Présentation aux membres du comité - « Vie privée et sécurité » Scénario et discussion

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Forum des cadres supérieurs de l'Association canadienne de l'informatique (ACI)

Le 19 février 1998
Ottawa, Ontario

Brian Foran
Directeur, Analyse et gestion des enjeux
(Le texte prononcé fait foi)


(NOTE: On a demandé aux panélistes de formuler leurs remarques concernant le scénario ci-après sous la forme d'un dialogue avec le personnage de ce scénario.)

SCÉNARIO :

George Castanza s'apprête à lancer à titre de propriétaire-fondateur une entreprise et une clinique ouvrant dans le domaine des soins de santé, spécialisée dans le dépistage et le traitement de personnes à haut risque de contracter diverses maladies infectieuses et dont le nom sera Services de santé Castanza.

George a décidé de marquer le passage à l'an 2000 en se procurant du matériel informatique dernier cri pour gérer son entreprise.

En plus de recueillir électroniquement les informations fournies par les patients, le système informatique de l'entreprise doit servir à en automatiser tous les aspects y compris les dossiers sur les employés, les indemnités de maladie de l'entreprise et les évaluations du personnel.

Comme l'entreprise de George traite des patients atteints de maladies infectieuses, il est possible qu'elle soit appelée à signaler l'apparition de certaines des affections contractées par ses patients.

Chaque employé de Services de santé Castanza aura une adresse de courrier électronique et un accès Internet. George a également décidé de créer un réseau intranet en collaboration avec d'autres entreprises similaires à travers le monde pour partager des idées et des renseignements concernant les soins de santé et offrir à ces entreprises la possibilité de faire entre elles le commerce de la documentation de référence et d'autres articles.

George a besoin d'être guidé pour repérer les questions de confidentialité et de traitement des données qui ne manqueront pas de surgir dans la réalisation de ses idées.

On a demandé à M. Foran de nous entretenir en général des questions relatives à la protection de la vie privée et de nous donner un aperçu des mesures prises par les gouvernements au Canada pour ensuite déterminer ce que George doit savoir de façon à avoir une vision globale de la question.

Cher George,

Félicitations pour avoir réussi à mettre en place tous les éléments nécessaires au démarrage de votre nouvelle entreprise. Votre plan d'affaires a sûrement dû impressionner votre banquier pour qu'il vous consente un prêt aussi important ! J'ai entendu dire que vous aviez d'attiré chez vous ce prodige des systèmes informatiques de chez Megatech-celui que vous aviez rencontré à la dernière conférence de l'ACI. Je sais que vous avez travaillé très fort jusqu'à présent et il semble que vous ayez en mains tous les éléments nécessaires à votre succès.

Je sais également que vous allez recevoir toutes sortes de conseils gratuits dont la plupart ne vaudront que le prix que vous en aurez payé. J'espère que vous me pardonnerez d'y ajouter le mien car malgré vos grandes idées, votre capital et votre personnel doué, vous allez évoluer dans un domaine truffé de mines.

Versez-vous une tasse de café et prenez quelques instants pour souffler un peu et regarder la situation dans son ensemble. Ce sera difficile après quelque temps à s'occuper des détails. Mais l'essentiel de votre entreprise, ce sont les renseignements que vous détenez sur vos clients, les détails de leurs vies. La vaste majorité de ces renseignements étant de nature médicale, ils n'en sont que plus sensibles.

En somme George, que vous le vouliez ou non, vous évoluez maintenant dans le domaine de la protection de la vie privée et si vous n'assurez pas cette protection vous ne resterez pas en affaires très longtemps.

Quand je parle de droit à la vie privée, je ne fais pas allusions aux serrures, aux clés, aux murs anti-intrusion, aux systèmes de cryptage et aux listes de contrôle, bien que tous ces dispositifs soient prévus pour veiller à la protection des renseignements personnels de vos clients et employés.

Il y a un sophisme bien répandu qui veut que l'on assimile le respect de la vie privée à la sécurité et que les deux concepts ne recouvrent qu'une seule réalité : la protection de la confidentialité des renseignements. Certains croient donc que pour calmer l'inquiétude grandissante du public face aux systèmes électroniques interactifs, il n'y a qu'à garantir la confidentialité des renseignements. Ce n'est plus aussi simple, si tant est que cela l'ait déjà été.

Le droit à la vie privée, la sécurité et la confidentialité sont trois questions distinctes et avant de les aborder il faut en distinguer et en saisir les caractéristiques inhérentes.

Ce que j'évoque quand je parle de droit à la vie privée, c'est cette valeur fondamentale que nous prenons tellement pour acquise que nous ne la reconnaissons plus que lorsqu'elle est disparue. Cette valeur est si fondamentale dans une société démocratique que nous n'en remarquons même plus les manifestations dans les choses que nous prenons pour acquises comme la protection contre les perquisitions et les saisies abusives, le vote au scrutin secret, le droit de décider comment mener sa vie. Le droit à la vie privée est la valeur au cour même des libertés individuelles.

Il ne s'agit pas simplement des droits d'un individu par opposition à ceux d'un autre. Ce ne sont pas non plus les droits des individus par opposition à ceux de la société. Le droit à la vie privée est l'une de ces valeurs qui rend possible les sociétés humaines et démocratiques. Elle est essentielle aux rapports entre individus, au respect de l'espace dont nous avons tous besoin si vous préférez.

Dans le contexte plus étroit de l'information, le droit à la vie privée touche à notre droit de contrôler la circulation des informations qui nous concernent et d'exiger des pratiques en matière de renseignements personnels qui soient justes, raisonnables et confidentielles.

La confidentialité, d'autre part, est une obligation imposée à une tierce partie, celle de gardien devant protéger les renseignements personnels qu'on lui a confiés. L'engagement à respecter la confidentialité est, en substance, un devoir de fiduciaire, le devoir de garder secrètes les informations, d'en contrôler l'usage et d'en préserver la divulgation. C'est la confidentialité qui crée un lien de confiance entre l'individu et le gardien.

Et finalement, la sécurité. C'est un processus, une manière que nous avons d'évaluer les menaces et les risques qui planent sur les renseignements personnels et de prendre les mesures nécessaires pour les protéger contre l'accès, l'utilisation ou l'intrusion involontaires ou non autorisés ou d'autres dangers tels la perte ou la destruction accidentelles.

Nous avons tellement pris pour acquis que notre vie privée était protégée à tous égards que ce n'est qu'à la préhistoire de technologie-au début des années 1970-que nous nous sommes réveillés. Nos gouvernements ont tranquillement fini par réaliser que la technologie de l'information allait révolutionner l'administration publique et non pas seulement en termes de volume et de rapidité. C'est peut-être la façon dont nous menons nos vies qui est en jeu. Confier à d'autres nos renseignements personnels, c'est risquer de leur donner le pouvoir d'influencer nos décisions.

Auparavant nos relations avec les gens étaient réelles, concrètes et visibles. Nous avions l'habitude de parler face-à-face aux employés municipaux, aux caissiers des banques, aux médecins et aux policiers. L'interaction humaine imposait certaines limites provenant du sens sociétal du respect mutuel. Nous ne sommes plus maintenant que des dossiers dans une base de données. Le système a émoussé notre sensibilité naturelle à la personne et à ses droits.

Comme les systèmes répandent les données toujours plus loin et toujours plus vite, les risques grandissent de façon exponentielle. Il ne s'agit plus des commérages entendus dans un bureau de médecin ou des rumeurs émanant du bureau du personnel. Nous courrons aujourd'hui le risque d'une fuite de courrier électronique, d'intranet, des entrepôts de données et d'Internet. Il est maintenant possible de laisser échapper un secret à travers le monde en une nanoseconde.

Les bureaucraties qui connaissent sur le bout des doigts la vie entière d'une personne avec ses faiblesses, ses mauvais choix et ses mauvais jugements, seront tentées d'influencer ses comportements. Quant à elles les entreprises voudront tirer profit de ces renseignements.

Les gouvernements, qui après tout contrôlent d'immenses bases de données et ont ce pouvoir unique d'adopter des lois, ont reconnu ces dangers et pris certaines mesures. En Europe et en Amérique du Nord, les gouvernements ont adoptés des lois régissant la collecte, l'utilisation et la divulgation des renseignements personnels de leurs citoyens. D'une façon générale, ces lois confèrent également aux individus le droit de consulter ces renseignements, d'y faire corriger les erreurs et d'annoter les informations litigieuses.

Laissez-moi vous raconter comment le gouvernement fédéral canadien a tenté de résoudre cette question. En 1983, le Parlement a édicté la Loi sur la protection des renseignements personnels, un nom quelque peu trompeur. Le commissaire à la protection de la vie privée Bruce Phillips a d'ailleurs déjà souligné avec humour qu'il serait plus juste de l'appeler « Loi concernant la protection des renseignements personnels entre les mains des bureaucrates d'Ottawa ». Il s'agit essentiellement d'une loi visant la protection des données semblable à celles en vigueur dans les autres grands pays occidentaux.

En son essence même, la Loi sur la protection des renseignements personnels est fondamentalement un code déontologique destiné aux utilisateurs de renseignements. Elle vise à restreindre la collecte de renseignements par le gouvernement à ce qui est nécessaire et pertinent. Elle reconnaît à la personne qui a fourni les renseignements un droit de propriété inhérent sur ceux-ci. Elle oblige le gouvernement à recueillir les renseignements directement de ces personnes, à leur expliquer pourquoi ils doivent être obtenus et à quel usage ils sont destinés. Elle prohibe l'utilisation des renseignements personnels à des fins qui ne sont pas compatibles ainsi que leur divulgation. Elle reconnaît aux individus le droit d'avoir accès aux renseignements personnels qui les concernent et qui sont détenus par le gouvernement. Finalement elle prévoit la création d'un poste d'ombudsman (le bureau du commissaire à la protection de la vie privée) pour résoudre les problèmes et veiller à l'application de la Loi.

En bref, cette Loi responsabilise le gouvernement. Il ne peut plus agir comme si il était le seul et unique propriétaire des renseignements personnels sous son contrôle. La plupart des gouvernements provinciaux-mais pas tous-sont maintenant soumis à des dispositions semblables.

Les lois des pays européens sont très semblables à la différence importante qu'elles s'appliquent également aux sociétés du secteur privé. Certaines d'entre elles pourraient avoir des conséquences sur votre entreprise George. Faites bien attention à ce que je vais vous dire.

Nous devons maintenant faire face à l'Union européenne dont les États membres harmonisent leurs lois nationales. Parmi elles on retrouve les législations que les Européens appellent les lois visant la protection des données, une désignation beaucoup plus exacte. Les différences entre ces lois nationales ont été aplanies et à compter de l'automne 1998, l'UE sera à l'unisson en matière de protection de la vie privée et le secteur privé s'alignera derrière elle.

Ce n'est pas le cas en Amérique du Nord-du moins pas encore. Aux États-Unis et au Canada, les lois fédérales ne s'appliquent qu'aux institutions gouvernementales. Et à la seule exception du Québec, il en est de même pour les lois provinciales. Cela veut dire que pour l'instant, George, votre entreprise n'y est pas assujettie.

Cependant, les Canadiens sont de plus en plus inquiets face à ce vide juridique. Ils sont consternés de voir qu'ils n'ont aucun recours contre une entreprise qui a vendu leurs renseignements personnels, les a divulgués accidentellement ou les a partagés avec des filiales. Leurs inquiétudes ne sont pas étrangères à la proposition du gouvernement fédéral d'adopter une loi d'envergure nationale en la matière pour assujettir le secteur privé.

Industrie Canada et le ministère de la Justice ont publié un document de travail qui traite de la protection des renseignements personnels dans le cadre de leur projet de commerce électronique. Je vous recommande de vous en procurer une copie et de regarder ce qu'on y propose. Le résultat final sera peut-être bien différent de ce qu'on y trouve mais il est certain que le public exige l'imposition de règles au secteur privé et un système qui responsabilise les utilisateurs de renseignements personnels. On vise la date mythique de l'an 2000 pour l'adoption d'une telle loi mais il se pourrait bien qu'elle le soit avant.

Ainsi George, vous devrez tôt ou tard vous soumettre à certaines obligations juridiques et c'est maintenant que vous devez incorporer ces principes à vos systèmes. N'attendez pas la dernière minute pour les « coller ». Les coûts et les désagréments n'en seront que plus grands.

L'existence de cette loi de l'UE est très certainement un élément important dans la décision d'adopter son équivalent ici. Il en est de même pour vous George, si vos ambitions dépassent nos frontières. cette loi qui a pour but de protéger les renseignements personnels des Européens a en effet des répercussions sur les entreprises canadiennes puisque celles-ci devront satisfaire aux normes européennes pour pouvoir traiter ces renseignements personnels.

Il ne s'agit pas seulement d'un problème théorique comme l'a appris la Citibank lorsqu'elle a décroché le contrat pour gérer les cartes de passagers du réseau ferroviaire allemand. Les détails sont suffisamment intéressants pour que l'on en reparle dans une autre allocution mais en résumé, l'affaire a amené le protecteur des renseignements personnels allemand à suspendre le transfert vers les États-Unis des données concernant les passagers tant que l'on ne serait pas en mesure de lui démontrer que les renseignements allaient être en sécurité. La Citibank a notamment dû consentir à ce que le protecteur des renseignements personnels allemand puisse effectuer des vérifications sur place. Et tout cela parce que les États-Unis ne disposent pas de législation appropriée-ce qui est toujours le cas au Canada.

Alors George, prenez le virage avant les autres et prenez le bien. Vos obligations sont peut-être encore plus grandes car vous allez recueillir et utiliser de l'information médicale-et donc très délicate-des renseignements qui peuvent avoir des répercussions importantes sur la vie des individus. Ces renseignements appartiennent aux patients, pas à vous. Les dossiers physiques et les systèmes informatiques vous appartiennent bien sûr. Mais les renseignements que vous recueillez et utilisez ne vous sont confiés qu'à titre de dépositaire et, l'usage que vous en ferez entraîne votre responsabilité de fiduciaire à l'égard de vos patients.

Vous serez peut-être appelés à jouer un rôle dans le Système canadien d'information sur la santé que le gouvernement projette de créer. Ce puissant système doit faire partie de l'infrastructure canadienne d'information sur la santé qui veut établir des liens entre les médecins, les chercheurs et tous les dispensateurs de soins médicaux. Le protection des renseignements personnels devra être la pierre angulaire de l'élaboration de ce réseau tout comme la reconnaissance de la distinction entre la vie privée des patients et la sécurité des renseignements.

J'espère que ces quelques renseignements vous permettront de mieux vous préparer et je vous remercie de m'avoir permis de m'entretenir avec vous aujourd'hui et de reconnaître que les intérêts techniques et ceux de la vie privée doivent converger si vous voulez bien gérer les renseignements et les technologies de l'information dans votre entreprise. J'espère pouvoir vous venir en aide dans vos responsabilités en matière de protection de la vie privée et il me fera plaisir de poursuivre ce dialogue.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :