Il est temps de resserrer les lois canadiennes sur la protection de la vie privée afin qu’elles tiennent compte de l’évolution des technologies.

Les Canadiens s’inquiètent de la protection de leurs renseignements personnels. C’est pourquoi le Commissariat à la protection de la vie privée du Canada avait commandé en décembre 2016 un sondage auprès des Canadiens sur la protection de la vie privée. Ce sondage a révélé que 90 % des Canadiens sont préoccupés par la protection de leurs renseignements personnels et que 74 % d’entre eux estiment que ces renseignements sont moins bien protégés qu’il y a 10 ans.

Les Canadiens ont raison de s’inquiéter. Le récent scandale de Facebook et Cambridge Analytica a ouvert les yeux sur l’utilisation abusive de données personnelles recueillies auprès de millions d’utilisateurs de Facebook et vendues à une tierce partie dans le but d’influencer des élections à l’échelle internationale. Le lanceur d’alerte canadien au cœur du scandale, Christopher Wylie, a qualifié l’incident de « canari dans la mine de charbon » lors de sa récente comparution devant un comité de la Chambre des communes : « Cambridge Analytica est le début, pas la fin. »

Lors d’une récente assemblée publique du caucus sénatorial, des experts en données ont discuté de la nécessité d’améliorer les protections législatives des données personnelles au Canada. Selon eux, les politiques et les lois actuelles du gouvernement ne suivent pas les progrès technologiques. Mais il faut faire plus.

À l’heure actuelle, les lois fédérales, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), fonctionnent selon un système de plaintes et sont basées sur un cadre général de consentement, contrairement à l’Union européenne (UE), qui s’est dotée d’un règlement strict et proactif sur la protection de la vie privée avec son Règlement général sur la protection des données (RGPD).

Comme l’a dit Valerie Steeves (Université d’Ottawa) lors de l’assemblée publique du caucus sénatorial, le RGPD ne se limite pas à un ensemble de restrictions juridiques mais est basé sur un engagement à l’égard de la protection de la vie privée en tant que « droit de la personne ». La LPRPDE par contre met l’accent sur le consentement. Mais ce consentement, a observé Mme Steeves, « devrait constituer un minimum, et non un maximum » lorsqu’il s’agit de protéger la vie privée des Canadiens. Le Canada doit s’inspirer de l’approche adoptée par l’UE et concevoir la protection de la vie privée comme un droit de la personne.

Nos lois générales sur le consentement permettent l’utilisation de données personnelles des Canadiens de multiples façons, secondaires et tertiaires, à leur insu ou sans leur permission. « Une fois que nous entrons dans un environnement de mégadonnées, le consentement devient un outil faible », a noté Mme Steeves. Nous avons également besoin de « transparence algorithmique », car les entreprises de mégadonnées utilisent les données d’une manière que nous n’avons probablement pas encore imaginée.

Lors du caucus sénatorial, le commissaire à la protection de la vie privée Daniel Therrien a insisté sur le fait que « la confiance des Canadiens est menacée », et pas seulement la confiance des consommateurs, mais aussi la confiance dans nos processus démocratiques. Il a fait remarquer que présentement son bureau n’a pas les pouvoirs nécessaires pour faire respecter les lois en matière de protection de la vie privée, et souligné que les questions de protection de la vie privée ne sont pas propres à Facebook : « L’autorégulation a montré ses limites. »

Le bureau du commissaire à la protection de la vie privée n’a présentement pas les pouvoirs nécessaires pour faire respecter les lois en matière de protection de la vie privée.

Le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, un comité parlementaire multipartite, souscrit à ce constat. Mandaté pour examiner la LPRPDE, il recommande dans son récent rapport « Vers la protection de la vie privée dès la conception » d’accroître considérablement les pouvoirs du commissaire à la protection de la vie privée en matière d’application de la loi, notamment le pouvoir de vérification, le pouvoir discrétionnaire des plaintes à traiter, et la capacité de rendre des ordonnances et d’imposer des amendes à ceux qui ne se conforment pas aux lois. Nous sommes tout à fait d’accord avec ces recommandations.

« Nous devons donner du mordant à la loi », a dit Avner Levin (Université Ryerson) lors du caucus sénatorial, soulignant que la protection des données personnelles des Canadiens est « une question de droit et de volonté politique ». Nous avons le pouvoir de faire quelque chose et ne devons pas rester les bras croisés.

Il a recommandé que des entreprises comme Facebook soient tenues responsables du préjudice causé par le contenu affiché sur leurs plateformes. « Ceux qui attendent que le libre marché réglemente Internet et les entreprises de médias sociaux attendront probablement éternellement », a-t-il précisé.

Adam Kardash, associé au cabinet d’avocats Osler, Hoskin et Harcourt, y est allé d’une mise en garde contre les entraves indues à l’innovation dans les affaires. En répondant à la proposition du « consentement volontaire », il a prévenu que dans les activités commerciales légitimes qui utilisent l’analyse des données, le consentement volontaire serait souvent « tout à fait irréaliste, voire impossible à mettre en œuvre ».

Une question a fait l’objet d’un large consensus : l’application de la LPRPDE aux partis politiques. Ils en sont présentement exemptés, ce qui leur permet de recueillir, de stocker et d’utiliser des données personnelles, y compris les points de vue politiques, et de cibler les électeurs, suivant ainsi leur propre code de conduite sans surveillance. C’est inacceptable. Il est temps que la loi sur la protection des renseignements personnels s’applique aussi à eux.

Le projet de loi C-76 a été présenté récemment pour resserrer les règles entourant les élections, y compris les mesures relatives aux dépenses électorales et à la publicité étrangère, mais il ne traite pas des questions de la protection de la vie privée ni du consentement pour la collecte, l’utilisation et le stockage des renseignements personnels des électeurs. Or ces éléments devraient en faire partie. À court terme, le projet de loi C-76 pourrait être modifié pour assujettir les partis politiques fédéraux à la LPRPDE.

Le gouvernement devrait également envisager de mettre en œuvre plusieurs des recommandations importantes du rapport du comité multipartite, notamment en conférant au commissaire à la protection de la vie privée des pouvoirs d’exécution. À plus long terme, le Canada devrait s’inspirer de l’UE et se donner des pouvoirs plus complets et proactifs afin de protéger les renseignements personnels des Canadiens.

La technologie exige un rattrapage. Comme l’a dit le sénateur Serge Joyal : « Nous devons aussi nous assurer que la loi n’est pas désuète au moment de son adoption. »

Photo : Le commissaire à la protection de la vie privée Daniel Therrien  présente son rapport annuel, le 27 septembre 2016. La Presse canadienne / Adrian Wyld.


Souhaitez-vous réagir à cet article ? Joignez-vous aux débats d’Options politiques et soumettez-nous votre texte en suivant ces directives. | Do you have something to say about the article you just read? Be part of the Policy Options discussion, and send in your own submission. Here is a link on how to do it.