Renforcer la protection de la vie privée dans l’ère numérique

De : Innovation, Sciences et Développement économique Canada

Propositions pour moderniser la Loi sur la protection des renseignements personnels et des documents électroniques

Introduction

La technologie a longtemps apporté d'énormes bénéfices ainsi que de profonds changements à presque tous les aspects de la vie humaine. Tout comme la presse à imprimer a révolutionné la société à partir du XVe siècle, la révolution numérique a eu, et continuera d'avoir, un impact énorme sur la vie quotidienne. Qu'on pense au commerce, aux communications, au divertissement, aux transports, aux services bancaires, à l'éducation, aux soins de santé, à nos interactions interpersonnelles et à nos mouvements physiques, presque tous les aspects de notre vie sont modérés par la technologie numérique. Et grâce à ces interactions, d'énormes quantités de données sur les individus sont créées et exploitées à des fins très diverses.

La technologie numérique et axée sur des données habilite déjà la science, soutient l'innovation et stimule la croissance économique. Par exemple, les progrès réalisés dans des domaines comme la robotique, l'intelligence artificielle (IA), l'informatique quantique et la nanotechnologie mènent à des découvertes révolutionnaires qui ont des retombées économiques et sociales importantes. Mais même si ces réalisations technologiques enrichissent notre société à bien des égards, cette transformation comporte aussi des défis et des incertitudes que notre pays doit être prêt à affronter. En réponse à cela, certains intervenants ont demandé au gouvernement d'adopter une stratégie nationale en matière de données.

Le 19 juin 2018, le gouvernement du Canada a lancé ses consultations nationales sur le numérique et les données afin de démontrer son engagement à continuer à travailler ensemble pour faire du Canada une nation d'innovateurs. Comme nous l'avons indiqué dans notre rapport intitulé « La Charte numérique du Canada en action : un plan par des Canadiens, pour les Canadiens », nous avons demandé aux Canadiens de partout au pays de nous faire part de leurs uniques points de vue et de leurs idées sur certains des défis et des possibilités qui se présentent au Canada en cette période de transformation. Nous avons reçu une réponse retentissante de la part de propriétaires de petites entreprises et d'entreprises multinationales, d'étudiants, d'enseignants, de chercheurs, d'innovateurs et d'entrepreneurs, pour n'en nommer que quelques-uns.

Les Canadiens nous ont partagé leur optimisme quant au grand potentiel social et économique du Canada dans cette ère numérique. Par contre, ils nous ont également fait part de leurs préoccupations quant à la manière dont les données personnelles pourraient être utilisées. Pour le dire simplement, la voie à suivre en matière de collecte, de gestion et d'utilisation des données doit reposer sur une solide base de confiance et de transparence solides entre les citoyens, les entreprises et le gouvernement.

En effet, la confiance est le pilier de l'économie numérique et axée sur les données. Pourtant, il est clair que la confiance des gens est menacée. Les médias populaires regorgent d'histoires d'atteintes à la protection des données, d'utilisation malveillante de renseignements personnels par de grandes entreprises, ingérence étrangère, des acteurs malveillants, et de cyberintimidation ainsi que des préoccupations croissantes au sujet des répercussions de la révolution numérique et des données sur des questions allant de notre santé mentaleNote de bas de page 1 aux institutions démocratiquesNote de bas de page 2. Des habitudes en matière de sécurité inefficaces ou incohérentes, un manque de concurrence et des modèles d'affaires fondés sur la surveillance des gensNote de bas de page 3 ont amené ces derniers à se méfier de plus en plus de la façon dont les produits et services dont ils dépendent aujourd'hui, pour presque tous les aspects de leurs activités, recueillent et utilisent leurs renseignements personnels.

La confiance, l'économie numérique et la Loi sur la protection des renseignements personnels et les documents électroniques

Dans les premiers temps de l'Internet commercial, alors que le commerce électronique faisait son apparition, le gouvernement du Canada a adopté la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour assurer la confiance dans l'économie émergente. Son objectif déclaré est de:

fixer, dans une ère où la technologie facilite de plus en plus la circulation et l'échange de renseignements, des règles régissant la collecte, l'utilisation et la communication de renseignements personnels d'une manière qui tient compte du droit des individus à la vie privée à l'égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstancesNote de bas de page 4.

La LPRPDENote de bas de page 5, une loi fondée sur des principes et neutre sur le plan technologique, s'applique à un large éventail d'activités commerciales et est supervisée par un agent du Parlement, soit le Commissariat à la protection de la vie privée du Canada. Depuis son entrée en vigueur il y a près de 20 ans, l'activité commerciale a évolué rapidement et de façon imprévue. S'appuyant sur les principes acceptés mondialement en matière de protection des renseignements personnels qui sont énoncés dans les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (Lignes directrices sur la protection de la vie privée)Note de bas de page 6 de l'Organisation de coopération et de développement économiques (OCDE), les dix principes interreliés (et les sous-paragraphes connexes) de la LPRPDE orientent les activités de traitement des renseignements personnels des organisations. L'un de ces principes, la connaissance et le consentement, ainsi qu'un nombre limité d'exceptions au consentement, autorise ces activités, requiert que celles-ci soient « acceptables dans les circonstances ». Les autres principes, tel que la responsabilité, la transparence, l'exactitude, l'accès, les mesures de sécurité et les recours, visent à faire en sorte que les organisations traitent les renseignements personnels d'une manière juste et compréhensible pour la personne moyenne et conformément à ses attentes raisonnables. La loi a été appliquée à un large éventail d'activités commerciales, y compris dans le contexte des flux de données transfrontaliers, et s'est révélée raisonnablement souple depuis son adoption il y a près de 20 ans.

Cela étant dit, on lui a reprochéNote de bas de page 7, surtout en ce qui concerne son régime de consentement et son modèle d'application, de ne pas offrir le genre d'incitatifs qui, dans une économie axée sur les données et le numérique, font en sorte que les organisations s'y conforment. Le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes a également recommandé des mises à jour pour améliorer le contrôle individuel et la transparence organisationnelle afin de renforcer la protection de la vie privée à une époque où les gens sentent un manque de contrôle et de compréhension. Le gouvernement du Canada s'est dit d'accord au sujet des recommandations formulées dans plusieurs rapports parlementaires récentsNote de bas de page 8 selon lesquelles des changements doivent être apportés au régime fédéral de protection de la vie privée dans le secteur privé du Canada afin que les règles régissant l'utilisation des renseignements personnels dans un contexte commercial soient claires et applicables et qu'elles appuient le niveau de protection de la vie privée auquel s'attendent les Canadiens.

Les principes énoncés dans la Charte canadienne du numérique, ainsi que leurs activités de soutien, jettent les bases d'une économie numérique forte et dynamique pour le Canada. La réforme de la LPRPDE doit contribuer à l'atteinte des résultats liés à ces principes. La LPRPDE, en tant qu'élément clé du cadre du marché canadien, doit également contribuer à la mise en place d'une économie numérique inclusive qui assure des règles du jeu équitables, l'équité des chances, une sécurité et une protection de la vie privée accrues, la prévisibilité pour les entreprises et la compétitivité internationale.

Le Canada fait face à ces possibilités et à ces défis en parallèle avec d'autres pays chefs de file dans le cadre d'une course mondiale à l'innovation. Nos concurrents mondiaux prennent des mesures énergiques pour soutenir la confiance et la protection de la vie privée afin de devenir des chefs de file dans un marché mondial numérique axé sur les données.

Les lois de la prochaine génération sur la protection de la vie privée et la protection électronique, en particulier dans l'Union européenne, mais aussi aux États-Unis, ont une incidence sur les politiques et les pratiques nationales. Le secteur privé souhaite l'adoption d'une approche en matière de protection des renseignements personnels qui répond aux besoins du Canada et qui demeure compatible avec les administrations de premier plan. Bien qu'il existe des points communs entre les lois sur la protection de la vie privée au Canada et à l'étranger, un certain nombre de distinctions importantes entre les cadres canadiens et internationaux remettent en question l'objectif d'une économie numérique intégrée tant à l'échelle nationale qu'internationale.

Le gouvernement réfléchit à la meilleure façon de moderniser son cadre stratégique et réglementaire du secteur privé en vue de protéger la vie privée et de favoriser l'innovation et la prospérité. Bref, l'objectif est de respecter les gens et leur vie privée en leur assurant un contrôle significatif sans créer de restrictions onéreuses ou redondantes pour les entreprises, de favoriser l'innovation responsable de la part des organisations et d'assurer l'adoption d'un modèle d'application amélioré et réfléchi.

Plus particulièrement, le gouvernement propose d'apporter des précisions à la LPRPDE qui indiquent en détail quels renseignements les gens devraient recevoir lorsqu'ils donnent leur consentement, certaines exceptions au consentement, la mobilité des données, la suppression et le retrait du consentement, les incitatifs à la certification, les codes, les normes et les fiducies de données, les pouvoirs accrus du Commissariat à la protection de la vie privée, certaines modernisations de la structure de la loi elle-même ainsi que diverses définitions. Les propositions exposées dans le présent document s'inscrivent dans un cadre conceptuel plus large, détaillé à l'annexe A, visant à faire avancer le travail de politique dans le contexte numérique et des données.

Grâce au présent document de travail, Innovation, Sciences et Développement économique Canada à (ISDE) poursuit le dialogue sur la confiance et la protection de la vie privée qui a été amorcé en 2018 lors des consultations sur le numérique et les données. Ce document expose une série de considérations stratégiques liées à des propositions précises qui permettraient d'accroître le contrôle des consommateurs, de favoriser l'innovation responsable et d'améliorer l'application de la loi.

Le gouvernement étudie également les réformes possibles de la Loi sur la protection des renseignements personnels, qui régit les pratiques de traitement des renseignements personnels des institutions fédérales. Cette initiative est dirigée par Justice Canada en étroite collaboration avec le Secrétariat du Conseil du Trésor.

Partie 1 : Accroître le contrôle que peuvent exercer les gens

Enjeu

L'augmentation du volume et de la complexité des flux de données a éprouvé le système traditionnel du savoir et du consentement et a donné lieu à une situation où les particuliers n'exercent aucun contrôle réel sur leurs renseignements personnels et leur vie privée.

Pourquoi s'agit-il d'un enjeu?

Les plateformes et les services numériques font désormais partie intégrante de la façon dont les Canadiens vivent, travaillent et se divertissent. Cependant, les plateformes et les produits sont de plus en plus conçus pour recueillir et échanger des données ou surveiller les utilisateurs, ce qui réduit les choix que peuvent faire les consommateurs et la pertinence de leur consentement. Comme l'a souligné Teresa Scassa, il pourrait être nécessaire de complémenter le régime axé sur le consentement de la Loi sur la protection des renseignements personnels et des documents électroniques, et il y a un intérêt considérable à l'égard des outils favorables aux consommateurs et à la concurrence tels que la portabilité des données, qui permettent aux consommateurs d'exercer un contrôle accru sur leurs renseignements personnels. Selon Mme Scassa, de plus en plus, les préjudices au public — la partialité algorithmique et la manipulation de particuliers et de groupes — découlent de la saisie et de l'utilisation des renseignements personnels. Il faut adopter de nouveaux cadres pour garantir l'utilisation éthique des donnéesNote de bas de page 9.

Conformément aux exigences de la LPRPDE relatives au savoir et au consentement, les organisations doivent informer les particuliers de l'objet de la collecte, de l'utilisation et de la divulgation de leurs renseignements personnels et obtenir leur consentement. Toutefois, dans les faits, les particuliers ont assumé une grande part de la responsabilité de s'informer au sujet des pratiques de gestion de la vie privée d'une organisation et de comprendre la nature des renseignements personnels recueillis, l'objet de la collecte, et les conséquences de leur consentement à la collecte, l'utilisation et la communication de ces renseignements.

Daniel Solove, de la faculté de droit de l'Université George Washington a qualifié cette situation d'approche d'autogestion des renseignements personnels, dans le cadre duquel il incombe au particulier de gérer ses renseignementsNote de bas de page 10. Les flux de données complexes mettant en jeu des parties multiples nuisent à la capacité des gens de comprendre entièrement ce à quoi ils consentent. Bien que beaucoup d'organisations aient des politiques en matière de protection des renseignements personnels, celles-ci sont notoirement longues et difficiles à comprendre, et la plupart des gens n'ont pas le temps ou les connaissances juridiques nécessaires pour les comprendreNote de bas de page 11. Selon M. Solove, les décisions individuelles de consentir à la collecte, l'utilisation ou la communication des données risquent de ne pas collectivement donner lieu aux résultats sociaux les plus souhaitables, donc l'autogestion des renseignements personnels ne favorise donc pas le respect des valeurs sociales généralesNote de bas de page 12. La multiplicité des interactions en ligne peut faire en sorte que les particuliers aient du mal à comprendre la nature et l'étendue de l'échange de renseignements qui survient dans cet environnement.

De plus, le manque de transparence entourant les processus de prise de décisions automatisés et les décisions connexes accroissent les préoccupations des gens concernant les biais et la discrimination potentielle. Comme l'a noté Ian Kerre, les systèmes intelligents (SI) sont conçus de telle façon qu'ils créés des défis uniques en matière de protection des renseignements personnels. Un grand nombre de ces systèmes utilise l'apprentissage automatique pour exceller à la prise de décisions; cela signifie que les SI peuvent dépasser leur programmation d'origine, et faire des « découvertes » dans les données que les preneurs de décisions humains ne pourraient voir ni comprendre. Il estime donc que la LPRPDE doit exiger que la prise de décisions par des machines soit expliquéeNote de bas de page 13. Il y a également la présence émergente des agents logiciels et des robots informatiques interagissent sur le marché. Ceci peut duper les utilisateurs et miner leur confiance à l'égard du marché numérique, ce qui souligne la nécessité de mesures pour maintenir cette confiance.

Les Canadiens ont clairement manifesté leurs préoccupations. Quatre-vingts quatre pour cent des Canadiens sont préoccupés par l'utilisation de leurs renseignements personnels par des plateformes de médias sociauxNote de bas de page 14. Près de trois Canadiens sur quatre (74 %) croient que leurs renseignements personnels sont moins bien protégés qu'il y a dix ansNote de bas de page 15. Quatre-vingt-dix pour cent des Canadiens couperaient « très probablement » ou « probablement » leurs liens avec des entreprises qui utilisent des données de façon « contraire à l'éthique »Note de bas de page 16. Soixante et onze pour cent des Canadiens feraient plutôt affaire avec une entreprise si cette dernière pouvait faire l'objet de pénalités financières strictesNote de bas de page 17. Selon le sondage de l'Association canadienne des automobilistes portant sur les véhicules autonomes, 81 % des Canadiens croient qu'il est nécessaire de mettre en application des règles claires afin de protéger les renseignements personnels en ce qui a trait aux données relatives aux véhiculesNote de bas de page 18.

Les résultats des consultations nationales sur le numérique et les données démontrent que les Canadiens veulent plus de transparence dans la façon dont leurs données sont recueillies et utilisées. Toutefois, les modèles actuels qui reposent entièrement sur l'acceptation, par une personne, de politiques sur la protection des renseignements personnels qui sont longues et complexes ne sont pas adéquats et ne permettent pas d'instaurer la confiance. Les Canadiens veulent davantage de contrôle sur la façon dont leurs renseignements sont utilisés, et ils doivent comprendre la valeur et les avantages que cela représente. De plus, la prochaine génération de lois sur la protection des renseignements personnels comprend de nouvelles réponses à ces enjeux en accordant explicitement de nouveaux droits pour la mobilité des données, ou en élargissant les droits concernant la transparence et la prise automatisée de décisions, et donc la suppression des renseignements. Le gouvernement du Canada doit réfléchir à ces options à titre de réponses possibles pour s'assurer que les Canadiens disposent du contrôle dont ils ont besoin pour avoir confiance en l'économie numérique et des données.

A. Options possibles — Consentement et transparence

Nous proposons donc de :

Fournir des mesures de contrôle plus efficaces et accroître la transparence pour les individus par les moyens suivants :

Considérations et questions

B. Options possibles — mobilité des données

On entend par mobilité des donnéesNote de bas de page 29 le fait de permettre aux personnes de demander que les renseignements personnels qu'elles ont communiqués à une organisation soient transmis à une autre organisation. On a prétendu que cette dernière a le potentiel d'habiliter les gens à « voter avec leurs pied. » en manifestant leurs préférences pour ainsi dire. Certains y voient une évolution des dispositions actuelles de la LPRPDE concernant l'accès à ses propres renseignements personnels et le retrait de leur consentement.

Des études menées dans d'autres paysNote de bas de page 30 ont déterminé que la mobilité des données peut accroître le choix des consommateurs, et ainsi favoriser l'émergence et la croissance de nouveaux biens et services novateurs, en plus de permettre un meilleur contrôle individuel des données et d'encourager la concurrence. Comme l'a noté Michael Geist dans son témoignage au Sénat sur la mobilité des données dans le secteur bancaire, des protocoles et des normes de sécurité devront sans aucun doute être élaborés, mais il faut commencer par réglementer un système axé sur le consommateur qui, à sa demande, lui permet de prendre en charge ses donnéesNote de bas de page 31.

Nous proposons donc :

Instaurer de nouvelles possibilités de mobilité des données afin d'accroître le contrôle des individus sur l'information en :

Considérations et questions

C. Options possibles — réputation en ligne

Renforcer la capacité des individus à préserver leur réputation en ligne comme suit :

Considérations et questions

Partie 2 : Favoriser l'innovation responsable

Enjeu :

De plus en plus, les nouveaux modèles d'affaires et les technologies émergentes reposent sur l'utilisation complexe des renseignements personnels par divers intervenants. Cela a donné lieu à des demandes pour un meilleur accès aux renseignements personnelles pour le développement de produits et de services novateurs. Parallèlement, cela entraîne la nécessité d'une responsabilisation accrue et de normes de prévenance plus élevées afin d'assurer le respect de la vie privée et de la sécurité. De plus, on craint qu'il ne soit pas toujours évident de déterminer comment une législation fondée sur des principes s'applique aux nouveaux modèles d'affaires et aux nouvelles technologies.

Pourquoi s'agit-il d'un enjeu?

Comme il est indiqué dans le rapport « La Charte numérique du Canada en action : un plan par des Canadiens, pour les Canadiens », le Canada a tous les atouts nécessaires pour prospérer dans un monde de plus en plus numérique. Nous avons une solide capacité en matière de recherche, notre main-d'œuvre est diversifiée et très instruite, et nous favorisons un climat propice aux investissements. Nous sommes technophiles et bien branchés; 87 % des Canadiens et 95 % des entreprises canadiennes sont connectés à Internet. De plus, 85 % des Canadiens possèdent un appareil mobile.Note de bas de page 37

Les données permettent de faire croître l'économie canadienne axée sur les données, mais des flux de données complexes auxquels participent de nombreuses parties réduisent le sentiment de contrôle qu'ont les gens sur leurs renseignements personnels et, en fin de compte, ils sont moins convaincus que leurs renseignements peuvent être protégés adéquatement. Tout cela, combiné au manque de transparence perçu à l'égard des processus décisionnels automatisés, y compris les processus programmatiques, accroît les inquiétudes des gens quant à la possibilité d'abus des données recueillies et utilisées.

De nos jours, presque toutes les organisations participent d'une façon ou d'une autre au secteur des données, ce qui fait en sorte qu'il est difficile de savoir clairement qui est responsable des renseignements personnels. L'industrie des véhicules autonomes illustre bien ce point. En plus des capteurs placés dans le véhicule par le constructeur, d'autres plateformes et développeurs d'applications recueillent également des données sur le véhicule et le conducteur. Dans d'autres cas, il y a une plus grande collaboration entre les secteurs public et privé (le scénario de la ville intelligente est un exemple opportun), ce qui soulève des préoccupations quant à la responsabilisation, à l'utilisation appropriée des données dans l'intérêt public et à l'accès aux données pour l'élaboration de politiques publiques.

Compte tenu de l'importance de l'innovation axée sur les données et le numérique pour l'économie et la prospérité future du Canada, les cadres législatifs qui soutiennent ce marché doivent être équilibrés et adaptés aux besoins.

A. Option possible : Permettre les fiducies de données pour améliorer le partage des données

Comparativement à d'autres administrations, des pays comme le Canada pourraient profiter de modèles qui maximisent l'utilisation des données disponibles et fournissent un moyen de mettre en commun les données en toute sécurité dans la poursuite de l'innovation et du bien public, particulièrement dans des domaines comme la santé ou les transports. Les solutions émergentes, comme les « fiducies de données », peuvent constituer un moyen de favoriser l'innovation responsable, en particulier dans le cas des partenariats public-privé.

Les fiducies de données exigeraient que des tierces parties fiables gèrent l'accès des organisations aux banques de données de nature délicate à des fins de recherche et de développement, tout en protégeant les renseignements personnels et en s'assurant que les organisations utilisent les données de façon appropriée. Les fiducies constituent un cadre pour la gestion fiduciaire des actifs; les responsables des politiques, les entreprises et les experts ont commencé à examiner l'application potentielle d'un tel modèle de fiducie à la gouvernance des données. Bianca Wylie et Sean McDonald du Centre pour l'innovation dans la gouvernance internationale ont cerné les fiducies de données comme étant un moyen pour les détenteurs de droits sur les données de regrouper et de favoriser la négociation collective pour avoir des relations entre les données plus équilibrées et avantageuses pour le public. De plus, ils indiquent que l'acte de création d'une fiducie de données est intrinsèquement spécifique, exigeant que les parties concernées s'entendent sur un but commun, une structure de gouvernance et une théorie claire sur les avantages communsNote de bas de page 38. Les fiducies de données traitent les ensembles de données comme les actifs qu'un tiers indépendant doit gérer selon des modalités contractuelles conçues pour assurer l'utilisation responsable et appropriée de ces actifsNote de bas de page 39.

Par conséquent, nous proposons ce qui suit :

Encourager l'utilisation des données aux fins de recherche et d'innovation

Considérations et questions :

Options possibles — Autoréglementation et normes techniques

Conformément à l'objectif stratégique du Canada de préserver la libre circulation de l'information au-delà des frontières tout en maintenant une protection significative de la vie privée, le Canada participe à des forums internationaux qui font la promotion de l'interopérabilité mondiale des cadres de protection de la vie privée. Plus précisément, le Canada appuie les approches multilatérales en matière de protection de la vie privée qui visent à « relier » les régimes de protection de la vie privée à l'échelle internationale, afin d'établir une forme de « reconnaissance mutuelle » dans plusieurs pays ou régions. Le système des règles transfrontalières en matière de protection de la vie privée de l'APEC (auquel participe le Canada) en est un bon exemple. Étant donné que diverses initiatives sont en cours pour « relier » le système de l'APEC à des instruments juridiques non législatifs de l'UE pour la circulation transfrontalière, le système de l'APEC pourrait présenter un intérêt (et une utilité) considérable. Les Lignes directrices de l'OCDE sur la protection de la vie privée sont un autre exemple du type d'entente internationale appuyée par le Canada. La promotion de l'interopérabilité mondiale des cadres de protection de la vie privée est un élément essentiel de l'approche du Canada en matière de protection de la vie privéeNote de bas de page 41. L'intégration de codes et de normes dans un cadre législatif peut aider davantage à harmoniser les cadres de protection de la vie privée à l'échelle nationale et internationale.

La LPRPDE fournit une base de référence pour la protection de la vie privée et prévoit actuellement un rôle pour les codes de pratique. D'autres administrations ont reconnu la valeur des régimes liés aux codes, aux normes et à la certification pour améliorer la souplesse réglementaire et appuyer l'innovation responsable. Ces régimes peuvent fournir des mesures de protection plus spécifiques pour certains secteurs ou activités, et peuvent accroître la transparence et la certitude pour les individus. De plus, de telles approches pourraient aider les individus à faire des choix fondés sur les pratiques des organisations en matière de protection de la vie privée. Bref, il faut reconnaître la valeur et l'utilité des normes, des codes et de la certification comme outils pour soutenir les « règles » de protection de la vie privée et tenter de favoriser leur élaboration et d'influer sur celle-ci dans des domaines qui reflètent les exigences, les priorités et les intérêts canadiens. En outre, le respect des codes et des normes pourrait encourager la conformité et contribuer à l'adoption d'un modèle d'application plus proactif. Dans Revisiting the governance of privacy: Contemporary policy instruments in a global perspective, Colin Bennett et Charles Raab soulignent que sur la scène nationale et internationale, les normes pourraient combler d'importantes lacunes dans le régime d'application, et qu'elles pourraient contribuer à diminuer le travail de conformité qui doit être accompli par les organismes de réglementation et servir de méthodes crédibles de certification pour les transferts transnationaux de donnéesNote de bas de page 42.

Par conséquent, nous proposons ce qui suit :

Favoriser l'utilisation de normes et de codes

Considérations et questions :

Partie 3 : Améliorer l'application de la loi et la surveillance

Enjeu

Il y a une opinion de plus en plus couranteNote de bas de page 43 selon laquelle le recours au modèle d'ombudsman et d'application de la LPRPDE, qui compte principalement sur la formulation de recommandationsNote de bas de page 44, de nommer les organisations dans l'intérêt du public, et le recours à la Cour fédérale, pour assurer la conformité aux lois sur la protection des renseignements personnels est désuet et qu'il ne favorise pas la conformité, notamment lorsqu'on examine les résultats obtenus par la dernière génération des lois en la matière. La situation actuelle ne peut pas continuer; une application significative mais raisonnée est nécessaire pour s'assurer qu'il y a des conséquences réelles lorsque la loi n'est pas respectée.

Pourquoi s'agit-il d'un enjeu?

Les conséquences et les répercussions sur les entreprises qui ne respectent pas la LPRPDE sont actuellement limitées. À la suite d'une enquête, le commissaire à la protection de la vie privée peut formuler des recommandations, conclure une entente de conformité avec une organisation ou entamer une poursuite devant la Cour fédérale qui tiendra une audience de novo. Dans les cas où des recommandations sont formulées à la fin d'une enquête visant une organisation, celle-ci doit assumer les coûts probables associés à la mise en œuvre de ces dernières. Si le commissaire décide de publier ses constatations et nomme l'organisation, l'attention négative suscitée par cette décision peut avoir des incidences sur les résultats financiers de l'organisation. Cependant, même si les recommandations présentées par le commissaire sont souvent prises en compte, ce n'est pas toujours le cas. En fait, un incident récent lié à la vie privée trouve ses racines dans une enquête menée il y a dix ans par le commissaire à la protection de la vie privée à la suite d'une plainte. Le commissaire avait alors constaté que les recommandations précédentes n'étaient pas entièrement suivies ou mises en œuvre, et que le comportement contraire à la loi avait continué.Note de bas de page 45 Il a été constaté que l'absence des conséquences liées aux comportements répréhensibles crée une situation où d'autres participants à l'économie sont traités de manière injuste, et cela n'est pas acceptable. Les bons joueurs, qui demandent des conseils et apportent des améliorations et qui, finalement, effectuent des dépenses pour respecter la loi, préféreraient éventuellement se trouver dans une situation où il y a davantage d'équité.

Si les conséquences financières liées aux cas de non-conformité sont suffisamment graves, les organisations concernées seront incitées à prendre des mesures pour respecter la loi. Certaines indications, basées sur la manière dont les organisations ont réagi lorsque la déclaration des atteintes est devenue obligatoire en 2018, et qu'il est devenu possible d'imposer des amendes quand les atteintes ne sont pas déclarées ou consignées sciemment, porte à croire que la menace de pénalités financières oblige les organisations à prêter une attention particulière à cette question. Dans le même ordre d'idées, lorsque le RGPD est entré en vigueur, une grande partie de la couverture médiatique et des discussions dans divers forums a été consacrée aux amendes importantes qui pourraient être imposées aux organisations qui ne respectent pas la loiNote de bas de page 46. Alors que les États‑Unis examinent la possibilité d'adopter une loi fédérale sur la protection des renseignements personnels qui s'appliquerait au secteur privé, la Federal Trade Commission (FTC) a négocié un certain nombre de règlements en vertu de ses règles actuelles relatives à la protection de la vie privée (dont la portée est relativement limitée). Ici, au Canada, les homologues provinciaux du commissaire à la protection de la vie privée (y compris les trois commissaires qui surveillent l'application des lois sur la protection des renseignements personnels dans le secteur privé) ont le pouvoir d'émettre des ordonnances. Si le projet de loi C-58 est adopté, le pouvoir d'émettre des ordonnances serait également accordé au commissaire à l'information qui est un agent du Parlement comme le commissaire à la protection de la vie privée.

Il est également important de souligner, cependant, que les cas de non-conformité peuvent parfois être le résultat d'un manque de clarté ou d'incertitudes par rapport aux obligations des organisations en vertu de la loi. Les organisations peuvent avoir la volonté de respecter la loi, mais elles ont de la difficulté à connaître les mesures qu'elles doivent prendre dans certaines situations. Nos propositions visant à régler cette situation sont présentées davantage dans les parties 2 et 4.

Alors que le modèle actuel met l'accent sur la médiation, la négociation et l'éducation pour atteindre les objectifs en matière de conformité, les cas importants et à visibilité élevée d'utilisation inattendue des renseignements personnels ainsi que les atteintes minent la confiance du public dans l'économie numérique et suscitent des préoccupations relatives à la protection de la vie privée. Le moment est venu de renforcer le cadre de protection de la vie privée du Canada afin de veiller à ce que le régime fédéral canadien de protection de la vie privée dans le secteur privé ne prenne pas davantage de retard.

Options possibles : augmenter les pouvoirs du commissaire

Le commissaire dispose actuellement d'une gamme de pouvoirs d'enquête qui lui permettent d'exiger la production de preuves, de faire prêter serment, d'accéder à des locaux, d'examiner des documents et d'interroger des témoins. Il ou elle peut lancer ses propres enquêtes lorsqu'il ou elle a des motifs raisonnables de croire qu'il ou elle faut agir ainsi, et il ou elle peut accepter des plaintes de tout membre du public. À la fin d'une enquête, le commissaire peut produire un rapport présentant des recommandations ou conclure une entente de conformité. Il ou elle peut aussi entamer une poursuite devant la Cour fédérale à la fin d'une enquête (il n'y a pas de recours possible devant la Cour lorsque le Commissaire a lui-même pris l'initiative d'une plainte). La Cour peut ensuite ordonner des mesures correctives ou accorder des dommages-intérêts. Le commissaire peut également effectuer une vérification s'il a des motifs raisonnables de croire qu'une organisation n'a pas respecté des dispositions de la LPRPDE ou de l'annexe 1 de cette loi. Le commissaire n'a aucun recours à la Cour fédérale à la suite d'une vérification.

En plus d'accorder les pouvoirs d'enquête susmentionnés, la LPRPDE impose au commissaire l'obligation d'informer les organisations et les particuliers sur cette loi, d'effectuer des recherches, d'élaborer des lignes directrices et de favoriser la mise au point de codes de pratiques.

Les régimes efficaces d'application de la loi prévoient d'habitude des activités liées à quatre éléments clésNote de bas de page 47 :

Mesures efficaces de la conformité : Version textuelle

Éducation/Sensibilisation

  • Élaborer des lignes directrices et informer le public et les entreprises sur la loi et leurs droits et obligations connexes

Conseils et discussions proactives ou par avance

  • Offrir des conseils et de l'orientation aux organisations par rapport aux modèles opérationnels proposés et à la mise en œuvre de nouvelles technologies

Enquêtes et vérification

  • Enquêter sur les plaintes
  • Lancer des enquêtes et/ou des vérifications

Outils pour régler les cas de non-conformité ou d'infractions

  • Appliquer des sanctions et des amendes et accorder des dommages-intérêts lorsqu'il y a des infractions ou pour veiller à la conformité

Nous avons donc proposé de moderniser l'application des lois sur la protection des renseignements personnels dans le secteur privé en favorisant la conformité des entreprises multinationales et des petites et des moyennes entreprises au moyen des mesures présentées ci-dessous.

A. Éducation / Sensibilisation

B. Enquêtes et vérification

C. Outils pour régler les cas de non-conformité ou d'infractions

D. Conseils et discussions proactives ou par avance

Considérations et questions

Partie 4 : Domaines dont l'évaluation se poursuit

Enjeu

La LPRPDE est une loi axée sur des principes et neutre à l'égard des technologies. Il s'agit de ses points forts et devraient être conservés. Cependant, elle a fait l'objet de critiques, entre autres, en raison de sa structure complexe qui la rend inaccessible aux particuliers et aux organisations, notamment les petites et les moyennes organisations. L'évolution des modèles des entreprises ainsi que le grand nombre des intervenants ont donné lieu à une situation où il est devenu important d'examiner la portée de l'application de cette loi pour veiller à ce que les Canadiens soient protégés, à ce que les entreprises soient traitées équitablement et à ce que les responsabilités, y compris les obligations connexes, soient biens reparties.

Pourquoi s'agit-il d'un enjeu?

Clarté des obligations

La LPRPDE est fondée sur le compromis et elle est ainsi rédigée. Cette loi a été adoptée à la suite d'une période de plusieurs années où des pressions ont été exercées sur le gouvernement et l'industrie pour qu'ils agissent en vue de mieux protéger les renseignements personnels. L'adoption de la Directive 95/46 EC de l'Union européenne, l'essor du secteur du commerce électronique et les préoccupations grandissantes des Canadiens à l'égard de la façon dont leurs renseignements personnels étaient utilisés a donné lieu à des discussions sur les meilleures façons d'agir pour renforcer la confiance dans l'économie et favoriser l'atteinte des objectifs commerciaux du Canada. L'industrie, qui préférait l'autoréglementation, ainsi que des représentants des groupes de défense des consommateurs, des universitaires et le gouvernement ont mis au point le Code type de la CSA sur la protection des renseignements personnels qui présentait 10 principes de la protection de la vie privée fondés sur les lignes directrices de l'OCDE en la matière. Le gouvernement fédéral a fini par décider que l'autoréglementation n'était pas suffisante et il a pris des mesures pour adopter une loi portant sur cette question. Ce faisant, il a choisi d'intégrer le Cadre type dans la loi sans en modifier le libellé, car il avait été accepté à l'unanimité par l'industrie, les représentants des groupes de défense des consommateurs, les universitaires et les représentants du gouvernement. Le gouvernement était d'avis qu'il s'agissait du moyen le plus efficace et rapide d'agir compte tenu du délai serré.

Alors que cette loi est appréciée parce qu'elle est axée sur des principes et est neutre à l'égard de la technologie et ce sont des qualités qui doivent être conservées, la LPRPDE a fait l'objet de critiques, car son interprétation semble être difficileNote de bas de page 49. Les particuliers, les organisations et les tribunaux ont de la difficulté à interpréter cette loi, car les droits et les obligations se trouvent dans son annexe 1 et non dans le texte de la loi et ces éléments sont présentés dans un langage non juridique en mélangeant les obligations et les pratiques exemplaires (doit et devrait).

Par conséquent, les particuliers trouvent difficile de contester la conformité des organisations à cette loi et les organisations ont du mal à comprendre leurs obligations pertinentes. De plus, la LPRPDE porte aussi sur des sujets qui ne sont pas liés à la protection des renseignements personnels (ses parties 2 à 5 portent sur les documents électroniques qui sont mentionnés dans le titre de la loi).

Le gouvernement a soutenu un certain nombre d'initiatives visant à améliorer l'alphabétisation numérique. Pour faciliter ceci, nous proposons de reformuler la loi afin d'énoncer les droits et les exigences relatifs à la protection des renseignements personnels d'une manière qui est facile à comprendre.

Portée de l'application et responsabilisation

Depuis l'adoption de la LPRPDE, de nouveaux modèles d'entreprise et types d'organisations sont apparus, qui n'agissent pas traditionnellement en tant que «contrôleurs» ou «processeurs». Au fur et à mesure que le contexte des entreprises évolue et le nombre des acteurs augmente (p. ex., l'Internet des objets ou les environnements d'intelligence artificielle), la manière d'appliquer cette loi doit être actualisée et précisée, y compris dans le contexte des flux de données transfrontaliers.

Un nombre croissant d'organisations et d'entités se livrent à des activités de collecte de données non commerciales. Bien que ces activités ne soient pas couvertes par la LPRPDE, il pourrait être approprié d'évaluer la pertinence d'étendre la LPRPDE à ces activités.

Il est aussi particulièrement important de veiller à la bonne application de la LPRPDE à divers acteurs lors de l'examen de la question de responsabilisation et de la nécessité de mettre en place des programmes de gestion de la protection de la vie privée comprenant des processus souples de gestion des risques, notamment la protection de la vie privée dès la conception.

Considérations et questions

Prochaines étapes

Les discussions qui auront lieu à la suite de la lecture de ce document orienteront l'élaboration d'options de réforme législative.

Annexe A : Aperçu du cadre conceptuel de la politique de marché

Le cadre conceptuel décrit une approche politique complète axée sur l'ensemble du marché. Une telle approche ne se limite pas à une réforme de la législation et de la réglementation, mais crée également une incitation à adopter des normes et des codes pilotés par l'industrie, tout en appuyant les accords internationaux progressistes, qui traitent des questions des questions de commerce numérique.

Annexe A : Version textuelle

La figure illustre une approche politique qui énumère les activités axées au niveau national au bas et, en progressant vers le haut, les activités au niveau mondial. Une flèche sur le côté de la figure illustre le mouvement d'activités nationales vers des activités mondiales. La liste des activités de haut en bas sont:

  • Commerce international
  • Normes et codes / fiducie de données
  • Orientations sectorielles / réglementation fondée sur les activités (par exemple — véhicules connectés et automatisés)
  • Loi d'application générale : Protection de la vie privée et protection des données, la concurrence et les lois concernant la propriété intellectuelle, autre législation de cadre du marché
Date de modification :