S4-Épisode 11 : Moments marquants de notre quatrième saison

Patricia Kosseim :
Bonjour. Ici Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, et vous écoutez L’info, ça compte, un balado sur les gens, la protection de la vie privée et l’accès à l’information. Nous discutons avec des gens de tous les milieux des questions concernant l’accès à l’information et la protection de la vie privée qui comptent le plus pour eux. 

Bienvenue à cet épisode spécial de L’info, ça compte. Aujourd’hui, nous jetons un regard sur nos entretiens les plus fascinants de notre quatrième saison. Cet épisode réunit des extraits de ces conversations qui ont frappé nos auditeurs et qui présentent des perspectives uniques. Revenons donc sur les moments les plus mémorables de la saison.

Nous avons commencé cette saison par un entretien inspirant avec des élèves du premier cycle du secondaire de l’Académie Westboro, qui ont exprimé leur point de vue sur la protection de la vie privée dans un monde numérique. Leurs réflexions sur ce que signifie la vie privée pour eux sont fascinantes et d’une agréable franchise.

Bien des gens disent que pour les jeunes, protéger sa vie privée n’a plus d’importance. Qu’est-ce que vous en pensez?

Henrik :
Je ne crois pas que protéger leur vie privée, ça n’a pas d’importance pour eux. Je crois plutôt qu’ils ne savent pas ce que c’est et qu’ils n’y pensent pas. Ce n’est pas ce qui les intéresse quand ils sont en ligne. Alors ce serait bien de le leur enseigner ou de leur rappeler ce que c’est.

Patricia Kosseim :
Et toi, Isaac? Ta vie privée, c’est important pour toi?

Isaac :
Oui, ma vie privée est très importante pour moi, et comme l’a dit Henrik, ce n’est pas que les enfants ignorent ce que c’est ou ne s’en soucient pas, c’est plutôt qu’ils ne comprennent pas tout à fait les conséquences de ce qu’ils font en ligne.

Patricia Kosseim :
Isaac, connais-tu quelqu’un qui a déjà publié quelque chose en ligne et qui s’est dit plus tard, « ouais, je regrette un peu d’avoir publié ça »? Et à ton avis, est-ce que c’est facile d’éliminer ce qu’on a publié?

Isaac :
Oui, je connais des gens qui ont regretté avoir publié certaines choses en ligne, et je pense que techniquement, c’est facile de se débarrasser de quelque chose, il suffit de cliquer sur le bouton supprimer. Mais en réalité, c’est difficile de tout effacer, car les gens peuvent faire des captures d’écran, ou republier.

Patricia Kosseim :
Ouf, tu es vraiment intelligent. C’est bon à savoir. Et tu as raison, on ne peut pas juste effacer une publication et croire qu’elle a tout à fait disparu. Elle pourrait se retrouver à bien d’autres endroits. Qu’en penses-tu, Gaja?

Gaja :
Je connais bien des gens qui ont regretté d’avoir texté quelque chose. C’était habituellement quelque chose de désagréable, et ils ont présenté leurs excuses, ils font fait tout ce qu’ils pouvaient. Ils ont essayé de s’assurer que personne d’autre n’avait ce texto, que tout le monde était au courant des deux versions des événements. Mais ça a quand même blessé quelqu’un, et c’est là pour toujours et certains ont fait des captures d’écran. Alors, il faut probablement réfléchir avant de publier quelque chose ou de texter quelque chose, et être certain que c’est la bonne chose à faire.

Patricia Kosseim :
Ces élèves nous ont rappelé que les jeunes sont disposés à apprendre ce qu’est la vie privée et qu’ils sont en mesure de faire des choix judicieux en la matière, mais que c’est à nous, parents, pédagogues et organismes de réglementation, qu’il revient de les guider et de leur donner du soutien. 

Pour notre épisode 2, nous avons accueilli Cynthia Khoo, chercheuse au Citizen Lab de l’Université de Toronto et associée principale au Center on Privacy and Technology de l’école de droit de Georgetown University, à Washington. Cynthia nous a fait découvrir les subtilités de la technologie de la reconnaissance faciale et ses vastes conséquences pour la protection de la vie privée et les droits de la personne. Ses propos sur les biais intégrés dans ces systèmes ont souligné l’importance d’assurer une surveillance et de prévoir des balises légales.

Cynthia, les auditeurs ne connaissent peut-être pas la technologie de reconnaissance faciale. Pouvez-vous nous expliquer comment elle fonctionne?

Cynthia Khoo :
En gros, la technologie de reconnaissance faciale permet d’identifier des personnes en fonction des caractéristiques de leur visage, qu’il s’agisse de l’espace entre vos yeux, de la forme de votre menton, de mesures prises à partir de différents points de votre visage qui sont ensuite utilisées pour créer une empreinte faciale que l’on compare aux empreintes d’autres visages, que ce soit dans une grande base de données ou sur une photo que vous avez déjà remise à la personne responsable du système, par exemple.

Patricia Kosseim :
Je vais vous dire une chose que je ne crois pas, mais que bien des gens disent, et j’aimerais que vous la réfutiez en vos propres mots. C’est le vieux dicton qui dit que si on n’a rien à cacher, où est le problème? Pourquoi s’en faire au sujet des technologies de surveillance comme la reconnaissance faciale quand on est en public? Pourquoi est-ce important, et pourquoi doit-on s’en soucier?

Cynthia Khoo :
C’est une excellente question. L’anonymat en public est un droit essentiel en matière de vie privée. La Cour suprême du Canada l’a reconnu et ce droit est donc protégé par la constitution, et bon nombre de nos lois sur la protection de la vie privée ont été élaborées en partant du principe que les gens jouissent généralement de l’anonymat lorsqu’ils circulent en public. Quand ce dicton a été formulé, personne ne pouvait prendre une photo de vous en public et connaître tout à votre sujet aussitôt. Supposons qu’une personne a échappé à une situation de violence conjugale, et qu’une autre peut la retracer parce qu’elle a été aperçue par hasard dans un café et identifiée, et son assaillant en a eu vent. Aussi, des agents d’infiltration pourraient être identifiés s’ils sont impliqués dans une altercation avec quelqu’un.

Prenons l’exemple d’un cas typique de rage au volant : normalement, l’incident se produit, puis on s’en va et on espère généralement que c’est fini. Mais que se passerait-il si la personne en état de rage au volant pouvait prendre une photo de vous et vous suivre jusque chez vous ou déterminer votre lieu de travail et, si elle était vindicative, vous poursuivre jusque-là? Il n’y a plus de limite à ce qui pourrait arriver, car l’espace physique n’est plus une contrainte. Lorsqu’il s’agit de libertés civiles, pensons à l’impossibilité de participer à une manifestation sans que la police ou le gouvernement ne puisse savoir tout de suite qui vous êtes ou quel est votre employeur, au fait que des personnes puissent éventuellement user de représailles contre vous parce que vous vous êtes exprimé et que vous avez des convictions.

Le deuxième point est que vous n’avez rien à cacher pour l’instant, mais que ça peut changer très rapidement. Vous ne savez pas ce qui se passera à l’avenir. Peut-être qu’un gouvernement qui n’est pas d’accord avec la façon dont vous vivez votre vie ou avec un aspect de votre identité sera porté au pouvoir. Ce n’est donc pas toujours le fait de n’avoir rien à cacher qui est en cause, mais plutôt qui est au pouvoir et comment on pourrait utiliser ce pouvoir contre vous, et voilà pourquoi tout le monde a besoin de ces protections.

Patricia Kosseim :
Les propos de Cynthia révèlent toute la portée de la reconnaissance faciale et pourquoi il est essentiel de protéger notre droit à l’anonymat dans les lieux publics, de protéger les personnes vulnérables et d’éviter les abus de la part de personnes malveillantes. Elle a souligné que l’impact de cette technologie va au-delà de l’efficacité et soulève des enjeux essentiels en matière de protection de la vie privée et de droits de la personne. Elle nous a rappelé que la reconnaissance faciale peut se révéler utile, mais qu’elle doit faire l’objet d’une surveillance rigoureuse pour éviter des conséquences indésirables. 

C’est avec Robert Fabes de la Mission d’Ottawa que nous avons eu l’un de nos entretiens les plus percutants. Il nous a parlé des obstacles en matière d’information que doivent franchir les personnes en situation d’itinérance, et de la difficulté pour eux d’obtenir et de gérer leurs pièces d’identité délivrées par le gouvernement, dont ils ont besoin pour accéder à des services essentiels. Ses réflexions ont été à la fois révélatrices et très touchantes.

Que signifie le respect de la vie privée pour les personnes en situation d’itinérance, et quelle est son importance pour elles par rapport à d’autres aspects de leur vie?

Robert Fabes :
C’est une bonne question. Ça me montre, ainsi qu’à la population, que ton bureau examine la situation de leur point de vue, ce qui est fondamental pour apporter des changements significatifs dans ce domaine et résoudre certains des problèmes que tu as soulevés dans ton introduction. Quand tu m’as demandé de participer à ce balado, je suis allé voir les clients de la Mission et nous avons parlé de tout ça. Nous avons discuté de ce que signifie la vie privée pour eux et de l’importance qu’elle a à leurs yeux. Pour eux, ce qui compte surtout, c’est d’exercer un contrôle sur leurs renseignements personnels. Ils veulent pouvoir y accéder, et ils redoutent bien plus qu’on utilise une photo d’eux. Ils sont très sensibles à la possibilité d’être identifiés comme résidents d’un refuge. Ils sont très sensibles à la stigmatisation que cela comporte, notamment quand ils essaient d’avoir accès à certains services. Ils savent que dans la plupart des cas, dès qu’on voit que leur adresse est celle d’un refuge, on commence à les traiter différemment.

Patricia Kosseim :
Notre bureau est le premier à reconnaître que le droit à la vie privée n’est pas absolu. Il y a toujours des compromis à faire quant aux renseignements personnels que l’on fournit pour recevoir des services, par exemple. Donc, pour ces personnes en situation d’itinérance qui ont manifestement des besoins fondamentaux à satisfaire, comment trouver un équilibre entre l’accès aux services dont elles ont désespérément besoin et la protection de leurs renseignements personnels?

Robert Fabes :
Pour eux, l’accès à leurs propres renseignements afin de pouvoir obtenir des services gouvernementaux est beaucoup plus important que la protection de ces renseignements particuliers, de leur numéro de carte Santé, de leur numéro d’assurance sociale, de leurs documents fiscaux, de leur certificat de naissance. Parce que pour eux, comme tu l’as dit Pat, obtenir ces renseignements leur permet de répondre à leurs besoins fondamentaux.

Patricia Kosseim :
Rob nous a présenté une perspective importante de la vie des personnes en situation d’itinérance, en montrant que pour bon nombre d’entre elles, protéger leur vie privée, c’est exercer un contrôle sur l’utilisation de leurs renseignements. Dans un monde où on nous traite très différemment en raison des préjugés associés à l’adresse d’un refuge, où il est difficile d’accéder à des services sans pièce d’identité en règle et où la vie privée devient une question de dignité humaine. Rob nous rappelle qu’il faut prendre connaissance des besoins et points de vue particuliers des populations vulnérables pour concilier protection de la vie privée et accès à des services essentiels. 
Dans l’épisode 4, j’ai eu le grand plaisir d’accueillir le Dr Devin Singh de l’hôpital SickKids de Toronto, qui a parlé du potentiel transformateur de l’intelligence artificielle dans les soins de santé et des obligations éthiques qui s’y appliquent.

Dr Devin Singh :
Pendant ce parcours, en particulier pendant les cinq dernières années au cours desquelles nous avons mis en œuvre ces technologies, nous avons reconnu qu’il fallait prévoir une gouvernance, de la rigueur et de la réflexion. Comment appliquer ces technologies à l’échelle du pays? C’est réellement notre mission, avoir une incidence mondiale sur la transformation des soins pédiatriques. À cette fin, ce n’est pas nécessairement la technologie qui est le plus difficile. C’est la réflexion concernant la protection de la vie privée, l’éthique, la sécurité des patients et la gouvernance. Concrètement, nous avons mis environ quatre ans à concevoir ce qu’on appelle le « Get AI Framework », le cadre « je comprends l’IA », qui fait en sorte que l’élaboration des technologies à l’interne fait l’objet de tous les contrôles nécessaires à chacune des étapes, dès le début. Aucun de ces projets ne voit le jour sans une évaluation réglementaire approfondie, qui aborde des enjeux comme la protection de la vie privée, l’incidence sur la sécurité des patients, et nous évaluons aussi quelles pourraient être les conséquences inattendues de la mise en œuvre de ces technologies pour le système.

Patricia Kosseim :
Dans quelle mesure ces technologies sont-elles sécuritaires pour ce qui est, par exemple, de leur interface avec les fournisseurs commerciaux? Dans quelle mesure sont-elles vulnérables aux acteurs malveillants et aux risques liés à la cybersécurité?

Dr Devin Singh :
Nous devons supposer qu’un jour, les données pourraient être piratées. Si jamais cela se produisait, toutes les données sont chiffrées de sorte qu’aucune donnée sensible relative aux patients n’est compromise. C’est une norme minimale de base, mais cela ne signifie pas nécessairement que tout le monde fait la même chose. Je conseille de poser des questions aux fournisseurs, et notamment de leur demander ce qui arriverait si les données étaient piratées. Dites-moi tous les éléments qui ne sont pas chiffrés. Pourquoi ne le sont-ils pas? Comment régissez-vous l’accès à mes données? Utilisez-vous les données à d’autres fins que ce qui est prévu dans notre entente et pourquoi? À quelles fins les utilisez-vous? Est-ce que je peux m’opposer au nom de tous mes patients et vous dire que nous ne permettons pas que ces données soient utilisées de cette façon? En tant que communauté axée sur la santé, nous nous devons de poser ces questions pour nous assurer que les mesures que nous prenons sont claires et nettes, et nous devons exiger de nos fournisseurs de technologie, voire de nos hôpitaux également, des normes vraiment élevées en matière de cybersécurité, de chiffrement, de confidentialité des données, de gouvernance et d’éthique.

Patricia Kosseim :
Cet épisode nous a montré des exemples concrets de la façon dont l’IA peut être implantée pour améliorer la santé et les services de santé, et nous a proposé plusieurs leçons sur le déploiement responsable de l’IA qui privilégie la sécurité, élimine les biais et place le patient et sa famille au cœur de la prise de décision. 

Dans l’épisode 5, nous avons accueilli Priya Shastri, directrice des programmes à Women Act, un organisme torontois qui a pour but d’éliminer la violence faite aux femmes. Priya a partagé ses années d’expérience dans le domaine de la violence conjugale, et nous a parlé des obstacles systémiques auxquels sont confrontées les survivantes ainsi que du rôle essentiel de la communication de renseignements pour dresser des plans de sécurité.

Priya Shastri :
La partie cruciale du soutien à la sécurité d’une survivante est le soutien holistique ou les services intégrés comme le logement, la santé, le droit, l’emploi, l’éducation et les services à l’enfance. Tous ces services travaillent donc ensemble pour échanger des renseignements afin de répondre aux besoins des survivantes en matière de sécurité. Chacun de ces fournisseurs de services dispose de renseignements sur la survivante et l’auteur de l’infraction. Un prestataire de soins dispose peut-être de renseignements sur l’état de santé physique et mental actuel de la survivante et de l’auteur de l’infraction. Le système d’éducation peut disposer de renseignements sur la sécurité des enfants. Il s’agit donc de réunir ces différents partenaires communautaires et fournisseurs de services pour qu’ils mettent en commun tout ce qu’ils savent afin d’obtenir un portrait complet de la situation sur lequel s’appuyer pour dresser un plan de sécurité.
Un problème se pose quand on dresse des plans de sécurité sans disposer de toute l’information. Par exemple, vous disposez peut-être de renseignements selon lesquels l’auteur d’un crime va être libéré, mais la survivante n’est peut-être pas au courant, de même que peut-être aucun des partenaires qui donnent du soutien aux survivantes. Il serait important, dans le cadre du plan de sécurité, de savoir que l’auteur d’une infraction est libéré. Mais il arrive parfois que l’on dispose de renseignements insuffisants, ce qui réduit l’efficacité des plans de sécurité et la sécurité de la survivante. C’est donc essentiellement pour cette raison que c’est si crucial et important.

Patricia Kosseim :
Priya a évoqué les obstacles systémiques auxquels font face les victimes et survivantes, qu’il s’agisse de traumatismes intergénérationnels ou de lacunes dans les systèmes de soutien, ce qui souligne la nécessité de services complets fondés sur la collaboration et la transparence. Elle a souligné également combien la communication de renseignements, lorsqu’elle est effectuée de façon réfléchie en tenant compte des traumatismes, peut être efficace afin d’assurer la sécurité sans causer d’autres préjudices. 

Dans l’épisode 6, nous avons accueilli Shaun Sanderson, une médiatrice chevronnée de notre bureau, qui a beaucoup d’expérience dans le règlement des différends en vertu des lois ontariennes sur l’accès à l’information. Shaun nous amène en quelque sorte en coulisse pour nous expliquer le processus de médiation et parler de réussites tangibles.

Shaun Sanderson :
Après avoir reçu un appel, notre bureau s’assure que nous avons toute la documentation et tous les documents en cause à l’étape du traitement des demandes du processus d’appel, puis le dossier est envoyé à la médiation. La médiatrice ou le médiateur reçoit le dossier, examine évidemment tous les documents et la correspondance qu’il contient, puis essentiellement, il détermine comment le processus se déroulera, car chaque appel que nous recevons à notre bureau est unique. Chaque dossier comprend ses propres circonstances particulières et ses propres enjeux, et la médiatrice ou le médiateur décide comment se fera la médiation et communique évidemment avec les deux parties. Et le rôle du médiateur est vraiment d’informer les parties sur le processus. Nous passons en revue avec elles tout le processus de médiation et la législation sur l’accès à l’information. Nous travaillons avec les parties afin de clarifier les éléments du différend.

Notre travail, et notre but, vraiment, c’est de tenter de régler tous les éléments de l’appel ou, si nous sommes incapables de les régler tous, d’en réduire le nombre et de déterminer les enjeux qui peuvent passer à l’arbitrage, le stade suivant du processus d’appel, si le dossier n’est pas réglé au stade de la médiation. Il est important aussi de souligner que les médiateurs sont neutres. Nous sommes des tierces parties neutres, donc nous pouvons donner des opinions, mais nous ne prenons pas de décisions.

Patricia Kosseim :
Pouvez-vous donner un exemple de cas où la médiation a permis de régler un appel lié à la protection de la vie privée?

Shaun Sanderson :
J’ai traité récemment un dossier qui portait sur une demande qu’un particulier avait adressée à un canton pour obtenir un renseignement précis. Le particulier en question voulait obtenir des renseignements sur les activités d’un chef du service des bâtiments au cours d’une longue période, y compris tous les sites qu’il avait visités ainsi que les mesures et les décisions qui avaient été prises à la suite de ces visites. La demande portait également sur les dépenses du canton sur de nombreuses années, y compris les dates, les montants et les motifs des paiements. Le canton a établi que la demande était frivole et vexatoire compte tenu de la quantité de renseignements demandés. Nous nous sommes donc retrouvés dans une situation où l’appelant a interjeté appel de la décision. Il y avait beaucoup de méfiance et d’acrimonie entre les parties. Beaucoup de travail préliminaire avait été fait avant la téléconférence. J’ai remis aux parties, à l’institution, notre feuille-info sur les demandes frivoles et vexatoires, avec des ordonnances antérieures. Je me suis entretenue avec l’appelant pour réellement tirer au clair ses intérêts sous-jacents.

Qu’est-ce qu’il recherchait vraiment? À quelles questions voulait-il obtenir réponse? Et j’ai pu communiquer ces renseignements au canton pour lui permettre de se préparer à répondre à ces questions pendant la téléconférence. Puis nous avons eu une téléconférence avec toutes les parties, et je pense que la clé du succès de cette médiation est le fait qu’elle a réuni les bonnes parties à la table. En plus du directeur général, que la plupart des municipalités invitent à la table, il y avait aussi des gens qui étaient des experts de l’objet de la demande. Ces deux personnes ont pu répondre aux questions de l’appelant et aussi l’aider à réviser ses demandes et les périodes sur lesquelles elles portaient afin de tenir compte de ses intérêts et de ce qu’il recherchait réellement. En définitive, il a été possible de réduire considérablement le travail que l’institution devait accomplir, y compris le temps de recherche et de préparation, ainsi que les droits à exiger. C’était donc une situation gagnante pour les deux parties et nous avons pu régler cet appel.

Patricia Kosseim :
L’expertise et le dévouement de Shaun témoignent du rôle vital que joue la médiation pour régler de manière efficace et efficiente les appels en matière d’accès à l’information. Comme elle l’a mentionné, il importe de créer un climat de confiance, de favoriser la communication et de trouver des solutions créatives, ce qui démontre l’incidence de cette importante partie du processus. 

Dans l’épisode 7, nous avons traité de trois projets de notre Défi de la transparence 2.0, La beauté et les avantages de la transparence. Ces initiatives montrent combien la transparence peut susciter la confiance du public, améliorer l’accès à des renseignements essentiels et motiver des changements concrets dans les collectivités. Voici donc quelques exemples inspirants de transparence à l’œuvre. Mes deux premiers invités étaient Steve Orsini et Josh Lovell du Conseil des universités de l’Ontario.
Pouvez-vous nous donner une idée plus précise des types de données qui sont accessibles au public au moyen de la plateforme, et de leurs avantages concrets pour les étudiantes et étudiants, les décideurs et les pédagogues?

Steve Orsini :
Dans notre site de données ouvertes, il est possible d’accéder à différentes catégories de données. Par exemple, nous avons des données sur l’effectif. Nous avons également des données sur le nombre de professeurs, les bourses de recherche qui ont été accordées, le taux de diplomation et le taux d’emploi selon le programme. Donc les étudiants qui veulent connaître la situation d’emploi des diplômés peuvent consulter ces données. Des renseignements sont également disponibles dans notre centre de demande d’admission. Nous recevons plus de 800 000 demandes par année. Ces étudiants veulent savoir à quels programmes les gens s’inscrivent, l’emploi qu’ils occupent par la suite, le taux de diplomation et le taux d’emploi selon le programme. Tous ces renseignements sont accessibles.

Josh Lovell :
Je dirais que sur notre site, il y a trois ensembles de données. Le premier porte sur ce que font les universités, et certains aspects que Steve a mentionnés : les demandes d’admission traitées, l’effectif et les programmes auxquels se sont inscrits les étudiantes et étudiants. Ce sont des données opérationnelles qui sont accessibles dans un portail spécialisé. Le deuxième ensemble de données porte sur la situation des universités. Par exemple, nous avons un portail des responsables des finances où l’on peut connaître les revenus des établissements, leurs dépenses et d’autres éléments de leurs activités quotidiennes. Et le troisième ensemble de données porte sur les réalisations des universités : les taux de diplomation, les titres de compétence qui sont accordés, et les résultats sur le plan de l’emploi. Il y a aussi des rapports de synthèse qui tracent en quelque sorte un portrait des tendances les plus importantes et les plus marquées.

Patricia Kosseim :
J’ai parlé ensuite à Mike Melinyshyn et Damien Mainprize au sujet de l’initiative Helpful Places de la ville d’Innisfil.

Mike Melinyshyn :
Alors que nous commencions, à Innisfil, à adopter diverses technologies, nous tenions vraiment à nous assurer que nous le faisions correctement, en faisant preuve de transparence et en protégeant les renseignements personnels et identificatoires de nos résidents au fur et à mesure de l’adoption de ces technologies. Je préparais alors une stratégie de gouvernance des données pour la ville d’Innisfil, et dans le cadre de mes recherches, j’ai pris contact avec Jackie Liu, qui était directrice de l’intégration des données pour Waterfront Toronto, et elle mettait sur pied une organisation appelée Helpful Places. Ce fut le point de part du projet. Elle voulait créer pour les municipalités un outil vraiment transparent pour faire connaître à leurs résidents les technologies qu’elles déploient.

Cet outil est très intéressant car il comporte deux volets. Il y a une taxonomie de signalisation qui simplifie réellement les communications sur la technologie déployée. Alors s’il s’agit d’un capteur, on a une petite illustration d’un capteur, ou dans le cas d’une caméra de surveillance, une illustration de caméra. Mais l’élément unique, c’est le code QR. Les résidents peuvent le lire, et obtenir ainsi des renseignements sur la technologie déployée, les données recueillies, l’endroit où ces données sont conservées, le fait qu’elles sont anonymisées ou non, et la possibilité d’y accéder, le cas échéant. Alors c’était un outil tout à fait transparent et c’est ce que j’ai trouvé de vraiment fascinant à propos de ce projet.

Patricia Kosseim :
Alors comment avez-vous fait pour vous mettre les gens au courant des données qui étaient recueillies et pour quelle raison? Comment vous y êtes-vous pris, en termes simples?

Damien Mainprize :
Le programme DTPR a créé une taxonomie normalisée, avec des symboles ou icônes. Ces icônes figurent sur les affiches qui sont installées à chaque emplacement où se trouve la technologie ou à proximité. Dans notre cas, c’est dans nos deux principaux parcs et près des poubelles qui s’y trouvent. L’affiche décrit l’objet du projet, en donnant une brève explication, en utilisant les icônes de cette taxonomie, qui sont très éloquentes. Il y a aussi une icône pour le type de technologie employé. Le dernier élément sur l’affiche est un code QR, et lorsqu’un utilisateur ou un résident balaie ce code QR, une application Web lui permet de se renseigner sur presque tous les aspects de la technologie et sur le programme qui a été mis en œuvre. Donc les résidents qui veulent vraiment en savoir plus et trouver réponse à leurs questions peuvent consulter des détails supplémentaires sur chaque aspect du projet et sur chaque technologie employée.

Patricia Kosseim :
Ma dernière invitée pour cet épisode était Andrea Roberts du ministère de l’Environnement, de la Protection de la nature et des Parcs, qui a expliqué les solutions créatives qu’utilise le ministère pour accélérer le processus d’accès à l’information et faciliter l’accès du public aux dossiers environnementaux concernant les biens immobiliers.

Andrea Roberts :
Le ministère de l’Environnement reçoit énormément de demandes d’accès à l’information chaque année. Elles se chiffrent actuellement à environ 9 000 par année, ce qui représente 40 % du nombre total de demandes pour l’ensemble de la province. Donc le ministère est submergé de demandes. Plus de 95 % d’entre elles ont trait à des dossiers concernant les biens immobiliers. Donc actuellement, un membre du public, n’importe qui, mais habituellement un représentant d’une entreprise voulant réaménager des biens-fonds, peut se rendre sur le site Web, entrer une adresse et demander combien de documents sont associés à un bien immobilier et quels sont les types de documents en question. Moyennant des frais minimes, la personne reçoit les résultats de recherche, qui lui permettent de déterminer les prochaines étapes à suivre.
Dans plus de 40 % des recherches, il n’y a pas de documents pertinents. Et contrairement à ce qu’on pourrait croire, c’est une très bonne chose pour le client moyen, parce que ça veut dire que nous n’avons aucun document qui pourrait révéler un problème associé au bien immobilier en question. Et donc généralement, pour lui, le processus se termine là, il n’a pas besoin de renseignements supplémentaires, il n’a pas à présenter une demande d’accès à l’information, et ce qui est bien, c’est qu’il reçoit ces renseignements dans un délai de cinq jours.

Patricia Kosseim :
Quelles sont les leçons que le ministère a tirées de cette initiative, et comment les appliquera-t-il à des services futurs visant à améliorer l’accès aux documents que détient le gouvernement?

Andrea Roberts :
Nous avons entrepris de bâtir un service destiné à répondre à un besoin particulier que nous tentions de combler au moyen du système d’accès à l’information, ce qui n’était pas très efficace. Alors ce que nous avons appris, c’est que nous avions un problème, mais que la solution ne consistait pas à le régler directement. C’est en réglant ce problème secondaire que le problème initial a été résolu. Alors je crois que l’outil d’accès aux DEBI est un exemple de créativité, un exemple de projet que mes prédécesseurs et l’équipe qui continuent d’y travailler ont créé pour résoudre ce problème. Nous avons également appris, je crois, l’utilité d’une démarche par étapes. Notre problème semblait insurmontable, donc nous avons appris qu’une démarche par étapes nous permet d’avancer lentement mais sûrement dans une telle situation.

Patricia Kosseim :
Des plateformes de données ouvertes dans les universités de l’Ontario, des outils technologiques novateurs à Innisfil, la simplification de l’accès aux dossiers environnementaux : tous ces projets illustrent la beauté et les avantages bien tangibles de la transparence. 

J’ai eu le grand honneur de prendre part à un entretien essentiel et actuel sur la nécessité d’intégrer les principes de la souveraineté des données et de l’éthique autochtones dans le développement de technologies. Mon invité, Jeff Ward, fondateur et PDG d’Animikii, a partagé son expertise et son point de vue unique sur la façon dont la technologie peut autonomiser les communautés autochtones tout en respectant leurs valeurs culturelles et leurs droits en matière de données. 

Comment Animikii intègre-t-il des traditions et valeurs autochtones dans ses solutions technologiques?

Jeff Ward :
Voilà une excellente question. À Animikii, nous avons adopté les sept enseignements sacrés de ma culture; il s’agit des valeurs que sont l’amour, l’humilité, le respect, la sagesse, le courage, l’honnêteté et la vérité. Et en tant que société technologique, le fait d’intégrer l’amour, par exemple, dans la technologie, c’est une chose à laquelle nous réfléchissons et dont nous parlons tous les jours. En tant qu’organisation, que société technologique, nous nous demandons comment nous y prendre pour souscrire à ces valeurs à tous les niveaux de notre mission, de notre vision, de notre plan stratégique, des objectifs de notre entreprise, et même des objectifs particuliers que fixent les membres de notre équipe, même pour des aspects comme l’évaluation de l’impact. Donc nous envisageons ces valeurs de façon globale. Ce sont plus que de simples mots sur notre site, ce sont des valeurs que nous mesurons et que nous nous engageons à respecter, et que nous intégrons dans le processus de développement de la technologie et des logiciels dès le début.

Patricia Kosseim :
En vous écoutant aujourd’hui, j’ai l’impression que nous avons besoin de faire entendre plus de voix à la table. Donc à votre avis, comment les principes de souveraineté des données autochtones peuvent-ils éclairer nos conversations sur l’éthique et la gouvernance des données dans un monde numérique?

Jeff Ward :
Eh bien, je pense qu’il faut protéger les données autochtones et nous assurer que les peuples autochtones en conservent le contrôle et leur profitent à eux indirectement, n’est-ce pas? Je sais que ce sujet a été abordé dans l’autre épisode au sujet des principes de PCAP, et aujourd’hui nous parlons des principes FAIR et CARE également. Il serait important d’utiliser ces cadres pour orienter votre processus. Et aussi, appuyer et promouvoir les technologies autochtones qui respectent nos droits en matière de données et nos protocoles, et permettre aux technologues autochtones, particulièrement ceux de communautés avec qui vous travaillez, de s’exprimer sur tout votre travail.

Patricia Kosseim :
Les idées de Jeff sur la souveraineté des données autochtones et l’intersection de la technologie et des valeurs culturelles soulignent l’importance d’adopter des démarches éthiques et inclusives de gouvernance des données. Comme Jeff nous l’a rappelé, il existe déjà des cadres pour prendre des mesures responsables. Il nous incombe maintenant de les adopter et de nous assurer que la technologie sert le bien collectif. 

Dans l’épisode 9, nous avons traité d’un sujet qui façonne de plus en plus l’avenir de l’éducation : la technologie dans la salle de classe. Qu’il s’agisse des applications d’apprentissage en ligne, des outils d’IA ou de la présence croissante de plateformes proposées par des fournisseurs externes, la technologie transforme l’apprentissage et l’enseignement.  J’ai accueilli Anthony Carabache, du service de perfectionnement professionnel de l’Ontario English Catholic Teachers Association, qui fait également partie du Conseil consultatif stratégique du CIPVP.

Avec l’utilisation accrue des plateformes technologiques, des applications commerciales et d’autres outils de fournisseurs externes dans la salle de classe, on constate que la privatisation s’infiltre de plus en plus dans le système d’éducation publique. Qu’en pensez-vous, Anthony?

Anthony Carabache :
Les fournisseurs externes sont déjà implantés dans notre système d’éducation, et je l’ai vu au début des années 2000, alors que des fournisseurs venaient frapper à la porte des conseils scolaires pour leur faire adopter leurs applications. À l’époque, c’était logique parce qu’il s’agissait vraiment d’outils, mais maintenant il ne s’agit plus simplement de fournisseurs qui viennent nous vendre leurs produits. Ils proposent des solutions à des problèmes qui n’existent pas vraiment. Donc, on nous vend un problème, puis on nous vend la solution. On ouvre donc la porte aux mises à niveau et à une abondance de nouveaux logiciels qui s’infiltrent dans le réseau d’éducation public, et c’est très envahissant.

Patricia Kosseim :
Récemment, mon bureau a publié un document d’orientation sur les questions de protection de la vie privée et d’accès dont les organisations du secteur public doivent tenir compte lorsqu’elles font appel à des fournisseurs externes ou, dans votre cas, des fournisseurs d’outils pédagogiques numériques à utiliser en classe. Comment des associations, des secteurs, ou encore, des conseils scolaires, peuvent-ils accroître leur pouvoir de négociation et leur influence lorsqu’ils amorcent des relations contractuelles avec des fournisseurs externes?

Anthony Carabache :
Voilà un aspect très important, Patricia. Le document que vous avez publié est à mon avis un excellent cadre pour orienter les institutions et les bureaux publics en matière d’approvisionnement. C’est vraiment le deuxième élément en importance, qui permet aux fonctionnaires des conseils scolaires de protéger nos personnes les plus vulnérables et leurs employés. Tout le monde en profite. Donc, les lignes directrices, le fait de savoir ce qui est sécuritaire et ce qui ne l’est pas, ainsi que la façon de revaloriser la protection de la vie privée et le développement des compétences, tout cela se produit dans le cadre du processus d’approvisionnement.

Patricia Kosseim :
Anthony a jeté un éclairage sur les possibilités incroyables que recèle la technologie dans la salle de classe, tout en nous rappelant l’importance de protéger la vie privée et le bien-être des élèves. Dans le monde numérique d’aujourd’hui, il est évident que les pédagogues, décideurs et institutions doivent collaborer pour mettre en balance l’innovation et la protection dans l’intérêt supérieur des élèves. 

Dans l’épisode 10, j’ai discuté avec mes collègues du CIPVP d’affaires concernant la protection de la vie privée dans le secteur de la santé parmi les plus importantes dont nous avons été saisis en 2024. Pour commencer, je me suis entretenue avec Jennifer Olenick, une arbitre au sein de notre Division du tribunal administratif et du règlement des différends. Jennifer nous a parlé de la Décision 249 en vertu de la LPRPS, une affaire où des fournisseurs de soins de santé ont subi les conséquences dévastatrices de cyberattaques, et de laquelle nous avons dégagé des stratégies concrètes permettant aux dépositaires de renseignements sur la santé de renforcer leur posture de cybersécurité.

Donc, Jennifer, commençons par vous. Vous avez rendu une décision, la Décision 249 en vertu de la LPRPS, qui portait sur une atteinte à la vie privée dans une clinique d’imagerie médicale. Pouvez-vous nous résumer cette affaire?

Jennifer Olenick :
C’est une situation qui, malheureusement, est de plus en plus fréquente, car cette affaire portait sur une attaque par rançongiciel. Une clinique d’imagerie médicale a été attaquée par un pirate, qui a chiffré les fichiers dans ses serveurs de dossiers médicaux électroniques et ses serveurs de fichiers, de sorte qu’il était impossible d’y accéder. Ce pirate a également exfiltré, c’est-à-dire volé, ces dossiers également. Il a aussi supprimé les systèmes de copie de sauvegarde, de sorte que la clinique ne pouvait pas simplement récupérer les données à partir d’une copie. Donc, le pirate s’est emparé d’un peu plus d’un demi-million de dossiers de patients, avec leurs coordonnées, leur nom, une partie de leur numéro de carte Santé et leur date de naissance, donc ce sont des renseignements importants. De plus, la clinique a été essentiellement incapable de poursuivre ses activités pendant environ deux semaines en attendant de résoudre cette situation. En définitive, elle a payé la rançon, obtenu des pirates une clé de déchiffrement et l’assurance qu’ils ne feraient rien d’autre de ces renseignements personnels sur la santé.

Patricia Kosseim :
Quelles sont les leçons que les autres institutions peuvent tirer de cette affaire?

Jennifer Olenick :
Il faut être attentif aux aspects de base, par exemple, surveiller les comptes inactifs. Il ne faut pas les perdre de vue car il peut toujours arriver quelque chose. Et aussi, accordez des privilèges uniquement aux personnes qui en ont besoin. N’accordez pas aux employés plus de privilèges d’accès aux systèmes que ceux dont ils ont besoin. Ainsi, les conséquences d’une atteinte à la vie privée pourraient être moins graves. Et enfin, il faut adopter des politiques pour faire comprendre aux employés qu’ils doivent utiliser des mots de passe forts qui sont difficiles à deviner, et qu’ils n’utilisent pas déjà ailleurs. Une autre leçon à retenir, c’est qu’il faut garder l’œil sur ses systèmes de copie de sauvegarde, et veiller à toujours conserver une copie à un endroit inaccessible à un pirate.

Patricia Kosseim :
Je me suis entretenue ensuite avec Linda Chen, avocate des Services juridiques du CIPVP. Elle a discuté de la cyberattaque hautement médiatisée commise contre LifeLabs qui a touché des millions de patients, ainsi que de la bataille judiciaire qui a suivi, l’entreprise ayant affirmé que des documents étaient privilégiés. Cette affaire a permis d’établir un important précédent jurisprudentiel quant à ce à quoi les entités réglementées devraient s’attendre dans le cadre d’une enquête d’un organisme de réglementation ou, en l’occurrence, de deux organismes, sur une atteinte à la vie privée. Linda, pouvez-vous nous décrire les types de documents qui, selon LifeLabs, étaient privilégiés?

Linda Chen :
LifeLabs a affirmé que bon nombre de documents étaient privilégiés, notamment un rapport d’un expert-conseil en technologie de l’information sur les causes de la cyberattaque, les systèmes touchés et les mesures correctives à prendre pour éviter qu’une telle cyberattaque se reproduise.  Ces documents comprenaient aussi une analyse de données interne réalisée par LifeLabs pour déterminer les clients qui avaient été touchés par cette atteinte à la vie privée. Comme vous l’avez mentionné, 8,6 millions de Canadiennes et de Canadiens ont été touchés. L’entreprise a également affirmé que la correspondance entre sa firme d’experts-conseils et les pirates était privilégiée. Et il y a eu des négociations sur la rançon, et l’entreprise a également revendiqué un privilège à leur égard. Il y avait aussi quelques documents contenant des réponses à des questions que les commissaires avaient posées à LifeLabs. Comme l’entreprise avait acheminé ses réponses par l’entremise de ses avocats, elle a soutenu qu’ils étaient également privilégiés.

Patricia Kosseim :
Quelle a été la décision de la Cour divisionnaire de l’Ontario en définitive?

Linda Chen :
La Cour divisionnaire de l’Ontario a décidé en définitive que la preuve ne permettait pas d’étayer les affirmations de LifeLabs selon lesquelles les faits inclus dans le rapport d’enquête des commissaires étaient privilégiés. La cour a également souligné que le privilège du secret professionnel de l’avocat ne protège pas les faits que la partie réglementée, donc LifeLabs, doit produire en raison d’obligations d’origine législative. En l’occurrence, en vertu de la LPRPS et de la Personal Information Protection Act de Colombie-Britannique, LifeLabs a été tenue de faire enquête sur la cyberattaque et de prendre des mesures correctives, comme ces lois l’y obligeaient. Donc, les renseignements concernant cette enquête et ces mesures correctives qui étaient mentionnés dans le rapport d’enquête des commissaires ne pouvaient pas être privilégiés. La cour a également statué que LifeLabs ne pouvait pas simplement se soustraire à ses obligations en ajoutant à des documents des renseignements sur les atteintes à la vie privée puis en affirmant que ces renseignements étaient privilégiés.

Patricia Kosseim :
J’ai ensuite parlé à Alanna Maloney, l’une de nos enquêteuses, sur la Décision 260 en vertu de la LPRPS. Cette affaire souligne l’importance de donner une formation annuelle sur la protection de la vie privée à tous les membres du personnel d’un hôpital, y compris les médecins, et de leur demander de signer chaque année une entente de confidentialité. Il faut également prévoir des mécanismes de surveillance pour confirmer que cette exigence a été respectée, et établir des politiques claires sur l’utilisation de renseignements personnels sur la santé à des fins de formation.

Alanna Maloney :
L’hôpital a établi que le médecin avait accédé à près de 4 000 dossiers de patients sans autorisation, et il a porté ces accès non autorisés à l’attention du médecin, qui a expliqué l’avoir fait à des fins de formation. Il croyait qu’accéder aux dossiers de santé électroniques de l’hôpital pour sa formation représentait une utilisation autorisée des renseignements personnels sur la santé. Donc, dans le cadre de son enquête, l’hôpital a établi qu’il n’avait pas cherché à accéder aux dossiers de personnes en particulier. Il n’a pas effectué de recherches de patients, et il n’entretenait aucune relation personnelle avec les patients en question. En définitive, le médecin a présenté ses excuses. L’hôpital lui a fourni une nouvelle formation et lui a demandé de signer des ententes de confidentialité, et il a surveillé ses accès. Après l’atteinte à la vie privée, l’hôpital n’a signalé aucun autre accès aux dossiers de personnes à qui le médecin ne fournissait pas de soins.

Patricia Kosseim :
Quelles sont les leçons que l’on peut tirer de cette affaire selon vous?

Alanna Maloney :
Je crois que l’on peut retenir quatre principaux enseignements de cette affaire. Le plus important à mon avis est le fait que les dépositaires de renseignements sur la santé doivent fournir une formation concernant la protection de la vie privée à tous les membres de leur personnel, y compris les médecins, dès l’embauche et chaque année par la suite. Il n’est pas acceptable qu’un dépositaire de renseignements sur la santé soumette à des attentes différentes ses médecins et les autres membres de son personnel. La deuxième leçon que l’on peut tirer réside dans le fait que les dépositaires de renseignements sur la santé doivent vraiment fournir des directives claires sur l’utilisation de renseignements personnels sur la santé à des fins de formation. Ils doivent aussi mettre en place une politique de confidentialité qui énonce clairement les attentes et exigences concernant la formation sur la protection de la vie privée et la signature d’ententes de confidentialité. Enfin, les dépositaires de renseignements sur la santé doivent vraiment instaurer des systèmes de suivi afin de veiller à ce que tous les membres du personnel, y compris les médecins, suivent la formation annuelle sur la protection de la vie privée et renouvellent leur entente de confidentialité tous les ans, afin d’assurer le respect de leurs politiques et des attentes de la LPRPS.

Patricia Kosseim :
L’un des problèmes les plus troublants avec lesquels nous sommes confrontés au CIPVP en matière de protection de la vie privée réside dans l’abandon de dossiers de santé. Une telle situation peut se produire lorsqu’un fournisseur de soins de santé prend sa retraite, meurt ou ferme son cabinet sans prendre de dispositions concernant ses dossiers. Je me suis entretenue avec Fida Hindi, avocate au CIPVP qui se spécialise dans le droit de la protection de la vie privée dans le secteur de la santé, au sujet d’une affaire particulièrement complexe où une clinique médicale a fermé ses portes, abandonnant des centaines de dossiers médicaux dont il n’existait aucune autre copie et qui ont failli être détruits. Cette affaire nous rappelle toute l’importance de dresser un plan de relève clair afin de protéger les renseignements personnels sur la santé, qui sont délicats. Voici ce que Fida nous a dit.

Fida Hindi :
C’est un cas où une clinique médicale a mis fin à ses activités parce qu’un créancier avait pris possession de la propriété où elle se trouvait et l’avait vendue. Donc des dossiers avaient été abandonnés à cet endroit, et l’entreprise de gestion immobilière à laquelle le créancier avait fait appel en avait placé d’autres dans une installation d’entreposage. L’entreprise de gestion immobilière a informé notre bureau de la présence de dossiers abandonnés, et c’est alors que nous avons ouvert un dossier sur cette affaire. L’entreprise de gestion immobilière a menacé de demander à l’installation d’entreposage de détruire les dossiers à moins que quelqu’un ne passe les prendre dans un délai très court de 24 heures. L’arbitre a donc rendu une ordonnance provisoire pour préserver ces dossiers et empêcher l’entreprise de gestion immobilière de demander à l’installation d’entreposage de les détruire. En fin de compte, une ordonnance définitive a été rendue, la Décision 230 en vertu de la LPRPS, énonçant certaines exigences à respecter en vertu de la loi et permettant au dépositaire de récupérer les dossiers.

Patricia Kosseim :
Concrètement donc, que devrait faire un fournisseur pour dresser un plan d’urgence à l’avance pour éviter l’abandon de dossiers contenant des renseignements personnels sur la santé en cas de décès, de retraite ou de faillite, par exemple?

Fida Hindi :
Oui, je crois qu’il est très important pour le dépositaire de renseignements sur la santé de dresser un plan de relève en cas de faillite, de décès ou d’arrêt de ses activités, pour préciser ce qui sera fait de ces dossiers de renseignements personnels sur la santé. Et pour ce faire, le dépositaire de renseignements sur la santé doit tenir compte de différentes obligations légales. De plus, si le dépositaire est réglementé par un ordre professionnel, ce dernier pourrait lui imposer des exigences précises en matière de conservation des dossiers. Il est donc très important de consulter un avocat et de déterminer pendant combien de temps il faut conserver les dossiers. Une fois ces renseignements obtenus, il faut dresser un plan de relève précisant pendant combien de temps les dossiers seront conservés, sous quelle forme, et l’avis qui sera donné aux particuliers afin qu’ils puissent récupérer leur dossier ou en obtenir une copie s’ils le souhaitent.

Patricia Kosseim :
Donc qu’il s’agisse d’intervenir après une cyberattaque, de prévenir l’accès à des renseignements sans autorisation ou de gérer des dossiers de santé abandonnés, les leçons que nous pouvons tirer de ces affaires peuvent aider les fournisseurs de soins de santé et les dépositaires à renforcer leurs pratiques de protection de la vie privée et à respecter leurs obligations en vertu de la loi. 

Voilà qui met fin à cette rétrospective de notre quatrième saison. J’espère que l’incroyable travail accompli pour favoriser la transparence, la protection de la vie privée et l’innovation dans nos collectivités vous inspire autant que moi. Si l’un ou l’autre de ces sujets vous a particulièrement intéressé, je vous invite à écouter l’épisode intégral.
J’aimerais remercier tous les invités à L’info, ça compte au cours de cette saison de nous avoir fait profiter de leur expérience et d’avoir souligné combien la persévérance, la collaboration et la créativité peuvent rapporter des résultats tangibles. Je tiens également à vous remercier, chers auditeurs, de vous intéresser à ces questions essentielles et d’avoir été des nôtres aujourd’hui et tout au long de la saison. Pour en savoir plus sur le CIPVP et notre travail, visitez notre site Web à ipc.on.ca/fr. Comme toujours, n’hésitez pas à nous faire part de vos commentaires et de vos idées afin que nous puissions continuer de promouvoir ensemble les droits en matière de protection de la vie privée et d’accès à l’information.

Ici Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, et vous avez écouté L’info, ça compte. Si vous avez aimé ce balado, laissez-nous une note ou un commentaire. Si vous souhaitez que nous traitions d’un sujet qui concerne l’accès à l’information ou la protection de la vie privée dans un épisode futur, communiquez avec nous. Envoyez-nous un gazouillis à @cipvp_ontario ou un courriel à @email. Merci d’avoir été des nôtres, et à bientôt pour d’autres conversations sur les gens, la protection de la vie privée et l’accès à l’information. S’il est question d’information, nous en parlerons.