
	Mandat et mission

	Législation

	Trousse pour le grand public

	Trousse pour les entreprises

	Activité parlementaire

	Centre des médias
	Discours
	Activités à venir


	Blogue

	Conclusions de la commissaire

	Évaluation des facteurs relatifs à la vie privée

	Rapports et Publications

	Centre des ressources

	Questions-clés

	Fiches d'information

	Jeu-questionnaire sur la protection de la vie privée

	Divulgation proactive

La protection de la vie privée et la technologie : Un appel à plus d’interventions

Sixième conférence annuelle sur l’accès à l’information et la protection des renseignements personnels : La technologie – une amélioration ou une détérioration de la démocratie ?

Le 20 avril 2005
Ottawa (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Si le niveau d’énergie consacré par un gouvernement à l’utilisation de la technologie et du droit pour faciliter la surveillance équivalait à une quantité égale d’énergie consacrée à consolider le droit à la protection de la vie privée, je serais beaucoup plus rassurée en tant que commissaire à la protection de la vie privée que je ne le suis aujourd’hui.

Voici quelques exemples des motifs pour lesquels je m’inquiète des approches du gouvernement à l’égard des technologies qui portent atteinte à la vie privée. Le couplage et le forage des données présentent toutes deux des possibilités d’intensifier la surveillance. Le couplage de données fera également partie intégrante de nos tentatives d’élargir le cybergouvernement à l’échelle fédérale, ce qui pourrait représenter un avantage pour les Canadiennes et les Canadiens dans leurs interactions avec le gouvernement.

Cependant, où en sont les interventions législatives et politiques permettant de veiller à ce que le couplage de données n’aille pas à la dérive?

Il n’y a même pas de disposition dans la Loi sur la protection des renseignements personnels qui exige que le commissaire à la protection de la vie privée soit informé d’un couplage de données. Le Conseil du Trésor du Canada a adopté une politique sur le couplage de données en 1989. Toutefois, ce n’est qu’une directive d’orientation qui n’a pas force de loi. Elle précise que les institutions fédérales visées par la Loi sur la protection des renseignements personnels effectuent une évaluation exhaustive des projets de couplage de données et que le Commissariat soit informé 60 jours avant le début des couplages.

Malheureusement, cette politique semble le plus souvent enfreinte. En 2003-2004, nous avons reçu seulement 10 avis de couplages de données. Nous soupçonnons depuis longtemps que la majorité des couplages de données ne sont tout simplement pas déclarés. Et même dans les quelques rares cas où je suis informée d’un couplage de données, je ne possède pas le pouvoir de faire cesser le couplage ou de le restreindre. Dans les faits, la réaction du gouvernement du Canada à ce puissant outil de surveillance a donné lieu à la mise en place d’une politique limitée qui ne renferme aucune exigence sur l’imputabilité et sur la reddition de comptes.

Certaines personnes ont exigé l’instauration de mesures plus efficaces de contrôle du couplage de données depuis les premiers jours de la Loi sur la protection des renseignements personnels. En 1987, soit seulement quatre ans après l’entrée en vigueur de la Loi, un comité de la Chambre des communes a recommandé de modifier les dispositions de la Loi sur la protection des renseignements personnels dans le domaine de l’« appariement informatique » pour veiller à l’établissement de liens avec les dossiers personnels uniquement lorsqu’il était possible d’en démontrer la nécessité. Elle confiait en outre au commissaire à la protection de la vie privée du Canada le mandat d’assurer une vigilance continue à ce sujet. Cette recommandation est restée lettre morte. Une recommandation semblable formulée par un second comité en 1997 a reçu le même accueil. Le mois dernier, j’ai soulevé de nouveau cette question à M. Reg Alcock, président du Conseil du Trésor, et je lui ai demandé d’adopter des règles régissant les différentes formes de couplages de données.

Le forage des données constitue un autre enjeu important qui, jusqu’à récemment, a échappé aux contrôles. Comme dans le cas de nombreuses technologies qui pourraient être profitables, le forage des données a de sérieuses répercussions sur la protection de la vie privée. Le temps est venu d’étudier les pratiques gouvernementales de forage des données au Canada pour établir à la fois leur portée et leur degré d’uniformité par rapport aux pratiques équitables de traitement de l’information. Nous ne pouvons pas nous permettre de ne pas réagir. Le CPVP a l’intention de se prévaloir de tous ses pouvoirs en matière de vérification pour examiner les questions de forage des données là où il est justifié de le faire.

Vous pouvez voir le portrait qui prend forme. D’une part, le gouvernement semble avoir l’intention d’accroître ses pouvoirs de surveillance par la législation et la technologie. D’autre part, il accuse un sérieux retard dans le domaine des interventions législatives et politiques.

Cependant, je garde bon espoir et j’aimerais féliciter le gouvernement d’avoir imposé depuis seulement hier les nouvelles exigences selon lesquelles les administrateurs généraux seront tenus de faire rapport sur les évaluations des facteurs relatifs à la vie privée, les types de communication en vertu l’article 8 (2) de la Loi, de même que les projets de couplage de données et de partage d’information. Les rapports annuels sur les questions de protection de la vie privée et d’accès à l’information sont des outils précieux et nécessaires pour assurer le suivi du développement dans ces domaines. Il s’agit d’un grand pas dans la bonne direction pour parvenir à traiter des questions de conformité en vertu de la Loi sur la protection des renseignements personnels.

Sécurité de la TI : Un pilier essentiel à la protection de la vie privée

Le gouvernement se montre toujours indolent à améliorer la portée et l’influence de la Loi sur la protection des renseignements personnels et à adopter des politiques qui renforceraient la protection de la vie privée, par exemple, des questions de sécurité de l’information.

Bon nombre d’entre vous allez prendre connaissance des conclusions tirées relativement à la sécurité de la technologie de l’information dans le rapport de février 2005 de la vérificatrice générale du Canada. M^me Fraser a vérifié la sécurité des TI pour la dernière fois en 2002 et a constaté que les progrès réalisés depuis ont été, selon ses dires, « insatisfaisants », en dépit des signes d’amélioration encourageants. Elle a conclu que le gouvernement ne satisfait pas encore à ses propres normes les plus élémentaires en matière de sécurité des TI. Les études et les évaluations de la sécurité des TI effectuées au cours des deux dernières années ont révélé de graves lacunes dans les contrôles de l’accès aux données, aux programmes et aux réseaux.

La vérificatrice générale a exhorté les cadres supérieurs des ministères de s’appliquer davantage à l’identification adéquate des menaces et des risques, d’élaborer des plans d’action afin de rectifier ces failles et de mieux observer les politiques et les normes en matière de TI. J’ajouterais que le besoin d’assurer la sécurité des TI est d’autant plus urgent que l’initiative fédérale sur le cybergouvernement accroît le nombre de services gouvernementaux offerts en ligne.

Je tiens à préciser que, du point de vue de l’intérêt public, le règlement des questions de protection de la vie privée nécessite l’adoption d’un ensemble de mesures novatrices et audacieuses pour gérer les risques en matière de protection de la vie privée posés par les grands systèmes de TI ainsi que le renforcement du cadre législatif concernant la façon dont le gouvernement fédéral gère l’information qu’il possède sur ses citoyennes et ses citoyens.

La protection de la vie privée et la sécurité vont de pair et sont axés sur la même réalité : protéger les citoyennes et les citoyens. Ces deux éléments ne doivent donc pas s’opposer.

Impartition

Le débat de l’an dernier sur les répercussions de la USA PATRIOT Act sur les renseignements personnels transférés à l’extérieur du Canada n’est toujours pas terminé. Comme de nombreuses autres organisations, le Commissariat s’est rapidement rendu compte que ce n’était pas simplement une question relative à l’accès accru à notre personnel par les services de police américains en vertu de la USA PATRIOT Act. Il s’agissait d’un enjeu beaucoup plus vaste qui traduit l’ampleur de l’impartition par le secteur privé et les organismes du secteur public du Canada. Le débat sur la USA PATRIOT Act n’est que le catalyseur qui donnera lieu à un examen sérieux de cette question.

Nous sommes parvenus à établir dans notre nouvelle loi, la LPRPDÉ et dans les lois provinciales similaires à la nôtre, un ensemble de normes respectables mais imparfaites, peu s’en faut, de protection des renseignements personnels au Canada. Nous ne souhaitons pas que ces normes disparaissent lorsque les renseignements personnels franchiront nos frontières. Comment alors pouvons-nous créer des lois, des institutions et des politiques publiques qui assureront l’application de ces normes au transfert des renseignements personnels?

Les Canadiennes et les Canadiennes sont de plus en plus informés de la circulation de leurs renseignements personnels et ils commencent à la mettre en doute.

D’après un récent sondage d’opinion publique de la société EKOS commandé par le Commissariat à la protection de la vie privée en mars 2005, les répondants pensent que les gouvernements ne comprennent pas bien la manière dont les entreprises utilisent les renseignements personnels qu’ils détiennent sur les Canadiennes et les Canadiens. Notre étude révèle également l’existence d’une croyance répandue selon laquelle les renseignements personnels sont communiqués librement à d’autres pays, surtout aux États-Unis. Les Canadiennes et les Canadiens sont donc grandement préoccupés par la circulation transfrontalière des renseignements personnels. On souhaite également que les gouvernements et le secteur privé obtiennent le consentement éclairé des Canadiennes et des Canadiens avant de divulguer ainsi leurs renseignements personnels.

L’automne dernier, le Secrétariat du Conseil du Trésor a lancé un examen des activités d’impartition dans les institutions du gouvernement fédéral. Nous attendons toujours l’inventaire des échanges transfrontaliers des renseignements personnels détenus par les institutions du gouvernement fédéral. Je suis très préoccupée du fait que plus d’un an après que la question a été soulevée en Colombie-Britannique, il n'existe aucun tableau clair de la situation. Dans l’intervalle, le Commissariat vérifie, de sa propre initiative, les échanges transfrontaliers de données de l’Agence des services frontaliers du Canada. Je peux vous dire sans trop m’avancer pour l’instant que l’essentiel de ce travail consistera à vérifier les mécanismes de protection offerts par les grands systèmes TI.

J’aimerais faire preuve d’une patience infinie dans ce dossier de l’impartition, mais ce n’est pas le cas. Nous avons soumis cette question au gouvernement pour la première fois il y a quinze mois. Nous en avons discuté avec le ministre de la Justice, Irwin Cotler, et avec le président du Conseil du Trésor, Reg Alcock. Il y a plusieurs années, le Conseil du Trésor a élaboré un projet de lignes directrices sur l’impartition par le gouvernement, mais celles-ci n’ont pas été adoptées ni même adaptées au problème de l’impartition des renseignements personnels confiés au gouvernement.

La désuète Loi sur la protection des renseignements personnels, qui est demeurée pratiquement inchangée depuis un quart de siècle, ne traite pas l’impartition alors que les répercussions de la technologie sur la vie privée n’ont jamais été aussi importantes.

Relever les défis de la technologie

Le gouvernement s’est montré lent à combler l’écart entre les technologies envahissantes et la réglementation de ces technologies. Le Commissariat a tenté de faire sa part à cet égard. En janvier dernier, nous avons annoncé l’adjudication de plus de 370 000 $ aux termes du programme de contributions que le Commissariat a lancé l’année dernière pour encourager l’élaboration de projets de recherche qui contribueront à disséquer les aspects sociétaux de la technologie et de la vie privée. Quelques-uns de ces projets analyseront les enjeux liés à la surveillance et les répercussions des valeurs technologiques et comportementales.

Ces projets de recherche peuvent cerner les questions de protection de la vie privée et même apporter les rectificatifs technologiques dans certains cas. L’apport des connaissances acquises grâce à ces projets est inestimable. Cela ne veut pas cependant dire que le gouvernement peut s’asseoir sur ses lauriers et se dire qu’il vaut mieux attendre les résultats de ces recherches. En d’autres termes, cela ne devrait pas lui permettre de se croiser les bras. Ces questions ne pourront pas être réglées sans la participation du gouvernement au moyen des modifications législatives ou politiques.

Le danger de sonner l’alarme

Une partie du défi qui consiste à s’attaquer aux répercussions de la technologie sur la vie privée réside dans le danger que nous soyons considérés comme si nous sonnions l’alarme. Même si la plupart des gens ne saisissent pas sur-le-champ les effets ou l’impact de la technologie sur leurs renseignements personnels, les conséquences ultimes de la protection de la vie privée sont les mêmes. Que l’on fasse bouillir le homard lentement ou rapidement, il est mort à la fin du processus.

Conclusion

On pourrait espérer que certains usages de la technologie pour porter atteinte à la vie privée au nom de la sécurité nationale ou d’un certain ordre public ne soient que temporaires. Cependant, je soupçonne qu’ils sont provisoires de la même façon que l’impôt sur le revenu était temporaire lorsqu’il a été instauré pour la première fois.

Le portrait que j’ai présenté n’est donc pas tout à fait joyeux, mais il n’y a pas de quoi se jeter en bas d’un pont à ce stade-ci.

Du point de vue législatif, la Loi sur la protection des renseignements personnels devrait être revue en 2006 et, comme vous le savez, la Loi antiterroriste fait présentement l’objet d’un examen. Dans le cas des gens qui ne sont pas capable d’attendre les améliorations à la loi, d’autres mesures peuvent être mises en œuvre même sans modifications législatives. Une meilleure sécurité des TI ne requiert pas nécessairement de nouvelles lois. Il suffit de comprendre les questions de protection de la vie privée et de s’engager à les régler.

Les directives et les politiques du Conseil du Trésor – par exemple, celles qui portent sur la circulation transfrontalière de renseignements personnels – peuvent être instaurées rapidement s’il existe une volonté politique de le faire. En outre, la technologie elle-même – cette arme à double tranchant – peut offrir des solutions qui protègent la vie privée.

Enfin, je crois que la communauté de l’AIPRP a beaucoup à offrir si on lui en donne l’occasion. Cette communauté a été sous-estimée au sein du gouvernement. La protection de la vie privée de toutes les Canadiennes et de tous les Canadiens peut être largement améliorée si le gouvernement donne à la communauté de l’AIPRP les outils dont elle a besoin pour conseiller les ministères responsables au sujet des répercussions de leurs initiatives sur la protection de la vie privée. Il est temps de se doter des outils pour faire entendre sa voix dans le débat portant sur ce droit fondamental.