[Publié le 26 mai 2013 - Mis à jour le 30 mai 2013]
Le 23 mai 2013, dans le cadre du Symposium sur la protection de la vie privée 2013 organisé par l'International Association of Privacy Professionals (IAPP), Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, a présenté les recommandations mises de l'avant dans le document publié le même jour par le Commissariat et intitulé Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques.
Le 23 mai 2013, dans le cadre du Symposium sur la protection de la vie privée 2013 organisé par l'International Association of Privacy Professionals (IAPP), Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, a présenté les recommandations mises de l'avant dans le document publié le même jour par le Commissariat et intitulé Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques.
Avant de présenter les arguments mis de l'avant par le Commissariat à la protection de la vie privée du Canada (CPVPC), il convient de rappeler que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) a été adoptée en avril 2000, notamment pour répondre aux exigences de l'Union européenne et de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (voir la décision 2002/2/CE constatant le niveau de protection adéquat de la LPRPDÉ à la D95/46/CE)
La LPRPDÉ a pour objet
"de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances" (art. 3)
Les principes de protection des renseignements personnels reconnus dans la LPRPDÉ s'appliquent aux entreprises fédérales. Ils s'appliquent également dans le cadre de communications interprovinciales et internationales de renseignements personnels. Ils s'appliquent aussi aux organisations qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales dans des provinces/territoires qui n'ont pas de loi essentiellement similaire. La LPRPDÉ ne s'applique donc pas en Alberta, en Colombie-Britannique et au Québec, le gouverneur en conseil ayant reconnu, par décret, que les lois de ces provinces sur la protection des renseignements personnels dans le secteur privé offrent un niveau de protection essentiellement similaire à la LPRPDÉ (Il en est de même pour l'Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador pour ce qui est des renseignements personnels sur la santé).
Depuis l'entrée en vigueur de la LPRPDÉ (soit par étape de janvier 2001 à janvier 2004), force est de constater comme l'indique la commissaire Stoddart que beaucoup de choses ont changé:
"Facebook, Twitter et l'application Street View de Google n'existaient pas. Les téléphone n'étaient pas intelligents. Le "nuage" ne faisait que bouleverser nos projets de pique-nique. Et l'analyse prédictive relevait en grande partie du domaine du tarot".(Source: Discours J. Stoddart, 23 mai 2013)
"Nous vivons à l'époque des "mégadonnées". [...] Les renseignements personnels sont au coeur de l'économie numérique mondiale. [...] Les risques en matière de protection de la vie privée croissent avec l'évolution de l'environnement. Les organisations utilisent les renseignements personnels de façons antérieurement inimaginables. Même si bon nombre de ces nouvelles utilisations pourraient profiter aux personnes et à la société, le risque que les renseignements personnels puissent être utilisés de façons extrêmement intrusives et qui heurtent notre sentiment de vie privée est réel. Même si les renseignements ne sont pas utilisés à mauvais escient, ils pourraient être perdus, consultés sans autorisation ou volés par des pirates informatiques expérimentés".(Source: CPVPC, Arguments en faveur de la réforme de la LPRPDÉ, mai 2013, p. 4-5)
Partant la commissaire Stoddart met de l'avant des pistes de réflexion / points de pression pour moderniser la LPRPDÉ "afin de permettre de s'attaquer plus efficacement aux problèmes actuels et futurs dans le domaine" de la protection des renseignements personnels. (Source: CPVPC, Communiqué, 23 mai 2013)
Ces points contenus dans le document intitulé Arguments en faveur de la réforme de la LPRPDÉ sont les suivants:
Ces points contenus dans le document intitulé Arguments en faveur de la réforme de la LPRPDÉ sont les suivants:
1. Renforcer l'application de la LPRPDÉ et encourager une plus grande conformité à celle-ci
Actuellement, la commissaire a le pouvoir de mener des enquêtes (de sa propre initiative ou à la suite d'une plainte) et de procéder à la vérification des pratiques d'une organisation en matière de gestion des renseignements personnels. Elle "peut chercher à régler une plainte par le biais de la négociation, de la persuasion et de la médiation" (p. 6), ce qu'elle fait régulièrement ... mais "elle n'a aucun pouvoir exécutoire direct" (p. 6).
Dans ces circonstances, la commissaire estime que
Actuellement, la commissaire a le pouvoir de mener des enquêtes (de sa propre initiative ou à la suite d'une plainte) et de procéder à la vérification des pratiques d'une organisation en matière de gestion des renseignements personnels. Elle "peut chercher à régler une plainte par le biais de la négociation, de la persuasion et de la médiation" (p. 6), ce qu'elle fait régulièrement ... mais "elle n'a aucun pouvoir exécutoire direct" (p. 6).
Dans ces circonstances, la commissaire estime que
"les recommandations "douces" assorties de peu de conséquences en cas de manquement à la loi ne sont plus efficaces dans un environnement qui évolue rapidement et où les risques pour la vie privée sont à la hausse. Il est temps de mettre en place des mesures incitatives financières pour veiller à ce que les organisations assument de plus grandes responsabilités en ce qui à trait à l'adoption, dès le départ, de mesures de protection adéquates, et de prévoir des sanctions pour les organisations qui ne le font pas. En l'absence de telles mesures, [elle] aura une capacité limitée pour ce qui est de s'assurer que les organisations protègent les renseignements personnels adéquatement à l'ère des mégadonnées" (p. 7).Et, en considérant ce qui se fait ailleurs - États-Unis (rôle de la FTC), Europe (rôle des autorités de contrôle et modernisation de la Directive 95/46/CE), Australie -, la commissaire indique que "le Canada ne peut se permettre d'accuser de retard et de ne pouvoir imposer que des conséquences minimales aux organisations qui ne respectent par les lois fédérales sur la protection des renseignements personnels" (p. 9).
Elle recommande donc
- de "conférer à un tribunal le pouvoir d'ordonner des dommages-intérêts dans le cas de certaines infractions", étant entendu que ces dommages-intérêts légaux sont "appropriés dans les cas où il est difficile ou impossible pour le plaignant de prouver une perte quantifiable en raison de la violation de la loi". Et, "une fourchette de dommages-intérêts pourrait être établie, et des montants minimum et maximum pourraient être prévus" ce qui profiterait aux plaignants mais aussi aux organisations "car elles sauraient ce à quoi elles peuvent s'exposer et seraient mieux à même d'évaluer les risques et de prévoir les résultats" (p. 9);
- de lui reconnaître le pouvoir de rendre des ordonnances de faire ou de ne pas faire comme en Alberta, en Colombie-Britannique et au Québec. Ainsi, "dans le cas où une ordonnance ne serait pas respectée, le plaignant ou la commissaire pourrait enregistrer l'ordonnance auprès de la Cour fédérale et veiller à ce qu'elle soit exécutée comme une ordonnance de la Cour, conformément aux pouvoirs liés à la sanction d'un outrage de la Cour. Pour sa part, l'organisation pourrait demander un contrôle judiciaire" (p. 10);
- de lui reconnaître le pouvoir d'imposer des sanctions administratives pécuniaires en cas de non-conformité à la loi (p. 11).
Au regard des différentes atteintes qui ont fait la une des journaux ces dernières années (par ex. Ressources humaines et Développement des compétences Canada (RHDCC) (billet), Sony au Royaume-Uni (billet), Facebook (billet)), de l'entrée en vigueur de l'obligation de déclaration obligatoire de ces atteintes en Alberta, dans la majorité des États américains ou encore en Europe (billet concernant la transposition en France et au Luxembourg par ex.), la commissaire considère que "l'adoption de dispositions rendant obligatoire le signalement des atteintes mettrait donc la LPRPDÉ au diapason des lois de nombreuses autres juridictions" (p. 14).
Il convient de rappeler que la recommandation visant à "obliger les organisations à signaler les atteintes à la sécurité des renseignements personnels à la commissaire et à aviser les personnes concernées, s'il y a lieu, afin que les mesures d'atténuation appropriées puissent être prises en temps opportun" (p. 13) trouve écho dans deux projets de lois, à savoir le Projet de loi C-12 (déposé à la Chambre des communes le 29 septembre 2011) et le Projet de loi C-475 (déposé à la Chambre des communes le 26 février 2013).
3. Lever le voile sur les communications autorisées
Devant les inquiétudes exprimées "au sujet de l'accès sans mandat aux renseignements personnels par les organismes chargés de l'application de la loi" (notamment eu égard à l'art. 7(3)c.1 de la LPRPDÉ qui autorise la communication de renseignements personnels sans le consentement des personnes concernées pour des raisons liées à la sécurité nationale, à la défense du Canada, à la conduite des affaires internationales ou à des fins de contrôle d’application du droit canadien, provincial ou étranger), la commissaire estime que "les organisations devraient, à tout le moins, être obligées de tenir un registre des données de base se rapportant à ces communications, et elles devraient être tenus de rendre public le nombre de communications qu'elles effectuent chaque trimestre. Cette information pourrait être affichée sur le site Web des organisations" (p. 16).
Devant les inquiétudes exprimées "au sujet de l'accès sans mandat aux renseignements personnels par les organismes chargés de l'application de la loi" (notamment eu égard à l'art. 7(3)c.1 de la LPRPDÉ qui autorise la communication de renseignements personnels sans le consentement des personnes concernées pour des raisons liées à la sécurité nationale, à la défense du Canada, à la conduite des affaires internationales ou à des fins de contrôle d’application du droit canadien, provincial ou étranger), la commissaire estime que "les organisations devraient, à tout le moins, être obligées de tenir un registre des données de base se rapportant à ces communications, et elles devraient être tenus de rendre public le nombre de communications qu'elles effectuent chaque trimestre. Cette information pourrait être affichée sur le site Web des organisations" (p. 16).
4. Faire preuve de responsabilité ou encore joindre le geste à la parole
Se basant sur le document produit en partenariat avec l'Alberta et la Colombie-Britannique en avril 2012, la commissaire recommande de renforcer le principe de responsabilité notamment
- en exigeant "des organisations qu'elles démontrent, [à sa demande] qu'elle ont mis en place un programme de protection de la vie privée" (p. 19);
- en intégrant "le concept d'"ententes exécutoires", qui ferait en sorte qu'une organisation, au terme d'une enquête, accepterait de se conformer aux recommandations de la commissaire et de démontrer qu'elle s'y est conformée dans un laps de temps déterminé" (p. 20);
- en veillant "à ce que certaines dispositions relatives à la responsabilité puissent être soumises à un contrôle judiciaire par une cour fédérale" (Source: Discours Stoddart)
Et dans son discours, la commissaire, tout en reconnaissant que "la perspective d'un modèle d'application plus stricte peut susciter un certain inconfort dans les milieux d'affaires", insiste sur le fait que "toutes ces mesures aideront à doter le Canada d'un cadre de protection de la vie privée moderne et équilibré. Des mesures de protection plus vigoureuses renforceraient la confiance des consommateurs à l'égard de l'économie numérique et stimuleraient la croissance économique du pays. Et elles ne freineraient pas l'innovation. Loin de là."
Reste à voir la suite qui sera donnée à ces pistes de réflexion ... à suivre donc.
Pour aller plus loin, voir notamment:
- COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA
- Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques, Mai 2013.
- "Dix ans au poste de commissaire à la vie privée du Canada - regard sur le passé et l'avenir", Discours de J. Stoddart prononcé dans le cadre du Symposium sur la protection de la vie privée 2013 organisé par le chapitre canadien l'International Association of Privacy Professionals (IAPP), 23 mai 2013.
- "Des mesures plus vigoureuses sont nécessaires pour relever les nouveaux défis liés à la protection de la vie privée des Canadiens", Communiqué, 23 mai 2013.