l'Ombudsman du Manitoba: Rapport spécial: Arrêt sur image

Division de l'accès à l'information et de la proection de la vie privée

La protection de la vie privée en septembre 1999

Destinataires : Les députés de l'Assemblée législative du Manitoba

En raison des nombreuses questions sans précédent auxquelles s'intéressent le public, le gouvernement et notre bureau en matière de protection de la vie privée, et étant donné leur complexité et leur caractère dynamique, nous avons préparé ce rapport spécial qui présente un arrêt sur image de la situation actuelle en matière de protection de la vie privée.

En vertu du paragraphe 58(3) de la Loi sur l'accès à l'information et la protection de la vie privée et du paragraphe 37(3) de la Loi sur les renseignements médicaux personnels, l'ombudsman provincial peut, dans l'intérêt public, publier un rapport spécial ayant trait à une question relevant de ses attributions. Le devoir d'informer le public quant à l'existence de ces deux textes législatifs fait partie de ces responsabilités. L'ombudsman a également un rôle de surveillance quant à la collecte, à l'utilisation, à la divulgation et à la sécurité des renseignements personnels et des renseignements médicaux personnels.

Ce rapport spécial a pour but de contribuer à une sensibilisation générale et d'encourager les discussions publiques au sujet des questions relatives à la protection de la vie privée auxquelles nous sommes confrontés chaque jour.

L'ombudsman provincial,
Barry Tuckett

Table des matières

Introduction
Qu'entend-on par protection de la vie privée?
Pourquoi la protection de la vie privée est-elle importante?
La protection de la vie privée est-elle un droit de la personne?
Perdons-nous le contrôle de nos renseignements personnels?
Surveillance
Surveillance des données
Réseaux de données
Doit-on dire adieu à la vie privée?
Comment assurer la protection de la vie privée?
Renseignements à l'étranger
Commerce électronique
Récapitulation
Notes
Annexe A
Annexe B
Annexe C

INTRODUCTION

Le bureau de l'ombudsman voit à ce que la plupart des organismes du secteur public provincial1 et certains professionnels du secteur privé² se conforment aux lois assurant la protection de la vie privée au Manitoba.³ Étant donné la promulgation récente de la Loi sur l'accès à l'information et la protection de la vie privée et de la Loi sur les renseignements médicaux personnels, nous avons jugé utile de rendre compte du débat complexe qui entoure la question du droit à la protection de la vie privée non seulement au Manitoba, mais aussi sur le plan national et international. Ce compte rendu de la situation risque toutefois d'être dépassé quand nous le publierons tant les choses évoluent vite à ce chapitre dans le contexte actuel.

Dire que les nombreuses possibilités offertes par les communications électroniques ont fait tomber les frontières nationales est maintenant devenu un truisme. Le « village global » envisagé par Marshall McLuhan semble se concrétiser. La question de la protection de la vie privée a pris du même coup une ampleur considérable, qui transcende le cadre provincial et national. Pratiquement tous les jours, les médias et Internet font état de controverses et de sujets d'inquiétude concernant la protection de la vie privée. Il est parfois difficile de faire la part des choses entre les renseignements faisant autorité d'une part, et les racontars sensationnalistes et pessimistes d'autre part. Il n'en demeure pas moins que la protection des renseignements personnels dans un contexte de communication globale est devenue une question d'intérêt public qui dépasse largement le réseau Internet.

Le spectre de « Big Brother » est souvent évoqué par les auteurs qui tentent de décrire les effets potentiels associés à une mauvaise utilisation à grande échelle des communications électroniques. En 1998, le réseau anglais de la Société Radio-Canada a diffusé un reportage télévisé en deux parties intitulé « No Place to Hide »", qui portait sur les méthodes de surveillance modernes. Se référant aux deux secteurs qui possèdent le plus de renseignements personnels à notre sujet, le reportage parlait de « Big Brother » pour décrire le secteur public et de « Little Brother » pour décrire le secteur privé. Dans un éditorial daté du 27 juillet 1998, The Winnipeg Free Press faisait observer que « l'érosion progressive de la protection de la vie privée est, en fait, l'un des aspects les plus inquiétants de cette effervescence toujours plus vive constatée dans le domaine des communications électroniques ». Le 16 avril 1998, The Globe and Mail mentionnait que « comme toujours, nous avons accepté la technologie avant même de comprendre ses effets (…). La protection de la vie privée est en train de devenir le principal sujet de préoccupation des Canadiens en cette ère de l'information ». Pour sa part, The Winnipeg Sun soulignait que « nos législateurs devraient songer à adopter une législation relative à la protection de la vie privée plus sévère, afin de mieux protéger la population des abus dignes de « Big Brother » (…) par les fouineurs habituels des secteurs public et privé.⁴

Les progrès toujours plus rapides qui caractérisent les domaines de l'informatique et des communications électroniques ont suscité l'intérêt de bien des entreprises et des gens pour les renseignements personnels, qui peuvent être utilisés à des fins commerciales ou de recherche, pour fournir des services à la population, ou encore pour assurer la protection de la population et la sécurité nationale. On les considère comme un produit, mais leur protection est perçue comme un droit. Si l'utilisation licite des renseignements personnels est considérée comme inoffensive et même bénéfique, la mauvaise utilisation de ces renseignements peut avoir des conséquences au mieux fâchantes et au pire terrifiantes. S'il y a une conclusion à tirer de ce compte rendu, c'est que les gens doivent prendre conscience de la question de la protection de leur vie privée ainsi que des rivalités d'intérêt, afin qu'ils puissent faire des choix éclairés et sensés relativement à la collecte, à l'utilisation et à la communication de leurs renseignements personnels par des organismes publics ou privés.

Les notes en fin de document font état des sources d'information et proposent des liens Internet pour les personnes intéressées à approfondir la question de la protection de la vie privée dans un environnement électronique. Ces personnes sont toutefois invitées à se méfier des « cookies », ces fichiers qui interceptent les données personnelles de l'utilisation d'un site.

QU'ENTEND-ON PAR PROTECTION DE LA VIE PRIVÉE?

La réponse à cette question peut varier, tout dépendant de la dimension associée à cette notion :

protection de l'intégrité personnelle - Concerne tout ce qui touche au corps du particulier, comme l'immunisation obligatoire, les transfusions sanguines sans consentement, la fourniture obligatoire d'échantillons de liquide organique et de tissu humain, et la stérilisation obligatoire;
protection du comportement personnel - Concerne tous les aspects du comportement mais surtout les questions délicates, comme l'orientation et les habitudes sexuelles, les activités politiques et les pratiques religieuses, tant en privé que dans les lieux publics;
protection des communications personnelles - Les gens veulent pouvoir communiquer entre eux au moyen de divers médias sans que leurs communications ne soient surveillées par d'autres personnes ou organismes;
protection des données personnelles - Les gens ne veulent pas que les données les concernant soient transmises automatiquement à d'autres personnes et organismes; mais si c'est le cas, ils souhaitent garder le contrôle de ces données et de leur utilisation.⁵

Au Manitoba, la Loi sur l'accès à l'information et la protection de la vie privée (LAIPVP) et la Loi sur les renseignements médicaux personnels (LRMP) assurent la protection des renseignements personnels et des renseignements médicaux personnels. Ces deux lois peuvent servir indirectement d'autres intérêts au chapitre de la protection de la vie privée, mais elles visent d'abord et avant tout à assurer la protection des données confidentielles dans la province. Prises en bloc, elles reconnaissent le droit à la protection des renseignements personnels qui relèvent des organismes publics ainsi que des renseignements médicaux personnels qui relèvent d'un dépositaire (qui peut être un organisme public) ou d'un gestionnaire de l'information. Les droits à l'accès et à la protection de la vie privée prévus par la législation ne s'étendent toutefois pas au secteur privé, à l'exception notable des secteurs importants mentionnés dans la LRMP, qui n'englobent toutefois pas les grands « utilisateurs » de renseignements médicaux personnels que sont les employeurs du secteur privé et les compagnies d'assurance.

Les deux textes législatifs du Manitoba reposent sur les principes afférents aux Pratiques équitables de traitement de l'information établis par l'Organisation de Coopération et de Développement Économique (OCDE) en 1980.⁶ Selon ces principes, un organisme est obligé :

de fournir les raisons pour lesquelles il compte recueillir, utiliser ou communiquer des renseignements personnels;
d'obtenir le consentement nécessaire avant de recueillir, d'utiliser ou de communiquer des renseignements personnels;
de ne pas recueillir plus de renseignements que ne l'exigent ses objectifs de collecte;
de n'utiliser et de ne communiquer les renseignements personnels que pour les fins initialement prévues (sauf s'il a obtenu le consentement nécessaire);
de s'assurer de l'exactitude des renseignements personnels;
de donner le droit aux particuliers de connaître les renseignements les concernant et de les corriger le cas échéant;
de ne pas garder les renseignements personnels plus longtemps qu'il ne le faut;
d'assurer la sécurité des renseignements personnels; et,
de faire en sorte que les plaintes passent par un processus d'appel indépendant.⁷

Quand les renseignements dépassent le cadre provincial, ils ne sont plus du ressort de la législation manitobaine qui perd du même coup son habileté juridique à en assurer la protection. La protection des données relevant du secteur public fédéral est en grande partie assurée en vertu de la Loi sur la protection des renseignements personnels de 1982.

Une protection limitée de la vie privée est également assurée en vertu de la Charte canadienne des droits et libertés (la Charte). Il est important de comprendre que les Canadiens ne disposent pas d'un droit inhérent ou codifié à la « protection de la vie privée ».

La vie privée d'une personne est protégée jusqu'à un certain point par l'article 7 de la Charte.⁸ L'article stipule que chacun a droit à la vie, à la liberté et à la sécurité de sa personne, et qu'on ne peut porter atteinte à ce droit qu'en conformité avec les principes de justice fondamentale (similaires à la « notion d'application régulière de la loi »). La protection de la vie privée se limite essentiellement au cas d'une personne détenue ou emprisonnée par le gouvernement, qui peut refuser de fournir des échantillons de liquide organique ou de tissu humain ou de consentir à des actes médicaux pendant qu'il est « sous la garde » de l'État. Celui-ci peut tout de même contrer cette opposition s'il le juge dans l'intérêt public « d'une société libre et démocratique ».⁹

L'article 8 de la Charte peut assurer la protection des communications et des données, tout dépendant des circonstances propres à chaque cas. L'article stipule que chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives. Sauf que « les fouilles, les perquisitions et les saisies » doivent être « abusives » pour être interdites, ce qui constitue une restriction majeure. Les causes entendues ont permis de déterminer que le droit à la protection de la vie privée n'existe que dans les lieux et les circonstances où les gens ont « une attente raisonnable de respect de la vie privée ».¹⁰ On a établi les limites de cette attente en fonction de facteurs comme la possession, la garde ou la propriété du lieu perquisitionné, la capacité à réglementer l'accès au lieu en question et le côté « raisonnable » de l'attente. Par conséquent, il serait étonnant que l'interception des communications et les activités de surveillance soient considérées comme « déraisonnables » dans les lieux publics.

Une autre limite de la législation est qu'elle protège les particuliers contre les intrusions des « agents de l'État », mais pas contre la surveillance par le secteur privé. Ainsi, l'État n'a habituellement pas le droit d'intercepter des conversations téléphoniques sans mandat, mais un employeur peut sans problème lire le courriel de ses employés et surveiller leurs faits et gestes au moyen de caméras à circuit fermé.

Les efforts visant la protection de la vie privée au Manitoba touchent davantage la protection des renseignements personnels relevant du secteur public que la préservation comme telle de la vie privée des particuliers. En ayant le pouvoir de contrôler l'accès aux renseignements personnels croit-on, on finira par mieux les protéger. La législation sur les données afférentes à la vie privée vise à ce que les particuliers gardent fermement le contrôle des renseignements personnels les concernant :

Rappelez-vous que vos renseignements personnels vous appartiennent. Les gouvernements, les banques et les autres organismes qui vous demandent des renseignements personnels oublient souvent qu'ils ne sont que les dépositaires des renseignements que vous leur avez confiés et qu'ils sont responsables de leur sauvegarde. Ces renseignements ne leur appartiennent pas.¹¹

L'accent mis par le Manitoba sur la protection des données afférentes à la vie privée est conforme aux pratiques adoptées à l'échelle nationale¹² et internationale,¹³ notamment dans l'Union européenne, en Australie, en Nouvelle-Zélande, à Hong Kong et aux États-Unis.¹⁴

Certains aspects de la législation provinciale ont retenu l'attention ailleurs dans le monde.¹⁵ Le Manitoba a été loué dans ses efforts visant à régir la collecte, l'utilisation et la communication des renseignements médicaux personnel. La Loi sur les renseignements médicaux personnels est non seulement la première législation régissant ce genre de renseignements adoptée au Canada, mais aussi la première à protéger formellement les renseignements médicaux détenus par des professionnels de la santé relevant du secteur privé.

POURQUOI LA PROTECTION DE LA VIE PRIVÉE EST-ELLE IMPORTANTE?

Les sondages et les études révèlent clairement que les Canadiens tiennent à la protection de leur vie privée. Un sondage effectué à ce sujet en 1992 a démontré que la plupart des Canadiens se disaient assez ou très préoccupés par la question (92 %).¹⁶ Lors d'un sondage mené par Equifax Canada en 1994, la majorité des Canadiens (76 %) se disaient préoccupés par la protection de leur vie privée. Ils avaient l'impression aussi d'avoir perdu le contrôle de la dissémination et de l'utilisation des renseignements personnels les concernant (70 %).¹⁷ En 1995, une étude du Centre pour la défense de l'intérêt public (CDIP) a confirmé que les Canadiens voulaient garder le contrôle des renseignements personnels les concernant :

Les Canadiens veulent connaître les méthodes de collecte et les façons dont leurs renseignements personnels seront utilisés (95 %). Ils exigent qu'on leur demande s'ils veulent bien consentir à ce que leurs renseignements soient transmis à un autre organisme (94 %).¹⁸

Cette étude a également établi que la perception des gens à l'égard de la protection de la vie privée variait en fonction de facteurs socio-économiques :

Le clivage le plus notable se situe entre les classes sociales. Les opinions concernant le caractère envahissant et la justification [des méthodes de collecte] varient souvent en fonction du revenu et de la scolarité, mais aussi de l'âge. Par exemple, les répondants ayant un revenu plus élevé se souciaient davantage des organismes de charité qui font des appels non sollicités et qui vendent leurs listes de donateurs. Les répondants ayant un revenu moins élevé étaient davantage concernés par les banques qui les interrogent au sujet de leur emploi quand ils veulent ouvrir un compte, ou par Revenu Canada et Emploi Canada qui s'échangent des renseignements afin de prévenir les fraudes.¹⁹

Malgré l'importance qu'on y accorde, le droit à la protection de la vie privée est parfois décrit dans des termes qui suscitent la méfiance (anonymat, secret, invisibilité), qui donnent l'impression que la personne qui l'évoque a quelque chose de nature immorale ou illégale à cacher. Cette méfiance est susceptible de provoquer un retournement subtil des choses à l'égard des renseignements personnels, qui fait en sorte qu'au lieu de demander aux organismes de justifier leur collecte de données, ce sont les particuliers qui sont sommés de justifier leur refus de communiquer les renseignements demandés.

Mais la protection de la vie privée vise bien plus que la sauvegarde de secrets. Elle accorde non seulement un « droit de se retirer du monde » mais aussi un « droit d'assurer le contrôle des renseignements nous concernant, même quand nous les avons communiqués à d'autres » :

La protection de la vie privée telle que définie ici permet aux gens de se retirer ou de s'engager socialement comme ils l'entendent. Les gens doivent être en mesure de s'isoler des autres pour mieux se retrouver. Le développement d'une identité qui nous est propre est essentiel à notre capacité de former notre pensée et nos opinions puis d'établir des relations plus chaleureuses avec les autres. Une société qui protège la vie privée de ses membres reconnaît du même coup la volonté personnelle de maintenir le contrôle de sa propre vie. Un des aspects de ce contrôle est la capacité de déterminer les aspects de soi que l'on veut bien montrer aux autres. La personne qui ne peut se retirer se sent constamment surveillée, déshumanisée et absolument incapable de prendre des décisions fondamentales affectant sa propre vie.²⁰

Prise sous cet angle, la protection de la vie privée est essentielle au respect des autres droits constitutionnels et démocratiques comme la liberté de conscience, la liberté de pensée, la liberté d'expression, le droit de vote, ainsi que le droit à la liberté et à la sécurité. Par exemple, si les bulletins de vote n'étaient pas tenus secrets, les citoyens ne pourraient exercer leur droit de vote. Nous pouvons donc conclure que la protection de la vie privée est importante en raison des avantages qu'elle apporte sur le plan social.

LA PROTECTION DE LA VIE PRIVÉE EST-ELLE UN DROIT DE LA PERSONNE?

Dans un rapport de Privacy International²¹ publié en 1998 (Privacy and Human Rights: an international survey of privacy laws and practices), on peut lire ceci :

La protection de la vie privée est un droit fondamental reconnu dans la Déclaration universelle des droits de l'homme des Nations Unies, dans le Pacte international relatif aux droits civils et dans bien d'autres traités internationaux et régionaux. Elle est associée à la dignité de la personne humaine et à d'autres valeurs fondamentales comme la liberté syndicale et la liberté d'expression. Elle est devenue l'une des questions liées aux droits de la personne ayant pris le plus d'importance dans l'ère moderne.²²

Le rapport, qui définit de façon générale les éléments associés à la protection de la vie privée,²³ souligne l'absence d'un véritable droit à la vie privée au Canada. Si la protection de la vie privée était définie comme un droit fondamental en vertu de la Charte canadienne des droits et libertés, ce droit transcenderait la simple protection des données et des renseignements personnels de façon à englober aussi la protection de l'intégrité personnelle et la protection du comportement.

Certains défenseurs de la vie privée voudraient qu'on l'enchâsse comme un droit garanti par la Charte de façon à protéger aussi l'intégrité physique et psychologique, la liberté de se soustraire de la surveillance et l'espace personnel. Ils considèrent que les gens devraient être en mesure de choisir comment ils comptent s'engager socialement.²⁴ On reconnaîtrait ainsi que les gouvernements et les entreprises ne disposent pas d'un droit inhérent à s'engager dans des activités de surveillance ou à créer des profils de « consommateurs ». Ils soutiennent aussi que tant que la protection de la vie privée ne sera pas reconnue explicitement comme un droit, elle risque de devenir une commodité de plus qu'on pourra échanger contre des biens et services.

Par contre, si la protection de la vie privée était reconnue comme un droit garanti par la Charte, on la comparerait aux autres droits de la personne au lieu de la considérer en fonction d'intérêts commerciaux. Elle serait perçue comme un « bien public » et non pas comme une composante de « l'infrastructure économique ».²⁵ On a déjà dit que même si la protection de la vie privée n'est pas un droit constitutionnel au Canada, nous devrions quand même la considérer comme telle dans nos décisions politiques :

Ainsi, si on aborde la question de la protection de la vie privée sous l'angle des droits de la personne, les principes et les solutions auxquels on aboutit respectent les citoyens et leurs droits. Si, à l'inverse, nous avions adopté une approche à caractère plus mercantile ou plus économique, nos solutions auraient procédé d'une philosophie différente, qui aurait privilégié les marges bénéficiaires et l'efficacité plutôt que l'humain et qui, surtout serait allée à l'encontre du bien commun.²⁶

Pour résumer, si la protection de la vie privée était reconnue comme un droit de la personne au Canada, tous les citoyens et les résidents pourraient s'en servir comme source de référence dans leurs échanges avec les organismes des secteurs public et privé. Le Canada et la plupart de ses provinces et territoires se sont tout de même dotés d'une législation sur l'accès à l'information et la protection de la vie privée qui touche les renseignements personnels relevant des organismes publics. Le Québec s'est doté également d'une loi qui touche les renseignements personnels relevant des entreprises privées faisant affaires dans cette province.

PERDONS-NOUS LE CONTRÔLE DE NOS RENSEIGNEMENTS PERSONNELS?

En règle générale, pour obtenir des biens et services du secteur public, les gens doivent fournir au moins quelques renseignements personnels. La quantité de renseignements demandés et la nature « délicate » de ces demandes sont souvent proportionnelles au type de services requis. Ceux qui sont appelés à fournir le plus de renseignements personnels sont les utilisateurs des services sociaux et médicaux qui, bien souvent, sont aussi les personnes les plus vulnérables de la société. Autrement dit, ce sont les gens à faible revenu et ceux qui sont le plus dans le besoin qui doivent fournir le plus de renseignements pour obtenir des biens et services du secteur public.

Cette collecte obligatoire de renseignements personnels est assujettie aux lois manitobaines concernant l'accès et la protection de la vie privée qui régissent et gèrent la collecte, l'utilisation et la communication de ce genre de renseignements. Ces lois ont été adoptées en tenant compte du fait que la tenue de dossiers par voie électronique et les nouvelles technologies de communication peuvent entraîner une amélioration des services, mais augmenter du même coup les risques d'une mauvaise utilisation d'une quantité énorme de renseignements électroniques à la suite d'un partage des données inopportun. Les dispositions des textes législatifs concernant la protection des renseignements personnels ont été élaborées en tenant compte de l'augmentation de la demande pour ce genre de renseignements par les secteurs public et privé.

Les progrès de la technologie de l'information poussent les dépositaires de documents publics à revoir les buts et les formes d'utilisation associés aux documents qu'il est traditionnellement possible de consulter comme les registres publics, qui contiennent des renseignements personnels se rapportant entre autres aux biens immobiliers, aux biens personnels, aux évaluations, aux conducteurs et aux immatriculations des véhicules. Certains de ces registres ont été soumis à l'examen public de façon ponctuelle ou limitée au fil des ans. La technologie électronique a permis l'accès à ces registres et la manipulation des renseignements qu'on y trouve comme jamais on ne l'avait envisagé quand le système des registres a été mis en place et sanctionné par la législation ou une politique. La communication en nombre des renseignements personnels contenus dans ce type de documents est restreinte en vertu de la législation manitobaine concernant l'accès et la protection de la vie privée, tout comme le couplage et l'appariement des renseignements personnels contenus dans les registres publics et les autres documents du genre. Cette restriction ne met pas en péril le droit de consultation traditionnel de ces documents publics. Elle ne fait que limiter l'utilisation et la communication des renseignements personnels par les entreprises privées et par les organismes publics autres que les dépositaires de ces renseignements.

Tant dans le secteur privé que public, toutes sortes de possibilités ont été envisagées et explorées en vue d'améliorer l'offre de biens et services à la population au moyen de la technologie électronique. La collecte de renseignements personnels est devenue une pratique commerciale reconnue dans bien des entreprises, tout comme le partage et la commercialisation de ces renseignements d'ailleurs. Les défenseurs de la vie privée soutiennent que la collecte, l'utilisation et la communication des renseignements personnels par le secteur privé devraient se faire conformément aux Pratiques équitables de traitement de l'information, afin d'assurer la protection de la vie privée des gens. Un certain nombre d'entreprises procèdent au traitement de l'information de façon sécuritaire et conformément à l'éthique. Mais la mauvaise utilisation réelle ou appréhendée des renseignements personnels est devenue l'objet d'un débat national et international qui gravite autour de la réglementation de la collecte, de l'utilisation et de la communication des renseignements personnels par l'État ou le secteur privé.

Certaines entreprises demandent aux gens de fournir divers renseignements personnels en échange de points bonis, de rabais ou d'échantillons « gratuits ». Même si les gens obtiennent quelque chose en retour de cette ingérence dans leur vie privée, ce genre d'échange est-il équitable? Certains disent que les gens ne sont pas en position de négocier. Bien souvent, ils ne savent pas à quoi serviront les renseignements qu'ils fournissent. Il n'y a pratiquement pas de lois en place qui proposent aux consommateurs une forme de recours en cas d'atteinte à leur vie privée par une société commerciale. En outre, la plupart des gens ne peuvent vraiment « négocier » la valeur de leurs renseignements personnels, parce que la proposition offerte est à « prendre ou à laisser ». Quand on sait que la collecte de renseignements personnels n'est pas vraiment nécessaire aux transactions commerciales, comment il se fait que le détaillant chez qui on achète un vêtement en est arrivé à nous demander des renseignements personnels en plus du montant correspondant à la valeur de l'article?²⁷

Malgré toute l'inquiétude exprimée dans les sondages d'opinion, on dirait que le contrôle des renseignements personnels nous concernant nous glisse d'entre les mains. Les médias semblent rapporter un nombre croissant d'exemples d'atteinte à la vie privée non intentionnelle. Le cas le plus grave à s'être produit au Canada date de janvier 1999, quand les renseignements personnels concernant 50 000 participants canadiens au programme Air Miles ont été révélés.²⁸ La fuite touchait 82 catégories de renseignements dont le nom, l'adresse, le numéro de téléphone, l'adresse électronique, les cartes de crédit utilisées et le nombre de véhicules utilisés.

En avril 1999, une explosion de cas d'atteinte à la vie privée non intentionnelle a été rapportée aux États-Unis, dont ceux-ci :

1 800 adresses électroniques de clients d'AT&T ont été révélées accidentellement à d'autres clients;
24 000 adresses électroniques ont été envoyées par mégarde à des clients potentiels de Nissan;²⁹
1 500 adresses électroniques ont été envoyées par erreur à des clients de Seagate Software,³⁰ et au moins 100 petites entreprises ont publié par erreur sur Internet les noms, adresses et numéros de cartes de crédit de leurs clients.³¹

Mais la controverse qui entoure la collecte, l'utilisation et la communication intentionnelles de renseignements personnels est encore plus troublante.

SURVEILLANCE

Par « surveillance » on entend la surveillance des gens et des lieux, ainsi que l'interception des communications.

La prolifération des caméras de télévision en circuit fermé et des caméras de vidéosurveillance a eu pour effet d'augmenter sensiblement la surveillance visuelle. Au Royaume-Uni par exemple, il y aurait actuellement un million de caméras vidéo assurant la surveillance des lieux publics.³² On attribue d'ailleurs à cette forme de surveillance la diminution sensible des activités criminelles. De l'avis des défenseurs de la vie privée, si ce système a été installé pour contrer avant tout la menace terroriste en Grande-Bretagne, on est en droit de se demander quels sont les véritables effets de la vidéosurveillance. Si cette dernière ne fait que déplacer le problème de la criminalité, va-t-on installer de nouveaux systèmes de surveillance jusqu'à ce que les faits et gestes de tout un chacun soient scrutés à la loupe?

Les caméras de surveillance peuvent être manipulées à distance et équipées d'un « système de vision nocturne ». Elles peuvent « suivre » et même identifier les gens qui se déplacent dans des lieux publics et privés. L'arrivée sur le marché des appareils photo et des caméras numériques permet la reproduction des images au moyen d'un ordinateur personnel et leur transmission par voie électronique. Un article paru récemment prévoyait que l'échange de vidéoclips sera bientôt aussi courant que l'échange de courriel.³³ Mais plus il devient facile de recueillir et de conserver des images numériques, plus les risques de s'en servir pour reconstituer les déplacements et les activités de tous les jours d'une personne augmentent.

Les réseaux de surveillance sont en train de se mondialiser. Deux réseaux globaux ont retenu l'attention des médias au cours de la dernière année. ENFOPOL est un système « d'écoute clandestine » qui permettra aux autorités d'intercepter les appels de téléphone cellulaires, les communications Internet, les transmissions par télécopieur et les messages de téléavertisseur partout en Europe et ce, peu importe le pays d'origine. Le plan prévoit l'utilisation de dispositifs de communication pour l'écoute électronique, le déchiffrement des codes cryptographiques et le « marquage électronique » du sujet afin de pouvoir le suivre dans ses déplacements.

(…) [L]e marquage électronique permettra de créer un réseau de traitement et de transmission des données qui fera état non seulement des noms, des adresses et des numéros de téléphone des personnes visées et de leurs associés, mais aussi de leur adresse électronique, de leur dossier de crédit, de leur NIP et de leurs mots de passe.

Le plan proposé a toutefois soulevé l'ire des organismes de défense des libertés civiles et de l'utilisation sans contrainte d'Internet. Ian Brown, directeur de la politique technologique de Privacy International, l'a qualifié de « coup mortel à la protection de la vie privée ».³⁴

ECHELON est un autre système de surveillance globale qui a attiré l'attention récemment. Ce système vise tous les satellites INTELSAT utilisés pour assurer la majeure partie des transmissions par satellite, y compris celles effectuées au moyen d'un téléphone, d'Internet, du courriel, d'un télécopieur et de télex. Comme le mentionnait un document de travail présenté au Parlement européen :

ECHELON vise avant tout les organismes civils, c'est-à-dire les gouvernements, les organismes et les entreprises de pratiquement tous les pays. ECHELON intercepte une très grande quantité de communications, puis va chercher ce qui est utile à l'aide d'outils d'intelligence artificielle comme Memex, à partir de mots clés. Cinq pays partagent leurs résultats avec le partenaire principal que sont les É.-U., en vertu du traité UKUSA signé en 1948. La Grande-Bretagne, le Canada, la Nouvelle-Zélande et l'Australie ne jouent en fait qu'un rôle subordonné de pourvoyeurs d'information.³⁵

Ce ne sont pas juste les communications sans fil qui sont interceptées. En se préparant en vue d'un procès au civil intenté contre une entreprise américaine, des avocats ont demandé comme il se doit à entendre tout enregistrement pertinent à l'affaire en cause. Les dirigeants de l'entreprise ont alors admis que les conversations des employés étaient enregistrées à leur insu dans un rayon de cinq pieds situé autour de micros logés à l'intérieur de leur ordinateur personnel.

En fait, un microphone avait été placé dans pratiquement tous les ordinateurs achetés après mars 1996, et les services de TI de Polar et d'autres sociétés utilisaient couramment un logiciel sononsensible pour enregistrer et capter des conversations.³⁶

L'auteur affirme que toute personne qui utilisait un ordinateur acheté après 1996 pouvait être sous audiosurveillance sans le savoir.

SURVEILLANCE DES DONNÉES

La surveillance des données, que Roger Clarke (un défenseur de la vie privée) a appelé en anglais dataveillance, ³⁷ fait référence à l'utilisation de renseignements consignés concernant les gens et leurs activités. Elle peut viser des particuliers sur lesquels on veut faire enquête ou encore des segments entiers de la population que l'on veut étudier. Si le but visé est la surveillance des transactions de façon systématique ou le couplage des données, l'utilisation d'identificateurs devient alors nécessaire.

Les identificateurs permettent de connecter des bribes d'information à un individu en particulier. Aux États-Unis, la prolifération des identificateurs a capté l'attention des groupes voués à la défense de la vie privée et des consommateurs. En février 1999, ils ont appelé au boycottage d'Intel (et déposé une plainte auprès de la Federal Trade Commission),³⁸ qui avait intégré un identificateur propre à chacun de ses microprocesseurs de type Pentium III, Pentium II et Celeron. Les défenseurs de la vie privée soutenaient que l'identificateur faciliterait le suivi des utilisateurs d'ordinateurs et de leurs activités quand ils « naviguent » sur Internet.

Intel affirmait que l'identificateur visait à améliorer la sécurité et à encourager les achats en ligne (« cybercommerce »), en permettant aux vendeurs de vérifier l'identité d'un acheteur par le couplage de son identificateur à son nom et à son numéro de carte de crédit. On y voyait là une façon de réduire la fraude sur Internet, car en plus de posséder le nom et le numéro de carte de crédit de sa victime, le fraudeur serait obligé d'utiliser son ordinateur.

Le Pentium III est toujours sur le marché et possède encore la capacité de transmettre son identificateur par voie électronique. Cependant, les groupes voués à la défense de la vie privée ont réussi à persuader Intel de « désactiver » l'identificateur avant de vendre ses microprocesseurs à la population. Autrement dit, les consommateurs ont le choix d'activer ou non l'identificateur. La plainte déposée auprès de la Federal Trade Commission est toutefois toujours à l'étude.

La présence d'autres identificateurs intégrés à du matériel et à des logiciels a également été révélée. À l'instar d'Intel, les sociétés en cause n'ont pas publicisé la capacité de pistage des identificateurs suivants :

identificateur capable de connecter un document à son auteur pour tout document créé à l'aide du progiciel Office 97 de Microsoft; et
identificateurs capables de connecter un appareil à son utilisateur intégrés à tous les appareils reliés à un réseau utilisant le logiciel Jini de Sun Microsystems.

Ces identificateurs permettent le couplage et l'appariement des données. Le couplage des données est une forme de surveillance de masse qui consiste à comparer les documents provenant de différentes bases de données. Le but visé est de trouver des « correspondances » qui ne devraient pas exister (comme quelqu'un qui reçoit à la fois des prestations d'aide sociale et d'assurance-emploi), ou de détecter une « absence de correspondance » là où on devrait en trouver (comme une entreprise qui est dûment enregistrée mais qui n'a pas fait de déclaration de revenus).

Afin d'augmenter l'efficacité et de réduire les coûts, les organismes publics ont de plus en plus recours à cette technique. Le couplage des données n'étant pas compatible avec les Pratiques équitables de traitement de l'information,³⁹ on a tenté de lui imposer des limites justes et raisonnables. Au niveau fédéral, il existe une politique qui stipule que toute proposition de couplage des données doit être envoyée au Commissaire à la protection de la vie privée du Canada aux fins d'évaluation, accompagnée d'une analyse coûts-avantages.⁴⁰ Au Manitoba, les organismes publics doivent demander l'avis du Comité d'évaluation avant de procéder au couplage de banques de données.⁴¹

Le recours aux technologies de pointe dans le domaine du traitement de l'information contribue certes à la prestation de meilleurs services, mais il ne faut pas conclure pour autant que tous les couplages des données augmentent l'efficacité du secteur public. Citons l'exemple de « Project Match », le tout premier programme de couplage des données effectué à grande échelle par le gouvernement des États-Unis. En 1977, le département responsable de la santé, de l'éducation et du bien-être a comparé les données se rapportant aux prestataires du programme d'aide aux familles ayant des enfants à charge (aide sociale) aux données se rapportant aux trois millions d'employés que comptait le gouvernement fédéral :

On a identifié 33 000 occurrences, dont le nombre a été réduit par la suite à 7 100. De ce nombre, 638 personnes ont fait l'objet d'une enquête interne et 55 ont été poursuivies (…) [C]es poursuites n'ont abouti qu'à 35 condamnations, toutes pour des infractions mineures. Personne n'a été condamné à une peine d'emprisonnement et les amendes à payer s'élevaient à moins de 10 000 $.⁴²

Quand les coûts du projet ont été pris en compte (ressources requises pour créer les documents nécessaires au couplage, procéder au couplage comme tel, faire enquête et entamer des poursuites), le projet a été jugé non rentable.

L'étude des programmes de couplage des données effectuée aux États-Unis, au Canada, en Australie et en Nouvelle-Zélande a permis de conclure qu'une faible proportion seulement des personnes dont les données ont été examinées aux fins de couplage répondait aux critères établis :

L'étude menée par l'auteur démontre qu'en règle générale, des occurrences sont constatées dans 1 à 9 % des cas et de 0,1 à 2,0 % des documents concernés passent le test du filtrage et se rendent à l'étape de l'analyse. Dans le cas du programme de couplage des données du ministère australien de la sécurité sociale, la proportion d'occurrences ayant abouti à une diminution des prestations ne se situait qu'à environ 0,5 %, dont 0,2 % ont nécessité l'adoption de mesures visant le remboursement des paiements versés en trop.⁴³

S'il faut faire preuve de prudence quand on procède au couplage des données, c'est surtout parce que cette pratique risque de porter atteinte à la vie privée. Le couplage des données déroge souvent au principe qui veut que l'on ne doive pas recueillir de renseignements à d'autres fins que celles initialement prévues sans consentement.

Comme outil de surveillance, le couplage des données est sujet aux erreurs et aux inexactitudes liées à toute tentative d'appariement de deux bases de données dont le contenu, la structure ou la conception diffèrent. Plus souvent qu'autrement, les deux bases de données visent des fins différentes, contiennent différents types de données et n'ont pas le même degré de fiabilité.

Les Pratiques équitables de traitement de l'information ne sont pas toujours suivies, notamment aux fins d'application de la Loi. Mais dans le cas du couplage des données, la fin visée se compare bien souvent à une « partie de pêche ». Avant de procéder, les gouvernements ont rarement un motif de croire qu'une personne en particulier a commis une transgression quelconque. Ce qui fait que le couplage des données pourrait bien contrevenir à l'interdiction constitutionnelle d'effectuer des fouilles, des saisies et des perquisitions déraisonnables. Si chaque fois qu'une « occurrence » se produit la personne concernée est présumée coupable, elle devra « prouver » son innocence. Or cela va à l'encontre de la présomption légale à l'effet qu'une personne est considérée comme innocente jusqu'à preuve du contraire.

Le couplage des données est une forme de surveillance des données particulièrement pernicieuse, en raison de son interprétation étroite, qui lui prête un intérêt public tout en considérant la protection de la vie privée comme une affaire personnelle. Quand on compare les avantages du couplage des données sur le plan social par rapport aux atteintes à la vie privée de particuliers, faire valoir la primauté du droit à la vie privée n'est pas une mince tâche. Mais si l'on comparait les coûts de la surveillance aux avantages de la protection de la vie privée sur le plan social, comme on l'a déjà proposé, moins d'attention serait accordée à la surveillance des données.⁴⁴

RÉSEAUX DE DONNÉES

De plus en plus de renseignements recueillis auprès de différentes sources sont conservés dans des bases de données communes et peuvent être consultés au moyen de réseaux intégrés. Si la tendance se maintient, les particuliers n'auront plus de « dossiers » séparés maintenus par divers organismes. En fait, on aura accès à un dossier temporaire qui contiendra toutes les bribes d'information recueillies et conservées jusque-là.

Ce système peut favoriser la protection de la vie privée en ce sens que seuls les renseignements pertinents peuvent être fournis. Il n'est plus nécessaire de produire le dossier au complet. En outre, des mécanismes de vérification peuvent être intégrés au système, afin de s'assurer que l'accès aux renseignements soit réservé aux personnes autorisées seulement.

Mais les réseaux ne sont pas sans risque. La présence d'identificateurs rend possible l'appariement de données en provenance de différentes sources sur demande, mais aussi la mise au rancart des vérifications par couplage des données (procédures ou politiques imposées par la loi), souvent ponctuées d'erreurs. Mais c'est la perte du « contexte » que fournit un document qui soulève le plus d'inquiétude. Dans un système fondé sur le papier, le document qui contient les renseignements indique dans quel contexte ils ont été recueillis. Par exemple, les renseignements peuvent prendre diverses significations tout dépendant du type de document (lettre, affidavit ou questionnaire), de la source (enquêteur, particulier, avocat) et de la date. En l'absence de contexte, les bribes d'information risquent davantage d'être mal interprétées.

Les tendances précitées, qui montrent comment nous sommes en train de perdre le contrôle de nos renseignements personnels, soulèvent des questions sur ce que nous réserve l'avenir.

DOIT-ON DIRE ADIEU À LA VIE PRIVÉE?

La convergence des technologies dans le domaine de l'informatique et des communications a fait en sorte que la collecte, la conservation, l'analyse et la récupération des renseignements se fait maintenant sur une grande échelle. La capacité de traitement de l'information en nombre permet une surveillance systématique des transactions quotidiennes qui se rapproche des pratiques que l'on associe à une « société omniprésente ».⁴⁵

La notion de « société omniprésente » s'inspire de 1984 de George Orwell et de son slogan « Big Brother vous regarde ». Dans la société décrite par George Orwell, seul le gouvernement surveillait les gens. Dans notre société contemporaine, cette surveillance est assurée à la fois par « Big Brother » et par ses « petits frères » du secteur privé :

Pensons simplement à la quantité de renseignements recueillis systématiquement pour les achats payés à l'aide d'une carte de crédit ou de débit, la plupart des transactions financières, les appels téléphoniques et toutes les communications avec les gouvernements nationaux et les administrations locales. Les supermarchés inscrivent chaque article qu'achètent leurs clients qui utilisent une carte d'escompte. Les fabricants de téléphones cellulaires sont occupés à installer du matériel qui leur permet de savoir où se trouve une personne dont l'appareil est en marche. Les postes de péage électroniques et les systèmes de surveillance de la circulation peuvent suivre le déplacement des véhicules individuels. Utilisées d'abord en Grande-Bretagne, les caméras de télévision à circuit fermé installées maintenant dans divers pays peuvent surveiller des pans entiers du paysage urbain. Le commerce des renseignements personnels a pris beaucoup d'expansion ces dix dernières années. Acxiom Corporation, une société ayant pignon sur rue à Conway, en Arkansas, possède une base de données contenant des renseignements publics et commerciaux touchant 95 % des ménages américains. Existe-t-il encore quelqu'un sur la planète qui ne sait pas que ses visites sur Internet sont consignées par quelqu'un, quelque part?

Les entreprises s'intéressent autant à leurs employés qu'à leurs clients. En 1997, un sondage mené par la American Management Association auprès de 900 grandes sociétés a révélé que près des deux tiers d'entre elles ont admis que leurs propres employés étaient soumis à une forme de surveillance électronique. De nouveaux logiciels puissants permettent aux patrons de surveiller et de capter non seulement toutes les conversations téléphoniques de leurs employés, mais aussi chaque touche qu'ils tapent et chaque courriel qu'ils envoient.⁴⁶

Les effets à venir de toutes ces activités de surveillance sur la protection de la vie privée sont devenus une source de controverse. Les défenseurs de la vie privée ont été outrés quand le chef de la direction de Sun Microsystems leur a dit crûment : « Vous n'avez plus de vie privée, alors revenez-en! »⁴⁷ Ces propos sont extrêmes certes, mais ils nous poussent à nous demander si l'érosion continuelle du contrôle que nous exerçons sur nos renseignements personnels aboutira inexorablement à la « fin de la vie privée ».

Nous devons essayer de comprendre pourquoi la protection de la vie privée semble perdre du terrain quand nous nous penchons sur son avenir. Une théorie veut que ce soit le résultat non intentionnel mais inévitable du changement technologique. Vu sous cet angle, si les programmes informatiques ont été conçus pour être capables d'établir des profils personnels détaillés, il est normal que ceux-ci soient créés et vendus.

Nous observons cependant que la technologie est en grande partie neutre à l'égard de la protection de la vie privée. Ses effets positifs ou négatifs dépendent de la façon dont on l'utilise, et ce sont des gens qui sont responsables de ces décisions.

Prenons l'exemple du logiciel cryptographique. Ce logiciel peut « brouiller » un message envoyé par courriel, de façon à ce qu'il ne puisse être lu tant qu'il n'est pas « décodé ». Si ce type de logiciel était utilisé couramment, la confidentialité des communications augmenterait, mais la détection de crimes pourrait diminuer. Par contre, si la législation obligeait les fabricants à fournir des « clés » au gouvernement et à la police (afin qu'ils puissent lire les communications codées sans mandat), la vie privée serait moins protégée mais la protection de la population et la sécurité nationale augmenteraient.

La protection de la vie privée est souvent une question d'équilibre entre les intérêts en jeu. L'idée c'est de déterminer le poids et la valeur véritables de ces intérêts. Les évaluations de renseignements personnels devraient aussi se faire dans un esprit d'ouverture et de transparence à l'égard de la population. Les gens ne sont pas nécessairement prêts à payer le prix associé aux activités envahissantes qui compromettent la vie privée d'une ou de plusieurs personnes.

La technologie de l'information est peut-être neutre à l'égard de la protection de la vie privée, mais on doit tout de même en assurer la protection pendant la phase d'élaboration des systèmes. Il faudrait pour ce faire tenir compte du fait que des éléments à la fois humains et technologiques entrent en jeu. La mise en place de toute nouvelle technologie de l'information utilisant des renseignements personnels devrait donc s'accompagner de mesures de protection de la sécurité, de dispositions relatives à la vérification de l'information et de politiques et de méthodes écrites compréhensibles.

L'exploration de données est considérée par bien des spécialistes de la protection de la vie privée comme une forme d'utilisation des banques de données contenant des renseignements personnels particulièrement envahissante. En voici la description :

L'exploration de données fait référence aux techniques automatisées utilisées pour tirer des grandes bases de données des éléments d'information dissimulés ou qu'on ne connaissait pas. Une exploration fructueuse permet d'établir des ensembles et des liens et on se sert de cette « nouvelle » information pour prendre des décisions commerciales fondées sur une connaissance proactive.⁴⁸

Un logiciel d'exploration des données arrive à établir des profils personnels en fouillant dans de grandes quantités de données. Une utilisation incontrôlée de cette technique dans le but de connaître toutes les activités des consommateurs constituerait une atteinte sérieuse à la vie privée. Mais si on adoptait des lois et des politiques, si les entreprises s'engageaient à respecter les principes liés à la protection de la vie privée et si les consommateurs exigeaient la protection de leurs renseignements personnels, on aurait déjà fait un bon bout de chemin pour éviter que les progrès technologiques sonnent le glas à la protection de la vie privée. On pourrait ainsi protéger la vie privée tout en bénéficiant des avantages substantiels associés aux applications technologiques.

Certains spécialistes de la protection de la vie privée s'inquiètent tout autant de la façon de considérer les renseignements personnels comme une « monnaie d'échange ». Ils craignent que cette perception des choses ne vienne graduellement et sérieusement compromettre la protection de la vie privée. Prise sous cet angle, l'ingérence dans la vie privée serait le résultat progressif de différents « échanges » de renseignements personnels contre une garantie de sécurité ou l'obtention de services. Par exemple, l'ingérence dans la vie privée issue de la vidéosurveillance des lieux publics serait perçue comme un échange garantissant la sécurité de ces lieux. Celle issue de la surveillance du courriel et de l'utilisation de l'ordinateur assurerait une augmentation de la productivité. Enfin, celle issue du couplage des données concernant les bénéficiaires de deux programmes sociaux différents garantirait une meilleure protection contre les fraudes.

Dans cette optique, l'ingérence dans la vie privée serait acceptable si elle découlait d'un choix. Mais quand des éléments coercitifs apparaissent, l'échange apparaît alors moins tentant :

Contrairement aux états totalitaires où les gens sacrifient leur liberté pour éviter d'être persécutés, les sociétés formées en réseaux nous incitent à nous soumettre en nous offrant des récompenses et des privilèges. En échange d'un crédit ou d'un accès - les colliers de verre de l'ère moderne - nous leur sacrifions notre vie privée.⁴⁹

L'idée de « monnaie d'échange » suppose que les gens peuvent faire et font des choix éclairés quant à la quantité de renseignements personnels qu'ils sont prêts à fournir pour assurer leur sécurité ou dans le cadre d'une transaction commerciale. La capacité à faire des choix éclairés repose toutefois sur un certain nombre de facteurs dont l'accès à ses propres renseignements personnels (Je me départis de quoi au juste?), le fait de savoir qui s'en servira et à quelles fins (Quelles sont les conséquences de cet échange?) et la possibilité de faire un choix sensé sans subir de pression (Va-t-on me pénaliser si je décide de « sortir » de l'échange?).

Les détracteurs de cette forme d'échange soutiennent que même si les gens pouvaient évaluer les coûts associés à l'échange de leurs renseignements personnels, rien ne garantirait qu'ils auraient un véritable pouvoir de négociation. Ce pouvoir dépend en grande partie de la capacité à rejeter une offre. Concrètement, quand il n'y a pas vraiment de choix offert, la menace à la vie privée est aussi grande pour ceux qui disposent de ressources que pour ceux qui n'enont pas. Par exemple, si toutes les entreprises exigeaient des renseignements comme forme de paiement pour des services, les clients auraient peu ou pas de pouvoir de négociation.⁵⁰

Il est probablement trop tôt pour dire adieu à la vie privée, mais pour en assurer la protection, il faudra insister publiquement sur son importance comme valeur positive et sociale.

COMMENT ASSURER LA PROTECTION DE LA VIE PRIVÉE?

On peut assurer la protection de la vie privée par voie législative ou par autoréglementation. Le secteur public canadien est en grande partie assujetti à des lois similaires à celles du Manitoba. Par contre, le secteur privé n'est pas réglementé, à l'exception des entreprises faisant affaires au Québec⁵¹ et des dépositaires de renseignements médicaux personnels qui pratiquent au Manitoba.⁵² La publication en 1996 du Code type sur la protection des renseignements personnels par l'Association canadienne de normalisation (CSA), puis son approbation par le Conseil canadien des normes, a donné la possibilité aux entreprises privées d'établir volontairement un juste équilibre entre la nécessité commerciale d'obtenir des renseignements personnels et la protection de la vie privée. L'expérience et l'expertise des secteurs public et privé ont d'ailleurs été mises à contribution pendant la préparation du Code type. Certaines entreprises commerciales traitent les renseignements personnels avec respect et conformément à l'éthique depuis des années et le Code n'a fait que les encourager à poursuivre dans cette voie. Cependant, l'adoption de pratiques commerciales conformes au Code type par la grande majorité des entreprises faisant affaires au Canada ne semble pas progresser au même rythme que l'expansion des technologies informatiques et du commerce électronique. En 1998, le gouvernement fédéral a présenté le projet de loi C-54 (Loi sur la protection des renseignements personnels et les documents électroniques),⁵³ qui confirme le virage amorcé à l'échelle nationale en faveur de la réglementation du secteur privé.

S'il est adopté, le projet de loi C-54 s'appliquerait à tout organisme qui recueille, utilise ou communique des renseignements personnels dans le cadre d'activités interprovinciales ou internationales, ou encore d'activités commerciales. L'application des Pratiques équitables de traitement de l'information deviendrait alors obligatoire pour une bonne partie du secteur commercial. À cet effet, les dix principes afférents au Code type⁵⁴ seraient annexés à la loi. Ces dix principes sont la responsabilité; la détermination des fins de la collecte des renseignements; le consentement; la limitation de la collecte; la limitation de l'utilisation, de la communication et de la conservation; l'exactitude; les mesures de sécurité; la transparence; l'accès aux renseignements personnels; et la possibilité de porter plainte à l'égard du non-respect des principes.

Qu'est-ce qui protège le mieux la vie privée dans le secteur commercial, la législation ou l'autoréglementation de l'industrie? Cette question controversée a été portée à l'avant-scène quand les quinze membres de l'Union européenne ont adopté la directive 95/46/CE⁵⁵ en 1995, dont voici un compte rendu :

Les dispositions concernant le cybercommerce visent à clarifier la situation des consommateurs et des sociétés qui font du commerce au moyen d'Internet sur le plan juridique, en établissant des règles portant entre autres sur la publicité, les contrats électroniques, la responsabilité et les normes professionnelles.⁵⁶

La directive stipule que des données personnelles ne doivent pas être transmises à des instances qui n'assurent pas la protection de la vie privée en fonction de normes adéquates, soit de normes qui s'inspirent des Pratiques équitables de traitement de l'information. La directive devait prendre effet en octobre 1998.

La directive a des répercussions majeures sur la protection des données par le secteur privé ailleurs dans le monde, car si on ne s'y conforme pas, on risque une suspension des transferts de données et du commerce électronique en provenance des pays européens. Le gouvernement et les entreprises des États-Unis, qui favorisent l'autoréglementation de l'industrie, sont réfractaires à la promulgation de règlements.⁵⁷ La législation relative à la protection de la vie privée est perçue comme trop coûteuse et trop interventionniste. En cette période où le « marketing personnalisé » gagne en popularité, l'on s'inquiète que les restrictions imposées sur la capacité d'une entreprise à recueillir et à vendre des données sur ses clients ne nuisent à sa compétitivité. L'on craint aussi que l'adoption d'une législation ait pour effet de réduire ou d'éliminer les revenus, car « chaque nom et adresse d'un client peut se vendre des centaines de dollars ».⁵⁸

Au Canada, l'autoréglementation de l'industrie n'est pas perçue avec le même degré d'optimisme. Une étude effectuée en 1995 a conclu ce qui suit :

Enfin, notre enquête démontre que les Canadiens ne voient pas l'autoréglementation du secteur privé d'un très bon œil. Quand on leur a demandé qu'est-ce qui garantirait une meilleure protection des renseignements personnels, seulement 7 % ont choisi l'autoréglementation de l'industrie. Les deux autres choix étaient la réglementation par le gouvernement et une plus grande participation de la population.⁵⁹

Les États-Unis sont peut-être perçus comme les plus ardents défenseurs de l'autoréglementation, mais même dans ce pays des voix s'élèvent en faveur d'une réglementation sur la protection de la vie privée. Ces pressions sont en partie attribuables à l'échec apparent de l'autoréglementation.

Une étude effectuée en mars 1998 par la Federal Trade Commission (FTC) a révélé que sur 1 400 sites Web examinés aux fins de l'étude, seulement 14 % renseignaient les visiteurs à propos de leur pratiques en matière de protection de la vie privée.

Une autre étude (avec une méthodologie différente) datant d'avril 1999 a révélé que 66 % des 364 sites visités et 94 % des 100 sites les plus populaires affichaient une politique relative à la protection de la vie privée, mais que seulement 10 % des politiques étaient conformes aux directives de la FTC.⁶⁰ Cela indique que même si un site Web fait état d'une telle politique, il y a neuf chances sur dix qu'elle ne soit pas conforme aux normes minimales établies par la FTC.

Récemment, d'autres pressions auxquelles on ne s'attendait pas ont été exercées par des chefs d'entreprise et des chefs du service de l'information, qui sont d'avis que l'adoption de la directive de l'UE imposerait des règles du jeu équitables à l'égard de la vie privée des consommateurs :

Le sondage mené auprès de 342 chefs du service de l'information et dirigeants d'entreprise a été rendu public le 29 mars 1999, lors d'une conférence (CIO Perspectives) tenue à Phœnix. Le sondage a également révélé que plus des deux tiers (73 %) des répondants trouvaient que les États-Unis devraient se conformer aux normes plus strictes que l'Europe a adoptées en matière de protection de la vie privée.⁶¹

Un des principaux obstacles auxquels se butent les tenants de l'autoréglementation est la question de sa « mise à exécution », qui n'est pas sans rappeler le rôle de surveillance du respect de la loi qui incombe à l'ombudsman ou aux commissaires en sol canadien. Comment parvient-on à assurer la protection des consommateurs sans législation? Pour ce faire, le secteur privé a créé des programmes d'accréditation dont la gestion est assurée par le Better Business Bureau (BBB Online), the Online Privacy Alliance (OPA) et TRUSTe.

Ces programmes obtiennent un succès mitigé. Par exemple, BBB Online n'évalue que les politiques et les pratiques du demandeur liées à son site Web plutôt qu'à la conduite de ses affaires en général. BBC Online a accrédité 14 sites Web et est en train d'évaluer les demandes de 240 autres entreprises. Mais même ce nombre d'accréditations peu élevé soulève la controverse :

Les défenseurs de la vie privée ont été estomaqués d'apprendre que la semaine dernière, le Better Business Bureau a accordé son « sceau d'accréditation » à Equifax, qui possède pourtant l'un des pires dossiers au pays en matière de protection de la vie privée.

En nous fondant sur les renseignements publiés par le BBB au sujet de son programme d'accréditation, nous craignons qu'il n'utilise le même genre de tactique d'évasion que TRUSTe, qui gère un autre programme d'accréditation. À la suite d'un incident avec Microsoft, TRUSTe a jugé que Microsoft avait porté atteinte à la vie privée des consommateurs, sans toutefois contrevenir aux prescriptions d'octroi d'une accréditation (…), qui font une distinction subtile entre le site Web et l'entreprise. Cette distinction nous apparaît trompeuse et injuste, parce que les consommateurs ne la comprennent pas et qu'elle nous donne la fausse impression que l'entreprise assurera la protection de leur vie privée.⁶²

Le programme d'accréditation de TRUSTe existe aux États-Unis depuis plus d'un an. Il s'agit d'une évaluation des sites Web visant à déterminer s'ils respectent les conditions de TRUSTe. Pour ce faire, ils doivent adhérer à des principes de base concernant la protection de la vie privée et la communication de renseignements personnels et accepter que TRUSTe voie à leur mise à exécution. Les sites jugés conformes à ces conditions peuvent afficher le logo d'approbation de TRUSTe (« trustmark »).

La participation au programme étant volontaire, son application demeure incomplète.⁶³ À la fin de 1998, l'on comptait plus de 300 000 000 pages Web.⁶⁴ En avril 1999, TRUSTe avait accrédité 600 sites.⁶⁵ Même si TRUSTe souligne que 45 des 100 sites Web les plus populaires sont accrédités (sites qui se partagent 35 % de tout le trafic Internet aux É.-U.), il n'en demeure pas moins que la protection de la vie privée n'est pas assurée de façon uniforme et exhaustive.

Le rôle de TRUSTe en tant qu'organisme de surveillance indépendant a également été remis en cause. L'organisme est financé par des grandes sociétés et géré par un conseil d'administration formé en partie de haut-dirigeants de ces sociétés. TRUSTe s'est retrouvé dans une position délicate⁶⁶ quand Junkbusters, un organisme américain voué à la défense de la vie privée, a déposé une plainte contre Microsoft en faisant appel à TRUSTe. C'est que Microsoft a déjà versé une contribution financière de 100 000 $ à TRUSTe et un de ses dirigeants fait partie du conseil d'administration de l'organisme.

TRUSTe a finalement établi qu'il ne pouvait faire enquête sur la plainte, parce que la collecte de renseignements personnels se rapportait à un logiciel conçu par Microsoft plutôt qu'à son site Web comme tel. Certains y ont vu là une preuve du caractère aléatoire de l'autoréglementation comme mesure visant à assurer la protection de la vie privée.

Puis il y a toute cette question de la « mise à exécution » qui demeure entière. Si un membre accrédité de TRUSTe ne respecte pas les exigences du programme d'accréditation, TRUSTe peut procéder à une vérification, révoquer l'accréditation du site, intenter une action en justice pour bris de contrat ou contrefaçon de marque, ou s'en remettre à la Federal Trade Commission. Aucune de ces mesures ne prévoit quelque forme de compensation ou de redressement que ce soit à l'endroit de la victime de l'atteinte à la vie privée. En outre, il serait étonnant qu'elles aient un effet dissuasif.

Si seulement un nombre relativement peu élevé de sites affichent le sceau d'accréditation de TRUSTe, la révocation de l'accréditation aura peu d'effet sur une entreprise. Quant aux recours en justice :

(…) [I]l faut compter au moins 20 000 $ [US] juste pour franchir la porte de la salle d'audience. (…) Le remboursement en argent n'est rien comparé aux frais de litige [des plaintes concernant la protection de la vie privée].⁶⁷

Il faut bien comprendre que TRUSTe n'intentera pas de poursuites au nom d'un particulier pour atteinte à sa vie privée. Elle n'intentera des poursuites qu'en son nom personnel pour contrefaçon de marque. Enfin, si TRUSTe compte soumettre des cas à la FTC aux fins d'enquête, ne devrait-on pas accorder à la FTC un plus grand pouvoir de mise à exécution? Pareille mesure met davantage de l'eau au moulin des tenants d'une législation plus stricte en matière de protection de la vie privée qu'elle ne favorise l'autoréglementation de l'industrie.

Les différentes perceptions à l'égard de la protection de la vie privée ont abouti à différentes formes de réglementation. Certains y voient la marque d'une différence culturelle bien ancrée, les États-Unis y exprimant ses craintes à l'égard du « gouvernement tentaculaire » (Big Brother), l'Union européenne y exprimant leurs craintes à l'égard des « entreprises géantes » (Little Brother).⁶⁸ Les États-Unis ayant toujours défendu l'autoréglementation, on a dit que les lois américaines concernant la protection de la vie privée sont adaptées aux besoins du moment ou qu'elles répondent à des questions bien précises. Il s'agit en fait d'un ensemble de lois disparates qui protègent des types de renseignements en particulier, comme les documents financiers, les rapports de solvabilité, les vidéocassettes louées, les programmes de télévision par câble, les documents pédagogiques, les immatriculations des véhicules automobiles et les factures de téléphone.

Pour sa part, le modèle canadien se rapproche davantage de ce qui se fait dans l'Union européenne. Sa législation repose sur de grands principes visant la protection des renseignements personnels, ce qui laisse croire qu'elle s'adaptera plus facilement aux changements sociaux et économiques. Avec le projet de loi C-54, le Canada cherche à faire respecter le droit à la protection de la vie privée aussi bien dans le secteur public que privé, en accord avec la directive de l'UE.

Mais le projet de loi C-54 a ses détracteurs. Certains ont indiqué qu'il va trop loin en assurant la protection de la vie privée au détriment du commerce. D'autres ont dit qu'il n'allait pas assez loin pour garantir la protection de la vie privée.

Du côté des entreprises, on soutient que l'adoption du projet de loi C-54 nuira aux transactions commerciales en raison des restrictions touchant la collecte, l'utilisation et la communication de renseignements sans consentement. Puisque ces restrictions s'appliquent aux données concernant les employés et les clients, la capacité de vendre ces renseignements (ou même de les transférer d'un service à l'autre) sera invariablement affectée. On a également fait remarquer que les entreprises seront aux prises avec de nouveaux problèmes d'ordre administratif, parce qu'elles devront recenser tous les renseignements personnels qu'elles possèdent, expliquer pourquoi elles conservent ces données et déterminer si elles ont le droit d'utiliser et de communiquer une partie ou l'ensemble de ces renseignements personnels. La principale critique concerne cependant la mise à exécution de la législation :

Le commerce dans un environnement sans frontière comme le cyberespace dépasse le cadre national. La mise à exécution de la réglementation canadienne concernant la protection de la vie privée sera extrêmement difficile. Si le projet de loi C-54 entre en vigueur, il risque de créer un désavantage concurrentiel au lieu de faire du Canada un lieu ouvert au commerce électronique (…).⁶⁹

Pour leur part, les défenseurs de la vie privée soutiennent que la protection proposée par le projet de loi C-54 est trop restreinte, notamment parce que la législation est axée sur la protection des données plutôt que sur la protection de la vie privée des particuliers. Des commentateurs ont même dit que la législation pourrait contrevenir à l'esprit de la Charte canadienne des droits et libertés, parce qu'elle accorderait de trop grands pouvoirs d'enquête au Commissaire à la protection de la vie privée. Parmi ces pouvoirs mentionnons celui d'aller chercher sans mandat des documents dans un local autre qu'une résidence, d'assigner des témoins à produire des éléments de preuve, et de recevoir des éléments de preuve indépendamment de leur admissibilité devant les tribunaux. Des détracteurs du projet de loi en sont arrivés à la conclusion suivante :

Faire des pressions en faveur de cette loi en se disant qu'une certaine protection de la vie privée vaut mieux que rien du tout, c'est manquer de vision. Le projet de loi C-54 a ses mérites, mais l'adoption d'une loi à tout prix n'a pas sa raison-d'être.⁷⁰

Le projet de loi C-54 a peut-être fait l'objet de critiques et de discussions, mais il faut tout de même souligner que bien des entreprises et des défenseurs de la vie privée l'ont endossé.

RENSEIGNEMENTS À L'ÉTRANGER

Si la législation manitobaine en matière de protection de la vie privée s'applique à la plupart des organismes du secteur public et à certains dépositaires du secteur privé, elle n'a pas compétence à l'extérieur de la province. Cette limite territoriale a des conséquences sur la protection des renseignements personnels transmis " à l'extérieur ", soit ailleurs au Canada ou dans le monde. Les organismes publics du Manitoba signent des ententes en vertu desquelles ils envoient des renseignements personnels concernant des Manitobains à d'autres paliers de gouvernement. Mais une fois qu'ils ont quitté la province, le bureau de l'ombudsman perd son droit de regard sur eux. Par exemple, si un organisme fédéral perd les renseignements personnels qu'un organisme public manitobain lui a fournis (noms, adresses, dates de naissance, identificateurs, etc.), notre bureau ne serait pas habilité à faire enquête sur les actions de l'organisme fédéral.

D'où le besoin de se doter d'une forme de protection législative et de surveillance indépendante qui dépasserait le cadre provincial et même fédéral. Le projet de loi C-54 aurait pour effet d'étendre la protection des données à des pans entiers du secteur privé ainsi qu'aux transferts de renseignements d'une province à l'autre. Il y a également bien des chances que la directive de l'UE ranime le débat entourant la protection des données canadiennes transmises d'une province à l'autre et ailleurs dans le monde.

COMMERCE ÉLECTRONIQUE

La protection de la vie privée est perçue par certains comme une entrave à l'innovation dans les secteurs public et privé. Le développement du commerce électronique (cybercommerce) au moyen d'Internet nous en fournit l'illustration. Des statistiques indiquent que presque 57 % des Canadiens ont un ordinateur personnel à la maison et que 28 % ont accès à Internet.⁷¹ Les données qui suivent donnent un bon aperçu du potentiel économique d'Internet. En 1998, l'on comptait 36 739 000 hôtes Internet et 300 000 000 pages Web. En mars 1999, l'on comptait 158 000 000 ordinateurs mis en ligne dans le monde, dont 88 000 000 au Canada et aux États-Unis.⁷²

Les détracteurs de la réglementation sur la protection de la vie privée craignent que l'adoption des Pratiques équitables de traitement de l'information ne vienne freiner la croissance du cybercommerce. Ils prévoient que la réglementation de la collecte, de l'utilisation et de la communication des renseignements engendrera une hausse des coûts et nuira à la compétitivité.

Pourtant, le cybercommerce semble se buter à des obstacles importants qu'il ne pourra surmonter qu'en cherchant à promouvoir la protection de la vie privée. Prenons l'exemple d'une étude menée en 1998 auprès des ménages canadiens, qui concluait ceci :

Ces inquiétudes au sujet de la protection de la vie privée ont des répercussions sur le commerce électronique (cybercommerce), un secteur en pleine croissance. Outre les difficultés techniques et promotionnelles propres à cette forme de commerce, il y a cette grande hésitation des Canadiens à fournir des renseignements importants par voie électronique. À ce moment-ci, la grande majorité des Canadiens (87 pour cent) hésitent à fournir les renseignements de base requis (leur numéro de carte de crédit) pour faire des transactions commerciales au moyen d'Internet.

Il ne faudrait donc pas se surprendre, à la lumière des préoccupations exprimées, que les gouvernements prennent des mesures pour assurer la sécurité des transactions financières qui se font au moyen d'Internet. Trois Canadiens sur quatre (74 pour cent) sont d'accord avec cela. Ce sentiment est partagé par l'ensemble des groupes démographiques.⁷³

Se pourrait-il que la protection de la vie privée soit une composante essentielle du cybercommerce plutôt qu'un obstacle? Si c'est le cas, la législation à cet effet devrait être accueillie favorablement par la population et l'industrie.

Au moment même où les dépositaires et les gestionnaires de renseignements personnels doivent s'adapter à un monde nouveau où l'informatique et les communications électroniques transfrontalières ne cessent de progresser, des valeurs humaines fondamentales comme le droit à la protection de la vie privée forcent les gouvernements et les dirigeants d'entreprise à trouver des façons éthiques de diriger leurs affaires tout en tirant avantage de la nouvelle technologie. Dans un tel contexte, l'absence de réponses claires, les attitudes ambivalentes, les positions ambiguës et même les directives contradictoires n'ont pas de quoi étonner. Pour illustrer nos propos, revenons au sondage mené auprès de 342 chefs du service de l'information dont nous avons déjà parlé, tel que rapporté par International Data Group (IDG), une entreprise spécialisée dans la technologie de l'information :

Tucson, AZ - le 31 mars 1999 - Un nouveau sondage (…) mené pour le compte du magazine CIO d'IDG auprès des chefs du service de l'information révèle que la majorité des dirigeants des grandes entreprises spécialisées dans la technologie hésitent à fournir des renseignements personnels pour obtenir un bien vendu au moyen d'Internet, tout en admettant que l'obtention de ce genre de renseignements est primordiale au succès de leur entreprise. Soixante pour cent (60 %) des dirigeants soutiennent que la collecte et la conservation de renseignements sur les acheteurs en ligne l'emportent sur les inquiétudes au sujet de la protection de leur vie privée. Pourtant, autant de dirigeants (60 %) hésitent à fournir des renseignements personnels en échange d'une plus-value ou d'une plus grande facilité d'utilisation d'Internet à des fins personnelles. Selon Lew McCreary, directeur du CIO Magazine, « les dirigeants sont pris entre deux feux : leurs intérêts commerciaux et leur conscience. Ils veulent maintenir leur position concurrentielle en approchant les consommateurs à des fins de marketing, tout en se gardant de devenir trop envahissants ».

Le sondage mené auprès de 342 chefs du service de l'information et dirigeants d'entreprise a été rendu public le 29 mars 1999, lors d'une conférence (CIO Perspectives) tenue à Phœnix. Le sondage a également révélé que plus des deux tiers (73 %) des répondants trouvaient que les États-Unis devraient se conformer aux normes plus strictes que l'Europe a adoptées en matière de protection de la vie privée. La directive à cet égard adoptée en 1995 par l'Union européenne interdit aux agents de vente directe de procéder au traitement de données de nature délicate concernant des consommateurs sans leur consentement. Bien que la majorité des répondants voyaient d'un bon œil l'adoption de normes plus sévères concernant la protection de la vie privée, seulement 9 % croyaient que l'adoption de telles normes pour Internet favoriserait l'essor du cybercommerce aux États-Unis. « Ces dirigeants semblent attacher plus d'importance aux principes régissant le commerce en ligne qu'à sa simplification, d'expliquer M. McCreary. L'adoption des normes plus sévères de l'UE concernant la protection de la vie privée aurait pour effet d'uniformiser les règles du jeu du cybercommerce en dictant où se situe la limite à ne pas franchir en matière de protection de la vie privée des consommateurs.⁷⁴

RÉCAPITULATION

La protection de la vie privée repose actuellement sur des textes de loi hétéroclites, le bon vouloir du secteur commercial et la vigilance de la population. Le Manitoba a franchi une étape déterminante à l'égard de la protection de la vie privée en adoptant une législation qui régit la collecte, l'utilisation, la communication et la sécurité des renseignements personnels d'une part, et en se dotant d'un mécanisme de surveillance du respect de cette législation par l'entremise du bureau de l'ombudsman d'autre part. Ce bureau a aussi le devoir de renseigner la population sur la LAIPVP et la LRMP. La protection des renseignements personnels est une responsabilité que se partagent les dépositaires de ces renseignements et la société, dont les membres sont personnellement concernés. Maintenir le contrôle des renseignements nous concernant que nous voulons protéger fait partie de cette responsabilité. Nous espérons que ce résumé de la situation actuelle favorisera une plus grande sensibilisation et incitera les gens à aborder les questions liées à la protection de la vie privée, qui ne cessent d'évoluer.

Notes

¹ La Loi sur l'accès à l'information et la protection de la vie privée s'applique à tous les « organismes publics », ce qui comprend un ministère, un organisme gouvernemental, le Bureau du conseil exécutif et le bureau d'un ministre (art. 1). Les services de la Ville de Winnipeg entrent aussi dans cette définition. Les « organismes publics locaux » (écoles, établissements de soins de santé, municipalités) seront aussi considérés comme des « organismes publics » quand les dispositions habilitantes prendront effet. Au moment d'écrire ces lignes, elles n'avaient pas encore été adoptées.
² La Loi sur les renseignements médicaux personnels s'applique à tous les « dépositaires », comme les professionnels de la santé, les établissements de soins de santé, les organismes de services de santé et les organismes publics (art. 1). Par conséquent, la Loi s'applique aussi aux professionnels de la santé du secteur privé qui recueillent ou maintiennent des renseignements médicaux personnels.
³ Trois lois régissent la « protection de la vie privée » au Manitoba. La Loi sur l'accès à l'information et la protection de la vie privée régit la collecte, l'utilisation et la communication des renseignements personnels, tandis que la Loi sur les renseignements médicaux personnels régit la collecte, l'utilisation et la communication des renseignements médicaux personnels. En vertu de ces deux textes législatifs, le bureau de l'ombudsman est considéré comme un organisme indépendant chargé de veiller au respect des dispositions relatives à la protection de la vie privée. La Loi sur la protection de la vie privée ne fait qu'établir le fondement juridique d'une action au civil concernant une atteinte à la vie privée. Le bureau de l'ombudsman ne joue aucun rôle de surveillance en vertu de cette législation.
⁴ Commentaire de Peter Holle, paru dans l'article intitulé « Hi-tech: Big Benefits or Big Brother? », The Winnipeg Sun, 30 novembre 1998. M. Holle est cité à titre de président du « Frontier Centre for Public Policy ».
⁵ Roger Clarke. Introduction to Dataveillance and Information Privacy, and Definitions of Terms, 15 octobre 1998, p.2, http://www.anu.edu.au/people/Roger.Clarke/DV/Intro.html (traduction libre).
⁶ OCDE. Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, 1981, I.L.M. 422, O.C.D.E., doc. no C(80)58, version finale. On peut aussi consulter le document à l'adresse suivante : http://www.oecd.org/.
⁷ Accès à l'information et protection de la vie privée au Manitoba - Document de discussion, annexe A : « Pratiques équitables de traitement de l'information », Culture, Patrimoine et Citoyenneté Manitoba, mai 1996.
⁸ Pour en savoir plus long sur les causes fondées sur la Charte, notamment celles concernant les art. 7 et 8, lire les Décisions relatives à la Charte canadienne des droits et libertés, par Graham Garton, c.r., juillet 1998, que l'on trouve sur le site Web du ministère de la Justice du Canada (http://canada.justice.gc.ca/).
⁹ L'article 1 de la Charte constitue une exception à tous les droits mentionnés dans le document. L'article se lit comme suit : « La Charte canadienne des droits et libertés garantit les droits et libertés qui y sont énoncés. Ils ne peuvent être restreints que par une règle de droit, dans des limites qui soient raisonnables et dont la justification puisse se démontrer dans le cadre d'une société libre et démocratique. »
¹⁰ Pour des exemples, voir Hunter et al. c. Southam Inc. [1984] 2 R.C.S. 145 et R. c. Edwards [1996] 1 R.C.S. 128. Les effets de la Charte sur la protection de la vie privée sont abordés dans le Rapport annuel du Commissaire à la protection de la vie privée, 1997-1998, ministère des Travaux publics et des Services gouvernementaux, 1998, IP 30-1/1998, pp. 91-97.
¹¹ Ann Cavoukian et Don Tapscott. Who Knows: Safeguarding Your Privacy in a Networked World, Toronto, Random House of Canada, 1995, p. 25 (traduction libre).
¹² L'annexe B dresse la liste des textes législatifs canadiens visant l'accès à l'information et la protection de la vie privée, ainsi que des personnes ressources des organismes de réglementation fédéraux et provinciaux.
¹³ L'annexe C dresse la liste des sites Web des organismes voués à la défense de la vie privée dans le monde.
¹⁴ David Banisar et Simon Davies. Privacy and Human Rights: An International Survey of Privacy Laws and Practice (1998). On peut trouver cet article en consultant le site Web de Global Internet Liberty Campaign (GILC) [http://www.gilc.org/privacy], de Privacy International (PI) [http://www.privacyinternational.org/] ou du Electronic Privacy Information Centre (EPIC) [http://www.epic.org/].
¹⁵ Colin Bennett, Robert Gellman, Nigel Waters et Charles Raab. Application of a methodology to assess the adequacy of the level of protection of individuals with regard to processing personal data: test of the method of several categories of transfer - final report, septembre 1998, pp.96 - 102. (http://www.europa.eu.int/comm/dg15/en/public/index.htm#5). Ce rapport a été préparé pour la Commission des Communautés européennes. La législation manitobaine a été choisie comme « cas type » parce qu'elle était unique au Canada. L'évaluation concluait que la législation adhérait aux principaux principes visant la protection de la vie privée établis dans la directive de l'UE. La principale critique était que la LRMP n'assure pas une « protection totale » des dossiers médicaux, parce que certains des principaux utilisateurs de renseignements médicaux sur des patients (assureurs de tiers et employeurs du secteur privé) n'y sont pas assujettis.
¹⁶ Ekos Research Associates Inc. Privacy Revealed, Ottawa, 1993, p.4.
¹⁷ Louis Harris & Associates. The Equifax Canada Report on Consumers and Privacy in the Information Age, Anjou, Equifax Canada Inc., 1995, p.59.
¹⁸ Philippa Lawson et Marie Vallée. "Canadians Take Their Information 'Personal,'" Privacy Files 1, 1, octobre 1995, p. 8 (traduction libre).
¹⁹ Ibid, p. 7 (traduction libre).
²⁰ Janlori Goldman. "Privacy and Individual Empowerment in the Interactive Age," dans Visions of Privacy: Policy choices for the Digital Age, Colin J. Bennett and Rebecca Grant (édit.), Toronto, University of Toronto Press, 1999, p.101-102 (traduction libre).
²¹ Privacy International se décrit comme un « groupe voué à la défense des droits de la personne créé en 1990 afin de surveiller les gouvernements et les sociétés. Le bureau principal de PI est à Londres, en G.-B. PI a aussi un bureau à Washington D.C. PI a mené des campagnes en Europe, en Asie et en Amérique du Nord afin de dénoncer l'emploi abusif de la technologie de l'information (écoute téléphonique, systèmes de cartes d'identité, vidéosurveillance, couplage des données, systèmes d'information policière et dossiers médicaux) ». Voici l'adresse de leur page d'accueil : http://www.privacy.org/pi/.
²² "Privacy and Human Rights: an international survey of privacy laws and practice" (traduction libre). Ce rapport donne une bonne idée de ce qu'il en est du droit à la vie privée et des questions afférentes dans le monde. On peut le consulter à l'adresse suivante : http://www.gilc.org/privacy/survey/intro.htm.
²³ Privacy International (PI) affirme que la protection de la vie privée a de multiples facettes et se définit de bien des façons, ce qui ne réduit en rien son importance. D'après PI, « la protection de la vie privée est souvent perçue comme une façon d'établir à partir de quand la société n'a plus à se mêler des affaires des gens. Elle peut prendre les dimensions suivantes : · protection des renseignements personnels, soit l'établissement de règles régissant la collecte et l'utilisation des données personnelles comme les renseignements sur le crédit et les dossiers médicaux; · protection de l'intégrité personnelle, soit la protection contre les interventions invasives comme les tests de dépistage des drogues et l'examen des cavités corporelles; · protection des communications, soit la sécurité et la confidentialité du courrier, des conversations téléphoniques, du courriel, etc.; · protection du territoire, soit l'établissement de limites par rapport aux intrusions du milieu familial et autres, comme le milieu du travail et les endroits publics. » Ibid., p. 4.
²⁴ Valerie Steeves. "Privacy in Canada: A Public Interest Perspective", Electronic Commerce and Privacy Legislation: Building Trust and Confidence Conference, Ottawa (Ontario), février 1999. On trouvera d'autres articles sur la protection de la vie privée en tant que droit de la personne sur le site Web du Centre de recherche et d'enseignement sur les droits de la personne de l'Université d'Ottawa (http://www.uottawa.ca/hrrec/).
²⁵ Valerie Steeves. "Privacy in Canada: A Public Interest Perspective", Electronic Commerce and Privacy Legislation: Building Trust and Confidence Conference, Ottawa (Ontario), février 1999.
²⁶ Rapport du Comité permanent des droits de la personne et de la condition des personnes handicapées (Chambre des Communes), La vie privée : Où se situe la frontière?, Ottawa, Travaux publics et Services gouvernementaux, avril 1997, p.33.
²⁷ Pour en savoir davantage sur la balance des pouvoirs dans les transactions commerciales et la collecte de renseignements personnels, lire "Coming to Terms with the Panoptic Sort", par Oscar H. Gandy Jr., dans Computers, Surveillance and Privacy, David Lyon et Elia Zureik (édit.), Minneapolis, University of Minnesota Press, 1996, p.145.
²⁸ Tyler Hamilton. "Security breach exposes private Air Miles data", GLOBEtechnology.com, 22 janvier 1999 (http://www.globetechnology.com/).
²⁹ "Email latest victim of privacy breach," CNET News.com, 16 avril 1999. Cet article se trouve à l'adresse suivante : http://technews.netscape.com/.
³⁰ Troy Wolverton. "Another corporate email gaffe", CNET News.com, 21 avril 1999. Cet article se trouve à l'adresse suivante : http://technews.netscape.com/.
³¹ Troy Wolverton. "Privacy at risk in e-commerce rush", CNET News.com, 21 avril 1999. Cet article se trouve à l'adresse suivante : http://technews.netscape.com/.
³² Ralph Maddocks. "May this not be an omen," Le Québécois libre, 6 mars 1999, p. 6.
³³ Mike Langberg. "Digital camcorders: The numbers add up", Seattle Times.com, 11 avril 1999. Selon l'auteur, on peut maintenant se procurer une caméra numérique pour environ 800 $ et le prix continuera probablement de baisser. Cet article se trouve à l'adresse suivante : http://www.seattletimes.com/news/technology/.
³⁴ Simon Davies. "Europe plans huge spy web", UK Telegraph Online, 7 janvier 1999 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.telegraph.co.uk/.
³⁵ Steve Wright. An appraisal of technologies for political control, Parlement européen, Direction générale de la recherche, janvier 1998 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.telepolis.de/
³⁶ Paul Somerson. "Bombshell", ZDNet.com, 3 mars 1999 (traduction libre). Selon l'auteur, on peut obtenir des programmes permettant de détecter la présence de micros ouverts à l'adresse suivante : http://www.pccomputing.com/snoopfix. Cet article se trouve à l'adresse suivante : http://www.zdnet.com/pccomp/.
³⁷ Roger Clarke. Information Technology and Dataveillance, novembre 1987, p.3. Cet article se trouve à l'adresse suivante : http://www.anu.edu.au/people/Roger.Clarke/DV/Intro.html.
³⁸ Il s'agit des groupes suivants : the American Civil Liberties Union, the National Consumers League, the Consumer Federation of America, Privacy Times, the Centre for Media Education et the Center for Democracy and Technology. Lire Stephanie Miles, "Movement to halt Pentium III grows", CNET News.com, 5 mars 1999, et Stephanie Miles, "Groups press agency on Pentium III", CNET News.com, 8 mars 1999. Ces articles se trouvent à l'adresse suivante : http://technews.netscape.com/. Privacy International, the Global Internet Liberty Campaign, the Electronic Privacy Information Centre et Junkbusters appuyaient aussi le boycottage.
³⁹ Accès à l'information et protection de la vie privée au Manitoba - Document de discussion, annexe A : « Pratiques équitables de traitement de l'information », Culture, Patrimoine et Citoyenneté Manitoba, mai 1996.
⁴⁰ Rapport annuel du Commissaire à la protection de la vie privée, 1990-1991, ministère des Travaux publics et des Services gouvernementaux, 1991, pp.47-51.
⁴¹ Article 46 de la Loi sur l'accès à l'information et la protection de la vie privée.
⁴² Roger Clarke. Dataveillance by Governments: The Technique of Computer Matching, juillet 1993, p.5 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.anu.edu.au/people/roger.Clarke/DV/MatchIntro.html.
⁴³ Roger Clarke. A Normative Regulatory Framework for Computer Matching, février 1994, p.6 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.anu.edu.au/people/roger.Clarke/DV/MatchFrame/html.
⁴⁴ Colin J. Bennett. "The Public Surveillance of Personal Data", dans Computers, Surveillance and Privacy, David Lyon & Elia Zureik (édit.), Minneapolis, University of Minnesota Press, 1996, pp. 253-256.
⁴⁵ Pour en savoir plus long sur le concept de « société omniprésente », lire le livre de David Flaherty, Protecting Privacy in Surveillance Societies: The Federal Republic of Germany, Sweden, France, Canada and the United States, Chapel Hill, University of North Carolina Press, 1989.
⁴⁶ Bureau de la rédaction. "The surveillance society", The Economist, 1er mai 1999 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.economist.com/.
⁴⁷ John Markoff. "A growing compatibility issue in the digital age: Computers and their users' privacy", The New York Times, 3 mars 1999. Cet article se trouve à l'adresse suivante : http://www.nytimes.com/.
⁴⁸ Data Mining: staking a claim on your privacy, Bureau du commissaire à l'information et à la protection de la vie privée de l'Ontario, p. 4 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.ipc.on.ca/.
⁴⁹ Sandra Martin. "Oh, pity our ever-shrinking private parts", The Globe and Mail, 10 avril 1999 (traduction libre). L'article fait aussi la critique de The End of Privacy: How Total Surveillance is Becoming a Reality (New Press), par Reg Whitaker. Cet article se trouve à l'adresse suivante : http://www.news.globetechnology.com/.
⁵⁰ Pour en savoir plus long sur le pouvoir de négociation entre les entreprises et les consommateurs, lire l'article de Oscar H. Gandy intitulé "Coming to Terms with the Panoptic Sort", dans Computers, Surveillance and Privacy, David Lyon & Elia Zureik (édit.), Minneapolis, University of Minnesota Press, 1996, pp. 142-146.
⁵¹ Projet de loi 68, Loi sur la protection des renseignements personnels dans le secteur privé (1994).
⁵² En vertu de la Loi sur les renseignements médicaux personnels, les professionnels de la santé sont considérés comme des « dépositaires ».
⁵³ Le nom au complet du projet de loi C-54 est Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances, en prévoyant l'utilisation de moyens électroniques pour communiquer ou enregistrer de l'information ou des transactions et en modifiant la Loi sur la preuve au Canada, la Loi sur les textes réglementaires et la Loi sur la révision des lois. Pour une analyse poussée du projet de loi C-54, lire Privacy Scan: Analysis and Insight into Bill C-54, Personal Information Protection and Electronic Documents Act, par Murray Long, Murray Long Communications & Policy Consulting, 1999 (http://www.members.home.net/murraylong/).
⁵⁴ Un comité formé de représentants du monde des affaires, du secteur public, des organismes de consommateurs et du monde du travail ont établi le Code type sur la protection des renseignements personnels de la CSA. Cette autoréglementation décrivant les normes minimales qu'une entreprise doit respecter pour assurer la protection de la vie privée a été incorporée comme annexe au projet de loi C-54. Le code type se trouve à l'adresse suivante : http://www.csa-international.org/. (En janvier 1999, l'Association canadienne de normalisation est devenue CSA International).
⁵⁵ Son titre au complet est Directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Le Parlement européen l'a adoptée le 20 août 1996. Ce document se trouve à l'adresse suivante : http://www.europa.eu.int/.
⁵⁶ Reuters. "EU ministers to rule on e-commerce measures", CNET News.com, 19 avril 1999 (traduction libre). Pour approfondir le sujet, aller à l'adresse suivante : http://technews.netscape.com/.
⁵⁷ Voir l'article de Colin J. Bennett et de Charles D. Raab intitulé "The Adequacy of Privacy: The European Union Data Protection Directive and the North American Response", dans The Information Society, Taylor & Francis, 1997.
⁵⁸ Jeremy Quittner. "Would you sell your secrets for free Internet services?", Businessweek.com, 13 mai 1999. Cet article se trouve à l'adresse suivante : http://www.businessweek.com/.
⁵⁹ Philippa Lawson et Marie Vallee. "Canadians Take Their Information 'Personal,'" Privacy Files 1, 1, octobre 1995, p. 8 (traduction libre).
⁶⁰ Courtney Macavinta. "Study: Data privacy policies fall short", CNET News.com, 12 mai 1999. Pour approfondir le sujet, aller à l'adresse suivante : http://technews.netscape.com/.
⁶¹ Communiqué de presse, "CIOs grapple with double standard on internet privacy regulation", CIO Perspectives Conference, 31 mars 1999 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.cio.com/knowpulse/perspectives99/.
⁶² Jason Catlett. "Self-regulation and privacy: Seal programs", Junkbusters.com, 21 avril 1999. La lettre se trouve sur le site Web de Junkbusters (http://www.junkbusters.com/). Elle est aussi citée dans un article de Tim Clark intitulé "BBB Online takes flak for Equifax approval", CNET News.com, 21 avril 1999 (traduction libre). Pour approfondir le sujet, aller à l'adresse suivante : http://technews.netscape.com/.
⁶³ Richard Raysman et Peter Brown. Privacy and the Internet, mai 1998 (http://www.ljx.com/securitynet/articles/).
⁶⁴ Gerry Miller, Gerri Sinclair, David Sutherland et Julie Zilber. Réglementation d'Internet - une perspective technologique, Industrie Canada, mars 1999, p.16-21. Cet article se trouve à l'adresse suivante : http://strategis.ic.gc.ca/.
⁶⁵ Renseignements fournis par le directeur de la promotion commerciale de TRUSTe le 15 avril 1999. Pour en savoir plus long sur TRUSTe, aller à l'adresse suivante : http://www.truste.org/.
⁶⁶ Tim Clark. "Truste asked to probe Microsoft", CNET News.com, 16 mars 1999. Cet article se trouve à l'adresse suivante : http://technews.netscape.com/.
⁶⁷ Alan Cohen. Privacy on the Internet: Concerns Grow, Laws Lag, mars 1998 (traduction libre) (http://www.ljx.com/securitynet/articles/).
⁶⁸ Colin J. Bennett et Charles D. Raab. "The Adequacy of Privacy: The European Union Data Protection Driective and the North American Response", dans The Information Society, Taylor & Francis, 1997, pp. 258-261.
⁶⁹ Richard C. Owens. "Ottawa's privacy protection spells business obstruction", National Post Online, 22 avril 1999 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.nationalpost.com/.
⁷⁰ Mark D. Hughes. "Canada's Bill C-54, Civil liberties and Machiavelli", ISPI Privacy Reporter 2, 3, juillet 1999, p.2 (traduction libre).
⁷¹ Ekos Research Associates Inc. Information Highway and the Canadian Communications Household - Overview of Findings, 23 février 1998, p.4 (http://www.ekos.com/FEB98.HTML).
⁷² Gerry Miller, Gerri Sinclair, David Sutherland et Julie Zilber, Réglementation d'Internet - une perspective technologique, Industrie Canada, mars 1999, p.16-21. Cet article se trouve à l'adresse suivante : http://strategis.ic.gc.ca/.
⁷³ Ekos Research Associates Inc. Information Highway and the Canadian Communications Household - Overview of Findings, 23 février 1998, p.6 (traduction libre) (http://www.ekos.com/FEB98.HTML).
⁷⁴ Communiqué de presse, "CIOs grapple with double standard on Internet privacy regulation", CIO Perspectives Conference, 31 mars 1999 (traduction libre). Cet article se trouve à l'adresse suivante : http://www.cio.com/knowpulse/perspectives99/.

ANNEXE A

Fair Information Practices:

Informational privacy is achieved when personal information is restricted in use to the purposes for which it was collected, or for a use consistent with that purpose, or for additional uses with the consent of the individual, or for uses provided by law, or in ways that make it impossible to identify individuals.

A. On Collection of Data:

An organization should not collect more personal information than is necessary to meet clearly identified purposes for collection.

Purposes should be identified at or before the time of collection, and the authority for collection should be made known to the person from whom it is being collected.

Methods of collecting personal information should be lawful and fair to the person, to avoid deception.

B. On Consent for Collection, Use or Disclosure

Personal information should not be collected, used or disclosed without the knowledge and consent of the person whom the information is about.

To ensure the consent is meaningful, the purposes for and means of obtaining consent should be stated in a manner that the person can reasonably understand.

Consent, given orally or in writing, may be withdrawn at any time with reasonable notice, subject to contractual limitations previously agreed to.

In certain specific instances, such as law enforcement, medical or security concerns, obtaining consent from the person whom the information is about may be impractical or harmful.

C. On Use and Re-use:

The use of personal information should be consistent with the purpose for which it was collected, unless the person the information is about has consented to its use for other purposes.

It should be as accurate, complete and up to date as is necessary for the purposes of use.

A list should be published of consistent purposes for which information is disclosed.

D. On Disclosure:

Terms of disclosure of personal information should be defined and specific. Information should be disclosed to people other than the person it is about only with the consent of that person, or if it must be disclosed by law.

E. On Individual Access:

People should be allowed to know what information is retained about them, at minimal cost and time, and be able to correct information about themselves where it can be shown that the information is inaccurate or incomplete.

F. On Retention:

Personal information should be retained only as long as it is required for (1) the purposes for which it was collected, or (2) the uses that have received consent, or (3) reasonable access opportunity for the person whom the information is about.

G. On Security:

Organizations should develop measures, physical or technological, to protect information from unauthorized access, collection, disclosure, copying, modification, use or disposal.

H. On Openness:

Policies and practices about the management of information should be available and easily understandable. The name and address of a person who is accountable for the policies and practices, and to whom inquiries can be made, should be publicized.

Complaints about abuse of practices or challenges to compliance should be investigated and redressed, or dismissed through an independent appeal process. Depending upon the process established, abuse or non-compliance may be subject to civil or criminal penalties.

Source: Manitoba Culture, Heritage and Citizenship, Access to Information and Privacy Protection for Manitoba - A Discussion Paper (May 1996).

ANNEXE B

Lois canadiennes administrant l'accès à l'information

Les personnes qui désirent avoir accès à de l'information peuvent obtenir de l'aide supplémentaire auprès des sources suivantes :

Gouvernement fédéral

À PROPOS de l'accès à l'information :
Commissaire à l'information du Canada
112, rue Kent, 3e étage
Ottawa (Ontario)
K1A 1H3
Téléphone : (613) 995-2410
Télécopieur : (613) 995-1501
URL du site Web : http://magi.com/~accessca/

À PROPOS de la protection de la vie privée :
Commissaire à la protection de la vie privée du Canada
112, rue Kent, 3e étage
Ottawa (Ontario)
K1A 1H3
Téléphone : (613) 995-2410
Numéro sans frais au Canada : 1 800 267-0441
Télécopieur : (613) 995-1501
URL du site Web : http://www..privcom.gc.ca/

Gouvernement provincial

À PROPOS des modalités d'accès :
Alberta
Information and Privacy Commissioner of Alberta
9925, 109e Rue, bureau 410
Edmonton (Alberta)
T5K 2J8
Téléphone : (403) 422-6860
Télécopieur : (403) 422-5682
Courriel : ipcab@planet.eon.net
URL du site Web : http://www.ab.ca/foip/

À PROPOS de la Loi :
Information Management & Privacy Branch
Alberta Department of Public Works, Supply & Services
6950, 113e Rue
Edmonton (Alberta)
T6H 5V7
Téléphone : (403) 422-2657
Télécopieur : (403) 427-1120

À PROPOS des modalités d'accès :
Colombie-Britannique
Information & Privacy Commissioner of British Columbia
1675, rue Douglas, 4e étage
Victoria (Colombie-Britannique)
V8V 1X4
Téléphone : (250) 387-5629
Télécopieur : (250) 387-1696
Courriel : pesmith@gems3.gov.bc.ca
URL du site Web : http://www.oipcbc.org/

À PROPOS de la Loi de 1993 :
Ministry of the Attorney General of British Columbia
609, avenue Broughton
Victoria (Colombie-Britannique)
V8V 1X4
Téléphone : (250) 356-8430

À PROPOS des modalités d'accès et des projets de loi de 1997 :
Manitoba
Ombudsman du Manitoba
500, avenue Portage, bureau 750
Winnipeg (Manitoba)
R3C 3X1 Téléphone : (204) 786-6483
Télécopieur : (204) 942-7803

À PROPOS des modalités d'accès :
Nouveau-Brunswick
Ombudsman du Nouveau-Brunswick
703, rue Brunswick
Case postale 6000
Fredericton (Nouveau-Brunswick)
E3B 5H1
Téléphone : (506) 453-2789
Numéro sans frais au Nouveau-Brunswick : 1 800 561-4021
Télécopieur : (506) 457-7896

À PROPOS des lois :
Terre-Neuve
Director of Public Prosecutions
Department of Justice of Newfoundland
Immeuble Confederation
Case postale 8700
St. John's (Terre-Neuve)
A1B 4J6
Téléphone : (709) 729-5942
Télécopieur : (709) 576-2129

À PROPOS des modalités d'accès :
Territoires du Nord-Ouest
Information and Privacy
Commissioner of the Northwest Territories
5018, 47e Rue
Yellowknife (Territoires du Nord-Ouest)
X1A 2N2
Téléphone : (867) 669-0976
Télécopieur : (867) 920-2511

À PROPOS de la Loi :
Minister of Justice of the Northwest Territories
Department of the Executive
Case postale 1320
Yellowknife (Territoires du Nord-Ouest)
X1A 2L9
Téléphone : (867) 669-0976
Télécopieur : (867) 920-2511

À PROPOS des modalités d'accès :
Nouvelle-Écosse
Review Officer of Nova Scotia
1601, rue Lower Water, bureau 3
Case postale 1692, unité postale M
Halifax (Nouvelle-Écosse)
B3J 3S3
Téléphone : (902) 424-4448
Télécopieur : (902) 424-3919

À PROPOS de la Loi :
Office of the Legislative Counsel
Immeuble Howe, 9e étage
Case postale 1116
Halifax (Nouvelle-Écosse)
B3J 2X1
Téléphone : (902) 424-8941

À PROPOS des modalités d'accès :
Ontario
Commissaire à l'information et à la protection de la vie privée de l'Ontario
80, rue Bloor Ouest, bureau 1700
Toronto (Ontario)
M5S 2V1
Téléphone : (416) 325-9175
URL du site Web : http://www.ipc.on.ca/

À PROPOS des lois :
Direction de l'accès à l'information et de la protection de la vie privée
Secrétariat du conseil de gestion de l'Ontario
56, rue Wellesley Ouest, 18e étage
Toronto (Ontario)
M5S 2S3
Téléphone : (416) 327-2084

À PROPOS de la commission parlementaire :
Île-du-Prince-Édouard
Assistant Clerk of the Committee Legislative Assembly
Case postale 200
Charlottetown (Île-du-Prince-Édouard)
C1A 7N8
Téléphone : (902) 368-5970
Télécopieur : (902) 368-5175

À PROPOS des modalités d'accès :
Québec
Président de la Commission d'accès à l'information
900, boulevard René-Lévesque Est, bureau 315
Québec (Québec)
G1R 2B5
Téléphone : (418) 528-7741
Numéro sans frais au Québec : 1 888 528-7741
Télécopieur : (418) 529-3102
Courriel : Cai.Communications@cai.gouv.qc.ca
URL du site Web : http://www.cai.gouv.qc.ca

Adresse de Montréal :
2, complexe Desjardins Tour est, bureau 3210
Case postale 122, station Desjardins
Montréal (Québec)
H5B 1B2
Téléphone : (514) 282-6346

À PROPOS des lois :
Responsable de l'accès à l'information
Ministère des Relations avec les citoyens et de l'Immigration
900, boulevard René-Lévesque est, bureau 325
Québec (Québec)
G1R 2B5
Téléphone : (418) 643-7455
Télécopieur : (418) 643-7817

À PROPOS des modalités d'accès :
Saskatchewan
Information & Privacy Commissioner of Saskatchewan
2220, 12e Avenue, bureau 500
Case postale 1037
Regina (Saskatchewan)
S4P 3B2
Téléphone : (306) 787-8350
Télécopieur : (306) 787-4858

À PROPOS des modalités d'accès :
Yukon
Ombudsman and Information & Privacy Commissioner of the Yukon
Case postale 2703
Whitehorse (Territoire du Yukon)
Y1A 2C6
Téléphone : (403) 667-8486
Télécopieur : (403) 667-8469

Lois canadiennes régissant la protection de la vie privée

Les personnes qui ont besoin d'information sur la protection de leur vie privée peuvent obtenir de l'aide supplémentaire auprès des sources suivantes :

Gouvernement fédéral

Protection de la vie privée
Commissaire à la protection de la vie privée du Canada
112, rue Kent, 3e étage
Ottawa (Ontario)
K1A 1H3
Téléphone : (613) 995-2410
Numéro sans frais au Canada : 1 800 267-0441
Télécopieur : (613) 995-1501
URL du site Web : http://www.privcom.gc.ca/

Gouvernement provincial

Alberta
Information and Privacy Commissioner of Alberta
9925, 109e Rue, bureau 410
Edmonton (Alberta) T5K 2J8
Téléphone : (403) 422-6860
Télécopieur : (403) 422-5682
Courriel : ipcab@planet.eon.net
URL du site Web : http://www.ab.ca/foip/

Colombie-Britannique
Information & Privacy Commissioner of British Columbia
1675, rue Douglas, 4e étage
Victoria (Colombie-Britannique)
V8V 1X4
Téléphone : (250) 387-5629
Télécopieur : (250) 387-1696
Courriel : pesmith@gems3.gov.bc.ca
URL du site Web : http://www.oipcbc.org/

Manitoba
Ombudsman du Manitoba
500, avenue Portage, bureau 750
Winnipeg (Manitoba)
R3C 3X1
Téléphone : (204) 786-6483
Télécopieur : (204) 942-7803

Nouveau-Brunswick
Ombudsman du Nouveau-Brunswick
703, rue Brunswick
Case postale 6000
Fredericton (Nouveau-Brunswick)
E3B 5H1
Téléphone : (506) 453-2789
Numéro sans frais au Nouveau-Brunswick : 1 800 561?4021
Télécopieur : (506) 457-7896

Terre-Neuve
Director of Public Prosecutions
Department of Justice of Newfoundland
Immeuble Confederation
Case postale 8700
St. John's (Terre-Neuve)
A1B 4J6
Téléphone : (709) 729-5942
Télécopieur : (709) 576-2129

Territoires du Nord-Ouest
Information and Privacy Commissioner of the Northwest Territories
5018, 47e Rue
Yellowknife (Territoires du Nord-Ouest)
X1A 2N2
Téléphone : (867) 669-0976
Télécopieur : (867) 920-2511

Yellowknife
Minister of Justice of the Northwest Territories
Department of the Executive
Case postale 1320
Yellowknife (Territoires du Nord-Ouest)
X1A 2L9
Téléphone : (867) 669-0976
Télécopieur : (867) 920-2511

Nouvelle-Écosse
Review Officer of Nova Scotia
1601, rue Lower Water, bureau 3
Case postale 1692, unité postale M
Halifax (Nouvelle-Écosse)
B3J 3S3
Téléphone : (902) 424-4448
Télécopieur : (902) 424-3919

Ontario
Commissaire à l'information et à la protection de la vie privée de l'Ontario
80, rue Bloor Ouest, bureau 1700
Toronto (Ontario)
M5S 2V1
Téléphone : (416) 325-9175
URL du site Web : http://www.ipc.on.ca/

Île-du-Prince-Édouard
Assistant Clerk of the Committee Legislative Assembly
Case postale 200
Charlottetown (Île-du-Prince-Édouard)
C1A 7N8
Téléphone : (902) 368-5970
Télécopieur : (902) 368-5175

Québec
Président de la Commission d'accès à l'information
900, boulevard René-Lévesque Est, bureau 315
Québec (Québec)
G1R 2B5
Téléphone : (418) 528-7741
Numéro sans frais au Québec : 1 888 528-7741
Télécopieur : (418) 529-3102
Courriel : Cai.Communications@cai.gouv.qc.ca
URL du site Web : http://www.cai.gouv.qc.ca

Adresse de Montréal :
2, complexe Desjardins Tour est, bureau 3210
Case postale 122, station Desjardins
Montréal (Québec)
H5B 1B2
Téléphone : (514) 282-6346

Saskatchewan
Information & Privacy Commissioner of Saskatchewan
2220, 12e Avenue, bureau 500
Case postale 1037
Regina (Saskatchewan)
S4P 3B2
Téléphone : (306) 787-8350
Télécopieur : (306) 787-4858

Yukon
Ombudsman and Information & Privacy Commissioner of the Yukon
Case postale 2703
Whitehorse (Territoire du Yukon)
Y1A 2C6
Téléphone : (403) 667-8486
Télécopieur : (403) 667-8469

ANNEXE C

Organismes internationaux de protection de la vie privée

Center for Democracy and Technology à http://www.cdt.org/.
Computer Professionals for Social Responsibility à http://www.cpsr.org/.
Electronic Frontier Foundation (EFF) à http://www.eff.org/.
Electronic Privacy Information Centre (EPIC) à http://www.epic.org/
European Union (EU) à http://www.europa.eu.int/index-fr.htm
Global Internet Liberty Campaign (GILC) à http://www.gilc.org/privacy
Internet Privacy Coalition à http://www.privacy.org/ipc/.
Organisation de la coopération et du développement économiques (OCDE) à http://www.oecd.org/index-fr.htm.
Privacy Exchange à http://www.privacyexchange.org/.
Privacy Forum à http://www.vortex.com/privacy.html.
Privacy International (PI) à http://www.privacyinternational.org/ ou http://www.privacy.org/pi.
Progress & Freedom Foundation à http://www.pff.org/

Commissions internationales de protection de la vie privée

Office of the Privacy Commissioner (Australie) à http://www.privacy.gov.au.
Commission nationale de l'informatique et des libertés (France) à http://www.cnil.fr/.
Office of the Privacy Commissioner for Personal Data (Hong Kong) à http://www.pco.org.hk/.
Office of the Privacy Commissioner (Nouvelle-Zélande) à http://www.knowledge-basket.co.nz/privacy/.
Office of the Data Proctection Registrar (Royaume-Uni) à http://www.dataprotection.gov.uk/.