Le commissaire à la vie privée réclame du mordant dans les lois

Il a déposé mardi son rapport annuel au Parlement canadien.

Les lois relatives à la protection des renseignements personnels des Canadiens comportent de graves lacunes, dit-il, et il faut les réformer. Ainsi, les individus disposeront de mécanismes de recours rapides et efficaces pour protéger leur droit à la vie privée.

Le commissaire affirme qu'il faut mettre fin à l'autoréglementation dans le monde de la technologie numérique et imposer des règles contraignantes aux entreprises.

À cet égard, il réclame le pouvoir de rendre des ordonnances et d'imposer des amendes aux entreprises qui enfreignent la loi.

« Il est intenable que des organisations comme Facebook puissent rejeter mes conclusions comme étant une simple opinion. »

Daniel Therrien salue l'engagement pris par le gouvernement libéral de Justin Trudeau, dans le discours du Trône, de revoir les règles encadrant le nouvel environnement numérique de manière à ce qu'elles soient équitables pour tous.

Un droit fondamental

Pour véritablement protéger les renseignements personnels des Canadiens, il faut faire du droit à la vie privée un droit de la personne, un droit fondamental, dit le commissaire Therrien. C'est dans ce sens que la réforme législative doit être faite.

« Le droit à la vie privée, c'est le droit de vivre, de se renseigner, par Google ou d'autres moteurs de recherche, par exemple, de communiquer, d'échanger, de socialiser avec d'autres personnes, avec des moyens numériques, sans craindre d'être surveillé continuellement par les compagnies ou, ultimement, par l'État. »

Le commissaire à la vie privée affirme qu'à de trop nombreuses reprises, il a été démontré que les technologies numériques pouvaient porter atteinte au droit à la vie privée, de même qu'aux droits démocratiques.

« Presque tous les Canadiens » victimes de fuites

En vertu d'une loi vieille d'un an, les entreprises doivent maintenant signaler, tant aux citoyens qu'au commissaire à la vie privée, toute fuite de renseignements personnels significative.

Depuis l'entrée en vigueur de cette loi, les rapports reçus par le commissariat à la vie privée touchaient 30 millions de Canadiens. Cela signifie que presque tous les Canadiens ont été l'objet d'une fuite de renseignements personnels dans l'année qui vient de s'écouler, dit Daniel Therrien, qui qualifie ces situations de particulièrement troublantes.

Lorsqu'il enquête sur ces événements, le commissaire dit constater que les pratiques des entreprises sont inadéquates en matière de protection des renseignements personnels. À cet égard, Daniel Therrien rappelle l'enquête qu'il a menée sur Equifax.

Plus de 143 millions de personnes dans le monde, dont 19 000 Canadiens, avaient été touchées par un accès non autorisé aux systèmes de cette agence d'évaluation du crédit.

Enquête sur Desjardins... et d'autres

Dans le cas du vol de données personnelles commis par un employé malveillant de Desjardins, le commissariat à la vie privée et la Commission d'accès à l'information du Québec mènent une enquête, comme ils l'avaient annoncé en juillet dernier.

Par conséquent, le commissaire Daniel Therrien s'est refusé, mardi, à commenter la fuite survenue chez Desjardins à l'émission Midi info. Il a toutefois rappelé que, depuis deux ans, il y a eu une suite d'événements sur lesquels il a été appelé à enquêter.

Parmi ces enquêtes, M. Therrien a cité celle portant sur Cambridge Analytica. Cette firme de stratégie politique britannique avait accédé aux données de 87 millions d'utilisateurs du réseau social Facebook à leur insu, dont environ 622 000 Canadiens.

Une autre enquête a porté sur AggregateIQ (AIQ). Cette entreprise de la Colombie-Britannique avait collecté les données privées de millions d’utilisateurs, sans leur consentement, à des fins de ciblage politique.

Le cas de Statistique Canada

Le commissaire à la vie privée a dû enquêter, aussi, sur le secteur public après avoir reçu plus d'une centaine de plaintes portant sur deux programmes de Statistique Canada.

L'un de ces programmes visait à colliger des informations sur les transactions financières détaillées de clients de neuf institutions bancaires à l'insu et sans le consentement des personnes visées. L'autre programme portait sur la collecte d'antécédents de crédit.

Les préoccupations à l'égard de ces programmes étaient justifiées considérant l'ampleur de la collecte proposée, le caractère très sensible de ces informations et le fait que ces informations auraient permis de brosser un portrait excessivement précis du mode de vie des personnes, de leurs choix de consommation et de leurs intérêts personnels, affirme Daniel Therrien.

L'enquête du commissaire à la vie privée n'a pas démontré que Statistique Canada avait enfreint les lois actuelles. Des lois qui ne sont pas parfaites, à mon avis, a spécifié Daniel Therrien.

Statistique Canada a reculé

Si Statistique Canada avait entrepris de recueillir des informations bancaires, elle aurait pu enfreindre la loi. Mais l'organisme a finalement accepté de suspendre ce projet, non sans discussion avec le commissaire à la vie privée.

Au début, a expliqué ce dernier en substance, Statistique Canada a défendu son projet en affirmant avoir besoin de ces informations pour produire des statistiques crédibles. L'organisme a finalement accepté de réduire l'ampleur de sa collecte d'informations d'une manière qui lui a permis de recueillir, quand même, des données fiables.

Ils ont accepté de travailler avec nous pour limiter la cueillette de manière à ce qu'elle soit moins intrusive [...], a déclaré le commissaire.

Fait intéressant, en vertu de la loi, Statistique Canada n'avait pas à obtenir le consentement des Canadiens pour mener à bien ces projets. Mais le fait que ce consentement n'avait pas été requis constituait une source de préoccupation majeure, a expliqué M. Therrien.

Au-delà des mots de passe

Le Commissariat à la protection de la vie privée du Canada offre des conseils et de l’information aux personnes sur la façon de protéger leurs renseignements personnels.

Photo : Getty Images / Ignatiev

On ne peut pas demander aux individus de se protéger eux-mêmes en analysant les conditions de service et les différents sites web, fait valoir le commissaire Therrien. La protection de la vie privée appartient aux individus, mais ça appartient surtout au gouvernement.

« Ce ne devrait pas être aux individus d'avoir tout le poids de protéger la sécurité de leurs données en étant prudents, en utilisant les bons mots de passe, etc. Ça dépasse de beaucoup ces questions-là. »

Il faut que les compagnies aient un comportement plus responsable dans le traitement des données que les citoyens ou les consommateurs leur confient, affirme-t-il encore.

C'est le temps pour le gouvernement d'agir, insiste-t-il.

Des amendes salées... ailleurs

Interrogé sur la question de savoir si les recours dont disposent les citoyens ont assez de mordant, le commissaire à la vie privée répond : Pas du tout.

Daniel Therrien rappelle qu'en sol américain, Facebook a dû payer une amende de 5 milliards de dollars pour des lacunes en matière de protection de la vie privée.

Le Règlement général sur la protection des données de l’Union européenne prévoit des amendes allant jusqu'à 29 millions de dollars canadiens ou 4 % du chiffre d'affaires annuel mondial des entreprises, en cas de violation.

Nous, on n'a aucun pouvoir d'amende, déplore le commissaire Therrien, et, de toute évidence, la loi canadienne est en retard. Si elles [les entreprises] peuvent violer la loi en toute impunité, évidemment les droits des Canadiens ne seront pas respectés.