Media Centre

Faire face au défi

8^e conférence annuelle sur l'accès à l'information et la protection des renseignements personnels

Le 17 juin 2005
Edmonton (Alberta)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

J'aimerais vous parler de l'état de santé actuel de ce droit que nous appelons droit à la vie privée, vous expliquer pourquoi ce droit est plutôt en piètre état, et vous faire part des défis auxquels nous sommes confrontés dans notre démarche visant à redonner toutes ses forces au droit à la vie privée.

Particulièrement, j'aimerais vous suggérer plusieurs moyens de faire avancer la cause du droit à la vie privée dans le contexte de la technologie en constante évolution et du climat politique fortement axé sur l'examen des préoccupations en matière de sécurité nationale, climat qui va souvent à l'encontre de la protection du droit à la vie privée.

Ambivalence des opinions sur la technologie

Dans le monde d'aujourd'hui, les changements surviennent à un rythme essoufflant. Et un grand nombre d'entre nous restons là déroutés dans le sillage de tous ces changements, incapables de saisir toute la portée de l'incidence sur notre droit à la vie privée, encore moins capables de prévoir les changements à venir, et souvent en lutte en même temps avec nos efforts pour faire sortir les gouvernements de leur torpeur législative et stratégique pour ce qui est du droit à la vie privée.

Nous savons, par exemple, que le gouvernement n'a pas autant de succès qu'il pourrait en avoir sur le plan des enjeux en matière de vie privée soulevés par le cybergouvernement, un des programmes vedettes de prestation des services du Canada. En 2005, dans un sondage annuel sur la maturité des services électroniques effectué par Accenture, le Canada s'est classé au premier rang parmi 22 pays pour la cinquième année consécutive. Le Canada est considéré comme un chef de file mondial en matière de cybergouvernement. Et nous avons su utiliser le pouvoir de la technologie pour améliorer la prestation des services gouvernementaux aux clients. Mais, en même temps, des institutions fédérales omettent de fournir la sécurité informatique essentielle à la protection des renseignements personnels des Canadiennes et des Canadiens qui circulent dans l'univers du cybergouvernement.

Beaucoup d'entre vous connaissent les conclusions en matière de sécurité de la technologie de l'information que la vérificatrice générale du Canada a formulées dans son rapport de février 2005. Mme  Fraser avait fait une vérification de la sécurité de la technologie de l'information en 2002, et elle a constaté cette année que les progrès réalisés depuis sont encore, comme elle le dit, « insatisfaisants », en dépit de signes d'amélioration encourageants. Elle a constaté que le gouvernement ne respecte toujours pas ses propres normes minimales de sécurité de la TI. Les examens et les évaluations de la sécurité de la TI effectués au cours des deux dernières années ont révélé de graves lacunes dans les contrôles de l'accès aux données, aux programmes et aux réseaux.

La vérificatrice générale a exhorté les gestionnaires supérieurs des ministères de porter une plus grande attention à la détermination adéquate de la menace et des risques, à l'élaboration de plans d'action visant à combler les lacunes et à l'obtention d'une conformité totale aux politiques et aux normes applicables à la TI.

J'appuie sa position. La sécurité de la TI est essentielle si nous voulons laisser le gouvernement manipuler nos renseignements personnels dans le cadre de ses opérations électroniques.

Réponses interdisciplinaires aux progrès en matière de protection de la vie privée

Je sais que quelques-uns d'entre vous avez assisté à la conférence sur les ordinateurs, la liberté et la protection de la vie privée qui a eu lieu à Seattle en avril dernier, et que beaucoup d'autres enjeux liés à la technologie ont été abordés à cette conférence. Un message important en est ressorti — un message que nous, les professionnels de l'accès et de la protection de la vie privée, avons déjà entendu mais qui vaut la peine d'être répété.

Nous, les spécialistes ou futurs spécialistes des questions liées à la réglementation des renseignements personnels, ne pouvons pas à nous seuls comprendre, ou même suivre, tous les progrès technologiques qui ont une incidence sur la vie privée. La technologie semble parfois des années en avance des changements législatifs nécessaires, et souvent encore plus en avance de nos propres réponses aux progrès.

De plus, il arrive souvent que nous n'ayons pas facilement accès à l'expertise qui nous permettrait de comprendre l'incidence des nouvelles technologies sur le droit à la vie privée.

Regardez la panoplie d'enjeux auxquels la société canadienne a été confrontée au cours des dernières années — l'incidence du SIDA sur le droit à la vie privée, le dépistage de la consommation de drogues chez les employés, le droit à la protection des renseignements génétiques, y compris l'analyse des données génétiques pour des fins judiciaires, l'accroissement du couplage et de l'extraction des données, les caméras de surveillance — et même les caméras de surveillance intelligentes qui améliore encore plus la surveillance — l'imagerie thermique, la pêche, pas de poissons mais de données personnelles, les logiciels espions, la biométrie, les puces d'identification par radio-fréquence — et on pourrait donner encore beaucoup d'exemples.

Nous devons reconnaître la nature interdisciplinaire de notre travail. Les professionnels de la protection de la vie privée doivent être en mesure de travailler avec des renseignements personnels qui touchent le domaine d'activités de leur ministère ou organisme — la sécurité nationale, les ressources humaines, les politiques sur les drogues, la technologie, la biométrie ou les droits de la personne en général. Nous ne pouvons pas espérer faire une analyse de qualité des enjeux en matière de protection des données à moins d'intégrer les connaissances techniques spécialisées. À tout le moins, nous devons fournir aux professionnels de la protection de la vie privée les moyens d'avoir accès à l'expertise qui les aidera à comprendre et à relever ces enjeux.

Intégrer la protection de la vie privée à la conception des technologies et des codes de données

Une des solutions à l'explosion des progrès technologiques consiste à encourager les technologues à intégrer la protection de la vie privée au stade de la conception des technologies. Alan Borning, professeur au département des sciences informatiques et de l'ingénierie de l'université de Washington, a traité de la nécessité d'intégrer les considérations liées aux valeurs humaines à la conception des systèmes informatiques — un processus qu'il appelle « conception sensible aux valeurs ». Mais selon lui, la technologie n'est pas entièrement neutre sur le plan des valeurs. Certaines technologies sont, de par leur nature, plus aptes à préserver les valeurs humaines, dont la protection de la vie privée.

À Seattle, d'autres conférenciers ont parlé de la nécessité de sensibiliser les concepteurs de nouvelles technologies au monde de la protection de la vie privée. Une fois mis au fait de cet aspect des droits de la personne, ces technologues pourront partager le fardeau de l'évaluation de l'incidence de leurs produits sur la vie privée, et ce à l'étape de la conception.

Le Center for Democracy and Technology , situé à Washington, applique un processus d'élaboration de normes depuis 2001 et tente de fixer des objectifs pour les concepteurs de technologies. Une fois que ces objectifs auront été établis, et que les technologues les auront accepté, ceux-ci pourront intégrer les considérations en matière de vie privée à la conception de nouvelles technologies.

Spécialisation des professionnels de la vie privée

Les systèmes mis en place pour gérer les aspects pratiques de la vie privée au gouvernement n'ont pas reçu toute l'attention requise, et les coordonnateurs de l'AIPRP qui sont parmi les principaux piliers de ces systèmes n'ont pas obtenu la formation professionnelle dont ils ont besoin et qu'ils méritent. Il faudrait hausser le statut des coordonnateurs s'ils doivent faire fonction de protecteurs contre les atteintes à la vie privée auxquelles nous faisons face.

Il faut établir des compétences vérifiables pour les personnes travaillant dans le domaine de l'AIPRP. Autrement dit, nous devons professionnaliser la communauté de l'AIPRP. Pour ce faire, il faudra offrir une formation plus étendue et expliquer plus en détail le rôle déterminant des responsables de l'AIPRP dans la protection de la vie privée au Canada.

Les coordonnateurs de l'AIPRP ne doivent pas être considérés comme des administrateurs, mais bien comme des professionnels de la vie privée qui participent à l'élaboration de politiques et qui relèvent tous les enjeux en matière de protection de la vie privée dans leur ministère ou organisme. Ces coordonnateurs devaient peut-être être vus comme les homologues gouvernementaux des dirigeants principaux de la protection des renseignements personnels que nous voyons maintenant oeuvrer de plus en plus dans les échelons supérieurs du secteur privé.

Je ne sais pas si le modèle d'accréditation des professionnels de la vie privée proposés par des groupes comme l'International Association of Privacy Professionals — l'IAPP — est le modèle idéal, mais il y aurait lieu de l'examiner étant donné qu'il existe un système permettant d'examiner et d'accréditer les compétences. Nous devons hausser le travail des professionnels de la vie privée — ainsi que la perception de leur travail — au niveau qu'il mérite.

Rôle des organismes non gouvernementaux

Nous savons aussi que les spécialistes ou bureaucrates de la protection de la vie privée dont le rôle est prévu dans la loi ne peuvent pas travailler en isolation. Les citoyens doivent faire respecter leur propre droit à la vie privée, particulièrement dans les nombreux cas où des bureaux ont été créés pour répondre à des plaintes, plutôt que pour traiter des plaintes de façon proactive.

Nous devons également reconnaître l'importance grandissante du rôle des ONG dans la détermination des enjeux en matière de vie privée et, dans de nombreux cas, dans la prestation d'une partie de l'expertise dont les commissaires à la protection de la vie privée ont besoin pour mieux comprendre l'incidence des politiques et des technologies sur le droit à la vie privée.

Plusieurs exemples me viennent à l'esprit — l'Association canadienne des libertés civiles et ses homologues provinciaux, la BC Freedom of Information and Privacy Association , Option Consommateurs au Québec, des groupes étrangers comme l'Electronic Privacy Information Center — EPIC — et l'Electronic Frontier Foundation , la Privacy Rights Clearinghouse , Statewatch et bien d'autres organisations, comme l'Association du barreau canadien, qui informent les commissaires à la protection de la vie privée et le public de tous les nouveaux enjeux en matière de respect du droit à la vie privée.

N'oubliez pas que les défis que présentent les principaux enjeux en matière de protection de la vie privée auxquels nous faisons face ici au Canada ont souvent été d'abord soulevés par ces communautés d'ONG, parfois même par des ONG de l'extérieur du Canada. Pensez à l'opposition au Total Information Awareness proposé et appuyé par la US Defence Advanced Research Project Agency , et à l'alerte initiale lancée par la communauté de la protection de la vie privée à l'égard de la USA PATRIOT Act . Ces défis ont été d'abord soulevés par la communauté des ONG, et nous ont fourni les renseignements de base dont les commissaires à l'information et les commissaires à la protection de la vie privée ont besoin pour aborder ces enjeux plus en détail. Bref, la communauté des ONG est un intervenant essentiel qui informe les analystes de la vie privée du gouvernement des enjeux à relever et qui fournit de l'expertise et des analyses qui vont nous permettre d'adapter nos approches à ces enjeux.

Nous devons aussi encourager l'industrie à relever ses propres enjeux en matière de protection de la vie privée. Notre but n'est pas de ralentir les efforts de l'industrie, mais plutôt d'harmoniser les valeurs en matière de vie privée et les impératifs commerciaux.

Réforme de la Loi sur la protection des renseignements personnels

Je ne veux pas avoir l'air de radoter sur la réforme de la Loi sur la protection des renseignements personnels , mais comme j'estime que le vieil adage est toujours valable, permettez-moi de vous répéter ce message. Notre Loi sur la protection des renseignements personnels fédérale doit faire l'objet d'une réforme en profondeur si nous voulons qu'elle soit plus qu'une simple façade de la protection de la vie privée. La Loi et, par le fait même, beaucoup d'autres lois visant à protéger la vie privée ne suffisent plus à contrer les tendances lourdes de l'infrastructure de surveillance et offrir une meilleure protection contre les intrusions qu'entraînent les nouvelles technologies.

Le titre de la Loi est très représentatif de son objet : Loi sur la protection des renseignements personnels . Cette loi traite uniquement de la protection des renseignements personnels, un sous-ensemble de la protection de la vie privée, et est tout au plus une loi de réglementation qui n'a pas beaucoup d'emprise. Les demandes de réforme ont commencé il y a 18 ans — une indication que la Loi était inadéquate même pendant la préhistoire de la technologie dans les années 1980 — mais la seule réforme sérieuse a été une mesure introduite en vertu de la Loi antiterroriste en vue d'affaiblir ses dispositions.

Le couplage des données est le mantra actuel de ceux qui promettent une plus grande sécurité aux Canadiennes et aux Canadiens. Mais malgré les demandes incessantes de pouvoirs gouvernementaux accrus pour coupler et extraire des données, la Loi demeure impuissante. Elle ne renferme aucune disposition concernant cette manipulation hautement envahissante des renseignements personnels.

En 1989, le Conseil du Trésor du Canada a adopté une politique sur le couplage de données. Mais il s'agit d'une simple directive qui n'a aucune force de loi. Selon cette politique, les institutions fédérales assujetties à la Loi sur la protection des renseignements personnels sont tenues de faire une évaluation détaillée de tout couplage de données proposé et d'en informer mes représentants 60 jours avant le début du couplage.

Malheureusement, il semble que nous entendions plus souvent parler de cette politique lorsqu'elle est enfreinte. En 2003-2004, nous avons reçu seulement 10 avis de couplage de données. Nous soupçonnons depuis longtemps que la plupart des activités de couplage de données se déroulent sans qu'aucun avis ne soit envoyé.

Et même dans les quelques cas où je suis informée d'un couplage de données, je n'ai pas le pouvoir de l'empêcher ou de le limiter.

J'ai été très encouragée il y a deux mois d'apprendre que le gouvernement avait diffusé de nouvelles exigences en matière de reddition de comptes. Selon ces exigences, les sous-ministres devront déclarer toutes les activités de couplage et d'échange de données. Les rapports annuels sur les questions de protection de la vie privée et d'accès à l'information seront plus significatifs. Il s'agit d'une démarche très positive et d'un pas important dans la bonne direction qui vont favoriser l'examen des enjeux liés à l'observation de la Loi sur la protection des renseignements personnels . Mais il reste encore beaucoup à faire.

Le rôle d'ombudsman, qui est le fondement des activités du Commissariat à la protection de la vie privée depuis 1983, a aussi fait l'objet de discussions parmi les spécialistes et pourrait très bien être revu par le Parlement au moment de l'examen judiciaire de la LPRPDÉ en 2006. Le modèle d'ombudsman actuel est-il le moyen le plus efficace de protéger la vie privée des citoyens dans ce monde de surveillance à haut indice d'octane? Profitons de l'occasion qu'offre le revue de la LPRPDÉ l'an prochain pour repenser également le rôle d'ombudsman au niveau du secteur public fédéral.

La Loi sur la protection des renseignements personnels a beaucoup d'autres failles. Par exemple, les dispositions en matière de communication de renseignements personnels qu'on trouve à l'article 8 sont énoncées comme un mode d'emploi pour le partage de renseignements avec des gouvernements étrangers, et la Loi ne renferme pratiquement aucune disposition sur le contrôle de l'impartition du traitement des renseignements personnels à des pays où les pouvoirs de la police sont désagréablement envahissants.

Pour cette raison et beaucoup d'autres aussi, notre Loi ne répond tout simplement pas aux attentes des Canadiennes et des Canadiens, pas plus qu'elle ne répond aux besoins d'une démocratie. Une réforme importante de la Loi s'impose donc dans le contexte actuel des technologies futuristes.

Conclusion

La protection de la vie privée ne peut pas être confiée à une seule personne ou à un seul organisme. Ce doit être un effort collectif faisant intervenir des personnes, des politiques et des lois. Autrement, ce droit fondamental sera miné à bien des égards — par les technologies envahissantes, la demande de surveillance accrue par le gouvernement, le partage de renseignements personnels au-delà des frontières et l'appétit du monde des affaires pour des renseignements plus détaillés sur nos vies.

Particulièrement, si nous ne réussissons pas à tempérer cette attitude profondément ancrée du gouvernement de « voir du terrorisme partout », nous finirons par « faire de la surveillance en tout temps ». Si une telle situation se concrétisait, il ne nous resterait plus qu'à rentrer chez nous — sous l'oeil vigilant de l'État, bien entendu.

Ce n'est pas ce que nous voulons comme résultat. Mais la protection de ce droit de la personne fondamental exige un effort collectif, auquel doivent participer l'institution que je représente ainsi que les institutions de mes homologues provinciaux et territoriaux. Il fait aussi intervenir d'autres ministères et organismes dont les mandats couvrent les questions de droits de la personne, de technologies et d'échanges commerciaux. Il vise également la communauté des ONG, la communauté des concepteurs de technologies et le secteur privé. Il exige un personnel efficace et bien formé, ainsi que des professionnels de la vie privée suffisamment formés et respectés. Et enfin, ce droit fondamental de la personne fait intervenir des Canadiennes et des cCanadiens qui sont prêts à se lever et à contester les excès du gouvernement et du secteur privé.