Cap sur les résultats pour les Canadiens

Allocution prononcée au Privacy Symposium 2018 d’IAPP Canada

Le 24 mai 2018
Ottawa (Ontario)

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Ayant complété la moitié de mon mandat de commissaire, il me semble évident que, pour mieux protéger la vie privée d’un plus grand nombre de Canadiens, nous devons modifier notre approche à cet égard.

Je ne fais pas référence au besoin de moderniser nos lois, même si cela demeure une nécessité; D’autant plus, à mon avis, dans la foulée de la crise Facebook/Cambridge Analytica/AggregateIQ.

Selon le rapport intitulé Regulating for Results publié par le Centre for Information Policy Leadership, tout organisme de protection des données a un défi important à relever : trouver le moyen d’être le plus efficace possible alors qu’il y a tant de travail important à faire et si peu de ressources pour le faire.

C’est certainement la réalité pour le Commissariat.

Nous avons passé beaucoup de temps à tenter de convaincre nos législateurs que les lois sur la protection de la vie privée du Canada sont désuètes et doivent être révisées si nous entendons être un leader mondial dans ce domaine, mais surtout pour protéger efficacement la vie privée des Canadiens dans un monde de plus en plus connecté.

Depuis l’an dernier, nous avons exprimé nos préoccupations concernant la législation sur la sécurité nationale. De plus dans notre projet de position sur la réputation en ligne et dans nos travaux en vue de résoudre les problèmes liés au modèle de consentement actuel, nous avons recommandé des modifications législatives et autres.

L’incident mettant en cause Facebook et Cambridge Analytica, sur lequel nous faisons enquête, a retenu l’attention dans le monde entier. À juste titre, cet évènement a braqué les projecteurs sur les questions de protection de la vie privée. D’autres incidents majeurs ont eu le même effet — pensons entre autres à Yahoo, Loblaws, Nissan et Equifax. Il faut parfois une crise pour faire changer les choses. Nous osons espérer que les parlementaires sont à l’écoute.

En réalité, nombre de ces éléments sont indépendants de notre volonté et nous attendons avec impatience que le gouvernement agisse. Cela dit, nous ne restons pas les bras croisés.

Le défi que nous nous efforçons de relever est de donner un nouveau souffle à des lois archaïques en envisageant une approche plus proactive pour protéger la vie privée. Vous vous souviendrez peut-être que j’en ai parlé au cours du même symposium l’an dernier. Depuis, nous avons peaufiné cette nouvelle approche, nous avons fixé des objectifs ambitieux pour nos travaux et nous avons apporté des changements importants à la structure organisationnelle du Commissariat. De plus, nous prenons des mesures pour concrétiser notre vision. C’est surtout de cela que je vous parlerai aujourd’hui.

L’ampleur et le rythme des progrès technologiques et leur utilisation dans les entreprises et les organisations gouvernementales réduisent grandement la capacité des citoyens à protéger leur vie privée.

L’innovation dans les secteurs de l’analyse de données, de l’intelligence artificielle, du profilage génétique et de l’Internet des objets crée de nouveaux risques très complexes pour la vie privée. Ces technologies sont nécessaires pour assurer la croissance économique et améliorer les services offerts par le gouvernement. Nous le reconnaissons. Mais ceux-ci doivent être utilisés en respectant la vie privée des Canadiens. Les gens veulent les deux. Nous estimons aussi qu’il y a de nombreuses organisations qui veulent bien faire les choses, et nous voulons les aider à cet égard.

Alors, entre autres pour relever certains défis, nous avons remanié en profondeur notre structure organisationnelle dans le but d’obtenir de meilleurs résultats sur le plan de la protection de la vie privée.

Nous avons rationalisé nos opérations en clarifiant les fonctions des programmes et les relations hiérarchiques. Nous nous sommes davantage tournés vers l’avenir en privilégiant les activités proactives. Comme je l’ai mentionné plus tôt, notre objectif est d’avoir une incidence plus vaste et plus positive sur le droit à la vie privée d’un plus grand nombre de Canadiens. Or, ce n’est pas toujours possible lorsque nous accordons presque toute notre attention aux enquêtes sur les plaintes individuelles.

C’est pourquoi dorénavant nous répartirons notre travail entre deux secteurs de programme : la promotion et la conformité. Les activités qui visent à amener les organisations à observer la loi relèveront du Programme de promotion; celles qui visent à régler des problèmes de conformité existants relèveront du Programme de conformité. Dans les semaines à venir, j’annoncerai le nom des deux sous-commissaires qui dirigeront ces nouveaux secteurs.

Nous savons que l’application de la loi ne constitue pas la première ou principale stratégie d’un organisme de réglementation efficace pour obtenir la conformité. Par conséquent, notre première stratégie se rattachera au Programme de promotion. Elle consistera à informer les Canadiens de leurs droits et de la façon de les exercer, et à travailler avec les organisations tout en leur donnant des orientations sur la façon de s’acquitter de leurs obligations.

Nous donnerons des orientations et des renseignements sur la plupart des enjeux clés liés à la vie privée, en commençant par la manière d’obtenir un consentement valable dans l’environnement numérique complexe d’aujourd’hui. J’y reviendrai plus en détail dans un instant.

Nous travaillerons aussi de manière proactive et en collaboration avec l’industrie en jouant un rôle consultatif, dans la mesure où nos ressources limitées nous le permettront. Nous tenterons de mieux comprendre les répercussions des nouvelles technologies sur la protection de la vie privée. Et nous donnerons des conseils pratiques sur la façon d’utiliser ces technologies tout en respectant la vie privée.

Nous estimons qu’il est préférable de régler les questions de protection de la vie privée dès le début et de résoudre les problèmes en collaboration, en dehors du processus officiel d’application de la loi. Cette approche évite des enquêtes longues et coûteuses, aide à atténuer les futurs risques pour la vie privée, offre aux organisations une mesure d’uniformité et de prévisibilité dans leurs rapports avec le Commissariat et permet à tous de tirer parti de l’innovation.

Voilà pourquoi nous utiliserons surtout nos outils de promotion avant d’employer notre deuxième stratégie : l’application proactive de la loi.

Dans le cadre du Programme de conformité, nos mesures d’application proactive de la loi cibleront les questions de vie privée systémiques, chroniques ou propres à un secteur qui ne sont pas traitées au moyen de notre système de plaintes et qui nous semblent susceptibles de porter gravement atteinte au droit à la vie privée des Canadiens.

En répartissant clairement nos activités entre deux programmes — Conformité et Promotion —, en adoptant une approche proactive et en axant nos efforts sur les citoyens, j’espère que les Canadiens pourront commencer à sentir qu’ils exercent plus de pouvoir et de contrôle sur leurs renseignements personnels. Et généralement, ils se sentiront plus en sécurité sachant que leurs droits seront respectés.

J’aimerais maintenant donner des détails sur certains travaux que nous réaliserons au cours de l’année à venir dans le cadre de notre nouvelle approche et de notre nouvelle structure.

À la suite de la restructuration, la nouvelle Direction des services-conseils à l’entreprise (anciennement le bureau de Toronto) donnera des avis aux entreprises assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). En partie nous voulons collaborer de façon proactive avec les organisations qui le souhaitent afin d’atténuer les risques pour la vie privée ayant des répercussions importantes, à la demande des entreprises ou d’après nos propres renseignements. Notre but est de mieux comprendre les pratiques et les modèles d’affaires novateurs et d’aborder, voire de résoudre, les préoccupations liées à la vie privée avant qu’elles se concrétisent. Nous voulons aussi mener des projets pilotes pour explorer la possibilité de répondre aux demandes d’avis de plus petites entreprises qui, sans être nécessairement à la fine pointe de la technologie, ont tout de même une grande incidence sur la vie privée des Canadiens. Comme nos ressources sont limitées, nous devrons choisir avec soin, du moins pour le moment, les projets que nous entreprendrons.

Soit dit en passant, le bureau de Toronto ne mènera plus d’enquêtes. En effet, nous voulons distinguer clairement les fonctions de conformité et celles de promotion. La Direction des services-conseils à l’entreprise fait partie du Programme de promotion. C’est lorsque l’on reçoit un appel du secteur des enquêtes liées à la LPRPDE du Programme de conformité qu’il faut commencer à s’inquiéter.

Cette année, sur le plan de l’engagement, je suis heureux d’annoncer que le premier projet consultatif lancé par le Commissariat est maintenant en cours. Il porte sur l’initiative de ville intelligente Sidewalk Toronto lancée par Waterfront Toronto et Sidewalk Labs, qui appartient à Alphabet, société mère de Google.

Vous avez sans doute entendu parler de cette initiative. Permettez-moi de vous la résumer en quelques mots. Sidewalk Toronto vise à bâtir un quartier axé sur la technologie dans le secteur riverain de l’est de la ville. Elle utilise des capteurs qui aideront les urbanistes à relever les gains d’efficacité.

Naturellement, cette initiative soulève de nombreuses questions concernant la collecte de données, la protection de la vie privée, le stockage des données et leur utilisation possible, notamment leur vente ou leur utilisation éventuelles à des fins commerciales.

Le mois dernier, des membres de notre Direction des services-conseils à l’entreprise et une collègue du Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario ont rencontré les promoteurs du projet pour avoir plus de détails et connaître les mesures qu’ils prennent pour répondre à certaines préoccupations.

Dans l’ensemble, nous avons été encouragés par les efforts qu’ils déploient pour assurer proactivement la protection de la vie privée et la sécurité des données dans la conception et la mise en œuvre de l’initiative.

Nous leur avons rappelé les principes clés de protection de la vie privée, notamment la spécification des finalités, veiller à ce que les individus aient accès à leurs renseignements personnels et rendre compte de la protection des données et indiquer clairement à qui elles appartiennent.

Nous avons aussi insisté sur l’importance d’adopter des normes élevées et des techniques perfectionnées pour dépersonnaliser les données afin d’atténuer le risque de repersonnalisation. Nous avons également souligné que tout composant de données ouvertes de l’initiative doit protéger la vie privée.

Comme l’initiative en est encore à ses débuts, nous continuerons de surveiller les progrès réalisés et de collaborer de façon proactive avec les représentants de Sidewalk Toronto à mesure que le projet avancera.

En ce qui concerne le sujet des villes intelligentes, nous nous sommes également associés le mois dernier à plusieurs de nos homologues provinciaux et territoriaux pour envoyer une lettre ouverte au gouvernement fédéral. Nous avons demandé que l’on prenne en compte la protection de la vie privée et la sécurité des renseignements personnels dans la sélection, la conception et la mise en œuvre des propositions gagnantes pour le Défi des villes intelligentes lancé récemment dans le cadre de l’Initiative Impact Canada du gouvernement du Canada.

Notre Direction des services-conseils au gouvernement formule aussi des avis à l’intention des institutions fédérales. D’ailleurs, nous prévoyons en donner davantage à l’avenir, encore une fois dans l’optique d’amener les ministères à observer la loi lorsqu’ils offrent des services aux Canadiens. Nous avons récemment tenu une série de séances de mobilisation des intervenants avec le personnel de l’Accès à l’information et protection des renseignements personnels et des secteurs de programme. Le but était de nous aider à orienter nos efforts au cours du remaniement de nos services-conseils.

On nous demande constamment de donner davantage d’orientations aux individus sur la manière d’exercer leur droit à la vie privée et aux organisations sur les mesures à prendre pour s’acquitter de leurs obligations. C’est exactement ce que nous nous sommes engagés à faire dans la mesure où nos ressources nous le permettent.

Nous avons d’ailleurs retenu 30 sujets à examiner pour commencer. Le consentement et les zones interdites figurent en tête de liste. Je suis fier d’annoncer que nos lignes directrices sur l’Obtention d’un consentement valable et les Pratiques inacceptables en matière de traitement des données sont disponibles à compter d’aujourd’hui. Les lignes directrices sur le consentement sont en fait le fruit des efforts combinés de nos homologues de l’Alberta et de la Colombie-Britannique.

Le document d’orientation sur le consentement valable donne d’autres conseils importants. Nous y définissons entre autres quatre éléments sur lesquels les organisations doivent mettre l’accent dans leur avis de confidentialité et qu’elles doivent expliquer dans des termes faciles à comprendre :

  1. les renseignements personnels qui seront recueillis;
  2. les tiers auxquels les renseignements personnels seront communiqués;
  3. les fins auxquelles les renseignements personnels seront recueillis, utilisés ou communiqués;
  4. le risque de préjudice ou les autres conséquences éventuelles de la collecte, de l’utilisation ou de la communication des renseignements fournis.

Certains se sont dits préoccupés par notre décision d’inclure le risque de préjudice parmi ces éléments. Cette décision découle de la définition de « consentement valable » dans la LPRPDE, selon laquelle la personne doit comprendre la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels à laquelle elle a consenti.

Nous parlons ici des risques résiduels, ceux qui pourraient subsister malgré tous les efforts déployés par une organisation pour réduire les risques et les répercussions de préjudices possibles. Les avis aux intéressés doivent mentionner uniquement les risques résiduels importants de préjudice grave, par exemple la lésion corporelle, l’humiliation, la perte d’emploi ou le vol d’identité. Ces risques constituent plus qu’une simple possibilité, mais sans qu’il y ait prépondérance des probabilités.

Par ailleurs, certaines personnes voient dans le document un langage contraignant et elles s’en préoccupent. Bien entendu, un document d’orientation ne peut servir à établir de nouvelles normes juridiques. Mais nous estimons que notre rôle comme organisme de réglementation consiste notamment à donner une orientation qui clarifie les exigences de la LPRPDE et définit les attentes quant à la manière d’interpréter et d’appliquer la loi de façon générale. Compte tenu du vaste champ d’application de la LPRPDE, les individus et les organisations doivent pouvoir compter sur un niveau de certitude adéquat.

Permettez-moi de vous donner maintenant quelques exemples de ce que nous entendons par orientation et la distinction à faire entre exigences et pratiques exemplaires ou recommandations.

Les quatre éléments cités plus haut sont à notre avis des exigences. Car on ne peut obtenir un consentement valable sans mettre l’accent sur ces quatre éléments.

En mettant en œuvre cette orientation, la question du niveau de détail propre à chacun de ces éléments est importante. Le degré de détail est variable. Par exemple, l’un des quatre éléments est la nécessité de la part des organisations recueillant de l’information d’informer les intéressés à quelle tierce partie sera communiquée l’information. Nous voyons un lien direct et clair avec la LPRPDE du fait que ces tierces parties doivent être décrites avec suffisamment de détails pour que l’intéressé puisse bien comprendre ce à quoi il consent.

Le niveau de précision fourni pour décrire ou inclure chaque tierce partie est une pratique exemplaire recommandée.

Dans le même ordre d’idées, nous parlons de la communication par couches dans notre document comme pratique exemplaire recommandée.

Un changement important et utile recommandé par certain intervenants par rapport aux lignes directrices préliminaires que nous avons publiées en septembre aux fins de consultation et la version finale disponible aujourd’hui, est l’ajout d’une liste de contrôle. Celle-ci apporte une nuance importante entre ce qui ‘doit’ être fait (étant, à notre avis, une obligation juridique) et ce qui ‘devrait’ être fait (une pratique exemplaire recommandée).

Comme je l’ai mentionné, nous avons aussi publié un document d’orientation sur les zones interdites. Il est maintenant disponible dans sa forme finale. Le contexte est bien sûr important dans l’application du paragraphe 5(3) de la LPRPDE, mais je suis convaincu qu’il est bénéfique, voire nécessaire, de citer des exemples précis de pratiques qui seront généralement jugées inacceptables. Ces zones interdites devraient établir des limites utiles pour les individus et les organisations.

Puisqu’il n’y a aucune raison d’en reporter la publication, les lignes directrices sur l’application du paragraphe 5(3) entreront bientôt en vigueur, plus précisément le 1er juillet. Cependant, étant donné que les lignes directrices sur le consentement peuvent obliger les organisations à modifier leurs systèmes et leurs pratiques, elles entreront en vigueur le 1er janvier 2019.

Je peux également vous dire que Barbara Bucknell, notre directrice des politiques, de la recherche et des affaires parlementaires, analysera plus en détail nos travaux sur le consentement au cours d’une séance organisée dans le cadre du symposium.

Comme je l’ai déjà indiqué, nous privilégions l’éducation et la collaboration pour amener les organisations à se conformer aux lois canadiennes sur la protection des renseignements personnels. Mais cela ne signifie pas que l’application de la loi n’a pas sa place. Nous devons d’abord examiner les plaintes, mais nous voulons aussi enquêter de façon proactive.

De façon générale, nous sommes tenus par la loi de faire enquête sur les plaintes individuelles. Comme vous le savez peut-être, nous avons demandé au gouvernement de modifier la LPRPDE pour nous autoriser à refuser certaines plaintes afin d’utiliser à meilleur escient nos modestes ressources. Nous avons suggéré que les individus aient alors accès à une forme de recours judiciaire, comme un droit privé d’action.

Tout le monde sait que nos équipes chargées de l’application de la loi subissent déjà d’énormes pressions. La déclaration des atteintes dans le secteur privé deviendra obligatoire en novembre et, comme cela a été le cas dans d’autres pays, cette exigence alourdira sans doute beaucoup notre charge de travail déjà considérable. Nos enquêteurs qui examinent les plaintes dans le secteur public sont eux aussi débordés par les plaintes et les déclarations des atteintes. D’ailleurs, un examen récent de ces déclarations a suscité de vives préoccupations quant à la manière dont les institutions fédérales relèvent et gèrent les atteintes. Nous devrions analyser la question plus en détail dans notre prochain rapport annuel.

Pourtant, malgré les contraintes et les pressions, nous voulons être plus proactifs dans nos activités d’application de la loi. Selon le modèle canadien de protection de la vie privée axé sur les plaintes, principalement réactif, nous avons rarement la possibilité d’examiner les nouvelles technologies, les flux de données complexes et les modèles d’affaires non transparents. Il est peu probable que les gens déposent une plainte s’ils ne savent pas ce qu’il advient de leurs renseignements personnels. Par conséquent, le Commissariat a une plus grande responsabilité de cerner et de régler de façon proactive les problèmes de protection de la vie privée qui présentent le plus grand risque pour les Canadiens, par exemple en menant davantage d’enquêtes à l’initiative du commissaire.

A cette fin, j’annonce également aujourd’hui que nous allons de l’avant avec notre première enquête proactive sur les pratiques de gestion de la protection des renseignements personnels adoptées par les courtiers en données et en listes. Cette enquête à l’initiative du Commissaire visera l’ensemble de l’industrie.

Les organisations qui vendent des listes sont responsables de la façon dont l’information est compilée, y compris de l’obtention du consentement des personnes dont le nom y figure.

Les premières étapes de l’enquête sur les pratiques de l’industrie ont mis en évidence plusieurs préoccupations concernant la manière dont les bases de données contenant les renseignements personnels détaillés des Canadiens sont compilées puis transmises à des spécialistes du marketing. Le profil détaillé d’individus, parfois inexact, pouvait être consulté et utilisé à des fins que les intéressés ignoraient.

Par conséquent, notre enquête portera sur les questions de responsabilité, d’ouverture et de transparence dans la gestion des renseignements personnels recueillis, utilisés ou communiqués. Elle examinera également la façon dont les organisations ont obtenu le consentement à la collecte, à l’utilisation ou à la communication de ces renseignements. Cette enquête visera six courtiers en données. Nous tiendrons également compte de la Loi canadienne anti-pourriel et des dispositions concernant la collecte d’adresses appliquées par le Commissariat.

Selon nous, ce type d’enquête pourra être bénéfique pour cette industrie. Pour leur part, les consommateurs canadiens l’accueilleront favorablement. Je crois savoir que Brent Homan donnera plus de détails sur nos efforts proactifs dans le domaine au cours d’une autre table ronde.

En conclusion, d’après moi, vous conviendrez que nous avons établi un programme ambitieux.

En renforçant notre rôle consultatif, nous pouvons aider les organisations à atteindre leurs objectifs sans porter atteinte à la vie privée et à gagner la confiance des Canadiens. L’économie numérique en profitera forcément.

Je suis convaincu que notre nouvelle approche sera avantageuse pour les entreprises qui souhaitent être socialement responsables, pour les institutions fédérales qui veulent maintenir la confiance des Canadiens et, bien sûr, pour les Canadiens qui, en définitive, veulent exercer un meilleur contrôle sur leurs renseignements personnels.

Date de modification :