Assurer la protection de la vie privée
À l’heure de l’évolution rapide des progrès technologiques, où les géants des médias sociaux ont accès aux données de millions d’utilisateurs et les atteintes à la protection des données se multiplient, la protection de la vie privée suscite beaucoup de discussions et d’intérêt.
Comment protéger la vie privée? Quels principes les organisations devraient-elles suivre pour protéger les renseignements personnels lorsqu’elles mettent au point de nouveaux services et outils numériques? À partir de quel moment la protection de la vie privée devrait-elle être prise en compte dans le cycle de vie d’un service ou d’un produit?
Le cadre de travail appelé « protection de la vie privée dès la conception » est largement reconnu comme moyen efficace de garantir la protection de la vie privée des personnes. La présente Note de la Colline examine l’origine et l’objectif de ce cadre et la façon dont il a acquis une reconnaissance à l’échelle nationale et internationale.
Historique et principes fondamentaux
La protection de la vie privée dès la conception suppose que la conformité aux cadres de réglementation ne suffit pas à elle seule à garantir l’avenir de la protection de la vie privée et que l’assurance de cette protection devrait plutôt devenir le mode de fonctionnement par défaut d’une organisation. C’est l’ancienne commissaire à l’information et à la protection de la vie privée de l’Ontario, Ann Cavoukian, qui a élaboré ce cadre de travail au cours des années 1990. Dans un document portant sur la protection de la vie privée dès la conception [en anglais], Mme Cavoukian a expliqué le concept ainsi :
La protection de la vie privée doit être intégrée par défaut aux systèmes et aux technologies de données en réseau. Elle doit désormais faire partie intégrante des priorités d’une organisation, des objectifs liés aux projets, des processus de conception et des opérations de planification. Elle doit être intégrée à toutes les normes, à tous les protocoles et à tous les processus qui influencent notre vie [italique dans le texte] [traduction].
Le tableau suivant contient la description des sept principes fondamentaux de la protection de la vie privée dès la conception, tels que formulés par Mme Cavoukian.
Tableau 1 – Les sept principes fondamentaux de la protection de la vie privée dès la conception
| Principe 1 – Proactif et non réactif : prévention plutôt que correction |
| Le cadre se caractérise par l’adoption de mesures proactives plutôt que réactives. Il prévoit les risques et prévient les situations portant atteinte à la vie privée avant que celles-ci surviennent. Il n’attend pas que les risques d’entrave à la vie privée se concrétisent et n’offre pas de recours pour régler les infractions à la vie privée après coup : le cadre vise à repérer les risques et à prévenir les préjudices. |
| Principe 2 – Le respect de la vie privée comme paramètre par défaut |
| La protection de la vie privée dès la conception offre la meilleure protection possible de la vie privée en permettant de veiller, comme valeur par défaut, à ce que les données personnelles soient automatiquement protégées dans n’importe quel système informatique ou dans n’importe quelle pratique d’entreprise. Si une personne ne fait rien, sa vie privée reste quand même intacte. Elle n’a aucune mesure à prendre pour protéger sa vie privée : cette protection est déjà intégrée par défaut dans le système. |
| Principe 3 – Intégration du respect de la vie privée au niveau de la conception |
| Les mesures visant le respect de la vie privée sont enchâssées dans la conception et l’architecture des systèmes de TI et des pratiques administratives. Elles ne font pas que s’ajouter après coup. Par conséquent, la protection de la vie privée devient un élément essentiel du fonctionnement du système. Elle est donc inhérente à celui-ci et le fait sans nuire à son fonctionnement. |
| Principe 4 – Pleine fonctionnalité : somme positive au lieu de somme nulle |
| La protection de la vie privée dès la conception vise à tenir compte des intérêts et des objectifs légitimes d’une manière positive qui serait profitable à tous au lieu de reposer sur le modèle désuet à somme nulle (qui consiste à faire un choix entre deux choses), lequel exige des compromis inutiles. Elle permet d’éviter les fausses dichotomies, telles que la protection de la vie privée par opposition à la sécurité, ce qui prouve qu’il est possible d’avoir les deux. |
| Principe 5 – Sécurité de bout en bout : une protection complète pour le cycle de vie |
| La protection de la vie privée dès la conception, qui est intégrée au système avant que les premiers renseignements soient recueillis, s’effectue en toute sécurité pendant tout le cycle de vie des données en question, car il faut, du début à la fin, de solides mesures de sécurité pour protéger les renseignements personnels. Ainsi, toutes les données sont colligées, utilisées, conservées et détruites rapidement et de façon sécuritaire à la fin du processus. La protection de la vie privée dès la conception assure donc une gestion des renseignements de bout en bout tout au long de leur cycle de vie, et ce, en toute sécurité. |
| Principe 6 – Visibilité et transparence : assurer l’ouverture |
| La protection de la vie privée dès la conception vise à assurer à tous les intervenants que, quelles que soient les pratiques administratives ou les technologies employées, la collecte de renseignements se fait dans le respect des promesses et des objectifs énoncés, sous réserve de vérification indépendante. La personne dont les données personnelles sont recueillies sait exactement quelles données sont recueillies et à quelles fins. Toutes les composantes et les activités demeurent transparentes et visibles par les utilisateurs et par les fournisseurs. |
| Principe 7 – Respect de la vie privée de l’utilisateur : maintenir une démarche centrée sur l’utilisateur |
| Par-dessus tout, le principe de la protection de la vie privée dès la conception exige des architectes et des exploitants qu’ils maintiennent l’intérêt de la personne au premier plan, et ce, grâce à d’excellentes mesures par défaut de protection des renseignements personnels, à des avis appropriés et à des options conviviales qui favorisent l’autonomie. L’objectif est d’assurer le respect de la vie privée selon une approche centrée sur l’utilisateur dans un monde de plus en plus branché. |
Source : Tableau préparé par la Bibliothèque du Parlement à partir de données tirées de Ann Cavoukian, Privacy and Big Data Institute, Privacy by Design : The 7 Foundational Principles, Université Ryerson [traduction].
Reconnaissance internationale de la protection de la vie privée dès la conception
La protection de la vie privée dès la conception est devenue une norme internationale en 2010, dans une résolution [en anglais] officielle adoptée à la 32e Conférence internationale des commissaires à la protection des données et de la vie privée. La conférence a depuis été renommée Assemblée mondiale pour la protection de la vie privée [en anglais]. Fondée en 1979, l’Assemblée est une tribune qui permet d’exercer un leadership à l’échelle internationale en matière de protection des données et de la vie privée.
Depuis 2010, les principes qui sous-tendent le concept de protection de la vie privée dès la conception ont été traduits en plusieurs langues et sont utilisés partout dans le monde.
La meilleure illustration du rayonnement mondial de ce concept est peut-être son ajout comme norme internationale au Règlement général sur la protection des données (RGPD) de l’Union européenne. Entré en vigueur en mai 2018, le RGPD est considéré par plusieurs comme une référence en matière de protection des données. L’article 25 du RGPD, intitulé « Protection des données dès la conception et protection des données par défaut », impose des obligations juridiques à cet égard.
La protection de la vie privée dès la conception au Canada
Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale sur la protection de la vie privée qui s’applique à l’utilisation, à la collecte et à la divulgation de renseignements personnels, dans le cadre d’activités commerciales, par les organisations du secteur privé et par les entreprises qui relèvent de la compétence fédérale. Cependant, depuis son adoption en 2000, la LPRPDE n’a fait l’objet d’aucune réforme substantielle. Les seules modifications importantes de la LPRPDE dans les dernières années se trouvent dans la Loi sur la protection des renseignements personnels numériques, adoptée en 2015. Cette loi a apporté quelques modifications à la LPRPDE, dont l’ajout d’un système de déclaration obligatoire des atteintes aux mesures de sécurité.
En 2016, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (le Comité) a publié un rapport intitulé Vers la protection de la vie privée dès la conception : examen de la Loi sur la protection des renseignements personnels et les documents électroniques. Il y recommande notamment de faire de la protection de la vie privée dès la conception un principe central de la LPRPDE et d’y inclure, dans la mesure du possible, les sept principes fondamentaux de ce concept. Le commissaire à la protection de la vie privée du Canada, Daniel Therrien, a également demandé l’inclusion de la protection de la vie privée dès la conception dans les lois canadiennes en matière de protection des renseignements personnels, lors d’une comparution devant le Comité en 2019 ainsi que dans le rapport annuel de 2018‑2019 de son commissariat sur la Loi sur la protection de la vie privée et la LPRPDE, qui était axé sur la réforme des lois en la matière.
En novembre 2020, le projet de loi C-11, Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, a été présenté à la Chambre des communes. Le projet de loi visait bien à réformer la LPRPDE, mais n’y incluait pas explicitement la notion de protection de la vie privée dès la conception. Dans un mémoire sur le projet de loi C-11, le commissaire à la protection de la vie privée du Canada a précisé que « les dispositions […] régissant la responsabilité devraient exiger explicitement des organisations qu’elles appliquent l’approche de protection de la vie privée dès la conception ».
Le projet de loi C-11 est mort au Feuilleton à la dissolution du Parlement, le 15 août 2021. Il reste à voir si la protection de la vie privée dès la conception sera explicitement incluse dans de futures lois fédérales sur la protection des renseignements personnels.
Ressources supplémentaires
Charland, Sabrina, Alexandra Savoie et Ryan van den Berg. Résumé législatif du projet de loi C-11 : Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, publication no 43-2-C11-F, Ottawa, Services d’information, d’éducation et de recherche parlementaires, Bibliothèque du Parlement, 10 décembre 2020.
Auteure : Alexandra Savoie, Bibliothèque du Parlement
Catégories :Information et communications