La protection des renseignements personnels à l'ère du numérique

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Allocution du commissaire à la protection de la vie privée du Canada lors de la conférence Access & Privacy 97
Les questions d'information en période de transition

Le 27 janvier 1997
Ottawa (Ontario)

Bruce Phillips
Commissaire à la protection de la vie privée du Canada
(Le texte prononcé fait foi)


Il est franchement difficile pour le commissaire à la protection de la vie privée de décider s'il faut se réjouir ou sombrer dans le désespoir ou encore faire les deux et se faire enfermer dans une cellule capitonnée.

Jamais les nouvelles ont-elles été aussi excitantes et dévastatrices à la fois. Il ne s'agit pas ici de dire si l'on a passé une bonne ou une mauvaise journée. Nous parlons de choisir entre la protection efficace des renseignements personnels à l'ère du numérique ou l'excès de zèle.

Vous pouvez penser que j'exagère, mais ce que j'aimerais faire ce matin, au moment où vous amorcez le programme de la conférence, est de souligner que 1997 représente une année cruciale, non pas seulement pour la loi sur la protection des données circonscrites que nous appelons la Loi sur la protection des renseignements personnels, mais surtout en raison de la valeur que nous appelons la vie privée.

Un dérapage, un moment d'inattention de la part d'un d'entre nous qui nous préoccupons de la question, et je vous compte dans le nombre, et nous risquons de nous retrouver avec seulement une coquille vide.

Je m'explique. Les nouvelles encourageantes comportent deux aspects : le premier, dont certains d'entre vous ont déjà entendu parler, est l'engagement du gouvernement qui espère avoir, « d'ici l'an 2000, une loi qui protégera efficacement les renseignements personnels que détient le secteur privé. » Le ministre de la Justice a annoncé l'initiative à la conférence des commissaires sur les données internationales en septembre. M. Rock a reconnu que l'approche actuelle, soit une législation pour le secteur public et l'autoréglementation pour le secteur privé, était désormais caduque. Les progrès en ordinatique et en technologie de réseautage, combinés à l'évolution du Canada vers une économie axée sur le savoir, signifient que la protection des renseignements personnels ne peut plus dépendre du fait que les données sont détenues par le secteur public ou le secteur privé. Les ministres de la Justice et de l'Industrie sont en train de préparer la législation.

Bonne nouvelle, en effet. Le piège connu qui attend ce projet estimable est la recherche de la perfection. Si j'avais des conseils à formuler à l'endroit des parties, et je suis persuadé qu'elles savaient que j'en aurais, ce serait de reconnaître que nous ne pouvons résoudre tous les problèmes d'un seul coup. Nous ne pouvons espérer rédiger une loi exhaustive, détaillée et complexe comme le font certaines compétences européennes, et je ne crois pas non plus que nous devrions tenter de le faire. La tâche serait tout simplement trop ambitieuse, et nous risquerions d'échouer. Une telle loi pourrait aussi être inadaptée à notre contexte nord-américain.

J'encouragerais les rédacteurs à enchâsser les principes de la protection des renseignements personnels dans la loi, dans les droits d'accès, dans un code équitable d'accès à l'information et à établir les procédures de supervision. Ainsi, le secteur privé pourrait appliquer les principes dans son milieu et rendre ceux-ci fonctionnels. Un organe de supervision indépendant, non conflictuel, comme un protecteur du citoyen, constituerait alors un outil visant à résoudre les conflits et à améliorer la compréhension des principes et de la loi.

Deuxième lueur d'espoir à l'horizon : les travaux ont commencé au sujet de la réforme de la Loi sur la protection des renseignements personnels actuellement en vigueur, dans le but de rafraîchir celle-ci et, espérons-le, de la rendre apte à faire face à l'assaut technologique du présent siècle (et, souhaitons-le, du prochain qui approche à grands pas). Je pense que nous sommes tous conscients qu'il ne s'agit pas d'une priorité absolue au programme du gouvernement et qu'une élection pourrait avoir lieu entre temps. J'applaudis néanmoins le travail accompli et la mobilisation, et je crois que l'issue sera semblablement la même, peu importe le résultat de l'élection : les parlementaires de toutes allégeances peuvent appuyer sans crainte une loi souple et efficace sur la protection des renseignements personnels.

Certes, je m'accroche fermement à l'espoir que cela se produira pendant mon mandat, non pas parce que je commence à penser aux livres d'histoire, comme on dit, mais parce que le temps est venu. La loi en vigueur aura bientôt 14 ans et doit être remaniée en profondeur. Bon nombre des recommandations découlant de l'examen de 1986 n'ont jamais été mises en application et bon nombre d'entre elles sont aussi judicieuses maintenant qu'elles l'étaient à ce moment-là.

Les recommandations comprenaient, par exemple :

  • l'élargissement du champ de compétence à toutes les institutions fédérales, y compris les sociétés d'État, et au secteur privé réglementé par le gouvernement fédéral;
  • l'établissement d'énoncés des incidences sur la protection des renseignements personnels et la transmission au commissaire à la protection de la vie privée de toute nouvelle législation ayant une incidence sur la protection des renseignements personnels, pour examen;
  • l'interdiction de tout couplage de données, sauf les couplages les plus soigneusement circonscrits;
  • des restrictions juridiques quant à l'utilisation du numéro d'assurance sociale.

Toutefois, la loi est maintenant confrontée à un environnement économique, social et technique que le Parlement, les bureaucrates et les défenseurs de la protection des renseignements personnels ne pouvaient même pas imaginer lorsqu'elle a été rédigée en 1982. Nous avons connu un boom économique, une récession et une demi-reprise économique (je dis demi, parce que certains se tirent très bien d'affaire tandis que d'autres survivent à peine).

Cette reprise force les gouvernements de toute allégeance à considérer leurs bilans collectifs d'un oeil froid et critique. Nous sommes probablement tous des contribuables ici et nous pouvons certainement appuyer les initiatives de rationalisation et d'économie. Nous devons tous le faire dans nos propres vies. Mais à mesure que l'économie devient plus chiche et plus mesquine, notre société semble devenir plus inhumaine. Notre engagement dont on a tant fait l'éloge envers les valeurs sociales de soutien mutuel et d'empathie ainsi que notre capacité de permettre une certaine marge de manouvre dans le système afin de protéger nos voisins d'une privation réelle tout en maintenant nos libertés démocratiques semblent être gravement compromis.

Il semble aussi que nous soyons devenus plus craintifs pour notre sécurité, et bon nombre semblent prêts à accepter de vivre une vie plus limitée si cela peut leur garantir une sécurité pour eux-mêmes et leur famille.

Lorsqu'une société soumise à ces pressions se voit offrir une technologie qui promet de « couper dans le gras », d'attraper les tricheurs et de se débarrasser des poids morts, il est très difficile de résister à la tentation. Nous courons un risque : conclure un pacte comme celui de Faust qui pourrait se révéler néfaste non seulement pour la loi fédérale sur la protection des données, mais pour bien d'autres choses. L'issue pourrait s'avérer mortelle pour l'âme de notre société.

Je ne veux pas être un prophète de malheur, car, à l'approche du millénaire, nous entendons déjà assez parler d'apocalypse. Toutefois, je veux que nous considérions non pas seulement les répercussions de certaines des initiatives individuelles, mais aussi la multiplication des répercussions sur nos valeurs sociales.

D'abord, examinons quelques exemples pratiques, notamment le plan du gouvernement fédéral qui consiste à se départir de quelques-uns de ses programmes. C'est en raison des ententes récemment signées avec les provinces que le gouvernement fédéral se retirera de la formation de la main-d'ouvre.

Bien sûr, la décision de transférer ces responsabilités à d'autres compétences n'a rien à voir avec la protection des renseignements personnels. Mais la sécurité future des dossiers personnels et leur accessibilité, si. Des particuliers disposent maintenant d'une protection juridique contre la collecte excessive, l'utilisation à mauvais escient et la divulgation des données. Ils possèdent des droits relatifs à l'accès et à la correction des renseignements à leur sujet et peuvent bénéficier d'une supervision indépendante s'ils croient que quelque chose cloche.

Le transfert de dossiers aux autorités provinciales ne soulève aucune préoccupation lorsqu'il existe une protection comparable, par exemple, en Ontario, au Québec ou en Alberta. Mais ce ne sont pas toutes les provinces qui disposent d'une telle loi. L'Île-du-Prince-Édouard n'en possède pas, et les lois du Manitoba et du Nouveau-Brunswick permettent aux particuliers d'accéder à leur dossier, mais ne parlent pas des questions liées à la collecte, à l'utilisation et à la divulgation impropres, le fondement même de toute loi sur la protection des renseignements personnels. Face aux pressions exercées par les provinces, le gouvernement fédéral peut-il fermer les yeux sur le vide concernant la protection des données et simplement transférer les dossiers – Ou est-il investi d'une responsabilité fiduciaire envers ses citoyens pour garantir la continuité de la protection ?

Un autre facteur à considérer au moment du transfert a trait aux ententes comparables conclues avec quelque 50 bandes autochtones ainsi qu'à la participation d'organismes communautaires et du secteur privé aux programmes de formation. Aucun de ces organismes n'est assujetti à une loi sur la protection des renseignements personnels. Comment ces dossiers seront-ils protégés – De quel droit à l'information les particuliers disposeront-ils – Qui contrôle les dossiers – Nous travaillons avec le Ministère pour trouver des réponses et proposer quelques solutions pratiques.

La commercialisation de plusieurs activités fédérales, NAV CANADA, le Groupe Communications Canada, les aéroports et la voie maritime, entre autres, pose ses propres défis. Un organisme sur le point d'être soustrait à la compétence fédérale est confronté à beaucoup de préoccupations, et la dernière chose dont il s'inquiète sont les données personnelles contenues dans ses dossiers. En fait, certains adoptent même à cet égard la politique de l'autruche. Toutefois, un organisme ne peut pas simplement soustraire la totalité de ses dossiers à la protection de la loi sans d'abord examiner les données que ceux-ci contiennent. Le transfert pourrait équivaloir à la divulgation générale de l'ensemble de ses dossiers personnels.

Notre préoccupation concernant le transfert de NAV CANADA constitue un exemple typique. Pour ceux qui ne connaissent pas le dossier, NAV CANADA est le système de contrôle de la circulation aérienne qui a été dissocié de Transports Canada et transformé en une entreprise sans but lucratif. Lorsqu'il est devenu apparent qu'on n'avait nullement l'intention de continuer d'appliquer la Loi sur la protection des renseignements personnels, nous avons amorcé une vérification pour nous assurer que le ministère des Transports ne transférait que les dossiers personnels nécessaires.

Transports Canada et NAV CANADA n'ont pas tout à fait accueilli notre intervention à bras ouverts, nous soupçonnant, je crois, d'exagérer. Toutefois, la vérification nous a donné raison. Transports Canada a embauché du personnel additionnel et examiné les dossiers. Résultat : on a éliminé près de un million de pages de renseignements personnels périmés, soit 330 boîtes-classeurs ordinaires qui, empilées les unes sur les autres, atteindraient 32 étages. On a retiré des dossiers du personnel les fichiers concernant, notamment, les conflits d'intérêts, la santé et la sécurité au travail ainsi que les questions de sécurité. Même si personne d'autre n'est concient de l'importance de la tâche, espérons que le gestionnaire des dossiers de NAV CANADA nous en sera éternellement reconnaissant.

Malheureusement, la question, plus vitale, des droits futurs associés à la protection des renseignements personnels pour les employés et les clients de NAV CANADA transcende désormais notre portée.

L'économie semble aussi pousser certains employeurs à envisager la prise de mesures extraordinaires pour surveiller ou filtrer les employés. La prétendue reprise économique sans création d'emplois (et les préoccupations concernant l'usage de drogues) incite les employeurs à installer des caméras de surveillance sur le lieu de travail et dans les toilettes, à exiger des tests de dépistage des drogues, à soumettre les candidats à des tests de personnalité importuns et à surveiller les appels téléphoniques et le courriel. Il semble que moins le travail est sûr et moins il est rémunérateur, plus certains employeurs se permettent d'être importuns. Cette pratique vous choque – Vous trouvez qu'il s'agit d'un abus de la part de la direction – Tant pis, la porte est là.

L'exemple le plus extrême à ce sujet concerne un appel téléphonique que nous avons reçu récemment d'une femme travaillant dans une compagnie de transport privée. Comme nous ne pouvions enquêter, je ne peux que vous dire ce que la femme m'a signalé. Les nouvelles lois américaines exigent des chauffeurs de camion canadiens dont l'itinéraire les mène aux États-Unis de se soumettre à des tests de dépistage des drogues. Il semble que la réaction de sa compagnie face à la loi est de commencer à faire passer des tests à chaque chauffeur.

Mais le contrat de travail des chauffeurs exige aussi d'eux qu'ils consentent à ce que l'employeur entre dans leur maison et procède à une fouille, s'il a des soupçons concernant l'usage de drogues.

Si tout ça est vrai, et j'éprouve toujours du mal à le croire, quel extraordinaire abus de pouvoir et d'autorité! Voilà un pouvoir que nous n'accordons même pas à la police sans autorisation judiciaire. On a récemment entendu une anecdote américaine qui faisait état de poursuites en justice intentées par deux employés congédiés parce qu'ils avaient refusé de fournir des échantillons de cheveux pour un test d'empreintes génétiques. Les gens devraient-ils laisser leurs droits à la porte en échange d'un emploi – Cela montre peut-être pourquoi on ne peut pas toujours laisser le marché décider.

J'aimerais maintenant vous parler de quelques outils techniques mis à notre disposition pour accomplir nos tâches ainsi que les répercussions qui y sont associées. L'un d'entre eux est facile à comprendre, du moins en apparence, car je ne prétends pas comprendre la technologie. Certains d'entre vous ont peut-être vu des reportages sur une nouvelle technique de détection permettant aux employés de fouiller les passagers des lignes aériennes. Appelé radar d'imagerie holographique, le système sera bientôt mis à l'essai dans certains aéroports aux États-Unis.

Vous pensez que la pratique actuelle est désagréable – Sachez qu'il y aura bientôt des caméras qui verront à travers vos vêtements pour révéler les armes et explosifs que vous pourriez y dissimuler. Les directeurs d'aéroport s'empressent de rassurer les passagers en disant que seule une personne du même sexe que le passager surveillera l'écran. Je ne suis pas plus intéressé que quiconque à être victime d'une explosion, mais ce qui est essentiellement une fouille à nu de chaque passager me semble une pratique radicale. De plus, sachant que les terroristes lisent les journaux, la prochaine solution sera-t-elle l'examen des cavités corporelles du passager avant que celui-ci soit autorisé à monter à bord de l'appareil ?

Un défi plus complexe et plus immédiat concerne les plans du gouvernement visant l'entreposage des données. Selon une enquête récente, plus de 90 p. 100 des répondants du gouvernement fédéral établissent des entrepôts de données ou envisagent de le faire. Les entrepôts sont des systèmes d'information centralisés qui permettent aux utilisateurs d'accéder rapidement à une imposante gamme de données. Il s'agit de super-dépôts qui recueillent les données de diverses sources, les uniformisent puis permettent à différents utilisateurs de mettre en commun l'information. On y trouve également les applications de l'organisation susceptibles d'améliorer le service au public.

L'attrait de ces services est évident, mais s'ils sont mal ou négligemment utilisés, ils peuvent entraîner rien de moins que l'intégration de tous les fichiers personnels en un immense système. Cela peut être efficace pour Wal-Mart ou Sears, pour la livraison juste à temps et le contrôle des stocks, mais dans un contexte gouvernemental, le fait de traiter les fichiers personnels de millions de Canadiens provenant de centaines de programmes distincts comporte plusieurs risques graves.

Premièrement, les données de l'entrepôt seront accessibles sur un réseau interne grâce aux fureteurs et aux outils de recherche d'Internet; le Web répond à l'objectif commun de l'entrepôt : trouver de l'information.

Deuxièmement, plus les données sont accessibles, plus les gens voudront y accéder. Si nous le bâtissons, ils le consulteront, et en foule.

Troisièmement, les répercussions d'une erreur dans les données se multiplient de façon exponentielle, et, une fois dans le système, l'erreur risque de devenir la vérité, peu importe ce que dit le client.

Quatrièmement, la fouille des données ne sera plus l'apanage du surdoué technique; tous les utilisateurs pourront le faire. Enfin, le fait d'établir un lien entre l'historique des transactions et les entrepôts de données accélère la mise au point de ce que nous appelons les systèmes de connaissance intime du client. Le danger, c'est que l'entrepôt devienne une prison de données.

En fait, il s'agit de la version électronique de la prison panoptique de Jeremy Bentham. M. Bentham a proposé un modèle de prison qui permettrait aux gardiens d'observer les prisonniers à partir d'une tour centrale d'où ils pourraient voir, mais ne pourraient pas être vus. La tour pourrait être occupée ou non, mais le but de son modèle consistait à créer « un état de visibilité consciente et permanente qui assure le fonctionnement automatique du pouvoir ». Efficace mais inquiétant.

La technologie procure dorénavant au gouvernement le pouvoir de créer une prison panoptique de l'information. Pourquoi n'en profiterait-il pas – Peut-être notre comportement à tous serait-il impeccable si nous pensions que quelqu'un peut observer chacun de nos gestes. On ne saurait sous-estimer le pouvoir de la crainte et de l'embarras pour le maintien de l'ordre social. Est-ce là la réponse à la fraude et à la tricherie ?

Je ne crois pas défendre cet argument ab absurdo. Songez au projet actuel du gouvernement visant le jumelage des déclarations des voyageurs qui rentrent au pays et la liste des prestataires de l'assurance-emploi. Dans ce cas-là, la collecte de l'information vise sans aucun doute une fin, et la divulgation servira à une toute autre fin. Nous ne disposons pas encore d'un entrepôt de données qui permettrait au personnel du ministères des Ressources humaines d'accéder en ligne aux déclarations de douane; le jumelage s'effectue donc par l'échange de bandes informatiques. Voilà une distinction qui ne fait aucune différence. Chaque voyageur d'une société aérienne est maintenant soupçonné de frauder le fonds d'assurance-emploi sans que l'on puisse invoquer des motifs raisonnables, un avis et une autorisation indépendante. L'enjeu est plus grand que la Loi sur la protection des renseignements personnels. La question nous a suffisamment préoccupés pour nous pousser à demander un avis juridique, qui maintient sans réserve que cette mesure contrevient à la Charte.

Vous vous dites : eh bien, je n'ai rien à cacher, alors pourquoi m'en faire – Parfois, le droit d'un particulier doit céder le pas aux intérêts de l'ensemble de la société.

Peut-être que c'est là que nous nous écartons de notre objectif. Le temps est venu de considérer le dommage que l'exercice inconditionnel du pouvoir peut infliger à notre société. En nous concentrant sur la protection des renseignements personnels en tant que droit individuel, nous sommes forcés de jouer le jeu du droit qui en éclipse un autre, un peu comme le jeu d'enfants Roche, papier, ciseaux. Mon droit, en tant que contribuable, de ne pas me faire voler éclipse votre droit de ne pas être soumis à une surveillance.

On devrait maintenant envisager le point de vue prôné par Priscilla Regan dans son livre Legislating Privacy. Elle allègue, à mon avis très efficacement, que le fait de percevoir la protection des renseignements personnels comme un droit individuel n'est pas un fondement solide pour qui veut élaborer une politique gouvernementale. Nous devrions plutôt prendre en compte l'importance sociale de la protection des renseignements personnels, sa place inhérente en tant que valeur fondamentale dans une société démocratique. Nous devons comprendre comment elle influe sur nos relations avec les autres, avec les organismes sociaux, politiques et économiques, ainsi que les pouvoirs que nous sommes prêts à accorder à ces organismes.

La protection de nos renseignements personnels ne consiste pas simplement à débattre de la valeur de l'intérêt personnel d'un particulier par rapport à l'intérêt concurrent. Comme le décrit Priscilla Regan, la protection des renseignements personnels sert aussi l'intérêt commun, public et collectif. Sa valeur consolide notre société en renforçant notre sentiment de participation grâce au respect mutuel.

Peu importe ce que nous faisons pour protéger les renseignements personnels à l'ère du numérique, et il reste beaucoup à faire, nous devons savoir mesurer toute l'ampleur de la valeur et les conséquences qui nous attendent si nous sommes assez insouciants pour la considérer comme une lourdeur administrative qui nuit à l'efficience et aux résultats financiers. Voilà la voie qui mène à une société de surveillance. Je vous prie instamment de ne pas l'emprunter.

Je vous remercie.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :