Plaidoyer en faveur d’une réforme législative de la protection de la vie privée
Par Daniel Therrien, commissaire à la protection de la vie privée du Canada
Le contexte de la protection de la vie privée a beaucoup changé depuis mon entrée en fonction en 2014. Après les attentats du 11 septembre 2001, la nécessité de se protéger contre d’autres attaques terroristes a semblé l’emporter sur le droit à la vie privée. Ce point de vue a changé au fil du temps, en partie à cause des révélations d’Edward Snowden en 2013.
L’urgence d’adopter de nouvelles lois pour mieux protéger les données personnelles
Aujourd’hui, c’est la puissance croissante des géants de la technologie qui occupent les pensées. Ces derniers semblent en savoir davantage à notre sujet que nous n’en savons nous-mêmes.
De nombreuses entreprises cherchent à monnayer nos données personnelles, tandis que les gouvernements les utilisent pour améliorer leurs services. Les secteurs public et privé utilisent souvent les renseignements personnels pour des fins tout autres que celles pour lesquelles ils les ont colligés.
Alors que nous essayons de nous adapter à l’évolution rapide des technologies axées sur les données, comme l’intelligence artificielle, la reconnaissance faciale, l’Internet des objets, et demain le métavers, la structure de gouvernance actuelle présente un caractère incertain.
Il est plus urgent que jamais d’instaurer des lois adaptées au 21e siècle. Une récente étude d’Option consommateurs va en ce sens. Dans son rapport de recherche, Option consommateurs recommande que les organismes publics chargés d’appliquer les lois sur la protection des renseignements personnels disposent du pouvoir d’imposer des sanctions pécuniaires élevées et de mener des vérifications proactives des mesures adoptées par les entreprises pour protéger la vie privée de leurs clients.
Axer les lois sur le droit fondamental à la vie privée
Soyons clairs : nous avons besoin de lois fédérales qui permettent une innovation responsable, mais celles-ci doivent s’inscrire dans un cadre fondé sur les droits qui reconnaît le droit fondamental à la vie privée. Les nouvelles lois devront renforcer la responsabilité des entreprises ainsi que des institutions fédérales et conférer au Commissariat les mêmes pouvoirs dont jouissent déjà bon nombre de ses partenaires provinciaux et internationaux.
Doter les lois de principes communs aux secteurs privé et public
Il faut aussi établir des principes communs dans la Loi sur la protection des renseignements personnels (LPRP), applicable au secteur public, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), applicable au secteur privé. Par exemple, la nécessité et la proportionnalité doivent être prises en considération avant de recueillir, d’utiliser et de conserver l’information.
Des nouvelles technologies à surveiller de près
Cela est d’autant plus important puisque le gouvernement dépend de plus en plus de technologies mises au point par le secteur privé. Un bon exemple est notre enquête sur Clearview AI. Cette entreprise proposait un outil de reconnaissance faciale permettant aux organismes d’application de la loi de mettre en correspondance les photographies d’individus avec une base de données où étaient stockées 3 milliards d’images prélevées dans Internet. Au final, nous avons conclu que l’entreprise avait contrevenu à la loi du secteur privé (la LPRPDE). Ensuite, au terme d’une autre enquête, nous avons conclu que la GRC, qui avait utilisé cette technologie, avait contrevenu à la loi du secteur public (la LPRP).
Cela dit, la technologie et les données peuvent servir l’intérêt public, et elles le font souvent. En font foi plusieurs exemples depuis le début de la pandémie, comme l’utilisation de données pour soutenir la santé publique ou les plateformes que nous utilisons tous pour rester connectés.