Centre des médias

Reforme des lois sur la protection des renseignements personnels et de la vie privée : Réponse à un monde en réseau

Série conférenciers invités McCarthy Tétrault

Le 3 février 2005
Halifax (Nouvelle-Écosse)

Allocution prononcée par Heather Black
Commissaire adjointe à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)

Les Canadiens et les Canadiennes doivent s'interroger sérieusement sur l'incidence que les technologies de l'information ont sur leur vie. Ils doivent surtout se pencher sur l'incidence de ces technologies sur le droit humain fondamental que nous appelons la vie privée. La présente tribune nous donne justement la possibilité de le faire.

Nous profitons de l'occasion que nous offre cette invitation à prendre la parole dans le cadre d'une série aussi prestigieuse de conférences pour faire connaître nos préoccupations entourant le cadre actuel de protection des renseignements personnels au Canada. Je traiterai surtout des motifs qui nous portent à croire que le statu quo législatif ne convient tout simplement plus, compte tenu de l'évolution dans le domaine de l'impartition à l'échelle mondiale, des nouvelles lois en matière de sécurité et du cybergouvernement, pour ne nommer que quelques-uns des défis qui se posent en matière de protection des renseignements.

Au Canada, la Loi sur la protection des renseignements personnels fédérale est entrée en vigueur en 1983. Si l'on se fie au calendrier, cela fait à peine 22 ans mais, en termes de technologie de l'information, ce délai se calcule plutôt en lustres. Lorsque le projet de loi sur la protection des renseignements personnels a été rédigé et débattu en Chambre, l'Internet public n'existait pas. Le terme « Google » faisait plutôt penser à un son qu'un bébé pourrait émettre. Les « superordinateurs » de l'époque — s'ils peuvent encore porter ce nom selon les normes d'aujourd'hui — seraient maintenant jugés tout à fait ridicules. Bref, nombre des technologies qui représentent actuellement de si grands risques pour la vie privée n'existaient alors tout simplement pas. Le potentiel au chapitre de la surveillance des caméras vidéo numériques, des réseaux liés, des systèmes mondiaux de localisation, des boîtes noires dans les voitures, des tests de dépistage génétique, des identificateurs biométriques ainsi que des puces d'identification par radiofréquence relevait encore de la science-fiction.

La Loi sur la protection des renseignements personnels et sa soeur beaucoup plus jeune s'appliquant au secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, sont confrontées à un environnement que l'on peut de plus en plus qualifier de « mondialisé », où tant les organisations du secteur privé que celles du secteur public recourent à de vastes activités d'impartition du traitement et du stockage des renseignements personnels.

D'un point de vue tout aussi important, la Loi sur la protection des renseignements personnels fédérale et nos lois en matière de protection des données dans le secteur privé sont également d'une autre époque. En effet, elles ont été promulguées avant les événements du 11 septembre 2001. La soif de renseignements personnels, la soif d'agrégation de ces renseignements, la soif d'analyse de ces renseignements ont augmenté sensiblement depuis les événements de cette journée fatidique tout autant que les tentatives du gouvernement de justifier l'accès à nos renseignements personnels. Au bout du compte, en ce qui concerne l'évolution de la protection des renseignements personnels, c'est l'utilisation qui sera faite des technologies de l'information qui déterminera si elles sont bonnes ou mauvaises.

Nous voulons vivre dans une société ouverte et démocratique qui témoigne de son respect pour les droits humains fondamentaux. De plus en plus, l'environnement très interrelié dans lequel nous vivons et nos relations avec d'autres sociétés démocratiques font passer les droits relatifs aux renseignements au second plan, derrière le programme de la sécurité mondiale.

Il est vrai que le Canada est signataire de plusieurs instruments internationaux qui font ressortir l'importance capitale de la protection de la vie privée. La Déclaration universelle des droits de l'homme et le Pacte international relatif aux droits économiques, sociaux et culturels traitent tous deux du droit à la protection de la loi contre les invasions arbitraires de la vie privée. Notre propre Cour suprême étoffe graduellement le droit à la vie privée grâce à la Charte des droits. Mais, malgré tous les progrès de la technologie de l'information, tous les avancements liés à la mondialisation, toutes les pressions en faveur de l'accroissement de la surveillance au nom de la sécurité nationale et l'institutionnalisation d'un climat de peur, nous devons encore nous contenter de la même loi vieillie qui, souvent, n'arrive plus à protéger les données du secteur public.

Il importe de comprendre quelles sont les limites de la Loi sur la protection des renseignements personnels fédérale. Elle englobe une vaste série de « pratiques équitables en matière d'information » que la communauté internationale de la protection des données a élaborées au fil des ans. Elle constitue essentiellement une loi à caractère réglementaire qui met en quelque sorte de l'ordre dans les manières dont les institutions fédérales recueillent, utilisent et communiquent des renseignements concernant les personnes et dans les manières dont ces dernières peuvent avoir accès à ces renseignements. La Loi sur la protection des renseignements personnels vise à instaurer des mécanismes de contrôle relatifs aux pouvoirs du gouvernement. Mais elle n'est pas à proprement parler une loi qui assure une vaste protection des renseignements personnels. Elle n'est pas dépourvue de mordant mais, dans bien des cas, tout ce qu'elle arriver à faire, c'est mordre à pleines gencives dans les menaces à la vie privée.

Il ne faut surtout pas oublier les répercussions sur les personnes lorsque les institutions fédérales recueillent, utilisent et communiquent des renseignements personnels les concernant. Souvent, nous estimons que les mesures du gouvernement représentent de simples mesures « administratives ». Or, ces mesures administratives peuvent influer profondément sur la manière dont nous menons notre vie, sur les services auxquels nous avons droit, sur les avantages que nous pouvons tirer et, parfois même, sur les libertés dont nous jouissons.

Ce ne sont pas les occasions qui ont manqué d'assurer une plus grande conformité entre la Loi sur la protection des renseignements personnels et notre réalité technologique et notre monde moderne. En 1987, un comité de la Chambre des communes a recommandé des modifications substantielles de la Loi sur la protection des renseignements personnels qui, à cette époque, n'avait pas encore cinq ans.

Il y a huit ans, en 1997, un autre comité de la Chambre des communes a recommandé une remaniement en profondeur et un renforcement de la Loi sur la protection des renseignements personnels. Dans son rapport, le comité faisait état des dangers à emboîter à l'aveuglette le pas à ce que l'on pourrait qualifier de « progrès » technologique. Il préconisait en outre une forme de « vérité dans la publicité » en recommandant que le titre anglais, Privacy Act, soit changé de manière à indiquer sa véritable nature, c'est-à-dire une loi régissant le traitement des renseignements personnels et non une loi couvrant tous les volets de la protection de la vie privée et des renseignements personnels.

La recommandation du premier comité de la Chambre, celle faite en 1987, proposait de modifier les dispositions de la Loi sur la protection des renseignements personnels dans le domaine de l'« appariement informatique » pour veiller à l'établissement de liens avec les dossiers personnels uniquement lorsqu'il était possible d'en démontrer la nécessité. Elle confiait en outre au commissaire à la protection de la vie privée du Canada le mandat d'assurer une vigilance continue à ce sujet. Cette recommandation est tombée dans l'oreille d'un sourd. Une recommandation semblable formulée par le second comité en 1997 a reçu le même accueil. Or, c'est justement ce lien, cette agrégation de renseignements personnels, qui, de l'avis de plusieurs, constitue l'une des plus grandes menaces courantes en matière de protection des droits à la vie privée.

De fait, l'une des rares tentatives de modification de la Loi sur la protection des renseignements personnels a découlé, non pas du désir d'accroître la protection des renseignements personnels, mais bien de la réduire. Dans sa forme initiale, la Loi antiterroriste aurait conféré au solliciteur général le pouvoir d'émettre un certificat relatif à des questions de sécurité nationale ou de défense nationale qui aurait, dans la réalité, exclu l'application de la Loi sur la protection des renseignements personnels. Heureusement, cette disposition a été passablement modifiée afin d'assurer la surveillance continue du commissaire à la protection de la vie privée.

Trop peu de changements ont été apportés à la Loi sur la protection des renseignements personnels alors que tant de modifications s'imposent. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) comporte moins de lacunes à cet égard puisqu'elle a été promulguée à l'ère numérique, bien qu'elle n'aurait pu prévoir les tensions croissantes qui se feraient sentir dans la foulée des événements du 11 septembre en faveur de l'utilisation des bases de données privées dans le cadre des mécanismes de surveillance de l'État.

Permettez-moi de vous décrire quelques-unes des plus importantes lacunes de la Loi sur la protection des renseignements personnels.

Lorsqu'elle a été promulguée, la Loi sur la protection des renseignements personnels devait représenter une loi sur la protection des données fondée sur l'hypothèse selon laquelle chaque ministère tiendrait ses propres renseignements de manière indépendante et principalement dans des systèmes de classement sur support papier. Or, de nos jours, les bases de données automatisées peuvent être partagées d'une manière qui semble parfois relever de la plus pure fantaisie législative. En 2000, la Cour d'appel fédérale¹ a rendu une importante décision montrant que la Loi sur la protection des renseignements personnels fédérale n'est pas d'une grande utilité lorsqu'il s'agit de contrôler la collecte de renseignements à une fin et leur communication ultérieure en vue de leur couplage à d'autres données.

La Cour d'appel a conclu que la disposition relative à la communication — en l'occurrence l'article 8 — de la Loi sur la protection des renseignements personnels permettait au Parlement de conférer à un ministre, par l'entremise d'une loi donnée, un vaste pouvoir discrétionnaire au chapitre de la communication des renseignements recueillis par son ministère. Elle n'a pas retenu l'argument voulant que la Loi sur la protection des renseignements personnels stipule que les renseignements personnels ne doivent être communiqués qu'à la seule fin pour laquelle ils ont été recueillis ou pour une utilisation conforme à cette fin. Elle a conclu que la Loi sur la protection des renseignements personnels permet la communication de renseignements personnels sous le contrôle d'une institution fédérale à une fin conforme à une loi fédérale ou à un règlement quelconque qui en autorise la communication. L'année suivante, la Cour suprême du Canada affirmait qu'elle « souscrivait en substance » à l'interprétation que la Cour d'appel fédérale avait donnée à la Loi.

Le manque de contrôles réels dans la Loi concernant la circulation transfrontalière des données constitue pour moi une source particulière de préoccupation. Le transfert des renseignements personnels entre les gouvernements n'a cessé d'augmenter, surtout depuis le 11 septembre, de même que le transfert de données aux fins du traitement entre le gouvernement et les sociétés à l'étranger, le tout découlant des économies mondialisées. La Loi sur la protection des renseignements personnels ne renferme aucune disposition obligeant les tiers qui détiennent et traitent des renseignements personnels concernant des Canadiens à prendre des mesures de protection. À l'heure actuelle, aucune politique du Conseil du Trésor du Canada n'est exécutoire dans ce domaine, et ce, même si quelques faits nouveaux dans ce secteur font l'objet d'examen. La Loi sur la protection des renseignements personnels devrait définir en des termes précis les responsabilités de ceux qui transfèrent des renseignements personnels hors de la fonction publique fédérale, voire hors du Canada.

Nous devons en outre traiter des répercussions de la loi dite USA PATRIOT ACT — et de l'impartition en général — sur les renseignements personnels entre les mains du secteur privé au Canada. Cet enjeu a atteint un point critique par suite de l'examen que le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique a mené quant aux répercussions de la loi dite USA PATRIOT ACT sur les renseignements personnels concernant les Canadiens. Cette loi facilite considérablement l'accès du FBI aux renseignements personnels détenus par des sociétés aux États-Unis, ce qui comprend des renseignements qui y sont conservés sur les citoyens canadiens. Le Canada a déjà conclu avec les États-Unis de très nombreux accords de partage de l'information au niveau gouvernemental. La loi dite USA PATRIOT ACT pourrait donc influer très peu sur la dynamique du flux d'information entre le gouvernement du Canada et les organismes américains. Toutefois, la décision d'une société canadienne d'envoyer des renseignements personnels aux États-Unis pour fins de traitement pourrait à elle seule annuler les mesures de protection instaurées par notre loi sur la protection des données dans le secteur privé, à savoir la LPRPDÉ, et ce, en dépit du principe de cette dernière qui veut que les organisations canadiennes soient responsables des renseignements personnels qui sont transférés à un tiers aux fins de traitement. Les Canadiens, qui estiment disposer d'un mécanisme relativement solide de protection de leurs renseignements personnels détenus par des organisations au Canada, seront sans doute sidérés d'apprendre que ces mesures de protection disparaissent souvent si ces organisations transfèrent leurs renseignements personnels à l'étranger.

Le couplage des données continue de poser problème. Or, la Loi sur la protection des renseignements personnels ne comporte aucune disposition particulière sur le sujet. Les lignes directrices du Conseil du Trésor exigent des ministères qu'ils soumettent au Commissariat des propositions de couplage des données pour qu'il les examine et les commente, mais cela se produit rarement. Compte tenu de la nature envahissante du couplage des données, nous sommes d'avis que la loi devrait prévoir le devoir de présenter des rapports à cet égard.

L'actuelle Loi sur la protection des renseignements personnels est également source d'un important problème, qui tient au fait qu'elle est subordonnée aux autres lois. Comme vous le savez sans doute, la LPRPDÉ a préséance sur les lois promulguées ultérieurement à moins que le Parlement ne stipule expressément le contraire. Or, la Loi sur la protection des renseignements personnels ne renferme aucune disposition du genre. Elle devrait assurément en contenir. La Loi sur la protection des renseignements personnels devrait avoir préséance sur toute autre loi qui ne contient pas de clause dérogatoire explicite. Cette exigence compenserait en partie l'absence de droit constitutionnel explicite à la vie privée.

La Loi sur la protection des renseignements personnels confère également au commissaire à la protection de la vie privée du Canada uniquement des pouvoirs d'ombudsman. Elle ne lui accorde aucun pouvoir en matière d'application de la loi, tandis que des modèles en vigueur dans plusieurs autres administrations, tant au Canada qu'à l'étranger, confèrent de tels pouvoirs. Le moment est venu de se demander s'il convient d'investir le commissaire à la protection de la vie privée du Canada de pouvoirs à cet effet.

De nombreuses autres lacunes de la Loi peuvent être signalées, mais je n'en traiterai pas en profondeur aujourd'hui. Il suffit de dire qu'elles comprennent des exceptions excessivement générales au droit d'accès aux renseignements personnels d'un particulier détenus par le gouvernement, de l'omission de la Loi d'encadrer (cover) plusieurs importantes institutions fédérales, dont le recours restreint aux tribunaux pour le Parlement, et l'absence de limites efficaces sur la collecte de renseignements personnels par le gouvernement.

Je vous ai peint un tableau assez lugubre de notre Loi sur la protection des renseignements personnels fédérale. Je puis toutefois vous assurer que je serai beaucoup plus positive concernant la vie privée de la population canadienne si les mesures que je préconise pour renforcer la Loi sont adoptées.

Au chapitre de la réforme de la Loi sur la protection des renseignements personnels, j'aimerais traiter d'un autre enjeu qui devient de plus en plus pertinent en cette ère de cybergouvernement, ou du Gouvernement en direct, pour reprendre la terminologie en vigueur au gouvernement fédéral. Il s'agit de la tension qui existe entre les modes traditionnels de protection des renseignements personnels grâce à ce que l'on appelle des silos de données, d'une part, et l'engouement du cybergouvernement pour le groupement des renseignements personnels.

Ceux qui s'inquiètent de la protection de la vie privée ont depuis longtemps soutenu que le stockage de renseignements personnels dans des bases de données distinctes, ou des silos de données, aide à les protéger contre toute utilisation abusive. Le silo de données place les renseignements dans des compartiments, ce qui évite qu'une personne — par exemple, un fonctionnaire — ait accès à plus de renseignements concernant un citoyen qu'elle n'en a besoin dans l'exercice de ses fonctions.

Il est possible de constater, d'une manière détournée, l'importance des silos de données en examinant la tentative lancée par la US Defense Advanced Research Projects Agency (DARPA) il y a quelques années de cela lorsqu'elle s'est penchée sur un stratagème portant initialement le nom « Total Information Awareness ». Le conseiller en matière de protection de la vie privée de l'ancien président américain Clinton, le professeur Peter Swire, avait vertement critiqué² cette initiative, un projet de recherche qu'il avait comparé à un « aspirateur pour les bases de données du gouvernement, des dossiers publics et du secteur privé ». En raison du tollé de protestation que le dossier a soulevé, le financement du programme a été refusé, mais certains défenseurs de la vie privée s'attendent à ce qu'il réapparaisse sous une autre forme.

L'optimisation du partage de l'information entre les organismes gouvernementaux américains suppose notamment l'abolition des silos de données, ce qui indique tacitement mais clairement qu'ils font obstacle à la surveillance totale, mais tout aussi clairement que les silos de données protègent la vie privée.

Les silos de données sont loin de représenter un moyen parfait de protéger la vie privée. Ils donnent lieu au dédoublement des renseignements personnels car divers organismes gouvernementaux doivent recueillir les mêmes renseignements personnels concernant un particulier. Mais ils ont été essentiellement perçus comme une mesure de protection contre l'ingérence des gouvernements.

Malheureusement, les silos de données sont l'antithèse des concepts du cybergouvernement ou du « Gouvernement en direct ». Or, nous savons tous que le cybergouvernement est une des principales priorités du Canada. Dans le discours du Trône d'octobre 1999, le gouvernement fédéral s'est fixé l'objectif de devenir « le gouvernement le plus accessible à ses citoyens » de sorte que les Canadiens aient accès en direct à tous les renseignements et services gouvernementaux. Le réseau Canada atlantique en direct, une alliance entre les quatre provinces du Canada atlantique, s'est fixé des objectifs semblables.

Le cybergouvernement donnera presque inévitablement lieu à un plus grand groupement des renseignements personnels pour améliorer la coopération et la coordination entre les organismes gouvernementaux ayant des programmes communs. Cela peut diminuer la redondance des fonds de renseignements et accroître l'efficience du gouvernement. Mais les citoyens canadiens peuvent-ils quand même être protégés contre l'utilisation abusive de leurs renseignements personnels par leurs gouvernements? La tentative la plus récente d'uniformisation des lois et des réalités technologiques a lieu au Québec, où le gouvernement vient de déposer le projet de loi 86 modifiant la loi sur l'accès à l'information pour contribuer au développement (facilitate) du cybergouvernement et fournir, entre autres choses, des normes minimales relatives à l'impartition des données.

À mon avis, nous devrions pouvoir accepter le groupement des caractéristiques informationnelles du cybergouvernement sans pour autant renoncer aux droits à la vie privée. Mais l'existence même du cybergouvernement justifie d'autant plus l'instauration d'un cadre de protection des renseignements personnels plus efficace, qui exigerait d'entrée de jeu un degré plus élevé de justification de la collecte de renseignements personnels et un respect plus rigoureux du principe selon lequel les renseignements personnels ne doivent être utilisés qu'aux fins pour lesquelles ils ont été recueillis.

Le professeur Pierre Trudel de l'Université de Montréal³ prétend que la vie privée peut être protégée même dans le monde en réseau des gouvernements, mais affirme qu'une telle protection exige un changement en profondeur des règles régissant les renseignements personnels. L'accent ne portera plus sur le fait qu'un renseignement personnel donné soit ou non en la possession d'une institution gouvernementale puisqu'il sera de fait en la possession de toutes les institutions du réseau, mais il portera plutôt sur la question de savoir si une institution devrait avoir le droit d'obtenir l'accès à ce renseignement pour prendre une décision.

En d'autres termes, il est possible de tenir compte de la vie privée dans un système de renseignements personnels regroupés si le cadre juridique régit plus rigoureusement les conditions en vertu desquelles chaque agent de l'État est autorisé à obtenir l'accès à ces renseignements. La mise en oeuvre de contrôles plus efficaces sur l'accès à ce groupement de renseignements par les institutions gouvernementales veillera à ce que les renseignements soient utilisés uniquement aux fins pour lesquelles ils ont été obtenus.

L'accent ne portera pas uniquement sur l'accès car il convient d'imposer de prime abord des limites plus efficaces à la collecte des renseignements personnels, mesure qui malheureusement brille par son absence dans la version actuelle de notre Loi sur la protection des renseignements personnels. Dans un monde où les renseignements sont groupés, il devient nécessaire de justifier la collecte de tous les renseignements personnels. Cela signifie que les fins pour lesquelles les renseignements seront utilisés devront elles aussi être énoncées clairement.

Ce système devra être transparent, de manière à gagner la confiance des citoyens. De plus, il exigera que chacune des institutions pouvant avoir accès aux renseignements groupés soit réputée le détenteur légal des renseignements. Il en résultera que chaque institution partagera la responsabilité d'assurer la confidentialité des renseignements. Le cadre juridique régissant les renseignements groupés obligera en outre chacune des institutions à prendre des mesures qui assureront la sécurité des renseignements personnels.

Je viens de vous tracer un portrait bien incomplet des mesures à prendre pour assurer la protection de la vie privée même dans un milieu où les silos de données font place aux groupements de renseignements personnels. Il est cependant possible, même à partir de ce portait préliminaire, de voir que la protection des renseignements personnels dans ce monde du cybergouvernement et du groupement des renseignements exige une série beaucoup plus rigoureuse de lois que celles que nous appliquons actuellement.

Nous sommes à l'aube du cybergouvernement. Si nous ajoutons à cela la capacité accrue d'atteinte aux droits qui découle des autres progrès technologiques et la tension croissante qui menace nos droits en raison du climat de peur qui dirige nombre de gouvernements, nous avons des arguments convaincants pour renforcer immédiatement et considérablement nos lois fédérales en matière de protection des renseignements personnels. Malgré cela, malgré les réformes réclamées par des comités de la Chambre des communes il y a 18 ans, demande qui a été réitérée il y a huit ans, malgré les changements demandés par les défenseurs des droits à la vie privée, rien de substantiel n'a changé concernant notre Loi sur la protection des renseignements personnels fédérale. Si nous voulons sérieusement protéger la vie privée, nous ne pouvons pas nous permettre d'attendre plus longtemps.

Dans un pareil contexte, la commissaire et moi-même considérons qu'il nous semble opportun de rencontrer l'honorable Irwin  Cotler, ministre de la Justice, pour discuter d'un programme de réforme de la Loi sur la protection des renseignements personnels. Ainsi, un groupe de travail composé de représentants du ministère de la Justice et du Commissariat vient d'amorcer des discussions sur les éventuelles réformes.

Le Canada peut à juste titre se vanter de sa Charte des droits et de sa réputation en tant que société fondée sur des règles. Dans l'ère de l'information, le moment est venu d'énoncer nos droits à l'information en des termes plus convaincants et de nous doter d'un cadre législatif moderne adapté aux réalités de la technologie, de la mondialisation et du cybergouvernement.

¹ Re Loi sur la protection des renseignements personnels (Can.) [2000] 3 C.F. 82; Loi sur la protection des renseignements personnels (Can.) (Re), [2001] 3 R.C.S. 905, 2001  CSC  89.
² Professeur Peter Swire, ancien conseiller principal en matière de vie privée, « Critiquing the Idea of Total Information Awareness », allocution devant la International Association of Privacy Officers, le 27 février 2003.
³ Pierre Trudel, « Renforcer la protection de la vie privée dans l'État en réseau : l'aire de partage de données personnelles » Revue française d'administration publique n° 110, 2004, pp. 257-266. M. Trudel fait remarquer que son analyse ne vise pas la collecte et l'utilisation des renseignements par les forces de l'ordre .