Centre des médias

Vie privée sans frontière : Réponse à la mondialisation

Conférence sur la sécurité et la vie privée — Synergies et cibersociété

Le 11 février 2005
Victoria (Colombie-Britannique)

Allocution prononcée par Heather Black
Commissaire adjointe à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)

Le cadre de la vie privée dans lequel nous vivons aujourd'hui n'a qu'un lointain rapport avec celui des dix dernières années, et surtout celui de 1983, alors que la loi fédérale Loi sur la protection des renseignements personnels entrait en vigueur. Nous sommes confrontés à un contexte politique infiniment plus complexe. Les gouvernements soucieux de contrer les menaces extérieures et le terrorisme répondent aux préoccupations croissantes des électeurs à propos de leur sécurité, ce qui entraîne des conséquences désastreuses pour ce droit fondamental de la personne que nous appelons vie privée et un de ses plus importants aspects, la protection des renseignements personnels. Les technologies permettant l'intrusion dans la vie privée ont progressé de manières que l'on pouvait difficilement imaginer il y a vingt ans. La mondialisation était à peine envisageable. Maintenant, les questions associées à la mondialisation, y compris le recours de plus en plus populaire à l'impartition extérieure, nous frappent de plein fouet — et nous nous efforçons tous d'y répondre. Au coeur du débat acrimonieux sur les mérites de la mondialisation, une certitude ressort. Nous ne pouvons pas ignorer le phénomène.

Nous devons relever le défi consistant à maintenir et, dans quelques cas, à établir des normes cohérentes sur la protection de la vie privée à une époque où les renseignements personnels sont une marchandise lucrative et où cette marchandise peut franchir les frontières instantanément. Si l'on s'en tenait simplement aux lois de l'économie, le traitement des renseignements personnels refléterait surtout l'information sur le marché du travail. Dans le cas du travail, les perspectives d'emploi aboutiront dans l'instance ayant les plus bas coûts de main-d'oeuvre - souvent la conséquence de normes du travail faibles. À défaut de contrôles appropriés, les renseignements personnels aboutiront dans l'instance ayant les plus faibles normes en matière de vie privée. Le défi dans les deux situations — marchés du travail et vie privée — consiste à harmoniser les différentes normes nationales de manière à ce qu'elles soient protégées chaque fois que les renseignements personnels et sur le travail circulent.

À court terme, nous pouvons limiter les exportations de renseignements personnels vers les instances qui n'assurent pas une protection appropriée des données. À long terme, les mesures visant à réduire l'impartition feront l'objet d'une vive opposition de la part de groupes intéressés à favoriser un commerce plus important à l'échelle internationale et des nombreuses personnes qui profitent de la prospérité que le commerce international peut apporter. La communauté de la protection des renseignements personnels doit travailler dans ce cadre.

L'idée n'est pas nouvelle pour cet auditoire. C'est essentiellement une répétition, mais d'une voix plus plaintive - d'une demande visant à établir des pratiques équitables de traitement de l'information pour la circulation transfrontière de données, initialement formulées par l'OCDE en 1980 dans ses Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel. Souvenez-vous que ces lignes directrices ont été adoptées à l'appui des trois principes qui lient les pays membres de l'OCDE : démocraties pluralistes, respect des droits de la personne et économies de marché libre. Depuis, l'engagement de l'OCDE envers ces pratiques équitables de traitement de l'information a été nettement renforcé à deux reprises. En 1985, les ministres de l'OCDE ont adopté la Déclaration sur les flux transfrontiers de données, confirmant l'engagement des gouvernements membres de l'OCDE à établir des approches communes aux questions de circulation transfrontière de données et, au besoin, en établissant des solutions harmonisées. À Ottawa en 1998, les ministres de l'OCDE ont confirmé « leur engagement à protéger les renseignements personnels sur les réseaux mondiaux afin de garantir le respect des droits primordiaux, à établir la confiance dans les réseaux mondiaux et à empêcher les restrictions inutiles de la circulation transfrontalière de données personnelles ». En particulier, ils ont déclaré qu'ils « s'efforceraient de bâtir des ponts entre les différentes approches adoptées par les pays membres pour garantir la protection des renseignements personnels sur les réseaux mondiaux d'après les lignes directrices de l'OCDE sur la protection des renseignements personnels ».

Toutefois, 25 ans après la naissance des lignes directrices et de nombreuses années après que les ministres de l'OCDE ont confirmé leur engagement envers ces principes, nous en sommes encore à nous débattre pour mettre ces lignes directrices en oeuvre.

Comme nous l'avons constaté dans ce pays, la Loi sur la protection des renseignements personnels du gouvernement fédéral ne comporte pas de contrôles efficaces de l'exportation des renseignements personnels. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) réussit mieux dans ce sens étant donné qu'elle rend un organisme responsable des renseignements personnels qu'il possède ou qu'il garde, y compris l'information transférée à une tierce partie aux fins de traitement. L'organisme doit utiliser un moyen établi par contrat ou autre pour assurer un niveau comparable de protection pendant que l'information est traitée par une tierce partie. Toutefois, même cette exigence peut difficilement résister à la force de lois comme la PATRIOT ACT des États-Unis ou aux réalités des liens commerciaux canado-américains — des liens antérieurs à la genèse de ces deux nations.

Nous tentons de réaliser des progrès. Le Canada participe toujours au travail de l'OCDE en matière de protection des données. Notre bureau participe à des forums, comme l'initiative sur la protection des renseignements personnels de l'APEC adoptée par le gouvernement de l'Australie. Cette initiative a formé un groupe d'experts régional responsable de l'adoption de normes indépendantes en matière de protection des renseignements personnels dans la région. Bien que certains l'aient qualifiée de « mini OCDE », cette initiative a déjà porté des fruits. Le cadre de l'OCDE régissant la protection des renseignements personnels qui en est ressorti a été endossé par les ministres de l'APEC au cours de la réunion qu'ils ont tenue en 2004 à Santiago au Chili.

PATRIOT ACT des États-Unis

On a observé une constante augmentation du transfert de renseignements personnels des gouvernements au secteur privé, aux fins de traitement, et des organismes du secteur privé du Canada à des entreprises de l'extérieur du pays. Nous devons tous une fière chandelle à David Loukidelis de s'être attaqué à l'enjeu monumental que constitue la PATRIOT ACT des États-Unis. Grâce à lui, nous sommes tous beaucoup plus conscients de l'incidence de la PATRIOT ACT des États-Unis sur les renseignements personnels lorsqu'ils tombent entre les mains de sociétés aux États-Unis, et des risques éventuels d'entrave à la vie privée que pose, en général, la circulation transfrontière de données.

La Loi sur la protection des renseignements personnels n'impose aucune balise aux tierces parties qui détiennent et traitent des renseignements personnels sur les Canadiens. Actuellement, il ne semble pas y avoir de politiques contraignantes du Conseil du Trésor en la matière. Il est logique d'aborder la question sur le plan législatif. La Loi sur la protection des renseignements personnels devrait comporter une définition spécifique des responsabilités des parties qui transfèrent des renseignements personnels à l'extérieur de la fonction publique fédérale et, en fait, à l'extérieur du Canada.

Afin d'éviter de rendre nulles et non avenues toutes les dispositions sur la protection des renseignements personnels enchâssées dans les lois sur la protection des données dans le secteur privé canadien, les organismes du secteur privé doivent s'acquitter de leurs obligations en vertu de la LPRPDÉ ou de lois provinciales similaires visant à protéger les renseignements personnels des clients. À cette fin, il faudra peut-être prendre des mesures pour éviter que les renseignements personnels ne soient transférés à des compétences ne disposant pas de protections suffisantes pour empêcher le gouvernement d'avoir accès à ces renseignements.

La Loi sur la protection des renseignements personnels manque également de contrôles efficaces sur la circulation transfrontière de données entre gouvernements. En fait, une des lacunes flagrantes de la protection des renseignements personnels au niveau fédéral est la disposition touchant la communication de la Loi sur la protection des renseignements personnels. Par exemple, le paragraphe 8(2) permet au responsable d'une institution gouvernementale de communiquer des renseignements personnels sans le consentement de la personne en vertu d'une entente ou d'un arrangement avec un État étranger afin d'exécuter une enquête conforme à la loi. Plutôt que de fixer des limites à la divulgation, la Loi sur la protection des renseignements personnels décrit en réalité un processus de partage transfrontière à grande échelle des renseignements personnels. Dans ce sens, il s'agit davantage d'une loi habilitante que d'une loi sur la protection des données. Des centaines d'ententes et d'arrangements ont été conclus entre des institutions gouvernementales canadiennes et des gouvernements étrangers.

Cette lacune est devenue encore plus flagrante depuis que le resserrement du mécanisme de surveillance a entraîné un accroissement du partage des renseignements au nom de la sécurité nationale et de la solidarité internationale contre le terrorisme.

Vérification de l'ASFC

En réponse à la mondialisation, nous devons également étendre les droits à la vie privée accordés en vertu des lois et des pratiques canadiennes. Je citerai en exemple la façon dont le Canada a répondu à une demande de l'Europe visant à mondialiser la protection des renseignements personnels. En décembre 2003, le gouvernement du Canada a créé l'Agence des services frontaliers du Canada — ASFC — en regroupant les fonctions du renseignement et de la sécurité frontalière de l'Agence des douanes et du revenu du Canada, de Citoyenneté et Immigration Canada et de l'Agence canadienne d'inspection des aliments. L'ASFC recueille les renseignements sur les voyageurs grâce au système relatif à l'information préalable sur les voyageurs et au dossier passager (IPV/DP). De toute évidence, cette information comprend les renseignements sur les ressortissants étrangers à bord d'avions gros porteurs qui arrivent au Canada. À moins de résider au Canada, les ressortissants étrangers n'ont ni le droit reconnu par la Loi sur la protection des renseignements personnels d'obtenir ces renseignements, ni le droit de recours.

Il y exactement un an aujourd'hui, le 11 février 2004, l'organisme consultatif européen indépendant sur la protection de la vie privée et des données, connu comme le Groupe de travail créé en vertu de l'article 29 (une référence à l'article 29 de la Directive de l'UE sur la protection des données), a émis une opinion sur le système IPV/DP du Canada. Cette opinion traite poliment des « préoccupations à propos du respect de la Directive 95/46/EC sur la protection des données ». Autrement dit, le modèle canadien de traitement des renseignements sur les passagers ne fournit pas de protection suffisante pour permettre de conclure que le Canada offrait « une protection appropriée » des données sur les passagers transférées de l'UE au Canada se rapportant à des personnes à bord d'un moyen de transport arrivant au Canada. À moins de conclure à la pertinence, les organismes oeuvrant en Europe ne devraient généralement pas transférer de données personnelles sur les Européens au Canada.

Les négociations subséquentes entre la Commission européenne et le Canada étaient axées sur une série de questions touchant le système canadien, y compris la limitation des fins, les données relatives au dossier passager, les périodes de conservation des données, le réacheminement et les droits des personnes fichées.

Ces négociations ont conduit l'Agence des services frontaliers du Canada, le mois dernier précisément, à prendre une série d'engagements concernant l'IPV/DP. Immédiatement après avoir reçu ces engagements, le Groupe de travail créé en vertu de l'article 29 a émis une opinion concernant « les changements substantiels et importants au programme canadien du DP conformément aux engagements ». Le Groupe de travail a conclu que le Canada assure maintenant un niveau approprié de protection conforme à l'article 25 de la Directive de l'UE sur la protection des données.

L'ASFC promettait entre autres d'étendre, sur le plan administratif, aux personnes à l'extérieur du Canada le droit d'obtenir, de corriger et de noter tous les renseignements personnels à leur sujet. Le Groupe de travail a également « apprécié » l'intention des autorités canadiennes d'examiner la façon dont ces engagements pouvaient être légalement reconnus dans la Loi sur la protection des renseignements personnels, afin de donner naissance aux droits officiels de tierce partie aux citoyens.

Le Groupe de travail a indiqué l'importance du traitement non discriminatoire des citoyens de l'UE et a demandé que la Loi sur la protection des renseignements personnels soit modifiée dès que possible. L'UE sera peut-être en mesure d'encourager nos législateurs à apporter des changements significatifs à la Loi sur la protection des renseignements personnels.

Problèmes de compétence au Canada

En matière de protection des renseignements personnels, en particulier récemment, nous avons surtout porté attention aux conséquences du transfert des données au-delà de nos frontières internationales et à la mise en place d'une norme commune suffisamment élevée sur la protection des données et de la vie privée. Cependant, nous savons tous que dans notre Confédération il faut promouvoir le traitement uniforme des questions de protection des renseignements personnels.

Nous reconnaissons les problèmes de compétence que la LPRPDÉ pose dans les provinces qui ont promulgué des lois « essentiellement similaires ». Jusqu'à présent, la Colombie-Britannique, l'Alberta et le Québec ont promulgué des lois essentiellement similaires. La Loi sur la protection des renseignements personnels sur la santé de l'Ontario est également sur le point d'être jugée essentiellement similaire. Le 5 février, un Résumé de l'étude d'impact de la réglementation a été publié et contenait une proposition de décret d'exemption en vertu de la LPRPDÉ pour la législation ontarienne.

Nous reconnaissons que la protection des données du secteur privé est un domaine de compétence partagée. Nous reconnaissons également la nécessité d'une administration efficace et harmonieuse de la loi sur la protection des données du secteur privé pour les Canadiens et les organismes oeuvrant au Canada. Aucun de nous ne veut créer un système de protection des données inutilement complexe. Aucun de nous ne veut d'un enchevêtrement des compétences. Aucun de nous ne veut faire de cette législation un fardeau que les organismes ne peuvent pas gérer et un processus prêtant à confusion pour les personnes dont on tente de protéger la vie privée.

Notre bureau a travaillé avec les commissaires provinciaux à la protection de la vie privée et avec leur personnel afin d'aider les organismes et les particuliers à déterminer quelles lois s'appliquent dans leur cas. Les bureaux des commissaires à l'information et à la protection de la vie privée de la Colombie-Britannique et de l'Alberta ont publié conjointement un guide qui aide les entreprises et les particuliers à démêler une situation qui parfois paraît déconcertante. Nous avons affiché des questions et réponses sur l'application des lois pertinentes. Nous avons publié divers documents comme la diffusion en temps réel d'une allocution et une trousse électronique à l'intention des entreprises, le tout dans le but de faciliter la mise en oeuvre de la LPRPDÉ. Les commissaires à la protection de la vie privée des 14 entités gouvernementales canadiennes se sont rencontrés officieusement à Ottawa il y a deux semaines et ont exprimé le désir d'élaborer des approches communes des questions relatives aux renseignements sur la santé auxquelles nous sommes tous confrontés.

Ces efforts sont caractérisés par la coopération, et non par la confrontation. Même la contestation constitutionnelle de la LPRPDÉ par le gouvernement du Québec ne réfute pas le besoin d'une uniformité relative dans les lois et les pratiques touchant la protection des renseignements personnels au Canada. Une norme uniformément élevée régissant la protection des données au Canada est dans l'intérêt de toutes les Canadiennes et de tous les Canadiens, tout comme une norme uniformément élevée de protection des données à l'échelle mondiale profite à tous.

En fin de compte, il n'existe pas de moyen totalement clair et net de cerner et de résoudre les problèmes de compétence qui surviennent dans les provinces qui ont des lois essentiellement similaires destinées au secteur privé. Telle est la réalité de notre fédération canadienne. Nous cherchons toutefois des solutions réalisables. Dans ce sens, nous retenons que la protection de la vie privée est censée être un droit des citoyennes et des citoyens qu'il est facile d'invoquer, et non un fardeau intolérable pour les organismes. À mesure que nous, les organismes et les particuliers engagés acquérons plus d'expérience dans les provinces qui ont leurs propres lois régissant le secteur privé, les règles en matière de compétence deviendront de plus en plus claires.

Conclusion

Nous sommes confrontés à une multitude de problèmes de protection des renseignements personnels dans nos propres compétences, entre les instances au Canada et au-delà de nos frontières. Nous travaillons parfois avec des outils désuets et inadéquats en matière de protection des renseignements personnels. La Loi sur la protection de renseignements personnels du gouvernement fédéral, en particulier, a pris des générations de retard sur les technologies qu'elle doit traiter et est également née dans un monde complètement différent de celui de l'après-11 septembre — le monde actuel soumis à la peur.

Malgré tout, nous bénéficions au Canada d'une solide réserve de citoyennes et de citoyens et d'organismes déterminés à protéger le droit à la vie privée. Les organismes oeuvrant au Canada comprennent de plus en plus qu'il est important de respecter le droit à la vie privée des personnes qu'ils rencontrent. De plus, il y une volonté collective d'assurer que la protection des renseignements personnels fonctionne dans ce pays et de contribuer à la faire respecter dans le monde entier.

Nous continuerons à travailler avec tous les intervenants déterminés à régler les problèmes liés à la protection des renseignements personnels auxquels les Canadiennes et les Canadiens sont confrontés. Nous nous heurtons à des barrières en matière de compétence, à des lacunes législatives et à des réalités politiques qui compliquent notre travail. Cependant, je soutiens qu'ensemble, nous sommes parfaitement aptes à relever ces défis.