Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Résolution 2396 : Quelques considérations relatives à la protection de la vie privée et des données

Allocution prononcée à l’occasion d’une rencontre spéciale en marge du Comité des Nations Unies contre le terrorisme (CCT)

Le 13 décembre 2018
New York, siège des Nations Unies

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

Introduction

Mesdames et messieurs, membres du Comité, bonjour.

Je  remercie la Direction exécutive du Comité contre le terrorisme (DECT) de m’avoir invité à vous adresser la parole à titre de membre du Comité exécutif de la Conférence internationale des commissaires à la protection des données et de la vie privée (CICPDVP ou Conférence). La Conférence représente environ 120 autorités de protection des données au niveau national ou infranational.

Analyse fondée sur les droits dans les délibérations sur la sécurité

Je reconnais d’emblée que, selon mon expérience, il n’existe pas de solution unique et simple aux préoccupations relatives à la protection de la vie privée dans le contexte des programmes de lutte contre le terrorisme.

Chaque pays aura une expérience, une jurisprudence et une histoire différentes de ces questions, et de nombreux groupes ont des préoccupations très légitimes au sujet de l’action de l’État, de la dignité humaine et de l’autonomie individuelle.

De plus, les questions auxquelles les gouvernements sont confrontés ne sont pas simples : elles sont juridiquement complexes, techniquement difficiles et elles exigent la collaboration entre plusieurs gouvernements.

La mise en place de mesures efficaces de lutte contre le terrorisme — tout en respectant les droits internationaux de la personne — exige plus qu’une seule réunion, ou plus que les efforts d’un seul pays, ou le travail d’un seul forum.

C’est pourquoi les solutions doivent être collectives, fondées sur la discussion, la patience et la réflexion de toutes les parties. Je ne prétends pas que la conversation soit toujours un dialogue confortable. Mais il en résulte souvent de meilleures interventions gouvernementales qui bénéficient d’un plus grand soutien.

Résolutions antiterroristes et protection des données

Les mesures antiterroristes exigent souvent la collecte, l’échange et l’analyse de renseignements personnels. C’est là que les lois sur la sécurité nationale et sur la protection de la vie privée se recoupent.

Bien qu’il n’existe pas encore de convention universelle sur la protection des données, la protection de la vie privée est néanmoins un droit international de la personne, reconnu par la Déclaration des droits de l’homme des Nations Unies (article 12) et le Pacte international relatif aux droits civils et politiques (article 17).

La protection de la vie privée dans la Déclaration des droits de l’homme est digne de mention, puisque nous célébrons cette semaine le 70e anniversaire de ce document marquant de l’histoire des droits de la personne, lequel a été corédigé par un Canadien, John Humphrey.

Les résolutions des Nations Unies sur la question de la lutte contre le terrorisme, y compris R1373 (2001), R2178 (2014) et R2396 (2017), stipulent toutes que les mesures antiterroristes doivent respecter le droit international en matière de droits de la personne. La plus récente de ces résolutions prévoit même que le respect des droits de la personne est un élément essentiel des efforts de lutte contre le terrorisme et que le non‑respect de ces obligations est l’un des facteurs qui contribuent à la radicalisation.

La question qui nous amène ici aujourd’hui, les Principes directeurs de Madrid sur la question des combattants terroristes étrangers (CTE), fait également référence au respect des droits de la personne comme facteur clé. Dans plusieurs principes (10, 14, 15, 19, 21, 25 et 31), nous voyons l’importance des engagements internationaux en matière de droits de la personne en ce qui concerne la police communautaire, les communications en ligne, l’utilisation par les autorités  des renseignements préalables sur les voyageurs (RPCV) et des dossiers passagers (DP), la surveillance électronique et la surveillance des médias sociaux.

Mais qu’est-ce que cela signifie exactement par rapport à la protection de la vie privée et des données? Quels sont les principes juridiques pertinents?

Principes pertinents de protection de la vie privée et des données

Bien qu’il n’existe pas de convention universelle sur la protection des données ou la protection de la vie privée, la plupart des lois dans le monde sont fondées sur les Lignes directrices de l’OCDE régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel. Un autre instrument juridique important est la Convention 108 du Conseil de l’Europe.

Parmi les principes les plus importants des lois sur la protection des données figurent la nécessité, la proportionnalité et la surveillance.

i) Nécessité et proportionnalité

Pour satisfaire à la norme de nécessité, une mesure n’est pas nécessairement la seule façon d’atteindre un objectif. Toutefois, 1) elle doit être rationnellement reliée et manifestement nécessaire à l’objectif; elle doit donc être plus qu’utile. 2) Elle doit également être efficace pour atteindre l’objectif. 3) Il ne doit y avoir aucune autre façon moins envahissante d’atteindre efficacement l’objectif. Et 4) la perte de confidentialité doit être proportionnelle à l’importance de l’objectif.

Les normes de nécessité et de proportionnalité étaient en jeu dans une décision rendue en 2017 par la Cour européenne de justice, qui évaluait la constitutionnalité d’un accord proposé entre la Commission européenne et le Canada concernant l’information RPCV/DP.

La Cour a reconnu que le transfert de l’Europe au Canada des données DP de tous les voyageurs et le traitement subséquent de ces données peuvent être jugés appropriés aux fins de la sécurité publique et de la sûreté. Plus précisément, la Cour a convenu que l’utilisation systématique des données DP était directement et rationnellement liée à la réalisation de vérifications visant à identifier les menaces à la sécurité publique.

Toutefois, la Cour a conclu que l’entente ne respectait pas les normes de nécessité et de proportionnalité pour plusieurs motifs, notamment le fait que l’entente autorisait la conservation des données des passagers à l’égard desquels aucun risque n’avait été identifié.

Pour être compatible avec la Charte des droits fondamentaux de l’UE, la Cour a stipulé qu’un nouvel accord devrait (entre autres) :

  • Définir plus clairement et plus précisément les données à transférer;
  • Veiller à ce que les critères de traitement automatique des données DP soient précis, fiables et non discriminatoires;
  • Prévoir que les bases de données seront limitées à celles utilisées par le Canada dans la lutte contre le terrorisme et les crimes transnationaux graves;
  • Garantir qu’une autorité de surveillance indépendante supervise les règles de traitement des données DP des passagers.

ii) Examen indépendant (surveillance)

Un autre principe fondamental de la protection de la vie privée, particulièrement pertinent dans le contexte de la sécurité nationale, est la nécessité d’un examen indépendant de la légalité et de la constitutionnalité de la conduite de l’État. Il s’agit évidemment d’un principe essentiel de la primauté du droit.

En ce qui concerne les caractéristiques souhaitables des organismes chargés de l’examen, les études gouvernementales et  universitaires soulignent huit éléments importants pour une surveillance efficace :

  • une indépendance significative par rapport au pouvoir exécutifNote de bas de page 1;
  • la capacité de travail proactif – pas simplement un rôle réactif;
  • un personnel non partisan;
  • un accès complet et sans entrave à l’information et aux systèmes;
  • la capacité de garder le secret, au besoin (tant pour les plaignants que pour les organismes gouvernementaux);
  • des ressources adéquates et du personnel de soutien à temps plein;
  • la capacité de sensibiliser les citoyens et les intervenants;
  • l’expertise institutionnelle et la connaissance des normes et du droit national et international.

Modifications possibles aux principes de Madrid et bonnes pratiques

Comment ces principes de protection des données devraient-ils éclairer les améliorations possibles aux principes directeurs de Madrid ou, du moins, leur application?

N’oublions pas que nous ne partons pas de zéro. De nombreux principes de Madrid (mais pas tous ceux qui sont pertinents) prévoient déjà qu’ils s’appliquent conformément au droit international des droits de l’homme.

Une des solutions envisagées consisterait à apporter une clarification dans un addendum qui stipulerait que lorsque les principes de Madrid précisent que leur mise en œuvre doit respecter le droit international en matière de droits de la personne, cela comprend les principes de nécessité, de proportionnalité et de surveillance indépendante en matière de protection de la vie privée et des données.

J’ai noté que de nombreux principes directeurs de Madrid, mais pas tous, relatifs à la protection des données comprennent des références au droit international en matière de droits de la personne. Les principes qui pourraient faire l’objet de précisions comprennent le principe 15, qui porte sur la collecte de renseignements pour aider à identifier les combattants étrangers, lequel est ambigu à cet égard et probablement trop restrictif. Les principes 16 à 18 pourraient également être améliorés.

La règle en matière de protection des données devrait être qu’à toutes les étapes du traitement des données, qu’il s’agisse de collecte, d’analyse, d’échange, de stockage et d’utilisation, les principes de protection de la vie privée devraient s’appliquer. Fait intéressant, le principe 19f) du document de Madrid confirme presque cette règle, sauf qu’il ne s’applique qu’aux données DP et qu’il utilise la référence générale aux droits de la personne.

Le principe 19f) serait un excellent modèle pour un principe général de protection des données, à ajouter aux principes de Madrid, s’il s’appliquait à toutes les activités de traitement des données liées au CTE et s’il incluait une référence aux principes de nécessité, de proportionnalité et d’examen ou de surveillance indépendants.

Conclusion

Je remercie encore une fois Madame Michèle Coninsx, Sous-secrétaire générale des Nations Unies et Directrice exécutive de la DECT, de m’avoir invité à prendre la parole devant vous aujourd’hui et à présenter le point de vue d’une autorité de protection des données sur une question et un défi très difficiles pour les gouvernements du monde entier.

La démocratie et la primauté du droit permettent  de débattre et d’adopter des mesures efficaces pour protéger le droit à la vie privée des citoyens.

Inversement, la vie privée — une vie privée viable — est le fondement et la condition nécessaire d’une vie publique et démocratique; c’est-à-dire pour la démocratie constitutionnelle.

Dans cet esprit, j’espère que vous considérerez mes remarques de ce matin comme la prochaine étape de ce dialogue et je vous remercie encore une fois du temps que vous avez consacré à la question du droit à la vie privée aujourd’hui.

Je me ferai un plaisir de répondre à vos questions.

Date de modification :