Renforcer la protection de la vie privée dans l’ère numérique

Propositions pour moderniser la Loi sur la protection des renseignements personnels et des documents électroniques

Introduction

La technologie a longtemps apporté d'énormes bénéfices ainsi que de profonds changements à presque tous les aspects de la vie humaine. Tout comme la presse à imprimer a révolutionné la société à partir du XVe siècle, la révolution numérique a eu, et continuera d'avoir, un impact énorme sur la vie quotidienne. Qu'on pense au commerce, aux communications, au divertissement, aux transports, aux services bancaires, à l'éducation, aux soins de santé, à nos interactions interpersonnelles et à nos mouvements physiques, presque tous les aspects de notre vie sont modérés par la technologie numérique. Et grâce à ces interactions, d'énormes quantités de données sur les individus sont créées et exploitées à des fins très diverses.

La technologie numérique et axée sur des données habilite déjà la science, soutient l'innovation et stimule la croissance économique. Par exemple, les progrès réalisés dans des domaines comme la robotique, l'intelligence artificielle (IA), l'informatique quantique et la nanotechnologie mènent à des découvertes révolutionnaires qui ont des retombées économiques et sociales importantes. Mais même si ces réalisations technologiques enrichissent notre société à bien des égards, cette transformation comporte aussi des défis et des incertitudes que notre pays doit être prêt à affronter. En réponse à cela, certains intervenants ont demandé au gouvernement d'adopter une stratégie nationale en matière de données.

Le 19 juin 2018, le gouvernement du Canada a lancé ses consultations nationales sur le numérique et les données afin de démontrer son engagement à continuer à travailler ensemble pour faire du Canada une nation d'innovateurs. Comme nous l'avons indiqué dans notre rapport intitulé « La Charte numérique du Canada en action : un plan par des Canadiens, pour les Canadiens », nous avons demandé aux Canadiens de partout au pays de nous faire part de leurs uniques points de vue et de leurs idées sur certains des défis et des possibilités qui se présentent au Canada en cette période de transformation. Nous avons reçu une réponse retentissante de la part de propriétaires de petites entreprises et d'entreprises multinationales, d'étudiants, d'enseignants, de chercheurs, d'innovateurs et d'entrepreneurs, pour n'en nommer que quelques-uns.

Les Canadiens nous ont partagé leur optimisme quant au grand potentiel social et économique du Canada dans cette ère numérique. Par contre, ils nous ont également fait part de leurs préoccupations quant à la manière dont les données personnelles pourraient être utilisées. Pour le dire simplement, la voie à suivre en matière de collecte, de gestion et d'utilisation des données doit reposer sur une solide base de confiance et de transparence solides entre les citoyens, les entreprises et le gouvernement.

En effet, la confiance est le pilier de l'économie numérique et axée sur les données. Pourtant, il est clair que la confiance des gens est menacée. Les médias populaires regorgent d'histoires d'atteintes à la protection des données, d'utilisation malveillante de renseignements personnels par de grandes entreprises, ingérence étrangère, des acteurs malveillants, et de cyberintimidation ainsi que des préoccupations croissantes au sujet des répercussions de la révolution numérique et des données sur des questions allant de notre santé mentaleNote de bas de page 1 aux institutions démocratiquesNote de bas de page 2. Des habitudes en matière de sécurité inefficaces ou incohérentes, un manque de concurrence et des modèles d'affaires fondés sur la surveillance des gensNote de bas de page 3 ont amené ces derniers à se méfier de plus en plus de la façon dont les produits et services dont ils dépendent aujourd'hui, pour presque tous les aspects de leurs activités, recueillent et utilisent leurs renseignements personnels.

La confiance, l'économie numérique et la Loi sur la protection des renseignements personnels et les documents électroniques

Dans les premiers temps de l'Internet commercial, alors que le commerce électronique faisait son apparition, le gouvernement du Canada a adopté la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour assurer la confiance dans l'économie émergente. Son objectif déclaré est de:

fixer, dans une ère où la technologie facilite de plus en plus la circulation et l'échange de renseignements, des règles régissant la collecte, l'utilisation et la communication de renseignements personnels d'une manière qui tient compte du droit des individus à la vie privée à l'égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d'utiliser ou de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstancesNote de bas de page 4.

La LPRPDENote de bas de page 5, une loi fondée sur des principes et neutre sur le plan technologique, s'applique à un large éventail d'activités commerciales et est supervisée par un agent du Parlement, soit le Commissariat à la protection de la vie privée du Canada. Depuis son entrée en vigueur il y a près de 20 ans, l'activité commerciale a évolué rapidement et de façon imprévue. S'appuyant sur les principes acceptés mondialement en matière de protection des renseignements personnels qui sont énoncés dans les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (Lignes directrices sur la protection de la vie privée)Note de bas de page 6 de l'Organisation de coopération et de développement économiques (OCDE), les dix principes interreliés (et les sous-paragraphes connexes) de la LPRPDE orientent les activités de traitement des renseignements personnels des organisations. L'un de ces principes, la connaissance et le consentement, ainsi qu'un nombre limité d'exceptions au consentement, autorise ces activités, requiert que celles-ci soient « acceptables dans les circonstances ». Les autres principes, tel que la responsabilité, la transparence, l'exactitude, l'accès, les mesures de sécurité et les recours, visent à faire en sorte que les organisations traitent les renseignements personnels d'une manière juste et compréhensible pour la personne moyenne et conformément à ses attentes raisonnables. La loi a été appliquée à un large éventail d'activités commerciales, y compris dans le contexte des flux de données transfrontaliers, et s'est révélée raisonnablement souple depuis son adoption il y a près de 20 ans.

Cela étant dit, on lui a reprochéNote de bas de page 7, surtout en ce qui concerne son régime de consentement et son modèle d'application, de ne pas offrir le genre d'incitatifs qui, dans une économie axée sur les données et le numérique, font en sorte que les organisations s'y conforment. Le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes a également recommandé des mises à jour pour améliorer le contrôle individuel et la transparence organisationnelle afin de renforcer la protection de la vie privée à une époque où les gens sentent un manque de contrôle et de compréhension. Le gouvernement du Canada s'est dit d'accord au sujet des recommandations formulées dans plusieurs rapports parlementaires récentsNote de bas de page 8 selon lesquelles des changements doivent être apportés au régime fédéral de protection de la vie privée dans le secteur privé du Canada afin que les règles régissant l'utilisation des renseignements personnels dans un contexte commercial soient claires et applicables et qu'elles appuient le niveau de protection de la vie privée auquel s'attendent les Canadiens.

Les principes énoncés dans la Charte canadienne du numérique, ainsi que leurs activités de soutien, jettent les bases d'une économie numérique forte et dynamique pour le Canada. La réforme de la LPRPDE doit contribuer à l'atteinte des résultats liés à ces principes. La LPRPDE, en tant qu'élément clé du cadre du marché canadien, doit également contribuer à la mise en place d'une économie numérique inclusive qui assure des règles du jeu équitables, l'équité des chances, une sécurité et une protection de la vie privée accrues, la prévisibilité pour les entreprises et la compétitivité internationale.

Le Canada fait face à ces possibilités et à ces défis en parallèle avec d'autres pays chefs de file dans le cadre d'une course mondiale à l'innovation. Nos concurrents mondiaux prennent des mesures énergiques pour soutenir la confiance et la protection de la vie privée afin de devenir des chefs de file dans un marché mondial numérique axé sur les données.

Les lois de la prochaine génération sur la protection de la vie privée et la protection électronique, en particulier dans l'Union européenne, mais aussi aux États-Unis, ont une incidence sur les politiques et les pratiques nationales. Le secteur privé souhaite l'adoption d'une approche en matière de protection des renseignements personnels qui répond aux besoins du Canada et qui demeure compatible avec les administrations de premier plan. Bien qu'il existe des points communs entre les lois sur la protection de la vie privée au Canada et à l'étranger, un certain nombre de distinctions importantes entre les cadres canadiens et internationaux remettent en question l'objectif d'une économie numérique intégrée tant à l'échelle nationale qu'internationale.

Le gouvernement réfléchit à la meilleure façon de moderniser son cadre stratégique et réglementaire du secteur privé en vue de protéger la vie privée et de favoriser l'innovation et la prospérité. Bref, l'objectif est de respecter les gens et leur vie privée en leur assurant un contrôle significatif sans créer de restrictions onéreuses ou redondantes pour les entreprises, de favoriser l'innovation responsable de la part des organisations et d'assurer l'adoption d'un modèle d'application amélioré et réfléchi.

Plus particulièrement, le gouvernement propose d'apporter des précisions à la LPRPDE qui indiquent en détail quels renseignements les gens devraient recevoir lorsqu'ils donnent leur consentement, certaines exceptions au consentement, la mobilité des données, la suppression et le retrait du consentement, les incitatifs à la certification, les codes, les normes et les fiducies de données, les pouvoirs accrus du Commissariat à la protection de la vie privée, certaines modernisations de la structure de la loi elle-même ainsi que diverses définitions. Les propositions exposées dans le présent document s'inscrivent dans un cadre conceptuel plus large, détaillé à l'annexe A, visant à faire avancer le travail de politique dans le contexte numérique et des données.

Grâce au présent document de travail, Innovation, Sciences et Développement économique Canada à (ISDE) poursuit le dialogue sur la confiance et la protection de la vie privée qui a été amorcé en 2018 lors des consultations sur le numérique et les données. Ce document expose une série de considérations stratégiques liées à des propositions précises qui permettraient d'accroître le contrôle des consommateurs, de favoriser l'innovation responsable et d'améliorer l'application de la loi.

Le gouvernement étudie également les réformes possibles de la Loi sur la protection des renseignements personnels, qui régit les pratiques de traitement des renseignements personnels des institutions fédérales. Cette initiative est dirigée par Justice Canada en étroite collaboration avec le Secrétariat du Conseil du Trésor.

Partie 1 : Accroître le contrôle que peuvent exercer les gens

Enjeu

L'augmentation du volume et de la complexité des flux de données a éprouvé le système traditionnel du savoir et du consentement et a donné lieu à une situation où les particuliers n'exercent aucun contrôle réel sur leurs renseignements personnels et leur vie privée.

Pourquoi s'agit-il d'un enjeu?

Les plateformes et les services numériques font désormais partie intégrante de la façon dont les Canadiens vivent, travaillent et se divertissent. Cependant, les plateformes et les produits sont de plus en plus conçus pour recueillir et échanger des données ou surveiller les utilisateurs, ce qui réduit les choix que peuvent faire les consommateurs et la pertinence de leur consentement. Comme l'a souligné Teresa Scassa, il pourrait être nécessaire de complémenter le régime axé sur le consentement de la Loi sur la protection des renseignements personnels et des documents électroniques, et il y a un intérêt considérable à l'égard des outils favorables aux consommateurs et à la concurrence tels que la portabilité des données, qui permettent aux consommateurs d'exercer un contrôle accru sur leurs renseignements personnels. Selon Mme Scassa, de plus en plus, les préjudices au public — la partialité algorithmique et la manipulation de particuliers et de groupes — découlent de la saisie et de l'utilisation des renseignements personnels. Il faut adopter de nouveaux cadres pour garantir l'utilisation éthique des donnéesNote de bas de page 9.

Conformément aux exigences de la LPRPDE relatives au savoir et au consentement, les organisations doivent informer les particuliers de l'objet de la collecte, de l'utilisation et de la divulgation de leurs renseignements personnels et obtenir leur consentement. Toutefois, dans les faits, les particuliers ont assumé une grande part de la responsabilité de s'informer au sujet des pratiques de gestion de la vie privée d'une organisation et de comprendre la nature des renseignements personnels recueillis, l'objet de la collecte, et les conséquences de leur consentement à la collecte, l'utilisation et la communication de ces renseignements.

Daniel Solove, de la faculté de droit de l'Université George Washington a qualifié cette situation d'approche d'autogestion des renseignements personnels, dans le cadre duquel il incombe au particulier de gérer ses renseignementsNote de bas de page 10. Les flux de données complexes mettant en jeu des parties multiples nuisent à la capacité des gens de comprendre entièrement ce à quoi ils consentent. Bien que beaucoup d'organisations aient des politiques en matière de protection des renseignements personnels, celles-ci sont notoirement longues et difficiles à comprendre, et la plupart des gens n'ont pas le temps ou les connaissances juridiques nécessaires pour les comprendreNote de bas de page 11. Selon M. Solove, les décisions individuelles de consentir à la collecte, l'utilisation ou la communication des données risquent de ne pas collectivement donner lieu aux résultats sociaux les plus souhaitables, donc l'autogestion des renseignements personnels ne favorise donc pas le respect des valeurs sociales généralesNote de bas de page 12. La multiplicité des interactions en ligne peut faire en sorte que les particuliers aient du mal à comprendre la nature et l'étendue de l'échange de renseignements qui survient dans cet environnement.

De plus, le manque de transparence entourant les processus de prise de décisions automatisés et les décisions connexes accroissent les préoccupations des gens concernant les biais et la discrimination potentielle. Comme l'a noté Ian Kerre, les systèmes intelligents (SI) sont conçus de telle façon qu'ils créés des défis uniques en matière de protection des renseignements personnels. Un grand nombre de ces systèmes utilise l'apprentissage automatique pour exceller à la prise de décisions; cela signifie que les SI peuvent dépasser leur programmation d'origine, et faire des « découvertes » dans les données que les preneurs de décisions humains ne pourraient voir ni comprendre. Il estime donc que la LPRPDE doit exiger que la prise de décisions par des machines soit expliquéeNote de bas de page 13. Il y a également la présence émergente des agents logiciels et des robots informatiques interagissent sur le marché. Ceci peut duper les utilisateurs et miner leur confiance à l'égard du marché numérique, ce qui souligne la nécessité de mesures pour maintenir cette confiance.

Les Canadiens ont clairement manifesté leurs préoccupations. Quatre-vingts quatre pour cent des Canadiens sont préoccupés par l'utilisation de leurs renseignements personnels par des plateformes de médias sociauxNote de bas de page 14. Près de trois Canadiens sur quatre (74 %) croient que leurs renseignements personnels sont moins bien protégés qu'il y a dix ansNote de bas de page 15. Quatre-vingt-dix pour cent des Canadiens couperaient « très probablement » ou « probablement » leurs liens avec des entreprises qui utilisent des données de façon « contraire à l'éthique »Note de bas de page 16. Soixante et onze pour cent des Canadiens feraient plutôt affaire avec une entreprise si cette dernière pouvait faire l'objet de pénalités financières strictesNote de bas de page 17. Selon le sondage de l'Association canadienne des automobilistes portant sur les véhicules autonomes, 81 % des Canadiens croient qu'il est nécessaire de mettre en application des règles claires afin de protéger les renseignements personnels en ce qui a trait aux données relatives aux véhiculesNote de bas de page 18.

Les résultats des consultations nationales sur le numérique et les données démontrent que les Canadiens veulent plus de transparence dans la façon dont leurs données sont recueillies et utilisées. Toutefois, les modèles actuels qui reposent entièrement sur l'acceptation, par une personne, de politiques sur la protection des renseignements personnels qui sont longues et complexes ne sont pas adéquats et ne permettent pas d'instaurer la confiance. Les Canadiens veulent davantage de contrôle sur la façon dont leurs renseignements sont utilisés, et ils doivent comprendre la valeur et les avantages que cela représente. De plus, la prochaine génération de lois sur la protection des renseignements personnels comprend de nouvelles réponses à ces enjeux en accordant explicitement de nouveaux droits pour la mobilité des données, ou en élargissant les droits concernant la transparence et la prise automatisée de décisions, et donc la suppression des renseignements. Le gouvernement du Canada doit réfléchir à ces options à titre de réponses possibles pour s'assurer que les Canadiens disposent du contrôle dont ils ont besoin pour avoir confiance en l'économie numérique et des données.

A. Options possibles — Consentement et transparence

  • L'étude effectuée par l'ETHI de la LPRPDE, ainsi que les consultations menées par le CPVP, ont permis de dégager un certain nombre de suggestions sur la façon d'améliorer le contrôle dont disposent les gens, et sur le rôle du consentement dans la protection des renseignements personnels. Les lois sur la protection des renseignements personnels, dont la LPRPDE (pour le consentement et les exceptions en place) et le RGPD (décrit dans les motifs de « traitement »), reconnaissent différents motifs pour le traitement de renseignements personnels. Un certain nombre de propositions misent de l'avant pour une loi nationale américaine sur la protection des renseignements personnels reflètent également une telle approche. En effet, le commissaire à la protection des renseignements personnels a indiqué qu'en tentant de trouver des solutions pour relever les défis que présente le consentement dans le domaine numérique, il est possible que le consentement ne soit tout simplement pas pratique dans certaines circonstancesNote de bas de page 19.
  • Le premier ensemble d'options porte sur le consentement, les exceptions au consentement et la transparence, ainsi que sur la définition des renseignements dépersonnalisés et de l'information accessible au public. Une approche potentielle pour la LPRPDE est de préciser les renseignements requis pour obtenir un consentement éclairéNote de bas de page 20. Le fait de demander trop de renseignements pour le processus de consentement peut être accablant pour les gens ou se transformer simplement en un autre écran sur lequel cliquer pour obtenir le produit ou service désiré. Cela étant dit, en ce qui a trait à la transparence dans un processus automatisé de prise de décisions ou de responsabilisation, un domaine qui devient de plus en plus préoccupant alors que nous progressons vers des systèmes intelligents et l'apprentissage machine, il serait important de clarifier l'utilisation de ces technologies pour informer les gens et les organismes de supervision quant aux assises de décisions éclairées sur des personnes — un principe fondamental de la protection de la vie privée.
  • De la même façon, nous devons nous pencher sur le consentement lorsqu'il est possible pour les personnes de prendre des décisions raisonnables et éclairéesNote de bas de page 21. À cette fin, il sera nécessaire d'identifier les fins pour lesquelles le consentement peut ne pas être nécessaire ou même appropriéNote de bas de page 22.
  • Un aspect de cet enjeu est le concept de dépersonnalisation.
  • Aux termes de la LPRPDE, les renseignements personnels sont définis comme des renseignements concernant un individu identifiable. Selon la Cour fédérale du Canada, un renseignement concerne un individu identifiable lorsqu'il y a une possibilité sérieuse qu'un individu puisse être identifié au moyen dudit renseignement, que celui-ci soit pris seul ou en combinaison avec d'autres renseignementsNote de bas de page 23. Quant au terme « concernant », il signifie non seulement que le renseignement en question porte sur un individu, mais aussi qu'il le touche ou qu'il peut y être associéNote de bas de page 24. De manière générale, la définition de renseignements personnels fait l'objet d'une interprétation large et libérale. Dans l'ère des mégadonnées, où de vastes quantités de données sont créées tous les jours, cela peut vouloir dire que tout élément de données pourrait être considéré comme concernant un individu identifiable. En outre, il existe des moyens de plus en plus sophistiqués pour repersonnaliser les renseignements qui semblent manifestement être non personnels. L'idée qu'il soit pratiquement atteignable d'anonymiser des renseignements de sorte que ceux-ci ne soient plus visés par les dispositions législatives en matière de protection de la vie privée ne tient pas la route. Cela dit, une approche fondée sur les risques, dans le cadre de laquelle les renseignements dépersonnalisés pourraient être définis, leur utilisation permise dans des circonstances précises, et des pénalités imposées dans l'éventualité de leur repersonnalisation, pourrait être adoptée pour répondre aux préoccupations liées à la protection des renseignements personnels et encourager l'innovation.
  • Des concepts comme celui des renseignements pseudonymes sont intégrés à d'autres instruments législatifs relatifs à la protection de la vie privéeNote de bas de page 25, en reconnaissance du fait qu'il existe une volonté d'utiliser des renseignements qui n'ont pas nécessairement besoin d'être personnellement identifiés, mais qui demeurent identifiables, et que des mesures de protection sont nécessaires pour ce type de renseignements. Le concept de renseignements pseudonymes pourrait être intégré dans les exceptions au consentement, de manière à préciser que même s'il est possible que cette information ne soit pas « identifié. », elle a quand même intérêt à être protégée et doit donc l'être.
  • Le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique a également soulevé des préoccupations à propos du consentement et des renseignements personnels relevant du domaine public. La Loi sur la protection des renseignements personnels et les documents électroniques englobe actuellement le Règlement précisant les renseignements auxquels le public a accès, qui n'est pas visé par les exigences en matière de connaissance et de consentement. Rédigé en même temps que la LPRPDE, il rend compte dans une certaine mesure de la technologie et des utilisations de cette époque, et comprend des ensembles de renseignements (comme ceux figurant dans un registre) qui devaient être accessibles au public aux termes de la loi. Des renseignements personnels et des catégories de renseignements personnels, accompagnés de restrictions applicables (généralement, la collecte, l'utilisation ou la communication de tels renseignements doit être directement liée aux fins pour lesquelles ils ont été rendus publics) y sont présentés sous forme de liste et sont exemptés de l'application des exigences en matière de connaissance et de consentement. Certains ont soutenu que ce règlement doit être mis à jour pour faire en sorte qu'il reflète l'environnement actuel; d'autres ont soulevé des préoccupations au sujet du besoin de respecter les intérêts relatifs à la vie privée associés à de tels renseignementsNote de bas de page 26. Cet enjeu est également lié à la réputation en ligne des individus, une question qui est abordée plus loin dans cette partie.

Nous proposons donc de :

Fournir des mesures de contrôle plus efficaces et accroître la transparence pour les individus par les moyens suivants :

  • Exiger que les organisations fournissent aux individus les renseignements dont ils ont besoin pour prendre des décisions éclairées, y compris en exigeant des renseignements précis et normalisés en langage clair sur l'utilisation prévue de l'information, les tierces parties auxquelles les renseignements seront communiqués, et en interdisant le regroupement du consentement dans le cadre d'un contrat.
  • Prévoir certaines solutions de rechange ou exceptions au consentement pour faciliter l'utilisation de renseignements personnels par les entreprises dans des circonstances précises de manière à couvrir, par exemple, les utilisations courantes de renseignements personnels aux fins des activités normales de l'entreprise. De même, en ajoutant une définition pour les renseignements dépersonnalisés, ainsi qu'une exception au consentement pour leur utilisation et leur communication à certaines fins prescrites et des pénalités pour leur repersonnalisation, on pourrait permettre que de tels renseignements soient utilisés à des fins appropriées, tout en assurant au même moment que leur utilisation à d'autres fins soit visée par les mesures de protection prévues aux termes de la LPRPDE. L'élaboration d'une telle définition, cependant, posera un défi étant donné qu'à peu près tout renseignement peut être un renseignement personnel.
  • Le consentement serait encore exigé pour les utilisations qui ont la plus grande incidence sur les individus, ce qui bien sûr n'engloberait pas les situations où le consentement est inapproprié ou contraire à l'activité (p. ex., enquête, réponse à une assignation à comparaître ou autres moyens légaux pour exiger la production de renseignements).
  • Exiger que les individus soient informés de l'utilisation de processus décisionnels automatisés, des facteurs ayant une incidence sur la décision et de sur quoi la décision a une incidence, ainsi que de la logique sur laquelle la décision est fondée. Une telle exigence ne s'étendrait pas à la communication de renseignements commerciaux confidentiels à un individu. Comme les données très complexes, plus particulièrement celles qui ne relèvent pas de la discrétion humaine (comme celles venant à l'appui du développement de l'intelligence artificielle), sont de plus en plus utilisées à l'extérieur des laboratoires de recherche et sur le marché, les processus décisionnels automatisés deviendront la norme. Avec cela vient le risque d'un mauvais usage des renseignements personnels qui peut entraîner une discrimination et une partialité indues. L'objectif de faire davantage la lumière sur les décisions automatisées est d'aider les individus à mieux comprendre comment de telles décisions sont prises à leur sujet.
  • Exiger que les pratiques soient plus transparentes en stipulant explicitement que les organisations doivent démontrer qu'elles agissent de manière responsable, y compris dans le contexte des flux transfrontaliers. Cette proposition est explicitée dans les parties 2 et 3.
  • Explorer la définition de renseignements accessibles au public.

Considérations et questions

  • La LPRPDE exige déjà que les organisations informent les personnes des fins pour lesquelles elles recueillent, utilisent ou communiquent des renseignements personnels et qu'elles les informent des types de renseignements personnels qu'elles recueillent dans le cadre de leurs politiques et pratiques sur les renseignements personnels. Le Commissariat à la protection de la vie privée du Canada (ainsi que ses homologues provinciaux de l'Alberta et de la Colombie-Britannique) a publié des lignes directricesNote de bas de page 27 sur la question.
    • Les ajouts que nous proposons seront-ils suffisants pour améliorer le consentement explicite des individus?
    • Certains paysNote de bas de page 28 ont défini des mesures plus strictes, comme des interdictions ou le consentement explicite, en ce qui concerne la collecte et le traitement des renseignements personnels sensibles, alors que la LPRPDE a toujours adopté une approche contextuelle. Devrait-on définir ce qu'on entend par renseignements personnels de nature délicate et prévoir des mesures de protection supplémentaires à leur égard?
  • Prises dans leur ensemble, améliorer les exigences pour le consentement où l'impact est le plus grand permet d'en réduire le recours pour des pratiques communes ou dans des environnements de confiance (voir Partie 2), pourraient constituer une approche équilibrée pour les particuliers et les entreprises. Par exemple, ces options permettraient d'offrir un meilleur contrôle aux individus et de réduire le risque de lassitude en évitant aux particuliers de devoir consentir à des utilisations que la plupart d'entre eux considèrent comme raisonnables et en se concentrant sur celles qui présentent un risque plus élevé. Pour ce qui est des entreprises, de telles options permettraient de préciser les pratiques pour lesquelles le consentement est requis et de réduire le risque d'objection aux pratiques commerciales courantes (bien qu'elles devront quand même faire preuve de transparence au sujet de ces pratiques en les décrivant dans une politique de confidentialité facilement accessible aux particuliers).
  • L'expression « pratiques commerciales normalisées » pourrait s'appliquer à des fins telles que la prestation d'un service, l'utilisation de l'information à des fins d'authentification, de communication de renseignements à des tierces parties qui traitent des renseignements, de gestion du risque ou de respect des exigences réglementaires. Toutefois, le principe de responsabilité, ainsi que toutes les autres exigences prévues par la Loi, continueraient de s'appliquer.
    • Quels sont les avantages ou les risques liés au retrait de l'obligation d'obtenir le consentement pour le traitement de renseignements personnels à des fins qui sont considérées comme des pratiques commerciales normales?
    • À quelles activités une telle disposition devrait s'appliquer?
    • Quelles sont les activités qui ne doivent pas faire partie du champ d'application d'une telle disposition?
  • Cette approche nécessiterait l'adoption de modifications complémentaires pour renforcer le rôle de surveillance du commissaire à la protection de la vie privée. L'exigence primordiale actuelle selon laquelle les fins doivent être appropriées demeurerait, bien entendu, inchangée.
  • Le concept de données anonymisées ou le recours à des pseudonymes sont reconnus dans d'autres lois comme un moyen de favoriser l'innovation et de protéger la vie privée, lorsque la situation s'y prête. L'adoption d'une approche semblable à celle qui existe dans d'autres pays contribuera également à résoudre les problèmes d'interopérabilité et apportera plus de certitude aux particuliers et aux organisations, surtout dans le contexte transfrontalier. Dans la deuxième partie, nous proposons une utilisation particulière, sans consentement, des renseignements dépersonnalisés se rapportant aux fiducies de recherche et de données.
  • Bien que la dépersonnalisation puisse renforcer la sécurité et la confiance, et ainsi accroître l'utilisation et la communication des données, il existe des techniques de plus en plus avancées qui permettent de repersonnaliser des données dites dépersonnalisées ou anonymisées.
    • Quelles autres mesures de protection devraient être prises pour atténuer le risque de repersonnalisation des données dépersonnalisées?
  • Enfin, en ce qui concerne l'information accessible au public, cet enjeu revêt une grande complexité et a de nombreuses répercussions sur les particuliers et les organisations. De récentes controverses ont illustrer l'incidence sur la vie privée de l'utilisation des renseignements diffusés sur les médias sociaux, par exemple.
    • La définition actuelle apporte-t-elle suffisamment de précisions et de certitude aux entreprises et aux particuliers pour leur permettre de comprendre comment protéger les renseignements personnels qui relèvent du domaine public?

B. Options possibles — mobilité des données

On entend par mobilité des donnéesNote de bas de page 29 le fait de permettre aux personnes de demander que les renseignements personnels qu'elles ont communiqués à une organisation soient transmis à une autre organisation. On a prétendu que cette dernière a le potentiel d'habiliter les gens à « voter avec leurs pied. » en manifestant leurs préférences pour ainsi dire. Certains y voient une évolution des dispositions actuelles de la LPRPDE concernant l'accès à ses propres renseignements personnels et le retrait de leur consentement.

Des études menées dans d'autres paysNote de bas de page 30 ont déterminé que la mobilité des données peut accroître le choix des consommateurs, et ainsi favoriser l'émergence et la croissance de nouveaux biens et services novateurs, en plus de permettre un meilleur contrôle individuel des données et d'encourager la concurrence. Comme l'a noté Michael Geist dans son témoignage au Sénat sur la mobilité des données dans le secteur bancaire, des protocoles et des normes de sécurité devront sans aucun doute être élaborés, mais il faut commencer par réglementer un système axé sur le consommateur qui, à sa demande, lui permet de prendre en charge ses donnéesNote de bas de page 31.

Nous proposons donc :

Instaurer de nouvelles possibilités de mobilité des données afin d'accroître le contrôle des individus sur l'information en :

  • leur accordant explicitement le droit de demander que leurs renseignements personnels soient transmis d'une organisation à une autre dans un format numérique normalisé, lorsqu'un tel format existe.

Considérations et questions

  • Cette approche devra être appuyée par la mise en œuvre de méthodes communes de transfert, de réception et d'utilisation des données, grâce à l'élaboration éventuelle de codes de pratique ou de normes techniques.
  • Des exceptions à l'obligation de transférer les données doivent être prévues dans les cas où cela serait contraire à l'application de la loi, porterait préjudice à une enquête, révélerait des procédés ou des technologies exclusifs, ou ne serait pas techniquement possible.
  • La mise en œuvre de la mobilité des données en vertu de la LPRPDE soulève un certain nombre de questions. En particulier, il faut se demander si la disposition devrait englober les renseignements dérivés (p. ex. un profil ou une catégorisation de l'individu par cette organisation) et les renseignements concernant un tiers (p. ex. la liste de contacts de l'individu). Il sera également important de gérer les attentes. Les consommateurs pourraient avoir des attentes élevées à l'égard de la mobilité des données. Par exemple, il peut arriver qu'un concurrent n'existe pas encore ou que la mobilité ne soit pas techniquement possible.
    • La disposition relative à la mobilité des données devrait-elle se limiter strictement aux renseignements donnés par l'individu et ne viser que l'information dérivée?
    • La disposition relative à la mobilité des données devrait-elle permettre la transmission de renseignements concernant une tierce partie?

C. Options possibles — réputation en ligne

  • Au cours des dernières années, on a beaucoup discuté de l'incidence de l'environnement en ligne sur la capacité des personnes à gérer leur vie privée et leur réputation. Bien que les médias sociaux facilitent les échanges entre les personnes, ils peuvent aussi présenter des défis pour les individus désirant contrôler les utilisations possibles de leurs renseignements personnels par des tiers. Les incidents impliquant Facebook et Cambridge Analytica n'en sont qu'un exemple.
  • Certaines des dispositions actuelles de la LPRPDE contribuent à remédier aux problèmes de réputation, en particulier celles qui permettent aux personnes de rectifier leurs renseignements, de retirer leur consentement à l'utilisation de leurs renseignements et d'inscrire au dossier des renseignements personnels faisant l'objet d'un litige. Il existe également des dispositions qui limitent la durée de conservation des renseignements personnels et exigent leur suppression lorsqu'ils ne sont plus utiles. Dans l'ensemble, ces mesures contribuent à donner aux individus un certain contrôleNote de bas de page 32.
  • Toutefois, l'effet de ces dispositions est limité dans l'environnement en ligne et le gouvernement reconnaît les risques particuliers auxquels sont exposés les jeunes et les enfantsNote de bas de page 33.
  • Parmi les réponses proposées dans d'autres pays, mentionnons le déréférencement et le retrait/suppression à la source. Par déréférencement, on entend le retrait ou la suppression de certains liens dans les résultats des moteurs de recherche en ligne. Par retrait ou suppression à la source, on entend le retrait des renseignements personnels contenus sur les sites où l'information est directement fournie par une personne (comme dans le cas des sites de réseautage social).
  • Au moment de la rédaction du présent rapport, la Cour fédérale du Canada était saisie de la question du déréférencement et de l'application de la LPRPDE aux moteurs de recherche.Note de bas de page 34 Par conséquent, le présent document de travail ne portera pas sur le déréférencement.
  • Le fait que le stockage d'information étant devenu extrêmement bon marché et que la quantité d'information pouvant être conservée est énorme, constitue un autre défi de taille. Bien qu'à l'heure actuelle, la LPRPDE exige que les renseignements personnels ne soient conservés que le temps nécessaire à la réalisation des fins déterminées, ce n'est souvent pas le cas. En cette ère où les renseignements personnels sont de plus en plus monnayables, les incitatifs à conserver les renseignements personnels — au cas où ils pourraient être utiles plus tard — sont nombreux. Des renseignements désuets peuvent être utilisés contre des personnes et nuire à leur réputation.Note de bas de page 35 Ces derniers peuvent également être reproduit facilement (ceci est particulièrement difficile dans le contexte des médias sociaux).
  • Les options suivantes peuvent être envisagées pour accroître la capacité actuelle de supprimer les renseignements personnels à la source :

Renforcer la capacité des individus à préserver leur réputation en ligne comme suit :

  • en exigeant que les organisations informent les mineurs de leur droit de supprimer ou de dépersonnaliser les renseignements personnels qu'ils ont fournis et de la façon de s'y prendre, à quelques exceptions près;
  • en conférant à toute personne le droit explicite de demander la suppression des renseignements qu'elle a fournis à son sujet, sous certaines réserves;
  • en assurant l'exactitude et l'intégrité des renseignements sur une personne tout au long de la chaîne de possession en exigeant des organisations qu'elles informent toute autre organisation à qui ils ont été communiqués de leur modification ou de leur suppression;
  • en envisageant l'utilisation de périodes de conservation définies pour accroître l'intégrité des données et réduire le risque d'utilisation abusive.

Considérations et questions

  • Ces options étoffent ou clarifient les droits existants en vertu de la LPRPDE. Elles tiennent également compte d'une tendance, dans d'autres pays, à accorder aux individus le droit explicite de supprimer leurs renseignements personnels dans certaines circonstancesNote de bas de page 36.
  • Les options possibles permettraient de clarifier et d'améliorer les règles de la LPRPDE concernant la suppression et le retrait du consentement, donnant ainsi aux personnes, en particulier aux jeunes, un meilleur contrôle sur leurs renseignements personnels et leur réputation. Le fait d'accorder un droit particulier aux jeunes souligne l'importance de leur permettre de poursuivre leurs intérêts et leurs amitiés en ligne sans que ces activités ne leur portent préjudice ultérieurement.
  • De telles dispositions pourraient imposer un fardeau de conformité aux organisations et entraver inutilement l'accès à l'information essentielle pour les entreprises.
  • Par exemple, dans certains cas, il peut être difficile pour une organisation de savoir qui est mineur. Il peut également être difficile de donner suite à une demande de suppression lorsqu'une information a été fournie par un tiers.
    • Ces propositions permettent-elles d'améliorer adéquatement le contrôle des jeunes?
    • Quels paramètres devraient être pris en compte afin d'alléger le fardeau des organisations qui doivent se conformer à ces dispositions?
    • Une période de conservation devrait-elle définie dans la LPRPDE?

Partie 2 : Favoriser l'innovation responsable

Enjeu :

De plus en plus, les nouveaux modèles d'affaires et les technologies émergentes reposent sur l'utilisation complexe des renseignements personnels par divers intervenants. Cela a donné lieu à des demandes pour un meilleur accès aux renseignements personnelles pour le développement de produits et de services novateurs. Parallèlement, cela entraîne la nécessité d'une responsabilisation accrue et de normes de prévenance plus élevées afin d'assurer le respect de la vie privée et de la sécurité. De plus, on craint qu'il ne soit pas toujours évident de déterminer comment une législation fondée sur des principes s'applique aux nouveaux modèles d'affaires et aux nouvelles technologies.

Pourquoi s'agit-il d'un enjeu?

Comme il est indiqué dans le rapport « La Charte numérique du Canada en action : un plan par des Canadiens, pour les Canadiens », le Canada a tous les atouts nécessaires pour prospérer dans un monde de plus en plus numérique. Nous avons une solide capacité en matière de recherche, notre main-d'œuvre est diversifiée et très instruite, et nous favorisons un climat propice aux investissements. Nous sommes technophiles et bien branchés; 87 % des Canadiens et 95 % des entreprises canadiennes sont connectés à Internet. De plus, 85 % des Canadiens possèdent un appareil mobile.Note de bas de page 37

Les données permettent de faire croître l'économie canadienne axée sur les données, mais des flux de données complexes auxquels participent de nombreuses parties réduisent le sentiment de contrôle qu'ont les gens sur leurs renseignements personnels et, en fin de compte, ils sont moins convaincus que leurs renseignements peuvent être protégés adéquatement. Tout cela, combiné au manque de transparence perçu à l'égard des processus décisionnels automatisés, y compris les processus programmatiques, accroît les inquiétudes des gens quant à la possibilité d'abus des données recueillies et utilisées.

De nos jours, presque toutes les organisations participent d'une façon ou d'une autre au secteur des données, ce qui fait en sorte qu'il est difficile de savoir clairement qui est responsable des renseignements personnels. L'industrie des véhicules autonomes illustre bien ce point. En plus des capteurs placés dans le véhicule par le constructeur, d'autres plateformes et développeurs d'applications recueillent également des données sur le véhicule et le conducteur. Dans d'autres cas, il y a une plus grande collaboration entre les secteurs public et privé (le scénario de la ville intelligente est un exemple opportun), ce qui soulève des préoccupations quant à la responsabilisation, à l'utilisation appropriée des données dans l'intérêt public et à l'accès aux données pour l'élaboration de politiques publiques.

Compte tenu de l'importance de l'innovation axée sur les données et le numérique pour l'économie et la prospérité future du Canada, les cadres législatifs qui soutiennent ce marché doivent être équilibrés et adaptés aux besoins.

A. Option possible : Permettre les fiducies de données pour améliorer le partage des données

Comparativement à d'autres administrations, des pays comme le Canada pourraient profiter de modèles qui maximisent l'utilisation des données disponibles et fournissent un moyen de mettre en commun les données en toute sécurité dans la poursuite de l'innovation et du bien public, particulièrement dans des domaines comme la santé ou les transports. Les solutions émergentes, comme les « fiducies de données », peuvent constituer un moyen de favoriser l'innovation responsable, en particulier dans le cas des partenariats public-privé.

Les fiducies de données exigeraient que des tierces parties fiables gèrent l'accès des organisations aux banques de données de nature délicate à des fins de recherche et de développement, tout en protégeant les renseignements personnels et en s'assurant que les organisations utilisent les données de façon appropriée. Les fiducies constituent un cadre pour la gestion fiduciaire des actifs; les responsables des politiques, les entreprises et les experts ont commencé à examiner l'application potentielle d'un tel modèle de fiducie à la gouvernance des données. Bianca Wylie et Sean McDonald du Centre pour l'innovation dans la gouvernance internationale ont cerné les fiducies de données comme étant un moyen pour les détenteurs de droits sur les données de regrouper et de favoriser la négociation collective pour avoir des relations entre les données plus équilibrées et avantageuses pour le public. De plus, ils indiquent que l'acte de création d'une fiducie de données est intrinsèquement spécifique, exigeant que les parties concernées s'entendent sur un but commun, une structure de gouvernance et une théorie claire sur les avantages communsNote de bas de page 38. Les fiducies de données traitent les ensembles de données comme les actifs qu'un tiers indépendant doit gérer selon des modalités contractuelles conçues pour assurer l'utilisation responsable et appropriée de ces actifsNote de bas de page 39.

Par conséquent, nous proposons ce qui suit :

Encourager l'utilisation des données aux fins de recherche et d'innovation

  • En établissant un régime d'utilisation des données désidentifiées dans la LPRPDE, la création de fiducies de données pourrait être appuyée, de sorte que l'information désidentifiée puisse être traitée sans consentement lorsqu'elle est gérée par une fiducie de données. Cela pourrait se faire en révisant l'exception actuelle relative au consentement pour la recherche afin d'encourager la création d'une fiducie de données. Un tel régime pourrait créer un cadre juridique clair pour l'échange de renseignements sans qu'il soit nécessaire d'obtenir le consentement, mais il assurerait une couverture appropriée aux termes de la Loi.
  • Cette approche devrait comprendre des interdictions concernant la réidentification intentionnelle ou le ciblage des personnes dans les données, ou la réidentification par négligence ou imprudence.
  • Cette approche devrait établir clairement les liens entre l'application de la LPRPDE et la surveillance d'une fiducie de données.

Considérations et questions :

  • Les fiducies de données pourraient constituer un moyen sécuritaire et susceptible d'améliorer la protection de la vie privée pour partager des données afin de stimuler le développement d'innovations en matière d'IA dans un large éventail de secteurs de l'économie. Les fiducies de données peuvent permettre un partage et une utilisation accrus des données à des fins socio-économiques dans un cadre qui protège contre les abus de ces données.
  • Les plus proches alliés du Canada examinent le recours à des fiducies pour les politiques relatives à l'IA et aux données. Le Royaume-Uni examine le recours à des fiducies de données en tant que contrats types pour le partage des données des secteurs public et privé et l'Australie crée actuellement de nouvelles entités pour gérer l'accès privé aux données du secteur public.
  • Il existe également un certain nombre d'exemples de fiducies de données dans le secteur privé, comme des entreprises qui agissent à titre de contrôleur de données conforme au RGPD au nom de leurs clients ou des organisations qui fourniront aux universitaires un accès aux données par l'entremise d'un intermédiaire fiable à des fins de recherche approuvées.
  • Le modèle a le potentiel de fournir un accès fiable et d'assurer la divulgation des données, en plus d'assurer la surveillance et la responsabilisation de ceux qui ont accès aux données grâce à la possibilité de mettre en place des systèmes d'authentification et d'identité.
    • La LPRPDE pourrait-elle être mise à profit pour encourager le développement de fiducies de données, en particulier l'exception en vigueur en matière de connaissance ou de consentement pour la communication de renseignements personnels à des fins de recherche et de statistiqueNote de bas de page 40?

Options possibles — Autoréglementation et normes techniques

Conformément à l'objectif stratégique du Canada de préserver la libre circulation de l'information au-delà des frontières tout en maintenant une protection significative de la vie privée, le Canada participe à des forums internationaux qui font la promotion de l'interopérabilité mondiale des cadres de protection de la vie privée. Plus précisément, le Canada appuie les approches multilatérales en matière de protection de la vie privée qui visent à « relier » les régimes de protection de la vie privée à l'échelle internationale, afin d'établir une forme de « reconnaissance mutuelle » dans plusieurs pays ou régions. Le système des règles transfrontalières en matière de protection de la vie privée de l'APEC (auquel participe le Canada) en est un bon exemple. Étant donné que diverses initiatives sont en cours pour « relier » le système de l'APEC à des instruments juridiques non législatifs de l'UE pour la circulation transfrontalière, le système de l'APEC pourrait présenter un intérêt (et une utilité) considérable. Les Lignes directrices de l'OCDE sur la protection de la vie privée sont un autre exemple du type d'entente internationale appuyée par le Canada. La promotion de l'interopérabilité mondiale des cadres de protection de la vie privée est un élément essentiel de l'approche du Canada en matière de protection de la vie privéeNote de bas de page 41. L'intégration de codes et de normes dans un cadre législatif peut aider davantage à harmoniser les cadres de protection de la vie privée à l'échelle nationale et internationale.

La LPRPDE fournit une base de référence pour la protection de la vie privée et prévoit actuellement un rôle pour les codes de pratique. D'autres administrations ont reconnu la valeur des régimes liés aux codes, aux normes et à la certification pour améliorer la souplesse réglementaire et appuyer l'innovation responsable. Ces régimes peuvent fournir des mesures de protection plus spécifiques pour certains secteurs ou activités, et peuvent accroître la transparence et la certitude pour les individus. De plus, de telles approches pourraient aider les individus à faire des choix fondés sur les pratiques des organisations en matière de protection de la vie privée. Bref, il faut reconnaître la valeur et l'utilité des normes, des codes et de la certification comme outils pour soutenir les « règles » de protection de la vie privée et tenter de favoriser leur élaboration et d'influer sur celle-ci dans des domaines qui reflètent les exigences, les priorités et les intérêts canadiens. En outre, le respect des codes et des normes pourrait encourager la conformité et contribuer à l'adoption d'un modèle d'application plus proactif. Dans Revisiting the governance of privacy: Contemporary policy instruments in a global perspective, Colin Bennett et Charles Raab soulignent que sur la scène nationale et internationale, les normes pourraient combler d'importantes lacunes dans le régime d'application, et qu'elles pourraient contribuer à diminuer le travail de conformité qui doit être accompli par les organismes de réglementation et servir de méthodes crédibles de certification pour les transferts transnationaux de donnéesNote de bas de page 42.

Par conséquent, nous proposons ce qui suit :

Favoriser l'utilisation de normes et de codes

  • L'élaboration de codes de pratiques, de régime d'accréditation et de certification et de normes pourrait être encouragée grâce à une reconnaissance officielle dans la LPRPDE comme moyen de faire preuve de diligence raisonnable en ce qui concerne la conformité à certaines dispositions de la Loi.
  • Cela pourrait être appuyé davantage en conférant au ministre d'ISDE, dans le cadre de ses responsabilités à l'égard de l'administration de la Loi, un vaste pouvoir réglementaire en ce qui concerne les régimes d'accréditation et de certification.
  • La validation des codes ou des mécanismes de certification pourrait être obtenue grâce à une reconnaissance par le CPVP; cela pourrait servir de facteur atténuant en cas d'enquête ou de mesure d'application.

Considérations et questions :

  • La certification, les codes de conduite et les normes pourraient être utilisés comme mécanismes pour améliorer l'interopérabilité internationale et la cohérence de lois essentiellement similaires. Cependant, il y a deux inconvénients potentiels relatifs à la certification et aux codes, plus particulièrement : ils sont généralement dispendieux et, sans surveillance appropriée, ils peuvent être, au mieux, sans intérêt et au pire, trompeurs.
  • Pour répondre aux préoccupations au sujet de la surveillance, si cela est prévu officiellement dans la LPRPDE, le CPVP pourrait offrir une voie de surveillance proactive.
    • Un mécanisme de certification permettant aux entreprises de démontrer de façon proactive leur conformité à la LPRPDE, dans le cadre duquel le CPVP aurait le pouvoir d'examiner périodiquement la conformité d'une organisation au régime ou au code de certification, serait-il bien accueilli par les organisations et les consommateurs?
    • Quel rôle pourraient jouer d'autres organismes, par exemple le Conseil canadien des normes?
    • Comment ces organismes pourraient-ils coopérer?

Partie 3 : Améliorer l'application de la loi et la surveillance

Enjeu

Il y a une opinion de plus en plus couranteNote de bas de page 43 selon laquelle le recours au modèle d'ombudsman et d'application de la LPRPDE, qui compte principalement sur la formulation de recommandationsNote de bas de page 44, de nommer les organisations dans l'intérêt du public, et le recours à la Cour fédérale, pour assurer la conformité aux lois sur la protection des renseignements personnels est désuet et qu'il ne favorise pas la conformité, notamment lorsqu'on examine les résultats obtenus par la dernière génération des lois en la matière. La situation actuelle ne peut pas continuer; une application significative mais raisonnée est nécessaire pour s'assurer qu'il y a des conséquences réelles lorsque la loi n'est pas respectée.

Pourquoi s'agit-il d'un enjeu?

Les conséquences et les répercussions sur les entreprises qui ne respectent pas la LPRPDE sont actuellement limitées. À la suite d'une enquête, le commissaire à la protection de la vie privée peut formuler des recommandations, conclure une entente de conformité avec une organisation ou entamer une poursuite devant la Cour fédérale qui tiendra une audience de novo. Dans les cas où des recommandations sont formulées à la fin d'une enquête visant une organisation, celle-ci doit assumer les coûts probables associés à la mise en œuvre de ces dernières. Si le commissaire décide de publier ses constatations et nomme l'organisation, l'attention négative suscitée par cette décision peut avoir des incidences sur les résultats financiers de l'organisation. Cependant, même si les recommandations présentées par le commissaire sont souvent prises en compte, ce n'est pas toujours le cas. En fait, un incident récent lié à la vie privée trouve ses racines dans une enquête menée il y a dix ans par le commissaire à la protection de la vie privée à la suite d'une plainte. Le commissaire avait alors constaté que les recommandations précédentes n'étaient pas entièrement suivies ou mises en œuvre, et que le comportement contraire à la loi avait continué.Note de bas de page 45 Il a été constaté que l'absence des conséquences liées aux comportements répréhensibles crée une situation où d'autres participants à l'économie sont traités de manière injuste, et cela n'est pas acceptable. Les bons joueurs, qui demandent des conseils et apportent des améliorations et qui, finalement, effectuent des dépenses pour respecter la loi, préféreraient éventuellement se trouver dans une situation où il y a davantage d'équité.

Si les conséquences financières liées aux cas de non-conformité sont suffisamment graves, les organisations concernées seront incitées à prendre des mesures pour respecter la loi. Certaines indications, basées sur la manière dont les organisations ont réagi lorsque la déclaration des atteintes est devenue obligatoire en 2018, et qu'il est devenu possible d'imposer des amendes quand les atteintes ne sont pas déclarées ou consignées sciemment, porte à croire que la menace de pénalités financières oblige les organisations à prêter une attention particulière à cette question. Dans le même ordre d'idées, lorsque le RGPD est entré en vigueur, une grande partie de la couverture médiatique et des discussions dans divers forums a été consacrée aux amendes importantes qui pourraient être imposées aux organisations qui ne respectent pas la loiNote de bas de page 46. Alors que les ÉtatsUnis examinent la possibilité d'adopter une loi fédérale sur la protection des renseignements personnels qui s'appliquerait au secteur privé, la Federal Trade Commission (FTC) a négocié un certain nombre de règlements en vertu de ses règles actuelles relatives à la protection de la vie privée (dont la portée est relativement limitée). Ici, au Canada, les homologues provinciaux du commissaire à la protection de la vie privée (y compris les trois commissaires qui surveillent l'application des lois sur la protection des renseignements personnels dans le secteur privé) ont le pouvoir d'émettre des ordonnances. Si le projet de loi C-58 est adopté, le pouvoir d'émettre des ordonnances serait également accordé au commissaire à l'information qui est un agent du Parlement comme le commissaire à la protection de la vie privée.

Il est également important de souligner, cependant, que les cas de non-conformité peuvent parfois être le résultat d'un manque de clarté ou d'incertitudes par rapport aux obligations des organisations en vertu de la loi. Les organisations peuvent avoir la volonté de respecter la loi, mais elles ont de la difficulté à connaître les mesures qu'elles doivent prendre dans certaines situations. Nos propositions visant à régler cette situation sont présentées davantage dans les parties 2 et 4.

Alors que le modèle actuel met l'accent sur la médiation, la négociation et l'éducation pour atteindre les objectifs en matière de conformité, les cas importants et à visibilité élevée d'utilisation inattendue des renseignements personnels ainsi que les atteintes minent la confiance du public dans l'économie numérique et suscitent des préoccupations relatives à la protection de la vie privée. Le moment est venu de renforcer le cadre de protection de la vie privée du Canada afin de veiller à ce que le régime fédéral canadien de protection de la vie privée dans le secteur privé ne prenne pas davantage de retard.

Options possibles : augmenter les pouvoirs du commissaire

Le commissaire dispose actuellement d'une gamme de pouvoirs d'enquête qui lui permettent d'exiger la production de preuves, de faire prêter serment, d'accéder à des locaux, d'examiner des documents et d'interroger des témoins. Il ou elle peut lancer ses propres enquêtes lorsqu'il ou elle a des motifs raisonnables de croire qu'il ou elle faut agir ainsi, et il ou elle peut accepter des plaintes de tout membre du public. À la fin d'une enquête, le commissaire peut produire un rapport présentant des recommandations ou conclure une entente de conformité. Il ou elle peut aussi entamer une poursuite devant la Cour fédérale à la fin d'une enquête (il n'y a pas de recours possible devant la Cour lorsque le Commissaire a lui-même pris l'initiative d'une plainte). La Cour peut ensuite ordonner des mesures correctives ou accorder des dommages-intérêts. Le commissaire peut également effectuer une vérification s'il a des motifs raisonnables de croire qu'une organisation n'a pas respecté des dispositions de la LPRPDE ou de l'annexe 1 de cette loi. Le commissaire n'a aucun recours à la Cour fédérale à la suite d'une vérification.

En plus d'accorder les pouvoirs d'enquête susmentionnés, la LPRPDE impose au commissaire l'obligation d'informer les organisations et les particuliers sur cette loi, d'effectuer des recherches, d'élaborer des lignes directrices et de favoriser la mise au point de codes de pratiques.

Les régimes efficaces d'application de la loi prévoient d'habitude des activités liées à quatre éléments clésNote de bas de page 47 :

Mesures efficaces de la conformité : Version textuelle

Éducation/Sensibilisation

  • Élaborer des lignes directrices et informer le public et les entreprises sur la loi et leurs droits et obligations connexes

Conseils et discussions proactives ou par avance

  • Offrir des conseils et de l'orientation aux organisations par rapport aux modèles opérationnels proposés et à la mise en œuvre de nouvelles technologies

Enquêtes et vérification

  • Enquêter sur les plaintes
  • Lancer des enquêtes et/ou des vérifications

Outils pour régler les cas de non-conformité ou d'infractions

  • Appliquer des sanctions et des amendes et accorder des dommages-intérêts lorsqu'il y a des infractions ou pour veiller à la conformité

Nous avons donc proposé de moderniser l'application des lois sur la protection des renseignements personnels dans le secteur privé en favorisant la conformité des entreprises multinationales et des petites et des moyennes entreprises au moyen des mesures présentées ci-dessous.

A. Éducation / Sensibilisation

  • Conserver le mandat du commissaire à la protection de la vie privée relatif à l'éducation et à la sensibilisation pour offrir une orientation de grande qualité sur des questions complexes visées par la LPRPDE ainsi que sur l'application continue de cette loi.
  • Élargir les pouvoirs actuellement accordés au ministre en vertu de la LPRPDE pour qu'il soit possible de demander au commissaire à la protection de la vie privée d'effectuer des recherches sur les thèmes de la protection de la vie privée ayant un lien avec le mandat du ministre dans le cadre de ses travaux de recherche et d'élaboration de l'orientation, ce qui permettrait à l'industrie d'avoir davantage de précisions sur les nouveaux enjeux et placerait ces questions dans le contexte général du rôle stratégique joué par le ministère.

B. Enquêtes et vérification

  • Permettre au commissaire d'exercer davantage de discrétion dans ses décisions de mener des enquêtes à la suite des plaintes et rendre possible la prise en compte du respect des normes, des systèmes de certification ou des codes de pratiques lors de la prise de ces décisions.
  • Accorder davantage de marge de manœuvre au commissaire en ce qui concerne la vérification ou l'examen des organisations (il y a un lien avec l'option proposée, présentée dans la partie 2, d'accorder au CPVP le pouvoir d'examiner périodiquement le respect d'un système de certification ou d'un code par une organisation).
  • Examiner davantage de possibilités et de mécanismes de coopération et d'échange d'information avec d'autres organismes d'application de la loi.

C. Outils pour régler les cas de non-conformité ou d'infractions

  • Accorder au commissaire à la protection de la vie privée, dans le contexte de ses fonctions d'enquête et de vérification, un pouvoir limité d'émission d'ordonnances, notamment les ordonnances de cessation ou de conservation de documents. Ces pouvoirs pourront être utilisés par le commissaire pour empêcher la collecte, l'utilisation et la communication des renseignements personnels par une organisation non conforme. En ce qui concerne les ordonnances de cessation, l'utilisation de telles ordonnances peut également être circonscrite à des situations dans lesquelles le non-respect a entraîné ou est susceptible de causer un risque de préjudice ou une détresse significative à un individu. Cela fournirait un outil puissant que le commissaire peut déployer pour protéger les individus lorsque les organisations les mettent en danger, ainsi que leurs renseignements personnels.
  • Élargir le régime actuel d'amendesNote de bas de page 48 pour qu'il englobe d'autres dispositions clés de la LPRPDE, en particulier celles exigeant le consentement, la protection des données et la restriction de l'utilisation, de la communication et de la conservation des données. Cette option prévoit le renvoi des questions préoccupation du procureur général du Canada pour qu'une enquête soit menée par ce dernier. Les dispositions instaurant de nouvelles obligations relatives à la suppression et à la mobilité des données seraient considérées comme étant des éléments importants de la LPRPDE et le non-respect de ces obligations encourra des amendes.
  • Élargir sensiblement la gamme des amendes qui s'appliquent aux infractions en vertu de la LPRPDE et prévoir un système de prise en compte des éléments qui atténuent ou augmentent la gravité de la violation, notamment le respect des codes, des systèmes de certification ou des normes. Une application évolutive prenant en compte les impacts sur les PME pourrait aussi s'avérer nécessaire.
  • Habiliter davantage la Cour à ordonner des dommages-intérêts légaux pour certaines contraventions. La LPRPDE pourrait être modifiée afin de prescrire une gamme de dommages-intérêts, établissant des montants minimum et maximum pour les violations de dispositions spécifiques.

D. Conseils et discussions proactives ou par avance

  • Examiner les activités consultatives proactives du Commissariat à la protection de la vie privée en cours pour veiller à ce que chacune d'elles soit compatible avec des modèles opérationnels et des technologies nouveaux ou émergents. Étant donné que la protection de la vie privée n'est que l'un des éléments dont il faut tenir compte lors de la création de modèles opérationnels novateurs, il pourrait être préférable de tenir des discussions avec plusieurs intervenants et d'adopter des approches collaboratives pour élaborer des codes et des normes s'appliquant à ces domaines. L'accès qu'a ISDE aux communautés des intervenants pourrait faciliter ce travail.

Considérations et questions

  • En ce qui concerne les entreprises, l'approche en question leur accorde un certain niveau de certitude (quant à la nature des ordonnances qui pourraient être émises) et elle prévoit la prise de quelques mesures les incitant à respecter la loi (ordonnances de cessation et des amendes possibles). Pour les particuliers, l'approche offre aussi une certitude, ainsi que des outils améliorés de protection de leurs droits, notamment au moyen de l'émission d'ordonnances de cessation.
  • Cette approche permet au commissaire d'améliorer l'efficacité de l'utilisation des ressources.
  • La proposition cadre davantage avec les régimes d'application de la loi d'autres administrations, notamment ceux des provinces et de l'Union européenne.
  • Il faudra examiner d'autres options (dont un certain nombre ont été proposés par le commissaire à la protection de la vie privée, comme les sanctions administratives pécuniaires ou SAP), car elles pourraient avoir des incidences sur l'appareil gouvernemental. L'objectif ici est de renforcer les mesures incitatives, de veiller à ce que les PME ne soient pas pénalisées injustement et de bien protéger les renseignements personnels des particuliers.
    • Si un régime de SAP est mis en place, est-ce que ce mécanisme serait géré par une tierce partie (p. ex., un tribunal)?
    • Est-ce que les amendes liées aux infractions seraient suffisantes étant donné que les pouvoirs actuels relatifs aux amendes n'ont jamais été exercés depuis l'adoption de la loi, il y a 20 ans, et est-ce que ces amendes sont à l'extérieur du contrôle du commissaire à la protection de la vie privée?
    • Comment est-ce que nous veillons à l'équité administrative dans un modèle prévoyant des mécanismes renforcés d'application de la loi ainsi qu'un mandat de communication de l'information et de conseils?
    • Étant donné l'importance des impacts sur les individus dans l'économie du numérique et des données, quelle devrait être la gamme appropriée de dommages et intérêts (et de conditions) réglementaires à inclure dans la loi?
    • Comment est-ce que des codes de pratiques (et possiblement des systèmes de certification) pourraient être intégrés dans un régime renforcé d'application de la loi qui incite les organisations à respecter la loi, offre une certitude accrue et améliore la transparence et la responsabilisation à l'égard des pratiques au profit de tous les intervenants de l'économie axée sur les données?

Partie 4 : Domaines dont l'évaluation se poursuit

Enjeu

La LPRPDE est une loi axée sur des principes et neutre à l'égard des technologies. Il s'agit de ses points forts et devraient être conservés. Cependant, elle a fait l'objet de critiques, entre autres, en raison de sa structure complexe qui la rend inaccessible aux particuliers et aux organisations, notamment les petites et les moyennes organisations. L'évolution des modèles des entreprises ainsi que le grand nombre des intervenants ont donné lieu à une situation où il est devenu important d'examiner la portée de l'application de cette loi pour veiller à ce que les Canadiens soient protégés, à ce que les entreprises soient traitées équitablement et à ce que les responsabilités, y compris les obligations connexes, soient biens reparties.

Pourquoi s'agit-il d'un enjeu?

Clarté des obligations

La LPRPDE est fondée sur le compromis et elle est ainsi rédigée. Cette loi a été adoptée à la suite d'une période de plusieurs années où des pressions ont été exercées sur le gouvernement et l'industrie pour qu'ils agissent en vue de mieux protéger les renseignements personnels. L'adoption de la Directive 95/46 EC de l'Union européenne, l'essor du secteur du commerce électronique et les préoccupations grandissantes des Canadiens à l'égard de la façon dont leurs renseignements personnels étaient utilisés a donné lieu à des discussions sur les meilleures façons d'agir pour renforcer la confiance dans l'économie et favoriser l'atteinte des objectifs commerciaux du Canada. L'industrie, qui préférait l'autoréglementation, ainsi que des représentants des groupes de défense des consommateurs, des universitaires et le gouvernement ont mis au point le Code type de la CSA sur la protection des renseignements personnels qui présentait 10 principes de la protection de la vie privée fondés sur les lignes directrices de l'OCDE en la matière. Le gouvernement fédéral a fini par décider que l'autoréglementation n'était pas suffisante et il a pris des mesures pour adopter une loi portant sur cette question. Ce faisant, il a choisi d'intégrer le Cadre type dans la loi sans en modifier le libellé, car il avait été accepté à l'unanimité par l'industrie, les représentants des groupes de défense des consommateurs, les universitaires et les représentants du gouvernement. Le gouvernement était d'avis qu'il s'agissait du moyen le plus efficace et rapide d'agir compte tenu du délai serré.

Alors que cette loi est appréciée parce qu'elle est axée sur des principes et est neutre à l'égard de la technologie et ce sont des qualités qui doivent être conservées, la LPRPDE a fait l'objet de critiques, car son interprétation semble être difficileNote de bas de page 49. Les particuliers, les organisations et les tribunaux ont de la difficulté à interpréter cette loi, car les droits et les obligations se trouvent dans son annexe 1 et non dans le texte de la loi et ces éléments sont présentés dans un langage non juridique en mélangeant les obligations et les pratiques exemplaires (doit et devrait).

Par conséquent, les particuliers trouvent difficile de contester la conformité des organisations à cette loi et les organisations ont du mal à comprendre leurs obligations pertinentes. De plus, la LPRPDE porte aussi sur des sujets qui ne sont pas liés à la protection des renseignements personnels (ses parties 2 à 5 portent sur les documents électroniques qui sont mentionnés dans le titre de la loi).

Le gouvernement a soutenu un certain nombre d'initiatives visant à améliorer l'alphabétisation numérique. Pour faciliter ceci, nous proposons de reformuler la loi afin d'énoncer les droits et les exigences relatifs à la protection des renseignements personnels d'une manière qui est facile à comprendre.

Portée de l'application et responsabilisation

Depuis l'adoption de la LPRPDE, de nouveaux modèles d'entreprise et types d'organisations sont apparus, qui n'agissent pas traditionnellement en tant que «contrôleurs» ou «processeurs». Au fur et à mesure que le contexte des entreprises évolue et le nombre des acteurs augmente (p. ex., l'Internet des objets ou les environnements d'intelligence artificielle), la manière d'appliquer cette loi doit être actualisée et précisée, y compris dans le contexte des flux de données transfrontaliers.

Un nombre croissant d'organisations et d'entités se livrent à des activités de collecte de données non commerciales. Bien que ces activités ne soient pas couvertes par la LPRPDE, il pourrait être approprié d'évaluer la pertinence d'étendre la LPRPDE à ces activités.

Il est aussi particulièrement important de veiller à la bonne application de la LPRPDE à divers acteurs lors de l'examen de la question de responsabilisation et de la nécessité de mettre en place des programmes de gestion de la protection de la vie privée comprenant des processus souples de gestion des risques, notamment la protection de la vie privée dès la conception.

Considérations et questions

  • Il sera important de conserver l'approche axée sur les principes et la neutralité à l'égard de la technologie. Les lois sur la protection des renseignements personnels de l'Alberta et de la Colombie-Britannique constituent de bons exemples de la manière dont il est possible de conserver cette approche dans le texte de la loi. Les nuances, c'est-à-dire la prise en compte du contexte, les attentes des particuliers et l'accent global mis sur le caractère raisonnable de la loi, doivent être conservées.
    • Quels sont les risques et les avantages de ces importantes mesures « administratives »?
    • Est-ce qu'il y en a d'autres?

Prochaines étapes

Les discussions qui auront lieu à la suite de la lecture de ce document orienteront l'élaboration d'options de réforme législative.

Annexe A : Aperçu du cadre conceptuel de la politique de marché

Le cadre conceptuel décrit une approche politique complète axée sur l'ensemble du marché. Une telle approche ne se limite pas à une réforme de la législation et de la réglementation, mais crée également une incitation à adopter des normes et des codes pilotés par l'industrie, tout en appuyant les accords internationaux progressistes, qui traitent des questions des questions de commerce numérique.

Annexe A : Version textuelle

La figure illustre une approche politique qui énumère les activités axées au niveau national au bas et, en progressant vers le haut, les activités au niveau mondial. Une flèche sur le côté de la figure illustre le mouvement d'activités nationales vers des activités mondiales. La liste des activités de haut en bas sont:

  • Commerce international
  • Normes et codes / fiducie de données
  • Orientations sectorielles / réglementation fondée sur les activités (par exemple — véhicules connectés et automatisés)
  • Loi d'application générale : Protection de la vie privée et protection des données, la concurrence et les lois concernant la propriété intellectuelle, autre législation de cadre du marché