Commerce électronique et la protection des renseignements personnels en l'an 2000

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Allocution devant la Conférence Riley

Le 21 février 2000
Ottawa, Ontario

Bruce Phillips
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)


Bonjour à tous.

Vous avez mentionné que j'occupe ce poste depuis un bon moment. En regardant autour de moi ce matin, je me suis rendu compte que la première fois que je suis intervenu publiquement sur ce sujet, c'était à ce même hôtel lors d'une conférence organisée par celui-là même qui a organisé cette conférence, Tom Riley. Ce qui ne nous rajeunit pas, lui et moi.

Je me sens un peu comme un instituteur qui accueille sa nouvelle classe, car je vois plein de nouveaux visages. J'imagine que bon nombre d'entre vous qui évoluent au sein du gouvernement fédéral à un titre ou à un autre ne s'occupaient même pas de cette question lorsque j'en ai pris connaissance moi-même.

Ce mois-ci marque le dixième anniversaire de mon arrivée au Commissariat à la protection de la vie privée. J'ai été commissaire adjoint pendant un an avant d'exercer mes fonctions actuelles. C'est intéressant de voir tout le chemin parcouru depuis lors mais on verra plus loin tout le chemin qu'il reste à parcourir. Il y a dix ans, des mots qui sont devenus d'usage courant maintenant ne figuraient même pas au dictionnaire. C'est le cas de courriel, moteur de recherche, portail, pour ne nommer que ceux-là.

En l'espace d'une petite décennie, nous avons vécu une véritable révolution technologique et sociale. Ainsi, les choses que j'évoquais au début de mon mandat et que d'aucuns qualifiaient d'extrêmes, radicales, impraticables et improbables se sont toutes avérées. Et la chose sur laquelle j'ai insisté avec le plus de ferveur au cours de ces années pour que nous puissions relever les défis de la révolution que nous traversons s'est elle aussi avérée.

Nous sommes réunis ici pour nous pencher sur la thématique du commerce électronique dans le contexte du projet de loi C-6 et dans un contexte plus global. C'est d'ailleurs dans ce contexte élargi que nous devrions, selon moi, orienter notre réflexion, du moins au début.

J'ai dit à plusieurs reprises - et je le répète pour le bénéfice de nos nouveaux auditeurs - qu'il importe de réfléchir, même brièvement, sur les enjeux du commerce électronique et de nous demander pourquoi ils sont extrêmement importants, voire indispensables, non seulement pour faciliter la gestion et le développement du commerce mais aussi pour garantir le maintien d'une société civilisée au Canada et ailleurs dans le monde.

Aussi, j'aimerais prendre quelques secondes pour vous donner ma définition de la protection de la vie privée. Elle est et demeure la même depuis les tous débuts : pour moi, c'est une sorte de baromètre qui mesure le degré de respect que nous, en personnes libres et autonomes, portons à nos semblables. Si vous trouvez ma définition trop radicale, je vous inviterais à vous demander dans quel genre de société on vivrait si on n'avait pas le droit d'exercer un certain contrôle sur l'information qui nous concerne : sur la manière dont les données sont recueillies, utilisées et communiquées par nos concitoyens.

Nous avons eu suffisamment d'expérience durant le siècle le plus tumultueux que l'humanité ait connu, où le droit le plus fondamental, soit celui de contrôler sa vie, a été bafoué sur la plus grande partie de la terre, avec les conséquences les plus tragiques qu'on puisse imaginer.

Il ne s'agit pas ici simplement d'une chose qui fait l'affaire des entreprises, ou à l'inverse d'une chose qui dérange les bureaucrates dans l'exécution de leurs tâches : l'enjeu est de préserver une société convenable. Cela, il ne faut pas l'oublier.

Je tenais à le souligner, car il y a parmi vous un bon nombre de fonctionnaires, dont plusieurs probablement sont chargés de coordonner l'accès à l'information et la protection des renseignements personnels au sein de leur ministère. Vous êtes des éclaireurs qui sont sur la ligne de front d'une bataille qui va durer tant que vous vivrez et que vous travaillerez dans ce domaine, que ce soit au gouvernement ou en entreprise. Je félicite ceux qui saisissent l'ampleur des enjeux, qui y croient et qui vont lutter pour l'idée.

Ce n'est pas chose facile et j'espère que les gens d'affaires ici présents me pardonneront si je parle quelques instants de la bureaucratie fédérale. Ce n'est pas facile de travailler dans le domaine de l'accès à l'information et de la protection des renseignements personnels au gouvernement du Canada. Trop souvent, certains gestionnaires y voient une entrave à leur droit de faire les choses comme ils l'entendent. Vous êtes donc un rouage entre l'entité gouvernée et l'entité gouvernante. Si vous prenez votre travail au sérieux, si vous travaillez fort, vous aurez rendu un des services les plus nobles qui soient au sein de la fonction publique, savoir : veiller à la protection et au respect des droits des citoyens, ceux-là même qui paient votre salaire, qui forment l'élément fondamental de notre société. Vous avez une mission très importante à remplir et je vous souhaite les meilleurs succès qui soient.

Revenons maintenant au cour du sujet. Je sais que ce n'est pas facile d'aborder un sujet aussi sérieux un lundi matin, mais je ferai de mon mieux pour ne pas vous endormir !

Le projet de loi C-6, dont l'étude au Parlement en est, je l'espère, au stade final, devrait bientôt avoir force de loi. Il a été adopté par la Chambre des communes et le Sénat avant l'ajournement de Noël. Le Sénat lui a accolé un amendement, il est de retour à la Chambre et tout porte à croire qu'il sera sanctionné par le Parlement avant l'ajournement de l'été et qu'il entrera en vigueur avant la fin de l'année.

Je suis partiellement satisfait du projet de loi C-6. C'est certainement le texte de loi le plus important à avoir été voté au Canada au sujet de la protection des renseignements personnels, du moins depuis la création du Commissariat à la protection de la vie privée et l'adoption de la Loi sur la protection des renseignements personnels il y a une quinzaine d'années de cela, parce qu'il avance l'idée que le respect du droit du citoyen de contrôler ses données personnelles n'est pas seulement l'affaire du gouvernement. C'est une responssbilité qui doit être partagée par l'ensemble de la collectivité, et notamment par les entreprises. Je l'ai déjà dit, ce projet de loi est un « petit miracle », parce qu'en Amérique du Nord notamment, les pressions pour contrer ce genre de mesure législative ont été très fortes dès le départ, en raison du contexte essentiellement antiréglementaire qui persiste depuis un bon moment, non sans raison peut-être.

Lorsque j'ai commencé à promouvoir l'idée d'assujettir le secteur privé aux lois fédérales, je ne pensais pas que nos chances seraient très bonnes. Dans une certaine mesure, l'essor fulgurant de l'informatique avec ses implications sur l'entreprise privée - quand on sait que le commerce sur Internet devrait atteindre les billions de dollars d'ici quelques années seulement - nous a peut-être donné un coup de pouce. Si tel est le cas, tant mieux. Maintenant que c'est arrivé, le « petit mirable » s'est produit.

Le projet de loi présente certaines cararctéristiques intéressantes. Il s'agit probablement du premier texte de loi rédigé non pas par des avocats du ministère de la Justice, ni par des bureaucrates, mais par des gens d'affaires qui se sont regroupés sous l'égide de l'Association canadienne de normalisation, la CSA, il y a six ou sept ans en vue de rédiger un code type sur la protection des renseignements personnels, lequel, pensaient-ils, serait applicable à tous les membres désireux de faire homologuer leurs produits ou services par la CSA.

Le projet de loi C-6 se résume essentiellement à ce code auquel s'ajoutent quelques lignes qui disent que c'est votre projet de loi, que vous en êtes les artisans. Maintenant, voyons, chers amis, comment vous allez l'appliquer.

Sauf tout le respect que je dois aux gens d'affaires, je me suis parfois demandé si ce qui les a motivés à rédiger ce code n'est pas qu'ils pensaient ainsi gagner du temps, convaincus qu'il ne serait jamais mis en oeuvre. On pourrait presque dire, comme certains l'ont fait, qu'ils ont mal jugé leur coup. J'aurais plutôt tendance à penser qu'ils savaient ce qu'ils faisaient et qu'ils ont sagement décidé, puisqu'ils en avaient encore l'occasion, de participer à l'élaboration de moyens pour relever les défis qui se pointent à l'aube de l'an 2000.

Ce projet de loi n'est pas parfait ; d'après ses promoteurs, un de ses grands mérites est qu'il constitue un compromis délicat - c'est l'expression qu'ils ont employée - entre l'intention du législateur et les besoins du secteur privé. J'accepte pour ma part cette définition. Ceux qui ont pris le temps de lire l'annexe 1 du projet de loi, qui est essentiellement le Code de la CSA, verront qu'elle offre amplement l'occasion aux avocats et conseillers des entreprises de s'occuper et d'enrichir leurs cabinets si jamais les entreprises commettaient la grave erreur, ce que je ne souhaite pas, de voir dans ce code une simple question de droit, au lieu d'y voir d'abord et avant tout une occasion de développer leurs affaires.

Je demanderais aux fonctionnaires ici présents de bien vouloir m'accorder quelques instants pour m'adresser aux gens d'affaires. Ce que le projet de loi C-6 représente et ce que l'époque où nous vivons exige, c'est que les entreprises considèrent la protection des renseignements personnels comme une balise sur la voie de l'évolution de la société, qui rappelle que vous devez élargir vos vues sur la question et entretenir une attitude différente face à l'approche de votre travail.

Le projet de loi C-6 devrait leur faire prendre conscience que leurs clients, les gens avec qui ils font affaire, ne sont pas que des clients mais des partenaires en quelque sorte. Ils sont plus qu'une simple matière première essentielle : ils sont l'essence même des affaires. Ce qu'ils apportent à l'entreprise, c'est l'information sans laquelle elle ne peut fonctionner. Une information qui, dans un sens très particulier, n'appartient ni n'appartiendra jamais à l'entreprise.

Cette ressource reste la propriété de ceux qui l'alimentent par leurs propres données personnelles. C'est donc quelque chose qu'il faut chérir, traiter avec le plus grand soin et le plus grand respect. Si l'information est traitée dans les règles de l'art, l'entreprise ne s'en portera que mieux. Car croyez-moi, avant que dix autres années passent et qu'un autre commissaire se présente ici devant vous, je parie que les entreprises qui sauront imposer le plus grand respect et recevront les plus beaux éloges des citoyens de ce pays, de ce continent et du monde entier, sont celles qui auront montré qu'elles ont bien compris le message, qu'elles en ont fait leur credo et qu'elles ont révisé leurs pratiques commerciales en conséquence.

Quelle est dans tout cela l'attitude du commissaire à la protection de la vie privée du Canada – Je ne me suis jamais considéré comme quelqu'un qui saupoudre les blâmes. Le pire ennemi de la protection de la vie privée - une expression qui ne rend pas justice à un droit humain plus global - a toujours été l'ignorance. La simple ignorance.

J'ai constaté à maintes reprises dans nos négociations avec la fonction publique que si les choses vont mal, 90 % du temps c'est que les gens ne comprennent pas et n'ont pas pleinement embrassé la culture de la protection de la vie privée, n'ont pas sérieusement réfléchi à ce que cela signifie.

Il m'a été donné de voir très peu d'exemples où des personnes ont, en toute connaissance de cause, enfreint ou contourné la Loi sur la protection des renseignements personnels. Il en est de même des citoyens en général avec qui j'ai été en contact. Et pourquoi en serait-il autrement – La protection de la vie privée est un droit civil et humain fondamental. Comme pour la plupart des autres droits civils et humains, les gens ont tendance à ne pas trop s'y intéresser tant qu'ils ne sont personnellement concernés.

Le projet de loi C-6 concerne la protection de la vie privée et s'intéresse aux choses qui l'entravent et que vous ne connaissez pas, principalement parce qu'il y a un voile bureaucratique ou un voile commercial qui recouvre presque toutes les pratiques. Néanmoins, il survient des atteintes et chaque sondage révèle que les citoyens en général sont inquiets de ce qui se passe autour d'eux, car ils sont tenus dans l'ignorance. Grâce à une disposition du projet de loi C-6 qui porte sur le mandat d'éducation, nous allons pouvoir éliminer l'ignorance. J'estime qu'une société plus transparente et mieux informée nous serait d'une grande aide à cet égard.

Quelle est l'attitude du Commissariat vis-à-vis de ce phénomène – Sauf le respect que je dois à la communauté des affaires, je dirais que c'est la même que nous avons toujours adoptée dans nos négociations avec la bureaucratie fédérale : ne pas chercher à jeter le blâme, trouver les problèmes et tenter de les corriger.

Aussi la première tâche qui attend le Commissariat à la protection de la vie privée, une fois le projet de loi adopté, sera-t-elle de rencontrer les représentants du secteur privé, les entreprises et les établissements à charte fédérale - comme les banques et les transporteurs - afin de discuter de leurs problèmes, de voir où l'on peut trouver un terrain d'entente afin qu'ils comprennent quelles sont leurs obligations, quels sont les véritables enjeux et, surtout, qu'ils nous fassent part de leurs problèmes.

Le succès ou l'échec des opportunités uniques fournies par le projet de loi C-6 sera mesuré non pas à l'aune du nombre de personnes trouvées en faute et portées « au bûcher », mais plutôt en fonction du lent et patient processus de correction et d'adaptation des systèmes entrepris dans le but de respecter les nouvelles obligations. Tant que le commissaire - que ce soit moi ou mon remplaçant - adoptera cette attitude de surveillance ou de contrôle, je suis sûr que le projet de loi sera un succès.

Je tiens à rappeler que si quelqu'un du milieu des affaires ici présent désire s'entretenir avec le Commissariat, notre porte lui est grande ouverte. Nous désirons vous parler tout autant que vous désirez nous parler. Nous avons beaucoup à apprendre l'un de l'autre. L'idée n'est pas d'entraver la bonne marche des entreprises, ni de les harceler, mais bien de les aider à améliorer leur sort, rien de plus. Je sais que vous avez déjà entendu ce refrain chez des personnes qui se trouvent dans une position similaire à la mienne. Tout ce que je peux dire, c'est : faites l'essai.

Il y a de nombreux fonctionnaires dans la salle qui travaillent avec la Loi sur la protection des renseignements personnels et j'ai de bonnes nouvelles pour vous. Cette loi existe depuis une quinzaine d'années. Ce n'est pas une mauvaise loi, elle a été utile en son temps, mais elle comporte de nombreuses lacunes. Je sais que tout ce que vous désirez, c'est de vous farcir la lecture d'une nouvelle loi, de la digérer puis de l'appliquer. Vous en avez déjà une, le projet de loi C-6, sauf qu'elle serait de moindre intérêt pour vous que pour les gens d'affaires ici présents.

La Loi sur la protection des renseignements personnels a montré, surtout depuis trois ans, qu'elle doit être mise à jour de toute urgence. Une des principales lacunes de cette loi, c'est que, selon moi, elle ne jouit d'aucune primauté dans le recueil de lois du Canada. Elle est facilement - et fréquemment - contournée par des fonctionnaires et des bureaucrates imaginatifs. Elle comporte même des mécanismes qui ont permis, depuis quinze ans, à des bureaucrates de recueillir beaucoup plus de renseignements personnels que nécessaire, dont ils ont la garde et la responsabilité et qui s'en servent à des fins non prévues par la Loi. C'est cette situation qu'il faut changer.

Nous croyons qu'il faut modifier la Loi de manière qu'il soit établi clairement qu'elle a la primauté sur toutes les autres lois régissant la collecte, l'utilisation et la communication des renseignements personnels. C'est l'essence même d'une telle loi. Elle doit également actualiser la définition des renseignements personnels. Selon la loi actuelle, il s'agit de données concernant le dossier d'une personne identifiable, sous quelque forme que ce soit. Cette définition ne tient pas compte de la réalité actuelle du monde. Elle ne tient pas compte d'activités qui peuvent empiéter sur la vie privée des gens, comme la surveillance électronique en temps réel et la collecte d'échantillons biologiques. Le projet de loi C-6 ne se limite pas aux renseignements consignés, et la Loi sur la protection des renseignements personnels ne le devrait pas non plus.

Il est intéressant de noter que le gouvernement a présenté au Parlement une loi qui, à certains égards, impose des obligations au secteur privé qu'il ne s'est pas imposées à lui-même. Par exemple, en vertu de la Loi sur la protection des renseignements personnels, le seul recours aux tribunaux qu'a une personne s'estimant lésée concerne la question limitée de l'accès à l'information. L'utilisation, la communication et la collecte de renseignements vont au-delà des prérogatives des tribunaux. Ce qui n'est pas vrai du projet de loi C-6. Non seulement celui-ci permet l'accès aux tribunaux sur toutes ces questions, mais il établit un régime où la Cour fédérale peut, si elle le désire, fixer des dommages-intérêts. Je pense qu'avant longtemps, les gens vont constater que le gouvernement ne dira plus aux milieux d'affaires : « Vous devez faire mieux que nous ». Les rôles s'en trouvent inversés en quelque sorte. Le gouvernement devrait s'imposer les normes les plus rigoureuses qui soient concernant la protection et le respect des droits de la personne et ne pas se contenter d'arriver en deuxième position après la communauté des affaires. C'est cela qu'il faut changer.

Nous avons fait un examen de notre projet de loi. Il en est au stade final et très bientôt, il sera entre les mains des fonctionnaires et de la population en général. Nous y avons apporté une centaine d'amendements. Je suis sûr que cette nouvelle vous réjouira et qu'elle réjouira aussi le ministère de la Justice qui devra le lire. Nous faisons une ou deux recommandations qui touchent directement les droits des fonctionnaires fédéraux. Même si nous avons tenté une ou deux fois par la voie des tribunaux d'obtenir une meilleure définition, l'ambiguïté demeure. Par exemple, les évaluations de rendement des fonctionnaires devraient-elles être mises à la disposition du public – La logique de tels arguments - qui sont défendus par bien des partisans de l'accès à l'information, dont je suis mais que je n'appuie pas - repose sur le droit du public d'être informé et le besoin de transparence et de responsabilisation du gouvernement.

Nous pensons que les renseignements concernant les fonctionnaires devraient faire partie de la catégorie « divulgation autorisée », c'est-à-dire qu'il faudrait, avant qu'un ministère ne puisse divulguer ce type de renseignement, vous donner le droit, moyennant préavis, de contester cette divulgation. Si la Loi sur l'accès à l'information par exemple permet à une entreprise de contester la divulgation de renseignements concernant ses activités et que celle-ci obtient un préavis signifiant l'existence d'une demande de divulgation, ne faudrait-il pas que le même droit s'applique aux employés du gouvernement fédéral – En ce qui me concerne, je suis de cet avis.

J'aimerais enfin aborder la question du couplage des données, une véritable épine aux pieds du Commissariat à la protection de la vie privée. La directive qui régit le couplage des données au Gouvernement du Canada, en vigueur depuis 1989, est une simple directive du Conseil du Trésor qui n'a pas force de loi.

Je soupçonne, et j'ai de bonnes raisons d'entretenir un tel soupçon, que le couplage des données est beaucoup plus fréquent qu'on ne le laisse croire au Commissariat. Pour ceux d'entre vous qui ont quelque chose à voir avec le couplage, rappelez-vous que la directive du Conseil du Trésor stipule que tout projet de couplage de données doit être porté à la connaissance du commissaire à la protection de la vie privée. Nous ne pouvons pas l'empêcher, mais vous êtes tenus de nous en faire part et de nous demander ce que nous en pensons.

L'une des raisons à cela, c'est peut-être le manque de clarté de la définiton du couplage des données que donne la directive du Conseil du Trésor. Le couplage des données suscite des questions très importantes relativement à la vie privée. Notamment, il bafoue presque chaque fois un des principes fondamentaux du respect de la vie privée, qui veut que l'information ne serve qu'aux fins pour lesquelles elle a été recueillie au départ. Nous recommandons justement que la Loi définisse plus clairement le couplage des données et qu'elle établisse des règles pour évaluer les futurs projets de couplage de données.

L'incidence du couplage des données sur la vie privée est abondamment illustrée dans ce que nous appelons au Commissariat la cause « E-311 ». Certains d'entre vous savent peut-être de quoi il s'agit. On se rappellera que Douanes Canada communiquait à Développement des ressources humaines des données contenues dans la formule de déclaration E-311 que tout voyageur canadien doit remplir lorsqu'il rentre au Canada, et ce pour que ce dernier puisse contrôler son programme d'assurance-emploi, afin de vérifier qui était hors du pays pendant qu'il touchait des prestations.

La Cour fédérale a renversé une décision d'un tribunal inférieur selon laquelle la communication de ces données n'était pas autorisée par la loi. Nous comprenons les motifs de DRHC, mais nous pensons que l'ampleur du couplage des données est tout à fait disproportionnée par rapport à la gravité du problème ; je crains toutefois que la décision de la Cour fédérale n'ouvre la voie à une véritable « expédition de pêche » pour le couplage des données, car c'est exactement de quoi il s'agissait dans la cause E-311 : on parcourait les dossiers de centaines de milliers de personnes qui, en toute innocence et en tant que citoyens responsables, ont confié leurs données personnelles au Gouvernement du Canada sur leur mobilité en application de la législation sur les droits et tarifs douaniers, alors que DRHC s'empare de tous ces dossiers pour voir s'il n'y aurait pas certaines personnes de DHRC ici, certains prestataires là. Une véritable expédition de pêche, vous dis-je.

La Cour d'appel fédérale ne trouve donc rien à redire de ces expéditions de pêche. Nous regrettons cette décision, et nous pesons bien nos mots. Bien sûr, nous n'avons d'autre choix que d'en appeler à la Cour suprême. Quel que soit le sort que celle-ci lui réservera, cela montre clairement les graves lacunes de la Loi sur la protection des renseignements personnels. Il faudra y remédier. Nous soumettrons incessamment un certain nombre de modifications en ce sens au ministère de la Justice.

J'arrête là mon sermon pour ce matin. Je voulais juste dresser un bilan de la situation, vous souhaiter bonne chance, vous remercier encore une fois de l'intérêt manifeste que beaucoup d'entre vous portez à la question. Nous avons fait salle comble ce matin. Vous faites un travail parmi les plus importants qu'on puisse avoir le privilège de faire dans ce pays. Vous vous portez à la défense des droits de vos concitoyens. Bonne chance à tous encore une fois et merci de votre attention.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :