Protection de la vie privée à la fonction publique fédérale

Les enjeux non-résolus de l’ère numérique

par Chantal Bernier. Publié mai 12, 2015


Introduction

En un jour, le 23 mars 2015, la problématique de la protection de la vie privée dans la fonction publique fédérale était sous les projecteurs à deux égards : l’Ottawa Citizen titrait en première page que les atteintes aux mesures de sécurité des renseignements personnels au gouvernement fédéral atteignaient un niveau record et Radio-Canada et la CBC rendaient publiques de nouvelles révélations d’Edward Snowden qui mettaient en cause la légalité de la collecte de renseignements personnels par le Centre de la sécurité des télécommunications du Canada (CST).

Comme pour toute autre institution, la protection de la vie privée dans la fonction publique fédérale à l’ère numérique se pose comme un défi sans précédent, tant en degré qu’en nature. Même les gestionnaires chevronnés se retrouvent novices devant la convergence de deux phénomènes imposants : une technologie de l’information qui bouleverse tous les modes traditionnels de protection des données et un contexte de sécurité publique qui fait appel comme jamais à la collecte et à l’analyse de renseignements personnels. Le cumul d’une capacité inédite de collecte et d’un intérêt nouveau en ce sens force la remise en question des schèmes acquis de protection et le développement de nouvelles mesures en ce sens.

Au-delà des mesures techniques qui s’imposent aux nouvelles technologies de l’information, la fonction publique fédérale doit actualiser ses politiques de protection de la vie privée pour refléter les défis uniques de ces technologies. À défaut de modifications législatives qui ne semblent susciter aucun appétit, le Secrétariat du Conseil du Trésor (SCT) devient la principale source de normes de protection de la vie privée selon les enjeux de l’ère numérique. J’en proposerai ici les principaux jalons, à partir de mes observations à la direction du Commissariat à la protection de la vie privée du Canada (CPVP) pendant près de six ans. Mon point de départ est la liste des principaux défis qui sont ressortis des enquêtes du CPVP à la fonction publique fédérale et qui découlent de l’avènement du numérique :

  1. La gestion des vulnérabilités des nouvelles technologies de l’information,
  2. La définition de renseignements personnels à l’ère numérique,
  3. Le débat sur l’hébergement des données personnelles sur le nuage,
  4. Les répercussions différentielles d’Internet sur l’équilibre entre transparence publique et vie privée.
  5. Les défis émergents

 

Je les aborderai individuellement pour en cerner les enjeux et proposer des orientations de politiques de protection des renseignements personnels.

La gestion des vulnérabilités des nouvelles technologies de l’information

Les risques à la protection des renseignements personnels qui découlent de l’arrivée des technologies de l’information à la fonction publique fédérale, comme partout ailleurs, peuvent se résumer comme suit : i) elles sont si complexes qu’elles dépassent les connaissances communes des employés et des cadres, ii) elles recueillent les données sur des appareils si petits qu’ils échappent aux meilleurs contrôles et si puissants qu’en un seul coup leur perte compromet la vie privée de milliers de personnes, iii) leur mode d’accès virtuel complique le contrôle de cet accès, et iv) elles créent des dossiers permanents, exacts ou erronés, avec des possibilités de dissémination massive, appropriée ou non.

À travers toutes les atteintes à la vie privée reliées précisément au numérique, j’ai vu ces risques se matérialiser autour de quatre constantes : i) la petite taille et la grande complexité des appareils sont d’autant plus problématiques vu l’insuffisante formation numérique des employés ; ii) les structures de gouvernance sont incomplètes face à la réalité des risques ; iii) la protection face aux indiscrétions est lacunaire, et iv) de nouvelles technologies sont adoptées sans évaluations de risque appropriées.

À titre d’exemple du manque de littératie numérique, un employé a laissé une clé USB non chiffrée sur le bureau d’un collègue, sans protection physique, croyant qu’une clé USB était plus sécuritaire que le courriel. La clé est toujours introuvable. Elle contenait les renseignements médicaux de près de 6 000 personnes. Dans un autre cas, le manque de littératie numérique avait amené une gestionnaire à inscrire dans son agenda électronique le motif d’une rencontre avec un employé (mesures disciplinaires) ne se rendant pas compte que 17 personnes avaient accès à son agenda, et elles connaissaient l’employé.

Ce manque de littératie numérique est relié, entre autres, aux défaillances des structures de gouvernance qui n’assurent pas la formation adéquate des employés avant de leur confier les appareils de technologie de l’information.

Ces structures de gouvernance incomplètes ont été révélées dans des enquêtes du CPVP même en ce qui concerne des ministères pourtant dotés d’excellentes politiques de protection des données personnelles. Simplement, ces politiques n’étaient pas accompagnées d’un mécanisme efficace de mise en œuvre. Par exemple, des appareils amovibles n’étaient ni identifiés, ni consignés à un registre ou confiés à la garde d’un responsable. N’ayant pas de responsable, personne ne surveillait la protection des appareils. Ils ont été perdus, contenant des renseignements personnels, et jamais retrouvés puisqu’il n’y avait aucun mécanisme pour les relier à une mesure de protection et donc les retracer, ou du moins retracer les personnes responsables de leur protection.

Le manque de protection face aux indiscrétions est également répandu : les enquêtes du CPVP de 2008 à 2014 ont mis à jour l’étendue du problème tant dans la fonction publique que dans le secteur privé. À la fonction publique fédérale, on a vu des employés fouiller dans les dossiers médicaux d’un(e) ancien(ne) amant(e), diffuser les déclarations de revenu de célébrités ou accéder aux déclarations de revenus d’une nouvelle flamme et de sa famille. Même si ces indiscrétions sont exceptionnelles, elles révèlent les faiblesses systémiques qui les rendent possibles : les autorisations d’accès sont trop larges, les contrôles, tels la journalisation et la révision de la journalisation, sont insuffisants.

Nous le savons, la principale répercussion différentielle du numérique est celle-ci : la plus petite erreur peut causer un dommage colossal. Par exemple, un dossier qui m’a heurtée au point de m’amener à développer « Dix conseils aux professionnels des ressources humaines » en 2012 est celui d’une Directrice générale dont l’évaluation des compétences avait été envoyée par inadvertance à 321 de ses collègues. L’erreur : quelqu’un a pressé la commande sans bien maîtriser la technologie et le ministère n’avait pas songé à interdire la diffusion par courriel de renseignements relatifs aux ressources humaines. Le résultat : l’humiliation et les dommages à la réputation de l’employée, ainsi qu’une enquête du CPVP. Je me hasarde à ajouter parmi les dommages : la confiance des employés en la gestion des renseignements personnels au ministère.

Comment éviter ce genre de dérapage ? Mes recommandations dans ces « Dix conseils » eu égard au numérique :

  • Évitez la communication électronique de renseignements délicats, même si c’est devenu la communication courante pour toute autre forme de renseignements;
  • Assurez, de façon continue, la maîtrise de la technologie avant de la confier aux employés comme outil de travail en en subordonnant l’usage à une vérification de la maîtrise; et,
  • Développez un régime d’autorisations d’accès aussi restreint que possible tout en préservant la fonctionnalité de l’organisation et accompagnez ce régime d’un processus de journalisation soumis à la révision régulière des données d’accès qu’il contient.

 

Mais la complexité des technologies de l’information ne fait pas trébucher que les employés. Les hauts gestionnaires de la fonction publique, ferrés d’économie et de sciences Politiques, n’ont pas nécessairement le réflexe de s’approprier, comme ils le devraient, la question de la protection des renseignements personnels sur les nouveaux supports technologiques. Ce fut la révélation pour moi de la vérification du CPVP en 2010 de l’utilisation des technologies sans fil au sein de cinq entités fédérales. [i] Toutes les avaient adoptées mais aucune n’avait effectué auparavant une évaluation appropriée du risque. Les conséquences qu’on peut imaginer se sont réalisées : le personnel ne protégeait pas les appareils d’un mot de passe robuste, les appareils n’étaient pas gardés dans un endroit sécuritaire et les politiques de protection adéquates n’étaient pas en place puisque le risque n’avait pas été cerné. Je crois par ailleurs que cette complaisance a fait place à une prise de conscience depuis la malheureuse perte d’un disque dur à Emploi et développement social Canada (EDSC) contenant les renseignements financiers de près de 600 000 personnes.

Mes recommandations en ce sens sont énoncées au Rapport spécial d’enquête concernant cet incident, déposé au Parlement le 25 mars 2014. En résumé :

  • La protection des renseignements personnels à l’ère numérique doit être abordée comme un écosystème de composantes interdépendantes soit les contrôles physiques, technologiques, administratifs et de sécurité du personnel, incluant le niveau de littératie numérique correspondant aux outils de travail.
  • La protection des renseignements personnels doit être assurée comme un enjeu institutionnel et non comme un sujet distinct, séparé, de la seule compétence des administrateurs de la technologie de l’information ou du bureau d’accès à l’information et la vie privée. À l’appui, sa mise en œuvre doit être assurée par une structure de gouvernance qui :
  • Reflète le régime d’imputabilité établi par la Loi sur la protection des renseignements personnels (LPRP) qui attribue la responsabilité de la protection des renseignements personnels au plus haut niveau de l’organisation; et
  • Assure la supervision nécessaire, donc à tous les niveaux, du respect de ce régime de protection des renseignements personnels.

La définition de renseignements personnels numériques

L’internet est également venu remettre en question les définitions établies de « renseignements personnels » et de sphère privée. Deux notions ont été particulièrement mises en cause dans les dernières années concernant la fonction publique fédérale : le caractère privé ou non des données de l’abonné Internet et de l’adresse IP, et l’accès libre ou protégé des comptes personnels sur les réseaux sociaux.

1. Les données personnelles sur Internet

La question à savoir si l’adresse IP (Internet Protocol) ou si les données de l’abonné derrière l’adresse IP (nom, adresse et autres identifiants relatifs à l’abonné) constituent des données personnelles, a été brûlante pendant quelques années autour des projets de loi successifs qui auraient permis l’accès à ces données par les autorités d’exécution de la loi et de sécurité nationale, sans autorisation judiciaire. Les arguments s’articulaient, vivement, autour de deux interprétations antagonistes : l’une concluait que l’adresse IP et les données d’abonné correspondantes n’ont pas plus de valeur qu’un annuaire de téléphone et que l’inexistence d’un tel annuaire pour Internet ne peut être déterminante du statut juridique des données. L’autre, que j’endosse, arguait plutôt que les données de l’abonné derrière l’adresse IP constituent une clé à l’intériorité d’une personne en donnant accès à ses recherches internet – donc ses intérêts, ses préoccupations ou ses allégeances – et ne peut, par conséquent, être comparée aux données statiques et limitées d’une adresse physique et d’un numéro de téléphone.

En juin 2014, la Cour Suprême du Canada dans l’arrêt R c. Spencer a mis fin au débat : la Cour a statué que les données de l’abonné auquel appartient l’adresse IP, donnant accès aux recherches internet, sont à ce point révélatrices qu’elles constituent des données personnelles protégées auxquelles les forces de l’ordre ne peuvent avoir accès qu’avec autorisation légale.

Les répercussions pour la fonction publique fédérale se ressentent particulièrement à la Gendarmerie Royale du Canada et au Service canadien du renseignement de sécurité, mais elles ont une portée plus générale aussi : la LPRP vient d’être précisée pour inclure, dans l’interprétation de la définition de données personnelles, les données nominatives relatives à l’adresse IP.

Il s’ensuit les contraintes suivantes pour les institutions fédérales :

  • Les données de l’abonné derrière l’adresse IP ou l’adresse IP qui peut mener à l’identification de l’abonné, ne peuvent être recueillies que si c’est en lien direct avec des programmes ou activités de l’institution;
  • Ces renseignements doivent être obtenus de l’individu lui-même, à moins que cela contrarie l’usage auxquels les renseignements sont destinés (par exemple, une enquête policière).

 

Le cadre d’analyse du CPVP Une question de confiance : Intégrer le droit à la vie privée aux mesures de sécurité publique au 21e siècle, rendu public en 2010, énonce en quatre étapes les considérations applicables à l’intégration des obligations relatives à la protection de la vie privée aux mesures de sécurité publique. Elles s’appliquent également à un régime d’accès aux données personnelles sur internet :

  • Établissement de la légitimité de la mesure à partir des données empiriques démontrant sa nécessité, sa proportionnalité et son efficacité au regard de la nécessité et l’absence d’alternatives moins intrusives,
  • Mise en place de mesures de sécurité pour protéger les données légitimement recueillies et utilisées,
  • Élaboration d’un cadre de gouvernance interne qui assure la conformité à ces mesures de sécurité,
  • Élaboration d’un cadre de supervision externe et indépendant qui assure la responsabilisation de l’organisme face à ses obligations de protection de la vie privée.

 

La protection de la vie privée n’est donc pas un obstacle à la réalisation du devoir primordial du gouvernement du Canada à protéger la sécurité de sa population. Elle offre plutôt un cadre de réalisation qui protège à la fois les libertés fondamentales et la sécurité personnelle.

2. L’accès aux comptes individuels sur les réseaux sociaux

Le droit d’accès, ou non, des institutions fédérales aux comptes personnels des individus sur les réseaux sociaux a été mis en jeu dans au moins deux dossiers majeurs du CPVP : une évaluation des facteurs relatifs à la vie privée (EFVP) d’un programme qui aurait permis la surveillance des comptes sur réseaux sociaux des fonctionnaires afin de contrôler leurs activités politiques, et une enquête sur la surveillance, par deux ministères, du compte Facebook d’une activiste.

Dans le cas de l’EFVP, la réaction du CPVP a jeté une douche froide sur le projet : il y avait violation de l’article 4 de la Loi sur la protection des renseignements personnels puisque le projet ne pouvait être justifié comme étant en lien direct avec les activités et les programmes de l’institution. Même si les fonctionnaires ont l’obligation, à divers degrés, de rester à l’écart de manifestations politiques et que la fonction publique est en droit d’assurer la conformité à cette règle, la vaste collecte de données qui aurait été inhérente à la surveillance des comptes sur réseaux sociaux des fonctionnaires aurait largement excédé ce qui était nécessaire à assurer la conformité aux restrictions à l’égard des activités partisanes.

Le projet a été fermement désavoué par les hauts fonctionnaires à la suite des commentaires du CPVP mais il constitue un exemple des errances auxquelles peut conduire la capacité de surveillance grâce au numérique, sans encadrement.

Une autre illustration de ce phénomène est apparue dans une enquête du CPVP dont le rapport a été rendu public en 2013. Une activiste alléguait que deux ministères avaient recueilli ses renseignements personnels à partir de son compte Facebook. Aucun des deux ministères ne l’a nié. Cependant, les deux se défendaient d’avoir enfreint la LPRP, arguant que les comptes Facebook sont de nature publique, donc que les renseignements qui y sont affichés le sont aussi et ne jouissent pas de la protection de la Loi.

Le CPVP a rejeté cet argument : les renseignements ne perdent pas leur caractère personnel du seul fait qu’ils sont accessibles sur Internet. Ils restent des renseignements qui se rapportent à un individu identifiable, ils sont destinés à des personnes choisies et non au gouvernement, et s’il n’existe aucun lien direct avec une activité ou un programme du ministère en cause, ils restent hors de sa portée.

L’enquête met en lumière l’incertitude face au statut juridique des renseignements personnels délibérément affichés sur Internet. Afin de clarifier ce statut juridique et les obligations des institutions internationales à cet égard, le Rapport spécial du CPVP au Parlement du 28 janvier 2014, Mesures de vérification de contrôle – Renforcer la protection de la vie privée et la supervision des activités dans le secteur canadien du renseignement à l’ère de la cyber-surveillance recommande,

  • La réglementation de l’accès aux sources de renseignements personnels ouvertes, accessibles au public;
  • L’élaboration de lignes directrices régissant expressément la collecte, l’utilisation et la diffusion de renseignements personnels en ligne et sur des sites de réseaux sociaux.

 

La recommandation reste toujours valide… et en attente de mise en œuvre.

L’hébergement des données personnelles sur le nuage

L’engagement des gouvernements envers la protection des données sur Internet en amène certains à exiger l’hébergement des données gouvernementales sur leur territoire. Ceci, en pratique, exclut les institutions gouvernementales des avantages financiers et fonctionnels du nuage informatique puisque les fournisseurs de nuage sont surtout américains. Les révélations d’Edward Snowden en juin 2013 n’ont fait qu’exacerber la méfiance au point de faire reculer les gouvernements qui avaient pourtant envisagé un relâchement de ces règles.

Le Gouvernement du Canada, sagement, n’impose pas le stockage des données électroniques au Canada. Cependant, l’Agence canadienne du revenu se réserve le droit de permettre ou non la conservation des registres comptables et financiers à l’extérieur du Canada. L’utilisation croissante du nuage informatique remet en question la pertinence de cette exigence qui doit, à tout le moins, être expliquée dans le contexte du nuage informatique.

Les gouvernements de la Colombie-Britannique et de la Nouvelle-Écosse exigent de leurs organismes publics la résidence canadienne des données, sauf dans certaines conditions, excluant ou compliquant de ce fait le recours au nuage informatique. L’exigence de résidence des données électroniques au Canada, chargée de bonnes intentions, mine, à mon avis, la sécurité des renseignements personnels puisqu’elle écarte une plateforme particulièrement sécuritaire d’hébergement des données : le fournisseur de nuage fiable.

J’aborderai ici les considérations stratégiques qui devraient guider les institutions fédérales dans l’adoption du nuage informatique.

1. Avantages et risques du nuage informatique

Un document d’orientation conjoint du CPVP, de l’Office of the Information and Privacy Commissionner of Alberta et de l’Office of the Information and Privacy Commissioner of British Columbia [i] ainsi qu’une Fiche d’information du CPVP, départagent ainsi les avantages et les risques de l’hébergement des données sur le nuage informatique : en sa faveur, le nuage est un service internet sur demande, sans avoir à ériger sa propre infrastructure technologique, donnant « l’accès global au réseau, un bassin de ressources, la souplesse rapide et les services mesurés. » Il en résulte des coûts moindres, un fardeau de gestion allégé, une plus grande efficacité et, avec un fournisseur fiable, une plus grande sécurité des renseignements puisqu’ils sont entre les mains de professionnels spécialisés. À ce sujet, le CPVP précise :

« Pour les entreprises qui envisagent de l’utiliser, le service infonuagique pourrait offrir une meilleure protection des renseignements personnels… Grâce à des économies d’échelle, les gros fournisseurs de services infonuagiques sont en mesure de mieux utiliser les technologies de sécurité que les particuliers ou les petites entreprises, et ils disposent de meilleurs capacités de sauvegarde et de récupération après sinistre. Les fournisseurs de services infonuagiques peuvent également être motivés à intégrer à la nouvelle technologie les mesures de sécurité relatives à la protection de la vie privée et à appuyer de meilleures possibilités de vérification. »

Énonçant les risques potentiels de l’infonuagique, le CPVP réfère à la distance physique des lieux d’hébergement des données, la multiplicité des clients des fournisseurs, la possibilité de détournement d’usage des données, c’est-à-dire leur utilisation à des fins autres que celles pour lesquelles elles ont été recueillies, et la conservation excessive des données vu le faible coût.

Le CPVP conclut que, face à l’adoption du nuage informatique, « La protection des données n’est pas un obstacle mais il faut en tenir compte. »

Les considérations pertinentes à l’adoption du nuage par une institution fédérale pourraient donc se résumer à ceci :

  • Comment son infrastructure technologique existante serait-elle rehaussée par le recours au nuage ?
  • Quelles données devraient être hébergées dans le nuage et selon quels critères ?
  • Comment les usagers des services gouvernementaux seraient-ils avisés de l’hébergement des données sur le nuage ?
  • Le fournisseur du nuage est-il fiable, ou mieux, certifié selon la norme ISO/IEC 27018 sur la protection de la vie privée sur le nuage informatique ?

 

Ceci m’amène au mariage parfait : celui de la sécurité technologique du nuage par les fournisseurs réputés et du mécanisme contractuel d’assurance de la conformité à la sécurité du nuage par la certification à ISO/IEC 27018.

2. La norme ISO/IEC 27018 sur la protection de la vie privée sur le nuage informatique

Le CPVP a agi selon ses convictions au regard du nuage : pendant des années, il a prêté son expertise à l’élaboration de la norme ISO/IEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l’informatique en nuage public agissant comme processeur de PII, adoptée le 25 avril 2014.

Cette norme accroit nettement la sécurité des renseignements personnels dans le nuage en créant une base de certification de sécurité qui allie la robustesse technologique des fournisseurs de nuage à un cadre d’assurance de la conformité franchement blindé : par contrat, dont le respect est contrôlé par des vérifications, l’organisation cliente du nuage garde entièrement le contrôle des données, le fournisseur ne peut détourner les données puisqu’il ne peut les utiliser autrement que conformément aux objectifs du client et, plus encore, le fournisseur doit appuyer le client dans le respect de ses propres obligations juridiques. Finalement, les engagements du fournisseur de nuage sont soumis à la vérification par le client ainsi que par l’autorité qui émet la certification pour assurer le niveau d’adéquation. Le fournisseur, pour être certifié, doit mettre en place toutes les mesures de sécurité exigées par la norme ISO/IEC 27018. Un fournisseur qui y contreviendrait ne perdrait pas seulement sa clientèle mais aussi sa certification.

En quoi ce développement normatif est-il pertinent pour la fonction publique du Canada ? C’est en ce qu’il permet de protéger, à coûts réduits et au maximum, les renseignements personnels en les confiant à une infrastructure technologique du plus haut niveau, selon le modèle de gouvernance le plus efficace et exigeant. L’importance de la norme ISO/IEC 27018 prend une dimension cruciale dans le cadre du flux de données transfrontière et de l’impartition : les institutions gouvernementales sont de plus en plus appelées à partager les renseignements au-delà des frontières et à engager des fournisseurs pour améliorer l’efficience de leurs services lorsque les ressources leur manquent pour les assurer seules. La norme ISO/IEC 27018 est universelle, et rallie donc les divers acteurs du flux de données transfrontière.

Selon la recommandation du CPVP, le Secrétariat du Conseil du Trésor (SCT) a émis, parmi ses politiques sur la gestion de l’information, le document Protéger les renseignements personnels – Un impératif : La stratégie fédérale visant à répondre aux préoccupations suscitées par la USA Patriot Act et le flux de données transfrontière ainsi que le Document d’orientation Prise en compte de la protection des renseignements personnels avant de conclure un marché. Ces documents devraient maintenant être complétés par la norme ISO/IEC 27018. Mais d’abord, un retour sur les normes ISO.

ISO, l’Organisation internationale de normalisation (International Standardisation Organisation) et la Commission internationale électrotechnique (International Electrotechnical Commission), forment le système spécialisé de la normalisation internationale. Les deux sont composées de membres, États, institutions et experts. Ces normes forment la base de la certification en conformité à une norme ISO par une organisation accréditée pour le faire. La certification est maintenue, ou non, selon des vérifications régulières.

Le SCT a déjà recours aux normes universelles que représentent les normes ISO. À titre d’exemple, la norme du SCT sur les données géospatiales est fondée sur la mise en œuvre des normes ISO 19115 et 19128. La norme ISO/IEC 27018 constituerait le modèle contractuel parfait, et complet, pour assurer le passage de la fonction publique fédérale à un fournisseur de nuage informatique certifié, bénéficiant d’économies d’échelle pour la plus grande sécurité des renseignements.

Éviter le nuage est obsolète, l’adopter sans l’encadrer serait irresponsable. L’adoption de la norme ISO/IEC 27018 par le SCT ouvrirait la voie aux institutions fédérales à l’hébergement sécuritaire des données personnelles sur le nuage informatique selon des paramètres universellement reconnus.

L’équilibre entre transparence publique et vie privée

Le cadre législatif établissant l’équilibre entre transparence et vie privée réside dans la complémentarité de la Loi sur la protection des renseignements personnels (LPRP) et de la Loi sur l’accès à l’information (LAI). C’est l’article 19 de la LAI qui fait le pont entre la transparence et la vie privée. Il interdit au responsable d’une institution fédérale de communiquer des documents qui contiendraient des renseignements personnels au sens de la LPRP, soit des renseignements concernant un individu identifiable. Trois exceptions : l’individu consent à cette communication, le public y a déjà accès, ou la LPRP en permet la communication à titre exceptionnel.

Là où le bât blesse, où les impératifs de divulgation émanent de principes qui rivalisent en force au droit fondamental à la vie privée, c’est en regard de la transparence des tribunaux administratifs depuis l’avènement d’nternet. En fait, la transparence des tribunaux judiciaires doit, à mon avis être également repensée dans le cadre des répercussions différentielles de l’internet. Mais les tribunaux judiciaires ne font pas partie de la fonction publique fédérale. En revanche, les tribunaux administratifs en font partie et sont assujettis à la LPRP.

La fonction publique fédérale compte onze tribunaux administratifs, dont quatre réfèrent régulièrement à des données personnelles : la Commission de révision agricole du Canada, la Commission des relations de travail et de l’emploi dans la fonction publique, le Tribunal des droits de la personne et le Tribunal de la sécurité sociale. Le Tribunal de la protection des fonctionnaires divulgateurs d’actes répréhensibles Canada émet également des décisions contenant des renseignements personnels et même hautement sensibles, mais ils sont assujettis à des restrictions de divulgation telles que la tension transparence et vie privée est résolue dans le cadre législatif applicable au Tribunal. Par ailleurs, les autres tribunaux se dirigent encore à tâtons vers une résolution de la tension naturelle entre transparence et vie privée.

En 2009, le CPVP, conjointement avec ses homologues provinciaux et territoriaux, a émis un Document d’orientation intitulé Divulgation de renseignements personnels par voie électronique dans les décisions des tribunaux administratifs.[i] L’impulsion à agir venait d’une constatation, à partir de cas concrets, des répercussions différentielles d’Internet sur la matérialisation du principe de la transparence. Notamment, avec Internet, le principe de la transparence ne met plus en lumière le tribunal, qui est pourtant l’objet du principe qui assure son impartialité, mais les parties dont il n’est généralement pas d’intérêt public de connaître l’identité. La dissémination massive et permanente de ces renseignements nuit injustement à la réputation des parties qui peuvent perdre tout espoir de trouver un travail après une cause pourtant bénigne. Et cet état de fait entrave l’accès à la justice puisque les plaignants se privent d’exercer leurs droits par peur de perdre leur réputation via l’affichage Internet de leur cause.

Le Document d’orientation des commissaires canadiens à la protection de la vie privée est fondé sur l’article 8 de la LPRP, qui interdit la communication de renseignements personnels sans le consentement de l’individu à moins de circonstances exceptionnelles strictes qui s’appliquent rarement aux décisions des tribunaux administratifs. En résumé, voici les paramètres proposés, assujettis, bien sûr, aux règles spécifiques applicables à chaque tribunal :

  • Les préposés du tribunal doivent faire connaître aux parties, dès le dépôt d’un recours, les risques à la vie privée et les mesures de sauvegarde, encourageant les parties à ne pas divulguer des données personnelles au-delà de ce qui est strictement nécessaire;
  • Les décisions ne devraient contenir aucun identifiant, direct ou indirect. La transparence s’applique au raisonnement du tribunal, pas aux parties. Par exemple, les noms seraient remplacés par des initiales et les adresses seraient supprimées ou généralisées;
  • La décision pourrait contenir des identifiants lorsqu’en vertu de l’article 8 (2) m) de la LPRP, il existe un intérêt public à publier l’identité des parties (pour des raisons de criminalité ou de fraude, par exemple); et
  • Le tribunal élaborerait des critères pour exercer sa discrétion dans l’application du concept de l’intérêt public.

 

Cette discrétion s’impose pour des raisons de sécurité personnelle (une plaignante ayant contesté sa pension d’invalidité s’était trouvée menacée par des voyous qui, à cause de l’affichage de la décision du tribunal sur Internet, connaissaient son adresse, le montant et la date de versement de la pension) ou pour des raisons de réputation et d’intégrité financière (deux plaignants n’arrivaient plus à trouver d’emploi depuis près de dix ans parce qu’une recherche Internet amenait, en premier lieu, le grief qu’ils avaient déposé à l’encontre d’un patron).

Le SCT doit prendre la relève du CPVP et émettre des politiques visant à rétablir le juste rapport transparence publique – vie privée pour les tribunaux administratifs à l’ère numérique.

Conclusion: les défis émergents

D’entrée de jeu, j’ai résumé le grand défi de l’heure pour la fonction publique fédérale face à la protection de la vie privée à l’effet conjugué de deux transformations fondamentales à nos modes de communication : l’avènement de nouvelles technologies de l’information, complexes, puissantes et vulnérables, et l’essor des capacités de cyber‑surveillance dans un contexte de sécurité publique largement tributaire des renseignements personnels.

L’accroissement de la sécurité des nouvelles technologies de l’information progresse, à mon avis, selon une orientation claire : on affine l’évaluation du risque, on renforce les cadres de gouvernance et on multiplie les barrières technologiques selon l’analyse du risque. De nouvelles applications, tels les carrefours d’information où la gestion des renseignements est centralisée dans le respect de la séparation des diverses bases de données conformément aux dispositions de la Loi à cet égard.

Les limites de la cyber-surveillance dans une société libre et démocratique, par contre, restent à définir devant les avancées de ses capacités et l’évolution des risques à la sécurité physique.

Les enjeux de la protection de la vie privée relativement à la cyber-surveillance vont au cœur de la relation de l’État avec le citoyen. Le libellé de l’article 12 de la Déclaration universelle des droits de l’homme illustre bien ce caractère essentiel du droit à la vie privée en statuant que

« Article 12. Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille son domicile ou sa correspondance, ni d’atteintes à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

Mise en cause dans le débat autour du projet de loi C-13, devenu la Loi sur la protection des Canadiens contre la cybercriminalité, la question de la légitimité de la cyber-surveillance revient dans le cadre du projet de loi C-51, dont le titre abrégé est la Loi antiterroriste de 2015. Alors que le projet de loi fait son chemin à travers le processus législatif, il fait ressortir la manière dont les capacités de cyber-surveillance forcent une modernisation des obligations de la fonction publique face au respect de la vie privée, soit :

  • L’interdiction de surveillance abusive, selon l’article 8 de la Charte des droits et libertés, ce qui, en vertu de la LPRP inclut toute collecte de données en dehors d’un lien direct avec ses programmes ou ses activités, ce qui inclut les fins légitimes d’enquête à partir d’un soupçon raisonnable et individualisé;
  • Les limites qui s’imposent au partage de renseignements personnels entre agences du gouvernement afin d’éviter un profilage des citoyens générateur de nouveaux renseignements qui s’ajoutent à ce qui a été recueilli auprès de l’individu lui-même, et en excès de ce qui est nécessaire aux fins pour lesquelles ils ont été recueillis;
  • Les principes de justice naturelle d’impartialité et d’objectivité qui exigent un mécanisme externe de supervision et d’imputabilité, particulièrement dans le cadre de la cyber-surveillance qui est couverte du secret et doit donc trouver sa propre forme de reddition de compte aux citoyens.

 

L’autre arme à deux tranchants de l’évolution technologique est celle de la capacité d’analyse des données, menant aux possibilités de forage des données (« data mining »).

Comme, à plus petite échelle, les données du recensement appuyaient, même de façon anonyme, les décisions gouvernementales à tous les paliers ainsi que les décisions d’affaires, selon les mouvements démographiques, sociaux ou économiques, nous devrons élaborer un cadre éthique pour l’analyse des données massives (« big data ») que nous accumulons pour en tirer le plus grand intérêt public. Ces données peuvent améliorer les services gouvernementaux, affiner les décisions politiques et adapter adéquatement les programmes. Les pistes de solutions prennent la forme d’un cadre de gouvernance qui s’articule autour de l’anonymisation, la nécessité et le consentement, soit :

  • Dans les cas où, pour élaborer des politiques et des programmes efficaces, la fonction publique a besoin de données démographiques mais sans identifiants, comme pour le recensement, la LPRP ne l’empêche pas pourvu que soit appliqué un processus efficace d’anonymisation. Ceci comporte la ségrégation des données démographiques et des données nominatives qui s’y rapportent de telle façon que les données démographiques ne concernent plus un individu identifiable, parce que la réidentification serait si ardue qu’elle devient improbable.
  • Pour toutes les données nominatives qui sont nécessaires au fonctionnement d’un organisme public, l’article 4 de la LPRP en permet la collecte et l’article 7 l’usage compatible.
  • Si la fonction publique veut détourner l’usage des données personnelles des fins pour lesquelles elles ont été recueillies,, même dans l’intérêt public, elle doit obtenir le consentement de l’individu. Par exemple, à des fins de recherche médicale, un ministère pourrait contacter des individus, expliquer les objectifs de recherche, l’usage qu’on ferait de leurs données personnelles et demander si, dans l’intérêt de la science, ils consentent à ce nouvel usage de leurs données personnelles.

 

Ces paramètres de base indiquent une orientation générale, mais ils ne suffisent pas à résoudre les défis éthiques qui se posent à la réconciliation entre respect de la vie privée et l’intérêt public dans l’analyse des données massives. Ce discours, comme celui entourant la cyber-surveillance, doit s’intensifier pour assurer la protection de la vie privée dans un nouveau cadre technologique.

La préoccupation prioritaire de la fonction publique en ce moment doit donc porter sur l’élaboration d’un cadre normatif reflétant ce que le Canada considère légitime comme cueillette et utilisation des données à l’ère numérique. D’une certaine façon le projet de loi C-51 a suscité ce débat, tant au regard de la cyber-surveillance qu’à celui de l’analyse des données personnelles. Mais ce débat est inégal : les cartes sont jouées, et la discussion s’inscrit dans un débat ponctuel et politique plutôt que dans un projet de société qui aborde les enjeux de fond, de façon réfléchie et empirique.

C’est la prochaine étape pour préserver la vie privée à l’ère numérique et elle s’impose d’urgence.

 

Appendix

Me Chantal Bernier, Avocate-conseil, Dentons Canada S.E.N.C.R.L., Professionnelle en résidence à l’École supérieure d’affaires publiques et internationales, Université d’Ottawa, ancienne Commissaire intérimaire à la protection de la vie privée du Canada.