Le dilemme du consentement

Allocution prononcée à la conférence international Privacy Laws and Business

Le 5 juillet 2016
Cambridge (Royaume Uni)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Comme de nombreux autres pays partout dans le monde, le Canada essaie actuellement d’évaluer et d’atténuer les répercussions sans précédent qu’ont sur la vie privée les innovations technologiques et les nouveaux modèles d’affaires.

La question du consentement se trouve au cœur de cette analyse. Comment un individu peut‑il exercer un contrôle sur ses renseignements personnels dans un monde où la circulation des données est devenue si complexe et fait appel à tellement d’intervenants qu’il faudrait un diplôme en droit de Cambridge pour s’y retrouver?

Comment les entreprises peuvent‑elles innover efficacement sans dépasser les limites ni perdre la confiance de leurs clients?

Le consentement a toujours été considéré comme un élément fondamental de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale qui régit la protection de la vie privée dans le secteur privé au Canada. En vertu de cette loi, une organisation doit obtenir le consentement d’un individu pour recueillir, utiliser et communiquer ses renseignements personnels, sauf dans certains cas d’exception.

Mais il devient de plus en plus difficile d’obtenir un consentement valable à l’ère des mégadonnées et de l’Internet des objets.

Les interactions individuelles courantes, prévisibles et transparentes avec les entreprises constituaient la norme au moment de l’adoption de la LPRPDE. Mais cette époque est bel et bien révolue. Il est maintenant difficile de savoir avec certitude qui traite nos données et à quelles fins.

C’est pourquoi l’applicabilité du modèle de consentement actuel a été remise en question.

Cet enjeu est devenu très clair l’an dernier, au moment où nous avons établi nos priorités après une vaste consultation auprès des entreprises et des intervenants du domaine de la protection de la vie privée ainsi qu’auprès du grand public.

Bien des participants ont souligné la nécessité d’améliorer le modèle de consentement pour le rendre plus pertinent. D’autres nous ont déclaré que le modèle actuel n’est tout simplement plus réaliste dans certaines situations. Tous s’entendaient pour dire que ce modèle est contesté et que son examen devrait être une priorité pour le Commissariat.

Nous avons donc retenu l’économie des renseignements personnels parmi nos quatre priorités stratégiques pour la protection de la vie privée. Nous nous sommes engagés à examiner les modifications qui pourraient être apportées au modèle de consentement dans l’optique de cette priorité.

En mai, nous avons publié un document de discussion portant sur les pratiques en vigueur dans d’autres pays et les solutions que le Canada pourrait adopter. Nous en sommes maintenant à l’étape de la consultation.

Nous étudions avec intérêt le Projet de Règlement général sur la protection des données de l’Union européenne, qui autoriserait le traitement des renseignements personnels sans consentement à des fins légitimes, tout en limitant le recours au consentement implicite.

Nous examinons aussi le Consumer Privacy Bill of Rights Act proposé aux États‑Unis, qui vise à offrir aux consommateurs un moyen raisonnable d’exercer un contrôle sur le traitement de leurs renseignements personnels. Si elle était adoptée, la loi obligerait les entreprises à évaluer les risques et à prendre des mesures pour les atténuer. L’avenir de cette initiative demeure incertain, mais il n’en reste pas moins qu’elle met en avant des idées qu’il vaut la peine d’examiner.

Aujourd’hui, j’aimerais vous présenter des détails de notre document de discussion. J’aborderai le rôle des individus, des organisations, des organismes de réglementation et des législateurs et je préciserai ce que l’on pourrait attendre d’eux dans l’avenir. Je présenterai aussi quelques solutions possibles sur lesquelles nous sollicitons actuellement des commentaires.

On m’a aussi demandé de parler brièvement des lois canadiennes sur la protection des renseignements personnels par rapport au projet de Règlement général sur la protection des données (RGPD) de l’Union européenne. Ce sera le dernier sujet de mon allocution.

Rôle des individus, des organisations, des organismes de réglementation et des législateurs

Lorsqu’il est question du consentement, les individus jouent un rôle important, car cet enjeu est lié, en partie, à l’autonomie de chacun. Mais est‑il équitable de présumer que l’internaute moyen peut démystifier des algorithmes et des relations d’affaires aussi complexes?

La solution consiste-t-elle à mieux renseigner les individus sur ces subtilités afin qu’ils puissent prendre des décisions plus éclairées? Ou faut‑il plutôt trouver d’autres moyens de protéger leurs intérêts? La réponse est que ces deux avenues pourraient être nécessaires.

Le choix individuel doit avoir sa place dans les situations où la personne concernée dispose d’information suffisante pour donner un consentement valable. Mais il peut y avoir des situations où l’obtention d’un consentement valable n’est pas réaliste. Alors, comment devrait-on protéger le droit à la vie privée?

Les entreprises ont un rôle à jouer dans la protection de leurs clients, mais elles ont de la difficulté à expliquer en termes simples leurs pratiques de gestion des renseignements personnels. Sans compter qu’elles sont contraintes d’innover rapidement pour suivre le rythme.

Bien entendu, il est certainement dans leur intérêt de trouver de nouveaux moyens de renseigner les consommateurs, de façon substantielle mais efficace, pour garder leur confiance. Mais les entreprises voudront‑elles relever ce défi? Et même si elles le veulent, en seront-elles capables, étant donné qu’elles pourraient ne pas être impartiales?

Cette question nous amène au rôle des organismes de réglementation et, éventuellement, à celui des législateurs. Pour préserver la confiance des consommateurs et protéger efficacement leur vie privée, les organismes de réglementation doivent pouvoir obliger les organisations à rendre des comptes et protéger les intérêts des individus.

Pour ce faire, quels pouvoirs et caractéristiques un organisme de réglementation doit-il posséder pour être efficace? Je parlerai bientôt de ce sujet.

Solutions possibles à la question du consentement

Certaines solutions peuvent améliorer la qualité du consentement.

L’objectif est de renforcer la capacité des individus à donner un consentement vraiment valable, que ce soit en leur donnant un meilleur accès à l’information, en leur permettant de gérer les préférences par rapport à différents services ou en assurant la protection de la vie privée dès la conception des produits et des services plutôt qu’après coup.

Ces solutions relèvent généralement de la compétence des organisations. À mon avis, elles sont toutes possibles, pourvu que les organisations aient la volonté et la créativité voulues.

Le deuxième type de solutions possibles englobe les solutions de remplacement du modèle de consentement actuel. Ces solutions reposent sur l’idée que la circulation de l’information est devenue trop complexe pour le citoyen ordinaire et que la solution ultime consiste à assouplir les exigences relatives au consentement dans certaines situations. Mais cette souplesse est‑elle nécessaire ou est‑il possible de gérer toutes les situations en améliorant le modèle de consentement?

Par exemple, comme vous le savez, l’Europe autorise le traitement des données sans consentement si cette mesure est nécessaire à des fins légitimes et qu’elle ne brime pas les droits de la personne concernée.

Au Canada, on pourrait notamment élargir l’éventail des motifs qui permettent le traitement des données sous le régime de la LPRPDE pour y ajouter les intérêts commerciaux légitimes. La définition de cette notion pourrait être flexible ou comprendre une liste détaillée d’intérêts légitimes autorisés par la loi.

On pourrait aussi envisager de prévoir dans la loi des « zones interdites », où la collecte, l’utilisation ou la communication de renseignements personnels seraient interdites dans certaines situations. Ces zones pourraient être définies selon divers critères, comme le degré de sensibilité des données, la nature de l’utilisation ou de la communication proposée ou encore les vulnérabilités associées au groupe dont les données sont traitées.

La troisième possibilité concerne les solutions axées sur la gouvernance. Ces solutions mettent l’accent sur le rôle des organisations. Elles pourraient mener à l’adoption de codes de pratique ou de marques de confiance garantissant la protection de la vie privée. Ce sont des mesures courantes dans certains pays, mais moins connues au Canada dans le domaine de la protection des renseignements personnels.

Ces outils pourraient renforcer la prévisibilité et la cohérence, ce qui aiderait les entreprises à comprendre leurs obligations par rapport à l’obtention d’un consentement valable et les limites qui s’appliquent au traitement des données. En outre, grâce à ces outils, les individus pourraient savoir avec davantage de certitude que leurs renseignements sont traités de façon transparente et équitable conformément à leurs attentes.

Comme vous le savez, les codes de pratique et les marques de confiance peuvent constituer des pratiques exemplaires préconisées par l’industrie sur une base volontaire, mais elles peuvent également être élaborées par des organismes de réglementation aux fins d’application de la loi.

La création de comités d’éthique est une autre option à envisager. Ces comités ne seraient pas très différents de ceux que l’on voit dans le milieu scientifique. Ils conseilleraient les entreprises sur l’utilisation des données, avec ou sans le consentement des personnes concernées. Cette avenue pourrait être utile compte tenu de la difficulté de prévoir les futures utilisations de l’information dans le marché en constante évolution axé sur les technologies. Cette solution soulève pourtant des questions quant au rôle de surveillance exercé par les organismes de réglementation.

Lorsque l’obtention du consentement n’est pas réaliste et que les organisations jouent un plus grand rôle pour ce qui est de déterminer les utilisations appropriées des renseignements personnels, elles devraient probablement avoir davantage d’obligations en matière de protection de la vie privée.

Toutefois, une plus grande souplesse entraîne parfois de plus grandes responsabilités. Mais, là encore, les entreprises seront‑elles à la hauteur? Sont‑elles bien placées pour trouver le juste équilibre entre leurs propres intérêts et ceux des consommateurs?

Si les organisations disposent d’une plus grande souplesse, les organismes de réglementation deviendront encore plus incontournables.

Alors, quels pouvoirs et caractéristiques les organismes de réglementation devraient-ils posséder pour réellement protéger le droit des individus à la vie privée?

À l’heure actuelle, le Commissariat joue un rôle principalement réactif. Nous examinons les plaintes en cas d’infraction. Serait‑il raisonnable de donner au Commissariat le pouvoir de veiller à la conformité aux lois sur la protection des renseignements personnels de façon plus proactive avant que les problèmes surviennent?

Une chose est certaine : lorsque le RGPD sera en vigueur, les organismes de réglementation de la plupart des pays seront autorisés à émettre des ordonnances exécutoires et à imposer des sanctions pécuniaires aux organisations. Alors pourquoi pas le Canada?

Plusieurs solutions proposées pourraient être mises en œuvre dans le cadre juridique actuel du Canada. D’autres solutions nécessiteraient des changements législatifs. Ce serait le cas pour la modification des pouvoirs du Commissariat, la création de zones interdites et l’élargissement de l’éventail de motifs permettant le de traitement des données dans les cas où le consentement ne peut être obtenu.

Le Canada devrait‑il se pencher sur d’autres solutions adoptées ailleurs? Par exemple, le Consumer Privacy Bill of Rights Act proposé aux États‑Unis établirait une approche hiérarchisée système à plusieurs niveaux niveaux pour le traitement des renseignements personnels selon le principe de la « prise en compte du contexte ».

Par ailleurs, les lois européennes s’appuient sur une protection procédurale accrue pour certains types de renseignements, comme les catégories de données sensibles se rapportant à la race, à l’origine ethnique, à la religion ou aux croyances. L’Europe s’est également inspirée d’une idée canadienne, « la protection de la vie privée dès la conception », qu’elle a rendue obligatoire en vertu de la loi. Le Canada devrait‑il en faire autant?

Voilà les types de questions que nous espérons explorer au cours de nos consultations.

Circulation transfrontalière des données, protection adéquate et incidence de la décision Schrems

Comme on me l’a demandé, je dirai maintenant quelques mots sur la notion de protection adéquate. Plus précisément, on m’a demandé si le Commissariat avait eu des contacts avec la Commission européenne à propos de l’examen de la conformité du Canada avec les normes européennes après l’adoption du Règlement général sur la protection des données de l’Union européenne.

En un mot :  non. Si la Commission européenne devait communiquer avec les autorités canadiennes dans ce dossier, ces questions relèveraient de membres du pouvoir exécutif – probablement le ministère de l’Innovation, des Sciences et du Développement économique. La Commission ne s’adresserait pas au Commissariat à la protection de la vie privée, qui est un agent du Parlement indépendant du pouvoir exécutif. Quoi qu’il en soit, je ne crois pas que la Commission soit entrée en contact avec les représentants du ministère.

Cela dit, le Canada n’est pas un observateur indifférent aux discussions en cours entre les États‑Unis et l’Union européenne. Nous savons que la décision Schrems et, finalement, le Règlement général sur la protection des données, pourraient avoir une incidence directe sur le statut du Canada en tant que juridiction « adéquate ».

Évidemment, la décision Schrems exige une approche plus globale de la protection adéquate que celle qui était en place au moment où la LPRPDE a été déclarée « adéquate ». La notion de protection adéquate ne se limite plus à l’examen des règles permettant de protéger les renseignements personnels dans la sphère commerciale – il faut aussi examiner attentivement les mesures de protection des droits dans les lois et les pratiques relatives à la sécurité nationale et à l’application des lois.

Pour satisfaire au critère du niveau de protection essentiellement équivalent, les lois sur la sécurité nationale doivent notamment prévoir des mesures de sécurité limitant la portée de la collecte des renseignements personnels à ceux qui sont nécessaires et proportionnés aux objectifs visés par une activité de surveillance donnée.

À cet égard, j’ai fait part de mes préoccupations au Parlement canadien l’an dernier lorsqu’il a adopté une nouvelle loi visant à faciliter l’échange d’information entre les ministères fédéraux dans le domaine de la sécurité nationale. J’ai aussi demandé au Parlement de rehausser les normes prévues par la loi applicables aux renseignements personnels recueillis en vertu de la Loi sur la protection des renseignements personnels.

Cela dit, à la lumière des discussions informelles que j’ai eues avec des collègues européens, je ne crois pas que les lois canadiennes et européennes soient si différentes à cet égard. Il reste à voir comment les autorités européennes considèrent les lois canadiennes après l’affaire Snowden. Une chose est sûre : de nombreux pays, voire tous les pays, s’évertuent à trouver le juste équilibre entre la protection de la vie privée et la sécurité.

Dans la sphère commerciale, je constate que l’opinion exprimée récemment par mon collègue Giovanni Buttarelli, contrôleur européen de la protection des données, concernant le projet d’accord de bouclier de protection avec les États‑Unis, a donné plus de poids au fait que des « évaluations rigoureuses » montraient que des pays non membres de l’Union européenne, comme le Canada, sont dotés de lois fédérales contraignantes garantissant une protection adéquate.

Mais, comme vous le savez, le RGPD mettra bientôt la barre encore plus haut. L’un des objectifs de l’examen du modèle de consentement mené par le Commissariat consiste à s’assurer que les lois canadiennes continuent d’offrir une protection adéquate.

La question des recours à la disposition des Européens influe aussi sur le concept de protection adéquate. Au Canada, aucune raison de nationalité ne limite l’accès aux tribunaux. Il n’est donc pas nécessaire d’avoir une loi semblable à la loi américaine sur les recours judiciaires.

Conclusion

En conclusion, j’espère vous avoir donné une meilleure idée de la position du Canada concernant la protection adéquate et des discussions que nous avons lancées au sujet du consentement.

Il est important de se rappeler que notre document de discussion sur le consentement n’a pas de visées normatives. Il a plutôt pour objet de servir de tremplin pour un remue-méninges d’envergure nationale, voire internationale. Je constate avec plaisir que ce document suscite un certain intérêt à l’étranger.

Pour bien protéger les intérêts de chacun, nous devons mener une vaste discussion – une discussion à laquelle participent les entreprises, mais aussi les groupes de revendication, le milieu universitaire, les éducateurs, les spécialistes des TI et les internautes moyens.

Cet automne, je tiendrai des réunions dans plusieurs villes canadiennes pour parler directement avec bon nombre de ces intervenants. Nous accueillons d’ailleurs avec enthousiasme les commentaires que nous recevons par écrit en réponse à notre document sur le consentement.

À terme, nous espérons pouvoir apporter des solutions réelles et concrètes au dilemme du consentement et déterminer le rôle que doivent jouer les individus, les organisations, les organismes de réglementation et les législateurs pour pouvoir aider réellement les gens à exercer un meilleur contrôle sur leurs renseignements personnels.

Notre document porte sur le consentement dans le contexte canadien, mais j’ai bon espoir qu’il pourra alimenter des discussions similaires à l’extérieur de nos frontières.

Date de modification :