Trouver un équilibre entre la protection de la vie privée et la sécurité nationale

Allocution prononcée lors du Sommet canadien sur les télécommunications de 2016

Toronto (Ontario)
Le 8 juin 2016

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Bonjour. Je vous remercie de m’avoir offert la possibilité de parler de protection de la vie privée et de sécurité nationale.

Je ne pouvais laisser passer cette occasion. D’après moi, par rapport aux intervenants de tous les autres secteurs, vous qui travaillent dans le secteur des télécommunications ont davantage accès à l’opinion des Canadiens et à l’information sur leurs intérêts et leurs activités. Le domaine des télécommunications revêt une importance vitale.

Chaque courriel envoyé, chaque visite d’un site Web, chaque application mobile téléchargée, chaque émission de télévision regardée, chaque message texte envoyé et chaque appel téléphonique fait — pour les rares personnes qui utilisent encore cette fonction — passe par vos réseaux et est possible grâce à vos appareils électroniques.

Les Canadiens vous confient leur vie numérique. Au 21e siècle, alors qu’une grande partie de nos activités — et de notre identité — est associée à ce que nous faisons en ligne, il s’agit d’une immense responsabilité.

Au cœur de cette relation, il y a, bien entendu, le respect de la vie privée. Vous savez comme moi que les Canadiens attachent de l’importance à leur vie privée. La plupart d’entre eux affirment qu’ils préfèrent faire affaire avec des entreprises qui respectent leur droit à la vie privée. Dans notre plus récent sondage auprès de la population canadienne, neuf personnes sur dix se sont déclarées préoccupées par la protection de leur vie privée et 81 % ont affirmé qu’elles choisiront fort probablement de faire affaire avec une entreprise expressément parce qu’elle a une bonne réputation pour ses pratiques de protection des renseignements personnels.

Mais les Canadiens veulent aussi que leur gouvernement intervienne en leur nom pour assurer leur sécurité. Étant donné votre position unique et privilégiée, vous savez à quel point toutes ces données sont importantes pour le gouvernement et les organismes d’application de la loi.

Partout dans le monde, les gouvernements recueillent de plus en plus de données concernant leurs citoyens, souvent en faisant appel à des intermédiaires, comme les organisations que vous représentez.

Ces dernières années, le Commissariat a défendu énergiquement le droit à la vie privée tout en montrant, je crois, qu’il comprend les menaces très réelles qui pèsent sur la sécurité publique au Canada — notamment sur la sécurité de nos systèmes d’information.

L’essentiel, c’est de trouver un équilibre. Les organismes d’application de la loi doivent pouvoir nous protéger, y compris en ligne, mais le maintien de l’ordre doit se faire conformément au principe de la primauté du droit.

Aujourd’hui, j’aimerais surtout vous parler de la protection de la vie privée et de la sécurité nationale, et de la façon dont nous pourrions assurer un meilleur équilibre entre les deux. Je parlerai de la communication d’information en vertu du projet de loi C-51, de l’adéquation des lois canadiennes sur la protection des renseignements personnels à la suite des modifications apportées récemment au droit européen, des rapports de transparence et de l’accès légal. J’aborderai aussi des sujets brûlants qui touchent la surveillance exercée par le gouvernement, c’est-à-dire le chiffrement et les métadonnées.

Projet de loi C-51

En ce qui concerne le projet de loi C-51, Loi antiterroriste de 2015, je fais valoir les préoccupations du Commissariat depuis son dépôt en janvier 2015. Le sujet n’est sans doute pas nouveau pour bon nombre d’entre vous.

La nouvelle loi vise à faciliter la communication d’information entre les institutions fédérales pour mieux protéger les Canadiens.

Nous sommes conscients qu’une plus large communication d’information pourrait permettre la détection et l’élimination des menaces à la sécurité. Mais nous sommes préoccupés par les seuils ou les normes prévus par la loi dans le domaine de communication d’information et par l’absence de surveillance et d’examen indépendants.

Le nouveau gouvernement s’est déjà engagé à modifier la loi pour créer un comité multipartite qui surveillera les activités des organismes de sécurité nationale. Toutefois, jusqu’à maintenant, il n’a pas donné suite à nos préoccupations concernant les seuils pour la communication d’information.

Les seuils limitent la portée de l’exercice des pouvoirs par une institution et les dommages possibles en cas de mauvaise utilisation. Dans ce cas, des seuils trop bas entraînent un risque de profilage et de surveillance de masse.

Selon la norme actuelle, certaines institutions fédérales peuvent échanger des renseignements entre elles, pourvu qu’ils soient « pertinents » pour les besoins de la détection des menaces à la sécurité nationale. D’après nous, ce seuil est inadéquat et pourrait exposer les renseignements personnels de Canadiens respectueux des lois. Un seuil plus raisonnable consisterait à autoriser la communication fondée sur la « nécessité ».

Le gouvernement s’est engagé à mener de vastes consultations sur les modifications à apporter à la Loi au-delà de l’examen parlementaire. Je serai très heureux d’avoir la possibilité de faire connaître le point de vue du Commissariat dans le cadre de ce processus.

D’ici là, le Commissariat affectera des ressources considérables aux activités de vérification et d’examen pour s’assurer que l’échange d’information entre les institutions fédérales aux fins de sécurité nationale respecte dûment la Loi sur la protection des renseignements personnels. J’espère que les constatations issues de cet examen alimenteront les consultations sur les modifications que l’on pourrait apporter au projet de loi C-51.

Les normes régissant la collecte de renseignements personnels ne sont pas importantes uniquement dans le contexte des lois sur la sécurité nationale. Dans un mémoire présenté récemment au Parlement, nous avons demandé que la norme de nécessité s’applique à la collecte de renseignements personnels par toute institution fédérale assujettie à la Loi sur la protection des renseignements personnels.

Un renforcement des normes améliorerait la protection de la vie privée des Canadiens. En plus, il aiderait grandement à réduire le risque qui pèserait sur les activités de commerce international du Canada s’il n’était plus considéré comme un pays qui protège de façon adéquate les renseignements personnels des citoyens de l’Union européenne.

Comme vous le savez sans doute, le conflit entre l’Union européenne et les États-Unis sur le flux de données transatlantique fait les manchettes internationales.

L’automne dernier, la Cour européenne de justice a jugé invalide l’accord sur la sphère de sécurité, qui permettait le transfert de données de citoyens européens vers les États-Unis, ce qui a incité les parties à s’efforcer de conclure une nouvelle entente pour assurer un flux de données continu.

Au cœur de cette bataille, il fallait savoir si la protection des citoyens de l’Union européenne est adéquate lorsque leurs renseignements personnels sont transférés aux États-Unis. La Cour européenne de justice a jugé que les citoyens n’étaient pas bien protégés, en partie à cause du risque de surveillance de masse découlant de lois américaines qu’elle considère comme faibles.

Au début des années 2000, l’Union européenne a conclu que les lois canadiennes sur la protection des renseignements personnels étaient adéquates, mais cette évaluation devra être revue au cours des prochaines années. À la suite des révélations dans l’affaire Edward Snowden, on se préoccupe désormais du caractère adéquat non seulement dans le cas des lois sur la protection des renseignements personnels régissant le secteur commercial, mais aussi dans celui des lois sur la sécurité nationale. Dans ce contexte, les normes prévues par la loi pour la collecte des renseignements personnels seront importantes.

Rapports de transparence et accès légal

Bien entendu, le projet de loi C-51 n’est pas le seul projet de loi récent touchant la surveillance qui nous préoccupe. Le projet de loi C-13, Loi sur la protection des Canadiens contre la cybercriminalité, a également suscité de nombreuses questions sur la façon dont les organismes d’application de la loi ont accès aux données des entreprises de télécommunications.

Depuis l’adoption de la loi en décembre 2014, nous avons collaboré avec les fournisseurs de services de télécommunications et le ministère aujourd’hui appelé « Innovation, Sciences et Développement économique Canada » afin d’encourager les entreprises à fournir aux Canadiens des renseignements utiles.

Nous avons contribué à l’élaboration des commentaires concernant les lignes directrices sur la transparence publiées par le Ministère. Ces lignes directrices établissent les normes régissant les rapports de transparence et de reddition de comptes produits par des entreprises qui communiquent des renseignements personnels aux organismes d’application de la loi.

Nous avons aussi publié une analyse comparative des rapports de transparence déjà produits de leur plein gré par certaines entreprises de télécommunications. Nous tenons d’ailleurs à les féliciter d’avoir pris cette initiative. D’après nos conclusions, malgré les lacunes des mécanismes de présentation, ces rapports peuvent aider les Canadiens à faire des choix plus éclairés et à mieux comprendre comment et quand les organismes gouvernementaux ont accès aux renseignements personnels détenus par des organisations du secteur privé.

Nous espérons que les entreprises se conformeront à l’avenir aux lignes directrices et que les rapports de transparence deviendront plus uniformes. En ce qui concerne les entreprises qui n’ont pas encore produit ce type de rapport, nous espérons qu’elles constateront l’importance de la transparence et qu’elles se mettront à la tâche. Autrement, nous pourrions revenir à la charge pour réclamer des modifications législatives dans cette domaine.

Les rapports du secteur privé brossent toutefois un tableau incomplet. Il est tout aussi important d’accroître la transparence du côté du secteur public. Après tout, c’est ce secteur qui demande et obtient ces renseignements.

C’est pourquoi nous avons demandé aux institutions fédérales de tenir des registres exacts et de rendre publique la nature des demandes d’accès légal présentées aux entreprises de télécommunications, la fin visée par ces demandes et le nombre de demandes. En fait, cette mesure figurait dans nos plus récentes recommandations sur la réforme de la Loi sur la protection des renseignements personnels.

Je tiens également à souligner que je ne suis pas seul à défendre cette position. Ainsi, lors de la 37e Conférence internationale des commissaires à la protection des données et de la vie privée, qui a eu lieu l’automne dernier à Amsterdam, nos homologues d’autres pays ont appuyé notre résolution sur les rapports de transparence.

Ensemble, nous avons exhorté les gouvernements partout dans le monde à renforcer la transparence en ce qui concerne les demandes d’accès légal aux renseignements personnels détenus par les entreprises. Nous avons aussi exhorté les entreprises à faire preuve de la diligence voulue avant de répondre aux demandes de renseignements personnels émanant du gouvernement.

Cependant, depuis quelques mois, des organismes d’application de la loi semblent vouloir relancer le débat sur l’accès sans mandat aux renseignements personnels. Or, c’est un débat que de nombreux défenseurs du droit à la vie privée comme nous croyaient terminé par suite de la décision historique rendue par la Cour suprême du Canada.

Selon la décision rendue dans l’affaire R. c. Spencer, les renseignements personnels concernant les activités d’un abonné sur l’Internet ne devraient pas être obtenus sans mandat, sauf dans des circonstances très précises — par exemple, dans les cas où l’information est nécessaire pour prévenir un préjudice physique imminent ou dans ceux où les renseignements personnels ne donnent lieu à aucune attente raisonnable en matière de vie privée.

Depuis cette décision, un nombre d’entreprises de télécommunications et de fournisseurs de services Internet demandent systématiquement un mandat ou une ordonnance de communication lorsque des policiers leur réclament des données confidentielles sur des abonnés. Et d’après moi, ils ont bien raison de le faire.

Mais les organismes d’application de la loi font valoir que cela les empêche d’accomplir leur travail. Depuis, le commissaire de la Gendarmerie royale du Canada et les chefs de police canadiens réclament l’adoption d’une nouvelle loi qui élargirait l’accès sans mandat tout en respectant la Charte et les valeurs canadiennes.

Il est difficile de savoir comment on pourrait réaliser tous ces objectifs apparemment divergents.

Je soutiens qu’une surveillance impartiale reposant sur une autorisation judiciaire est essentielle avant de fournir à l’État des renseignements personnels sensibles. Et selon moi, les tribunaux sont les mieux placés pour assurer un équilibre entre les intérêts des services de police et le droit des individus à la vie privée.

L’accès sans mandat devrait être autorisé uniquement dans des situations exceptionnelles. J’encouragerais fortement les fournisseurs de services Internet et les autres entreprises du secteur privé à demeurer vigilants lorsque les services de police leur réclament des données sur un abonné.

Surveillance exercée par le gouvernement

En ce qui concerne la surveillance exercée par le gouvernement, vous savez peut-être qu’il s’agit de l’une des quatre priorités stratégiques liées à la vie privée qui orienteront les travaux du Commissariat au cours des cinq prochaines années.

Notre objectif est de contribuer à l’adoption et à la mise en œuvre de lois et d’autres mesures qui protègent à la fois la sécurité nationale et la vie privée.

Des différends récents au sujet du chiffrement entre des organismes d’application de la loi et des fabricants d’appareils aux États-Unis et au Canada ont soulevé de nombreuses questions concernant l’équilibre fragile entre la sécurité et la protection de la vie privée.

En règle générale, je dirais que le chiffrement joue un rôle extrêmement important dans la protection des renseignements personnels. Il incombe aux fabricants d’appareils de télécommunications de protéger les renseignements personnels de leurs clients.

Cela dit, les entreprises sont également assujetties aux lois et aux autorisations judiciaires exigeant l’accès à des renseignements personnels qui peuvent être nécessaires en toute légitimité lorsque la sécurité du public est menacée.

Pourtant, la loi doit tenir compte des réalités technologiques. Si l’on contourne le chiffrement ou que l’on crée une exception à la protection technologique assurée par le chiffrement, quelle sera l’incidence globale sur la population?

Il est difficile de trouver le juste équilibre entre le chiffrement et les besoins associés à l’application de la loi. D’après moi, personne ne peut à l’heure actuelle dire exactement où tracer la ligne entre les deux.

Il s’agit certainement d’un débat que nous devons avoir au Canada.

Dans un autre ordre d’idées, j’aimerais parler brièvement de la sensibilité des métadonnées. Ce sujet a été soulevé récemment dans le contexte de surveillance. En janvier dernier, dans son rapport annuel au Parlement concernant le Centre sur la sécurité des télécommunications du Canada, le commissaire Jean-Pierre Plouffe a révélé que l’organisme de surveillance électronique avait enfreint les règles de protection de la vie privée et la Loi sur la défense nationale en communiquant par inadvertance des métadonnées à ses partenaires du Groupe des cinq.

Selon certains, les métadonnées renfermaient des renseignements sur l’identité de Canadiens. Mais, d’après le Centre, l’incidence sur la vie privée était faible compte tenu des mesures de sécurité qu’il avait mises en place et du fait que les données ou le contexte des métadonnées n’étaient pas suffisants pour identifier des personnes en particulier.

Comme vous le savez sans doute, d’après nos recherches, les métadonnées peuvent révéler beaucoup d’information. Elles peuvent contenir toutes sortes de renseignements, entre autres sur les appels téléphoniques, les courriels, l’activité sur les réseaux sociaux et la navigation sur Internet.

Si on les combine, ces renseignements peuvent en dire long sur une personne. Une analyse récente des métadonnées téléphoniques de la National Security Agency menée par des chercheurs de l’Université de Stanford l’a d’ailleurs confirmé. En examinant expressément les métadonnées téléphoniques, par exemple les numéros de téléphone composés et la durée des appels, les chercheurs ont pu conclure qu’une personne souffrait probablement d’arythmie cardiaque et qu’une autre possédait sans doute une arme semi-automatique.

Dans R. c. Spencer, la Cour suprême du Canada a conclu que le nom et l’adresse d’un abonné, combinés à une adresse IP particulière, avaient permis à la police de connaître l’identité d’un abonné aux services Internet à laquelle correspondait une activité particulière sur Internet.

La Cour a reconnu que les personnes peuvent avoir des attentes raisonnables en matière de protection de la vie privée en ce qui concerne les renseignements qui établissent un lien entre leur identité et des métadonnées. Dans ce cas, il s’agissait d’une adresse IP. La Cour a en outre déterminé que la police avait contrevenu à la Charte en obtenant cette information sans mandat auprès d’un fournisseur de services Internet.

En résumé, les institutions gouvernementales qui recueillent ces renseignements ou qui envisagent de le faire ne devraient pas sous-estimer ce que les métadonnées peuvent révéler sur un individu. Il en va de même pour les organisations du secteur privé — fournisseurs de services Internet, sites de médias sociaux et fabricants d’appareils — auxquelles on pourrait demander de communiquer ce type de renseignements à des institutions gouvernementales ou qui pourraient les communiquer à des tiers, par exemple aux fins de marketing ou d’analyse.

Compte tenu de l’omniprésence des métadonnées et de toute l’information qu’on peut en tirer concernant un individu en particulier, les institutions gouvernementales et les organisations du secteur privé doivent faire preuve de prudence quant aux activités de collecte, d’utilisation et de communication.

Conclusion

J’espère vous avoir donné une bonne idée de la position du Commissariat concernant la protection de la vie privée et la sécurité nationale. J’espère aussi que vous trouverez utiles mes observations sur les rapports de transparence et les métadonnées.

Face aux nombreuses menaces qui pèsent sur le monde à l’heure actuelle, les Canadiens ont la sécurité à cœur. Mais ils attachent aussi une très grande importance à leur vie privée. Ils veulent s’assurer que les lois et les procédures en place respectent leurs valeurs et ils veulent que la police et les organismes de sécurité nationale fassent leur travail en toute légitimité.

Les Canadiens nous ont aussi dit qu’ils veulent faire affaire avec des entreprises qui respectent leur vie privée et qui expliquent clairement leurs pratiques de traitement des renseignements personnels. Ils veulent une transparence accrue afin que les institutions puissent gagner leur confiance.

Tout bien considéré, nous vivons dans un État de droit — un pays démocratique qui fait la promotion des droits de la personne et qui les respecte.

Nous devons tout de même faire preuve de vigilance pour nous assurer que le droit des Canadiens à la vie privée reste protégé.

Permettez-moi de faire une toute dernière observation pour aujourd’hui. Cette observation ne concerne pas la protection de la vie privée ni la sécurité nationale, mais elle devrait tout de même intéresser la majorité d’entre vous. Comme vous le savez sans doute, le consentement est la pierre angulaire de la loi fédérale sur la protection des renseignements personnels dans le secteur privé, c’est-à-dire la Loi sur la protection des renseignements personnels et les documents électroniques. Cependant, dans un marché de plus en plus complexe, bien des gens se demandent comment les Canadiens peuvent donner un consentement valable à la collecte, à l’utilisation et à la communication de leurs renseignements personnels. Nous avons récemment lancé une consultation sur la question fondamentale du consentement dans le monde numérique actuel. Nous espérons déterminer les améliorations à apporter au modèle actuel et définir plus clairement le rôle et les responsabilités des divers acteurs appelés à les mettre en œuvre. Nous appliquerons ensuite les améliorations qui relèvent de notre compétence et nous recommanderons au Parlement des modifications législatives au besoin. Si le sujet vous tient à cœur, j’espère que vous participerez à la discussion dans le but de trouver des solutions.

Je vous remercie.

Date de modification :