Vérification et protection de la vie privée - Politique relative au NAS au Canada

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Allocution présentée au Congrès canadien de la sécurité des technologies de l'information

Le 12 mai 1999
Ottawa (Ontario)

Brian Foran
Directeur, Analyse et gestion des enjeux
(Le texte prononcé fait foi)


On m'a demandé de vous entretenir des questions relatives à la protection des renseignements personnels soulevées, en septembre 1998, dans le rapport du vérificateur général du Canada La gestion du numéro d'assurance sociale, et d'y répondre.

Cependant, les événements nous ont dévancés, en ce que, le 1er mai 1999, le Comité permanent du développement des ressources humaines et de la condition des personnes handicapées a publié sa réponse au vérificateur général, dans un rapport intitulé Au-delà des chiffres : L'avenir du numéro d'assurance sociale au Canada. Comme ce rapport a été publié la semaine dernière, je m'attacherai aujourd'hui aux questions relatives à la protection des renseignements personnels soulevées dans ce rapport.

Cependant, avant de traiter de la question, nous devons en premier lieu tenter de la définir. Je dis bien « tenter », parce que la question de la protection des renseignements personnels est beaucoup plus complexe et influe sur nos vies beaucoup plus que nous pourrions l'imaginer. La plupart d'entre nous n'avons pas vraiment d'opinion sur la protection de la vie privée tant que nous ne la perdons pas. Mais une fois perdue, c'est pour toujours - aucune récupération possible.

C'est peut-être la définition traditionnelle de la vie privée, « le droit d'être seul », qui est au cour de ce que nous cherchons à protéger - ce que nous pourrions appeler le noyau de la vie privée. Toutefois, en 1999, une telle expression ne peut que faire ressortir l'étrangeté de cette attente dans une société où le courriel, Internet, les appareils de communication personnelle et les biotechnologies ont modifié le contexte même de notre existence et ont le pouvoir de nous dépouiller de tout sens de la vie privée.

Aujourd'hui, aux fins de la discussion, il serait peut-être préférable de voir la vie privée comme notre droit, en tant qu'individu, de contrôler la circulation des renseignements nous concernant, le droit à des pratiques équitables, raisonnables et confidentielles en matière d'information.

Cette revendication de la protection des renseignements personnels se fonde sur la notion démocratique d'autodétermination ou d'autonomie. Il s'agit d'une notion fondamentale de la vie dans une société civile, dans le respect mutuel. Elle préconise le principe que personne ne devrait avoir plus de contrôle que vous-même sur les renseignements vous concernant.

Cependant, plus on en sait sur quelqu'un, moins cette personne a d'autonomie. De nos jours, dans une société axée sur l'information, notre autonomie individuelle et notre sens du contrôle sont en jeu. C'est là le noud du problème de la protection de la vie privée et c'est pourquoi cette question est si émotive.

Quiconque est familier avec le Commissariat à la protection de la vie privée, et il n'y en a pas beaucoup, je le reconnais, saura que l'usage et l'abus du NAS ont toujours suscité plus qu'un intérêt provisoire de notre part. Certains d'entre vous se demanderont peut-être pourquoi. Pourquoi le numéro de dossier du gouvernement visant nos documents relatifs à la pension et à l'assurance-emploi continue d'inquiéter les Canadiens et leur commissaire à la protection de la vie privée – Pourquoi la possibilité d'un méga NAS nous donne tous des frissons – J'essaierai de répondre à ces questions.

Dès qu'on parle de vie privée, quelqu'un a immanquablement une anecdote à raconter relativement au NAS. Le vérificateur général est certainement le dernier en liste, et peut-être le mieux informé. Mais le NAS est effectivement la pointe de l'iceberg du droit à la protection de la vie privée. En fait, il est plutôt symptomatique du danger le plus menaçant pour la vie privée en cette ère de l'information. Cette menace résulte du couplage des données - la collecte de renseignements concernant un individu provenant de diverses bases de données, à son insu ou sans son consentement, et la création d'un nouveau fichier. Le couplage s'accomplit plus efficacement et plus rapidement lorsque individu est toujours caractérisé par le même identificateur, dans toutes les bases de données. Les renseignements peuvent ainsi être trouvés et regroupés facilement afin de constituer un profil plus détaillé des caractéristiques et du comportement individuels.

Cette menace de regroupement et la surveillance qui en résulte sont ce à quoi les gens réagissent le plus viscéralement, c'est-à-dire le transfert de renseignements et de pouvoirs à ceux qui contrôlent les systèmes. Cette pratique viole les principes de la vie privée, selon lesquels les renseignements personnels ne sont utilisés qu'aux fins auxquelles ils ont été recueillis et les individus doivent pouvoir décider eux-mêmes comment les renseignements doivent être utilisés.

Cette possibilité de comparaison non autorisée et intrusive des données, à l'insu ou sans le consentement du titulaire de la carte, tant au gouvernement que dans le secteur privé et peut-être entre les secteurs public et privé, a sonné l'alarme et fait ressortir l'importance de mettre le respect de la vie privée et la protection des renseignements personnels au cour de tous les débats concernant le fonctionnement actuel du système de NAS et son avenir.

Les initiatives visant à améliorer le NAS sont devenues une sorte de prétexte à la réalisation du souhait du gouvernement d'avoir un guichet unique pour assurer son service à la clientèle. De ce projet découle la nécessité d'une base de données centrale, d'un identificateur commun et, selon toute probabilité, d'une carte d'identité pouvant être assortie d'un identificateur biométrique.

Voici les mérites d'un tel système :

  • élimination des demandes frauduleuses de prestations sociales ou de permis de travail pour les immigrants illégaux;
  • commodité pour les bureaucrates dans le couplage de bases de données disparates;
  • identification précise des individus;
  • élimination des risques d'usurpation d'identité.

Cependant, les inconvénients sont inquiétants, parce que ces initiatives peuvent transformer les relations entre le citoyen et l'État. C'est le cas, par exemple, des cartes d'identité, en ce sens que les pouvoirs bureaucratiques sont plus étendus. Dans un processus que les défenseurs de la vie privée appellent effet expansion, les cartes d'identité destinées à l'origine à un seul usage s'étendent à des usages multiples. L'introduction d'un tel système mène à une demande accrue pour l'utiliser afin de lier plusieurs bases de données. Le jour n'est pas loin où il n'y aura qu'une seule carte à applications multiples pour tous les services et les fonctions du gouvernement, de sorte qu'il deviendra impossible de fonctionner sans détenir et produire la carte. La carte devient alors de fait un passeport interne.

Tout système d'identité universel, dès qu'il est établi, est un terrain glissant et il en faudra peu pour qu'on oblige les citoyens à porter leur carte d'identité que de petits fonctionnaires et policiers pourront exiger à leur gré. Même si la carte est facultative au départ, le nombre grandissant d'organismes qui l'utiliseront aura vite eu pour effet de rendre de plus en plus difficile le fait de ne pas en avoir une. Le résultat est que la carte deviendra obligatoire.

Les gens réagissent pour diverses raisons. Ceux qui développent de nouveaux systèmes et les nouvelles technologies doivent reconnaître que, pour beaucoup de monde, la vie privée, l'anonymat, la solitude et le droit d'être seul sont des valeurs qui leur sont chères et pour lesquelles ils n'accepteront aucun compromis. Le projet de carte d'identité nationale provoque une véritable appréhension.

La possibilité d'être réduit à un numéro et la menace d'être une non-personne en l'absence de la carte d'identité peuvent évoquer des craintes et des souvenirs émotifs du passé récent. Des initiatives de ce genre peuvent provoquer des réactions intenses et de la résistance chez de nombreuses personnes.

De nombreux défenseurs de la vie privée voient également des risques dans un système qui exige de plus en plus de conformité dans tous les aspects de l'existence. Par exemple, Simon Davis, de Privacy International, suggère que l'introduction d'une carte d'identité universelle pourrait donner lieu aux conséquences suivantes :

  • le refus ou l'acceptation volontaire du refus d'une gamme de services;
  • une erreur ou une panne d'une partie du système qui provoquerait une réaction en chaîne entraînant la suspension des prestations ou des droits dans d'autres domaines;
  • la mise en jeu de l'autonomie ou de la liberté d'individus en raison de l'ampleur et de la nature de la collecte des renseignements.

En outre, selon lui, si l'on ne fait pas attention, la carte devient une icône - on en exige l'utilisation par l'application de règlements ou de politiques insensés, abstraction faite d'autres moyens d'identification, et, ce faisant, on cause des problèmes considérables à ceux qui n'ont pas la carte - la carte devient plus importante que la personne même. La personne n'est plus rien sans la carte.

De plus, la carte même n'est que le sommet visible d'un énorme iceberg de données. La masse invisible sous les eaux est le registre centralisé de la population auquel la carte donne accès, registre qui invite la surveillance généralisée des individus par ordinateur. L'accès au registre sera large et aura tendance à s'élargir à mesure que d'autres programmes réussiront à justifier leur accès à celui-ci. Des milliers de fonctionnaires pourront légitimement le consulter. Nous deviendrons tous alors des « personnes virtuelles » dont l'existence pourra être suivie et peut-être même influencée par les organismes gouvernementaux. Peu importe que la surveillance soit faite pour le bien de la population, pour alimenter les décideurs ou satisfaire la curiosité des chercheurs, le contrôle des données constituera toujours une intrusion.

L'identification précise des individus présente de nombreux avantages, lorsque c'est pour les bonnes raisons, au moment approprié et à des fins appropriées. En fait, le besoin de précision est l'un des principes reconnus dans toutes les lois sur la vie privée et les codes de pratiques équitables de traitement de l'information partout au monde. Les cartes d'identité présentent un dilemme parce qu'elles peuvent être utilisées de façon illimitée et non réglementée dans des applications et des couplages multiples avec des bases de données disparates. Cette possibilité menace tout vestige de contrôle personnel sur ses propres renseignements et risque de mettre entre les mains de la bureaucratie des pouvoirs illimités de contrôle social. Voilà une perspective qui nous invite tous à une mûre réflexion. Ce n'est pas parce qu'une chose est possible qu'il faut simplement la faire.

Au cours du débat actuel sur le NAS, il est donc essentiel de se rappeler ce qu'est effectivement la vie privée. C'est là que le rapport du Comité permanent du développement des ressources humaines et de la condition des personnes handicapées révèle toute son utilité. Le rapport reconnaît la nécessité immédiate de régler les problèmes du NAS. Cependant, il reconnaît également les valeurs humaines en jeu et le risque imminent de transformer le système en un identificateur national.

Permettez-moi de vous expliquer cinq des recommandations clés du rapport du Comité du développement des ressources humaines, Au-delà des chiffres : L'avenir du numéro d'assurance sociale au Canada. (La partie qui suit paraphrase le rapport.)

Comme nous l'avons dit, le rapport répond en grande partie au vérificateur général qui a affirmé ce qui suit : « Je pense que le moment est venu d'examiner les rôles, les objectifs et l'utilisation actuels du numéro d'assurance sociale. Le gouvernement devrait déterminer ce qu'il veut faire du numéro d'assurance sociale et, par la même occasion, étudier les autres options possibles. » Le vérificateur général a également proposé que le Parlement joue un rôle majeur dans la discussion de ces questions et la recherche d'une solution satisfaisante.

À ce dernier égard, le Comité permanent du développement des ressources humaines et de la condition des personnes handicapées a amorcé ce débat en concluant que les problèmes recensés par le vérificateur général relèvent de deux catégories distinctes qui doivent être traitées séparément par le gouvernement. La première concerne la résolution à court terme des lacunes du système actuel, et ce sans tarder. Par ailleurs, il savait qu'une autre série de grands enjeux stratégiques doivent faire l'objet d'un examen. Ceux-ci ont trait à la question de savoir s'il y a lieu de procéder à une refonte du système du NAS ou de le remplacer par un numéro d'identification commun. Il a recommandé ce qui suit :

« En apportant des changements au système du numéro d'assurance sociale (NAS), le gouvernement du Canada doit intervenir simultanément à deux niveaux, c'est-à-dire qu'il doit :

Prendre immédiatement des mesures pour mettre fin aux abus relevés dans la gestion et le contrôle de l'actuel système du NAS; et

S'attaquer aux grands enjeux stratégiques à plus long terme touchant l'avenir du système du NAS, notamment aux problèmes de protection de la vie privée et de couplage de données. »

Quant aux inquiétudes immédiates concernant la gestion et le contrôle du système du NAS, le Comité a reconnu que la vocation du NAS n'était pas de devenir un système national d'identification personnelle des Canadiens ni d'être considéré comme tel. Or, c'est précisément ce qui s'est produit. Le Canada a maintenant un système de NAS qui s'apparente à un code national d'identification, sans être assorti du cadre de protection qui pourrait ou devrait l'entourer. Pour un défenseur de la vie privée comme moi, le Canada se trouve présentement dans la pire des situations - il possède dans les faits un système national d'identification auquel aucun mécanisme de protection de la vie privée n'a été greffé.

Le Comité a conclu qu'un mécanisme législatif officiel devait être mis sur pied pour régir l'utilisation du NAS :

« Qu'après avoir tenu les consultations appropriées, le gouvernement du Canada élabore une loi sur le contrôle des cartes et des numéros d'assurance sociale circonscrivant les utilisations légitimes de l'actuel NAS dans les secteurs public et privé et prescrivant des pénalités et des amendes en cas d'emploi inapproprié ou abusif du NAS. Un avant-projet de loi devrait être présenté au Comité au plus tard le 31 décembre 1999. »

En outre, malgré des preuves anecdotiques de l'utilisation répandue et inappropriée du NAS dans le secteur privé, le Comité n'a pu trouver d'étude confirmant les abus ou l'utilisation légitime par ce dernier. Par conséquent, il a recommandé ce qui suit :

« Que tous les ministères et organismes fédéraux compétents, ainsi que le commissaire à la protection de la vie privée du Canada travaillent avec Statistique Canada à réaliser et à terminer d'ici le 31 décembre 1999 une étude sur les répercussions et l'ampleur de l'utilisation du NAS dans les secteurs public et privé. Les résultats de cette étude devraient être utilisés pour orchestrer une campagne d'information publique sur l'utilisation du NAS et sur les abus. »

Une conclusion générale est ressortie de ces audiences : la plupart des Canadiens ignorent les problèmes liés au NAS de même que l'ampleur et la possibilité des risques d'abus. Ils ne savent pas exactement à quel moment ils sont tenus de fournir leur NAS ni quand ils peuvent refuser de le divulguer sans encourir de conséquences.

Selon le Comité, la même ignorance existe au sein des petits et grands services et entreprises du secteur privé. Le NAS constitue souvent pour eux un outil de tenue de livres pratique et économique, et leurs propriétaires et employés vont quelquefois demander leur NAS aux clients, voire l'exiger, dans des situations tout à fait inappropriées. Certains iront même jusqu'à refuser un produit ou un service aux personnes qui refusent de divulguer leur numéro.

Le commissaire à la protection de la vie privée du Canada a indiqué que les plaintes les plus fréquentes que son bureau recevait avaient trait à l'utilisation inappropriée du NAS dans le secteur privé. Les Canadiens en général et tout le secteur privé doivent comprendre leurs droits et responsabilités concernant le NAS.

Par conséquent, le Comité a recommandé :

« Qu'immédiatement après la promulgation de la loi sur le contrôle des cartes et des numéros d'assurance sociale, tous les ministères et organismes fédéraux compétents, de même que le commissaire à la protection de la vie privée du Canada orchestrent une campagne d'information publique au sujet des cartes d'assurance sociale au Canada. Cette campagne devrait :

Être destinée à la population, ainsi qu'aux entreprises, aux services et aux organismes ouvrant dans le secteur privé;

Informer les citoyens quant aux utilisations légitimes de leur NAS, tant dans le secteur public que dans le secteur privé;

Informer les citoyens que la loi leur permet de refuser de divulguer leur numéro d'assurance sociale;

Informer les entreprises, les services et les organismes des contraintes imposées par la loi quant à l'utilisation qu'ils peuvent faire du numéro d'assurance sociale;

Joindre les Canadiens et Canadiennes par le truchement de différents moyens, notamment la presse écrite, la radio et la télévision. »

Quant à la question d'améliorer l'intégrité du Registre d'assurance sociale (RAS), le Comité a recommandé que le RAS ait accès aux renseignements des registres de statistiques de l'état civil des provinces pour confirmer la situation des titulaires de carte - sont-ils vivants ou décédés - et l'authenticité des principaux documents d'identité.

Le Commissariat à la protection de la vie privée reconnaît que ce type de partage des données est essentiel pour rétablir et préserver l'intégrité du RAS. Cependant, nous signalons que les procédures fondées sur l'efficacité peuvent entraîner des coûts pour la protection de la vie privée.

Le Comité a finalement convenu et recommandé que toutes les initiatives touchant le NAS rendent prioritaire la protection de la vie privée et que l'on demande aux commissaires à la protection de la vie privée canadiens leurs commentaires à cet égard.

Quant à l'avenir du système de NAS et aux considérations d'intérêt public, le Comité a constaté que la solution des problèmes administratifs immédiats signalés dans le rapport du vérificateur général ne s'attaque pas au problème central et fondamental dans le contexte du système de NAS. En tant que parlementaires, les membres du Comité n'ont pas tardé à comprendre que leur travail consistait à déterminer dans quelle mesure le système a évolué et s'est éloigné du but initial. À maintes reprises, divers témoins ont réitéré l'importance fondamentale de clarifier l'objet du NAS.

Le Comité a donc conclu que le débat élargi sur les politiques gouvernementales devrait donc viser à répondre aux questions suivantes :

  1. Faudrait-il revenir au but initial du NAS, qui était de servir de numéro d'identification des dossiers des programmes gouvernementaux – Si oui, serait-il possible de récupérer le système en donnant suite aux recommandations formulées ci-dessus ou devrait-on faire table rase et le remplacer par une nouvelle carte, comme une carte du millénaire fondée sur la technologie de pointe des « cartes à mémoire » munies d'une puce informatique, ou par un identificateur biométrique ?
  2. Le moment est-il venu de reconnaître ce à quoi le NAS sert en réalité et de prendre des mesures pour le convertir en numéro personnel d'identification de chaque résident du Canada – L'adoption d'une telle carte peut-elle s'accompagner, pour protéger la vie privée de chacun, du recours au cryptage et à d'autres possibilités qu'offre la carte à puce ?

Le Comité a également conclu que toute tentative de transformer le NAS en numéro national d'identification doit s'accompagner d'un vaste débat politique et d'un apport adéquat et approprié du grand public. La création d'un système national d'identification présente des problèmes de protection de la vie privée qu'il faut résoudre. La vie privée est trop fragile et les moyens d'en garantir la protection trop faibles, et susceptibles de le rester. Il faudrait compenser par des moyens techniques et juridiques adéquats de sauvegarde la très forte tentation, autant pour le secteur public que privé, d'utiliser les données de tout système national d'identification à d'autres fins ou sans autorisation.

Cependant, il est nécessaire de donner aux citoyens l'occasion de peser les coûts et les avantages de tout changement notable du NAS ou de son successeur, et d'en débattre publiquement. Compte tenu de ces considérations, le Comité recommande :

« Que DRHC produise d'ici au 31 décembre 1999, un rapport exposant une série d'options, assorties de leur coût, pour améliorer le système de NAS ou le remplacer par un tout nouveau système de cartes. »

Enfin, le Comité a conclu que l'étude du NAS a fait ressortir les inquiétudes globales qu'inspirent la technologie, la protection de la vie privée et la comparaison de données signalées dans un rapport antérieur. En avril 1997, l'ancien Comité permanent des droits de la personne et de la situation des personnes handicapées de la Chambre des communes avait déposé son rapport La vie privée : où se situe la frontière ?, qui traitait longuement et en profondeur de ces considérations. Ce rapport examinait les incidences de l'évolution technologique sur les droits de la personne et de la protection de la vie privée, amplifiait et expliquait bon nombre d'inquiétudes relatives à la question plus restreinte de l'avenir du système de NAS. Cependant, étant donné la date à laquelle le rapport avait été déposé, le gouvernement n'y avait pas réagi. Par conséquent, le Comité a décidé d'adopter les recommandations de ce rapport et de solliciter une réponse à ces recommandations.

En conclusion, le Comité se retrouvait ainsi devant une série de questions qu'il n'avait pas eu le temps d'examiner comme il l'aurait souhaité.

« Comment les droits des citoyens à la vie privée seront-ils protégés si le NAS est « modernisé » ou « remplacé » ?

Comment faire pour empêcher les comparaisons inappropriées de données ?

Quelles sont les meilleures façons de protéger les citoyens de l'incidence croissante de vol d'identité ?

Serons-nous prêts à satisfaire ceux qui, à mesure que le commerce électronique se répand, réclament pour chaque Canadien un identificateur sûr ?

À mesure que la technologie se raffine et prend plus d'ampleur, faudrait-il accroître les pouvoirs du commissaire fédéral à la protection de la vie privée pour lutter contre les intrusions dans la vie privée des Canadiens et, le cas échéant, quelle serait la portée de ces pouvoirs ?

Quels coûts la protection de la vie privée entraînerait-elle ?

Dans quelle mesure les Canadiens sont-ils disposés à faire les frais d'une technologie coûteuse pour assurer la protection de leur vie privée ?

Comment équilibrons-nous le besoin d'accroître l'efficacité et les droits de chacun à la protection de la vie privée ?

Comment parons-nous, de façon proactive, à la fraude et aux abus du système de NAS ainsi qu'aux autres formes de fraude relatives aux cartes ? »

Nous reconnaissons que ces questions exigent une réponse, et j'aimerais terminer simplement en soulevant certaines considérations pertinentes.

En premier lieu, des raison justes, logiques et établies doivent justifier le maintien d'un système d'identification national. Jusqu'à maintenant, l'absence de toute preuve empirique appuyant la nécessité de cartes d'identité est remarquable. On désire certainement trouver une solution rapide aux problèmes sociaux et économiques par des solutions technologiques, mais l'espoir de trouver de telles solutions et leur efficacité sont deux choses. À cet égard, la carte d'identité pourrait bien être une technologie en quête d'une application. Avant d'adopter cette solution, la nécessité d'un tel système doit être établie.

En deuxième lieu, s'il est possible de prouver la nécessité d'un tel système, le processus législatif doit précéder la mise en ouvre. Comme l'a déjà remarqué Robert Clark, commissaire à la protection de la vie privée de l'Alberta, on ne peut laisser les technocrates prendre le pas sur les démocrates. La loi doit reconnaître les utilisations du numéro ou de la carte, des mécanismes et des principes de protection de la vie privée, et sanctionner la mauvaise utilisation ou l'abus du système d'identification. Nous sommes très satisfaits des recommandations du Comité à cet égard.

Enfin, il faut examiner et comprendre avec soin l'incidence de l'introduction d'un tel système avant de le mettre en ouvre à l'échelle nationale. Nous devrions en évaluer les répercussions non seulement sur la protection de la vie privée, mais également sur d'autres aspects sociaux. L'introduction d'un système d'identification a probablement des incidences plus complexes que ses applications. Il faudra les évaluer afin de comprendre les conséquences et d'exercer les bons choix.

Comme le Comité l'a fait observer, trop de décisions concernant l'utilisation actuelle du NAS ont été prises par défaut, ce qui est et était tout à fait inapproprié et devrait être évité à l'avenir. Les politiciens et les Canadiens ont besoin de renseignements et d'échanges pour prendre des décisions.

Je terminerai en disant que les valeurs humaines doivent jouer un rôle prépondérant dans tout changement technologique concernant les renseignements personnels. Nous devons reconnaître que la vie privée est un droit de la personne et que toute attente raisonnable à cet égard est fondamentale à l'existence, à l'utilisation et à la réglementation de tout nouveau système d'information ou projet d'identification. Ces principes devraient guider les débats à venir.

Je vous remercie.

Date de modification :