ETHI Rapport du Comité

Les membres néo-démocrates du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique se réjouissent que le Comité ait décidé de donner suite à la motion du NDP voulant que l’on se penche sur le rôle que jouent les médias sociaux dans la vie privée des Canadiens. Étant donné la mutation que connaît le domaine de la protection de la vie privée partout dans le monde, sous l’influence des médias sociaux et de la marchandisation des renseignements personnels, l’étude sur La vie privée et les médias sociaux a donné l’occasion aux députés d’examiner les implications de ces changements dans une perspective exclusivement canadienne.

Les membres néo-démocrates du Comité déplorent, toutefois, que malgré les témoignages recueillis au fil des mois, les recommandations figurant dans ce rapport soient peu ambitieuses et loin de répondre aux exigences. Bien que les lignes directrices publiées par le Commissariat à la protection de la vie privée constituent un outil important, elles ne sont pas assez fermes pour protéger les renseignements personnels des utilisateurs des médias sociaux étant donné l’avalanche de données en circulation dans le monde. Afin de rendre justice aux témoins, les néo-démocrates proposent neuf recommandations additionnelles, qui présentent une vision ambitieuse et équilibrée du rôle du gouvernement dans la protection de la vie privée.

Recommandations

Des témoignages de la commissaire à la protection de la vie privée, M^me Stoddart, et d’autres ont laissé entendre que le Commissariat est régulièrement aux prises avec des problèmes de non-respect des règles.[i] Les témoins successifs qui se sont exprimés devant le Comité ont déclaré que, dans l’ensemble, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) établit un cadre adéquat pour la protection des données. Étant donné que l’on assiste de plus en plus à la marchandisation et au partage des données personnelles au-delà des frontières, les faibles pouvoirs de contrainte dont dispose le Commissariat ne suffisent plus. Il n’est donc pas surprenant de voir que les autorités chargées de la protection des données dans des pays comme le Royaume-Uni, l’Allemagne, l’Australie et la France se sont dotées de pouvoirs coercitifs (Annexe B). C’est pourquoi les néo‑démocrates considèrent que ces pouvoirs doivent être au cœur de la réforme de la LPRPDE. Sans eux, les organisations qui le veulent pourront continuer de bafouer le droit à la protection de la vie privée des Canadiens.

« Il est difficile de faire respecter la loi actuelle. En effet, la commissaire n'a pas le pouvoir d'adopter des arrêtés et ne peut pas infliger des amendes ou d'autres pénalités dans le cas d'un comportement particulièrement inapproprié. » – Teresa Scassa, professeure, Université d’Ottawa[ii]

Recommandation 1 : Le NPD recommande que le gouvernement confère au Commissariat à la protection de la vie privée des pouvoirs coercitifs tels que le pouvoir de délivrer des ordonnances et d’imposer des sanctions administratives pécuniaires.

Comme l’ont rapporté certains témoins, même des organisations faisant preuve de diligence et respectant la confidentialité des données peuvent être victimes d’intrusions dans les renseignements personnels qu’elles conservent[iii]. Les néo-démocrates considèrent que les Canadiens doivent être informés lorsqu’ils courent un danger après une intrusion. La perte de renseignements personnels peut entraîner le vol ou l’usurpation d’identité, ce qui peut coûter très cher aux personnes qui en sont victimes. Fixer des exigences en matière de déclaration d’atteinte à l’intégrité des données aurait pour effet d’inciter les organisations à investir dans de meilleurs systèmes de sécurité afin d’éviter d’être mises publiquement dans l’embarras et de préserver leur crédibilité. Cela implique une sécurité accrue pour le public et une meilleure confiance dans le marché électronique.

« Le Canada a grand besoin d'une obligation de notification des atteintes à la protection des données. Une telle obligation encouragera l'établissement de mesures de protection techniques plus musclées et donnera aux utilisateurs la possibilité de réparer le tort qui leur est fait, comme le vol d'identité et l'humiliation potentielle… » – Tamir Israel, CIPPIC[iv]

Recommandation 2 : Le NPD recommande que le gouvernement oblige tous les organismes à déclarer le piratage ou la perte de données au Commissariat à la protection de la vie privée lorsqu’une personne raisonnable conclurait que le piratage ou la perte risque de causer un préjudice aux individus touchés.

L’examen actuel est en retard de deux ans, et la loi canadienne sur la protection des renseignements personnels est maintenant loin d’être un modèle pour le reste du monde. Les Canadiens méritent une loi sur la protection des renseignements personnels de calibre mondial. D’ailleurs, les témoignages recueillis par le Comité ont révélé à de multiples reprises que le Canada accuse un net retard par rapport à d’autres pays comparables au chapitre de la protection des données et du respect de la vie privée. Bien que les néo-démocrates soient favorables au maintien d’un modèle techniquement flexible en ce qui concerne la LPRPDE, ils ne croient pas qu’il faille pour autant éviter de reconnaître le changement de paradigmes. Qui plus est, la LPRPDE doit faire l’objet d’un examen quinquennal.

« Le Commissariat a effectué des recherches et des analyses approfondies en prévision du deuxième examen quinquennal obligatoire de la Loi sur la protection des renseignements personnels et les documents électroniques par le Parlement, qui est maintenant échu. Nous réfléchissons attentivement à la façon dont nous pourrions moderniser le régime actuel, qui a été mis en place avant tous ces progrès technologiques novateurs. » – Jennifer Stoddart, commissaire à la protection de la vie privée[v]

Recommandation 3 : Le NPD recommande que le gouvernement modernise les lois canadiennes sur la protection de la vie privée afin de les harmoniser avec les mesures de protection en vigueur dans des pays démocratiques comparables au nôtre et qu’il veille à ce que les renseignements personnels des Canadiens soient bien protégés à l’ère numérique.

Avec la multiplication continue des services et des applications électroniques, on assiste à une prolifération des conventions de droits d’utilisation et des politiques sur la protection de la vie privée auxquelles les Canadiens doivent se conformer. Ces conventions sont généralement longues, jargonneuses et incompréhensibles; il n’en demeure pas moins qu’elles ont des répercussions profondes sur le contrôle que peuvent exercer les gens sur leurs renseignements personnels. À ce propos, la professeure Valerie Steeves a déclaré que les conventions de droits d’utilisation et les politiques sur la protection de la vie privée sont souvent davantage conçues de manière à limiter la responsabilité des fournisseurs de services qu’à bien informer les utilisateurs[vi]. Cela a donné lieu à une érosion de l’efficacité du principe de consentement prévu dans la LPRPDE. Les néo-démocrates sont d’avis qu’avec le développement des capacités de surveillance, comme les mécanismes de géolocalisation ou les outils de reconnaissance faciale, il faudrait faire preuve de plus de transparence à l’égard des Canadiens lorsqu’ils consentent à l’utilisation de leurs renseignements personnels.

« L'un des problèmes clés en matière de protection des renseignements personnels sur les sites de médias sociaux demeure la multiplication des standards et des protections relatives à la préservation de la vie privée. On déplore l'absence d'un cadre cohérent, clair et exhaustif qui offrirait aux utilisateurs des médias sociaux un ensemble de normes claires en matière de protection des renseignements personnels... » – Normand Landry, professeur TÉLUQ[vii]

Recommandation 4 : Le NPD recommande que le gouvernement examine l’annexe 1 de la LPRPDE afin de clarifier qu’il faudrait en règle générale obtenir le consentement explicite avant de divulguer des renseignements personnels à un tiers et que ce consentement soit particulièrement nécessaire lorsque la divulgation constitue une exigence d’une convention de licence d’utilisation.

Outre qu’il traîne de la patte en matière de protection de la vie privée, le gouvernement rechigne à élaborer une stratégie de l’économie numérique globale, alors qu’il promet de le faire depuis des années. De telles stratégies ont pourtant fait leurs preuves ailleurs, que ce soit en Australie ou en Estonie. Le NPD donne foi aux témoignages laissant entendre que le manque de leadership et d’ambition du gouvernement dans le dossier du numérique nous coûtera cher. De plus, notre parti estime qu’une éventuelle stratégie du numérique devrait aborder de front les problèmes de protection de la vie privée.

« Je crois que le fait de ne pas avoir énoncé et mis en œuvre une stratégie nationale en matière d'économie numérique revient nous hanter. » – Michael Geist, Université d’Ottawa[viii]

Recommandation 5 : Le NPD recommande que les questions de protection de la vie privée fassent partie intégrante d’une stratégie numérique globale pour le Canada.

Les consommateurs et les utilisateurs ont droit à un certain contrôle, au choix et à la transparence en ce qui concerne la façon dont on gère leurs renseignements personnels. Au cours de l’étude, le Comité a entendu des témoins vanter les mesures fructueuses qu’ont prises certains médias sociaux pour faciliter l’accès à leur cadre et à leurs paramètres par défaut de protection de la vie privée[ix]. Toutefois, ce n’est pas systématique. La marchandisation accrue des renseignements personnels incite les organisations à régler leurs paramètres par défaut de protection de la vie privée à de très faibles niveaux. De même, les fonctions de suivi comme les « cookies » sont largement répandues. Le NPD estime que le gouvernement devrait s’allier au secteur privé pour promouvoir l’inclusion de la protection intégrée dans les paramètres par défaut et mettre au point des fonctions de non-conservation des données pour les utilisateurs.

« Nous disons toujours que la protection est excellente pour les affaires. Elle devrait assurer certains avantages aux entreprises qui ont de bonnes pratiques en la matière. » – Anne Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario[x]

« The Devil is in the Defaults. En bref, l'architecture de chaque technologie inclut un certain nombre de choix dans la conception. » – Ian Kerr, Université d’Ottawa [xi]

Recommandation 6 : Le NPD recommande que le gouvernement étudie la possibilité d’examiner la LPRPDE et le règlement correspondant afin d’encourager les organisations à garantir la protection de la vie privée par principe.

Recommandation 7 : Le NPD recommande que la LPRPDE, le règlement correspondant et toute loi pertinente soient modifiés en vue d’encourager les organisations à mettre en place des fonctions de non-conservation des données.

Le NPD est déçu de constater que le rapport ne contient aucune recommandation ambitieuse sur la protection des enfants. Le Comité a entendu des témoins souligner qu’il y avait de plus en plus de publicité en ligne ciblant les enfants[xii]. Lors de sa comparution, M^me Stoddart a dit douter que les enfants puissent réellement donner un consentement valide et éclairé au sens où l’entend la LPRPDE[xiii]. Le Comité a entendu de nombreux spécialistes relater la difficulté à protéger les renseignements personnels des enfants par la voie législative. Par exemple, Sara Grimes, professeure à l’Université de Toronto, a préconisé l’instauration, au Canada, d’une réglementation adaptée aux enfants, tandis que Valerie Steeves, professeure à l’Université d’Ottawa, a rappelé les options de consentement à plusieurs niveaux, basé sur l’âge, dont il a été question lors du dernier examen de la LPRPDE. Le NPD estime que pour qu’ils puissent profiter pleinement des avantages sociaux, culturels et démocratiques qu’offrent les médias sociaux, les enfants devraient pouvoir compter sur de solides mécanismes de protection de la vie privée.

« Il y a un besoin évident et grandissant de mettre en place une réglementation adaptée aux enfants en ce qui concerne la collecte, la gestion et l’utilisation des données relatives aux enfants. » – Sara Grimes, Université de Toronto[xiv]

Recommandation 8 : Le NPD recommande que le gouvernement continue d’étudier des façons de mieux protéger les renseignements personnels des enfants en ligne en les encourageant eux aussi à profiter des avantages sociaux, culturels et démocratiques du cyberespace.

Les internautes et adeptes des médias sociaux laissent des traces numériques chaque fois qu’ils fréquentent la Toile. Selon la LPRPDE, on ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour des fins déterminées. M^me Stoddart, toutefois, a fait savoir lors de sa comparution que les médias sociaux ne se conformaient pas toujours à ce principe et que nombre d’entre eux avaient encore des calendriers de conservation de données plutôt vagues[xv]. En outre, une bonne partie de ces données sont sauvegardées à l’échelle internationale, ce qui les rend difficiles à retracer. Certains témoins ont fait allusion à de récentes études européennes qui cherchaient à codifier le droit d’être oublié[xvi]. Avec la multiplication des traces numériques des internautes, le NPD estime que les Canadiens devraient être outillés pour contrôler leur historique en ligne.

« C'est presque un droit essentiel. On devrait pouvoir demander à une société de supprimer des renseignements. La loi précise bien que les sociétés sont censées supprimer les données qui ne servent plus, donc nous ne comprenons pas pourquoi les utilisateurs ne devraient pas avoir un droit de suppression des données. » – John Lawford, Centre pour la défense de l'intérêt public[xvii]

Recommandation 9 : Le NPD recommande que le gouvernement mène une étude sur le principe de protection de la vie privée appelé « droit à l’oubli » et qu’il en fasse rapport au Parlement.

******

Ces neuf recommandations reflètent la vision ambitieuse et équilibrée du Nouveau Parti démocratique en ce qui concerne la réforme de l’accès à l’information à l’ère des médias sociaux, des données massives et de la connectivité numérique instantanée. L’expansion des médias sociaux nous offre des occasions sans précédent d’entrer en contact, de partager des connaissances, de nous mobiliser démocratiquement et d’ouvrir de nouveaux marchés pour nos biens et services. Les néo-démocrates croient que pour assurer la réussite future de l’économie et de la société numériques, il faudra reconnaître les nouveaux défis qui se posent en ce qui concerne la protection de la vie privée. Le gouvernement doit s’adapter et mettre à jour ses politiques et ses approches en matière de protection de la vie privée afin de préserver cette liberté civile fondamentale dans le monde numérique.