À la recherche d’une solution moderne à l’énigme du consentement

Allocution prononcée lors du Symposium sur la protection de la vie privée 2016 de l’IAPP

Toronto (Ontario)
Le 11 mai 2016

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Selon une étude largement citée qui remonte à 2008, les internautes auraient eu besoin de 244 heures par année pour lire les politiques de confidentialité des sites Web qu’ils consultaient. Et encore plus pour les comprendre. Deux cent quarante-quatre heures… soit presque 33 jours de travail…

Huit ans plus tard, ajoutez à l’équation les applications mobiles, les appareils intelligents et les dispositifs intelligents à porter sur soi. De toute évidence, si une personne lisait toutes les politiques de confidentialité, elle devrait peut-être y consacrer tout son temps.

La situation vous donne une bonne idée de l’un des nombreux défis que posent les nouvelles technologies pour le modèle de consentement actuel.

La réalité, c’est que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a été adoptée avant l’arrivée des téléphones intelligents, de l’infonuagique et des modèles d’affaires axés sur un accès illimité aux renseignements personnels. Et avant la création de processus automatisés qui utilisent des algorithmes complexes pour extrapoler de nouveaux renseignements à partir de très grands ensembles de données.

L’époque des interactions individuelles courantes, prévisibles et transparentes avec les entreprises est révolue. Aujourd’hui, nous ne savons plus vraiment qui traite nos données ni à quelles fins elles sont utilisées.

Certains sont d’avis que les politiques de confidentialité actuelles visent surtout à protéger les organisations contre les poursuites judiciaires. Mais elles ont aussi pour objet de fournir aux citoyens l’information nécessaire pour donner ou refuser leur consentement.

Est-il équitable d’imposer aux consommateurs la responsabilité de déchiffrer ces flux de données complexes pour donner ou refuser leur consentement en toute connaissance de cause?

Bien évidemment, la technologie et les modèles d’affaires ont beaucoup évolué depuis la rédaction de la LPRPDE. À un point tel que bien des gens remettent maintenant en question l’efficacité du modèle de consentement.

On nous l’a souvent dit l’an dernier lors de nos consultations sur les priorités stratégiques pour la protection de la vie privée. Dans le cadre du symposium de 2015, j’ai indiqué que le Commissariat accorderait beaucoup d’importance à l’économie des renseignements personnels au cours des cinq années suivantes. J’ai ajouté que nous examinerions le modèle de consentement dans le contexte de cette priorité dans le but de l’améliorer.

Aujourd’hui, je vous annonce la publication d’un document de discussion sur les modifications que nous pourrions apporter à ce modèle.

Nous voulons lancer une discussion à l’échelle nationale. Nous mènerons auprès des professionnels du domaine et d’autres intervenants une vaste consultation sur les façons de résoudre cette question.

Aujourd’hui, je parlerai de certaines solutions proposées. Mais je mettrai l’accent sur le rôle et les responsabilités des divers acteurs dans notre monde moderne, où il semble souvent difficile de protéger sa vie privée. Il sera important de préciser les attentes des particuliers, des organisations, des organismes de réglementation et des législateurs. Je terminerai par quelques réflexions sur la réforme de la Loi sur la protection des renseignements personnels.

Il n’y a probablement pas de solution unique. Mais nous pensons qu’une combinaison de solutions pourrait aider les gens à mieux protéger leur vie privée. C’est là notre principal objectif.

Au cours des semaines et des mois à venir, nous nous efforcerons d’élaborer un modèle de consentement mieux adapté aux besoins des Canadiens à l’ère du numérique. Ce sera l’occasion de discuter de ce sujet.

Rôle des particuliers, des organisations, des organismes de réglementation et des législateurs

Les particuliers ont un rôle important à jouer en ce qui a trait au consentement, car la protection de la vie privée est associée à l’autonomie individuelle. Mais peut-on raisonnablement s’attendre à ce que les gens ordinaires puissent démystifier les relations d’affaires et les algorithmes complexes qui sont pratiquement au cœur du traitement des renseignements personnels?

Quelle est la meilleure solution? Faut-il mieux expliquer aux Canadiens ces sujets complexes pour leur permettre de faire des choix éclairés? Ou doit-on plutôt trouver d’autres moyens de protéger leurs intérêts, en les laissant prendre les décisions sur les questions où ils peuvent indiquer leurs préférences de façon raisonnable et pratique?

Les organisations, pour leur part, ont un intérêt légitime à traiter l’information à des fins commerciales. Mais elles doivent être tenues de rendre des comptes de façon très significative. Quelles mesures pourrait-on mettre en place pour les inciter à améliorer la transparence et les mécanismes de détermination des préférences en matière de confidentialité afin que les particuliers soient plus à même de donner ou de refuser leur consentement? Dans quelle mesure peut-on s’attendre à ce que les entreprises s’autoréglementent de façon à protéger la vie privée des particuliers à l’ère du numérique?

Les organisations ont un rôle à jouer dans la protection de leurs clients, mais elles ne sont pas impartiales. En bout de ligne, elles agiront dans leur propre intérêt. Pour maintenir la confiance des consommateurs et protéger efficacement leurs renseignements personnels, il faut faire appel à des parties indépendantes et impartiales qui pourront demander aux organisations de rendre des comptes et protéger les intérêts des particuliers. Les tribunaux ont ici un rôle à jouer, mais dans bien des pays, dont le Canada, ce rôle revient principalement aux organismes de réglementation comme le Commissariat.

Dans ce contexte, quels devraient être les pouvoirs et les caractéristiques d’un organisme de réglementation efficace? Comment les autorités de protection des données peuvent-elles s’assurer de façon optimale que les intérêts des particuliers sont protégés et que les organisations sont tenues responsables de leurs actes?

À l’heure actuelle, le Commissariat est surtout en mode réaction. Il enquête généralement sur les plaintes après une atteinte à la vie privée. Serait-il raisonnable de lui donner le pouvoir de vérifier la conformité à la législation de façon plus proactive, avant que les problèmes se posent? Dans la plupart des pays, les organismes de réglementation ont le pouvoir de rendre des ordonnances contraignantes et d’imposer des sanctions financières. Pourquoi ne dispose-t-on pas des mêmes pouvoirs au Canada?

Bon nombre des solutions proposées pourraient être mises en œuvre dans le cadre juridique actuel, mais d’autres nécessiteront peut-être des modifications législatives. Le moment est-il venu de demander au Parlement d’élargir les pouvoirs du Commissariat à la protection de la vie privée du Canada? Devrait-on exiger des mesures de protection de la vie privée dès la conception, comme on le fera bientôt en Europe? Faudrait-il modifier la LPRPDE de manière à prévoir des zones d’interdiction ou, autrement, des nouveaux motifs pour autoriser le traitement des données lorsque l’obtention du consentement n’est pas réaliste?  

C’est à ce genre de questions que nous espérons répondre au cours des consultations.

Solutions qui améliorent le consentement

Certains estiment que des mécanismes permettant aux particuliers de donner un consentement valable pourraient améliorer le modèle de consentement actuel.

Les solutions proposées consistent, entre autres, à mieux renseigner les consommateurs, à leur permettre de gérer leurs préférences entre différents services et à veiller à ce que la protection de la vie privée soit intégrée aux produits et aux services dès leur conception, et non ajoutée après coup.

Les politiques de confidentialité doivent être détaillées, mais claires. Les organisations devraient s’efforcer de donner aux utilisateurs davantage d’avis concernant la protection de la vie privée à des points de décision clés pendant la collecte des renseignements. Pour fournir aux consommateurs des renseignements essentiels sur la protection de la vie privée, les organisations pourraient utiliser divers moyens créatifs, par exemple les politiques à plusieurs niveaux, les icônes de protection de la vie privée, les cartes interactives, les outils infographiques et les courtes vidéos.

En ce qui concerne l’Internet des objets, la Federal Trade Commission des États-Unis a proposé plusieurs solutions prometteuses pour améliorer l’efficacité des messages sur la protection de la vie privée – par exemple, l’utilisation de codes QR permettant aux consommateurs d’avoir accès à une information plus détaillée, de guides de configuration intelligents aidant les utilisateurs à choisir les paramètres de confidentialité et de tableaux de bord pour la protection de la vie privée.

S’ils pouvaient gérer leurs préférences en matière de confidentialité pour un ensemble de services, les gens n’auraient plus à se renseigner sur les pratiques de protection de la vie privée d’une organisation pour prendre une décision chaque fois qu’ils utilisent un nouveau service numérique. Cette approche pourrait aussi s’appliquer au principe du consentement lorsqu’on propose une nouvelle utilisation de renseignements déjà recueillis.

Essentiellement, les gens sélectionneraient un ensemble standard de profils de préférences en matière de confidentialité offerts par le site Web d’un tiers. Ce site vérifierait ensuite les applications et les services en fonction du profil de préférences.

Solutions de remplacement du consentement

D’autres considèrent que les flux d’information sont devenus trop complexes pour le commun des mortels. Ils réclament un assouplissement des exigences relatives au consentement. Les partisans de cette approche privilégient la reddition de comptes et les utilisations éthiques des renseignements personnels. En pareil cas, la responsabilité de la supervision serait confiée aux organismes de réglementation.

Les solutions de remplacement du modèle de consentement nous amènent à nous demander si certains types d’utilisations des données pourraient être acceptables en l’absence du consentement, dans la mesure où l’on dispose d’un cadre adéquat de protection de la vie privée. Mais avons-nous une structure de surveillance adéquate pour garantir aux citoyens que leurs renseignements sont utilisés à des fins appropriées et bien protégés?

En Europe, une loi autorise le traitement des données sans consentement à condition qu’il soit fait à des fins commerciales légitimes et ne porte pas atteinte aux droits des individus. Pour traiter les données de cette façon, les organisations doivent soupeser leurs propres intérêts et ceux des particuliers.

Le Canada pourrait prévoir des motifs légitimes supplémentaires pour autoriser le traitement des renseignements personnels en vertu de la LPRPDE. Il pourrait notamment inclure parmi ces motifs les intérêts commerciaux légitimes, sous réserve d’un équilibre entre les avantages et les inconvénients.

Nous pourrions aussi envisager de définir dès le départ la notion d’intérêts légitimes, ce qui garantirait aux particuliers que certaines utilisations de leurs renseignements personnels ont été jugées légitimes par une autorité indépendante.

Nous pourrions également envisager d’introduire dans la loi des zones d’interdiction où la collecte, l’utilisation et la communication de renseignements personnels ne pourraient se faire dans certaines situations. Cette interdiction pourrait être fondée sur divers critères, par exemple la sensibilité des données, la nature de l’utilisation ou de la communication proposée et les vulnérabilités associées au groupe auquel se rapportent les données traitées.

Dans notre position de principe sur la publicité comportementale en ligne, par exemple, nous avons désigné quelques zones d’interdiction, entre autres le suivi des enfants et l’utilisation de méthodes de suivi sur lesquelles l’individu n’a aucun contrôle.

Solutions en matière de gouvernance : Quel devrait être le rôle des organisations?

En vertu de la LPRPDE, les organisations sont déjà tenues de protéger les renseignements personnels de leurs clients. Certaines solutions axées sur la gouvernance pourraient renforcer encore les mécanismes de reddition de comptes.

Je pense entre autres aux codes de pratiques et aux marques de confiance en matière de protection de la vie privée. Ces mécanismes pourraient améliorer la prévisibilité et l’uniformité et aider ainsi les entreprises à comprendre leurs obligations concernant le consentement valable et les limites appropriées touchant le traitement des données. Ils pourraient aussi aider les citoyens à comprendre que leurs renseignements sont traités d’une manière transparente et équitable conformément à leurs attentes.

Ces codes de pratiques et marques de confiance peuvent prendre la forme de pratiques exemplaires volontaires préconisées par l’industrie ou élaborées par des organismes de réglementation pour servir d’outils d’application de la loi.

En vertu de la LPRPDE, le Commissariat a pour mandat d’encourager les organisations à adopter des instruments tels que des politiques et des codes de pratiques qui sont conformes aux exigences législatives. À ce jour, nous n’avons pas pleinement exploré cette possibilité.

D’après certains observateurs, à l’ère des mégadonnées, il est difficile de prévoir les futures utilisations des renseignements personnels. En se fondant sur l’avis de comités d’éthique et les principes de reddition de comptes, les organisations devraient pouvoir déterminer elles-mêmes les façons dont les données peuvent être utilisées sans le consentement des intéressés. Faudrait-il autoriser les entreprises du secteur privé à s’autoréglementer de cette façon? Devrait-on modifier la législation afin d’autoriser toute utilisation jugée appropriée par un comité d’éthique? Ou devrait-on plutôt la modifier afin de prévoir des limites? Dans les cas où les organisations sont habilitées à décider si l’utilisation des données est juste et conforme à l’éthique, quel rôle les organismes de réglementation devraient-ils jouer?

Modèles d’application de la loi et rôle de l’organisme de réglementation

Pour que l’on puisse adopter des solutions axées sur la reddition de comptes, il faut que les organisations élaborent et mettent en œuvre des mesures qui respectent leurs obligations en matière de protection de la vie privée, y compris l’obligation d’obtenir un consentement valable.

Les propositions de cadre éthique dont je viens de parler présentent des avantages, mais il s’agit d’un processus interne où les intérêts de l’organisation l’emportent sur ceux des autres. Il faut des organismes de surveillance indépendants pour assurer un juste équilibre entre le droit des individus à la vie privée et la nécessité légitime pour les organisations de recueillir, d’utiliser et de communiquer des renseignements personnels.

Lorsqu’il n’est pas réaliste d’obtenir le consentement d’un individu et que les organisations jouent un rôle plus important pour déterminer ce qui constitue une utilisation appropriée des renseignements personnels, la présence d’organismes de réglementation devient encore plus nécessaire.

Quels pouvoirs et attributions devrait avoir un organisme de réglementation pour pouvoir protéger efficacement le droit des individus à la vie privée?

Le pouvoir de rendre des ordonnances et celui d’imposer des amendes sont deux exemples de mesures d’application de la loi qui pourraient influencer les pratiques des organisations et renforcer la protection de la vie privée des individus dans un monde où l’on remet de plus en plus en question la méthode traditionnelle du consentement éclairé.

Dans certains pays européens, les lois sur la protection des données autorisent l’imposition d’amendes. Le nouveau Règlement général sur la protection des données de l’Union européenne renferme aussi des dispositions en ce sens. De plus, les organismes de réglementation de l’Union européenne et des États-Unis ont le pouvoir de rendre des ordonnances. En revanche, le Commissariat à la protection de la vie privée du Canada peut uniquement formuler des recommandations non contraignantes. Nous n’avons pas le pouvoir d’ordonner à une entreprise de se conformer à la loi ni de lui imposer des amendes.

J’aimerais par ailleurs souligner que notre régime actuel d’application de la loi fonctionne selon un modèle fondé sur les plaintes : il y a atteinte à la vie privée, une personne porte plainte auprès du Commissariat et nous déterminons s’il y a lieu de faire enquête.

Un modèle proactif d’application de la loi nécessiterait des interventions en amont afin qu’une organisation se conforme à des mesures comme les zones d’interdiction ou les dispositions liées aux intérêts commerciaux légitimes. Par exemple, ces interventions pourraient prendre la forme de vérifications ponctuelles ou d’examens de la conformité.

Ces solutions possibles soulèvent une question importante pour le Commissariat. En tant qu’organisme de réglementation fédéral, devrions-nous avoir davantage de pouvoirs pour surveiller la conformité et appliquer des règles de consentement nouvelles ou améliorées? Il est certain que ces pouvoirs nous amèneraient davantage au niveau de nos homologues des provinces dotées de lois sur la protection des renseignements personnels applicables au secteur privé essentiellement similaires à la LPRPDE. Ou à celui des organismes de réglementation de l’Union européenne et des États-Unis, qui ont le pouvoir de rendre des ordonnances. Évidemment, les organismes de réglementation ne sont qu’une partie de l’équation. Comme je l’ai déjà dit, les particuliers, les organisations et les législateurs ont aussi un rôle à jouer.

Quoi qu’il en soit, ce sont des questions auxquelles j’espère pouvoir trouver une réponse durant cet important processus de consultation.

Réforme de la Loi sur la protection des renseignements personnels

Jusqu’à maintenant, je vous ai surtout parlé du secteur privé. Mais j’aimerais aborder une question importante qui touche le secteur public.

Récemment, en témoignant devant un comité parlementaire, j’ai présenté des recommandations concernant la réforme de la Loi sur la protection des renseignements personnels. J’espère que cette question sera une priorité pour le gouvernement, car les protections et les droits fondamentaux garantis par cette loi n’ont pas été mis à jour depuis 1983.

Inutile de rappeler à quel point la technologie et la nécessité sans cesse plus grande de communiquer des renseignements personnels pour une foule de raisons, entre autres pour des raisons de sécurité nationale, ont transformé le domaine de la protection de la vie privée au cours des 30 dernières années.

Il va sans dire que la loi régissant la collecte, l’utilisation, la communication et la protection des renseignements personnels par les institutions fédérales est désuète. À bien des égards, elle a grandement besoin d’être modernisée – que ce soit sur le plan technologique ou juridique ou encore en ce qui concerne la transparence et les attentes.

Dans ce contexte, j’ai présenté une série de recommandations au Parlement. Par exemple, il est important de réduire la collecte excessive de données, et à cette fin, la loi devrait exiger explicitement que les institutions recueillent uniquement les renseignements nécessaires à un programme ou à une activité. Et nous souhaitons aussi que les institutions nous consultent sur les projets de loi qui pourraient avoir des répercussions sur la vie privée.

Également, tous les échanges de renseignements entre les ministères et les organismes devraient être régis par des ententes écrites, examinées au préalable par le Commissariat.

Nous demandons au Parlement de prévoir dans la loi plusieurs dispositions qui n’ont pas force de loi à l’heure actuelle. Par exemple, la loi devrait obliger les institutions à mettre en place des mesures de sécurité adéquates pour protéger les renseignements personnels; à aviser le Commissariat en cas d’atteintes graves à la vie privée; et à effectuer des évaluations sur les facteurs relatifs à la vie privée pour les nouveaux programmes et services ou ceux qui ont été modifiés en profondeur.

Nous demandons aussi qu’on nous confie explicitement le mandat d’éducation du public et de recherche. Nous souhaitons avoir la latitude voulue pour rendre compte publiquement et en temps opportun des questions relatives à la protection de la vie privée au sein du gouvernement lorsque ces questions sont d’intérêt public, et non seulement dans les rapports annuels ou les rapports spéciaux présentés au Parlement. Enfin, nous demandons l’élargissement de la portée de la Loi afin d’englober les cabinets des ministres et du premier ministre.

Si elles ne sont pas actualisées, les mesures de protection prévues par la Loi sur la protection des renseignements personnels seront de plus en plus déconnectées de la réalité des Canadiens dans leurs interactions avec le monde numérique.

Conclusion

L’économie numérique évolue rapidement sous l’effet des innovations technologiques constantes. Cette évolution a transformé en profondeur le domaine de la protection de la vie privée. 

Nous en sommes à un point critique où il faut intervenir sur plusieurs fronts.

La réforme de la Loi sur la protection des renseignements personnels se fait attendre depuis très longtemps. Lorsque le gouvernement leur demande de fournir des renseignements personnels, les Canadiens n’ont pas vraiment le choix. Il est donc essentiel de protéger ces renseignements selon les normes les plus élevées. 

Le moment est venu d’examiner attentivement le modèle de consentement actuel sous le régime de la LPRPDE. Comment pourrait-on mieux l’appuyer ou l’améliorer?

Je vous encourage à lire notre document de discussion sur le modèle de consentement et à nous faire part de vos commentaires. Votre contribution en tant que professionnels de la protection de la vie privée est essentielle afin de nous aider à trouver des solutions concrètes à la question épineuse du consentement.

Je vous invite aussi à partager ce document de discussion avec vos collègues et vos proches. Nous voulons connaître le point de vue des spécialistes du domaine, mais aussi celui des groupes de défense des droits, des universitaires, des éducateurs, des spécialistes des technologies de l’information et des Canadiens ordinaires.

Selon moi, l’innovation ne doit pas se faire au détriment de la protection de la vie privée. Les deux peuvent coexister. Travaillons ensemble pour trouver une solution équilibrée qui, en bout de ligne, permettra aux Canadiens d’exercer un meilleur contrôle sur leurs renseignements personnels.

Je suis maintenant prêt à répondre à quelques questions.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :