Discours

Protéger plus efficacement la vie privée des Canadiennes et des Canadiens

Commentaires pr√©sent√©s au Centre de recherche en droit, technologie et soci√©t√© de l’Universit√© d'Ottawa

Le 19 janvier 2011
Ottawa (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je tiens d’abord √† f√©liciter le Centre de recherche en droit, technologie et soci√©t√©. Dans votre courte histoire, vous avez accompli une œuvre de pionnier impressionnante.

Vous √™tes parvenus √† √©tablir de nouvelles normes en mati√®re d’excellence dans l’√©tude du droit et de la technologie au Canada et √† l’√©chelle internationale. Le Centre est devenu un haut lieu pour les √©tudes de qualit√© et les recherches novatrices.

En soi, cela constitue d√©j√† un exploit, mais ce que j’admire particuli√®rement, c’est votre fa√ßon de faire conna√ģtre votre comp√©tence. Vous √™tes devenu une autorit√© capable de faire une diff√©rence, autant par vos comparutions parlementaires que par vos interventions dans des conf√©rences partout dans le monde. Michael Geist a popularis√© les questions relatives √† la protection de la vie priv√©e dans ses √©ditoriaux (il a m√™me r√©ussi √† attirer l’attention du public sur les droits d’auteur!) et r√©cemment, Ian Kerr a √©t√© promu √† une chaire de recherche du Canada de volet¬†1 pour ses travaux aussi excellents qu’innovateurs.

Vos opinions sont très prisées et elles ont un impact significatif.

Au cours des ann√©es, le Commissariat a cr√©√© un lien √©troit avec le Centre de recherche en droit et technologie de l’Universit√© d’Ottawa. Comme certains d’entre vous le savent peut-√™tre d√©j√†, nous avons profit√© de l’enseignement de choix que vous offrez ici – l’une de nos avocates, Louisa Garib, a obtenu son dipl√īme ici. C’est ici que la nouvelle g√©n√©ration d’avocats, de juristes et de sp√©cialistes en droit relatif au respect de la vie priv√©e re√ßoit son √©ducation.

En tant que commissaire √† la protection de la vie priv√©e, je pr√©sente ma gratitude pour cette contribution tr√®s importante √† chacune et √† chacun d’entre vous.

Un nouveau mandat

Comme vous le savez, le Parlement a approuv√© le renouvellement de mes fonctions pour un autre mandat de trois ans. Cet apr√®s-midi, je vais donc saisir l’occasion pour vous pr√©senter quelques-unes de mes priorit√©s pour les trois ann√©es √† venir.

Je suis heureuse d’avoir l’occasion de poursuivre mon travail. Beaucoup d’entre vous se souviendront certainement que les premi√®res ann√©es de mon mandat initial ont √©t√© majoritairement d√©di√©es au renouvellement institutionnel du Commissariat de sorte que nous ne pouvions accorder autant de temps √† notre raison d’√™tre – la protection de la vie priv√©e – que je l’aurais souhait√©.

En cons√©quence, d’importants travaux restent √† accomplir et j’appr√©cie grandement la confiance que m’accorde le Parlement afin de poursuivre ma t√Ęche.

Lors de mes comparutions devant le S√©nat et un comit√© de la Chambre des communes, j’ai esquiss√© les priorit√©s suivantes¬†:

  • en premier lieu, exercer un leadership pour promouvoir les domaines prioritaires en mati√®re de protection de la vie priv√©e. Par exemple, le Web et la s√©curit√© publique;
  • en deuxi√®me lieu, aider les Canadiennes et les Canadiens, les organisations et les institutions √† prendre des d√©cisions plus √©clair√©es en mati√®re de protection de la vie priv√©e;
  • et en troisi√®me lieu, la prestation de services √† l’ensemble de la population canadienne. Car, en fin de compte, notre travail doit r√©pondre aux besoins et aux attentes de la population.

Les priorités en matière de protection de la vie privée

Au cours des prochaines ann√©es, nous allons poursuivre notre travail en mati√®re de protection de la vie priv√©e dans des domaines li√©s √† l’univers en ligne, √† la s√©curit√© publique et √† l’application de la loi.

Sous peu, nous allons clore nos enquêtes sur un site de réseautage social destiné aux jeunes et sur un service de rencontres en ligne. Les enjeux dans ce domaine ne manqueront certainement pas.

Il s’agit d’enjeux majeurs pour la population si l’on prend en consid√©ration le r√īle croissant que joue Internet dans notre quotidien. Cette r√©alit√© s’est confirm√©e dans mon esprit lorsque j’ai lu r√©cemment, dans un Index de Harper’s Magazine,qu’un couple am√©ricain sur quatre qui s’est form√© depuis 2007 est compos√© de personnes qui se sont d’abord rencontr√©es en ligne.

Les enjeux li√©s √† la s√©curit√© publique demeureront √©galement d’actualit√©. Ainsi, nous avons exhort√© le Parlement √† aborder prudemment les propositions l√©gislatives visant √† cr√©er un syst√®me de surveillance √©largi qui aurait des r√©percussions importantes sur le droit √† la vie priv√©e.

Prise de décision éclairée en matière de protection de la vie privée

Pour relever le d√©fi que pr√©sente la protection de la vie priv√©e, il faut √©galement s’assurer que les Canadiennes et les Canadiens acqui√®rent de solides comp√©tences en culture num√©rique – ce par quoi j’entends les connaissances et les comp√©tences n√©cessaires pour prot√©ger leur vie priv√©e et les renseignements personnels qui leur ont √©t√© confi√©s par des tiers.

Depuis quelque temps, nous utilisons des outils en ligne comme des blogues, Twitter et YouTube pour aider la population canadienne à mieux comprendre ses droits à la vie privée et à faire des choix éclairés dans ce domaine. Récemment, nous avons créé un groupe consultatif sur la jeunesse pour évaluer la pertinence de nos idées.

Nous allons √©galement poursuivre notre engagement dans les r√©gions parce que les rencontres en personne restent importantes dans ce monde de plus en plus virtuel. Notre bureau de Toronto – o√Ļ sont situ√©es un grand nombre des organisations vis√©es par les plaintes qui nous sont soumises – est maintenant fonctionnel et nous rencontrons r√©guli√®rement nos intervenants qui s’y trouvent. Cela fait partie d’un effort continu pour s’assurer que le Commissariat ne soit pas per√ßu comme un organisme trop centr√© sur Ottawa ou ne connaissant pas les questions qui se posent √† l’ext√©rieur de la r√©gion de la capitale nationale.

Prestation de services

Bien que notre travail soit important dans son ensemble, en fin de compte, le plus important pour moi sur le plan personnel, c’est que notre travail serve les Canadiennes et les Canadiens. Je veux garantir que toute personne qui appelle le Commissariat pour obtenir de l’aide re√ßoive un service qui r√©pond √† ses besoins et √† ses attentes.

Au moment du renouvellement de mon mandat, j’ai √©t√© couverte d’√©loges pour les exploits du Commissariat depuis ma premi√®re nomination √† la fin de l’ann√©e 2003. Parfois, cela m’a mis un peu mal √† l’aise parce que je me consid√®re comme faisant partie d’une √©quipe.

Ne vous m√©prenez pas sur mes paroles¬†: je suis extr√™mement fi√®re du travail accompli par le Commissariat. Nous avons r√©ussi, entre autres, √† mener √† terme avec succ√®s un nombre d’enqu√™tes tr√®s m√©diatis√©es, y compris celle qui trouvait son origine dans une plainte d√©pos√©e par la CIPPIC.

Mais lorsque j’ai √©cout√© tous ces brillants hommages, je ne pouvais m’emp√™cher de penser √† ce que nous devions am√©liorer.

Ma priorit√© absolue pour ce nouveau mandat est la prestation de services aux Canadiennes et aux Canadiens. Nous devons assurer que les plaintes courantes – celles qui ne retiennent pas l’attention des m√©dias – soient trait√©es avec autant de succ√®s, car elles sont d’une importance vitale pour les personnes qui les d√©posent.

Il y a peu de temps, j’ai lu avec consternation un article dans la revue Canadian Privacy Law Review qui s’intitulait¬†: ¬ę¬†Complaining under PIPEDA¬†: An Exercice in Futility¬†¬Ľ (Plainte en violation de la vie priv√©e sous le r√©gime de la LPRPDE¬†: un exercice futile). L’article traitait d’un plaignant frustr√© en raison des 16 mois qu’il nous avait fallu pour terminer l’enqu√™te avec des conclusions qu’il n’estimait pas pertinentes √† l’√©gard de sa plainte initiale.

Malgr√© nos meilleures intentions, dans quelques cas, nous n’avons malheureusement pas pu fournir des r√©sultats aussi pertinents et aussi efficacement qu’il l’aurait fallu.

Au cours des derni√®res ann√©es, une rotation rapide des enqu√™teurs s’est ajout√©e √† un nombre croissant de plaintes d’une complexit√© accrue. En cons√©quence, la longueur de temps de traitement des plaintes devenait inacceptable et nous avions des arri√©r√©s de cas. Dans un effort concert√© combin√© √† une approche diversifi√©e, et gr√Ęce au soutien du Conseil du Tr√©sor qui nous a allou√© des ressources suppl√©mentaires, nous avons r√©ussi √† r√©duire nos arri√©r√©s de plaintes √† quelques cas en 2010.

Bien que ce probl√®me soit r√©gl√©, il reste encore beaucoup √† faire. En ce moment, nous mettons l’accent sur la mise au point de notre processus de traitement des plaintes pour mieux servir les Canadiennes et les Canadiens.

La refonte des processus

Un autre d√©fi interne est d’assurer que tous les types de plainte soient trait√©s de fa√ßon efficace d√®s qu’ils sont port√©s √† notre attention.

En premier lieu, nous soutenons qu’il est important que les plaignants √©ventuels tentent de s’adresser d’abord √† l’organisation concern√©e pour essayer de r√©soudre le probl√®me directement, avant de d√©poser une plainte officielle chez nous. Souvent, cela permet de rapidement trouver une solution.

Nous avons √©galement instaur√© un processus de r√®glement rapide qui produit des r√©sultats tr√®s positifs. En effet, depuis que nous avons formalis√© ce processus, nous avons constat√© une diminution significative des plaintes re√ßues qui font l’objet d’une enqu√™te.

√Čvidemment, le r√®glement rapide n’est pas une bonne solution pour tous les types de plaintes, mais ce processus nous permet de r√©pondre de fa√ßon ad√©quate aux pr√©occupations plus faciles √† r√©gler et il lib√®re des ressources pour traiter des questions plus complexes ou syst√©miques – comme celles en lien avec Facebook et Google WiFi.

Ce sont là quelques-uns des outils qui nous permettent de restructurer nos processus internes pour rendre la protection de la vie privée au Canada encore plus efficace.

La notion de responsabilité

Sur un autre front, il y a aussi du travail √† faire pour renforcer notre loi pour le secteur priv√©, la LPRPDE, pour s’assurer qu’elle prot√®ge ad√©quatement les Canadiennes et les Canadiens.

Je pense aussi qu’il est temps de consid√©rer dans quelle mesure nous pourrons cr√©er des mesures incitatives plus pertinentes pour assurer que les organisations prot√®gent les renseignements personnels.

Lorsque la LPRPDE est entr√©e en vigueur en 2001, elle semblait √™tre assez innovatrice. La Loi s’appuyait sur l’approche du Qu√©bec en mati√®re de responsabilit√©. Ainsi, elle indique dans quelle mesure les organisations sont responsables des renseignements personnels qu’elles d√©tiennent et elle sp√©cifie √©galement qu’elles restent responsables, m√™me si ces donn√©es sont communiqu√©es √† des tiers. Cette notion contrastait avec l’approche europ√©enne de la collecte des donn√©es et du contr√īle du transfert des donn√©es.

Mais, plus r√©cemment, les autorit√©s de protection des donn√©es du monde entier ont fait un pas en avant notable avec la notion de responsabilit√©. La r√©flexion actuelle met l’accent sur l’importance d’exiger des organisations qu’elles prouvent leur responsabilit√©.

Certains experts ont constat√© que la LPRPDE ne comportait aucune obligation de montrer leur responsabilit√©. Notre probl√®me est qu’il y a des dizaines de milliers d’entreprises qui sont soumises √† la LPRPDE, tandis que notre capacit√© de garantir leur conformit√© √† la Loi est limit√©e.

En ce moment, nous n’avons aucun m√©canisme simple pour le contr√īle de la conformit√© – √† moins de recevoir une plainte. La capacit√© du Commissariat de d√©poser des plaintes ou de mener des v√©rifications √† sa demande est limit√©e par notre obligation de pr√©senter des motifs raisonnables pour le faire. Puis, m√™me si nous menons une enqu√™te, il se peut qu’on ne puisse examiner qu’un seul aspect de la conformit√©.

Bref, il y a trop d’entreprises qui recueillent trop de renseignements sur trop de personnes pour un syst√®me fond√© uniquement sur les plaintes – cela est insuffisant pour garantir aux Canadiennes et aux Canadiens que les entreprises avec qui ils font affaire assument leur responsabilit√© et se conforment √† la LPRPDE.

Comment pouvons-nous assurer la conformit√© des entreprises? Faut-il simplement leur faire confiance? Le Commissariat devrait-il mener davantage de v√©rifications dans le secteur priv√©, ou devrions-nous plut√īt envisager une v√©rification ind√©pendante par des organismes de r√©glementation tiers? Faut-il instaurer des mesures incitatives plus importantes?

Ce sont des questions de ce type auxquelles nous pensons en vue du prochain examen de la LPRPDE prévu pour cette année.

Heureusement, nous pouvons profiter d’un discours abondant sur la responsabilit√© qui est men√© partout dans le monde, y compris au sein de l’APEC et en Europe.

Le Centre for Information Policy leadership, qui a son si√®ge aux √Čtats-Unis, est une autorit√© dans ce domaine. Son projet sur la responsabilit√© examine ce que cela signifie, pour une organisation, d’√™tre responsable des renseignements personnels qu’elle recueille et la fa√ßon dont elle peut rendre des comptes aux autorit√©s de protection des donn√©es et √† la population.

Les discussions dans le cadre de ce projet nous ont permis de clarifier les enjeux de cette notion de responsabilité. Elles ont également permis de rapprocher des entreprises multinationales et des autorités de protection des données du monde entier Рdeux groupes qui ne communiquaient pas assez entre eux par le passé.

Ce fut une occasion d’avoir une vue d’ensemble et de r√©fl√©chir √† l’avenir.

L’importance de ce projet s’est encore accrue l’√©t√© pass√©, en raison de la publication d’un Avis sur le principe de la responsabilit√© par les autorit√©s europ√©ennes de protection des donn√©es.

Cet Avis, dont l’auteur est le Groupe de travail ¬ę¬†Article 29¬†¬Ľ, propose d’int√©grer un principe de responsabilit√© dans la directive europ√©enne relative √† la protection des donn√©es. Ce principe l√©gal de responsabilit√© exigerait express√©ment des organisations qu’elles mettent en œuvre des mesures en vue de garantir le respect des principes et obligations pr√©vus par la directive, et qu’elles soient en mesure d’en faire la preuve sur demande.

Le Groupe de travail ¬ę¬†Article 29¬†¬Ľ voit dans le principe de la responsabilit√© une solution pour traduire les prescriptions l√©gales par de v√©ritables mesures de protection des donn√©es.

Ces travaux sont prometteurs parce qu’ils pr√©sentent une certaine convergence des vues par rapport √† la notion de responsabilit√©, ce qui nous permet de progresser en vue de trouver un terrain d’entente √† l’√©chelle internationale.

Mesures incitatives encourageant la conformité

Je voudrais encore prendre quelques minutes pour parler des mesures incitatives encourageant la conformité. Je suis de plus en plus convaincue que nous aurons besoin de pouvoirs accrus pour protéger efficacement la vie privée des Canadiennes et des Canadiens.

Nous sommes devenus l’un des seuls grands pays dont l’autorit√© en mati√®re de protection des donn√©es n’a pas pouvoir de rendre des ordonnances ou d’imposer des amendes.

La Cour f√©d√©rale a le pouvoir d’imposer des dommages-int√©r√™ts aux organisations qui enfreignent la LPRPDE, mais elle a fix√© la barre tr√®s haute √† ce sujet. Dans la d√©cision Randall c. Nubody’s Fitness Centres, qui a √©t√© rendue en juin 2010, le juge Mosley a conclu que des dommages-int√©r√™ts ne doivent √™tre accord√©s que ¬ę¬†dans les cas les plus flagrants¬†¬Ľ.

Depuis la mise en vigueur de la LPRPDE il y a dix ans, la Cour n’a accord√© des dommages‑int√©r√™ts qu’une seule fois.

Vers la fin de l’ann√©e derni√®re, la Cour a accord√© des dommages-int√©r√™ts totalisant cinq mille dollars apr√®s avoir conclu que TransUnion, une agence d’√©valuation du cr√©dit, avait tir√© profit de la communication de renseignements personnels inexacts et avait agi de mauvaise foi en ne prenant pas la responsabilit√© pour son erreur et en ne corrigeant pas le probl√®me rapidement.

Par opposition, il y a de nombreux pays qui ont pris des mesures pour introduire des amendes substantielles.

Au Royaume-Uni, par exemple, le commissaire √† l’information, Christopher Graham, a r√©cemment utilis√© ses pouvoirs discr√©tionnaires pour imposer des peines p√©cuniaires dans le but d’envoyer un message fort en ce qui concerne les infractions graves √† la Data Protection Act du Royaume-Uni.

Ainsi, un conseil de comt√© a √©t√© condamn√© √† verser la somme de 100¬†000¬†¬£ (157¬†000¬†$CAN) pour deux incidents graves¬†: deux employ√©s du conseil ont fax√© des renseignements personnels tr√®s sensibles aux mauvais destinataires. Dans l’un de ces cas, les renseignements traitaient d’abus sexuels d’enfants, dans l’autre, de violence familiale.

On a inflig√© √† une entreprise qui offre des services d’emplois une amende de 60¬†000¬†¬£ (94¬†000¬†$CAN) pour avoir perdu un ordinateur portable contenant des renseignements personnels non crypt√©s sur 24¬†000¬†personnes qui avaient eu recours aux services des centres de conseil juridique communautaires.

Pendant ce temps, mon homologue espagnol, le commissaire Artemi Rallo, avait d√©j√† gagn√© le surnom ¬ę¬†l’ex√©cuteur¬†¬Ľ pour l’utilisation affirmative qu’il faisait de ses pouvoirs de contrainte existants. Puis, √† l’automne, l’organisme pour la protection des donn√©es de l’Espagne a lanc√© une proc√©dure d’infraction contre Google au sujet de sa collecte de donn√©es provenant des r√©seaux WiFi – une action qui pourrait entra√ģner des amendes totalisant des centaines de milliers d’Euros.

Au Canada, le CRTC a le pouvoir discr√©tionnaire d’imposer des amendes pour les contraventions aux R√®gles sur la Liste nationale de num√©ros de t√©l√©communication exclus (il n’y a pas longtemps, il a impos√© une sanction record de 1,3¬†million de dollars √† Bell¬†Canada). La nouvelle loi antipourriel pr√©voit des amendes allant jusqu’√† 10¬†millions de dollars pour les entreprises.

La menace d’une amende sal√©e fait r√©agir toute entreprise – elle accordera alors davantage d’importance au respect de la protection des renseignements personnels.

Nommer les organisations

Une autre mesure incitative avancée par des défenseurs de la protection de la vie privée au fil des ans est de nommer les organisations sur lesquelles nous enquêtons.

Pour √™tre franche, j’√©prouve un malaise grandissant par rapport √† la nature confidentielle de notre travail en vertu de la LPRPDE.

Au d√©part, il nous semblait raisonnable de ne pas communiquer l’identit√© d’une organisation √† moins de consid√©rer qu’une divulgation soit dans l’int√©r√™t public. Cependant, nous constatons que l’int√©r√™t public constitue un seuil jurisprudentiel tr√®s √©lev√©.

J’ai l’impression que cette confidentialit√© ravit √† la population canadienne une grande partie de la valeur p√©dagogique des r√©sultats de nos enqu√™tes. C’est l√† une autre question que nous allons examiner plus en d√©tail dans le cadre du prochain examen de la LPRPDE.

Conclusion

Comme vous pouvez le constater, voilà qui nous donne grandement matière à réflexion pour assurer au Canada sa position dominante en matière de la protection de la vie privée.

Les quelques ann√©es √† venir promettent d’√™tre extr√™mement int√©ressantes. Je me r√©jouis de relever les d√©fis et, une fois de plus, je vous remercie de votre soutien continu et d’avoir organis√© cet √©v√©nement extraordinaire.