Programme de réforme pour la protection de la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Accès 1995

Le 24 avril 1995

Bruce Phillips
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)


Quand on m'a demandé de venir prononcer l'allocation d'ouverture de la conférence, j'ai pensé qu'il me suffirait de dire quelques mots pour souhaiter la bienvenue aux vétérans et pour encourager les recrues avant de passer le plus vite possible à la table du café et des pâtisseries.

J'aurais dû me méfier. Tom Riley sait comment me présenter un sujet tentant. Le thème qu'il a choisi pour la conférence, c'est L'accès à l'information et la protection de la vie privée: Un programme de réforme.

Je ne dirai rien sur la réforme de la Loi sur l'accès à l'information, bien entendu. Par contre, où pourrais-je bien commencer sur la réforme de la protection des renseignements personnels. Franchement, il nous faut plus qu'une réforme; nous avons plutôt besoin d'une révolution.

Nous sommes à l'âge de l'Internet, des systèmes de transport intelligents, des données de positionnement géographique, des réseaux de soins de santé électronique, des analyses de l'ADN, des puces ultraperformantes, des pirates et autres intrus. Pour que la notion de vie privée puisse survivre, il faudra aller bien au-delà des petites modifications marginales de la loi fédérale et, au risque d'offenser mes homologues provinciaux, des lois provinciales sur la protection des renseignements personnels.

Je ne voudrais pas qu'on répète beaucoup ce que je vais vous dire, car il n'est pas bien vu de faire des éloges au gouvernement, mais le fait est que la Loi sur la protection des renseignements personnels n'est pas un si mauvais instrument, compte tenu de son objectif, qui consiste à protéger les données détenues par les bureaucrates fédéraux d'Ottawa.

Néanmoins, il faudrait se bercer d'illusions pour croire que cette approche va suffire à protéger notre vie privée à l'aube du prochain millénaire. Je suis tenté de me demander de quelle vie privée nous parlons. Nous n'avions déjà plus de vie privée avant d'arriver sur l'autoroute de l'information, ou encore de nous trouver au point où les forgeurs de clichés disent que nous sommes rendus.

Dans son livre intitulé The Twilight of Sovereignty, Walter Wriston a décrit l'évolution que les techniques d'information ont connue au cours des dernières décennies. Il l'a compare à celle de la voiture six passagers qui était la norme au début de cette période. Selon lui, pour avoir eu une évolution comparable, l'automobile devrait être capable d'accueillir 600 passagers, de rouler en toute sécurité à 5500 milles à l'heure et de parcourir 2600 milles au gallon tout en coûtant le même prix et en étant de la même grosseur que la berline typique des années 60.

Et ce n'est pas tout. L'explosion de la technologie de l'information a de plus en plus favorisé celle de la grande entreprise, en raison de la valeur accordée à l'information qu'elle génère. Aujourd'hui, Microsoft vaut plus que General Motors. Au Canada seulement, les entreprises du secteur de l'information ont un chiffre d'affaires d'environ 45 milliards de dollars par année et un effectif de plus de 300 000 employés. Les gouvernements, les banques, les pharmacies et les compagnies de télémarketing se servent de leurs produits et de leurs services modernes. D'ici à 2005, on s'attend à ce que leur chiffre d'affaires et leur effectif doublent : nous parlons de 90 milliards de dollars et de 600 000 Canadiens.

Nous vivons dans ce climat électronique qui est parfois dur et inflexible, mais beaucoup d'entre nous doivent s'y plonger pour essayer de protéger le droit fondamental à la vie privée de chacun de nous.

Il n'y a pas si longtemps, des fonctionnaires ont fait une démonstration privée d'un nouveau système d'information géographique (SIG). En couplant leur programme avec une base de données municipale qu'ils avaient obtenue légalement, ils ont réussi à situer la résidence de tous les habitants d'une ville de l'Ouest du pays qui étaient propriétaires d'un pit-bull enregistré. Tous étaient concentrés dans un quartier de gens à faible revenu.

Ceux qui jugent exagérées nos plaintes en matière de vie privée, s'écrieront peut-être: "Et après – Quelle importance cela peut-il avoir qu'on sache de quelle race est votre chien ?" Ils n'ont rien compris. Si nous perdons le contrôle de ce genre d'information ou, pire encore, du nom de nos enfants, de leur dossier scolaire ou de nos opérations financières, de nos dossiers médicaux et de notre fiche de consommation de médicaments d'ordonnance, ou encore des résultats de nos analyses génétiques, nous serons vulnérables à des abus sous tous ces aspects. En outre, et c'est peut-être plus important encore, nous perdrons le contrôle de nos vies et, partant, un autre lambeau de notre dignité individuelle.

En vingt ans à peine, des millénaires d'expérience humaine ont été réduits à néant. Il n'y a plus aucun frein. Des éléments qui sont désormais ancrés presque génétiquement dans nos relations avec autrui sont mis de côté et considérés en fonction de ce que la technologie peut faire, plutôt que de ce que nous devrions faire. Si nous renonçons à nous respecter mutuellement en tant qu'individus ayant tous nos propres convictions et nos propres valeurs, en nous traitant simplement comme des sujets de données, nous nous mettrons vraiment au diapason du monde orwellien.

Autrement dit, nous devons commencer par réformer les attitudes. Nous devons cesser d'être obnubilés par la puissance, la vitesse et l'efficience des outils informatiques, en nous rappelant qu'ils sont en définitive seulement des outils. Avoir la capacité de surveiller constamment et son prochain et ses données ne justifie pas qu'on le fasse. Il nous faut reconquérir le contrôle et rappeler aux créateurs et aux utilisateurs de ces systèmes que l'être humain n'est pas un animal de laboratoire.

Nous devons aussi accepter une plus grande responsabilité à l'égard des systèmes que nous mettons en place. Dans son ouvrage stimulant intitulé Information Warfare, Winn Schartau déclare qu'il n'y aura plus de données électroniques confidentielles dans le nouvel ordre mondial. Tout ce que nous faisons sera emmagasiné quelque part dans un répertoire numérique. Les documents qui nous définissent en tant qu'individus, nos dossiers médicaux, nos relevés de transactions financières, nos choix de lectures et de films ou de vidéos et nos communications interpersonnelles ne seront plus protégés; ils pourront être modifiés à dessein pour nous nuire, communiqués sans notre autorisation, voire carrément détruits.

Aujourd'hui, les intrus ont appris comment pénétrer les défenses perfectionnées et pirater les systèmes informatiques reliés à l'Internet. D'après la US Computer Emergency Response Team, ils peuvent avoir accès aux documents les mieux protégés qui soient, puis copier, détruire ou endommager les données en se faisant passer pour des utilisateurs autorisés.

Certains d'entre vous n'ont peut-être pas encore entendu l'anecdote que je vais vous conter. Le ministère de la Défense des États-Unis est la source de cet exemple frappant. Le commandant de la US Defence Information Systems Agency a vérifié la sécurité de ses systèmes en lançant des équipes de tigres à l'assaut de 9000 systèmes informatiques de la Défense. Les équipes ont pénétré 88% des systèmes visés, et 96% de leurs pénétrations n'ont pas été détectées. Le personnel de la Défense n'a pris des mesures que dans 5% des pénétrations détectées, qui ne représentaient que 4% du total, et personne n'a tenté d'empêcher le problème de se reproduire. Bref, sur 9000 tentatives de pénétration, le personnel de la Défense n'a réagi que dans 16 cas, sans jamais prendre de mesures concrètes de protection.

Le commandant de l'Agence a, par ailleurs, déclaré lors d'une conférence récente, sans pouvoir le confirmer, que le FBI aurait fait une vérification analogue et que, dans son cas, les intrus auraient réussi à pénétrer 95% des systèmes.

Ces systèmes-là sont parmi les mieux protégés des États-Unis. On s'attendrait à ce qu'ils bénéficient des meilleurs blindages possibles. Dans ces conditions, quelle chance de résister aux pirates ont les nouveaux systèmes fusionnés de télécommunications par câble et par téléphone, l'Internet, le nouveau réseau de soins de santé que le Manitoba se propose de créer ou le système Pharmanet de la Colombie-Britannique ?

Plutôt que d'être traité d'idiot, le ministère de la Défense des États-Unis devrait être félicité pour sa franchise. Malheureusement, bien peu d'organisations sont disposées à parler si franchement de leurs problèmes de sécurité et de la pénétration de leurs systèmes. Elles risqueraient d'être embarrassées, voire de perdre la confiance de leurs clients et de leurs actionnaires.

Pourtant, en dépit de toutes les preuves qui s'accumulent, les entreprises semblent vouloir jouer les autruches. Un sondage récent a révélé que plus de la moitié des sociétés nord-américaines avaient subi des pertes financières attribuables à la technologie informatique au cours des deux dernières années. Néanmoins, 22% seulement des répondants ont déclaré que la direction de leur entreprise considérait la sécurité de l'information comme « extrêmement importante ». Et c'est d'informations financières qu'il s'agit! Quelle importance ces gens-là accorderaient-ils aux renseignements personnels concernant leurs clients – Il n'est donc pas étonnant que les consommateurs s'inquiètent.

Enfin, nous allons devoir réformer notre stratégie de protection de nos intérêts personnels. Actuellement, nous avons quelques petites protections ici et là, avec une pléthore de bonnes intentions, mais des trous béants un peu partout. Quand je dis ça, je ne parle pas seulement de la Loi sur la protection des renseignements personnels: je parle des façons de la loi de protéger ou de ne pas protéger toutes nos communications.

Je suis sûr que certains d'entre vous doivent se servir de l'Internet. Pour ma part, je suis assez nul à cet égard; ma principale concession à l'électronique, c'est d'avoir fini par me servir d'une IBM Selectric. Cela dit, ceux d'entre vous qui exploitent au maximum les possibilités de l'électronique se demandent-ils qui épie et surveille leurs communications ?

À Ottawa, j'ai lu récemment dans le journal l'histoire d'un vendeur d'automobiles de 49 ans qui avait eu des démêlés avec la justice; il avait été libéré sur parole. Dans l'article, on disait qu'il vivait seul, qu'il avait un ordinateur et qu'il était abonné à l'Internet. Il passait ses soirées à jouer sur le réseau. Son voisin était un collectionneur d'armes à feu antiques (pas des armes du genre de celles que M. Rock veut bannir).

Pour rendre service à son voisin, notre homme a fait passer un message sur le réseau pour obtenir des précisions sur une exposition d'armes à feu antiques dans une ville des États-Unis qui avait fait l'objet d'une annonce à l'Internet. Deux jours après, des policiers sont arrivés à sa porte en lui disant qu'ils avaient vu son nom sur l'Internet et qu'il avait dû enfreindre les conditions de sa libération sur parole, parce qu'il était allé aux États-Unis. Ils l'ont emmené au poste. Quand la police a fini par tirer l'affaire au clair, en constatant qu'il n'avait pas franchi la frontière, qu'il avait respecté les conditions prescrites et qu'il n'avait pas l'intention d'acheter des armes à feu, il avait passé trois semaines en prison. À sa sortie, le pauvre diable a appris qu'on l'avait congédié.

Nous devons nous demander si les gouvernements devraient chercher à contrôler les groupes qui font passer des nouvelles sur l'Internet, et, dans la négative, comment on pourrait mettre fin à ces activités. Pensez à la législation sur les tables d'écoute. Il n'y a aucune raison technique qui empêche la police de relier tous les fils téléphoniques du pays à des tables d'écoute; elles ne le font pas parce que la loi l'interdit. Je pense que nous devrions adopter la même approche en ce qui concerne l'Internet et les autres systèmes de communication par ordinateur et de transmission. Pourquoi pas ?

Il y a un autre danger, dans ce contexte. Certains d'entre vous connaissez peut-être l'interface Clipper, la micropuce électronique conçue pour le nouveau matériel de télécommunication numérique, particulièrement les téléphones. Cette puce aurait codé les messages en les rendant inintelligibles pour quiconque sauf le destinataire désiré. Ce n'était peut-être pas une mauvaise idée, compte tenu de certaines des expériences que les téléphones cellulaires nous ont fait vivre...

L'introduction de la micropuce a déclenché un débat explosif sur l'opportunité d'autoriser les organismes du gouvernement des États-Unis a avoir un mécanisme d'accès qui leur permettrait de décoder les communications électroniques. Le gouvernement alléguait qu'il lui fallait cette capacité pour combattre efficacement le terrorisme, le trafic de la drogue et le crime organisé. Il a déclaré qu'il était déjà capable de mettre les téléphones sur des tables d'écoute, de sorte qu'il ne voyait pas pourquoi il devrait lui être interdit d'enregistrer les communications électroniques codées. Il semble que l'idée ait fini par être abandonnée en raison de l'énorme opposition qu'elle avait suscitée.

J'avoue être incapable de répondre d'emblée à la question de savoir où tracer la ligne, mais il est certain que ce débat révèle à quel point nous avons besoin d'un débat public informé sur ces notions, parce qu'il s'agit là d'un problème typique des solutions de compromis que nous devons envisager pour composer avec l'impact des télécommunications modernes et de la technologie de l'informatique sur des systèmes de valeurs qu'il nous a fallu des siècles à établir et dont nous avons pris l'habitude de nous inspirer. Nous devons nous rappeler que la vie privée, l'un des éléments absolument fondamentaux de la liberté humaine, est plus qu'un simple pion dans ce genre de partie.

Pensons à l'impact cumulatif ne serait-ce que d'une poignée des techniques de surveillance qui se sont développées au cours des dix dernières années. Aujourd'hui, il n'y a pas moyen de marcher dans certaines des rues de notre pays sans qu'une caméra ne nous suive, nous, des citoyens ordinaires, respectueux des lois... afin bien entendu de contribuer à contrôler les voyous. Il n'y a plus moyen d'entrer dans une banque ou de se servir d'un guichet automatique sans être surveillé par une caméra; dans certaines usines, la caméra nous suit même aux toilettes.

Aujourd'hui, il n'y a même plus moyen de prendre la 401 pour aller de Kingston à Toronto sans échapper à la vigilance des dispositifs autoradar. Je le sais, parce que ça m'a coûté cent sept dollars.

D'ici peu, on commencera à nous demander de produire notre carte génétique. C'est déjà arrivé à certains endroits des États-Unis. Le secteur de l'assurance s'intéresse particulièrement à ce genre d'information, qui l'aiderait énormément à préciser ses calculs d'établissement des primes. En fait, il y a déjà dans notre pays des organisations où il est impossible d'obtenir un rendez-vous au bureau du personnel à moins d'être disposé à permettre à quelqu'un de nous soumettre un test de dépistage des drogues.

Bien sûr, chacune de ces intrusions a sa propre justification: "Ça contribue à empêcher les excès de vitesse", "les durs du quartier vont cesser de se battre dans la rue devant le bar, parce qu'on pourrait les identifier", ou encore, de dire le contremaître de l'usine, "c'est sûr qu'ils ne passeront pas leur temps à fumer aux toilettes, parce que je pourrais les voir faire". Et pourtant, quand on combine tout cela, il est bien évident que nous sommes rendus à ce que le commissaire David Flaherty, de la Colombie-Britannique, a qualifié dans l'une des litotes du siècle de société de la surveillance.

Autrement dit, nous allons devoir réformer une législation absolument incapable de remédier au problème. Nous avons un Code criminel, des mesures législatives de portée limitée pour lutter contre le crime informatique, une Loi fédérale sur la protection des renseignements personnels applicable aux fonds de renseignements fédéraux et quelques lois provinciales visant les équivalents provinciaux. Nous avons aussi une loi québécoise pour laquelle nous pouvons remercier Dieu, car les Québécois sont des gens courageux qui ont étendu la portée de la leur loi sur la protection des renseignements personnels à toute l'activité commerciale de la province. Le Québec est la seule province à s'être donné cette protection.

Quand la législature du Québec a étudié ce projet de loi-là, on a fait énormément de lobbying pour empêcher la loi provinciale sur la protection des renseignements personnels de s'appliquer à l'entreprise privée. On a dit que le ciel allait tomber, que l'activité commerciale allait cesser, que la province serait paralysée et que tout ne serait plus que noirceur.

Eh bien, rien de tout cela ne s'est produit. Le Québec continue à fonctionner. Il partage les hauts et les bas de l'économie canadienne comme si de rien n'était. Nous observons tous l'expérience québécoise avec intérêt, car je pense qu'elle a largement calmé l'entreprise privée, qui craignait que les mesures de protection de la vie privée ne nuisent énormément à l'activité commerciale.

Quelle orientation devons-nous prendre dans nos réformes – Certains d'entre vous savent que j'avais espéré faire ajouter à la Charte une déclaration de principe sur le droit à la vie privée qui irait au-delà de l'interprétation que les tribunaux ont donnée à l'article 8 sur la protection contre les fouilles et les saisies abusives. Je n'ai pas obtenu gain de cause. Néanmoins, le juge Sopinka a récemment déclaré que "...la Charte ne s'applique qu'aux mesures gouvernementales et que, comme une grande partie du monde des communications électroniques est contrôlé par le secteur privé et qu'il échappe à toute réglementation gouvernementale, la Charte est peut-être un instrument inefficace....".

À cet égard, la difficulté est de taille: aucun de nos instruments juridiques n'est particulièrement bien adapté au nouvel environnement électronique en général et à l'autoroute de l'information en particulier. Quand ils ont force de loi, ce qui n'est pas toujours le cas, ils ne s'appliquent pas au secteur privé. La Charte ne vaut que pour les mesures gouvernementales, et la Loi sur la protection des renseignements personnels ne vaut que pour les institutions gouvernementales fédérales; les instruments internationaux ne prévoient qu'un respect purement volontaire des principes de protection de la vie privée.

Le défi à relever consiste à adapter tous ces principes traditionnels de protection de la vie privée au nouvel environnement électronique, ainsi qu'à en créer de nouveaux au besoin et à sensibiliser ceux qui travaillent dans le domaine aux impératifs de la vie privée.

Je vais vous décrire certaines des réformes que j'aimerais. Je commence par les réformes applicables au développement de l'autoroute de l'information.

  1. Inciter les concepteurs de l'autoroute à changer d'attitude au sujet de la vie privée, en en faisant une partie intégrante de l'autoroute dont ils devront tenir compte dès le début du processus de conception, jusqu'à la réalisation et à l'évaluation des projets.
  2. Étudier la Loi sur la protection des renseignements personnels et particulièrement son code de pratiques équitables en matière d'information, pour vérifier s'il appelle ou suppose une adaptation au nouvel environnement électronique et un libellé plus explicite, afin qu'on soit sûr de le comprendre et de l'appliquer. Cela soulève certaines questions. Par exemple, faudrait-il traiter les demandes d'accès à l'information d'une façon différente, par suite de l'avènement de l'autoroute – Quel organisme aura le contrôle de l'information sur l'autoroute, ou la notion de contrôle est-elle incompatible avec les documents qu'on y transportera ou qu'on y conservera – Si nous sommes incapables de donner les assurances nécessaires à cet égard, nous devrons modifier la Loi en conséquence.
  3. Faire en sorte que les Canadiens aient suffisamment de contrôle sur les renseignements personnels qui les concernent quand ils sont traités par des systèmes de communications électroniques, grâce aussi bien à la Loi qu'à un autre instrument juridique. Ce contrôle doit exister dès la première communication, ainsi qu'à chaque étape ultérieure dans le réseau. Par exemple, il faut manifestement prévoir des obligations législatives ou contractuelles liées à l'utilisation des renseignements par les autres paliers de gouvernement, par les autres gouvernements et particulièrement par le secteur privé. Une fois que l'information est transmise de ces systèmes dans des bases de données privées, au Canada ou à l'étranger, les personnes concernées doivent avoir des recours contre une communication abusive ou contre une autre utilisation indue des renseignements qui les intéressent.
  4. Soumettre toutes les propositions de nouvelles techniques et de nouveaux services de communication électroniques à une évaluation obligatoire de leurs impacts sur la vie privée. Cette façon de procéder aurait l'avantage non seulement de sensibiliser les fournisseurs de services à la question, mais aussi de contribuer à faire en sorte que les implications des techniques et des services en question soient intégrées à leur conception.
  5. Mettre au point des mesures de sécurité technique afin non seulement de protéger la confidentialité des communications électroniques, mais encore d'offrir à la personne concernée un certain contrôle à cet égard. Certaines applications peuvent accroître la protection des renseignements personnels (c'est le cas par exemple du codage, des bases de données fermées ou fractionnées et du courrier électronique éphémère). Il reste que la façon la plus valable d'utiliser la technologie consiste non pas à accroître la sécurité, mais plutôt à renforcer la capacité de l'individu de contrôler les renseignements personnels qui le concernent.
  6. Créer un mécanisme unique de supervision et de contrôle qui fasse en sorte que les règles du jeu soient respectées et qui serve de moyen de les faire appliquer, d'étudier les plaintes et d'accorder les redressements nécessaires.
  7. Créer un groupe de protection de la vie privée fédéral-provincial-territorial qui serait chargé de procéder à l'examen constant des répercussions pour la vie privée des différentes options (surtout de celles proposées par le secteur privé) et de présenter des recommandations pour que le gouvernement prenne des mesures, soit seul, soit en collaboration avec le secteur privé.

Je suis convaincu que le gouvernement fédéral pourrait faire ce que le Québec a déjà fait en étendant la portée de sa Loi sur la protection des renseignements personnels aux activités commerciales qui relèvent de sa compétence, c'est-à-dire celles des banques, des entreprises de transports et des sociétés de télécommunications. Si ces compagnies étaient assujetties à la loi, il en résulterait des normes de protection de la vie privée applicables aux entreprises nationales qui influent sur la vie de tout le monde. Ce serait utile aussi bien pour sensibiliser le reste d'entre nous au problème que pour persuader les provinces d'agir elles aussi afin d'assurer l'égalité des chances.

Je pense qu'il est de plus en plus manifeste que les entreprises canadiennes craignent moins d'être assujetties à des règles législatives de protection de la vie privée que d'être obligées de respecter des règles appliquées inégalement. Le moment est donc peut-être venu d'envisager l'adoption du code uniforme de protection de la vie privée de l'Association canadienne de normalisation, la CSA, qui a réuni des intérêts très variés pour obtenir un remarquable consensus. Tous les principes fondamentaux de protection de la vie privée sont incorporés dans ce code conçu de façon à pouvoir s'appliquer au secteur privé.

J'avoue quand même être sceptique sous un certain aspect: je ne vois pas comment un système fondé sur le volontariat pourra être vraiment efficace dans ce contexte. Le public a besoin de la confiance et de la crédibilité que seul un mécanisme de surveillance indépendant est capable d'assurer. Néanmoins, ce pourrait être un point de départ. Appelons-le CSA Plus, c'est-à-dire un Code de la CSA officialisé par une loi et doublé d'un mécanisme de surveillance indépendant auquel les Canadiens pourraient s'adresser pour se protéger.

C'est mon programme de réforme de la protection de la vie privée; tout le reste n'est qu'illusion. Si nous abandonnons la partie maintenant, nous abdiquerons complètement nos responsabilités, en renonçant à des valeurs humaines qu'il nous a fallu des siècles à établir.

Merci beaucoup.

Date de modification :