La protection de la vie privée et la transparence dans un gouvernement moderne

Dans cet épisode spécial de L’info, ça compte, la commissaire Patricia Kosseim présente une rétrospective de ses entretiens marquants de la quatrième saison. De jeunes élèves du secondaire font part de leur opinion sur la protection de la vie privée, Cynthia Khoo parle de reconnaissance faciale et Robert Fabes nous dit ce que les personnes en situation d’itinérance pensent de la vie privée. Le D^r Devin Singh discute de l’IA dans les soins de santé, et Priya Shastri de WomanAct traite de la communication de renseignements afin de planifier la sécurité des survivantes de violence conjugale. Cet épisode aborde également le recours aux outils éducatifs numériques en classe, la médiation dans les appels de décisions relatives à l’accès à l’information au CIPVP, la Vitrine de la transparence du CIPVP et des affaires dont le CIPVP a été saisi concernant des cyberattaques et des dossiers abandonnés dans le secteur de la santé.

Affaire marquante : Décision 266 en vertu de la LPRPS

Contexte

Le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a reçu une plainte selon laquelle une clinique de santé avait omis d’éliminer de manière sécuritaire des dossiers de renseignements personnels sur la santé (RPS). Des photos de dossiers de patients qui avaient été jetés dans un bac de recyclage non sécurisé ont été fournies pour étayer les allégations.
Le CIPVP a écrit à la clinique au sujet de ces allégations. Elle lui a remis un rapport qui a soulevé des préoccupations supplémentaires, et le CIPVP a entamé une enquête sur cette affaire.

L’enquêteuse du CIPVP a pris possession des dossiers récupérés dans le bac de recyclage. Bon nombre avaient été déchiquetés ou déchirés à la main, mais l’enquêteuse a pu récupérer certains renseignements de nature délicate, notamment des dates de rendez-vous, des antécédents médicaux déclarés par un patient, la date de naissance d’un patient et le nom complet de six autres patients associés à la clinique.

Au cours de l’enquête, la clinique a expliqué que le personnel avait commencé à éliminer des dossiers pour libérer de l’espace. Certains dossiers avaient été déchiquetés, et d’autres avaient été déchirés à la main, car la déchiqueteuse était bruyante et aurait pu déranger des patients pendant leur rendez-vous. Le personnel d’entretien passait prendre les dossiers éliminés deux fois par semaine et les jetait dans une benne située dans un garage verrouillé du centre commercial où se trouve la clinique. L’éboueur local passait prendre les ordures toutes les semaines.

La clinique a convenu que le personnel d’entretien aurait pu accéder à des documents qui n’avaient pas été détruits de manière sécuritaire. Elle a reconnu qu’elle aurait dû prendre des mesures supplémentaires pour assurer l’élimination sécuritaire de ces renseignements. La clinique a également indiqué qu’elle n’avait pas adopté de politiques ou de procédures écrites de conservation, de destruction et d’élimination sécuritaires des dossiers. Elle donnait plutôt des directives verbales au personnel, et elle a reconnu que ces directives étaient insuffisantes.

La clinique a avisé par lettre les patients qui étaient concernés par cette atteinte à la vie privée. Plus tard, elle a envoyé une autre lettre à près de 500 patients qui étaient peut-être concernés également.

Conclusions

L’enquêteuse a constaté qu’au moment de l’atteinte à la vie privée, la clinique enfreignait plusieurs dispositions de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS). Ainsi, les dépositaires de renseignements sur la santé doivent :

• prendre des mesures raisonnables pour protéger les renseignements personnels sur la santé [par. 12 (1)]; 
• conserver et éliminer les dossiers de manière sécuritaire [par. 13 (1)];
• adopter des pratiques relatives aux renseignements qui sont adéquates [par. 10 (1)];
• suivre ces pratiques [par. 10 (2)]. 

L’enquêteuse a conclu qu’en raison de l’absence de mesures de précaution, la clinique n’avait pas été en mesure de s’assurer que les dossiers de RPS dont elle avait la garde ou le contrôle étaient conservés et éliminés de manière sécuritaire.
En réponse aux préoccupations de l’enquêteuse, la clinique a élaboré et mis en place des politiques et fourni une formation. Ainsi, elle a adopté une politique de confidentialité régissant la collecte, l’utilisation, la modification, la divulgation, la conservation et l’élimination de RPS. La clinique a également établi une politique sur les dossiers de clients énonçant des mesures précises à prendre pour protéger ces dossiers et les éliminer de manière sécuritaire.

Tous les membres du personnel ont été tenus d’examiner les nouvelles politiques et d’attester par écrit qu’ils les comprenaient et les respecteraient. Deux séances de formation ont également été tenues pour familiariser le personnel avec les pratiques de confidentialité mises à jour, et la clinique s’est engagée à fournir une formation deux fois par année à l’avenir. Elle a également mis à jour son guide de l’employé en y ajoutant des ressources sur ses obligations en vertu de la LPRPS, y compris une vidéo de formation sur la LPRPS et des liens vers la loi et d’autres ressources.

L’enquêteuse a conclu que, grâce à ces mesures correctives, la clinique était conforme à la LPRPS.

Enfin, l’enquêteuse a conclu que l’élimination de RPS de manière non sécuritaire constituait une perte de RPS, de sorte que la clinique était tenue d’aviser tous les particuliers concernés. La clinique avait envoyé une lettre d’avis, mais l’enquêteuse a constaté qu’elle présentait une lacune (qui a été comblée) et elle estimait que cet avis aurait dû avoir été donné plus tôt. Cependant, dans l’ensemble, l’enquêteuse considérait que la clinique avait donné l’avis exigé au paragraphe 12 (2) de la LPRPS. 

Principaux constats

1. Les dépositaires de renseignements sur la santé (DRS) doivent protéger les RPS de leurs patients en tout temps, y compris pendant l’élimination des dossiers. 
2. Les DRS doivent établir des politiques de confidentialité décrivant comment ils doivent recueillir, utiliser, modifier, divulguer, conserver ou éliminer des RPS. Ces politiques doivent préciser les mesures à prendre pour protéger les dossiers des patients et en assurer l’élimination de manière sécuritaire. 
3. Les procédures à suivre pour assurer l’élimination des dossiers de manière sécuritaire reposent en partie sur le support utilisé. S’il s’agit de dossiers sur papier, comme c’était le cas en l’occurrence, il ne faut pas simplement les déchirer à la main. Il faut les déchiqueter correctement au moyen d’une déchiqueteuse à coupe transversale ou à micro-coupe afin qu’ils ne puissent être reconstitués. Cette opération peut avoir lieu sur place ou, si elle est confiée à un fournisseur externe, un contrat ou un accord officiel doit être conclu prévoyant la nécessité d’assurer la sécurité et la confidentialité des dossiers au cours du processus d’élimination et précisant la méthode d’élimination qui doit être employée.
4. Les DRS doivent fournir à tous les membres de leur personnel une formation régulière sur les politiques et pratiques de confidentialité et sur l’élimination des dossiers de clients de manière sécuritaire. Les employés devraient suivre une formation annuelle et signer une attestation écrite selon laquelle ils ont lu et compris les politiques de confidentialité.
5. Les DRS doivent aviser les particuliers concernés en cas de vol ou de perte de renseignements personnels sur la santé dont ils ont la garde ou le contrôle, ou en cas d’utilisation ou de divulgation non autorisée de ces renseignements. L’élimination de façon non sécuritaire de RPS constitue une perte de RPS, ce qui donne lieu à l’obligation d’aviser les particuliers concernés.

Ressources supplémentaires

• Lignes directrices sur les interventions en cas d’atteinte à la vie privée dans le secteur de la santé
• L’accès non autorisé aux renseignements personnels sur la santé : détection et dissuasion
• Le signalement d’une atteinte à la vie privée au commissaire : Lignes directrices pour le secteur de la santé
• Rapport statistique annuel au commissaire sur les atteintes à la vie privée - Exigences s’appliquant au secteur de la santé

Le 28 janvier 2025, le CIPVP a eu le plaisir d’accueillir les Ontariennes et Ontariens à un événement public pour souligner la Journée de la protection des données. Le thème de cet événement était Le pouvoir des technologies d’amélioration de la confidentialité (TAC). Un enregistrement est accessible sur notre chaîne YouTube, et si vous souhaitez lire mon allocution d’ouverture, vous la trouverez sur notre site web.

Voici quelques faits saillants et leçons tirées de cet événement.

Profiter du pouvoir des technologies d’amélioration de la confidentialité

Plus les organisations recueillent et partagent de données, plus le risque de piratage ou d’abus de renseignements personnels s’accroît. Les technologies d’amélioration de la confidentialité (TAC) peuvent contribuer à atténuer ce risque, car grâce à elles, il est possible d’utiliser moins de données contenant des renseignements personnels.

Les TAC sont des outils et des méthodes qui protègent les renseignements personnels ou évitent d’en utiliser, afin de permettre l’analyse de données dans le respect de la vie privée. En bref, les TAC peuvent aider les organisations à protéger les renseignements personnels tout en mettant à profit la valeur immense des données pour favoriser la recherche, l’innovation et l’amélioration des services publics. 

À l’occasion de la Journée de la protection des données, j’ai accueilli un panel d’experts des secteurs public et privé, du secteur de la santé, du monde universitaire et du domaine du droit pour discuter des technologies d’amélioration de la confidentialité et de la façon dont les organisations peuvent s’en servir pour relever des défis en matière de protection de la vie privée.

Notre premier panel a discuté des différents types de TAC, de l’importance des TAC pour favoriser l’innovation responsable et de certains de leurs risques connexes.

Luk Arbuckle (leader mondial de la pratique de l’IA, IQVIA Applied AI Science) a expliqué que les TAC fonctionnent comme un système de contrôle de la circulation aérienne; elles permettent de gérer différents niveaux de transformation des données de même que le contexte dans lequel elles se trouvent. Il a décrit le processus de dépersonnalisation en présentant le cadre des cinq éléments de la sécurité : projets sécuritaires, personnes fiables, installations sécuritaires, données sécuritaires et produits sécuritaires. Ce cadre souligne les seuils importants dont il faut tenir compte quand on transforme des données. Cependant, il est tout aussi important de gérer le contexte dans lequel les données sont susceptibles d’être utilisées par différentes parties à diverses fins, en vue de réduire le risque de réidentification. Et quand on utilise ces types de technologies, il faut aussi tenir compte de facteurs éthiques, a précisé Luk.

Luk a souligné que l’innovation est le fruit de contraintes et de limites qui nous poussent à trouver de nouvelles façons de faire les choses. Ayant travaillé dans les secteurs de la réglementation et de l’industrie, il a souligné la nécessité de mieux collaborer et le fait que l’innovation et la protection de la vie privée peuvent être complémentaires. 

Jules Polonetsky (directeur général, Future of Privacy Forum) a présenté le concept de confidentialité différentielle, un cadre mathématique qui permet aux organisations de se communiquer des données agrégées tout en minimisant les risques pour la vie privée. En utilisant l’analogie du tirage à pile ou face, il a expliqué que la confidentialité différentielle permet d’obtenir des résultats statistiques valables sans révéler de points de données personnelles. Face, une personne dit la vérité; pile, elle ment. Une fois agrégées, ces données s’annulent, et il est impossible de les départager. La confidentialité différentielle consiste à ajouter du « bruit » aux données afin de protéger la vie privée des particuliers, tout en tirant de l’ensemble des données des résultats statistiques valables. Cette technique se révèle particulièrement utile avec des ensembles de données chiffrées et des modèles d’apprentissage collaboratif.

Jules a ajouté qu’il existe beaucoup de données que les gens veulent étudier, mais qu’il est primordial d’être conscient des risques d’ordre juridique et pour la vie privée, et de comprendre le processus rigoureux des TAC et toute l’incidence de ces technologies. Les données doivent être fiables, c’est-à-dire dénuées de critique culturelle et de biais, a-t-il précisé.

Le D^r Khaled El Emam (chercheur résident du CIPVP, professeur à l’École d’épidémiologie et de santé publique, Université d’Ottawa; scientifique principal, Electronic Health Information Laboratory, Institut de recherche du CHEO) a décrit les données synthétiques comme étant une forme d’IA générative qui s’appuie sur des données réelles pour créer de nouvelles données artificielles dotées des mêmes propriétés statistiques que les données initiales, mais qui ne sont associées à aucune personne réelle. Cette technique permet de communiquer des données à des fins de recherche médicale dans le respect de la vie privée. Elle comporte des risques, comme celui d’interférences provenant des données synthétiques, mais l’automatisation facilite l’analyse d’ensembles complexes de données. (Pour en savoir plus sur les données synthétiques, écoutez mon entretien avec Khaled dans l’épisode 1 de la deuxième saison du balado L’info, ça compte.) 

Selon Khaled, les organisations qui utilisent des méthodes plus anciennes de dépersonnalisation manuelle des renseignements se doivent d’adopter des méthodes plus modernes et perfectionnées. Un tel virage nécessite du temps, des investissements, de nouvelles pratiques et la mise à jour des compétences professionnelles et techniques. Mais si nous voulons continuer de partager et d’utiliser des données pour le bien public, il faut commencer à adopter des TAC pour des raisons de complexité et de mise à l’échelle. La technologie doit faire partie de la solution. 

Comment les organisations se servent des TAC 

Notre second panel a discuté de situations concrètes où les organisations se servent de TAC et a décrit ce qui, à son avis, devrait être le rôle du CIPVP (et des autres organismes de réglementation) pour encourager les institutions ontariennes à adopter des TAC.

Mohammad Qureshi (directeur général de l’information pour la fonction publique et sous-ministre associé, ministère des Services au public et aux entreprises et de l’Approvisionnement de l’Ontario) a lancé la discussion en soulignant l’usage que les organisations du secteur public font des TAC. Il a mentionné trois fins auxquelles le secteur public se sert des données recueillies : 

1. assurer la prestation de services gouvernementaux; 
2. mieux éclairer les politiques publiques;
3. favoriser le développement économique, la prospérité et l’innovation.

Il a évoqué la nécessité pour le secteur public d’innover tout en cherchant en tout temps à susciter la confiance du public. 

Pam Snively (chef des données et du Bureau des relations de confiance, TELUS) nous a expliqué l’utilisation que l’on fait des TAC dans le secteur de la santé. Elle a parlé du recours à des données générées artificiellement qui ressemblent à des données réelles sur les patients, mais qui protègent leur vie privée car elles ne contiennent aucun renseignement à leur sujet. Par exemple, des données synthétiques peuvent être employées à des fins de recherche sur des affections rares et pour mieux modéliser la prédiction du risque clinique.

Elle a également abordé le concept d’apprentissage fédéré, une approche respectueuse de la vie privée qui permet à des intervenants multiples de collaborer ou d’entraîner des modèles d’IA, et notamment de partager uniquement ces modèles et non des données réelles. En se communiquant ainsi des renseignements, les organisations peuvent également apprendre les unes des autres. Pam a souligné qu’une orientation réglementaire efficace peut contribuer à éliminer l’incertitude, susciter la confiance au sein des citoyens et inciter les innovateurs à aller de l’avant sans craindre de faire fausse route. 

Adam Kardash (co-chef, respect de la vie privée et gestion de l’information, responsable national, AccessPrivacy) a décrit l’évolution de la conjoncture juridique au Canada et dans le monde. Certains territoires de compétence mettent de côté la notion voulant que les renseignements soient personnels ou ne le soient pas, reconnaissant que l’identifiabilité se situe sur un continuum. Les organismes de réglementation tiennent compte de plus en plus de différents niveaux d’identifiabilité pour régir les risques associés à l’utilisation de données, et préconisent l’adoption de technologies d’amélioration de la confidentialité comme moyen raisonnable d’atténuer ces risques. 

Adam a souligné que les clients du secteur privé, du secteur de la santé et du secteur parapublic demandent souvent des conseils sur la mise à profit de grandes quantités de données dans le respect de la vie privée. Il a souligné qu’il revient souvent sur le rôle essentiel des organismes de réglementation et sur l’importance de normaliser le recours aux méthodes de dépersonnalisation, en affirmant qu’autrement, l’usage abusif des données pourrait miner la confiance des consommateurs.

Principales leçons tirées de la Journée de la protection des données

Il ne fait aucun doute qu’en misant sur les vastes quantités de données à notre disposition et les progrès accélérés des technologies numériques, nous pourrions saisir une occasion rêvée d’améliorer notre santé, notre économie et notre société, aujourd’hui et pour les générations à venir. Cependant, à moins de prendre des mesures de protection, le risque pour notre vie privée pourrait être trop élevé, surtout dans un contexte où la confiance du public est à son plus bas. 

Les technologies d’amélioration de la confidentialité sont des moyens novateurs pour les organisations de tirer profit des données tout en protégeant nos renseignements personnels ou en évitant de les utiliser. En innovant, nous pouvons favoriser l’utilisation responsable des données afin de pouvoir en tirer des avantages, sans porter atteinte à notre droit à la vie privée.

Cette année, la Journée de la protection des données m’a fait prendre conscience que les TAC ne sont plus des outils technologiques ésotériques et complexes que seules de grandes organisations sophistiquées ont les moyens de mettre à l’essai. En effet, il s’agit maintenant de technologies essentielles qu’il faut mettre à la portée de toutes les organisations, quelle que soit leur taille, afin d’assurer la protection de la vie privée dans un monde axé sur les données. Bref, elles sont devenues un élément vital de la solution concrète dont nous avons besoin. 

Le CIPVP continuera de faire connaître les technologies d’amélioration de la confidentialité et de guider les organisations qui souhaitent les adopter. Plus tard cette année, nous publierons une version mise à jour de notre document d’orientation primé De-identification Guidelines for Structured Data.

En tant qu’organismes de réglementation et défenseurs de la vie privée, nous nous devons, pour rester efficaces et pertinents, de répondre à l’innovation par l’innovation. Il revient à chacun de nous de collaborer pour trouver les solutions créatives, concrètes et innovantes que les TAC mettent à notre portée. 

Une attaque par piratage psychologique dans une école secondaire du TDSB a donné lieu à l’accès non autorisé à des renseignements personnels appartenant à des élèves actuels, d’anciens élèves, des parents et des membres du personnel de plusieurs écoles. L’auteur de menace a accédé sans autorisation aux systèmes de ces écoles en obtenant les données d’accès d’une directrice adjointe d’une école par piratage psychologique, ainsi que les données d’accès au compte OneDrive de cette directrice adjointe qui se trouvaient dans un cache de navigateur. À la suite de cette atteinte à la vie privée, le CIPVP a formulé plusieurs recommandations qui aideront le TDSB à améliorer sa posture de sécurité.

Comme l’a dit le philosophe John Dewey, « nous n’apprenons pas par l’expérience... Nous apprenons en réfléchissant sur l’expérience ».

Chaque année, en décembre, nous avons l’occasion de réfléchir à nos expériences de l’année qui se termine. En général, je décris nos travaux relevant de nos quatre priorités stratégiques : 
1) La protection de la vie privée et la transparence dans un gouvernement moderne; 2) Les enfants et les jeunes dans un monde numérique; 3) La prochaine génération des forces de l’ordre; 4) La confiance dans la santé numérique.

Cette année, j’aimerais revenir sur nos activités de 2024 sous un angle différent, celui de nos quatre approches transversales. Elles décrivent la façon dont nous nous sommes engagés à travailler.

1. Nous tiendrons compte des facteurs liés à l’accessibilité et à l’équité

Tout au long de 2024, nous avons poursuivi nos efforts en vue de protéger les droits des personnes les plus vulnérables en matière de vie privée et d’accès à l’information.  

Par exemple, nous avons recommandé fortement que le projet de loi 194 soit amendé afin que les renseignements personnels des enfants soient considérés comme étant de nature délicate.

Nous avons formulé des conseils sur le projet 188 prévoyant des modifications à la Loi de 2017 sur les services à l’enfance, à la jeunesse et à la famille (LSEJF) afin de protéger les droits en matière de vie privée et d’accès à l’information des personnes qui sont ou ont déjà été en contact avec le système de bien-être de l’enfance de l’Ontario. Nous avons recommandé que toute mesure prise par le ministère pour protéger les enfants, les jeunes et les familles vulnérables en vertu de cette loi soit transparente, soumise à l’examen du public et assortie de mesures rigoureuses et proportionnelles de protection de la vie privée et de surveillance.

Nous avons également réclamé une meilleure protection des enfants dans les écoles. En octobre, le CIPVP a lancé la Charte de la protection de la vie privée numérique pour les écoles ontariennes et invité les administrateurs des écoles et les responsables des conseils scolaires à y souscrire. Cette charte comprend 12 engagements volontaires que les écoles peuvent prendre afin de protéger l’intérêt supérieur des élèves en matière de vie privée, par exemple, protéger les renseignements personnels des élèves qui utilisent des outils éducatifs numériques et des plateformes technologiques, et donner aux élèves les moyens de comprendre et d’exercer leur droit à la vie privée en leur fournissant notamment des avis adaptés à leur âge sur les outils et services éducatifs numériques et des directives pour régler leurs paramètres de confidentialité.  

Dans un épisode récent de L’info, ça compte, je me suis entretenue avec Anthony Carabache de l’Ontario English Catholic Teachers’ Association. Il a souligné l’occasion donnée aux écoles de souscrire à la charte compte tenu de l’utilisation croissante de la technologie en classe. Nous avons discuté des risques bien réels que courent les enfants lorsqu’ils accèdent à des applications ou sites Web commerciaux qui pourraient influer sur leur comportement ou comprendre des mécanismes de conception trompeuse.  

En réponse à une recommandation du coroner en chef de l’Ontario, notre bureau s’est penché sur l’impact généralisé de la violence conjugale, surtout sur les femmes et les jeunes filles. En mai, le CIPVP a publié un document d’orientation à l’intention des professionnels sur la communication responsable de renseignements en vue de prévenir la violence conjugale. Notre publication explique les circonstances où les lois ontariennes sur la protection de la vie privée permettent la communication de renseignements personnels en cas de risque grave pour la santé ou la sécurité.

J’ai parlé de cet important sujet avec Priya Shastri, directrice des programmes de WomanACT, lors d’un autre épisode récent de L’info, ça compte. WomanAct a été l’un de nos principaux partenaires lors de l’élaboration de notre document d’orientation sur la violence conjugale. Cet organisme a organisé des discussions de groupe auxquelles ont participé des victimes et survivantes de violence conjugale afin de saisir toute l’importance de la communication de renseignements, de l’établissement de rapports fondés sur la confiance avec les victimes et survivantes, et de l’adoption d’une approche collaborative tenant compte des traumatismes pour lutter contre la violence conjugale, surtout dans les communautés marginalisées.

Tout au long de 2024, nous avons continué à nous familiariser avec les concepts autochtones de vie privée et de souveraineté des données. Jonathan Dewar, président-directeur général du Centre de gouvernance de l’information des Premières Nations, a été invité à prendre la parole lors de la réunion annuelle des commissaires et ombuds fédéraux, provinciaux et territoriaux (FPT) à l’information et à la protection de la vie privée, où il nous a rappelé notre responsabilité collective de tendre la main aux communautés concernées et de mettre en œuvre les appels à l’action de la Commission de vérité et réconciliation du Canada.

J’ai eu récemment l’honneur et le privilège de prononcer une allocution devant l’Association of Native Child and Family Services Agencies of Ontario, où j’ai vu et entendu des preuves tangibles de l’impact systémique, multiple et intergénérationnel de la surreprésentation des jeunes autochtones dans le système de bien-être de l’enfance.  

J’ai également eu un entretien inspirant et révélateur avec Jeff Ward, PDG d’Animikii, dans un autre épisode récent du balado L’info, ça compte sur le lien de longue date entre la technologie et les cultures autochtones. Jeff a évoqué la nécessité sur le plan éthique de reconnaître la souveraineté des données et les intérêts collectifs en matière de protection de la vie privée, ainsi que le fait que l’intégration de valeurs et de principes autochtones au moment de la conception de nouvelles technologies peut autonomiser les communautés.

Cette année, nous avons consacré plusieurs autres épisodes de L’info, ça compte aux questions relatives à la protection de la vie privée et à l’accès à l’information qui touchent les groupes et communautés vulnérables. Par exemple, avec Rob Fabes de la Mission d’Ottawa, nous avons parlé des défis auxquels doivent faire face les personnes en situation d’itinérance en matière de vie privée, d’accès et d’identité.

Dans un autre épisode, les professeures Jane Bailey et Valerie Steeves de l’Université d’Ottawa ont abordé l’environnement hostile des médias sociaux et la violence facilitée par la technologie, qui touchent particulièrement les jeunes femmes et les jeunes filles.

2. Nous ferons preuve d’audace tout en restant ancrés dans le pragmatisme

Nous avons entrepris l’année 2024 en publiant un document d’orientation sur le recours aux pénalités administratives pécuniaires (PAP) que nous pouvons imposer en vertu de la loi ontarienne sur la protection des renseignements personnels sur la santé depuis le 1er janvier. Ce document traite des critères sur lesquels le CIPVP se fondera pour imposer des PAP et en établir le montant. En faisant fond sur notre démarche audacieuse mais pragmatique, nous avons fait part de notre intention de réagir de façon proportionnelle aux atteintes à la vie privée, en privilégiant l’information, les conseils et les recommandations dans toute la mesure du possible pour assurer la conformité à la loi, et en réservant les PAP aux cas les plus graves.

Également en 2024, nous avons lancé la Vitrine de la transparence 2.0 du CIPVP. La beauté et les avantages de la transparence est une exposition virtuelle en ligne mettant en vedette plusieurs projets et initiatives de données ouvertes et de gouvernement ouvert d’institutions publiques visant à améliorer le quotidien des Ontariennes et Ontariens grâce à une transparence accrue. Il n’est pas étonnant que les organismes de réglementation hésitent à se montrer positifs à l’égard de pratiques relatives aux données qui, un jour, pourraient faire l’objet de plaintes ou d’appels sur lesquels devraient être menées des enquêtes impartiales. Cela dit, il est également très utile de montrer des pratiques exemplaires pour inspirer les autres à faire mieux, et c’est pourquoi nous avons lancé cette initiative audacieuse mais pragmatique afin de favoriser la conformité de façon positive, avec toutes les réserves qui s’imposent.  

Sur la scène législative, nous avons connu une année fébrile caractérisée par une conjoncture en évolution constante. Ces derniers temps, nous avons constaté une tendance préoccupante à déposer à la hâte de nouvelles lois sans prendre le temps de tenir des consultations publiques et des débats à leur sujet. Malgré tout, nous continuons d’exprimer notre opinion et de proposer au gouvernement des recommandations pragmatiques afin de lui permettre de réaliser ses objectifs stratégiques tout en respectant les droits de la population ontarienne en matière d’accès à l’information et de protection de la vie privée.

Par exemple, comme je l’ai mentionné dans mon dernier billet de blogue, le gouvernement a adopté le projet de loi 194, la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, sans amendements, alors que le CIPVP avait recommandé 28 amendements afin de renforcer la protection et la surveillance dans les domaines de la cybersécurité, de l’intelligence artificielle, des technologies numériques destinées aux enfants et de la protection des données.

L’annexe 2 de la Loi de 2024 sur le désengorgement du réseau routier et le gain de temps prévoit une modification qui a pour effet de soustraire certains documents liés à des chantiers routiers prioritaires aux demandes d’accès à l’information. Le CIPVP a recommandé fortement de retirer cette modification et de s’en remettre à des critères bien établis et éprouvés de la Cour suprême du Canada pour évaluer les renseignements commerciaux confidentiels. Mais on n’a pas donné suite à cette recommandation non plus.

L’annexe 6 du projet de loi 231, la Loi de 2024 pour plus de soins commodes, propose de modifier la Loi de 2004 sur la protection des renseignements personnels sur la santé afin d’instaurer des identifiants Santé numériques en vue de permettre l’accès des particuliers à leur dossier de santé électronique (DSE) et à d’autres services de santé numériques. Le CIPVP a formulé des recommandations qui visaient à faire en sorte que ce projet de loi puisse atteindre ses objectifs stratégiques tout en rehaussant le droit d’accès, et également à la clarifier et à en permettre l’application de façon plus claire et pratique. Les travaux de l’Assemblée législative ont été suspendus la semaine dernière avant qu’un comité ne puisse se pencher sur le projet de loi 231.

Ces revers et déceptions ne nous empêcheront pas de continuer à défendre les droits de la population ontarienne en matière d’accès à l’information et de protection de la vie privée et à fournir des conseils d’expert à l’Assemblée législative.  

3. Nous nous efforcerons de consulter et de collaborer

Tout au long de l’année, les documents que nous avons publiés sur des sujets tels que le recours à des fournisseurs externes, la communication de renseignements en contexte de violence conjugale et les systèmes de reconnaissance des plaques d’immatriculation ont été le fruit de consultations ciblées menées auprès de parties concernées, qui nous ont fourni des observations pertinentes au cours de leur élaboration. Les membres du Conseil consultatif stratégique du CIPVP nous ont également fait part de commentaires précieux qui nous ont permis d’améliorer considérablement nos documents.

En octobre 2024, nous avons eu l’immense honneur d’accueillir à Toronto les commissaires et ombuds fédéraux, provinciaux et territoriaux (FPT) à l’information et à la protection de la vie privée pour leur réunion annuelle. Ce fut une excellente occasion de discuter d’enjeux clés, de rehausser la collaboration entre territoires de compétence et de réitérer notre engagement de protéger ensemble les droits de tous les Canadiens et Canadiennes en matière d’accès à l’information et de protection de la vie privée.

En novembre, nous avons publié une résolution conjointe FPT sur l’identification et l’atténuation des préjudices pour la vie privée découlant des mécanismes de conception trompeuse (MCT). Nous nous sommes engagés à collaborer avec les gouvernements et d’autres parties intéressées pour moderniser les normes de conception, réduire l’exposition aux mécanismes de conception trompeuse et préconiser des mécanismes de conception favorables à la vie privée qui respectent l’autonomie des utilisateurs.

Nous avons également fait fond sur notre document d’orientation sur la violence conjugale en demandant à nos collègues FPT d’étendre nos travaux à l’échelle nationale. Notre collaboration a donné lieu à une résolution conjointe des commissaires et ombuds à la protection de la vie privée du pays concernant la communication responsable de renseignements en situation de violence conjugale.

À la fin de l’année, avec les autres commissaires et ombuds à l’information du Canada, nous avons publié une troisième résolution conjointe réclamant une transparence accrue dans la prestation des services publics. Elle préconise l’intégration de la transparence dans les nouveaux systèmes, processus administratifs et modèles de gouvernance dès les premières étapes de leur conception et de leur mise en œuvre. Ces résolutions conjointes montrent que notre engagement de collaborer à des enjeux d’intérêt national en matière de protection de la vie privée et d’accès à l’information est plus solide que jamais.  

De plus, le 25 novembre, en collaboration avec nos homologues de Colombie-Britannique, nous avons enfin rendu public notre rapport d’enquête conjoint de 2020 sur la cyberattaque commise en 2019 contre les systèmes informatiques de LifeLabs, qui s’est répercutée sur des millions de Canadiennes et de Canadiens. La tentative de cette entreprise d’interdire la publication de ce rapport a pris fin soudainement après que la Cour d’appel de l’Ontario eut rejeté la motion en autorisation d’appel de la décision de la Cour divisionnaire de l’Ontario. Celle-ci avait confirmé nos conclusions selon lesquelles les renseignements contenus dans le rapport d’enquête sur l’atteinte à la vie privée commise contre Lifelabs n’étaient pas visés par le secret professionnel de l’avocat ni par le privilège relatif au litige. Cette cour de première instance avait également confirmé le pouvoir de notre bureau de communiquer des renseignements à nos collègues de Colombie-Britannique et de mener une enquête conjointe, ce qui nous a permis de réitérer notre engagement de collaborer avec d’autres organismes de réglementation à des affaires touchant l’exécution de la loi dans toute la mesure du possible, lorsque la situation s’y prête.  

4. Nous développerons les connaissances, les compétences et les capacités nécessaires, tant en interne qu’en externe

Le 11 décembre, le CIPVP a créé un nouveau Carrefour de la recherche et de l’innovation, où l’on peut trouver des rapports de recherche approfondis proposant des idées originales et des analyses exhaustives sur des enjeux en matière d’accès à l’information et de protection de la vie privée. Ces rapports de recherche rédigés en collaboration avec des chercheurs et universitaires de renom ont pour but de miser sur leur expertise pour faire avancer le savoir sur les technologies émergentes et des approches novatrices en vue d’orienter l’avenir de la protection de la vie privée et de l’accès à l’information.

Notre première publication, dont les coautrices sont Teresa Scassa, Ph. D. et Elif Nur Kumru de l’Université d’Ottawa, a été financée par le Conseil de recherches en sciences humaines et rédigée en collaboration avec le CIPVP. Elle donne des indications précieuses sur le recours aux bacs à sable réglementaires pour la protection de la vie privée afin de permettre le développement, la mise à l’essai et la validation de produits ou de services avant leur mise en marché, sous la supervision d’un organisme de réglementation.  

Nous avons soutenu ou commandé d’autres rapports de recherche sur des sujets spécialisés, comme la protection de la vie privée des employés, les systèmes d’aéronefs télépilotés (ou drones) et la neurotechnologie. Ces rapports seront également publiés l’année prochaine dans notre Carrefour de la recherche et de l’innovation.

Pour approfondir nos connaissances et nos capacités concernant des enjeux pointus, nous tenons également chaque année un événement à l’occasion de la Journée de la protection des données, auquel participent des milliers de personnes en ligne et sur place. En 2024, cet événement portait sur l’intelligence artificielle dans le secteur public, et un enregistrement est toujours accessible sur notre chaîne YouTube. Notre prochain événement à l’occasion de la Journée de la protection des données aura lieu le 28 janvier 2025; il portera sur les technologies d’amélioration de la confidentialité. Il est encore temps de s’y inscrire ici!  

Conclusion

C’est le moment de l’année où des dictionnaires et médias ont déjà annoncé leur « mot de l’année » pour 2024. Ainsi, Oxford University Press a choisi brain rot (« pourriture cérébrale »), et la revue The Economist a préféré kakistocracy (« kakistocratie »). Quant au dictionnaire Merriam-Webster, il a privilégié polarization (« polarisation »), et Cambridge a choisi le verbe manifest (« manifester »).

Aucun thème commun ne se dégage de ces mots. Je choisirais plutôt, quant à moi, le mot « éveil ». Si 2023 a été marquée par le lancement public et la distribution massive d’outils comme ChatGPT que tout le monde peut essayer, c’est en 2024 que l’on a constaté l’éveil à cette nouvelle réalité. Les citoyens, entreprises et gouvernements du monde entier ont pris conscience de tout ce que l’IA peut faire pour améliorer et faciliter notre quotidien, mais aussi de ses répercussions éventuelles sur la vie privée et les droits de la personne, sans compter l’éducation, l’emploi, les arts et la culture, la sécurité et l’ordre mondial. Le monde a pris conscience du fait que la technologie pourrait transformer notre vie.

L’an prochain, nous aurons beaucoup de pain sur la planche, surtout compte tenu de l’adoption de la loi 194 et de la prise de règlements connexes sur l’IA, la cybersécurité et la protection de la vie privée des enfants en Ontario. Nous continuerons à préconiser un régime réglementaire solide, cohérent et adapté, assorti de mesures de protection rigoureuses des droits en matière d’accès à l’information et de protection de la vie privée dans tous les secteurs de l’Ontario. Et on peut espérer que l’an prochain, le mot de l’année sera « action ».  

Entre-temps, je vous souhaite, à vous et à votre famille, de très joyeuses fêtes, et je suis impatiente de poursuivre notre important travail avec vous l’an prochain.

Les technologies émergentes en évolution rapide constituent un défi permanent pour les innovateurs, institutions publiques et organismes de réglementation, et elles les poussent à s’interroger sur l’application et le respect des lois concernant la protection de la vie privée. Ce rapport financé par le Conseil de recherches en sciences humaines a été rédigé conjointement par Teresa Scassa, Ph. D. et Elif Nur Kumru de l’Université d’Ottawa, en collaboration avec le CIPVP. Il fournit des indications précieuses sur le recours aux bacs à sable réglementaires pour la protection de la vie privée aux fins de l’élaboration, de la mise à l’essai et de la validation de nouveaux produits ou services avant leur mise en marché, sous la supervision d’un organisme de réglementation.

Parcourez nos rapports de recherche en visitant notre Carrefour de recherche et de l’innovation.

Toronto (Ontario) – 10 décembre 2024 – Dans une résolution conjointe, les commissaires et ombuds à l’information du Canada exhortent les gouvernements à adopter une nouvelle norme de transparence par défaut aux fins de l’élaboration, de la gestion et de la prestation des services publics. Cette résolution fédérale-provinciale-territoriale demande que l’on tienne compte de la transparence dès les premières étapes de la conception et de la mise en œuvre de nouveaux systèmes, processus administratifs et modèles de gouvernance.

L’information gouvernementale appartient au public, et les institutions publiques devraient la mettre de façon proactive à la disposition des personnes qu’elles servent. À notre ère numérique, il n’a jamais été aussi nécessaire, selon ces organismes de réglementation, de lutter contre la mésinformation et la désinformation.

Il faut créer une culture de transparence et de responsabilité qui fera partie intégrante des activités quotidiennes des pouvoirs publics, à tous les échelons, et encourager les fonctionnaires et le personnel politique à y souscrire dans le cadre de leurs fonctions.

« Pour la prestation des services publics, la transparence est plus qu’un simple atout; elle fait partie intégrante de ces services », a déclaré Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario. « Les services publics dont la conception et la prestation s’appuient sur la transparence sont fondamentalement meilleurs. Lorsqu’elle est intégrée dans les services publics dès leur conception, la transparence renforce les décisions et mesures que prennent les pouvoirs publics à l’égard de ces services, est un gage de qualité et, en définitive, suscite la confiance du public dans ces services et favorise leur utilisation. »   

Pour en savoir plus
Transparence par défaut – Les autorités de contrôle en matière d’accès à l’information réclament une nouvelle norme pour les services gouvernementaux 

Renseignements pour les médias 
@email

Si je vous disais que la technologie la plus révolutionnaire de notre époque, l’intelligence artificielle, influe déjà sur le quotidien des Ontariennes et des Ontariens, sans les mesures de protection que ceux-ci méritent?

La Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public, sans doute le projet de loi le plus important de la session législative en cours, a été adoptée lundi dernier. 

La loi 194 régit des enjeux numériques parmi les plus marquants de notre époque : la cybersécurité, l’intelligence artificielle et les renseignements numériques des enfants. Or, la plupart de ses règles importantes seront contenues dans des règlements futurs que prendra le gouvernement pour régir ses propres institutions publiques. Cette loi présente des lacunes sur le plan de la transparence et du processus démocratique et ne prévoit pas explicitement une surveillance indépendante, ce qui devrait inquiéter toute la population ontarienne. 

L’IA transforme déjà les services publics en Ontario en influant sur les décisions prises dans les domaines des soins de santé, de l’éducation et ses services sociaux. Utilisée judicieusement, l’IA peut accroître l’efficacité et améliorer les résultats. Mais si on en abuse, elle peut causer de graves préjudices et donner lieu à de la discrimination. La loi 194 était pour l’Ontario une occasion d’encadrer clairement l’utilisation de l’IA dans le secteur public. Malheureusement, nous avons manqué cette occasion, et les Ontariennes et Ontariens sont dépourvus de la certitude et des protections qu’ils méritent.

Lorsque les systèmes d’IA influent sur des décisions qui se répercutent sur le quotidien des gens, nous devons exiger qu’ils respectent les principes fondamentaux qui nous sont chers en tant que société. 

Pour être dignes de confiance, les systèmes d’IA doivent être valides et fiables. Ils doivent faire l’objet d’essais poussés et d’une supervision humaine pour s’assurer qu’ils fonctionnent correctement dans des situations réelles, compte tenu des fins auxquelles ils ont été conçus et sont utilisés ou mis en œuvre.

Ces systèmes doivent être sécuritaires et conçus pour protéger notre vie, notre santé physique et mentale, nos biens, notre sécurité économique et l’environnement. Pour s’en assurer, il faut les assujettir à des mesures strictes de surveillance et de cybersécurité.

Les systèmes d’IA doivent être élaborés selon une approche de protection intégrée de la vie privée, en prévoyant des mesures de protection dès l’étape de la conception pour minimiser la collecte de données, réduire les risques pour la vie privée et la sécurité et faire en sorte que des renseignements personnels ne soient utilisés que lorsqu’ils sont vraiment nécessaires. 

Les institutions doivent faire preuve de transparence quant à leur recours à l’IA en adoptant des politiques et pratiques accessibles qui expliquent clairement aux Ontariennes et aux Ontariens comment elles utilisent l’IA et qui protègent leur droit à l’information. 

Elles doivent aussi établir des règles et processus clairs pour gérer chaque étape du développement des systèmes d’IA : création, utilisation, modification ou mise hors service. 

Les décisions prises au moyen de l’IA doivent être traçables; ainsi, les institutions doivent expliquer clairement comment les décisions automatisées sont prises et assumer la responsabilité de leurs résultats. Il doit être possible de contester les décisions prises par l’IA, et les institutions doivent être assujetties à une surveillance indépendante.

Surtout, l’IA doit garantir les droits des particuliers et des communautés et lutter contre les préjugés historiques afin que les décisions prises par des systèmes d’IA ou à l’aide de tels systèmes soient équitables, non discriminatoires et respectueuses de la dignité humaine. 

Ce sont là des principes fondamentaux. Or, ils sont absents de la loi 194. Celle-ci autorise plutôt le ministre à établir des règles par voie de règlement. Les règlements sont plus faciles à prendre et à modifier à mesure que la technologie évolue. Une telle souplesse pourrait sembler logique sur le plan technique, mais pas sur celui des principes. 

Peut-on même imaginer un monde où l’IA ne serait pas valide et fiable, sûre, respectueuse de la vie privée, transparente, responsable et protectrice des droits de la personne?  

Ces principes reconnus dans le monde entier auraient dû être codifiés dans la loi 194 pour témoigner clairement de l’engagement du gouvernement de les faire respecter. Les institutions publiques souhaitant intégrer des données des Ontariennes et des Ontariens dans leurs systèmes d’IA ou d’autres applications devraient être tenues de suivre ces principes comme condition non négociable du contrat social. Des principes aussi fondamentaux ne devraient pas être soumis aux aléas d’un processus réglementaire obscur. 

De plus, ces principes ne peuvent pas exister en vase clos : il faut exercer une surveillance indépendante pour en assurer le respect et tenir les institutions publiques responsables des utilisations abusives et des préjudices éventuels. La loi 194 ne prévoit aucun mécanisme clair ou direct permettant aux particuliers de porter plainte à mon bureau en cas de préoccupations légitimes concernant la collecte exagérée, l’utilisation abusive ou l’inexactitude de leurs renseignements personnels et les décisions importantes qui sont prises à leur sujet, y compris au moyen de l’IA.

Faute de balises légales et de surveillance indépendante explicite, la loi 194 est une occasion manquée de susciter la confiance des Ontariennes et des Ontariens dans l’avenir numérique prospère que l’IA promet de leur réserver, à eux et à leurs enfants. 

Cela dit, nous devons poursuivre nos efforts. Tout au long du processus réglementaire, je continuerai à réclamer des mesures de protection plus rigoureuses, des mécanismes de reddition de comptes plus clairs et une surveillance indépendante, afin que l’IA soit au service des Ontariennes et des Ontariens, et non l’inverse. 

Toronto (Ontario), 27 novembre 2024 – Les organismes de réglementation de l’ensemble du Canada responsables de la protection de la vie privée ont publié une résolution conjointe encadrant la communication responsable de renseignements personnels en situation de violence conjugale (également appelée « violence entre partenaires intimes »). Adoptée à la réunion annuelle de ces organismes, tenue en octobre par le Commissaire à l’information et à protection de la vie privée de l’Ontario, cette résolution vise à donner aux organisations et à leur personnel les moyens de prendre des décisions éclairées touchant la protection de la vie privée, la confidentialité et la sécurité publique.

La violence conjugale est un problème répandu au Canada, qui touche surtout les femmes et les personnes de diverses identités de genre. En 2023, 123 319 victimes (de 12 ans et plus) de violence conjugale ont fait appel à la police. Cette statistique est alarmante, mais le nombre réel d’incidents de violence conjugale survenus au pays est sans doute plus élevé, car bon nombre d’entre eux ne sont pas signalés.

Les professionnels des secteurs de la justice, de la santé et des services sociaux jouent un rôle important en vue de réduire ou d’éliminer les torts causés par la violence conjugale. Les organisations du secteur privé peuvent également déceler ces torts chez leurs clientes et employées et prendre les mesures raisonnables qui s’imposent pour les prévenir. Il est essentiel de communiquer des renseignements personnels de façon responsable et en temps opportun afin de prévenir la violence conjugale ou d’en atténuer les conséquences. En effet, la communication opportune de renseignements peut faire la différence entre la vie et la mort.

Ces dernières années, un certain nombre d’enquêtes publiques menées au Canada sur des cas de violence conjugale ont révélé que des idées fausses circulaient au sujet des lois sur la protection de la vie privée en vigueur au pays. Des organisations et leur personnel ont affirmé ignorer comment réagir à une situation de violence conjugale, aussi préoccupés qu’ils sont par leurs obligations en matière de confidentialité et par le risque de porter atteinte au droit à la vie privée.

Les organismes canadiens de réglementation responsables de la protection de la vie privée affirment collectivement que les lois canadiennes sur la protection de la vie privée autorisent généralement la divulgation de renseignements personnels s’il existe un risque grave pour la santé ou la sécurité d’une personne. Dans leur résolution, ils demandent aux gouvernements et organisations d’élaborer des cadres de gouvernance respectueux de la vie privée pour la communication responsable de renseignements dans les situations où il existe un risque grave pour la vie, la santé ou la sécurité d’une personne et où certaines conditions sont réunies.

Cette résolution exhorte les gouvernements à collaborer avec leur organisme de réglementation ou ombud responsable de la protection de la vie privée pour s’assurer que les organisations élaborent des politiques de confidentialité claires définissant les situations où la communication de renseignements est autorisée, tenir des campagnes de sensibilisation du public, élaborer des outils sensibles à la culture et tenant compte des traumatismes à l’intention des organisations qui sont au service de communautés à risque, et divulguer de façon proactive des données, statistiques et tendances concernant la violence conjugale afin d’éclairer et d’améliorer les politiques à ce sujet.

Les institutions publiques et les organisations du secteur privé sont également appelées, dans cette résolution, à élaborer des politiques internes sur la communication autorisée de renseignements, à assurer la formation de leur personnel, à adopter des approches sensibles à la culture et tenant compte des traumatismes, particulièrement auprès des groupes marginalisés, racialisés ou vulnérables, à tenir compte des expériences uniques des communautés autochtones, à faire preuve de transparence quant aux communications éventuelles de renseignements et à les documenter, à mettre en place des mesures de protection de la vie privée et de sécurité et à suivre les principes de minimisation des données.

Pour leur part, les organismes canadiens de réglementation responsables de la protection de la vie privée s’engagent à collaborer en vue de clarifier les communications qui sont autorisées en vertu de leurs lois respectives sur la protection de la vie privée en faisant équipe avec les gouvernements et d’autres parties intéressées pour renseigner les professionnels, les particuliers concernés et le public sur les circonstances où des renseignements personnels peuvent être communiqués en situation de violence conjugale. Ensemble, ces organismes comptent établir des orientations et fournir du soutien aux fins de la communication responsable de renseignements personnels pour contribuer à prévenir la violence conjugale.

« La violence conjugale est un problème très troublant qui touche des gens et des communautés, ici même en Ontario et dans l’ensemble du pays », a déclaré Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario. « Dans cette résolution conjointe, les organismes fédéral, provinciaux et territoriaux de réglementation de la protection de la vie privée déclarent que les lois sur la protection de la vie privée ne sont pas un obstacle à la communication de renseignements lorsqu’il y a un risque grave pour la santé et la sécurité d’une personne. Ensemble, les organismes de réglementation, les gouvernements et les organisations peuvent assurer la communication responsable de données en situation de violence conjugale pour protéger les victimes et survivantes et assurer la sécurité de nos communautés. »

Pour en savoir plus :

• Résolution : La communication responsable de renseignements en situation de violence conjugale
• Les commissaires et ombuds fédéraux, provinciaux et territoriaux à l’information et à la protection de la vie privée concluent une réunion annuelle fructueuse 
• Communication de renseignements en situation de violence conjugale : lignes directrices à l’intention des professionnels
• Balado L’info, ça compte S4-Épisode 5 : Lutter contre la violence conjugale : Échange de renseignements, confiance et confidentialité

Renseignements pour les médias :
@email 
 

Le Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) s’est joint aux autorités de protection des données et de la vie privée de plus de 130 pays à la 46^e Assemblée mondiale pour la protection de la vie privée (AMVP) pour se pencher sur des enjeux liés aux données qui concernent le monde entier.

Tenue au bailliage de Jersey, dans les îles de la Manche, cette assemblée avait pour thème le pouvoir de l’information. Les représentants des organismes de réglementation ont cherché à déterminer comment respecter ce pouvoir et le mettre en balance avec la nécessité pour les citoyens d’exercer un contrôle sur leurs renseignements personnels et de voir leur dignité respectée.

Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, a animé un panel sur l’impact social de l’éducation sur la protection de la vie privée, auquel ont participé la baronne Beeban Kidron, membre de la Chambre des lords du Royaume-Uni; Bertrand du Marais, commissaire, Commission nationale de l’informatique et des libertés (France); Joyce Lai, commissaire adjointe à la protection des données personnelles, Office of the Privacy Commissioner for Personal Data, Hong Kong; Leanda Barrington-Leach, directrice générale, Fondation 5Rights; et Matthew Johnson, directeur de l’éducation, HabiloMédias.

Leur discussion a porté sur les mesures concrètes que les organismes de réglementation et autres parties prenantes peuvent prendre afin d’informer et de mobiliser les jeunes pour leur donner les moyens de protéger leur droit à la vie privée dans le monde numérique et les encourager à devenir des citoyens numériques responsables.

La commissaire Kosseim a également participé à une séance sur le renforcement des capacités en matière d’établissement de priorités, où elle a fait part du plan stratégique du CIPVP et de l’importance d’établir des priorités stratégiques afin de mieux concentrer l’énergie et les ressources du CIPVP sur les enjeux clés en matière d’accès à l’information et de protection de la vie privée sur lesquels il est susceptible d’exercer le plus d’influence positive.

Les participants à l’assemblée ont adopté des résolutions sur des questions essentielles, comme la neurotechnologie, la libre circulation des données dans la confiance, les mécanismes de certification ainsi que les règles et procédures de l’AMVP.

Ces résolutions sont accessibles dans le site Web de l’AMVP.