Renforcer la sécurité nationale et la protection de la vie privée à l’ère du numérique

Allocution prononcée lors d’une série d’événements virtuels organisés par le CIGI

Le 14 octobre 2021, par vidéoconférence

Allocution de Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)

---

Introduction

Je vous remercie de m’avoir invité à prendre la parole aujourd’hui. Je suis heureux d’avoir l’occasion de participer au projet du Centre pour l’innovation dans la gouvernance internationale (CIGI) visant à repenser la stratégie de sécurité nationale pour le 21^e siècle.

Le fondateur du CIGI, Jim Balsillie, est devenu un leader d’opinion important dans le débat sur la protection de la vie privée et la sécurité, dans le domaine de l’innovation mais aussi dans d’autres domaines. Je suis d’accord avec lui lorsqu’il affirme que la gouvernance des données est la question de politique publique la plus importante de notre temps.

On peut difficilement contester que les données occupent une place de plus en plus importante dans l’économie et que nous assistons au développement rapide de technologies axées sur les données.

Si la première révolution industrielle était celle de la vapeur, la quatrième est celle des données.

Un nombre croissant d’entreprises cherchent à monnayer nos données personnelles, tandis que les gouvernements envisagent diverses initiatives qui s’appuient sur la prise de décisions fondées sur les données, ainsi que sur un plus grand partage et une plus grande accessibilité de ces données.

La technologie et les données peuvent servir l’intérêt public, et elles le font dans bon nombre de situations. En font foi plusieurs exemples depuis le début de la pandémie, comme l’utilisation de données pour soutenir la santé publique ou les plateformes que nous avons tous utilisées pour rester connectés.

Or, l’importance croissante des données s’accompagne aussi de nouveaux risques pouvant avoir des répercussions importantes sur notre vie privée. Il est urgent de définir comment tirer avantage des données tout en respectant les valeurs démocratiques et les droits fondamentaux.

Cet après‑midi, je souhaite aborder deux thèmes connexes. Le premier est la recherche d’un équilibre entre les mesures d’urgence et la protection de la vie privée. Le second est la nécessité d’intégrer les droits et les valeurs du Canada dans les lois sur la protection des renseignements personnels qui seront modernisées afin de protéger les individus, d’outiller le gouvernement pour lui permettre d’accomplir son travail et de favoriser l’innovation responsable dans les entreprises.

Quel que soit notre rôle et la raison de notre présence ici, que nous nous intéressions aux affaires, à l’administration publique ou à l’élaboration des politiques, nous devrions tous nous soucier de la protection des renseignements personnels.

À vrai dire, s’il y a une chose que vous devriez retenir aujourd’hui, c’est que la protection de la vie privée ne nuit pas à l’innovation économique, ni aux intérêts du Canada en matière de sécurité nationale. En fait, des lois qui protègent adéquatement les renseignements personnels peuvent soutenir ces deux objectifs.

Contexte actuel de la protection de la vie privée

Le contexte de la protection de la vie privée a énormément changé depuis mon entrée en fonction comme commissaire, il y a un peu plus de sept ans. En 2014, les cadres de direction du secteur de la technologie affirmaient ouvertement que la vie privée « n’existait plus ».

Après les attentats du 11 septembre 2001, certaines personnes semblaient prêtes à céder à l’État leur droit à la vie privée, au nom de la sécurité nationale. Même lorsque des lois sur la collecte de renseignements allaient trop loin, le besoin de se protéger contre de nouvelles attaques terroristes l’emportait, selon certains, sur le droit à la vie privée.

Ce point de vue a commencé à changer depuis les révélations de Snowden.

Aujourd’hui, en 2021, il est clair que la vie privée est une question de grande actualité. En effet, nos sondages révèlent qu’une vaste majorité de Canadiens se soucient de la question et affirment être très préoccupés par leur incapacité à protéger leur droit à la vie privée, notamment contre la puissance croissante d’entreprises comme Facebook et Google, qui semblent en savoir davantage à notre sujet que nous en savons nous‑mêmes.

Personne n’a su monnayer les données personnelles mieux que les géants de la technologie, qui sont derrière nos recherches dans Internet et nos comptes de médias sociaux.

Or, les renseignements personnels sont aussi la matière première des organismes de sécurité nationale et de renseignement. La collecte, l’utilisation et la communication de renseignements personnels ont toujours fait partie intégrante de leur travail.

Notre objectif est de s’assurer que ces organismes utilisent les outils nécessaires à leur travail essentiel d’une manière conforme à la loi et respectueuse du droit à la vie privée.

Équilibre entre les mesures d’urgence et la protection de la vie privée

Comme nous l’avons vu après le 11-Septembre, lorsqu’ils sont confrontés à une crise sur le plan de la sécurité, les décideurs ont tendance à prendre des mesures rigoureuses sans nécessairement tenir compte des droits.

Alors, comment peut-on définir ce qui constitue une urgence et savoir quelle est la réponse raisonnable à envisager? Et comment peut-on décider à quel moment la crise est terminée et s’il est sécuritaire de lever certaines mesures?

Soulignons que les questions de sécurité nationale ne se limitent pas au terrorisme. Les attentats du 11-Septembre ont coûté la vie à près de 3 000 personnes. Or, la pandémie a fait plus de 4,8 millions de victimes dans le monde jusqu’à présent, soit près de 7 500 par jour. Il s’agit là aussi d’une menace pour la sécurité nationale, qui a donné lieu à des mesures rigoureuses, notamment l’utilisation des nouvelles technologies d’une manière qui empiète sur les libertés civiles.

Lorsque la pandémie de COVID‑19 a frappé, certaines personne ont estimé que la vie privée devait être mise de côté afin de protéger des vies, tout comme cela s’est produit après le 11-Septembre. Ce point de vue reposait sur l’hypothèse erronée selon laquelle il fallait soit protéger la santé publique, soit protéger la vie privée, et qu’on ne pouvait pas faire les deux à la fois.

Je ne suis pas d’accord. La protection de la vie privée et l’innovation suscitée par les nouvelles technologies ne sont pas des valeurs contradictoires. Ce n’est pas un jeu à somme nulle. En fait, la confiance envers l’innovation passe par la protection des droits. Sans protection de la vie privée, il ne peut y avoir de confiance ni d’innovation durable.

Bien que le Commissariat soit d’avis que la crise sanitaire exige une application souple et contextuelle des lois sur la protection des renseignements personnels, les principes clés dans ce domaine doivent tout de même continuer de s’appliquer, puisque la vie privée est un droit fondamental, même si toutes les exigences les plus pointues ne s’appliquent pas avec la même rigueur qu’en temps normal.

Au printemps dernier, le Commissariat a publié avec ses homologues provinciaux et territoriaux une déclaration commune pour demander aux gouvernements de respecter plusieurs principes fondamentaux de protection de la vie privée lors de l’élaboration des passeports vaccinaux.

Avant toute chose, nous avons insisté sur le fait qu’il faut établir la nécessité, l’efficacité et la proportionnalité des passeports vaccinaux. Plus précisément, nous avons indiqué que les passeports vaccinaux doivent être nécessaires pour atteindre la fin visée en matière de santé publique, qu’ils doivent être efficaces et que les risques encourus pour la vie privée doivent être proportionnels à la fin visée.

Les passeports vaccinaux ne sont que l’un des nombreux dossiers en lien avec la protection des renseignements personnels qui sont ressortis pendant la pandémie. Les applications de traçage de contacts, les contrôles de température et la vaccination obligatoire ont tous soulevé des questions importantes.

Par ailleurs, pendant la pandémie, la vie quotidienne se déroule en grande partie en ligne – socialiser, assister à des cours ou consulter un médecin se font sur des plateformes virtuelles, ce qui entraîne de nouveaux risques pour notre vie privée. Par exemple, si la plateforme virtuelle utilisée en télémédecine fait intervenir une entreprise commerciale, il y a un risque de violation du secret professionnel entre le médecin et le patient. Et les plateformes d’apprentissage en ligne peuvent recueillir des renseignements sensibles sur les difficultés d’apprentissage des élèves ou leur comportement.

En précipitant le passage au numérique, la pandémie permet de mettre en évidence des lacunes importantes et de longue date dans le cadre législatif du Canada.

Nous avons constaté que, dans le cadre législatif actuel, les principes fondamentaux de protection de la vie privée qui nous permettent de mettre en place des mesures de santé publique sans porter atteinte à nos droits demeurent, dans certains cas, de bonnes pratiques plutôt que des obligations juridiques.

Par exemple, la législation ne prend pas adéquatement en considération la protection de la vie privée dans le contexte des partenariats public-privé. De plus, elle n’oblige pas les développeurs d’applications à tenir compte de la protection de la vie privée dès la conception ni des principes que sont la nécessité et la proportionnalité.

Il est profondément troublant de voir la pandémie provoquer une transformation rapide de la société et de l’économie, dans un contexte où nos lois ne protègent pas efficacement le droit à la vie privée des Canadiens.

Droits et valeurs

La confiance

On parle de la quatrième révolution industrielle, des avancées technologiques et des vulnérabilités entourant la collecte et l’utilisation des renseignements personnels, mais je me dois de souligner que la technologie en soi n’est ni bonne ni mauvaise. Les nouvelles technologies peuvent, bien évidemment, offrir de grands avantages, mais elles comportent aussi des risques.

L’un des principaux objectifs de la réglementation est de créer un environnement dans lequel les individus ont l’assurance que leurs droits seront respectés.

Malheureusement, l’incapacité de nos lois à suivre le rythme a entraîné une crise de confiance au Canada, notamment en ce qui concerne les activités en ligne.

D’après les sondages, les Canadiens sont très préoccupés par la protection de leur vie privée. Il suffit de parcourir les manchettes des journaux pour comprendre pourquoi.

Ce mois‑ci, une lanceuse d’alerte a accusé Facebook de privilégier les profits plutôt que la modification des algorithmes qui propagent la haine et la désinformation. Il y a quelques années, le scandale Facebook et Cambridge Analytica a mis en lumière les répercussions potentielles des plateformes en ligne sur la vie privée et l’intégrité des processus électoraux.

Par ailleurs, les atteintes à la sécurité des données ne cessent de gagner en importance et sont même devenues courantes, ce qui est scandaleux. Des atteintes touchent maintenant des centaines de milliers de personnes, des millions de personnes, voire des centaines de millions de personnes. Par exemple, le Commissariat a enquêté sur l’atteinte à la sécurité des données chez Desjardins, qui a compromis les renseignements personnels de près de 10 millions de Canadiens.

D’autres enquêtes menées récemment par le Commissariat ont, quant à elles, laissé entrevoir la menace que représente la surveillance de masse au Canada.

Je fais référence ici à notre enquête sur la société de technologie Clearview AI et à l’enquête connexe que nous avons menée sur la GRC.

Clearview a prélevé des milliards d’images de personnes dans Internet et a ensuite permis à des corps policiers de faire une recherche dans l’énorme base de données de l’entreprise à partir d’une photographie d’une personne. Nous avons estimé que cette collecte de renseignements biométriques très sensibles, à l’insu des personnes concernées et sans leur consentement, est illégale. Des millions de personnes – dont la grande majorité ne commettra jamais de crime – se sont retrouvées dans une séance d’identification policière tous les jours, 24 heures sur 24, ce qui est tout à fait inacceptable.

Notre enquête sur la GRC a révélé que l’utilisation par le service de police de la technologie de reconnaissance faciale pour effectuer des centaines de recherches dans une base de données compilée illégalement par une entreprise commerciale constitue une violation de la Loi sur la protection des renseignements personnels.

Nous avons également constaté des lacunes graves et systémiques dans les politiques et les systèmes de la GRC concernant le suivi, l’identification, l’examen et le contrôle des nouvelles collectes de renseignements personnels au moyen de technologies innovantes.

Grâce à notre enquête, la GRC est en train de mettre sur pied le Programme national d’intégration des technologies qui lui permettra de déterminer et d’évaluer les répercussions des nouvelles technologies d’enquête sur le plan juridique et sur celui de la protection de la vie privée. Il s’agit d’une étape encourageante qui, je l’espère, mènera à des changements.

Au final, en ce qui concerne l’environnement numérique, nous ne pourrons réaliser de réels progrès pour accroître la confiance que lorsque nous adopterons des lois rigoureuses pour protéger les renseignements personnels.

Les Canadiens veulent profiter des avantages des technologies numériques. Il incombe au gouvernement, et au Parlement, de leur donner l’assurance que la législation protégera leurs droits.

Des lois rigoureuses pour protéger les renseignements personnels permettent d’accroître la confiance à l’égard de nos systèmes et de nos institutions; elles augmentent aussi la capacité de réagir aux menaces à la sécurité.

Pour certains, les mesures pour protéger la vie privée sont des contraintes qui limitent nos activités. Mais vues sous un autre angle, elles représentent plutôt une défense active. L’absence de lois efficaces sur la protection des renseignements personnels crée une vulnérabilité – les militaires parleraient d’une « cible inopinée ».

Vous vous souvenez peut‑être de l’atteinte à la sécurité de renseignements personnels d’athlètes survenue à l’Agence mondiale antidopage, ou AMA, il y a quelques années.

Les pirates avaient communiqué les renseignements de certains athlètes ayant participé aux Jeux olympiques de Rio en 2016. Le Canada et ses alliés ont par la suite attribué cet incident au service de renseignement militaire russe.

Au moment des événements, l’AMA, dont le siège social est à Montréal, disposait de certaines mesures de protection. Toutefois, l’enquête du Commissariat a révélé que ces mesures étaient nettement insuffisantes compte tenu de la très grande sensibilité des renseignements médicaux qu’elle était chargée de protéger. En raison de son statut de cible potentielle de choix pour des pirates informatiques expérimentés et financés par des États, l’AMA devait pouvoir compter sur un cadre adéquat et rigoureux de protection.

Les menaces peuvent provenir de n’importe où : des services de sécurité et de renseignement d’États hostiles, de pirates employant des rançongiciels, d’organisations criminelles ou d’autres agents perturbateurs. Elles visent les installations gouvernementales, les grandes sociétés pétrolières, et même les hôtels et les sites de rencontres. Des adversaires mettent peu de temps à relier les chaînes de données et à rassembler suffisamment de renseignements sensibles pour causer des dommages.

Réduire les excès de l’après-11-Septembre

J’ai évoqué précédemment le fait que les lois adoptées à la suite du 11 septembre 2001 ont augmenté les intrusions dans la vie privée. Le projet de loi C‑51, la Loi antiterroriste (2015), par exemple, a suscité des inquiétudes, car il allait trop loin.

Le projet de loi C‑59, adopté en 2019, a atténué certains des excès du projet de loi C‑51, après de saines discussions démocratiques auxquelles le Commissariat a participé. Des organismes de surveillance ont été créés à cette occasion : l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) et le Bureau du commissaire au renseignement. Le projet de loi C‑22, quant à lui, a permis de créer le Comité des parlementaires sur la sécurité nationale et le renseignement.

L’expertise du Commissariat est complémentaire à celle de ces organismes. Ces derniers sont des spécialistes du droit de la sécurité nationale, et nous sommes des spécialistes du droit de la protection de la vie privée. La combinaison de nos expertises apporte une valeur ajoutée aux évaluations que nous menons conjointement et permet d’approfondir l’analyse. Nous collaborons régulièrement avec l’OSSNR, par exemple, en vertu d’un protocole d’entente dont les modalités ont été définies et rendues publiques il y a quelques semaines. Nous voulons faire preuve de transparence envers le public et les agences de sécurité nationale quant aux termes de notre collaboration.

Récemment, nous avons observé avec satisfaction une augmentation du nombre de consultations sur les questions de sécurité nationale et de sécurité publique. Et nous continuons de conseiller le gouvernement à cet égard, par exemple en ce qui concerne le Programme de protection des passagers.

Cela dit, des inquiétudes subsistent toujours dans ce domaine.

Par exemple, le chiffrement. Il s’agit d’une question qui dépasse les conceptions traditionnelles de la protection de la vie privée et de la sécurité nationale. Elle touche directement les secteurs commercial et gouvernemental dans leurs activités de tous les jours.

Certains affirment que les outils de chiffrement de pointe permettent de mieux protéger les gens, tandis que d’autres soutiennent que les communications chiffrées nuisent à notre sécurité parce qu’elles profitent aux criminels, coûtent cher et compliquent ou ralentissent inutilement les analyses. Les organismes chargés de l’application de la loi et de la sécurité nationale ont indiqué qu’ils souhaitent trouver des moyens de contourner ces problèmes.

Nous savons que des pratiques élémentaires de chiffrement auraient permis de beaucoup mieux protéger la vie privée des personnes qui ont été touchées par les nombreuses atteintes à la sécurité des données sur lesquelles le Commissariat a enquêté au fil des ans. Et du point de vue de la « sécurité de l’information » classique, quiconque a déjà travaillé dans un environnement « classifié » est bien au fait de la protection supplémentaire que le chiffrement apporte aux renseignements protégés.

La controverse largement médiatisée entre Apple et le Federal Bureau of Investigation (FBI) au sujet de l’accès d’enquêteurs au téléphone portable verrouillé d’un tireur de masse en Californie a mis au premier plan les questions délicates de la protection de la vie privée, de l’accès des gouvernements aux données et du chiffrement.

Après de nombreuses démarches juridiques, le FBI a finalement abandonné ses procédures devant les tribunaux pour contraindre Apple à modifier les dispositifs de sécurité de ses systèmes et produits. Les enquêteurs du FBI ont plutôt fait appel à une autre société de logiciels pour contourner les mécanismes de protection du téléphone.

Malheureusement, ce que ce cas démontre assez clairement, c’est que nous ne disposons d’aucun moyen connu de donner aux organismes chargés de l’application de la loi un accès systématique aux téléphones portables verrouillés sans créer simultanément un risque important pour la population.

Nous avons recommandé au Parlement de faire preuve de prudence avant de chercher à apporter des solutions législatives dans ce domaine. Il serait préférable d’étudier des solutions techniques fournissant un accès discret et légal à des dispositifs chiffrés précis – comme le FBI l’a fait avec succès dans l’affaire de San Bernardino – plutôt que d’imposer des exigences législatives générales.

Autrement dit, avant que les législateurs ne s’empressent d’imposer des limites aux mesures de protection des données qui ont fait leurs preuves, telles que le chiffrement, je crois qu’il faut discuter franchement des problèmes en cause et étudier avec attention les mesures qui sont déjà à la disposition des enquêteurs dans le cadre législatif actuel.

Projeter nos valeurs dans nos lois

Le Canada vient d’élire un nouveau Parlement. L’une des principales tâches des législateurs, à leur retour à Ottawa, sera d’adopter des lois modernes et efficaces visant à favoriser l’innovation responsable et la croissance économique tout en protégeant les droits et les valeurs des Canadiens.

Nous avons besoin d’un cadre fondé sur les droits qui reconnaît le droit fondamental à la vie privée.

L’année dernière, les choses ont bougé à ce chapitre, autant pour le secteur public que pour le secteur privé. Le gouvernement fédéral a diffusé un document de consultation proposant des modifications à la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral. Le Commissariat est optimiste quant aux avancées à cet égard.

Nous n’avons pas pu en dire autant au sujet du projet de loi C‑11, qui visait à mettre à jour la Loi sur la protection des renseignements personnels et les documents électroniques. Ce projet de loi est mort au feuilleton au moment du déclenchement des élections, et avec l’ouverture d’un nouveau Parlement, j’ai espoir que d’importants changements y seront apportés.

Le Parlement devrait suivre l’exemple de l’Ontario et du Québec, qui ont fait des propositions en faveur d’une innovation numérique responsable dans un cadre juridique qui reconnaît le droit à la vie privée comme un droit de la personne. Le Québec a récemment adopté le projet de loi n° 64 et l’Ontario mène des consultations approfondies sur sa propre loi en la matière.

Le régime canadien de protection de la vie privée tire de l’arrière par rapport aux lois de bon nombre de ses partenaires commerciaux dans le monde. D’ailleurs, ce régime tire aussi de l’arrière ici même au pays, puisque des provinces interviennent pour combler les lacunes.

Il ne s’agit pas d’un problème abstrait. Le Conseil canadien des innovateurs considère qu’adopter une approche décousue, sans cohésion, à l’égard de la protection de la vie privée au Canada, c’est courir à la catastrophe. Du point de vue de l’innovation, il s’agit de la pire option. Dans une fédération, il est normal d’avoir des lois différentes d’une province à l’autre, mais un effort d’harmonisation s’impose.

En plus d’un cadre fondé sur les droits, il faut aussi établir des principes communs dans les deux lois fédérales. Par exemple, la nécessité et la proportionnalité doivent être prises en considération avant de recueillir, d’utiliser et de conserver l’information. Cela est d’autant plus important dans un contexte où le gouvernement dépend de plus en plus de technologies mises au point par le secteur privé pour mener à bien ses activités.

Pour respecter les principes de nécessité et de proportionnalité, les organisations devraient aller de l’avant avec les activités et les programmes intrusifs uniquement s’il est possible de démontrer qu’ils sont nécessaires pour atteindre un objectif urgent et important, et que l’atteinte à la vie privée est proportionnelle aux avantages escomptés. Pensons à la technologie de reconnaissance faciale. Cette technologie est par nature invasive, mais l’atteinte à la vie privée peut être justifiée si, par exemple, l’utilisation de cette technologie peut aider à retrouver un enfant disparu.

Cela ne signifie pas que cette technologie ne doit jamais être utilisée, mais que chaque fois qu’on y a recours, sa nécessité doit être établie. Le résultat recherché doit être directement lié à la mesure qui est prise, et proportionnel au préjudice causé.

Une fois qu’on a décidé d’utiliser la technologie, d’autres principes liés à la protection de la vie privée entrent en ligne de compte : limiter la collecte d’information, protéger les données, et encadrer la conservation et l’élimination des données, entre autres.

Un autre facteur clé est l’interopérabilité. Tant pour des raisons de sécurité nationale que pour des raisons opérationnelles, il faut être en mesure d’envoyer et de recevoir des renseignements par-delà les frontières.

Le Règlement général sur la protection des données de l’Union européenne, ou RGPD, définit des normes rigoureuses de protection des renseignements personnels. L’Union européenne ne communiquera pas librement des données avec des gouvernements ou des entreprises dont les cadres réglementaires ne protègent pas adéquatement ces renseignements. Le Canada satisfait actuellement aux exigences de l’Union européenne concernant le caractère adéquat, mais les décisions d’adéquation sont examinées tous les quatre ans et il n’est pas certain que nous recevrons une évaluation positive la prochaine fois.

Comme je l’ai déjà précisé, l’interopérabilité à l’échelle nationale est aussi une préoccupation croissante, étant donné que les plus grandes provinces du pays adoptent leurs propres lois sur la protection des renseignements personnels dans le secteur privé. Dans certains cas, ces lois offrent une meilleure protection que la loi fédérale.

Conclusion

Le Canada aspire à redevenir un chef de file mondial de la protection de la vie privée.

Nous croyons que les Canadiens méritent des lois fédérales en la matière qui soient fondées sur les droits. L’intégration d’un cadre fondé sur les droits permettrait de favoriser une innovation responsable et de susciter la confiance envers le gouvernement. Cela permettrait aux gens de participer pleinement et en toute confiance à l’économie numérique.

En adoptant une approche fondée sur les droits, le Canada deviendrait un chef de file dans ce domaine. Il montrerait la voie à suivre en définissant des lois sur la protection des renseignements personnels qui permettent d’atteindre les objectifs suivants : protéger la vie privée, stimuler le développement des affaires et l’innovation, et priver les États hostiles et les acteurs malveillants d’occasions qui pourraient entraîner des menaces à la sécurité nationale.

Comme société, nous devons projeter nos valeurs dans nos lois sur le numérique. Nos citoyens ne s’attendent à rien de moins de la part de leurs institutions publiques.

Un cadre solide à l’égard de la vie privée sera un atout pour bâtir un pays où priment protection, résilience et sécurité. Voilà un objectif auquel nous devrions tous contribuer.