Passer au contenu

CHAPITRE 4 : RENFORCER LA PROTECTION :
DE LA CONCEPTION À LA CONCRÉTISATION

Un cadre et plus

La technologie s'immisce de plus en plus dans la vie quotidienne des gens. Si nous ne voulons pas être espionnés, scrutés, sondés, testés, nous avons intérêt à prendre la situation en main1.
Bruce Phillips, commissaire à la protection de la vie privée du Canada

Au chapitre précédent de ce rapport, nous avons élaboré un plan directeur exposant les principes sur lesquels un solide système de protection de la vie privée pourrait reposer. Sous l'angle de la défense des droits de la personne, nous avons défini une liste de principes de base qui s'articulent autour de responsabilités et de droits fondamentaux. Dans ce chapitre, le dernier de notre rapport, nous allons définir la proposition du Comité relative au cadre obligatoire qui va circonscrire et concrétiser ces principes de base, la charte des droits à la protection de la vie privée. Ayant donné les grandes lignes de ce cadre, nous décrivons les diverses mesures qui permettront de l'enrichir et de le compléter. En même temps, nous allons faire des recommandations sur la répartition des responsabilités, c'est-à-dire à qui confier certaines tâches pour que le travail soit fait et bien fait.

Dans toute cette démarche, nous allons continuer d'envisager notre tâche dans l'optique de la protection de la vie privée. Pour reprendre l'analogie d'Ursula Franklin, notre objectif est de proposer qu'on aborde la réglementation du respect de la vie privée comme s'il s'agissait d'entretenir un jardin, plutôt que de gérer une unité de production. En décrivant la vie dans le contexte d'une société technologique, en septembre dernier, elle opposait un monde où priment la justice et le respect des droits qu'elle représentait comme un jardin, à un monde asservi à la technologie, qu'elle assimilait à une unité de production. Elle expliquait que pour rapprocher ces deux mondes apparemment irréconciliables, il fallait atteindre un équilibre «adéquat»2.

Trouver l'équilibre juste ou adéquat à établir entre le droit des Canadiens à la protection de la vie privée et un ensemble d'autres intérêts, dans un monde de plus en plus complexe et tributaire de la haute technologie, est une démarche dynamique à laquelle tous les Canadiens doivent prendre part. Elle nécessite des débats publics, de la recherche, des efforts d'éducation et de sensibilisation du public, des lois, des règlements, des codes, des technologies qui facilitent la protection de la vie privée, des projets pilotes, et de nombreux autres éléments. Nous devons tous nous donner la main : les législateurs à tous les paliers de gouvernement, les sociétés, les éducateurs, les médias, les commissaires à la vie privée, les concepteurs de nouvelles technologies, les bureaucrates, les défenseurs des droits de la personne, les particuliers, etc. Ainsi, protéger le droit à la vie privée de chacun constitue une responsabilité non seulement individuelle, mais également collective.

Mais que faire pour éviter que cette démarche dynamique et coopérative ne dégénère en chaos? Nous proposons d'abord qu'elle repose sur une charte des droits à la protection de la vie privée : une loi sur les droits de la personne d'application générale qui servirait à orienter les différentes méthodes élaborées pour protéger adéquatement ce droit précieux.

LA CHARTE DES DROITS À LA PROTECTION DE LA VIE PRIVÉE

Dans toutes les localités qu'a visitées le Comité, les participants à nos débats publics ont demandé que le gouvernement crée un cadre juridique explicitant un certain nombre de règles fondamentales relatives à la protection de la vie privée. Le plus souvent, les témoins qui ont proposé ce genre de lois faisaient surtout allusion à un ensemble de dispositions législatives visant à protéger les données. Par contre, Rita Reynolds, directrice du bureau de la protection de la vie privée, Municipalité du Toronto métropolitain, de même que d'autres témoins, a suggéré, en résumant une discussion au sein de son groupe, qu'on adopte une approche plus générale, c'est-à-dire un véritable cadre de protection de la vie privée :

Les membres du groupe ont fermement exprimé l'avis que les lois actuelles en matière de protection de la vie privée, que ce soit au niveau fédéral, provincial ou municipal, sont inefficaces et qu'il vaudrait mieux, au lieu d'essayer de resserrer ces lois, d'adopter une loi générale prévoyant une protection claire en ce qui touche la collecte de renseignements génétiques, la surveillance vidéo et les technologies biométriques. L'objectif devrait être de permettre à chaque personne d'exercer le plus grand contrôle possible sur les renseignements qui la concernent3.
Le Comité préfère cette conception plus générale du cadre obligatoire. Nous ne croyons pas que la population canadienne souhaite l'adoption de règles qui assurent la

protection de seulement certains renseignements, de sorte que leurs autres droits relatifs à la protection de la vie privée échappent totalement au contrôle législatif. Par conséquent, le cadre de protection que nous proposons ici englobe l'ensemble des éléments de la vie privée, un peu comme un grand-angle qui nous donnerait une vue panoramique, par opposition au cadre de protection des données que recherchent les ministres de l'Industrie et de la Justice et qui visent exclusivement le droit à la protection des renseignements personnels, comme un objectif de macrophotographie4.

En outre, tout comme nous avons abordé le problème de la protection de la vie privée sous l'angle des droits de la personne, nous avons retenu, comme prototype pour notre cadre de protection obligatoire de la vie privée, un modèle axé sur la défense des droits de la personne. Nous avons exploré la possibilité de recourir au cadre constitutionnel qu'offre la Charte canadienne des droits et libertés, mais nous avons rejeté cette idée, pour des raisons pratiques, en faveur d'un cadre quasi constitutionnel, c'est-à-dire la formule «déclaration de droits».

La Charte canadienne des droits et libertés ne cadrait pas avec nos objectifs, et ce pour deux raisons. D'abord, les modifications constitutionnelles sont difficiles à orchestrer et peu susceptibles d'être adoptées rapidement. Étant donné l'urgence d'une loi adéquate d'application générale, la Charte des droits n'offrait pas une solution réaliste. Deuxièmement, comme la Charte ne vise que les actions des gouvernements, même s'il était possible de faire adopter rapidement une modification constitutionnelle, le seul effet de ce changement serait d'empêcher que les politiques, pratiques et lois adoptées par les gouvernements n'enfreignent ces droits. Les entreprises privées relevant de la compétence fédérale ne seraient donc pas tenues de modifier toute politique ou pratique jugée préjudiciable à ces droits pour les rendre conformes aux dispositions de la Charte des droits. Par conséquent, il ne faut pas se limiter à modifier la Charte.

Il ne faudrait pas interpréter notre proposition comme un refus d'introduire dans la Charte canadienne des droits de la personne une clause visant la protection des droits de la personne, car nous pensons au contraire qu'elle devrait y figurer, à l'instar des membres du Comité permanent de la justice et du solliciteur général, qui avaient, il y a 10 ans, exprimé l'avis qu'au moment de réviser la Charte, il faudrait sérieusement envisager la possibilité d'y inclure un droit constitutionnel à la protection de la vie privée5.

Le cadre que nous proposons, une charte des droits à la protection de la vie privée fondée sur une formule ordinaire de déclaration de droits, a l'avantage de permettre l'implantation de ce nouveau régime par la voie législative habituelle - c'est-à-dire celle que suit toute loi adoptée par le Parlement - qui suppose une procédure d'adoption plus expéditive que pour une modification constitutionnelle. Deuxièmement, en tant que loi fédérale, cette nouvelle mesure viserait les entreprises relevant de la compétence fédérale et présenterait donc un champ d'application plus large que la Charte canadienne des droits et libertés. Enfin et surtout, comme la Déclaration canadienne des droits et d'autres chartes des droits de la personne, cette loi aurait un statut que les tribunaux qualifient de «quasi constitutionnel», et aurait donc préséance sur les lois ordinaires6.

L'objet de la charte canadienne des droits à la protection de la vie privée serait analogue à celui de la charte dont s'est dotée l'Australie : énoncer des principes généraux concernant les droits et les responsabilités en matière de protection de la vie privée au Canada qui serviraient de repère pour évaluer les politiques et pratiques des entreprises et de l'administration fédérale, de même que la déclaration des lois et règlements fédéraux.

Nous espérons que la charte que nous proposons, une fois adoptée, servira de guide aux provinces et territoires. La charte des droits à la protection de la vie privée ne chercherait pas à définir des mesures précises en vue d'assurer le respect de ces droits. Par contre, elle exposerait de façon générale un certain nombre d'exigences afin de garantir que des mécanismes suffisants de protection de la vie privée soient établis par l'entremise d'instruments secondaires, qu'il s'agisse de lois, de règlements, de codes sectoriels, de lignes directrices ou de tout autre mécanisme de réglementation. En conclusion, le Comité estime, d'une part, qu'un cadre législatif d'application générale est nécessaire pour protéger l'ensemble des droits associés à la protection de la vie privée, et d'autre part, que le modèle le plus approprié à retenir pour la formulation de cette loi est une loi «quasi constitutionnelle».

A. Les éléments constitutifs de la charte

La forme, la portée et le contenu de la charte devraient en fin d'analyse être décidés au moyen de consultations publiques et en collaboration avec un groupe représentatif de citoyens canadiens. De l'avis du Comité, il ne conviendrait pas qu'un instrument aussi important soit le produit d'une collaboration exclusive et secrète de bureaucrates et d'«intervenants». Notre intention est d'émettre des recommandations sur la teneur fondamentale de la charte que nous proposons, mais pas d'en établir le libellé exact.

1. Les principes fondamentaux de la protection de la vie privée

Le premier élément constitutif de la charte serait les principes fondamentaux de protection de la vie privée énoncés au chapitre précédent du présent rapport. Ces principes devraient être examinés et commentés par le public, révisés et raffinés en fonction de cette rétroaction, et ensuite inscrits dans la charte des droits à la protection de la vie privée. L'énonciation de ces principes fondamentaux dans la charte pourrait être précédée d'un préambule qui expliciterait l'importance de la protection de la vie privée en tant que droits de la personne et qui reconnaîtrait la suprématie de la charte, texte quasi constitutionnel, sur les lois ordinaires.

2. Autres éléments clés de la charte des droits à la protection de la vie privée

Les principes de base constitueraient évidemment la clé de voûte de la charte des droits à la protection de la vie privée. Mais d'après nous, il est également critique d'expliciter dans cette charte au moins cinq autres éléments qui sous-tendent la protection de la vie privée : (1) une déclaration énonçant les mesures fondamentales à prendre pour favoriser le respect intégral des droits à la protection de la vie privée; (2) une déclaration reconnaissant l'importance de mesures adéquates d'observation et d'exécution; (3) une déclaration indiquant que des recours appropriés seront prévus pour permettre de réparer toute atteinte à la vie privée; (4) une déclaration reconnaissant que le commissaire à la protection de la vie privée au Canada est chargé de superviser le respect des droits à la protection de la vie privée dans toutes les instances de compétence fédérale; (5) l'attribution au ministère de la Justice de la responsabilité d'examiner la législation. Il importe à notre avis d'incorporer dans la charte ces divers éléments de la protection de la vie privée, car ils laissent entrevoir les mesures fondamentales à prendre pour assurer la protection adéquate de la vie privée, tout en indiquant que cette protection n'est pas la responsabilité exclusive du gouvernement fédéral.

Dans le cadre de ses consultations publiques, le Comité a pu déterminer que le respect intégral des valeurs visant la protection de la vie privée suppose au moins trois étapes : la recherche, la sensibilisation et l'éducation, et la consultation du public. La recherche doit se faire à plusieurs niveaux - par exemple, sous des optiques sociologiques, économiques, technologiques et juridiques - et doit être menée par des personnes travaillant dans tous les domaines, de même que par les représentants des milieux gouvernementaux, industriels et universitaires. Elle doit aussi être fondée sur des techniques pratiques et novatrices, le projet pilote de la carte-santé à Rimouski représentant un exemple de ce genre d'approche. L'information publique suppose la sensibilisation des Canadiens à leurs droits à la protection de la vie privée, tandis que l'éducation consiste à apprendre à tout le monde, employés du gouvernement, concepteurs de nouvelles technologies ou utilisateurs, à favoriser et à respecter la vie privée. Comme la recherche, l'éducation doit intervenir à tous les niveaux et auprès d'un maximum de participants. Enfin, en ce qui concerne les mesures qui vont favoriser le respect de la vie privée, les consultations publiques seront critiques à chacune des étapes, qu'il s'agisse de l'élaboration de nouvelles lois ou politiques, de la préparation d'une proposition de comparaison des données, de l'élaboration d'un nouveau produit ou de l'implantation d'un nouveau service.

En discutant de questions de protection de la vie privée avec les Canadiens, le Comité a pu dégager un certain nombre de mesures jugées essentielles pour garantir la protection adéquate de leurs droits; il s'agit de mesures d'observation, d'exécution et de correction. Les mesures d'observation doivent englober une vaste gamme d'outils devant permettre de garantir que les politiques, les instruments de réglementation, les pratiques et les technologies respectent les principes de la protection de la vie privée. Par exemple, des analyses des répercussions sur la vie privée devraient être intégrées au processus d'élaboration des lois, de même que la mise au point de politiques et de pratiques au sein du gouvernement et des entreprises. On devrait également procéder à l'introduction de vérifications du respect de la vie privée afin de déterminer si les politiques et pratiques actuellement en vigueur sont conformes aux principes de la protection de la vie privée. Pour assurer le contrôle de nouvelles pratiques pouvant éventuellement constituer une atteinte à la vie privée, telle que la comparaison des données et la surveillance vidéo, il faudrait établir des procédures transparentes consistant à consulter la population et à évaluer la preuve, afin de déterminer si la pratique constituant une atteinte à la vie privée se justifie ou non. Et dans le cas de la technologie, il faudrait, là aussi, effectuer des analyses des répercussions sur la vie privée, de préférence à l'étape de la conception des nouvelles technologies et des nouveaux systèmes pour faire en sorte de détecter et de régler tout problème de protection de la vie privée dès le départ.

Au niveau de l'exécution, le Comité est d'accord avec les témoins qui souhaitaient la création de véritables mesures d'incitation et de dissuasion pour récompenser ceux qui respectent la vie privée et punir les autres; les sanctions devraient en particulier être adaptées à la gravité de l'infraction. Le Comité souhaite qu'il existe un ultime recours judiciaire qui pourrait prendre la forme d'un mécanisme ou tribunal indépendant d'arbitrage des plaintes ou de poursuites civiles qui interviendrait quand il est impossible d'adopter des mesures administratives ou non judiciaires. Enfin, dernier élément, mais non le moindre, nous pensons qu'il est grand temps d'expliciter en droit une réalité de fait depuis des années - à savoir que le commissaire à la protection de la vie privée est responsable, pour les instances de compétence fédérale, de la surveillance et de la protection générale du droit des Canadiens au respect à la vie privée. La charte proposée ici nous paraît l'outil approprié.

La charte des droits à la vie privée comporterait un dernier élément, d'importance critique, ayant pour effet d'assurer la conformité des mesures législatives avec la charte. Le Comité estime en effet qu'en plus d'incorporer une déclaration générale concernant la création de mécanismes d'observation appropriés, la charte devrait imposer au ministre de la Justice l'obligation législative d'examiner les instruments législatifs nouveaux et existants pour s'assurer de leur conformité avec les principes énoncés dans la charte.

Le ministère de la Justice examine déjà les projets de loi et les nouvelles pratiques pour s'assurer de leur conformité aux articles 7 et 8 de la Charte canadienne des droits et libertés. Mais comme nous l'avons déjà vu au chapitre 2, ces articles de la Charte des droits et libertés, énoncent certaines attentes en matière de protection de la vie privée mais sans nécessairement expliciter la gamme complète des droits des citoyens à cet égard. En réalité, l'envergure précise de la protection de la vie privée qu'offre la Charte des droits et libertés est déterminée au jour le jour, sans que les Canadiens sachent exactement l'ampleur de leurs droits. Le Comité estime que la charte des droits à la protection de la vie privée comblerait cette lacune en précisant la gamme complète des droits des Canadiens dans ce domaine, de même que les obligations qui s'y rattachent. Elle constituerait par conséquent un point de référence supplémentaire pour l'évaluation des lois et projets de loi fédéraux ainsi que des autres mesures législatives. La charte des droits à la protection de la vie privée devrait devenir partie intégrante du processus d'examen législatif du ministère de la Justice.

Par ailleurs, le ministre de la Justice devrait être tenu d'informer le commissaire à la protection de la vie privée de toute nouvelle mesure législative et réglementaire pouvant constituer une atteinte à la vie privée. À tout moment, le Parlement est saisi d'un nombre considérable de projets de loi et de règlements pouvant potentiellement violer les droits des Canadiens à la protection de la vie privée. À titre d'exemple, au cours de la présente session, le Parlement a été saisi de plus de 50 nouvelles mesures législatives et réglementaires pouvant avoir des répercussions sur le respect de la vie privée. Le commissaire à la protection de la vie privée n'est pas systématiquement informé de tout instrument pouvant potentiellement influer sur le respect de la vie privée, malgré qu'il y a eu des directives du Conseil du Trésor et du ministère de la Justice ordonnant aux ministères fédéraux de transmettre cette information. Le Bureau du commissaire à la protection de la vie privée se voit donc obligé d'effectuer un travail fastidieux et inefficace qui consiste à contrôler toutes les nouvelles mesures législatives et réglementaires fédérales en vue de repérer tout élément pouvant constituer une atteinte à la vie privée. Vu l'important rôle d'ombudsman que joue le commissaire à la protection de la vie privée dans la sphère de compétence fédérale, il est essentiel que son Bureau soit officiellement inclus dans le circuit législatif par l'entremise d'une procédure de notification officielle. Idéalement, le commissaire devrait être consulté à l'étape de l'élaboration des mesures législatives; à tout le moins, il doit l'être une fois le texte de loi déposé au Parlement.

En résumé, le cadre législatif d'application générale que propose le Comité, c'est-à-dire la charte canadienne des droits à la protection de la vie privée, énoncerait les droits et obligations fondamentaux de chacun en matière de protection de la vie privée, fixerait les règles de base pour le respect des droits en question et prévoirait des mesures d'exécution connexes. En outre, il exigerait la mise en place de recours appropriés pour les personnes lésées, confierait au commissaire à la protection de la vie privée le rôle d'ombudsman en ce qui concerne la protection de la vie privée des Canadiens et chargerait le ministre de la Justice de scruter les instruments législatifs pour y déceler d'éventuelles atteintes à la vie privée.

B. Donner l'exemple

L'une des plus importantes fonctions que pourrait assumer le gouvernement fédéral afin de protéger la vie privée des Canadiens serait de prendre fait et cause pour cette charte et d'encourager les provinces et les territoires à élaborer et adopter un cadre législatif analogue. De toute évidence, il existe d'énormes écarts au Canada entre les lois fédérales, provinciales et territoriales touchant la protection de la vie privée. Les lois québécoises sont les plus avancées et garantissent aux habitants de cette province une protection très complète. Par contre, la protection offerte par certaines provinces de l'Atlantique est très mauvaise, comme en fait foi la critique suivante :

En passant, je fais remarquer à certains de vos membres du Canada atlantique - je viens d'une famille qui est établie au Nouveau-Brunswick depuis cinq générations - qu'en tant que Canadien, je trouve extrêmement préoccupant que certaines provinces de l'Atlantique soient devenues des paradis informationnels. Aucune d'entre elles, à l'exception peut-être de la Nouvelle-Écosse, n'a même les éléments de base d'un régime de protection de la vie privée, pas plus dans le secteur public que dans le secteur privé. Je me permets de vous dire qu'en tant qu'universitaire, je suis particulièrement déçu de la situation dans la province du Nouveau-Brunswick. Cette province fait la promotion de l'autoroute de l'information, mais ne prend aucune mesure pour assurer la protection de la vie privée ni dans le secteur public ni dans le secteur privé7.
Compte tenu des écarts qui existent entre les différentes lois de protection de la vie privée au Canada, il ressort que c'est seulement dans une province, le Québec, que les citoyens canadiens bénéficient de la protection intégrale de leurs droits. Dans les autres provinces et territoires, leurs droits ne sont que partiellement protégés ou ne le sont pas du tout. De l'avis du Comité, cette situation est lamentable. Les lois antidiscriminatoires canadiennes ont été harmonisées il y a plus de 20 ans pour garantir aux Canadiens, où qu'ils vivent ou travaillent au Canada un respect uniforme de la dignité et des droits de la personne8. Il n'existe pas au Canada de zones anarchiques où les Canadiens peuvent faire l'objet de racisme, de sexisme et d'autres formes de discrimination sans bénéficier d'une protection juridique appropriée. Le droit à la vie privée est également un droit de la personne qui ne devrait pas varier selon la région du pays. Le Comité exhorte donc le gouvernement fédéral à jouer un rôle de chef de file en favorisant une approche uniforme de la protection de la vie privée sur l'ensemble du territoire. Nous faisons observer que le point de départ ou le cadre de cette harmonisation des protections pourrait être la charte des droits à la protection de la vie privée, laquelle pourrait servir de ligne directrice et de référence d'un bout à l'autre du pays.

Le gouvernement fédéral est un très gros employeur et traite des quantités massives de renseignements personnels concernant les citoyens canadiens. De plus, différentes branches d'activité, telles que les secteurs bancaire, des télécommunications et des transports, véritables piliers de notre économie, relèvent de sa compétence. Le Comité juge essentiel que le gouvernement fédéral, en qualité d'employeur, de fournisseur de services et programmes publics ainsi que d'organisme de réglementation de l'industrie, donne l'exemple à d'autres secteurs et employeurs en devenant un utilisateur modèle de la charte des droits à la vie privée. En ce qui concerne sa façon de traiter les renseignements personnels, la prochaine section du présent chapitre proposera un nouveau régime de protection des données s'accordant avec les valeurs de la charte proposée. Toutefois, nous ne sommes pas certains que des dispositions législatives fédérales plus rigoureuses en matière de protection des données remédieront à toutes les préoccupations concernant le respect de la vie privée dans les lieux de travail du gouvernement fédéral. Nous demandons donc au gouvernement fédéral de prêcher par l'exemple en prenant des mesures pour appliquer dans ce domaine également les principes de la charte.

PROTECTION DE LA VIE PRIVÉE «DE DEUXIÈME GÉNÉRATION»

Ayant élaboré notre proposition pour un cadre législatif pertinent, la charte des droits à la vie privée, nous allons concentrer notre attention dans les dernières pages de ce chapitre sur la protection de la vie privée «de deuxième génération», c'est-à-dire les lois, les règlements, les codes sectoriels, les techniques d'amélioration de la confidentialité, les activités de recherche, d'éducation et de sensibilisation du public et d'autres mesures particulières qui doivent être instaurés pour protéger adéquatement la vie privée.

A. La protection des données : un nouveau régime

Le présent rapport illustre clairement l'urgent besoin d'avoir au pays des dispositions législatives générales pour la protection des données. Un peu partout au pays on réclame un ensemble global et uniforme de règles pour protéger les renseignements personnels. Certes, il existe déjà une loi qui protège les données, la Loi sur la protection des renseignements personnels, dont il a été question du Chapitre 2 du rapport, mais elle est restreinte dans sa portée et dans son application. Le Comité estime que ces limites doivent être annulées par l'adoption au Parlement d'une nouvelle loi appelée Loi sur la protection des données. Celle-ci renforcerait les principes qui seraient énoncés dans la charte des droits à la vie privée, proposée par nous, en garantissant le droit à l'autodétermination informationnelle, c'est-à-dire le droit pour chacun de contrôler et donc de décider à quelles fins seront utilisés les renseignements qui le concernent personnellement. Pour faire en sorte que la sécurité des renseignements personnels soit prise au sérieux dans la sphère de compétence fédérale, il faudrait que le champ d'application de la Loi sur la protection des données soit aussi large que possible. Aussi le Comité est-il d'avis qu'elle doit viser le Parlement, ainsi que tous les ministères, organismes, sociétés d'État, commissions, offices et autres institutions du gouvernement fédéral.

Toute action législative touchant la protection des données doit aussi s'étendre au secteur privé sous réglementation fédérale. À maintes reprises, les participants à nos discussions publiques ont affirmé que l'application volontaire des codes de pratique en matière de protection des renseignements personnels ne fonctionnait pas. Comme l'a fait remarquer un participant, «Le profit est un motif très fort, et les compagnies du secteur privé ne protégeront pas la vie privée des citoyens à moins d'y être absolument forcées9.» Qui plus est, ainsi qu'il en a déjà été question dans le rapport, il est urgent d'instaurer une législation de protection des données qui s'étende au secteur privé, de manière à répondre aux exigences de la Directive de l'Union européenne10.

Quant au meilleur modèle législatif à adopter en matière de protection des données, nous avons à l'esprit le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation (dont nous avons parlé au Chapitre 2). Nous aimons le fait que les principes de traitement équitable des données contenus dans ce Code ont été négociés ouvertement par l'industrie, des représentants des consommateurs et le gouvernement, ce qui a abouti à un consensus national sur les normes de protection des données11. Même si nous avons des réserves sur la simple adoption de ces normes dans une réglementation, pour les raisons dont il a été question au Chapitre 212, nous pensons néanmoins que ce Code type est un bon point de départ pour l'élaboration d'une loi sur la protection des données.

Il faudra aussi prendre dûment en compte les modalités adoptées ailleurs. Nous connaissons, par exemple, les mécanismes en place aux Pays-Bas et en Nouvelle-Zélande. Ils sont assez particuliers, notamment dans leur manière de traiter les codes sectoriels. Par exemple, le Privacy Act 199313 applique les principes universels de la protection des renseignements personnels aux secteurs public et privé, contient de solides mesures d'exécution, porte une attention particulière au couplage des données14 et, en plus, traite d'une façon intéressante des codes de pratique. La législation néo-zélandaise exige que tous les organismes publics et privés désignent des préposés à la protection de la vie privée chargés d'encourager le respect des principes énoncés dans la Loi et de coopérer si le commissaire présente des demandes ou mène des enquêtes.

Le Privacy Act de la Nouvelle-Zélande confère de solides pouvoirs d'application à un commissaire à la protection de la vie privée, chargé d'entendre les plaintes, de mener des enquêtes et d'agir comme médiateur-conciliateur dans les différends. Les plaintes peuvent venir de quiconque prétend qu'il y a ou semble y avoir atteinte à la vie privée. Le commissaire jouit de grands pouvoirs d'enquête et, s'il est impossible de procéder par la méthode du règlement des conflits, on peut interjeter appel à un tribunal de révision des plaintes habilité à formuler des solutions exécutoires et à accorder des dommages-intérêts. Fait intéressant, le commissaire peut, à tout moment, réclamer des tribunaux un jugement déclaratoire, que la cause se rattache ou non à son mandat législatif. Le commissaire a également le pouvoir, moyennant le respect de certaines exigences, d'énoncer des codes de pratique qui modifient l'un ou l'autre des principes législatifs sur la protection des renseignements personnels. Ces codes deviennent des règlements et, à ce titre, sont exécutoires en vertu de la loi.

Il est évident que nous sommes bien engagés dans une ère où la commercialisation de l'information sur les personnes atteint de nouveaux sommets. Comme nous l'a dit le commissaire à protection de la vie privée, Bruce Phillips :

En fait, nous achetons et vendons d'importants aspects de nous-mêmes. Le trafic de renseignements humains a pris une grande ampleur. Le monde des affaires et les services gouvernementaux aimeraient tout savoir de nous en tant qu'individus15.
À mesure que nous avançons sur l'autoroute de l'information, la plupart de nos activités quotidiennes laissent une piste électronique que de nombreuses bases de données peuvent emmagasiner. Les entreprises ont vite compris la valeur de ces banques de renseignements et la possibilité de les exploiter, de les manipuler et de les vendre, sans la connaissance ou le consentement des individus. Parallèlement, les autorités gouvernementales cherchent à mettre sur pied des administrations rationalisées, plus économiques et plus efficaces. Par conséquent, nous assistons de plus en plus à des comparaisons et à l'intégration dans ce qui était auparavant des bases de données discrètes. Ce qu'on appelle «entreposage des données» et «comparaison des données» se produit maintenant à l'intérieur des gouvernements et de l'un à l'autre.

Au niveau fédéral, nous avons été étonnés d'apprendre que non seulement les ministères confrontent d'un à l'autre des renseignements personnels («couplage des données»), mais ils vont même jusqu'à établir des concordances entre programmes au sein d'un même ministère. S'agissant de partages intraministériels, nous savons que le ministère du Développement des ressources humaines a mis sur pied avec Revenu Canada un programme de couplage des données qui utilise les dossiers de douanes pour prendre les «tricheurs» de l'assurance-emploi qui quittent le pays tout en continuant de toucher leurs prestations. Fait intéressant lorsque ce ministère a consulté le Commissariat à la protection de la vie privée, on lui a conseillé de ne pas réaliser ce couplage de bases de données. Ce n'est pas tant que le commissaire à la protection de la vie privée n'ait pas approuvé la comparaison des données en elle-même, mais surtout le fait que les gens qui ont donné à Revenu Canada de l'information personnelle en traversant la frontière n'étaient pas au courant, à l'époque où les données ont été recueillies, qu'elles serviraient à des fins autres que celles pour lesquelles elles avaient été données au départ. C'est cette violation d'un principe fondamental de la protection de la vie privée - le droit de donner un consentement éclairé - qui préoccupait le commissaire. Le ministère a procédé au couplage malgré l'avis du commissaire. Il a préféré s'appuyer sur l'avis du ministère de la Justice, selon lequel ce programme était conforme aussi bien à la Loi sur la protection des renseignements personnels qu'aux directives et politiques du Conseil du Trésor sur les comparaisons de données.

Même si nous savons qu'il y va de l'intérêt des Canadiens de réduire le fardeau que représentent sur les fonds publics les fraudes d'assurance-emploi, nous pensons que les gens doivent connaître d'avance - et non rétroactivement - l'utilisation que les fonctionnaires peuvent faire de leurs renseignements personnels. Qui plus est, nous nous inquiétons de façon générale des déductions négatives que, trop souvent, ce genre de comparaisons risquent d'entraîner. Comme l'a déjà déclaré le commissaire fédéral à la protection de la vie privée, Bruce Phillips :

La comparaison informatisée des données transforme la traditionnelle présomption d'innocence en une présomption de culpabilité : en procédant à la comparaison, même en l'absence de toute indication de méfait, on se trouve à soumettre les individus à des fouilles et saisies de haute technologie. L'acceptation du principe de la comparaison ouvre la porte à une force sociale d'une magnitude envahissante et implacable16.
De toute évidence, l'actuelle Loi sur la protection des renseignements personnels ne prévoit guère de contrôles précis sur les couplages de données. En fait, si l'on examine les articles 7 et 8, il n'est pas difficile de voir comment des ministères comme celui du Développement des ressources humaines peuvent trouver le moyen de pratiquer légalement la comparaison de données. Le ministère du Développement des ressources humaines a aussi été blâmé pour son «laisser-faire» devant la manipulation de renseignements personnels sensibles et le manque de mesures de sécurité dans ses bureaux d'emploi17. Nous ne pouvons que nous demander dans quelle mesure sont protégés les innombrables renseignements personnels (ceux du Programme de la sécurité du revenu, du Régime de pensions du Canada, du programme de l'emploi, du Programme de prêts aux étudiants que possède cette seule institution fédérale. Il est certain que des couplages croisés se font entre ces programmes ministériels18.

Où sont les «coupe-feu» et les cloisons protectrices contre les couplages intra et interministériels inutiles? Où sont les normes sur les pratiques acceptables? La Loi sur la protection des renseignements personnels semble trouée comme une passoire, et tout ce qu'il y a entre les banques de données dans une institution donnée, c'est l'assurance donnée par les bureaucrates et leur bonne volonté. Pour citer l'analogie de Simon Davies19, l'absence de garanties efficaces ici équivaut à l'imposition d'un mandat de perquisition général applicable à tous les renseignements personnels qui sont aux mains du gouvernement fédéral. Cette pratique doit s'arrêter. La comparaison des données dans le secteur public fédéral doit être justifiée et, lorsqu'elle l'est, il faut adhérer rigoureusement aux principes des pratiques équitables de traitement de l'information, qu'énoncerait une charte sur la protection des renseignements personnels.

En cette ère de l'information où les frontières nationales et internationales perdent de leur pertinence, les limites entre secteurs public et privé deviennent elles aussi de plus en plus floues. Non seulement les gouvernements cherchent-ils à partager entre eux la prestation des services, mais ils ont également recours au secteur privé. Et tout cela se fait sans beaucoup de considération pour la protection de la vie privée. Dans un tel système de prestation partagée des services gouvernementaux, quel palier gouvernemental a préséance lorsqu'il faut invoquer les lois pour protéger les fichiers de renseignements personnels? Qu'arrive-t-il à la sécurité actuellement prévue dans la Loi sur la protection des renseignements personnels lorsque ce genre de données sont transmises ou confiées à contrat au secteur privé? Jusqu'à ce que les lois sur la protection des données s'étendent uniformément au secteur privé, le respect de la future Loi sur la protection des données doit faire partie de toutes les ententes de privatisation, comme c'est souvent le cas pour la Loi sur les langues officielles. Qui plus est, tous les contrats de services devront être conformes à la future Loi sur la protection des données.

Il va sans dire qu'une loi de protection des données soigneusement élaborée sera d'autant plus forte que ses mécanismes d'application seront efficaces. Comme nous l'expliquerons plus bas, nous ne voyons pas la nécessité de réinventer la roue à cet égard. Selon la future charte sur la protection de la vie privée, le commissaire à la protection de la vie privée du Canada exercerait un droit de regard général sur la protection des droits à la vie privée dans tous les domaines de juridiction fédérale. Cela ne signifie toutefois pas que c'est à lui seul qu'il incomberait de faire respecter la future Loi sur la protection des données. Il y a d'autres acteurs qui doivent veiller activement à ce que la protection des données ne soit pas uniquement un voeu pieux, mais une réalité.

À cette fin, selon nous, aux termes de la future Loi sur la protection des données, le Secrétariat du Conseil du Trésor, en tant qu'organisme central du gouvernement, devrait avoir pour mandat de collaborer avec toutes les institutions du gouvernement fédéral et de surveiller la façon dont elles appliquent la loi. Le commissaire à la protection de la vie privée devrait pour sa part collaborer avec le Parlement, ainsi qu'avec tous les organismes, commissions, offices et autres institutions du gouvernement fédéral. Il assumerait aussi la responsabilité ultime de l'application de la future Loi sur la protection des données dans l'ensemble du champ de compétence fédérale.

B. Nouvelles technologies et autres mesures particulières

Au départ, dans cette étude, nous nous intéressions aux menaces que font peser sur la vie privée trois nouvelles technologies : les analyses génétiques, les cartes à puce et la surveillance vidéo. Nous avons constaté, à l'occasion des tables rondes et des assemblées publiques, que ces trois éléments soulevaient des questions extrêmement importantes et complexes et que chacun d'eux exigeait des mesures immédiates, quoique différentes peut-être.

Nous sommes conscients qu'il ne ressort pas à la compétence du gouvernement fédéral de réglementer toutes ces technologies. À notre avis, cela ne doit pas le dispenser d'exercer son leadership et de faire preuve de prévoyance, en trouvant des moyens pour protéger le droit fondamental à la vie privée, étant donné que les diverses administrations publiques du Canada et le secteur privé sont encore obligés de se débrouiller tant bien que mal avec les problèmes causés par la surveillance des personnes, les contrôles biologiques et les méthodes d'identification personnelle.

Nous pensons néanmoins, il est important de le noter, que les technologies peuvent servir le bien commun. La question n'est pas seulement de faire bon usage des technologies génétiques et biométriques, ainsi que des techniques vidéo, il faut aussi activement encourager la création de techniques qui donnent aux gens plus de possibilités tout en préservant leur vie privée.

1. Biométrie

Depuis des décennies, les gouvernements s'emploient à trouver des systèmes d'identification personnelle adaptés aux besoins. Lorsque le gouvernement fédéral a adopté le numéro d'assurance sociale (NAS), certains ont dit craindre que celui-ci donne lieu à des abus. Le gouvernement estimait que ces craintes n'étaient pas fondées, mais bien qu'il ait limité sa propre utilisation de ce code, ses prévisions se sont avérées inexactes. Il était cependant déjà trop tard car le milieu des affaires et les autres ordres de gouvernement avaient commencé à utiliser le NAS à des fins autres que celles prévues à l'origine20. Des personnes, des entreprises de même que des administrations et des établissements ne relevant pas du gouvernement fédéral peuvent encore demander le NAS d'une personne, bien que celle-ci puisse ne pas le fournir si elle y est autorisée.

Les techniques classiques de biométrie, comme la numérisation des empreintes digitales, permettant d'accéder à des bases de données, soulèvent de sérieux problèmes de protection de la vie privée en raison du lien direct entre la personne et son numéro. Ces techniques peuvent permettre d'établir des rapports plus définitifs et moins contestables que le NAS. Elles risquent aussi de donner lieu à des comparaisons de données, en particulier pour la prestation de services gouvernementaux.

Le Comité est d'avis que l'introduction de systèmes d'identification biométrique ouvrant l'accès à divers services soulève de très graves questions en matière de protection des renseignements personnels, auxquelles il y a lieu d'y trouver dès maintenant des réponses. Il faut par exemple prendre soin de bien réglementer ces techniques, qui ne devraient être adoptées qu'à des fins précises. Il devrait en outre être interdit de les utiliser à d'autres fins.

Nous avons eu le plaisir de nous entretenir avec le commissaire à la protection de la vie privée du Québec, M. Paul-André Comeau, au sujet d'une étude sur les microcircuits ou cartes à puce effectuée dans la région de Rimouski. Ces cartes sont utilisées pour stocker divers types de renseignements sur la santé : renseignements à caractère administratif, recours à l'urgence, vaccinations, fiches et renseignements médicaux21. M. Comeau nous a convaincus qu'il fallait se montrer prudents et faire des expériences pilotes avant d'utiliser de telles cartes à grande échelle dans un secteur relevant du gouvernement fédéral.

Nos décideurs peuvent faire des choix. À titre d'exemple, plutôt que de stocker des données sur des cartes à puce, on peut n'inscrire sur celles-ci que la clé qui permet à une personne, et à elle seule, de consulter d'autres banques de données. Il faut également se demander s'il y a lieu de créer des liaisons multiples ouvrant l'accès à d'autres personnes en certaines circonstances.

2. Le dépistage génétique

Le dépistage génétique a des répercussions qui touchent les questions de discrimination et de justice fondamentale. Il faut en tout premier lieu déterminer les mesures qui sont conformes à l'éthique et celles qui ne le sont pas. Les questions de dépistage génétique se démarquent des autres questions liées aux nouvelles technologies que nous avons examinées. Les signes particuliers que révèlent les analyses d'ADN classent le dépistage génétique dans une catégorie à part, en nature et en importance, par rapport aux autres méthodes d'identification biométrique et de surveillance vidéo. Le dépistage génétique se différencie non seulement parce qu'il permet de prédire l'apparition de la maladie, mais aussi parce qu'il fait intrusion dans la vie privée. Tout test génétique auquel une personne est soumise nous renseigne également sur ses enfants, ses frères et soeurs et ses parents. La question de la propriété est critique, et chaque personne devrait conserver la propriété et le contrôle de l'information génétique à son sujet.

Le Comité est d'accord avec le point de vue clair qui s'est dégagé de nos consultations, à savoir qu'un cadre général régissant les droits de la personne doit guider toutes les décisions concernant le génome humain. Nous croyons également que le Canada a besoin de mesures de protection particulières et distinctes pour réglementer la collecte, l'utilisation et la propriété de l'information génétique, en raison de son caractère personnel et très privé, ainsi que des risques d'intrusion dans la vie privée. Des mesures législatives de protection de la vie privée sont indispensables, mais ne suffisent pas nécessairement à cause du pouvoir que l'information génétique peut conférer au détenteur de l'information et du rapport de force inégal entre le particulier et les intérêts commerciaux, par exemple les compagnies d'assurances, qui peuvent exiger des tests génétiques. Le Comité estime que les compagnies d'assurances doivent établir un équilibre entre l'information dont elles ont vraiment besoin et une certaine équité fondamentale dans une société qui ne permet pas que les citoyens soient victimes de discrimination en raison du risque d'être atteints d'une maladie22. Des lois sur les droits de la personne sont également nécessaires pour protéger les particuliers de la discrimination dont ils pourraient faire l'objet en raison de leur patrimoine génétique. Nous devons adopter une approche globale qui fasse intervenir la protection de la vie privée, les droits de la personne, ainsi que des mesures précises interdisant le dépistage génétique à moins de circonstances particulières et bien comprises. Le Comité tend à partager le point de vue de Margaret Sommerville; selon elle, on devrait partir du principe que le dépistage génétique doit être évité à moins que des conditions et des circonstances très précises ne l'exigent23.

D'autres pays sont aux prises avec le même problème. Les pays membres de l'UNESCO examineront un projet de déclaration sur le génome humain. Nous savons que le Congrès américain et les autorités législatives de nombreux États examinent actuellement des projets de loi portant sur diverses mesures de protection, dont la protection de l'information génétique. Les personnes atteintes de maladies héréditaires sont également protégées par l'Americans with Disabilities Act. De plus, des lois-cadres sont proposées aux États-Unis pour, par exemple, tenir responsables les compagnies qui font des tests génétiques, ainsi que leur personnel, à moins qu'ils n'aient obtenu l'assurance qu'un test génétique a été pratiqué volontairement. Plusieurs pays d'Europe ont adopté des lois interdisant l'utilisation de l'information génétique à des fins d'assurances.

Un comité consultatif sur le dépistage génétique a été créé au Royaume-Uni. On pourrait s'inspirer de cette approche et créer un comité fédéral-provincial-territorial qui examinerait la question du contrôle de la qualité et du caractère raisonnable de tests génétiques particuliers dans les secteurs des assurances et de l'emploi. Des commissions des droits de la personne pourraient convenir. Il y a une distinction importante, cependant, parce que les commissions des droits de la personne interviennent a posteriori tandis que tout organisme habilité à s'occuper de dépistage génétique doit adopter une approche plus préventive et pouvoir interdire des tests précis.

La question fondamentale qu'il faut examiner, c'est le besoin de traiter les informations à caractère génétique différemment que celles portant sur la santé en général. Il faudra se pencher sur cette question dans un proche avenir, car il deviendra de plus en plus difficile de faire la distinction entre les données sur la santé et les données génétiques. On ne peut traiter l'information génétique de la même manière que l'information sur la santé parce qu'elle diffère sur les plans qualitatif et quantitatif.

3. Surveillance vidéo

Le Comité en est arrivé à la conclusion que le gouvernement du Canada devrait adopter rapidement une loi pour protéger les Canadiens contre le recours injustifié à des dispositifs clandestins de surveillance vidéo. Des représentants d'agences privées de sécurité ont affirmé que l'industrie n'avait pas réussi à s'astreindre elle-même à un code de déontologie et à des normes satisfaisantes en la matière. L'industrie est motivée par l'appât du gain. De toute évidence, un système d'octroi de licences pour l'achat de matériel sera inefficace, puisque n'importe qui peut se procurer par catalogue des dispositifs technologiques de surveillance24. En outre, il n'existe aucune norme ou directive concernant l'entreposage, l'utilisation des bandes magnétoscopiques et l'accès à celles-ci. La surveillance vidéo est un aspect qui suscite un solide consensus quant à la nécessité de faire en sorte que nos consultations aboutissent à l'adoption de mesures législatives.

Les progrès technologiques dans le domaine de la vidéo permettent une intrusion encore plus grande dans la vie privée. Ainsi, les techniques informatisées de reconnaissance faciale, qui en sont à leurs premiers balbutiements, permettent d'introduire par balayage dans un ordinateur des images vidéo correspondant à certains visages et chaque fois qu'une caméra vidéo capte ces mêmes visages, il est possible de suivre les déplacements des individus.

Nous savons que la plupart des systèmes de surveillance vidéo sont utilisés dans des propriétés privées et ne sont pas, par conséquent, du ressort de la loi fédérale. Par contre, la portée de leur utilisation dépasse les considérations relatives aux questions de sécurité nationale et aux organismes d'application de la loi. Parce qu'ils sont bon marché et faciles à installer, des employeurs, des intérêts commerciaux et des fournisseurs de services y ont recours. Malgré tout, nous jugeons important que le gouvernement intervienne rapidement pour modifier le Code criminel afin de prévoir un mécanisme d'application et des amendes pour freiner les abus dans la mesure du possible. Les motifs invoqués pour l'émission de mandats en vertu du Code criminel doivent être resserrés, de façon que l'exercice d'une surveillance intrusive de la part des policiers ne puisse être autorisé que si la sécurité nationale est gravement menacée ou s'il y a danger imminent pour la vie ou l'intégrité physique de quelqu'un. Par ailleurs, les dispositions du Code portant sur l'interception de communications privées doivent être élargies de façon à englober la surveillance vidéo clandestine.

4. Technologies de protection de la vie privée

Le Comité est fermement convaincu que la technologie devrait s'adapter aux droits à la protection de la vie privée et non l'inverse. Nous savons également qu'il est futile de prétendre que notre société peut freiner la progression de l'évolution technologique, mais nous pouvons faire en sorte de mettre la technologie à notre service. L'une des façons d'y parvenir consiste à encourager la mise au point de technologies de nature à améliorer la protection de la vie privée. Comme pour la loi, le point de départ ici réside dans le problème de la collecte et de l'utilisation des renseignements personnels. Pour protéger la vie privée, ces technologies doivent limiter ou éliminer la collecte de renseignements personnels, tout en permettant que ces renseignements circulent sans risque de faire l'objet d'une utilisation non autorisée ou d'une interception.

Ces technologies peuvent, par exemple, permettre à quelqu'un de contrôler l'information recueillie grâce à l'utilisation d'un codage pour en protéger la confidentialité. En ce qui concerne les systèmes d'identification biométrique, par exemple, les empreintes digitales sont uniques, mais il n'est pas nécessaire de conserver une copie réelle ou une empreinte digitale pour créer le code d'accès. La technologie de codage permet de convertir des empreintes digitales en un code algorithmique n'ayant absolument aucun rapport avec les empreintes elles-mêmes. Les technologies de protection de la vie privée peuvent rendre anonymes des renseignements personnels. Elles peuvent donc améliorer la protection de la vie privée des personnes sans limiter l'accès à l'information25. La technologie permet aussi de coder des données sur une carte à puce, de façon que les empreintes digitales deviennent le code d'accès à l'information emmagasinée sur la carte.

En plus de protéger la vie privée des personnes, le système permet en même temps de réduire la fraude26. Le problème est de faire en sorte que l'entreprise privée utilise les technologies de protection de la vie privée, et la meilleure façon de procéder à cet égard consiste sans doute à adopter une loi. De cette façon, il sera plus facile de remédier à l'utilisation abusive des renseignements personnels gardés en mémoire. Par exemple, les dispositifs de dépistage peuvent faciliter le repérage des personnes qui ont eu accès à des renseignements. Le Canada n'a cependant qu'une influence limitée sur la mise au point de technologies de protection de la vie privée, étant donné que l'essentiel de ces technologies sont de fabrication étrangère et sont importées au Canada à partir de nombreux pays différents.

Une énorme tâche de sensibilisation nous attend en ce qui a trait aux technologies de protection de la vie privée. Non seulement le public a besoin de savoir en quoi elles consistent et comment elles peuvent contribuer à la protection de la vie privée, mais les entreprises ainsi que les initiateurs et les promoteurs des technologies en question doivent aussi bien saisir le potentiel, social et économique, de ces découvertes. Les uns et les autres peuvent y trouver leur compte, et les technologies de protection de la vie privée peuvent satisfaire aux besoins des trois parties.

5. Sensibilisation, consultation et éducation du grand public

Une constante revient du début à la fin du rapport, c'est qu'il est essentiel de sensibiliser et d'informer la population au sujet du droit à la protection de la vie privée et de la démocratie en général, et des effets des nouvelles technologies sur les droits de la personne et sur la vie privée, en particulier. Le degré de sensibilisation est si faible, avons-nous entendu dire lors des premières tables rondes, que le droit à la protection de la vie privée s'en trouve menacé. Comment comprendre le monde dans lequel nous vivons sans saisir les répercussions des progrès technologiques? En réalité, nul n'avait à convaincre le Comité, mais celui-ci est satisfait de constater que son processus de consultation a servi d'outil éducatif. Nous croyons que ce processus doit se poursuivre. Les gouvernements de tous les niveaux doivent jouer un rôle, les médias et le secteur privé également. Quant aux commissions à la protection de la vie privée, elles doivent disposer des moyens nécessaires pour leurs activités de diffusion, et les établissements d'enseignement se doivent d'enseigner l'éthique à leurs étudiants.

La capacité d'exercer des choix passe nécessairement par l'éducation. La population doit savoir qu'il n'est pas obligatoire, dans bien des cas, de donner son numéro d'assurance sociale. Il n'est pas obligatoire non plus de fournir des renseignements personnels sur les fiches de garantie. Il est possible de refuser que des entreprises se partagent des renseignements personnels en cochant une case prévue à cette fin.Souvent, l'éducation constitue le meilleur instrument pour restreindre la diffusion des renseignements personnels et empêcher les usages secondaires - un problème important qui a été soulevé durant nos consultations.Les entreprises doivent savoir qu'elles ont intérêt à respecter les désirs de leur clientèle au chapitre de l'information. Voilà pour elles une situation qu'elles pourraient exploiter à leur avantage27.

L'éducation est peut-être l'un des volets les plus négligés du dossier de la protection de la vie privée. Le gouvernement fédéral et les commissions provinciales chargées de la protection de la vie privée ont très peu de ressources. Le commissaire à la protection de la vie privée ne dispose d'aucun budget à cette fin. Le Comité conclut qu'il est nécessaire de préciser davantage les obligations dans ce domaine.

C. Enrichissement du rôle du commissaire à la protection de la vie privée du Canada

Comme nous l'avons noté au Chapitre 2 du présent rapport, le titre actuel, Loi sur la protection des renseignements personnels ne convient pas. En effet, les normes minimales visant la collecte, l'utilisation, la communication et le retrait, par les établissements fédéraux, des informations personnelles relatives aux clients et aux employés, s'appliquent uniquement à la protection des renseignements personnels. La portée n'est pas suffisamment large puisqu'elle n'englobe ni les tests génétiques, ni la surveillance électronique dans les lieux de travail, ni l'identification biométrique. Toutes les études actuelles portant sur les incidences de ces nouvelles technologies sur la vie privée est le fait de l'engagement, et dans une large mesure, de l'esprit d'initiative du commissaire actuel et de ces prédécesseurs, ainsi qu'à leur personnel; ces activités ne lui sont aucunement dictées par un mandat législatif.

Outre la portée de la loi, son application et ses mécanismes d'exécution sont également limités. Malgré les recommandations du Comité permanent de la justice et du solliciteur général de la Chambre des communes dans son rapport intitulé Une question à deux volets28 (mars 1987) et malgré les dispositions adoptées par le gouvernement fédéral à la lumière de ses propositions (Les prochaines étapes - Accès et renseignements personnels, octobre 1987), les limites demeurent.

Dans Une question à deux volets, le Comité permanent avait notamment recommandé les points suivants : modification de la Loi sur la protection des renseignements personnels afin d'y inclure un volet visant la sensibilisation du public; extension de la Loi à tous les établissements gouvernementaux, sociétés d'État et à toutes leurs filiales détenues en propriété exclusive, ainsi qu'aux entreprises privées réglementées par le gouvernement fédéral; autorisation accordée au commissaire à la protection de la vie privée d'émettre des ordonnances exécutoires et application de recours civils et de sanctions pénales en cas de violation; modification de la Loi pour l'appliquer explicitement à la surveillance électronique, aux tests de dépistage des drogues et au recours au détecteur de mensonges; enfin, pouvoir de contrôle accordé au commissaire dans ces secteurs. Le gouvernement fédéral de l'époque n'avait entrepris de donner suite qu'à deux de ces recommandations, celles relatives à la sensibilisation du public et à l'extension de la portée de la Loi aux sociétés d'État29. Aucune des mesures prévues n'a encore été adoptée.

En ce qui concerne les autres recommandations, le gouvernement de l'époque considérait injustifié d'ajouter des sanctions supplémentaires à la Loi sur la protection des renseignements personnels étant donné qu'elle prévoyait déjà suffisamment de recours administratifs. En outre, il jugeait inutile d'amender la Loi pour qu'elle englobe les tests de dépistage de drogues, la surveillance électronique et l'usage du détecteur de mensonges, étant donné que ces questions n'avaient rien à voir avec la protection des renseignements personnels. Il s'engageait par contre à surveiller l'évolution de la situation à cet égard.

Enfin, l'une des principales recommandations, celle visant l'extension de la portée de la Loi aux entreprises privées soumises à la réglementation du gouvernement fédéral, a été rejetée. Mais depuis 1987, des pressions internationales et commerciales, notamment celle émanant de l'Union européenne par l'intermédiaire de la directive émise en ce sens, se sont exercées et Allan Rock, actuel ministre de la Justice, a annoncé l'intention du gouvernement de mettre en place, d'ici l'an 2000, une législation fédérale, exécutoire et efficace, visant la protection de la vie privée, qui s'étendrait au secteur privé30.

Il est clair que la protection de la vie privée, dans son sens le plus large, constitue une valeur fondamentale largement acceptée au Canada et qu'elle mérite, à ce titre, d'être bien protégée par l'appareil législatif. Les principes que nous proposons ici ne doivent pas sous-tendre uniquement toute loi fédérale relative à la protection de la vie privée, mais également le mécanisme, solide et indépendant, qui sera mis en place pour garantir le contrôle de l'application des lois. Dans une certaine mesure, le commissaire à la protection de la vie privée exerce déjà ce rôle, mais nous ne considérons pas que le potentiel de ce dernier soit pleinement exploité. Il faut étendre et renforcer le mandat de son Bureau. C'est pourquoi nous proposons que l'actuelle loi sur la protection des renseignements personnels soit remplacée par une loi concernant le Commissariat à la protection de la vie privée.

Le Commissariat à la protection de la vie privée doit disposer du pouvoir nécessaire pour traiter toutes les questions relatives à la protection de la vie privée, à la fois au sein de la fonction publique et dans le secteur privé, et de tous les mécanismes d'application qui s'imposent pour lui permettre d'exercer ses fonctions de contrôle. Nous proposons au gouvernement d'envisager la possibilité de donner au commissaire le pouvoir de traiter les allégations d'infractions par le recours à des enquêtes et à un processus de résolution qui comporterait des mécanismes d'examen sous la forme d'un tribunal administratif, ainsi qu'un recours en révision judiciaire.

Il est toutefois impossible de traiter tous les problèmes de violation des droits à la vie privée au cas par cas. Il faut parfois adopter une approche plus globale et plus préventive. Nous pensons ainsi qu'il incombe au commissaire d'évaluer, afin de déterminer les risques, les incidences possibles sur la vie privée des nouvelles technologies, avant l'élaboration de ces dernières, ce qui, bien évidemment, permettrait de réaliser des économies. Nous pensons en outre que le commissaire devrait pouvoir mener ses enquêtes, par le recours à un processus de vérification.

Certes, il est nécessaire dans certains cas d'assurer le respect de la loi en instruisant les plaintes et en prenant des mesures exécutoires, mais ces mesures sont rarement efficaces lorsqu'il s'agit des droits de la personne. C'est par la persuasion et la sensibilisation que nous pouvons le mieux atteindre nos objectifs, position clairement adoptée par Bruce Phillips, commissaire à la protection de la vie privée. Nous n'avons nullement l'intention de minimiser l'intérêt de ces outils, car ils sont encore d'une importance capitale. Comme l'indiquait le rapport intitulé Une question à deux volets31, le commissaire à la protection de la vie privée doit se voir confier le mandat de sensibiliser le public, ce mandat devant être explicitement établi par la nouvelle loi.

Le commissaire aura besoin de ressources pour mener à bien ses nouvelles fonctions et honorer ses responsabilités supplémentaires aux termes de la nouvelle loi relative au Commissariat à la protection de la vie privée. Il faudra lui attribuer des ressources et des fonds suffisants. Cela n'aurait aucun sens d'attribuer au Commissariat de nouveaux pouvoirs et responsabilités sans lui fournir les ressources financières et humaines nécessaires, car celles dont il dispose pour l'instant sont juste suffisantes pour mener à bien son mandat actuel.

Enfin, l'introduction d'une nouvelle loi ne peut se faire qu'après un vaste processus de consultation publique. Les témoins entendus dans tout le pays nous ont très clairement demandé de ne pas négliger l'apport et la collaboration du public. Même s'il est urgent de se doter d'un mécanisme complet de protection de la vie privée, cette urgence ne doit pas servir de prétexte pour en faire fi. En outre, il sera vital de maintenir le dialogue avec les citoyens, même après adoption de la nouvelle loi. C'est pourquoi nous serions favorables à l'inclusion d'un mécanisme d'examen public régulier dans la loi proposée.

CONCLUSION

Les membres du Comité se sont rendu compte que le droit à la protection de la vie privée est menacé au Canada, mais que le danger n'émane pas d'un énorme monstre indomptable appelé «technologie», mais de nous mêmes si nous emboîtons le pas aveuglément à la marche continuelle du progrès technologique. Pour reprendre les mots de Bruce Phillips, le mal qui nous guette, c'est la tyrannie de l'ignorance, de l'adoption irréfléchie des technologies nouvelles sans penser à leurs conséquences.32

Il est temps que les pouvoirs publics s'assurent avec une plus grande vigilance que «technologie» et «progrès» ne deviennent pas des notions contradictoires et que les progrès de la technologie et les valeurs sociales évoluent de manière synchrone. Les techniques de pointe et leurs répercussions sur la protection de la vie privée sont le parfait exemple d'un secteur où ce travail de synchronisation doit commencer immédiatement.

David Flaherty écrivait un jour que la protection de la vie privée a ceci de commun avec la liberté qu'on n'en réalise l'importance que lorsqu'on l'a perdue.33 Plus la protection de notre vie privée s'effrite, plus la surveillance électronique envahit toutes les facettes de notre vie quotidienne et plus nous chérissons notre vie privée et plus nous nous rendons compte que c'est bien là un droit humain fondamental. Malheureusement, plus nous laissons perpétrer des atteintes à notre vie privée, plus nous prenons conscience de la vérité dans les admonestations de Bruce Phillips lorsqu'il nous dit que la protection de la vie privée n'est pas une ressource renouvelable et qu'elle est irrécupérable une fois perdue.

Nous espérons que nous aurons réussi dans le présent rapport à faire valoir l'urgence et l'importance d'élaborer des mécanismes propres à préserver le droit à la protection de la vie privée au Canada. Nous y proposons une stratégie utile et des règles de base réalistes pour stopper la vrille dans laquelle est entraîné le droit à la protection de la vie privée.

En dernière analyse, il s'agit de considérer le droit à la protection de la vie privée comme un droit humain. Pour cela, nous devons nous reporter à l'histoire récente et nous rappeler pourquoi le droit à la protection de la vie privée est inscrit dans la Déclaration universelle des droits de l'homme et dans les textes sur les droits de la personne adoptés ultérieurement, faute de quoi nous risquons de nous laisser convaincre par ceux qui voudraient nous faire croire que la protection de la vie privée est assimilable à une question de droit des consommateurs qui peut être réglée par l'adoption de simples codes de conduite et l'emploi de quelques techniques modernes d'amélioration de la confidentialité.

L'enjeu est de taille. Si nous perdons de vue les rapports de cette question avec les droits de la personne et si nous n'intervenons pas, sur le plan des droits, pour protéger notre vie privée, nous nous retrouverons sur une mauvaise pente qui risque de compromettre d'autres droits fondamentaux comme la liberté d'association et la liberté d'expression. En effet, comme un professeur de droit allemand, Spiros Simitis, le faisait remarquer à des étudiants en droit américains il y a plus de 10 ans, «les considérations relatives à la protection de la vie privée font intervenir plus d'un droit : elles déterminent le choix entre une société démocratique et une société autoritaire34».

Si nous laissons les technologies et les considérations de commodité et d'efficacité nous dicter les bornes du droit à la protection de la vie privée au Canada, nous vivrons dans un pays très ordonné, certes, mais nous perdrons du coup un élément fondamental de toute démocratie, à savoir l'autonomie et la dignité de la personne, et «le dictateur» aura gagné.

1
Toronto Star, 10 mai 1996.

2
Ursula Franklin, Des temps orageux.

3
Témoignages, 36:18

4
Gouvernement du Canada, La société canadienne à l'êre de l'information Pour entrer de plain-pied dans le XXIe siècle, Approvisionnements et Services Canada, 1996, p. 28 : «Afin d'encourager les entreprises et les consommateurs à avoir confiance dans l'autoroute de l'information, les ministres de l'Industrie et de la Justice après avoir consulté les provinces et les autres intervenants, proposeront une loi-cadre régissant la protection des renseignements personnels dans le secteur privé. (Réponse du gouvernement fédéral au rapport final du Comité consultatif sur l'autoroute de l'information intitulé Contact, communauté, contenu : le défi de l'autoroute de l'information, publié en septembre 1995).

5
Chambre des communes, Comité permanent de la justice et du solliciteur général, premier rapport, Une question à deux volets : Comment améliorer l'information tout en renforçant les mesures de protection des renseignements personnels, 2e session, 33e législature, mars 1987, p. 91.

6
Dans Hogan c. La Reine, [1975] 2 R.C.S. 574 à 579, le juge Laskin dit ceci : «La déclaration canadienne des droits est un moyen terme entre un régime de common law pur et un régime constitutionnel; on peut donc la qualifier d'instrument quasi constitutionnel.»

7
Témoignages, 21:14-15

8
W.S. Tarnopolsky, «Discrimination and the Law in Canada», UNB Law Journal / Revue de droit de l'UNB, vol. 41, 1992, p. 215 à 228 : «En 1975, chaque province du Canada avait déjà mis sur pied une Commission des droits de la personne pour administrer la législation sur la non-discrimination, et en 1997, la Loi canadienne sur les droits de la personne créait une commission fédérale. À quelques variations près, les lois sont semblables, sauf que celles de la Saskatchewan et du Québec prévoient des protections additionnelles.»

9
Témoignages, 34:27

10
La Directive sur la protection des données de l'Union européenne exige que tous les pays membres adoptent ou adaptent des lois nationales de protection des données en conformité avec ses dipositions. Plus particulièrement, l'article 25 interdit aux pays membres (et aux entreprises établies à l'intérieur de ceux-ci) de transférer des données personnelles dans des pays non-membres, comme le Canada, qui ne garantissent pas une protection de ces renseignements.

11
Colin Bennett, Rules of the road and level playing-fields : the politics of data protection in Canada's private sector, International Review of Administrative Sciences, Vol. 62 (décembre 1996) p. 486.

12
Voir à la p. 32 du texte.

13
L'information qui suit sur la loi néo-zélandaise est tirée de l'ouvrage d'Ian Lawson, Privacy and the Information Highway: Regulatory Options for Canada, étude préparée pour Industrie Canada, 1995, p. 21-22.

14
L'approbation du commissaire néo-zélandais est nécessaire pour tous les couplages de données autres que ceux ayant fait l'objet d'une autorisation préalable dans le cadre d'un programme gouvernemental. Le tribunal chargé d'instruire les plaintes en vertu de la loi peut entendre les appels des décisions du commissaire, lorsque celui-ci refuse le couplage.

15
Témoignages, 15:12-13

16
Commissaire à la protection de la vie privée du Canada, Rapport annuel 1985-1986.

17
Globe and Mail, le 14 avril 1997.

18
Commissaire à la protection de la vie privée, Rapport annuel 1995-1996.

19
Témoignages, 22:21

20
Témoignages, 24:23

21
Témoignages, 21:11. L'étude sur les cartes à puce a été effectuée par la Régie de l'assurance-maladie du Québec en collaboration avec des chercheurs de l'Université Laval et des médecins. Elle a porté sur quelque 7 500 personnes dont la majorité avaient plus de 60 ans, étaient des femmes enceintes ou des bébés de moins de 18 mois.

22
Témoignages, 28:35

23
28: 19

24
Témoignages, 27:23-27

25
Témoignages, 29:5

26
29:17-26

27
Témoignages, 21:16-18

28
L'article 75 de la Loi sur la protection des renseignements personnels stipule que le Parlement doit désigner ou constituer un comité chargé spécialement de l'examen permanent de l'application de la Loi, et que l'examen approfondi des dispositions de la Loi soit entrepris trois ans après la proclamation, le rapport devant être déposé un an après cette date. C'est le Comité permanent de la justice et du solliciteur général qui a été chargé d'effectuer cette étude en 1986 et 1987.

29
Les prochaines étapes, 1987, p. 15, 55.

30
Allocution de l'hon. Allan Rock, ministre de la Justice et Procureur général du Canada à la Dix-huitième conférence internationale sur la protection de la vie privée et des renseignements personnels, Ottawa, 18 septembre 1996.

31
Le Comité permanent de la justice et du solliciteur général proposait dans Une question à deux volets (recommandation 2.1) que la Loi sur la protection des renseignements personnels charge le Conseil du Trésor et le commissaire à la protection de la vie privée de bien expliquer au public la Loi et les principes généraux qui la sous-tendent. Il a également recommandé que les efforts de sensibilisation visent le grand public, d'une part, et les fonctionnaires, d'autre part; c'est au niveau de ces derniers que le Conseil du Trésor peut jouer un rôle prépondérant.

32
Commissaire à la protection de la vie privée du Canada, Rapport annuel 1995-1996, Bureau du commissaire à la protection de la vie privée, Ottawa, 1996, p. 1.

33
David Flaherty, Entrenching a Constitutional Right to Privacy for Canadians: A Background Paper (partie du mémoire du Commissaire à la protection de la vie privée du Canada au Comité mixte spécial sur le renouvellement du Canada, 1991), p. 2.

34
Spiros Simitis, «Reviewing Privacy in an Information Society», University of Pennsylvania Law Review,no 135, mars 1987, p. 107, extrait cité p. 734

;