La technologie s'immisce de plus en plus dans la vie quotidienne des gens. Si nous ne voulons pas être espionnés, scrutés, sondés, testés, nous avons intérêt à prendre la situation en main1.
Au chapitre précédent de ce rapport, nous avons élaboré un plan directeur exposant les principes sur lesquels un solide système de protection de la vie privée pourrait reposer. Sous l'angle de la défense des droits de la personne, nous avons défini une liste de principes de base qui s'articulent autour de responsabilités et de droits fondamentaux. Dans ce chapitre, le dernier de notre rapport, nous allons définir la proposition du Comité relative au cadre obligatoire qui va circonscrire et concrétiser ces principes de base, la charte des droits à la protection de la vie privée. Ayant donné les grandes lignes de ce cadre, nous décrivons les diverses mesures qui permettront de l'enrichir et de le compléter. En même temps, nous allons faire des recommandations sur la répartition des responsabilités, c'est-à-dire à qui confier certaines tâches pour que le travail soit fait et bien fait.
Dans toute cette démarche, nous allons continuer d'envisager notre tâche dans l'optique de la protection de la vie privée. Pour reprendre l'analogie d'Ursula Franklin, notre objectif est de proposer qu'on aborde la réglementation du respect de la vie privée comme s'il s'agissait d'entretenir un jardin, plutôt que de gérer une unité de production. En décrivant la vie dans le contexte d'une société technologique, en septembre dernier, elle opposait un monde où priment la justice et le respect des droits qu'elle représentait comme un jardin, à un monde asservi à la technologie, qu'elle assimilait à une unité de production. Elle expliquait que pour rapprocher ces deux mondes apparemment irréconciliables, il fallait atteindre un équilibre «adéquat»2.
Trouver l'équilibre juste ou adéquat à établir entre le droit des Canadiens à la protection de la vie privée et un ensemble d'autres intérêts, dans un monde de plus en plus complexe et tributaire de la haute technologie, est une démarche dynamique à laquelle tous les Canadiens doivent prendre part. Elle nécessite des débats publics, de la recherche, des efforts d'éducation et de sensibilisation du public, des lois, des règlements, des codes, des technologies qui facilitent la protection de la vie privée, des projets pilotes, et de nombreux autres éléments. Nous devons tous nous donner la main : les législateurs à tous les paliers de gouvernement, les sociétés, les éducateurs, les médias, les commissaires à la vie privée, les concepteurs de nouvelles technologies, les bureaucrates, les défenseurs des droits de la personne, les particuliers, etc. Ainsi, protéger le droit à la vie privée de chacun constitue une responsabilité non seulement individuelle, mais également collective.
Mais que faire pour éviter que cette démarche dynamique et coopérative ne dégénère en chaos? Nous proposons d'abord qu'elle repose sur une charte des droits à la protection de la vie privée : une loi sur les droits de la personne d'application générale qui servirait à orienter les différentes méthodes élaborées pour protéger adéquatement ce droit précieux.
Les membres du groupe ont fermement exprimé l'avis que les lois actuelles en matière de protection de la vie privée, que ce soit au niveau fédéral, provincial ou municipal, sont inefficaces et qu'il vaudrait mieux, au lieu d'essayer de resserrer ces lois, d'adopter une loi générale prévoyant une protection claire en ce qui touche la collecte de renseignements génétiques, la surveillance vidéo et les technologies biométriques. L'objectif devrait être de permettre à chaque personne d'exercer le plus grand contrôle possible sur les renseignements qui la concernent3.Le Comité préfère cette conception plus générale du cadre obligatoire. Nous ne croyons pas que la population canadienne souhaite l'adoption de règles qui assurent la
protection de seulement certains renseignements, de sorte que leurs autres droits relatifs à la protection de la vie privée échappent totalement au contrôle législatif. Par conséquent, le cadre de protection que nous proposons ici englobe l'ensemble des éléments de la vie privée, un peu comme un grand-angle qui nous donnerait une vue panoramique, par opposition au cadre de protection des données que recherchent les ministres de l'Industrie et de la Justice et qui visent exclusivement le droit à la protection des renseignements personnels, comme un objectif de macrophotographie4.
En outre, tout comme nous avons abordé le problème de la protection de la vie privée sous l'angle des droits de la personne, nous avons retenu, comme prototype pour notre cadre de protection obligatoire de la vie privée, un modèle axé sur la défense des droits de la personne. Nous avons exploré la possibilité de recourir au cadre constitutionnel qu'offre la Charte canadienne des droits et libertés, mais nous avons rejeté cette idée, pour des raisons pratiques, en faveur d'un cadre quasi constitutionnel, c'est-à-dire la formule «déclaration de droits».
La Charte canadienne des droits et libertés ne cadrait pas avec nos objectifs, et ce pour deux raisons. D'abord, les modifications constitutionnelles sont difficiles à orchestrer et peu susceptibles d'être adoptées rapidement. Étant donné l'urgence d'une loi adéquate d'application générale, la Charte des droits n'offrait pas une solution réaliste. Deuxièmement, comme la Charte ne vise que les actions des gouvernements, même s'il était possible de faire adopter rapidement une modification constitutionnelle, le seul effet de ce changement serait d'empêcher que les politiques, pratiques et lois adoptées par les gouvernements n'enfreignent ces droits. Les entreprises privées relevant de la compétence fédérale ne seraient donc pas tenues de modifier toute politique ou pratique jugée préjudiciable à ces droits pour les rendre conformes aux dispositions de la Charte des droits. Par conséquent, il ne faut pas se limiter à modifier la Charte.
Il ne faudrait pas interpréter notre proposition comme un refus d'introduire dans la Charte canadienne des droits de la personne une clause visant la protection des droits de la personne, car nous pensons au contraire qu'elle devrait y figurer, à l'instar des membres du Comité permanent de la justice et du solliciteur général, qui avaient, il y a 10 ans, exprimé l'avis qu'au moment de réviser la Charte, il faudrait sérieusement envisager la possibilité d'y inclure un droit constitutionnel à la protection de la vie privée5.
Le cadre que nous proposons, une charte des droits à la protection de la vie privée fondée sur une formule ordinaire de déclaration de droits, a l'avantage de permettre l'implantation de ce nouveau régime par la voie législative habituelle - c'est-à-dire celle que suit toute loi adoptée par le Parlement - qui suppose une procédure d'adoption plus expéditive que pour une modification constitutionnelle. Deuxièmement, en tant que loi fédérale, cette nouvelle mesure viserait les entreprises relevant de la compétence fédérale et présenterait donc un champ d'application plus large que la Charte canadienne des droits et libertés. Enfin et surtout, comme la Déclaration canadienne des droits et d'autres chartes des droits de la personne, cette loi aurait un statut que les tribunaux qualifient de «quasi constitutionnel», et aurait donc préséance sur les lois ordinaires6.
L'objet de la charte canadienne des droits à la protection de la vie privée serait analogue à celui de la charte dont s'est dotée l'Australie : énoncer des principes généraux concernant les droits et les responsabilités en matière de protection de la vie privée au Canada qui serviraient de repère pour évaluer les politiques et pratiques des entreprises et de l'administration fédérale, de même que la déclaration des lois et règlements fédéraux.
Nous espérons que la charte que nous proposons, une fois adoptée, servira de guide aux provinces et territoires. La charte des droits à la protection de la vie privée ne chercherait pas à définir des mesures précises en vue d'assurer le respect de ces droits. Par contre, elle exposerait de façon générale un certain nombre d'exigences afin de garantir que des mécanismes suffisants de protection de la vie privée soient établis par l'entremise d'instruments secondaires, qu'il s'agisse de lois, de règlements, de codes sectoriels, de lignes directrices ou de tout autre mécanisme de réglementation. En conclusion, le Comité estime, d'une part, qu'un cadre législatif d'application générale est nécessaire pour protéger l'ensemble des droits associés à la protection de la vie privée, et d'autre part, que le modèle le plus approprié à retenir pour la formulation de cette loi est une loi «quasi constitutionnelle».
Le Comité recommande que le gouvernement du Canada reconnaisse et assume la responsabilité qui lui incombe de respecter et de protéger les droits des Canadiens à la protection de la vie privée en adoptant une déclaration des droits à la protection de la vie privée, qu'on nommerait Charte canadienne des droits à la protection de la vie privée. Cette charte viserait l'ensemble du secteur relevant de la compétence fédérale, aurait préséance sur les lois fédérales ordinaires et servirait de repère pour évaluer le caractère raisonnable ou non de pratiques constituant une atteinte à la vie privée, de même que le bien-fondé des lois et autres mesures réglementaires.
De plus, le Comité recommande que la Charte canadienne des droits à la protection de la vie privée soit adoptée au plus tard le 1er janvier de l'an 2000.
1. Les principes fondamentaux de la protection de la vie privée
Le premier élément constitutif de la charte serait les principes fondamentaux de protection de la vie privée énoncés au chapitre précédent du présent rapport. Ces principes devraient être examinés et commentés par le public, révisés et raffinés en fonction de cette rétroaction, et ensuite inscrits dans la charte des droits à la protection de la vie privée. L'énonciation de ces principes fondamentaux dans la charte pourrait être précédée d'un préambule qui expliciterait l'importance de la protection de la vie privée en tant que droits de la personne et qui reconnaîtrait la suprématie de la charte, texte quasi constitutionnel, sur les lois ordinaires.
Le Comité recommande que la Charte canadienne des droits à la protection de la vie privée déclare et fixe les droits fondamentaux des Canadiens à la protection de la vie privée, ainsi que les responsabilités qui s'y rattachent. Ces droits et responsabilités engloberaient les éléments suivants sans pour autant s'y limiter :
1. Droits et garanties fondamentaux en matière de protection de la vie privée
Toute exception, autorisant la violation des droits et garanties susmentionnés, ne sera permise que si la justification de cette atteinte aux droits est raisonnable et clairement justifiable, dans le cadre d'une société libre et démocratique.
3. Obligations générales
5. Obligations particulières à la protection des renseignements personnels
Dans le cadre de ses consultations publiques, le Comité a pu déterminer que le respect intégral des valeurs visant la protection de la vie privée suppose au moins trois étapes : la recherche, la sensibilisation et l'éducation, et la consultation du public. La recherche doit se faire à plusieurs niveaux - par exemple, sous des optiques sociologiques, économiques, technologiques et juridiques - et doit être menée par des personnes travaillant dans tous les domaines, de même que par les représentants des milieux gouvernementaux, industriels et universitaires. Elle doit aussi être fondée sur des techniques pratiques et novatrices, le projet pilote de la carte-santé à Rimouski représentant un exemple de ce genre d'approche. L'information publique suppose la sensibilisation des Canadiens à leurs droits à la protection de la vie privée, tandis que l'éducation consiste à apprendre à tout le monde, employés du gouvernement, concepteurs de nouvelles technologies ou utilisateurs, à favoriser et à respecter la vie privée. Comme la recherche, l'éducation doit intervenir à tous les niveaux et auprès d'un maximum de participants. Enfin, en ce qui concerne les mesures qui vont favoriser le respect de la vie privée, les consultations publiques seront critiques à chacune des étapes, qu'il s'agisse de l'élaboration de nouvelles lois ou politiques, de la préparation d'une proposition de comparaison des données, de l'élaboration d'un nouveau produit ou de l'implantation d'un nouveau service.
Le Comité recommande que la Charte canadienne des droits à la protection de la vie privée déclare que, pour que soit garanti au Canada, le respect intégral des droits à la protection de la vie privée, les mesures suivantes sont essentielles :
Au niveau de l'exécution, le Comité est d'accord avec les témoins qui souhaitaient la création de véritables mesures d'incitation et de dissuasion pour récompenser ceux qui respectent la vie privée et punir les autres; les sanctions devraient en particulier être adaptées à la gravité de l'infraction. Le Comité souhaite qu'il existe un ultime recours judiciaire qui pourrait prendre la forme d'un mécanisme ou tribunal indépendant d'arbitrage des plaintes ou de poursuites civiles qui interviendrait quand il est impossible d'adopter des mesures administratives ou non judiciaires. Enfin, dernier élément, mais non le moindre, nous pensons qu'il est grand temps d'expliciter en droit une réalité de fait depuis des années - à savoir que le commissaire à la protection de la vie privée est responsable, pour les instances de compétence fédérale, de la surveillance et de la protection générale du droit des Canadiens au respect à la vie privée. La charte proposée ici nous paraît l'outil approprié.
Le Comité recommande que la Charte canadienne des droits à la protection de la vie privée déclare que, pour garantir le respect par le gouvernement et les entreprises de principes fondamentaux de protection de la vie privée, les mesures suivantes doivent être mises en place :
Le ministère de la Justice examine déjà les projets de loi et les nouvelles pratiques pour s'assurer de leur conformité aux articles 7 et 8 de la Charte canadienne des droits et libertés. Mais comme nous l'avons déjà vu au chapitre 2, ces articles de la Charte des droits et libertés, énoncent certaines attentes en matière de protection de la vie privée mais sans nécessairement expliciter la gamme complète des droits des citoyens à cet égard. En réalité, l'envergure précise de la protection de la vie privée qu'offre la Charte des droits et libertés est déterminée au jour le jour, sans que les Canadiens sachent exactement l'ampleur de leurs droits. Le Comité estime que la charte des droits à la protection de la vie privée comblerait cette lacune en précisant la gamme complète des droits des Canadiens dans ce domaine, de même que les obligations qui s'y rattachent. Elle constituerait par conséquent un point de référence supplémentaire pour l'évaluation des lois et projets de loi fédéraux ainsi que des autres mesures législatives. La charte des droits à la protection de la vie privée devrait devenir partie intégrante du processus d'examen législatif du ministère de la Justice.
Par ailleurs, le ministre de la Justice devrait être tenu d'informer le commissaire à la protection de la vie privée de toute nouvelle mesure législative et réglementaire pouvant constituer une atteinte à la vie privée. À tout moment, le Parlement est saisi d'un nombre considérable de projets de loi et de règlements pouvant potentiellement violer les droits des Canadiens à la protection de la vie privée. À titre d'exemple, au cours de la présente session, le Parlement a été saisi de plus de 50 nouvelles mesures législatives et réglementaires pouvant avoir des répercussions sur le respect de la vie privée. Le commissaire à la protection de la vie privée n'est pas systématiquement informé de tout instrument pouvant potentiellement influer sur le respect de la vie privée, malgré qu'il y a eu des directives du Conseil du Trésor et du ministère de la Justice ordonnant aux ministères fédéraux de transmettre cette information. Le Bureau du commissaire à la protection de la vie privée se voit donc obligé d'effectuer un travail fastidieux et inefficace qui consiste à contrôler toutes les nouvelles mesures législatives et réglementaires fédérales en vue de repérer tout élément pouvant constituer une atteinte à la vie privée. Vu l'important rôle d'ombudsman que joue le commissaire à la protection de la vie privée dans la sphère de compétence fédérale, il est essentiel que son Bureau soit officiellement inclus dans le circuit législatif par l'entremise d'une procédure de notification officielle. Idéalement, le commissaire devrait être consulté à l'étape de l'élaboration des mesures législatives; à tout le moins, il doit l'être une fois le texte de loi déposé au Parlement.
Le Comité recommande que le ministre de la Justice, en consultation avec le commissaire à la protection de la vie privée du Canada, examine les lois et règlements fédéraux actuellement en vigueur, ainsi que les projets de loi et de règlement, pour s'assurer de leur conformité à la Charte canadienne des droits à la protection de la vie privée, et qu'il signale tout manque de conformité au Parlement. Il recommande également que son rapport soit transmis au comité parlementaire compétent, qui sera chargé de l'étudier et de formuler des recommandations.
Le Comité recommande en outre que la Charte canadienne des droits à la protection de la vie privée oblige le ministre de la Justice d'informer le commissaire à la protection de la vie privée du Canada de tous les projets de loi et de règlement déposés au Parlement susceptibles d'influer sur les droits à la protection de la vie privée.
En résumé, le cadre législatif d'application générale que propose le Comité, c'est-à-dire la charte canadienne des droits à la protection de la vie privée, énoncerait les droits et obligations fondamentaux de chacun en matière de protection de la vie privée, fixerait les règles de base pour le respect des droits en question et prévoirait des mesures d'exécution connexes. En outre, il exigerait la mise en place de recours appropriés pour les personnes lésées, confierait au commissaire à la protection de la vie privée le rôle d'ombudsman en ce qui concerne la protection de la vie privée des Canadiens et chargerait le ministre de la Justice de scruter les instruments législatifs pour y déceler d'éventuelles atteintes à la vie privée.
En passant, je fais remarquer à certains de vos membres du Canada atlantique - je viens d'une famille qui est établie au Nouveau-Brunswick depuis cinq générations - qu'en tant que Canadien, je trouve extrêmement préoccupant que certaines provinces de l'Atlantique soient devenues des paradis informationnels. Aucune d'entre elles, à l'exception peut-être de la Nouvelle-Écosse, n'a même les éléments de base d'un régime de protection de la vie privée, pas plus dans le secteur public que dans le secteur privé. Je me permets de vous dire qu'en tant qu'universitaire, je suis particulièrement déçu de la situation dans la province du Nouveau-Brunswick. Cette province fait la promotion de l'autoroute de l'information, mais ne prend aucune mesure pour assurer la protection de la vie privée ni dans le secteur public ni dans le secteur privé7.Compte tenu des écarts qui existent entre les différentes lois de protection de la vie privée au Canada, il ressort que c'est seulement dans une province, le Québec, que les citoyens canadiens bénéficient de la protection intégrale de leurs droits. Dans les autres provinces et territoires, leurs droits ne sont que partiellement protégés ou ne le sont pas du tout. De l'avis du Comité, cette situation est lamentable. Les lois antidiscriminatoires canadiennes ont été harmonisées il y a plus de 20 ans pour garantir aux Canadiens, où qu'ils vivent ou travaillent au Canada un respect uniforme de la dignité et des droits de la personne8. Il n'existe pas au Canada de zones anarchiques où les Canadiens peuvent faire l'objet de racisme, de sexisme et d'autres formes de discrimination sans bénéficier d'une protection juridique appropriée. Le droit à la vie privée est également un droit de la personne qui ne devrait pas varier selon la région du pays. Le Comité exhorte donc le gouvernement fédéral à jouer un rôle de chef de file en favorisant une approche uniforme de la protection de la vie privée sur l'ensemble du territoire. Nous faisons observer que le point de départ ou le cadre de cette harmonisation des protections pourrait être la charte des droits à la protection de la vie privée, laquelle pourrait servir de ligne directrice et de référence d'un bout à l'autre du pays.
Le Comité recommande au gouvernement du Canada d'ouvrir la voie et de faire en sorte que les droits des Canadiens à la protection de la vie privée soient respectés de la même façon partout dans le pays. Le gouvernement du Canada devrait inviter les provinces et les territoires à adopter une approche complémentaire et uniforme en cette matière, dans le respect des dispositions de la Charte canadienne des droits à la protection de la vie privée.
Le gouvernement fédéral est un très gros employeur et traite des quantités massives de renseignements personnels concernant les citoyens canadiens. De plus, différentes branches d'activité, telles que les secteurs bancaire, des télécommunications et des transports, véritables piliers de notre économie, relèvent de sa compétence. Le Comité juge essentiel que le gouvernement fédéral, en qualité d'employeur, de fournisseur de services et programmes publics ainsi que d'organisme de réglementation de l'industrie, donne l'exemple à d'autres secteurs et employeurs en devenant un utilisateur modèle de la charte des droits à la vie privée. En ce qui concerne sa façon de traiter les renseignements personnels, la prochaine section du présent chapitre proposera un nouveau régime de protection des données s'accordant avec les valeurs de la charte proposée. Toutefois, nous ne sommes pas certains que des dispositions législatives fédérales plus rigoureuses en matière de protection des données remédieront à toutes les préoccupations concernant le respect de la vie privée dans les lieux de travail du gouvernement fédéral. Nous demandons donc au gouvernement fédéral de prêcher par l'exemple en prenant des mesures pour appliquer dans ce domaine également les principes de la charte.
Le Comité recommande au gouvernement du Canada, aux organismes fédéraux et à toutes les sociétés d'État de recenser, dans leurs milieux de travail respectifs, les préoccupations concernant la protection de la vie privée, et de prendre les mesures qui s'imposent pour garantir les droits de leurs employés à ce chapitre, conformément à la Charte canadienne des droits à la protection de la vie privée.
Toute action législative touchant la protection des données doit aussi s'étendre au secteur privé sous réglementation fédérale. À maintes reprises, les participants à nos discussions publiques ont affirmé que l'application volontaire des codes de pratique en matière de protection des renseignements personnels ne fonctionnait pas. Comme l'a fait remarquer un participant, «Le profit est un motif très fort, et les compagnies du secteur privé ne protégeront pas la vie privée des citoyens à moins d'y être absolument forcées9.» Qui plus est, ainsi qu'il en a déjà été question dans le rapport, il est urgent d'instaurer une législation de protection des données qui s'étende au secteur privé, de manière à répondre aux exigences de la Directive de l'Union européenne10.
Quant au meilleur modèle législatif à adopter en matière de protection des données, nous avons à l'esprit le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation (dont nous avons parlé au Chapitre 2). Nous aimons le fait que les principes de traitement équitable des données contenus dans ce Code ont été négociés ouvertement par l'industrie, des représentants des consommateurs et le gouvernement, ce qui a abouti à un consensus national sur les normes de protection des données11. Même si nous avons des réserves sur la simple adoption de ces normes dans une réglementation, pour les raisons dont il a été question au Chapitre 212, nous pensons néanmoins que ce Code type est un bon point de départ pour l'élaboration d'une loi sur la protection des données.
Il faudra aussi prendre dûment en compte les modalités adoptées ailleurs. Nous connaissons, par exemple, les mécanismes en place aux Pays-Bas et en Nouvelle-Zélande. Ils sont assez particuliers, notamment dans leur manière de traiter les codes sectoriels. Par exemple, le Privacy Act 199313 applique les principes universels de la protection des renseignements personnels aux secteurs public et privé, contient de solides mesures d'exécution, porte une attention particulière au couplage des données14 et, en plus, traite d'une façon intéressante des codes de pratique. La législation néo-zélandaise exige que tous les organismes publics et privés désignent des préposés à la protection de la vie privée chargés d'encourager le respect des principes énoncés dans la Loi et de coopérer si le commissaire présente des demandes ou mène des enquêtes.
Le Privacy Act de la Nouvelle-Zélande confère de solides pouvoirs d'application à un commissaire à la protection de la vie privée, chargé d'entendre les plaintes, de mener des enquêtes et d'agir comme médiateur-conciliateur dans les différends. Les plaintes peuvent venir de quiconque prétend qu'il y a ou semble y avoir atteinte à la vie privée. Le commissaire jouit de grands pouvoirs d'enquête et, s'il est impossible de procéder par la méthode du règlement des conflits, on peut interjeter appel à un tribunal de révision des plaintes habilité à formuler des solutions exécutoires et à accorder des dommages-intérêts. Fait intéressant, le commissaire peut, à tout moment, réclamer des tribunaux un jugement déclaratoire, que la cause se rattache ou non à son mandat législatif. Le commissaire a également le pouvoir, moyennant le respect de certaines exigences, d'énoncer des codes de pratique qui modifient l'un ou l'autre des principes législatifs sur la protection des renseignements personnels. Ces codes deviennent des règlements et, à ce titre, sont exécutoires en vertu de la loi.
Le Comité recommande au gouvernement du Canada de présenter au Parlement un texte législatif complet, en remplacement de l'actuelle Loi sur la protection des renseignements personnels, désigné sous le titre de Loi fédérale sur la protection des données. Celle-ci devra respecter les dispositions de la Charte canadienne des droits à la protection de la vie privée et s'appliquer à tous les ministères, organismes, sociétés d'État, conseils et commissions du gouvernement fédéral, ainsi qu'à toutes les entreprises et industries assujetties à la réglementation du gouvernement. La Loi devra être promulguée d'ici le 1er janvier de l'an 2000.
La présentation du projet de loi devra être précédée d'une vaste consultation publique et la Loi prévoira un examen public exhaustif cinq ans après la promulgation de la Loi, ainsi qu'à intervalles réguliers par la suite.
Le gouvernement du Canada devrait étudier sérieusement certains modèles, comme le Code type sur la protection des renseignements personnels et la Loi sur la protection de la vie privée dont s'est dotée la Nouvelle-Zélande en 1993, avant d'établir la Loi sur la protection des données. Celle-ci devra reconnaître aux entreprises sous réglementation fédérale le rôle d'élaborer leur propre code en matière de protection de la vie privée.
Il est évident que nous sommes bien engagés dans une ère où la commercialisation de l'information sur les personnes atteint de nouveaux sommets. Comme nous l'a dit le commissaire à protection de la vie privée, Bruce Phillips :
En fait, nous achetons et vendons d'importants aspects de nous-mêmes. Le trafic de renseignements humains a pris une grande ampleur. Le monde des affaires et les services gouvernementaux aimeraient tout savoir de nous en tant qu'individus15.À mesure que nous avançons sur l'autoroute de l'information, la plupart de nos activités quotidiennes laissent une piste électronique que de nombreuses bases de données peuvent emmagasiner. Les entreprises ont vite compris la valeur de ces banques de renseignements et la possibilité de les exploiter, de les manipuler et de les vendre, sans la connaissance ou le consentement des individus. Parallèlement, les autorités gouvernementales cherchent à mettre sur pied des administrations rationalisées, plus économiques et plus efficaces. Par conséquent, nous assistons de plus en plus à des comparaisons et à l'intégration dans ce qui était auparavant des bases de données discrètes. Ce qu'on appelle «entreposage des données» et «comparaison des données» se produit maintenant à l'intérieur des gouvernements et de l'un à l'autre.
Au niveau fédéral, nous avons été étonnés d'apprendre que non seulement les ministères confrontent d'un à l'autre des renseignements personnels («couplage des données»), mais ils vont même jusqu'à établir des concordances entre programmes au sein d'un même ministère. S'agissant de partages intraministériels, nous savons que le ministère du Développement des ressources humaines a mis sur pied avec Revenu Canada un programme de couplage des données qui utilise les dossiers de douanes pour prendre les «tricheurs» de l'assurance-emploi qui quittent le pays tout en continuant de toucher leurs prestations. Fait intéressant lorsque ce ministère a consulté le Commissariat à la protection de la vie privée, on lui a conseillé de ne pas réaliser ce couplage de bases de données. Ce n'est pas tant que le commissaire à la protection de la vie privée n'ait pas approuvé la comparaison des données en elle-même, mais surtout le fait que les gens qui ont donné à Revenu Canada de l'information personnelle en traversant la frontière n'étaient pas au courant, à l'époque où les données ont été recueillies, qu'elles serviraient à des fins autres que celles pour lesquelles elles avaient été données au départ. C'est cette violation d'un principe fondamental de la protection de la vie privée - le droit de donner un consentement éclairé - qui préoccupait le commissaire. Le ministère a procédé au couplage malgré l'avis du commissaire. Il a préféré s'appuyer sur l'avis du ministère de la Justice, selon lequel ce programme était conforme aussi bien à la Loi sur la protection des renseignements personnels qu'aux directives et politiques du Conseil du Trésor sur les comparaisons de données.
Même si nous savons qu'il y va de l'intérêt des Canadiens de réduire le fardeau que représentent sur les fonds publics les fraudes d'assurance-emploi, nous pensons que les gens doivent connaître d'avance - et non rétroactivement - l'utilisation que les fonctionnaires peuvent faire de leurs renseignements personnels. Qui plus est, nous nous inquiétons de façon générale des déductions négatives que, trop souvent, ce genre de comparaisons risquent d'entraîner. Comme l'a déjà déclaré le commissaire fédéral à la protection de la vie privée, Bruce Phillips :
La comparaison informatisée des données transforme la traditionnelle présomption d'innocence en une présomption de culpabilité : en procédant à la comparaison, même en l'absence de toute indication de méfait, on se trouve à soumettre les individus à des fouilles et saisies de haute technologie. L'acceptation du principe de la comparaison ouvre la porte à une force sociale d'une magnitude envahissante et implacable16.De toute évidence, l'actuelle Loi sur la protection des renseignements personnels ne prévoit guère de contrôles précis sur les couplages de données. En fait, si l'on examine les articles 7 et 8, il n'est pas difficile de voir comment des ministères comme celui du Développement des ressources humaines peuvent trouver le moyen de pratiquer légalement la comparaison de données. Le ministère du Développement des ressources humaines a aussi été blâmé pour son «laisser-faire» devant la manipulation de renseignements personnels sensibles et le manque de mesures de sécurité dans ses bureaux d'emploi17. Nous ne pouvons que nous demander dans quelle mesure sont protégés les innombrables renseignements personnels (ceux du Programme de la sécurité du revenu, du Régime de pensions du Canada, du programme de l'emploi, du Programme de prêts aux étudiants que possède cette seule institution fédérale. Il est certain que des couplages croisés se font entre ces programmes ministériels18.
Où sont les «coupe-feu» et les cloisons protectrices contre les couplages intra et interministériels inutiles? Où sont les normes sur les pratiques acceptables? La Loi sur la protection des renseignements personnels semble trouée comme une passoire, et tout ce qu'il y a entre les banques de données dans une institution donnée, c'est l'assurance donnée par les bureaucrates et leur bonne volonté. Pour citer l'analogie de Simon Davies19, l'absence de garanties efficaces ici équivaut à l'imposition d'un mandat de perquisition général applicable à tous les renseignements personnels qui sont aux mains du gouvernement fédéral. Cette pratique doit s'arrêter. La comparaison des données dans le secteur public fédéral doit être justifiée et, lorsqu'elle l'est, il faut adhérer rigoureusement aux principes des pratiques équitables de traitement de l'information, qu'énoncerait une charte sur la protection des renseignements personnels.
Le Comité recommande que la Loi fédérale sur la protection des données contienne les éléments suivants :
Le Comité recommande que, pour garantir le respect de la Loi sur la protection des données, le secrétariat du Conseil du Trésor, l'un des organes centraux du gouvernement :
Le Comité recommande que la Loi sur la protection des données établisse les circonstances dans lesquelles le partage des renseignements entre les gouvernements fédéral et provinciaux est acceptable.
Le gouvernement du Canada doit aviser les provinces que, dès l'adoption de la Loi sur la protection des données, il ne leur communiquera de renseignements personnels que si elles se sont munies d'un mécanisme approprié de protection.
RECOMMANDATION 12
Le Comité recommande que la Loi sur la protection des données s'applique
Il va sans dire qu'une loi de protection des données soigneusement élaborée sera d'autant plus forte que ses mécanismes d'application seront efficaces. Comme nous l'expliquerons plus bas, nous ne voyons pas la nécessité de réinventer la roue à cet égard. Selon la future charte sur la protection de la vie privée, le commissaire à la protection de la vie privée du Canada exercerait un droit de regard général sur la protection des droits à la vie privée dans tous les domaines de juridiction fédérale. Cela ne signifie toutefois pas que c'est à lui seul qu'il incomberait de faire respecter la future Loi sur la protection des données. Il y a d'autres acteurs qui doivent veiller activement à ce que la protection des données ne soit pas uniquement un voeu pieux, mais une réalité.
À cette fin, selon nous, aux termes de la future Loi sur la protection des données, le Secrétariat du Conseil du Trésor, en tant qu'organisme central du gouvernement, devrait avoir pour mandat de collaborer avec toutes les institutions du gouvernement fédéral et de surveiller la façon dont elles appliquent la loi. Le commissaire à la protection de la vie privée devrait pour sa part collaborer avec le Parlement, ainsi qu'avec tous les organismes, commissions, offices et autres institutions du gouvernement fédéral. Il assumerait aussi la responsabilité ultime de l'application de la future Loi sur la protection des données dans l'ensemble du champ de compétence fédérale.
Le Comité recommande que:
Nous sommes conscients qu'il ne ressort pas à la compétence du gouvernement fédéral de réglementer toutes ces technologies. À notre avis, cela ne doit pas le dispenser d'exercer son leadership et de faire preuve de prévoyance, en trouvant des moyens pour protéger le droit fondamental à la vie privée, étant donné que les diverses administrations publiques du Canada et le secteur privé sont encore obligés de se débrouiller tant bien que mal avec les problèmes causés par la surveillance des personnes, les contrôles biologiques et les méthodes d'identification personnelle.
Nous pensons néanmoins, il est important de le noter, que les technologies peuvent servir le bien commun. La question n'est pas seulement de faire bon usage des technologies génétiques et biométriques, ainsi que des techniques vidéo, il faut aussi activement encourager la création de techniques qui donnent aux gens plus de possibilités tout en préservant leur vie privée.
Les techniques classiques de biométrie, comme la numérisation des empreintes digitales, permettant d'accéder à des bases de données, soulèvent de sérieux problèmes de protection de la vie privée en raison du lien direct entre la personne et son numéro. Ces techniques peuvent permettre d'établir des rapports plus définitifs et moins contestables que le NAS. Elles risquent aussi de donner lieu à des comparaisons de données, en particulier pour la prestation de services gouvernementaux.
Le Comité est d'avis que l'introduction de systèmes d'identification biométrique ouvrant l'accès à divers services soulève de très graves questions en matière de protection des renseignements personnels, auxquelles il y a lieu d'y trouver dès maintenant des réponses. Il faut par exemple prendre soin de bien réglementer ces techniques, qui ne devraient être adoptées qu'à des fins précises. Il devrait en outre être interdit de les utiliser à d'autres fins.
Nous avons eu le plaisir de nous entretenir avec le commissaire à la protection de la vie privée du Québec, M. Paul-André Comeau, au sujet d'une étude sur les microcircuits ou cartes à puce effectuée dans la région de Rimouski. Ces cartes sont utilisées pour stocker divers types de renseignements sur la santé : renseignements à caractère administratif, recours à l'urgence, vaccinations, fiches et renseignements médicaux21. M. Comeau nous a convaincus qu'il fallait se montrer prudents et faire des expériences pilotes avant d'utiliser de telles cartes à grande échelle dans un secteur relevant du gouvernement fédéral.
Nos décideurs peuvent faire des choix. À titre d'exemple, plutôt que de stocker des données sur des cartes à puce, on peut n'inscrire sur celles-ci que la clé qui permet à une personne, et à elle seule, de consulter d'autres banques de données. Il faut également se demander s'il y a lieu de créer des liaisons multiples ouvrant l'accès à d'autres personnes en certaines circonstances.
Le Comité recommande que la Loi sur la protection des données réglemente l'élaboration, la mise à l'essai préalable (projets pilotes compris), l'établissement et la mise en application des nouvelles technologies susceptibles d'enfreindre la vie privée. Ces nouvelles technologies comprennent l'identification biométrique et les cartes à puce, mais ne s'y limitent pas.
Le Comité est d'accord avec le point de vue clair qui s'est dégagé de nos consultations, à savoir qu'un cadre général régissant les droits de la personne doit guider toutes les décisions concernant le génome humain. Nous croyons également que le Canada a besoin de mesures de protection particulières et distinctes pour réglementer la collecte, l'utilisation et la propriété de l'information génétique, en raison de son caractère personnel et très privé, ainsi que des risques d'intrusion dans la vie privée. Des mesures législatives de protection de la vie privée sont indispensables, mais ne suffisent pas nécessairement à cause du pouvoir que l'information génétique peut conférer au détenteur de l'information et du rapport de force inégal entre le particulier et les intérêts commerciaux, par exemple les compagnies d'assurances, qui peuvent exiger des tests génétiques. Le Comité estime que les compagnies d'assurances doivent établir un équilibre entre l'information dont elles ont vraiment besoin et une certaine équité fondamentale dans une société qui ne permet pas que les citoyens soient victimes de discrimination en raison du risque d'être atteints d'une maladie22. Des lois sur les droits de la personne sont également nécessaires pour protéger les particuliers de la discrimination dont ils pourraient faire l'objet en raison de leur patrimoine génétique. Nous devons adopter une approche globale qui fasse intervenir la protection de la vie privée, les droits de la personne, ainsi que des mesures précises interdisant le dépistage génétique à moins de circonstances particulières et bien comprises. Le Comité tend à partager le point de vue de Margaret Sommerville; selon elle, on devrait partir du principe que le dépistage génétique doit être évité à moins que des conditions et des circonstances très précises ne l'exigent23.
D'autres pays sont aux prises avec le même problème. Les pays membres de l'UNESCO examineront un projet de déclaration sur le génome humain. Nous savons que le Congrès américain et les autorités législatives de nombreux États examinent actuellement des projets de loi portant sur diverses mesures de protection, dont la protection de l'information génétique. Les personnes atteintes de maladies héréditaires sont également protégées par l'Americans with Disabilities Act. De plus, des lois-cadres sont proposées aux États-Unis pour, par exemple, tenir responsables les compagnies qui font des tests génétiques, ainsi que leur personnel, à moins qu'ils n'aient obtenu l'assurance qu'un test génétique a été pratiqué volontairement. Plusieurs pays d'Europe ont adopté des lois interdisant l'utilisation de l'information génétique à des fins d'assurances.
Un comité consultatif sur le dépistage génétique a été créé au Royaume-Uni. On pourrait s'inspirer de cette approche et créer un comité fédéral-provincial-territorial qui examinerait la question du contrôle de la qualité et du caractère raisonnable de tests génétiques particuliers dans les secteurs des assurances et de l'emploi. Des commissions des droits de la personne pourraient convenir. Il y a une distinction importante, cependant, parce que les commissions des droits de la personne interviennent a posteriori tandis que tout organisme habilité à s'occuper de dépistage génétique doit adopter une approche plus préventive et pouvoir interdire des tests précis.
La question fondamentale qu'il faut examiner, c'est le besoin de traiter les informations à caractère génétique différemment que celles portant sur la santé en général. Il faudra se pencher sur cette question dans un proche avenir, car il deviendra de plus en plus difficile de faire la distinction entre les données sur la santé et les données génétiques. On ne peut traiter l'information génétique de la même manière que l'information sur la santé parce qu'elle diffère sur les plans qualitatif et quantitatif.
Le Comité recommande que le gouvernement prenne des mesures immédiates pour remédier aux infractions à la vie privée et aux traitements discriminatoires pouvant résulter des tests génétiques, notamment :
Les progrès technologiques dans le domaine de la vidéo permettent une intrusion encore plus grande dans la vie privée. Ainsi, les techniques informatisées de reconnaissance faciale, qui en sont à leurs premiers balbutiements, permettent d'introduire par balayage dans un ordinateur des images vidéo correspondant à certains visages et chaque fois qu'une caméra vidéo capte ces mêmes visages, il est possible de suivre les déplacements des individus.
Nous savons que la plupart des systèmes de surveillance vidéo sont utilisés dans des propriétés privées et ne sont pas, par conséquent, du ressort de la loi fédérale. Par contre, la portée de leur utilisation dépasse les considérations relatives aux questions de sécurité nationale et aux organismes d'application de la loi. Parce qu'ils sont bon marché et faciles à installer, des employeurs, des intérêts commerciaux et des fournisseurs de services y ont recours. Malgré tout, nous jugeons important que le gouvernement intervienne rapidement pour modifier le Code criminel afin de prévoir un mécanisme d'application et des amendes pour freiner les abus dans la mesure du possible. Les motifs invoqués pour l'émission de mandats en vertu du Code criminel doivent être resserrés, de façon que l'exercice d'une surveillance intrusive de la part des policiers ne puisse être autorisé que si la sécurité nationale est gravement menacée ou s'il y a danger imminent pour la vie ou l'intégrité physique de quelqu'un. Par ailleurs, les dispositions du Code portant sur l'interception de communications privées doivent être élargies de façon à englober la surveillance vidéo clandestine.
Le Comité recommande que le gouvernement du Canada modifie le Code criminel pour que celui-ci, dans toute la mesure du possible, étende à la surveillance vidéo les dispositions concernant l'interception des communications privées.
Ces technologies peuvent, par exemple, permettre à quelqu'un de contrôler l'information recueillie grâce à l'utilisation d'un codage pour en protéger la confidentialité. En ce qui concerne les systèmes d'identification biométrique, par exemple, les empreintes digitales sont uniques, mais il n'est pas nécessaire de conserver une copie réelle ou une empreinte digitale pour créer le code d'accès. La technologie de codage permet de convertir des empreintes digitales en un code algorithmique n'ayant absolument aucun rapport avec les empreintes elles-mêmes. Les technologies de protection de la vie privée peuvent rendre anonymes des renseignements personnels. Elles peuvent donc améliorer la protection de la vie privée des personnes sans limiter l'accès à l'information25. La technologie permet aussi de coder des données sur une carte à puce, de façon que les empreintes digitales deviennent le code d'accès à l'information emmagasinée sur la carte.
En plus de protéger la vie privée des personnes, le système permet en même temps de réduire la fraude26. Le problème est de faire en sorte que l'entreprise privée utilise les technologies de protection de la vie privée, et la meilleure façon de procéder à cet égard consiste sans doute à adopter une loi. De cette façon, il sera plus facile de remédier à l'utilisation abusive des renseignements personnels gardés en mémoire. Par exemple, les dispositifs de dépistage peuvent faciliter le repérage des personnes qui ont eu accès à des renseignements. Le Canada n'a cependant qu'une influence limitée sur la mise au point de technologies de protection de la vie privée, étant donné que l'essentiel de ces technologies sont de fabrication étrangère et sont importées au Canada à partir de nombreux pays différents.
Une énorme tâche de sensibilisation nous attend en ce qui a trait aux technologies de protection de la vie privée. Non seulement le public a besoin de savoir en quoi elles consistent et comment elles peuvent contribuer à la protection de la vie privée, mais les entreprises ainsi que les initiateurs et les promoteurs des technologies en question doivent aussi bien saisir le potentiel, social et économique, de ces découvertes. Les uns et les autres peuvent y trouver leur compte, et les technologies de protection de la vie privée peuvent satisfaire aux besoins des trois parties.
Le Comité recommande que le gouvernement du Canada, et en particulier Industrie Canada, encourage les technologies qui favorisent le respect de la vie privée, de la façon suivante :
La capacité d'exercer des choix passe nécessairement par l'éducation. La population doit savoir qu'il n'est pas obligatoire, dans bien des cas, de donner son numéro d'assurance sociale. Il n'est pas obligatoire non plus de fournir des renseignements personnels sur les fiches de garantie. Il est possible de refuser que des entreprises se partagent des renseignements personnels en cochant une case prévue à cette fin.Souvent, l'éducation constitue le meilleur instrument pour restreindre la diffusion des renseignements personnels et empêcher les usages secondaires - un problème important qui a été soulevé durant nos consultations.Les entreprises doivent savoir qu'elles ont intérêt à respecter les désirs de leur clientèle au chapitre de l'information. Voilà pour elles une situation qu'elles pourraient exploiter à leur avantage27.
L'éducation est peut-être l'un des volets les plus négligés du dossier de la protection de la vie privée. Le gouvernement fédéral et les commissions provinciales chargées de la protection de la vie privée ont très peu de ressources. Le commissaire à la protection de la vie privée ne dispose d'aucun budget à cette fin. Le Comité conclut qu'il est nécessaire de préciser davantage les obligations dans ce domaine.
Le Comité recommande que le gouvernement du Canada applique régulièrement des programmes visant à bien renseigner le public sur les nouvelles technologies et sur les incidences qu'elles peuvent excercer sur la vie privée, afin que chacun puisse prendre des décisions éclairées quant à sa vie personnelle et quant à l'orientation des politiques futures du gouvernement.
Le Comité recommande en outre que le gouvernement entreprenne des consultations publiques pour étudier les mesures à caractère législatif ou non devant être prises pour garantir le respect des droits à la protection de la vie privée, à mesure que les technologies apparaissent ou sont perfectionnées.
Le Comité recommande en outre que le gouvernement du Canada encourage, par un dialogue soutenu, les provinces à adopter une approche commune pour le traitement de ces technologies (notamment les tests génétiques).
Outre la portée de la loi, son application et ses mécanismes d'exécution sont également limités. Malgré les recommandations du Comité permanent de la justice et du solliciteur général de la Chambre des communes dans son rapport intitulé Une question à deux volets28 (mars 1987) et malgré les dispositions adoptées par le gouvernement fédéral à la lumière de ses propositions (Les prochaines étapes - Accès et renseignements personnels, octobre 1987), les limites demeurent.
Dans Une question à deux volets, le Comité permanent avait notamment recommandé les points suivants : modification de la Loi sur la protection des renseignements personnels afin d'y inclure un volet visant la sensibilisation du public; extension de la Loi à tous les établissements gouvernementaux, sociétés d'État et à toutes leurs filiales détenues en propriété exclusive, ainsi qu'aux entreprises privées réglementées par le gouvernement fédéral; autorisation accordée au commissaire à la protection de la vie privée d'émettre des ordonnances exécutoires et application de recours civils et de sanctions pénales en cas de violation; modification de la Loi pour l'appliquer explicitement à la surveillance électronique, aux tests de dépistage des drogues et au recours au détecteur de mensonges; enfin, pouvoir de contrôle accordé au commissaire dans ces secteurs. Le gouvernement fédéral de l'époque n'avait entrepris de donner suite qu'à deux de ces recommandations, celles relatives à la sensibilisation du public et à l'extension de la portée de la Loi aux sociétés d'État29. Aucune des mesures prévues n'a encore été adoptée.
En ce qui concerne les autres recommandations, le gouvernement de l'époque considérait injustifié d'ajouter des sanctions supplémentaires à la Loi sur la protection des renseignements personnels étant donné qu'elle prévoyait déjà suffisamment de recours administratifs. En outre, il jugeait inutile d'amender la Loi pour qu'elle englobe les tests de dépistage de drogues, la surveillance électronique et l'usage du détecteur de mensonges, étant donné que ces questions n'avaient rien à voir avec la protection des renseignements personnels. Il s'engageait par contre à surveiller l'évolution de la situation à cet égard.
Enfin, l'une des principales recommandations, celle visant l'extension de la portée de la Loi aux entreprises privées soumises à la réglementation du gouvernement fédéral, a été rejetée. Mais depuis 1987, des pressions internationales et commerciales, notamment celle émanant de l'Union européenne par l'intermédiaire de la directive émise en ce sens, se sont exercées et Allan Rock, actuel ministre de la Justice, a annoncé l'intention du gouvernement de mettre en place, d'ici l'an 2000, une législation fédérale, exécutoire et efficace, visant la protection de la vie privée, qui s'étendrait au secteur privé30.
Il est clair que la protection de la vie privée, dans son sens le plus large, constitue une valeur fondamentale largement acceptée au Canada et qu'elle mérite, à ce titre, d'être bien protégée par l'appareil législatif. Les principes que nous proposons ici ne doivent pas sous-tendre uniquement toute loi fédérale relative à la protection de la vie privée, mais également le mécanisme, solide et indépendant, qui sera mis en place pour garantir le contrôle de l'application des lois. Dans une certaine mesure, le commissaire à la protection de la vie privée exerce déjà ce rôle, mais nous ne considérons pas que le potentiel de ce dernier soit pleinement exploité. Il faut étendre et renforcer le mandat de son Bureau. C'est pourquoi nous proposons que l'actuelle loi sur la protection des renseignements personnels soit remplacée par une loi concernant le Commissariat à la protection de la vie privée.
Le Commissariat à la protection de la vie privée doit disposer du pouvoir nécessaire pour traiter toutes les questions relatives à la protection de la vie privée, à la fois au sein de la fonction publique et dans le secteur privé, et de tous les mécanismes d'application qui s'imposent pour lui permettre d'exercer ses fonctions de contrôle. Nous proposons au gouvernement d'envisager la possibilité de donner au commissaire le pouvoir de traiter les allégations d'infractions par le recours à des enquêtes et à un processus de résolution qui comporterait des mécanismes d'examen sous la forme d'un tribunal administratif, ainsi qu'un recours en révision judiciaire.
Il est toutefois impossible de traiter tous les problèmes de violation des droits à la vie privée au cas par cas. Il faut parfois adopter une approche plus globale et plus préventive. Nous pensons ainsi qu'il incombe au commissaire d'évaluer, afin de déterminer les risques, les incidences possibles sur la vie privée des nouvelles technologies, avant l'élaboration de ces dernières, ce qui, bien évidemment, permettrait de réaliser des économies. Nous pensons en outre que le commissaire devrait pouvoir mener ses enquêtes, par le recours à un processus de vérification.
Certes, il est nécessaire dans certains cas d'assurer le respect de la loi en instruisant les plaintes et en prenant des mesures exécutoires, mais ces mesures sont rarement efficaces lorsqu'il s'agit des droits de la personne. C'est par la persuasion et la sensibilisation que nous pouvons le mieux atteindre nos objectifs, position clairement adoptée par Bruce Phillips, commissaire à la protection de la vie privée. Nous n'avons nullement l'intention de minimiser l'intérêt de ces outils, car ils sont encore d'une importance capitale. Comme l'indiquait le rapport intitulé Une question à deux volets31, le commissaire à la protection de la vie privée doit se voir confier le mandat de sensibiliser le public, ce mandat devant être explicitement établi par la nouvelle loi.
Le commissaire aura besoin de ressources pour mener à bien ses nouvelles fonctions et honorer ses responsabilités supplémentaires aux termes de la nouvelle loi relative au Commissariat à la protection de la vie privée. Il faudra lui attribuer des ressources et des fonds suffisants. Cela n'aurait aucun sens d'attribuer au Commissariat de nouveaux pouvoirs et responsabilités sans lui fournir les ressources financières et humaines nécessaires, car celles dont il dispose pour l'instant sont juste suffisantes pour mener à bien son mandat actuel.
Enfin, l'introduction d'une nouvelle loi ne peut se faire qu'après un vaste processus de consultation publique. Les témoins entendus dans tout le pays nous ont très clairement demandé de ne pas négliger l'apport et la collaboration du public. Même s'il est urgent de se doter d'un mécanisme complet de protection de la vie privée, cette urgence ne doit pas servir de prétexte pour en faire fi. En outre, il sera vital de maintenir le dialogue avec les citoyens, même après adoption de la nouvelle loi. C'est pourquoi nous serions favorables à l'inclusion d'un mécanisme d'examen public régulier dans la loi proposée.
Le Comité recommande au gouvernement du Canada de remplacer l'actuelle Loi sur la protection des renseignements personnels par une nouvelle loi intitulée Loi relative au Commissariat à la protection de la vie privée du Canada, qui étendrait et renforcerait le mandat du commissaire en matière de protection de tous les aspects de la vie privée au gouvernement fédéral. Sans y être limitée, la Loi contiendrait des dispositions qui conférerait au commissaire les responsabilités suivantes :
La Loi devra contenir des mécanismes de recours (tribunal administratif et examen judiciaire).
RECOMMANDATION 20
Le Comité recommande que l'adoption de la Loi relative au Commissariat à la protection de la vie privée s'effectue dans le respect des éléments suivants :
Le Comité recommande au Parlement de fournir au Commissariat à la protection de la vie privée les ressources nécessaires pour mener à bien son mandat.
Il est temps que les pouvoirs publics s'assurent avec une plus grande vigilance que «technologie» et «progrès» ne deviennent pas des notions contradictoires et que les progrès de la technologie et les valeurs sociales évoluent de manière synchrone. Les techniques de pointe et leurs répercussions sur la protection de la vie privée sont le parfait exemple d'un secteur où ce travail de synchronisation doit commencer immédiatement.
David Flaherty écrivait un jour que la protection de la vie privée a ceci de commun avec la liberté qu'on n'en réalise l'importance que lorsqu'on l'a perdue.33 Plus la protection de notre vie privée s'effrite, plus la surveillance électronique envahit toutes les facettes de notre vie quotidienne et plus nous chérissons notre vie privée et plus nous nous rendons compte que c'est bien là un droit humain fondamental. Malheureusement, plus nous laissons perpétrer des atteintes à notre vie privée, plus nous prenons conscience de la vérité dans les admonestations de Bruce Phillips lorsqu'il nous dit que la protection de la vie privée n'est pas une ressource renouvelable et qu'elle est irrécupérable une fois perdue.
Nous espérons que nous aurons réussi dans le présent rapport à faire valoir l'urgence et l'importance d'élaborer des mécanismes propres à préserver le droit à la protection de la vie privée au Canada. Nous y proposons une stratégie utile et des règles de base réalistes pour stopper la vrille dans laquelle est entraîné le droit à la protection de la vie privée.
En dernière analyse, il s'agit de considérer le droit à la protection de la vie privée comme un droit humain. Pour cela, nous devons nous reporter à l'histoire récente et nous rappeler pourquoi le droit à la protection de la vie privée est inscrit dans la Déclaration universelle des droits de l'homme et dans les textes sur les droits de la personne adoptés ultérieurement, faute de quoi nous risquons de nous laisser convaincre par ceux qui voudraient nous faire croire que la protection de la vie privée est assimilable à une question de droit des consommateurs qui peut être réglée par l'adoption de simples codes de conduite et l'emploi de quelques techniques modernes d'amélioration de la confidentialité.
L'enjeu est de taille. Si nous perdons de vue les rapports de cette question avec les droits de la personne et si nous n'intervenons pas, sur le plan des droits, pour protéger notre vie privée, nous nous retrouverons sur une mauvaise pente qui risque de compromettre d'autres droits fondamentaux comme la liberté d'association et la liberté d'expression. En effet, comme un professeur de droit allemand, Spiros Simitis, le faisait remarquer à des étudiants en droit américains il y a plus de 10 ans, «les considérations relatives à la protection de la vie privée font intervenir plus d'un droit : elles déterminent le choix entre une société démocratique et une société autoritaire34».
Si nous laissons les technologies et les considérations de commodité et d'efficacité nous dicter les bornes du droit à la protection de la vie privée au Canada, nous vivrons dans un pays très ordonné, certes, mais nous perdrons du coup un élément fondamental de toute démocratie, à savoir l'autonomie et la dignité de la personne, et «le dictateur» aura gagné.
2
Ursula Franklin, Des temps orageux.
3
Témoignages, 36:18
4
Gouvernement du Canada, La société canadienne à l'êre de l'information Pour entrer de plain-pied dans le XXIe
siècle, Approvisionnements et Services Canada, 1996, p. 28 : «Afin d'encourager les entreprises et les
consommateurs à avoir confiance dans l'autoroute de l'information, les ministres de l'Industrie et de la Justice
après avoir consulté les provinces et les autres intervenants, proposeront une loi-cadre régissant la protection
des renseignements personnels dans le secteur privé. (Réponse du gouvernement fédéral au rapport final du
Comité consultatif sur l'autoroute de l'information intitulé Contact, communauté, contenu : le défi de l'autoroute
de l'information, publié en septembre 1995).
5
Chambre des communes, Comité permanent de la justice et du solliciteur général, premier rapport, Une
question à deux volets : Comment améliorer l'information tout en renforçant les mesures de protection des
renseignements personnels, 2e session, 33e législature, mars 1987, p. 91.
6
Dans Hogan c. La Reine, [1975] 2 R.C.S. 574 à 579, le juge Laskin dit ceci : «La déclaration canadienne des droits
est un moyen terme entre un régime de common law pur et un régime constitutionnel; on peut donc la qualifier
d'instrument quasi constitutionnel.»
7
Témoignages, 21:14-15
8
W.S. Tarnopolsky, «Discrimination and the Law in Canada», UNB Law Journal / Revue de droit de l'UNB, vol. 41,
1992, p. 215 à 228 : «En 1975, chaque province du Canada avait déjà mis sur pied une Commission des droits de
la personne pour administrer la législation sur la non-discrimination, et en 1997, la Loi canadienne sur les droits
de la personne créait une commission fédérale. À quelques variations près, les lois sont semblables, sauf que
celles de la Saskatchewan et du Québec prévoient des protections additionnelles.»
9
Témoignages, 34:27
10
La Directive sur la protection des données de l'Union européenne exige que tous les pays membres adoptent ou
adaptent des lois nationales de protection des données en conformité avec ses dipositions. Plus
particulièrement, l'article 25 interdit aux pays membres (et aux entreprises établies à l'intérieur de ceux-ci) de
transférer des données personnelles dans des pays non-membres, comme le Canada, qui ne garantissent pas
une protection de ces renseignements.
11
Colin Bennett, Rules of the road and level playing-fields : the politics of data protection in Canada's private sector,
International Review of Administrative Sciences, Vol. 62 (décembre 1996) p. 486.
12
Voir à la p. 32 du texte.
13
L'information qui suit sur la loi néo-zélandaise est tirée de l'ouvrage d'Ian Lawson, Privacy and the Information
Highway: Regulatory Options for Canada, étude préparée pour Industrie Canada, 1995, p. 21-22.
14
L'approbation du commissaire néo-zélandais est nécessaire pour tous les couplages de données autres que
ceux ayant fait l'objet d'une autorisation préalable dans le cadre d'un programme gouvernemental. Le tribunal
chargé d'instruire les plaintes en vertu de la loi peut entendre les appels des décisions du commissaire, lorsque
celui-ci refuse le couplage.
15
Témoignages, 15:12-13
16
Commissaire à la protection de la vie privée du Canada, Rapport annuel 1985-1986.
17
Globe and Mail, le 14 avril 1997.
18
Commissaire à la protection de la vie privée, Rapport annuel 1995-1996.
19
Témoignages, 22:21
20
Témoignages, 24:23
21
Témoignages, 21:11. L'étude sur les cartes à puce a été effectuée par la Régie de l'assurance-maladie du Québec
en collaboration avec des chercheurs de l'Université Laval et des médecins. Elle a porté sur quelque 7 500
personnes dont la majorité avaient plus de 60 ans, étaient des femmes enceintes ou des bébés de moins de 18
mois.
22
Témoignages, 28:35
23
28: 19
24
Témoignages, 27:23-27
25
Témoignages, 29:5
26
29:17-26
27
Témoignages, 21:16-18
28
L'article 75 de la Loi sur la protection des renseignements personnels stipule que le Parlement doit désigner ou
constituer un comité chargé spécialement de l'examen permanent de l'application de la Loi, et que l'examen
approfondi des dispositions de la Loi soit entrepris trois ans après la proclamation, le rapport devant être déposé
un an après cette date. C'est le Comité permanent de la justice et du solliciteur général qui a été chargé
d'effectuer cette étude en 1986 et 1987.
29
Les prochaines étapes, 1987, p. 15, 55.
30
Allocution de l'hon. Allan Rock, ministre de la Justice et Procureur général du Canada à la Dix-huitième
conférence internationale sur la protection de la vie privée et des renseignements personnels, Ottawa,
18 septembre 1996.
31
Le Comité permanent de la justice et du solliciteur général proposait dans Une question à deux volets
(recommandation 2.1) que la Loi sur la protection des renseignements personnels charge le Conseil du Trésor et
le commissaire à la protection de la vie privée de bien expliquer au public la Loi et les principes généraux qui la
sous-tendent. Il a également recommandé que les efforts de sensibilisation visent le grand public, d'une part, et
les fonctionnaires, d'autre part; c'est au niveau de ces derniers que le Conseil du Trésor peut jouer un rôle
prépondérant.
32
Commissaire à la protection de la vie privée du Canada, Rapport annuel 1995-1996, Bureau du
commissaire à la protection de la vie privée, Ottawa, 1996, p. 1.
33
David Flaherty, Entrenching a Constitutional Right to Privacy for Canadians: A Background Paper (partie
du mémoire du Commissaire à la protection de la vie privée du Canada au Comité mixte spécial sur le
renouvellement du Canada, 1991), p. 2.
34
Spiros Simitis, «Reviewing Privacy in an Information Society», University of Pennsylvania Law Review,no 135, mars 1987, p. 107, extrait cité p. 734