours du dernier exercice seulement :

  • Nous avons examiné plus de 1 200 plaintes déposées en vertu de la Loi sur la protection des renseignements personnels.
  • Nous avons participé activement au débat public extrêmement vaste concernant de nombreuses initiatives législatives et leurs répercussions sur la vie privée, entre autres le projet de loi C-51, Loi antiterroriste de 2015.  
  • Nous avons examiné les évaluations des facteurs relatifs à la vie privée préparées par des ministères et formulé des commentaires à ce sujet. Bon nombre de ces évaluations concernaient la sécurité, notamment la sécurité publique.
  • Et, comme nous en avons dorénavant l’obligation, nous avons examiné les atteintes à la sécurité des données déclarées par les institutions fédérales. Et le nombre de ces incidents, soit un peu plus de 250, a atteint un autre niveau record au cours du dernier exercice.

Par ailleurs, les recherches sur l’opinion publique et les données empiriques nous montrent que l’inquiétude des Canadiens concernant la protection de leur vie privée atteint aussi de nouveaux sommets. Le débat entourant le projet de loi C-51 n’est qu’un exemple parmi d’autres.

Bien entendu, nous partageons l’inquiétude de la population canadienne. Et mon allocution d’aujourd’hui porte principalement sur les mesures que nous prenons pour bien comprendre leurs préoccupations et nous assurer de pouvoir continuer à y répondre efficacement. Je parlerai donc :

  • de nos priorités stratégiques;
  • de la façon dont nous nous adaptons aux tendances observées en ce qui concerne les plaintes et les atteintes à la vie privée;
  • des mesures que nous prenons pour mieux gérer les plaintes que nous devons traiter, car leur nombre et leur diversité augmentent de façon imprévisible.

Priorités

Comme vous le savez sans doute, nous devons traiter les plaintes et accomplir de nombreuses autres tâches. Cela dit, nous avons une certaine latitude pour ce qui est d’autres activités : les vérifications sur la protection de la vie privée que nous menons, les sujets de nos activités de recherche, les examens de la conformité que nous effectuons et le type d’activités de sensibilisation que nous réalisons.

Pour que les ressources consacrées à ces activités profitent réellement à la population canadienne, nous avons entrepris l’automne 2014 une vaste démarche en vue d’établir les priorités stratégiques qui orienteront notre travail discrétionnaire.

Nous avons consulté des intervenants de tous les horizons dans les secteurs public et privé – entre autres du milieu universitaire, des groupes de défense des consommateurs ainsi que des juristes. Nous avons mené des sondages d’opinion publique et organisé des groupes de discussion pour consulter directement les Canadiens.

En nous fondant sur ce que nous ont dit les intervenants et les citoyens de même que sur les recherches supplémentaires menées par le Commissariat, nous avons retenu quatre domaines prioritaires qui seront au cœur de nos activités discrétionnaires pendant les cinq prochaines années.

J’aimerais pour commencer parler de l’économie des renseignements personnels.

Cette question ne se limite pas à la saisie d’un numéro de carte de crédit pour payer un DVD sur Amazon. Nous communiquons couramment toutes sortes de renseignements personnels pour obtenir des services en ligne supposément gratuits. Il peut s’agir simplement de l’endroit où nous nous trouvons — que nous pouvons révéler sans même nous en rendre compte. Mais ce pourrait aussi être tout autre élément d’information, par exemple notre âge, le nombre d’enfants que nous avons, notre revenu annuel et, même, nos préférences en matière de cinéma.

Comme nous le savons, cette information a une valeur. Elle peut servir à établir notre profil détaillé.

La plupart des participants à nos groupes de discussion comprenaient que cet échange avait lieu. Mais ils effectuaient tout de même la transaction, plutôt à contrecœur. Un participant nous a affirmé : « Je n’ai pas d’objection à ce qu’ils fassent un bénéfice, mais il faudrait me dire ce qu’ils font de mes renseignements. »

Certains intervenants ont mentionné que les consommateurs et la société bénéficient de ces transactions. Par ailleurs, tous s’entendaient sur un point : dans le contexte des mégadonnées, de l’Internet des objets et de l’environnement mobile, il est de plus en plus difficile pour une personne de donner un consentement valable à la collecte et à l’utilisation de ses renseignements personnels et, à plus forte raison, de comprendre comment ils sont utilisés et d’exercer un contrôle sur leur utilisation.

Notre deuxième priorité est le corps comme source d’information.

Peu de participants à nos groupes de discussion avaient même envisagé les risques d’atteinte à la vie privée associés à des objets apparemment aussi inoffensifs que les appareils numériques pour le suivi de la condition physique. Ces appareils envoient chaque jour dans le nuage d’énormes quantités de renseignements très personnels. Qui a accès à cette information? À quelles fins l’utilise-t-on? Comment la protège-t-on?

Ce ne sont là que quelques-unes des questions urgentes que l’on doit poser.

Nous avons déjà vu des cas où des compagnies d’assurance avaient accès aux résultats de tests génériques et s’en servaient pour justifier l’augmentation de la prime de clients. De nombreux participants aux groupes de discussion ont dit craindre que ce type d’information ne serve pas qu’à des fins strictement médicales.

D’après certains participants, la loi devrait prévoir les utilisations autorisées de cette information. On nous a aussi dit que la protection de la vie privée ne devrait pas entraver l’innovation, car les données recueillies offrent un potentiel extraordinaire pour la recherche.

La troisième priorité est la réputation et la protection de la vie privée.

Tout le monde sait que la vérification du profil en ligne d’éventuels employés est une pratique très courante. Dans le sondage d’opinion publique que nous avons mené l’automne dernier, plus des trois quarts des internautes se sont dits préoccupés dans une certaine mesure par les différentes façons dont les organisations peuvent utiliser l’information à leur sujet qui est affichée en ligne.

Il n’est pas seulement question d’information que nous avons publiée en ligne à l’âge de 16 ans et qui revient nous hanter quand nous cherchons un emploi 20 ans plus tard. Il s’agit aussi de ce que les autres peuvent publier en ligne à notre sujet. Que pouvons-nous faire à cet égard? Et que pouvons-nous faire, individuellement, pour corriger ou supprimer les renseignements qui ne sont plus exacts ou qui ne l’ont jamais été?

Pratiquement tout ce que nous faisons en ligne est susceptible de nuire à notre réputation – de ce que nous lisons jusqu’à notre historique de recherche, tout peut être retracé et utilisé pour classer nos champs d’intérêt dans des catégories. En dehors de leur contexte, ces renseignements peuvent porter grandement atteinte à la réputation.

D’après certaines personnes que nous avons consultées, la meilleure façon de réagir pour le Commissariat consiste à renseigner la population, c’est-à-dire aider les gens à comprendre les conséquences potentielles de leurs activités en ligne et les laisser faire eux-mêmes leurs choix. D’autres, cependant, estiment que les organisations ont une certaine responsabilité d’aider les gens à protéger leur réputation.

Penchons-nous maintenant sur la quatrième priorité, la surveillance du gouvernement.

J’ai déjà mentionné le vaste débat public portant sur des initiatives législatives comme la Loi antiterroriste de 2015 et une loi qui en fait partie intégrante, soit la Loi sur la communication d’information ayant trait à la sécurité du Canada. Ce débat se poursuit encore.

Les participants à nos groupes de discussion se disaient généralement d’accord avec le principe de la surveillance exercée par le gouvernement à des fins de sécurité nationale. Mais ils y étaient beaucoup moins favorables lorsque l’on a laissé entendre qu’ils pourraient eux-mêmes faire l’objet de ce type de surveillance.

La grande majorité des intervenants s’accordait pour dire que la surveillance exercée par le gouvernement devrait être une priorité pour le Commissariat et que notre organisme est particulièrement bien placé pour demander au gouvernement de rendre compte du respect de la vie privée des Canadiens.

Certains réclament une plus grande transparence en ce qui a trait aux ententes de communication de renseignements personnels par le gouvernement dans le contexte des activités de sécurité nationale, sans oublier la question de l’accès sans mandat aux données des entreprises de télécommunications. On nous a demandé de promouvoir une supervision plus efficace des activités de surveillance exercées par le gouvernement. C’est d’ailleurs quelque chose que le commissaire fait avec beaucoup de vigueur et comme il se doit.

Par exemple, sous sa forme actuelle, la Loi sur la communication d’information ayant trait à la sécurité du Canada autorise les ministères et organismes fédéraux à communiquer l’information qu’ils ont recueillie sur les Canadiens à 17 ministères et organismes fédéraux ayant des responsabilités touchant la sécurité nationale. Il y a une seule condition à respecter : l’institution à l’origine de la communication doit juger que l’information se rapporte à la sécurité nationale.

Seulement trois des 17 institutions autorisées à recevoir cette information sont soumises à une forme quelconque de supervision ou d’examen indépendant distinct.

Cependant, comme la plupart des institutions fédérales, ces ministères et organismes sont assujettis aux dispositions de la Loi sur la protection des renseignements personnels. Et nous exercerons nos pouvoirs d’examen et d’enquête pour nous pencher sur les pratiques des institutions fédérales exerçant des activités de surveillance. Nous voulons nous assurer que leurs pratiques de collecte, d’utilisation et de communication des données sont conformes à la Loi. Au besoin, nous présenterons nos conclusions aux parlementaires et au public et nous recommanderons des mesures pour améliorer les politiques et les lois.

Tendances dans les activités relatives à la conformité

Loi sur la protection des renseignements personnels

Nos activités sont guidées non seulement par ces priorités stratégiques, mais aussi par les tendances qui ressortent du type de plaintes que nous recevons.

En ce qui concerne les institutions fédérales, le nombre de plaintes concernant les délais, le refus d’accès et la non-conformité aux articles 4 à 8 de la Loi sur la protection des renseignements personnels – c’est-à-dire les articles qui portent sur la collecte, l’utilisation et la communication des renseignements personnels – constitue une préoccupation constante.

Voyons maintenant ce qu’il en est pour les délais. Si nous faisons abstraction des plaintes multiples déposées par quelques personnes concernant les délais, le nombre de plaintes de ce type a légèrement diminué au cours du dernier exercice. Mais plusieurs centaines, c’est encore beaucoup trop. C’est pourquoi nous avons mis en place de nouvelles procédures pour le traitement de ces plaintes. Il ne s’agit pas de changements radicaux, mais nous demanderons dorénavant à toutes les institutions qui ne peuvent s’engager à répondre à une demande d’accès à des renseignements personnels dans les 60 jours suivant la réception de notre avis de plainte d’élaborer un plan de travail expliquant essentiellement pourquoi elles ont besoin de plus de temps. Si le plan de travail semble déraisonnable ou si une institution ne répond pas à la demande dans les délais prévus, nous examinerons les possibilités de recours devant les tribunaux.

Le temps est également un facteur dans les plaintes concernant le refus d’accès – le type de plainte que nous recevons le plus souvent. Dans ces cas, les plaignants estiment que l’on refuse injustement de leur transmettre leurs renseignements personnels.

Si l’on considère le temps requis pour traiter une demande et que l’on ajoute le temps pour que notre bureau complète une enquête, plusieurs mois peuvent s’écouler. Ajoutons aussi une poursuite judiciaire et des appels. En fait, une personne peut attendre des années avant de mettre la main sur ce qui lui appartient de droit : ses propres renseignements personnels. Les Canadiens méritent mieux.     

Nous savons qu’il y a des défis à relever, mais j’espère que nous pourrons trouver des façons de travailler ensemble pour améliorer les choses.

Les Canadiens sont mécontents lorsqu’on leur refuse l’accès à leurs propres renseignements. C’est compréhensible. Mais vous pouvez imaginer comment ils se sentent lorsque l’on communique ces renseignements à tort à quelqu’un d’autre?

Nous recevons chaque année de nombreuses plaintes selon lesquelles des renseignements recueillis auraient été utilisés sans le consentement de l’intéressé à une fin autre que celle indiquée au départ.

Nous avons aussi vu plusieurs cas de consultation non autorisée de certains renseignements par des employés qui n’ont pas besoin de les connaître et qui ne devraient pas y avoir eu accès. On pourrait parler de « fouinage ».

En fait, la catégorie des plaintes concernant la collecte, l’utilisation et la communication inappropriées de renseignements personnels est celle qui croît le plus rapidement. Et ces plaintes sont souvent les plus difficiles et les plus complexes quand vient le temps de les examiner.

Il y a ensuite les atteintes à la sécurité des données.

Depuis mai 2014, la déclaration des atteintes à la sécurité des données au sein du gouvernement fédéral ne se fait plus sur une base volontaire : toutes les atteintes substantielles à la vie privée doivent être déclarées au Commissariat et au Secrétariat du Conseil du Trésor. C’est peut-être l’une des raisons qui expliquent pourquoi le nombre d’atteintes déclarées au cours du dernier exercice a atteint un nouveau sommet.

Quoi qu’il en soit, comme par les années passées, nous avons constaté qu’environ les trois quarts de ces incidents résultaient d’une erreur humaine. D’ailleurs, un nombre alarmant d’incidents mettaient en cause des dispositifs de stockage portables, c’est‑à‑dire des clés USB, des disques durs portatifs et d’autres dispositifs similaires. Vous trouverez sur notre site Web des conseils détaillés sur la façon d’utiliser ces dispositifs pour atténuer le risque d’incident. De simples mesures, par exemple la protection au moyen d’un mot de passe ou du chiffrement, peuvent être efficaces.

Le Commissariat examine attentivement toutes les atteintes à la sécurité des données qui lui sont déclarées, à la fois pour comprendre ce qui a mal fonctionné et pour déterminer si l’on a pris des mesures appropriées afin d’atténuer les répercussions. Dans la plupart des cas, il s’agit d’abord d’aviser immédiatement les personnes touchées, puis de leur offrir des conseils et du soutien pour gérer les risques découlant de l’incident. Et, bien sûr, on leur explique qu’elles ont le droit de déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada.

J’aimerais profiter de l’occasion pour encourager tous les ministères et organismes à bien vérifier les indications du Secrétariat du Conseil du Trésor sur ce qui constitue une « atteinte substantielle ». Bon nombre des atteintes déclarées au cours du dernier exercice n’entrent pas dans cette catégorie et les instances n’avaient donc pas à les déclarer. En revanche, plusieurs ministères et organismes qui traitent de grandes quantités de renseignements personnels n’ont déclaré aucune atteinte.

LPRPDE

Le secteur privé se préoccupe aussi des atteintes à la sécurité des données. Le projet de loi S‑4, Loi sur la protection des renseignements personnels numériques, a reçu la sanction royale en juin. Cette loi a apporté plusieurs changements importants à la LPRPDE. Entre autres, elle renferme une disposition qui rend obligatoire la déclaration des atteintes à la sécurité des données. Cette disposition entrera en vigueur lorsqu’Industrie Canada aura élaboré et publié le règlement d’application détaillé.

D’autres changements découlant du projet de loi S‑4 sont déjà en vigueur : les précisions concernant le consentement visent à préciser ce qui constitue un consentement valable, surtout dans le cas de personnes vulnérables, comme les enfants.

En ce qui concerne les plaintes déposées en vertu de la LPRPDE, nous en avons reçu 402 au cours du dernier exercice. C’est un nombre record, bien supérieur à la moyenne d’environ 250 qui était la norme depuis plusieurs années.

Heureusement, nous remarquons une tendance au règlement plus rapide. Le délai de traitement moyen des plaintes liées à la LPRPDE était de 4,8 mois l’an dernier. C’est presque la moitié par rapport à l’année précédente. Nos efforts soutenus pour nous améliorer dans le domaine ont donc porté leurs fruits.

Ce succès est attribuable en partie à l’importance accordée au règlement informel lorsque les circonstances le permettent. L’an dernier, nous avons fermé 180 dossiers de plainte sous la LPRPDE grâce au processus de règlement rapide. C’est un tiers de plus que l’année précédente.  

La majorité des organisations du secteur privé que nous avons contactées se sont montrées ouvertes au processus de règlement rapide et souhaitent réellement répondre le plus rapidement possible aux préoccupations des consommateurs concernant la protection de la vie privée. Cela montre clairement que de plus en plus d’organisations reconnaissent que le respect de la vie privée de leurs clients, c’est tout simplement bon pour les affaires.

Améliorer la prestation des services

Les bonnes pratiques opérationnelles sont également une priorité pour le Commissariat à la protection de la vie privée.

Comme vous pouvez le constater d’après les statistiques dont je vous ai fait part, les activités associées à la protection de la vie privée sont en pleine expansion. Mais nos ressources ne suivent pas le rythme.

C’est pourquoi nous continuons d’essayer de réduire le délai de règlement des plaintes en privilégiant d’autres modes de règlement et en cherchant à réaliser des gains d’efficience dans nos processus d’examen.

Au cours du dernier exercice, nous avons examiné en détail toutes les activités relatives à la Loi sur la protection des renseignements personnels. Nous mettons actuellement en œuvre un plan d’action fondé sur les conclusions et les recommandations.

Notre plan d’action porte en grande partie sur les changements à apporter à nos façons de procéder à l’interne, mais il prévoit aussi une plus vaste sensibilisation des ministères et organismes pour améliorer la conformité. Cette sensibilisation se fera notamment en collaboration avec ces institutions pour déceler et résoudre les problèmes qui entraînent des retards et des réponses incomplètes aux demandes et aux incidents. Essentiellement, nous allons mettre beaucoup plus l’accent sur la prévention : s’il y a moins de plaintes, ce sera mieux pour nous, ce sera mieux pour les ministères et organismes et ce sera certainement mieux pour les Canadiens.

Le nouveau gouvernement au pouvoir a indiqué clairement son intention de respecter le droit d’accès des Canadiens aux renseignements qu’il possède à leur sujet. Nous avons donc une motivation supplémentaire de réaliser de réels progrès dans le domaine.

Conclusion

Nous allons nous efforcer d’améliorer l’accès en vertu de la Loi sur la protection des renseignements personnels, nous adapter aux modifications apportées à la LPRPDE, donner suite à nos priorités stratégiques et continuer de renforcer l’efficience de nos activités. Toutes ces tâches devraient nous occuper au cours de l’année qui vient.

Si l’on ajoute à cela le fait que les Canadiens sont manifestement plus conscients des risques d’atteinte à la sécurité de leurs renseignements personnels et des recours à leur disposition, on peut à mon avis affirmer sans craindre de se tromper que l’année à venir sera à tout le moins aussi occupée que la précédente.

Date de modification :