L’Internet des objets, les téléphones intelligents, l’infonuagique et les algorithmes automatisés qui suivent tous nos mouvements en ligne exercent des pressions excessives sur la protection de la vie privée et requièrent l’élaboration d’une approche moderne à l’égard de la protection des renseignements personnels.
Malheureusement, au Canada, nos outils du 20e siècle nous empêchent de résoudre les problèmes de protection de la vie privée propres au 21e siècle. Il apparaît de plus en plus clair que ces outils sont insuffisants, tant pour les institutions gouvernementales que pour le secteur privé.
Nous faisons face à la réalité suivante : la Loi sur la protection des renseignements personnels, qui s’applique à la fonction publique fédérale, est demeurée pratiquement inchangée depuis sa promulgation en 1983, alors que des lois relatives à la protection de la vie privée, de deuxième et même de troisième génération, ont été adoptées pendant ce temps à l’échelle provinciale et à l’étranger. Facebook n’avait pas encore germé dans l’esprit de ses concepteurs lorsque la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) — la loi fédérale sur la protection des renseignements personnels dans le secteur privé — est entrée en vigueur en 2001.
Dans mon rapport annuel qui a été récemment déposé devant le Parlement, je souligne certaines des questions urgentes qui doivent être réglées afin que l’on puisse continuer à assurer la protection adéquate de la vie privée des Canadiens dans le monde branché d’aujourd’hui.
Tout d’abord, le gouvernement devrait accorder la priorité à la modernisation des lois et des politiques dans ce domaine, et consacrer davantage de ressources à l’établissement d’un cadre robuste de protection de la vie privée. Ne pas agir rapidement en ce sens a des conséquences bien réelles : davantage d’atteintes à la protection des données, une collecte et une communication excessives de renseignements personnels, et le risque que les Canadiens perdent confiance dans l’économie numérique, mettant ainsi en péril sa croissance.
Il est également important de suivre la cadence des mesures de protection de la vie privée mises en œuvre dans d’autres pays, particulièrement chez nos alliés en matière de commerce et de sécurité. Certains, dont l’Union européenne (UE), ont procédé au renforcement de leurs cadres de protection de la vie privée. Si les autorités de l’UE estiment que les lois du Canada sur la protection de la vie privée ne sont plus essentiellement équivalentes aux leurs, le commerce entre le Canada et l’Europe pourrait être entravé ou perturbé. C’est précisément ce qui s’est produit aux États-Unis lorsque les tribunaux de l’UE ont jugé invalide l’accord Safe Harbour.
Le Commissariat à la protection de la vie privée du Canada a ainsi formulé un certain nombre de recommandations au gouvernement concernant les changements technologiques, la modernisation des lois et la nécessité d’avoir des institutions fédérales transparentes.
La technologie facilite plus que jamais la collecte, le stockage et la communication de renseignements. Les règles actuelles qui permettent d’encadrer ces pratiques et d’empêcher la communication non autorisée de renseignements personnels sont inadéquates. C’est pour cette raison que le Commissariat demande que la communication de renseignements entre les institutions fédérales et entre ces dernières et d’autres organisations soit fondée sur des ententes écrites qui seront soumises à l’examen du Commissariat.
Afin de donner suite au nombre croissant de cas — de plus en plus complexes — d’atteintes à la protection des données dans le secteur public signalés au Commissariat chaque année (il y en a eu 298 en 2015 comparativement à 256 en 2014), nous demandons au gouvernement de se soumettre à l’obligation légale de protéger les renseignements personnels et que le signalement des atteintes à la protection des renseignements personnels soit exigé par la loi plutôt que par une directive du Secrétariat du Conseil du Trésor (SCT), comme c’est le cas actuellement. De la même façon, nous demandons que les évaluations des facteurs relatifs à la vie privée, qui visent à atténuer les risques d’entrave à la vie privée posés par les nouveaux programmes et services gouvernementaux et ceux qui ont subi des modifications importantes, soient prévues par la loi et non seulement exigées par une directive du SCT, et qu’elles soient toujours présentées au Commissariat avant la mise en œuvre de ces programmes et services.
Afin d’établir les enjeux liés à la protection de la vie privée avant qu’ils ne deviennent des problèmes, le Commissariat recommande ensuite aux institutions fédérales de le consulter avant de déposer des avant-projets de loi et des projets de règlement qui pourraient avoir des répercussions sur la protection de la vie privée, une pratique déjà en place dans plusieurs gouvernements et administrations au Canada et à l’étranger.
En parallèle, le passage des dossiers du format papier au format numérique a entraîné une collecte excessive de renseignements personnels. Notre objectif est donc de faire adopter une modification à la loi qui obligerait les institutions à se limiter à la collecte des renseignements « nécessaires » plutôt que de collecter tous ceux qui sont directement liés à des programmes ou à des activités qui peuvent être de nature très générale.
Dans le but d’accroître la transparence, nous cherchons à obtenir le pouvoir discrétionnaire de rendre publiquement compte, et en temps opportun, des enjeux gouvernementaux en matière de protection de la vie privée. À l’heure actuelle, les exigences en matière de confidentialité limitent notre capacité à discuter des questions de protection des renseignements personnels touchant le secteur public, y compris les résultats des enquêtes, dans les rapports annuels et les rapports spéciaux.
Nous avons également demandé que les institutions fédérales, notamment celles qui sont responsables de l’application de la loi, se soumettent à des obligations de transparence plus strictes en matière de déclaration. Comme nous le réitérons depuis plusieurs années, ces organisations devraient être tenues de dévoiler le nombre, la fréquence et la nature des demandes d’accès légal qu’elles présentent aux fournisseurs de services Internet et à d’autres organisations du secteur privé.
J’ai donc hâte de discuter de ces questions et d’autres recommandations, plus tard cet automne, avec le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, qui a repris l’examen de la Loi sur la protection des renseignements personnels.
Du côté du secteur privé, la question du consentement a récemment dominé les débats. Pourtant l’une des pierres angulaires de la LPRPDE, le consentement a été remis en question en raison de la nature complexe de la circulation des données dans l’univers numérique d’aujourd’hui.
L’époque des interactions conventionnelles, prévisibles, transparentes et personnalisées avec les entreprises est révolue. Il est devenu difficile de savoir avec certitude qui traite nos données, et dans quel but. Les politiques de confidentialité des entreprises, qui visent à nous éclairer tout en protégeant leur responsabilité légale, ont essuyé des critiques : on les juge trop longues, trop légalistes et inutiles pour les consommateurs, qui se sentent de plus en plus obligés de cliquer sur « J’accepte » malgré leurs réticences.
Ce sont les commentaires que nous avons entendus au cours l’activité que le Commissariat a menée pour établir des priorités l’an dernier. Cette activité a d’ailleurs abouti à un document de discussion, publié au mois de mai, qui présente des pistes de solutions pour régler le problème épineux du consentement, et définir les rôles éventuels des personnes, des organisations, des organismes de réglementation et des législateurs à cet égard.
Ces pistes de solutions sont des plus variées, allant du consentement individuel plus éclairé grâce à l’uniformisation des politiques de confidentialité par des entreprises ou des organismes de réglementation à des tableaux de bord qui permettent aux usagers d’établir les paramètres de confidentialité sur un site Web ou une application mobile.
On peut aussi envisager la législation sur des zones interdites, c’est-à-dire d’activités qui ne sont pas permises même avec consentement, et des intérêts commerciaux légitimes dans des situations où le consentement ne s’applique pas ou est pratiquement impossible à obtenir. Ainsi, pour des raisons de sécurité, une entreprise pourrait suivre le comportement de ses clients sur son site Web.
Les marques de confiance, les sceaux d’attestation de la protection des renseignements personnels selon certains standards, les codes de bonne pratique des entreprises, les comités d’éthique responsables d’étudier les préoccupations entourant la confidentialité pour les entreprises ainsi que le pouvoir du Commissariat de rendre des ordonnances et d’imposer des amendes ne sont que quelques-unes des autres mesures qui feront également l’objet de discussions.
En réponse à notre document de discussion, nous avons reçu plus de 50 mémoires provenant d’un large éventail d’associations industrielles, d’entreprises, de groupes de défense des consommateurs, d’organisations de la société civile, de milieux universitaires, de particuliers et d’autres organismes de réglementation.
Au bout du compte, nous espérons établir un plan, qui sera possiblement une combinaison de solutions, pour améliorer le modèle de consentement actuel. Cela permettrait, d’un côté, aux entreprises de continuer à innover et de rester concurrentielles et, de l’autre, aux Canadiens d’exercer un meilleur contrôle sur leurs renseignements personnels.
L’évolution rapide de l’économie numérique a profondément changé le contexte de la protection de la vie privée et continuera de le faire au cours des années à venir. Il est plus que temps d’actualiser notre cadre de protection de la vie privée. Nous devons prendre des mesures immédiates pour préserver la confiance des Canadiens, tant envers nos institutions fédérales qu’envers l’économie numérique.
Photo : wk1003mike / Shutterstock.com
Souhaitez-vous réagir à cet article ? Joignez-vous aux débats d’Options politiques et soumettez-nous votre texte en suivant ces directives. | Do you have something to say about the article you just read? Be part of the Policy Options discussion, and send in your own submission. Here is a link on how to do it.
