Propulsé par les données
Une occasion à saisir par le Canada
Sommaire
Les données sont en train de transformer l’économie et la société canadiennes. Les percées qui ont été réalisées dans le domaine des technologies numériques permettent aux particuliers et aux organisations de recueillir et de stocker plus de données que jamais, et de prendre ainsi des décisions plus judicieuses et plus rapides qui favorisent l’innovation, contribuent à la croissance économique et améliorent la vie des citoyennes et des citoyens.
La transformation numérique soulève toutefois d’importantes nouvelles questions de politique publique. Comment les Canadiennes et les Canadiens et leurs institutions peuvent-ils recueillir et utiliser des données, tout en préservant leur vie privée, leur sécurité et leurs droits? Comment pouvons-nous nous assurer que les nouvelles lois et réglementations ne nuiront pas aux nouvelles technologies et aux nouveaux services qui sont importants et bénéfiques? Comment pouvons-nous permettre aux consommateurs de protéger leurs données sans avoir à sacrifier la commodité et l’expérience des utilisateurs? Comment pouvons-nous miser sur les talents et les forces de notre pays pour exploiter la puissance de la transformation numérique et des données?
Des pays et des administrations du monde entier tentent de saisir les possibilités qu’offre un monde propulsé par les données et relever les défis qui y sont associés. Le Canada peut être un chef de file dans ce domaine, mais pour ce faire, il doit agir rapidement. Les enjeux sont importants; nous ne pouvons pas nous permettre de nous tromper. Pour mettre cela en perspective, Statistique Canada estime que les Canadiennes et les Canadiens ont investi jusqu’à 40 milliards de dollars dans les données, les bases de données et la science des données au cours de l’année 2018, ce qui est plus élevé que la valeur totale des investissements qui ont été réalisés cette année-là dans la machinerie industrielle, l’équipement de transport et la recherche et le développement.
En mai 2019, le gouvernement fédéral a dévoilé la Charte numérique du Canada, qui se veut un ensemble de principes généraux qui orienteront les réformes de lois clés, comme la Loi sur la protection des renseignements personnels et les documents électroniques, la Loi sur la protection des renseignements personnels, la Loi sur la concurrence et la Loi sur la statistique.
En réponse à la demande de commentaires émise par le gouvernement, le présent rapport propose 24 recommandations qui répondent à trois grandes priorités : protéger les Canadiennes et les Canadiens, soutenir un marché concurrentiel et bâtir une infrastructure de données. Nos travaux ont commencé avec l’élaboration d’un document de réflexion au début de l’été 2019. Nous avons par la suite mis sur pied un groupe consultatif constitué de cadres spécialisés dans le domaine des technologies ainsi que d’anciens dirigeants d’organismes de réglementation. Sous la direction de l’honorable James Moore, ancien ministre fédéral de l’Industrie, le groupe consultatif s’est entretenu avec des douzaines d’entreprises canadiennes de premier plan évoluant dans un vaste éventail d’industries d’un bout à l’autre du pays.
Tous les participants de nos consultations ont convenu que l’économie émergente liée aux données offrait d’importants avantages aux consommateurs, à l’industrie et au Canada tout entier. Les exemples mentionnés allaient de résultats améliorés en matière de soins de santé, de réseaux de transport et de services gouvernementaux, à une efficacité accrue de la consommation énergétique et des pratiques agricoles.
Les participants ont également convenu qu’il était nécessaire de moderniser les cadres législatifs et réglementaires du Canada afin de tenir compte de l’importance croissante des données au sein de l’économie et de la société. Bien que nous en soyons arrivés à un consensus au sujet de recommandations détaillées dans certains domaines, nous sommes seulement parvenus à formuler des recommandations générales pour d’autres. Dans ces domaines, du travail sera encore nécessaire afin de mieux comprendre les enjeux et les options stratégiques et de rapprocher les points de vue divergents.
Nous croyons qu’il est à la fois nécessaire et possible de développer une approche spécifiquement canadienne à l’égard de la politique fédérale en matière de données, c’est-à-dire une approche qui établira un juste équilibre entre les forces du marché et la réglementation, qui ’harmonisera avec les politiques adoptées par les provinces et nos principaux partenaires commerciaux et qui permettra au secteur privé d’innover de manière responsable et profitable pour les consommateurs et la société.
Protéger les canadiennes et les canadiens
Le Canada ne retirera pas les bénéfices des avantages liés à la révolution numérique si les citoyens ne sont pas convaincus que leur vie privée sera protégée et que leurs données ne pourront pas être utilisées de façon malveillante. Tisser ce lien de confiance nécessite un cadre législatif et réglementaire qui assure des niveaux élevés de protection des données.
Bien que le Canada ait déjà été un précurseur en matière de droit relatif au respect de la vie privée, le monde a changé depuis l’établissement de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) à la fin des années 1990. Il y a amplement matière à moderniser et à renforcer les cadres législatifs et réglementaires du Canada pour que les particuliers et les entreprises puissent mieux protéger leurs données contre des menaces potentielles, notamment la divulgation accidentelle, la fraude, le vol, l’accès non autorisé et l’utilisation inappropriée.
Les consultations que nous avons menées nous ont permis d’identifier de nombreux domaines d’amélioration et de formuler ainsi des recommandations relativement au consentement et à la transparence, à la prise de décisions automatisées et aux algorithmes, au droit à l’oubli, à l’application de la loi et à la cybersécurité.
Soutenir un marché compétitif
Les politiques publiques du Canada doivent également permettre et encourager le partage et l’échange justifiés de données, ce qui, de nos jours, peut parfois s’avérer difficile. Les données n’appartiennent à personne au sens juridique traditionnel du terme. Sur le plan technique, elles se retrouvent souvent dans des compartiments difficiles d’accès. De plus en plus, les données sont centralisées dans les mains de quelques acteurs clés, causant des déséquilibres au niveau de la concurrence. Les obstacles à la circulation de données de part et d’autre des frontières intérieures et internationales sont aussi à la hausse.
On peut observer, dans la tendance vers la portabilité des données des consommateurs, une impulsion à créer de nouveaux cadres de marché pour les données. La portabilité des données des consommateurs fait référence à leur droit d’accéder à des données personnelles détenues par un organisme et à les transférer à un autre. Afin que les données puissent circuler à l’intérieur du Canada et en provenance de ou vers l’étranger, il nous faut des réglementations pour protéger les droits des entreprises relatifs aux données. Il faut aussi que les politiques relatives à la concurrence soient mises à jour.
Les propositions que nous formulons à ce sujet portent sur les droits individuels à la portabilité des données en format numérique par l’entremise de loi-cadres robustes et uniformes, le rôle élargi que devra assumer le Bureau de la concurrence et la nécessité d’harmoniser les stratégies et les politiques relatives aux données tant au niveau fédéral que provincial.
Bâtir une infrastructure de données
Une économie propulsée par les données doit également être assise sur une infrastructure commune de données, qui comprend des codes, des normes, ainsi que des institutions, des pratiques et des mécanismes communs pour recueillir, partager et intégrer de façon sécuritaire et efficace les données.
Le gouvernement fédéral peut contribuer à élaborer cette infrastructure partagée en réalisant des investissements publics, en assurant une coordination au sein de l’industrie, en adoptant des règlements d’habilitation et en rendant accessibles ses propres données au secteur privé. Le gouvernement fédéral doit également soutenir la littératie numérique et des données auprès des personnes, des entreprises de toute taille et en son sein même. Une telle infrastructure doit également tenir compte de la juridiction provinciale sur quelques éléments clés de l’écosystème numérique.
Nous recommandons l’élaboration de codes volontaires de conduite et de normes de l’industrie aux fins de gouvernance des données (les pratiques sont encore disparates et la couverture, incomplète), ainsi que des mesures pour combler le fossé entre les obligations réglementaires générales et les pratiques spécifiques de gestion de données.
Introduction
Les données sont en train de transformer l’économie et la société canadiennes. Les percées qui ont été réalisées dans le domaine des technologies numériques permettent aux particuliers et aux organisations de recueillir et de stocker plus de données que jamais, et de prendre ainsi des décisions plus judicieuses et plus rapides qui favorisent l’innovation, contribuent à la croissance économique et améliorent notre vie. Ces progrès rapides comportent toutefois leur lot de nouveaux défis et soulèvent d’importantes questions de politique publique. Comment les Canadiennes et les Canadiens et leurs gouvernements peuvent-ils protéger leur vie privée et préserver leur cybersécurité, tout en établissant des conditions optimales pour la concurrence et l’innovation au sein d’une économie propulsée par les données?
Bien que le Canada ait accès à des talents locaux et internationaux dans le domaine de la science des données, les idées et les investissements iront là où ils seront le plus souhaités et nécessaires. La course mondiale est effrénée, alors que de nombreux autres pays ne cessent d’apporter des améliorations plus judicieuses et plus rapides à leurs cadres législatifs et
réglementaires sur les données.
L’éventail de questions de politique publique est large et concerne divers intervenants, notamment les consommateurs, les citoyens, les communautés, l’industrie et le gouvernement. Le présent rapport tente de répondre à ces questions du point de vue des employeurs et des innovateurs canadiens. Il découle d’une initiative de recherche menée par le Conseil canadien des affaires destinée à établir un consensus sur des recommandations visant à moderniser les cadres législatifs et réglementaires sur les données et à assurer la réussite du Canada dans un monde où les données sont des intrants stratégiques.
Nous avons commencé par demander à l’honorable James Moore, ancien ministre de l’Industrie, de présider un groupe consultatif constitué de cadres spécialisés dans les technologies et d’anciens dirigeants d’organismes de réglementation. Après avoir publié au mois de juillet 2019 un document de réflexion, le groupe consultatif a recueilli les commentaires de douzaines d’entreprises canadiennes éminentes dans différentes industries et régions du pays. (Voir l’annexe)
Toutes les entreprises canadiennes qui ont été consultées, sans exception, considèrent que l’économie émergente axée sur les données leur offre une occasion en or de prendre de l’expansion et de rivaliser sur la scène mondiale. Les données les aident à mieux exploiter leur entreprise, à collaborer avec des partenaires et à créer de la valeur pour leurs clients. Elles constatent toutefois qu’il y aura des défis à relever, notamment en ce qui a trait à la nécessité que les politiques gouvernementales suivent le rythme des changements transformationnels.
Le présent rapport présente les recommandations que nous souhaitons formuler au gouvernement fédéral et aux entreprises dans trois domaines différents : protéger les Canadiennes et les Canadiens, soutenir un marché concurrentiel et bâtir une infrastructure de données.
Bien que nous en soyons arrivés à un consensus au sujet de recommandations détaillées dans certains domaines, nous sommes seulement parvenus à formuler des recommandations générales pour d’autres. Dans ces domaines, du travail sera encore nécessaire afin de mieux comprendre les enjeux et les options stratégiques et de rapprocher les points de vue divergents.
Le corps du présent rapport est composé de quatre sections. La première section montre comment la montée en force des données en fait une ressource économique essentielle ainsi que la réponse des gouvernements, ici tout comme à l’étranger. La deuxième section souligne les principales occasions pour le Canada. La troisième section résume les défis auxquels les entreprises seront confrontées si elles veulent concrétiser ces occasions. Enfin, la dernière section propose des recommandations sur la façon dont le Canada peut retirer de la valeur des données de manière à ce que les citoyens et la société puissent en profiter, tout en respectant les droits de l’ensemble des intervenants concernés.
La montée en force des données
La vitesse à laquelle les données sont générées aujourd’hui est sans précédent. Nous générons des données chaque fois que nous réalisons un achat, que nous visitons un site Web ou que nous utilisons un appareil connecté pour communiquer. L’avènement des réseaux sans fil 5G accélérera cette tendance dans tous les aspects de l’industrie et de la société.
Les percées qui ont été réalisées dans les domaines de l’infonuagique, de la puissance de calcul, de l’intelligence artificielle (IA) et de la science des données nous permettent de générer de nouvelles perspectives à partir des données brutes et de réaliser de meilleures prévisions concernant le monde qui nous entoure. Les applications sont illimitées. Les données peuvent aider les banlieusards à économiser un temps précieux en déplacement, indiquer aux agriculteurs à quel endroit et à quel moment ils doivent semer pour obtenir des rendements supérieurs ou permettre aux travailleurs en santé mentale d’offrir des services aux patients qui en ont le plus besoin.
McKinsey estime que l’IA entraînera des changements qui pourraient faire augmenter de seize pour cent la production économique mondiale d’ici 2030, alors que l’innovation liée à l’IA vis-à-vis des autres produits et services ajouterait un autre sept pour cent. C’est ce potentiel économique qui stimule la demande de données et qui la transforme en un atout très prisé pour les organisations de tous genres.
Les propriétés économiques des données ne sont toutefois pas comparables à celles d’autres actifs. Dans leur livre intitulé Capitalism without Capital: The Rise of the Intangible Economy, Jonathan Haskel et Stian Westlake exposent les quatre principales différences entre les investissements dans les données ou les actifs incorporels et les investissements dans des actifs corporels classiques comme la machinerie ou les immeubles :
- Synergies. Les investissements immatériels ont tendance à être plus rentables lorsqu’ils sont regroupés, dans les bonnes combinaisons. Plus vous détenez des renseignements, plus vous en retirerez de la valeur.
- Adaptabilité. Les actifs incorporels peuvent être utilisés plus d’une fois et à plusieurs endroits envmême temps.
- Détournements. Lorsque vous bâtissez une usine, celle-ci vous appartient. Lorsque vousvinvestissez dans des idées et des renseignements, il est plus difficile d’empêcher les autres d’en profiter.
- Coûts irrécupérables. Si vous n’avez plus besoin de votre usine, vous pouvez la vendre. En revanche, si vos investissements dans les données ne génèrent pas de rendement, il n’y a souvent pas grand-chose que vous pouvez faire pour récupérer l’argent que vous y avez investi.
Ces propriétés uniques fragilisent les rendements sur le capital investi dans les données et font que ces investissements sont plus susceptibles d’être sujets à la concurrence. Par conséquent, certaines entreprises choisiront de moins investir dans ces actifs, alors que celles qui le feront pourraient rapidement devenir des leaders. Dans de tels marchés « tout au
vainqueur », les entreprises qui détiennent déjà un nombre considérable de données ou qui tirent parti de l’IA sont incitées à investir davantage dans ces actifs, alors que les autres tirent de l’arrière.
Ces dynamiques nécessitent l’adoption de nouvelles approches à l’égard de la politique économique. L’économie liée aux actifs corporels repose depuis fort longtemps sur des institutions et des normes, comme les droits de propriété, la tarification en fonction du marché, les normes et les règlements qui se sont avérés souples au fil du temps. Le modèle économique des données est moins élaboré et moins bien compris, ce qui pourrait faire croître le nombre de défaillances de marché.
La situation est d’autant plus compliquée qu’il existe différents types de données. Nous disposons tous de renseignements personnels, qu’il s’agisse de dossiers médicaux, d’historiques bancaires ou d’archives de courriels. Les entreprises détiennent leurs propres données confidentielles, notamment les chiffres de ventes et les données qu’elles recueillent à partir de capteurs installés sur de l’équipement ou sur leurs lignes de production. Des organismes statistiques, moteurs de recherche sur le Web ou d’autres sources donnent un accès public à certaines données. Les organisations peuvent également utiliser l’agrégation, les analyses ou l’IA pour transformer des données brutes en de nouvelles formes de données, comme des profils de clients ou des prévisions météorologiques. Des politiques distinctes devront s’appliquer à ces différents contextes de collecte et d’utilisation des données.
Les gouvernements réagissent
Les gouvernements du monde entier cherchent à établir des règles et des normes pour le marché qui stimuleront la concurrence et encourageront les investissements dans l’innovation reposant sur les données. Ils doivent toutefois prendre en considération un large éventail de risques sociaux et
politiques. Ils se préoccupent des incidences sur les particuliers de la collecte et de l’utilisation de données personnelles, que ce soit par la surveillance ou le suivi. Ils se préoccupent de l’apparence de partialité dans les décisions d’emploi ou de la manipulation des électeurs. Les effectifs militaires dépendent de plus en plus des données et de l’IA, alors que le recours croissant à des données industrielles pour gérer les infrastructures essentielles crée de nouvelles cybervulnérabilités.
Afin de répondre à l’ensemble de ces enjeux, plusieurs pays ont lancé des stratégies nationales transversales à l’égard des données. Singapour s’est d’ailleurs faite précurseur en lançant sa stratégie « Smart Nation » en 2014. En 2016, l’Australie a commandé une étude visant à accroître l’accessibilité et l’utilisation des données liées au secteur privé et au secteur public, ce qui a mené à l’adoption d’importants amendements à la législation régissant la façon dont les consommateurs, les entreprises et les gouvernements partagent des données et y accèdent. Plus récemment, le Royaume-Uni a lancé sa propre stratégie nationale sur les données, s’appuyant sur des travaux exploratoires menés dans le pays à l’égard du gouvernement ouvert.
Certains des changements les plus importants sont survenus dans le domaine de la protection de la vie privée. Le Règlement général sur la protection des données (RGDP) de l’Union européenne (UE) est entré en vigueur en 2018. La Californie a par ailleurs également adopté une nouvelle législation. Certaines entreprises du secteur des technologies ainsi que certains législateurs américains demandent maintenant l’établissement d’une législation fédérale. La Chine a adopté sa propre loi désignée comme l’Internet Security Law en 2016.
Les grandes décisions que le Canada doit prendre
Le Canada peut prendre sa place et innover dans un monde où les données sont des intrants stratégiques, mais il doit le faire rapidement. Notre pays dispose d’une réputation enviable en matière de recherches dans l’IA ainsi qu’un régime solide de protection de la vie privée. Le défi consiste maintenant à apprendre des autres et à miser sur nos forces afin de nous assurer que le Canada demeure un lieu attrayant pour l’innovation responsable reposant sur les données.
Le travail est entamé. Au mois de mai dernier, le gouvernement fédéral a dévoilé sa Charte canadienne du numérique, laquelle propose un ensemble de principes de haut niveau qui visent à moderniser les cadres législatifs et réglementaires visant les données. Dans le cadre de cet exercice, le gouvernement a passé en revue les principales lois fédérales, dont la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la Loi sur la protection des renseignements personnels, la Loi sur la concurrence et la Loi sur la statistique.
Tandis que le gouvernement fédéral s’emploie à moderniser ces cadres, il doit trouver le juste équilibre entre la réglementation, les forces du marché, la politique sur la concurrence et les besoins en matière de statisticiens et de chercheurs. La coordination entre les différents ordres de gouvernement constitue également un élément important. Les provinces jouissent de pouvoirs constitutionnels sur les droits de propriété et les droits civils, et plusieurs d’entre elles disposent de leur propre législation sur la protection de la vie privée. Les organismes qui sont responsables des secteurs réglementés par le gouvernement fédéral, comme les services financiers, les transports et les télécommunications, appliquent souvent leurs propres exigences en matière de données. L’approche du Canada doit également être compatible avec les approches qui ont été adoptées par nos principaux partenaires commerciaux.
Si notre gouvernement fait bien les choses, il parviendra à exploiter le potentiel économique de l’économie propulsée par les données, à renforcer la productivité et à positionner le Canada comme lieu de premier choix pour les investissements, les talents et les idées. Si nous nous trompons, l’activité économique passera aux mains d’autres pays, et les conditions de vie et le bien-être des Canadiennes et des Canadiens en souffriront.
Ce que nous avons entendu
Peu importe le secteur, les entreprises canadiennes sont à la recherche d’occasions d’utiliser les données et l’IA pour résoudre leurs principaux problèmes opérationnels et créer de la valeur. Elles sont résolues à le faire de manière à protéger les droits, la vie privée et la sécurité des Canadiennes et des Canadiens et de leurs données. Elles signalent toutefois d’importants défis, allant des incertitudes réglementaires et des lacunes en matière de compétences, aux coûts liés à la cybersécurité et à la gouvernance des données.
Ce que nous avons entendu sur l’importance actuelle des données pour les entreprises canadiennes est cohérent avec le montant des investissements réalisés par les organisations canadiennes selon l’estimation de Statistique Canada, soit jusqu’à 40 milliards de dollars par année dans les données, les bases de données et la science des données. Quelque 80 % de ces investissements proviennent du secteur privé.
Les entreprises qui ont pris part à nos consultations nous ont dit qu’elles croyaient que le Canada disposait d’avantages clairs dont il pourrait se prévaloir pour soutenir l’innovation reposant sur les données. Notre pays est un véritable chef de file mondial dans le domaine des recherches en IA. Selon Deloitte, des groupes d’entreprises à Montréal, à Toronto, à Edmonton et à Vancouver ont contribué à faire augmenter de près de cinq fois les possibilités d’emploi en IA et en apprentissage automatique entre 2015 et 2017.
Il est essentiel que le secteur privé joue un rôle dans la définition de la stratégie du Canada à l’égard des données. Chaque jour, les entreprises doivent prendre des décisions pour répondre aux problèmes qu’elles doivent régler en matière de données, comme la façon de les recueillir et d’en retirer des enseignements. Elles décident du montant d’argent à dépenser sur les données. Elles sont également responsables de contribuer au processus d’élaboration de politiques, tout en travaillant de pair avec le gouvernement, le public et d’autres intervenants afin d’assurer que l’innovation reposant sur les données profite à l’ensemble de la population canadienne.
Pour toutes les sociétés, priorité aux données
Presque chaque compagnie consultée dans le cadre de la présente étude a indiqué que les données, ainsi que la transformation numérique qui permet leur collecte et leur utilisation, constituent des priorités importantes pour les activités de leur entreprise. Elles utilisent des données pour favoriser l’établissement de relations plus profondes et riches avec leurs clients, concevoir de meilleurs produits et services, gérer les actifs et les risques et améliorer l’efficacité opérationnelle. Par exemple :
Permettre aux clients d’économiser : Les clients s’attendent à ce que les institutions financières répondent rapidement à leurs besoins et les aident à économiser de l’argent. Les banques et les compagnies d’assurance honorent ces attentes en offrant de nouveaux produits et services. L’assistant virtuel assisté par l’IA de la Banque Royale du Canada, NOMI, a fourni plus de 950 000 indications aux clients depuis son lancement, stimulant ainsi l’utilisation de l’application mobile de la banque et aidant les utilisateurs à épargner. À la Sun Life, un entraîneur numérique, Ella, prodigue aux clients des conseils pertinents et personnalisés, notamment au sujet des soldes des comptes de régime de soins de santé et d’options d’épargnes pour la retraite. Ella envoie des courriels aux clients afin de leur signaler des rappels importants et peut aider certains à trouver les fournisseurs de soins de santé les plus proches d’eux et jouissant de la meilleure réputation. En 2018, Ella est parvenue à aider 1,8 million de clients à épargner 400 millions de dollars pour leur retraite et à augmenter de plus de 375 millions de dollars leur couverture d’assurance. Intact Assurance offre une réduction sur les primes d’assurance automobile qu’elle offre aux automobilistes qui utilisent une application destinée notamment à faire le suivi de données liées au freinage et à l’accélération. L’application peut détecter si l’automobiliste utilise le transport en commun ou un taxi, plutôt que son propre véhicule, s’assurant ainsi que seules les données pertinentes soient saisies.
Améliorer les résultats pour le patient : L’innovation reposant sur les données aide le système de soins de santé à épargner du temps et de l’argent, tout en aidant les patients. Au Humber River Hospital de Toronto, un hôpital de 650 lits, GE a mis sur pied un centre de contrôle pour les patients vulnérables qui intègre les analyses prévisionnelles, les renseignements en temps réel de divers systèmes numériques et l’expertise professionnelle. Les membres du personnel clinique sont avisés lorsque des changements potentiels dans l’état de santé de leurs patients surviennent, ce qui leur permet d’intervenir plus rapidement. L’initiative a permis de libérer des lits et de diminuer les temps d’attente à l’urgence, et ce, même si le nombre de patients que l’on servait a augmenté.
Aider les cultivateurs à accroître leurs rendements agricoles : Les enseignements générés par les données révolutionnent chaque aspect de l’agriculture. Farmers Edge, un développeur manitobain de logiciels, accumule des données sur plus de 100 000 champs par jour. L’entreprise utilise la modélisation prédictive afin d’optimiser tout, du choix des cultures au printemps à la vitesse du tracteur au cours du cycle de plantation, de croissance et de récolte. Grâce à un partenariat avec la société Richardson International de Winnipeg, Farmers Edge commercialise ses services auprès de cultivateurs dans 90 points de service différents dans l’Ouest canadien.
Rendre l’exploitation minière plus sûre, propre et efficace : Teck Resources de Vancouver recueille des données à partir de capteurs installés sur de l’équipement minier et utilise l’IA afin d’améliorer l’efficacité opérationnelle, la durabilité et la sécurité. L’entreprise a travaillé avec MineSense, une entreprise en démarrage de Vancouver, afin de concevoir des « pelles intelligentes » qui peuvent détecter les teneurs et les concentrations de minerai, ce qui aide à améliorer la productivité et à diminuer les rejets. Teck s’est également associé à Pythian, une entreprise d’Ottawa qui se spécialise dans les données, pour agréger l’historique de maintenance sur une période de plusieurs années de sa flotte de camions de 300 tonnes destinés au transport du charbon. Les données recueillies permettront d’élaborer des algorithmes prédictifs qui épargneront 1,5 million de dollars par année dans une mine de Teck en Colombie-Britannique. Des innovations similaires permettent aux travailleurs de contrôler à distance la machinerie dans des environnements dangereux.
Améliorations dans l’industrie forestière et de la pêche : Les avancées dans les technologies de détection et de connectivité aident les entreprises à gérer les ressources naturelles de façon plus durable. Clearwater Seafoods utilise la technologie LiDAR (détection et télémétrie par ondes lumineuses) pour créer des cartes 3D du fond marin et récolter des pétoncles 60 % plus rapidement qu’en temps normal, tout en ratissant 70 % moins de fond marin, ce qui protège les sites de reproduction et favorise une reconstitution plus rapide des stocks. À l’autre bout du pays, l’entreprise Mosaic Forestry, située sur l’île de Vancouver, utilise la technologie LiDAR pour cartographier les massifs forestiers, puis applique l’apprentissage automatique afin d’estimer de façon plus précise la hauteur et le diamètre des arbres, la qualité du bois ainsi que d’autres valeurs, ce qui permet à la compagnie d’élaborer des plans de gestion forestière plus précis et durables, tout en préservant davantage les ressources forestières. Cette technologie est également plus sécuritaire que les inspections sur place.
Construire en respectant les délais et les budgets : PCL, un entrepreneur général diversifié d’Edmonton, a créé un logiciel, PartsLab, qui automatise les flux de données entre les équipes de conception et de construction. Il permet de réduire le temps consacré à la création et à la gestion de documents (passant de plusieurs heures à quelques minutes), de limiter les erreurs et d’améliorer la sécurité des travailleurs. PCL exporte le modèle qui compte maintenant près de 3 000 utilisateurs dans 50 pays. Pour sa part, EllisDon s’est associée à Bespoke Metrics afin de réduire les risques liés à la chaîne d’approvisionnement en normalisant et en centralisant les données industrielles. En plus de son expertise en matière d’immobilisations et en travaux préalables à la construction, EllisDon a fourni à Bespoke Metrics l’équivalent de dix ans de données de préqualification ayant servi à optimiser un modèle d’analyse qui comporte une série d’outils préalables à la construction, allant des cotes de préqualification et de rendement de l’entrepreneur à des présentations d’appel d’offres et de soumissions. Plus de 4 500 entrepreneurs américains et canadiens utilisent cette technologie.
Améliorer les services juridiques : Les recherches juridiques constituent un élément important des coûts liés aux services juridiques. Un laboratoire d’IA de Toronto appartenant à Thomson Reuters a développé un moteur de recherche qui a permis de diminuer de façon considérable le temps requis pour effectuer des recherches juridiques, tout en en améliorant leur exactitude. L’équipe de développement a utilisé des avis juridiques et des textes numérisés pour entraîner des algorithmes d’apprentissage automatique à décortiquer des schémas complexes en matière de décisions du tribunal et de jurisprudence. Les avocats qui utilisent la technologie peuvent désormais consacrer davantage de leur temps à leur rôle de conseillers et de stratèges efficaces pour leurs clients.
Défis pour les entreprises canadiennes
Comme ces exemples l’illustrent, un nombre croissant d’entreprises canadiennes fait des progrès au sein de l’économie propulsée par les données. La concurrence est toutefois féroce et la transition n’est pas facile. Selon le rapport de 2018 de McKinsey et du Conseil canadien des affaires, la plupart des grandes entreprises canadiennes ne sont pas encore passées de l’analyse classique des données à l’opérationnalisation du pouvoir prédictif de l’apprentissage automatique et d’autres formes sophistiquées de l’IA. Dans un même temps, une recherche menée par Deloitte a permis de démontrer que même les adeptes précoces de l’IA ont des plans d’investissement moins ambitieux que ceux de leurs homologues internationaux.
Les entreprises canadiennes ayant participé à la présente consultation ont rencontré un large éventail d’obstacles dans les efforts qu’elles ont déployés pour utiliser les données de façon efficace, en lien notamment avec la confiance des consommateurs, la cybersécurité, les questions d’ordre réglementaire, un terrain de jeu inéquitable en regard des concurrents numériques, le cadre juridique incertain et la pénurie de compétences ou de capacités en matière de gouvernance des données. Ces obstacles empêchent les entreprises d’utiliser des données et d’y accéder, ce qui les rend plus craintives à investir dans l’innovation reposant sur les données.
Confiance des consommateurs : De façon générale, les entreprises canadiennes sont d’avis que leurs clients leur font largement confiance. La protection de la vie privée d’une personne figure généralement parmi les grandes priorités des entreprises qui offrent des services aux consommateurs. Il arrive souvent que ce soit le directeur général d’une compagnie qui assure le leadership en la matière. La confiance constitue par ailleurs une condition préalable essentielle aux relations plus personnalisées que les entreprises souhaitent établir avec leurs clients. Celles-ci s’inquiètent toutefois que les efforts qu’elles déploient à protéger la confidentialité pourraient être minés par des fuites de données très médiatisées ou par un usage malveillant par des pairs, ainsi que par des mesures de contrôle réglementaire trop contraignantes. Les consommateurs doivent savoir que des règles rigoureuses et des amendes appropriées sont en place pour les contrevenants.
Cybersécurité : La cybersécurité constitue l’enjeu qui a été le plus souvent souligné au cours des consultations que nous avons menées. Elle touche aussi bien les échanges entreprises-clients que les échanges interentreprises. Les risques qui y sont associés augmentent parallèlement avec la croissance de l’Internet des objets. Les cybermalveillants peuvent voler, détruire ou manipuler et falsifier des données servant à contrôler n’importe quoi ‒ en partant des appareils médicaux, des véhicules autonomes et de la machinerie lourde jusqu’à des réseaux complets de distribution d’énergie. Selon un cadre d’entreprise, la cybersécurité constitue la « fondation même de l’économie numérique ». Si les entreprises et les particuliers ne sont pas convaincus que leurs prestataires ou leurs partenaires fonctionnent de manière sécuritaire, ils se montreront réticents à partager leurs données.
Conformité réglementaire et incertitudes : Même les règles procédant de la meilleure intention à l’égard des données peuvent freiner l’innovation et la création d’emplois ou miner la protection de la vie privée si elles sont excessivement difficiles à suivre et coûteuses à mettre en oeuvre. La LPRPDE est neutre sur le plan technologique et fondée sur des principes, ce qui constitue un avantage, car elle permet aux entreprises de déterminer les moyens les plus efficaces et les plus efficients de s’acquitter de leurs obligations. Elle laisse cependant plus de place à l’interprétation et peut créer de l’incertitude lorsque les entreprises sont assujetties à la fois à la législation fédérale et à la législation provinciale sur la protection de la vie privée. Une entreprise a signalé qu’elle avait dû abandonner l’idée de mettre en place un projet prometteur utilisant des données, car elle n’arrivait pas à obtenir suffisamment de précisions sur les obligations qu’elle devait respecter en matière de protection de la vie privée. Les différences dans la réglementation des données au sein du Canada peuvent ériger des barrières commerciales interprovinciales. Les incohérences internationales constituent également un obstacle à la croissance, aux investissements et à la concurrence.
Localisation des données : Les entreprises canadiennes sont préoccupées par les efforts croissants qui sont déployés par les gouvernements du monde entier pour restreindre la circulation de données de part et d’autre des frontières internationales. Certaines ont fait état de la proposition, maintenant retirée, du commissaire à la protection de la vie privée du Canada d’obliger les organisations à obtenir un consentement supplémentaire de leurs clients pour tout transfert transfrontalier de renseignements personnels à des fournisseurs tiers. Une grande entreprise canadienne type transfère chaque jour des renseignements personnels de clients, d’employés et de fournisseurs à différents prestataires de services de partout dans le monde. Elle le fait pour tirer parti des avantages qu’offrent l’infonuagique et le stockage en ligne, ainsi que soutenir des processus opérationnels fondamentaux, comme les ressources humaines, les services juridiques et l’expédition. Les entreprises sont transparentes au sujet de ces activités et de la façon dont elles protègent les données transmises à l’international. Les obliger toutefois à obtenir un consentement pour chaque transfert serait irréaliste et, dans de nombreux cas, impossible.
Règles du jeu équitables : Plusieurs entreprises sont préoccupées par le déséquilibre grandissant entre les entreprises lorsqu’il s’agit de l’accès aux données et de leur contrôle. Les plateformes numériques des grandes entreprises multinationales amassent des volumes considérables de données personnelles et sont assujetties à relativement peu de restrictions pour ce qui est de l’utilisation de celles-ci. Incapables de faire concurrence avec ces plateformes, les entreprises canadiennes n’ont souvent d’autre choix que de joindre leurs écosystèmes. Certaines politiques réglementaires peuvent même renforcer de tels déséquilibres. Par exemple, la loi canadienne relative au droit au respect de la vie privée exige que les fournisseurs de services payés sollicitent un consentement spécifique pour utiliser des données personnelles à des fins de marketing. Les entreprises telles que les plateformes de médias sociaux qui offrent des services gratuits ne sont pas tenues d’obtenir un tel consentement.
Exclusivité des données : Les entreprises sont souvent incertaines quant à leur droit d’utiliser et de traiter ou non de façon exclusive les données qu’elles recueillent. Comme une entreprise l’a indiqué, « pourquoi investir dans des données si l’on ne peut pas en tirer parti? » Par exemple, la distinction qui est faite entre les données personnelles et les données commerciales exclusives ou dérivées est floue. Certaines sortes de données personnelles deviennent-elles exclusives lorsqu’elles sont dérivées, dépersonnalisées, anonymisées ou agrégées? Les données deviennent-elles exclusives lorsqu’une entreprise les utilise conjointement avec d’autres données pour ajouter de la valeur à un service?
Les entreprises sont également préoccupées par des demandes du gouvernement pour obtenir accès à des données qui sont par la suite partagées à autrui. Dans le même ordre d’idées, certaines affirment qu’il est difficile de faire valoir ou de protéger leurs droits en matière de données auprès de partenaires ou de vendeurs. Ceux-ci dépendent souvent de modalités contractuelles qui n’ont pas été bien éprouvées en cour, et la loi continue à évoluer.
Recommendations
Les experts qui ont participé à la présente consultation sont convaincus que le Canada peut, en mettant en place de bonnes politiques et en faisant preuve de leadership, relever bon nombre de défis qui nuisent actuellement à l’innovation reposant sur les données. Ils croient qu’avec des modifications au cadre juridique et réglementaire et des investissements ciblés dans des secteurs clés, on peut façonner un avenir dans lequel :
- les Canadiennes et les Canadiens auront confiance que leurs données et leurs droits sont protégés et sécurisés;
- les investisseurs mondiaux considèreront que les politiques et le cadre réglementaire relatifs aux données du Canada sont stables, clairs et orientés vers l’avenir;
- les entreprises pourront accéder aux données dont elles ont besoin pour offrir des produits et des services novateurs;
- l’ensemble de la population canadienne tirera parti de l’innovation reposant sur les données.
Nous avons demandé aux entreprises de proposer des mesures concrètes que le gouvernement et les entreprises pourraient mettre en place pour atteindre ces objectifs. Les consultations ont permis de développer de nombreuses idées. Le présent rapport propose 24 recommandations dans trois domaines, c’est-à-dire, protéger les Canadiennes et les Canadiens, soutenir un marché concurrentiel et bâtir une infrastructure de données. Dans la plupart des cas, on reconnaissait généralement l’urgence et l’importance de l’enjeu, ainsi que la solution la plus appropriée à adopter. Dans certains cas, nous n’avons pas été en mesure de parvenir à un consensus étant donné le vaste éventail d’intervenants ayant pris part à la consultation. Certains enjeux ont été abordés, mais seulement de façon générale. Le gouvernement et l’industrie devront donc se pencher davantage sur ces questions.
Protéger les Canadiens et les Canadiennes
Le Canada ne sera pas en mesure de développer une économie prospère propulsée par les données s’il ne peut pas compter sur un solide fond de confiance, lequel requiert à son tour un cadre législatif et réglementaire propre à assurer un niveau élevé de protection des données. Les entreprises canadiennes investissent dans la protection de la vie privée et la cybersécurité, car elles considèrent qu’il s’agit d’un avantage concurrentiel. Elles comprennent qu’il faut convaincre les clients, les employés et les fournisseurs que les données qu’elles partagent seront protégées et utilisées de façon responsable.
Consultée dans le cadre de la présente étude, une entreprise a indiqué que le Canada devrait adopter un modèle « d’innovation centrée sur le respect de la vie privée », ce qui permettrait « de protéger la vie privée et d’assurer la sécurité sans imposer de fardeau irréaliste aux entreprises ni de diminuer la compétitivité internationale du Canada. »
La plupart des participants étaient d’accord que le cadre de protection de la vie privée en place au Canada inspire le respect à l’échelle internationale. Une entreprise a parlé de miser sur l’image de marque de la protection de la vie privée du Canada pour établir des partenariats avec des entreprises européennes et américaines. La LPRPDE, la loi fédérale relative au respect de la vie privée qui régit la collecte, l’utilisation et la divulgation de renseignements personnels par les entreprises, est entrée en vigueur en 2001, et était considérée à l’époque comme avant-gardiste. Les entreprises ont confirmé un niveau élevé de conformité et conviennent que le modèle fondé sur des principes et la neutralité technologique a permis à la LPRPDE de s’adapter aux nouvelles technologies et avancées dans le domaine.
Le monde a toutefois beaucoup évolué depuis l’époque de rédaction de la LPRPDE. Les données personnelles sont devenues plus importantes pour l’économie, menant à une augmentation du nombre de demandes pour que le Canada améliore son régime. Les fuites de données très médiatisées, les cyberattaques et les utilisations malveillantes des données constituent des préoccupations grandissantes pour le public. Le paysage international évolue également, alors que les pays et les régions mettent en oeuvre de nouveaux cadres de protection de la vie privée, du RGPD de l’UE et de la Consumer Privacy Act de la Californie à la nouvelle législation fédérale proposée par les États-Unis.
Les dirigeants d’entreprises canadiennes croient qu’il serait bon de moderniser et renforcer les cadres législatifs et réglementaires du Canada de façon à aider les personnes et les entreprises à mieux protéger leurs données contre un large éventail de préjudices potentiels, dont les fuites, la fraude, le vol, l’accès non autorisé et l’utilisation inappropriée.
Les consultations que nous avons menées nous ont permis d’identifier plusieurs domaines d’amélioration, dont de possibles modifications à la LPRPDE en ce qui a trait au consentement et à la transparence, à la prise de décisions automatisée et aux algorithmes, au droit à l’oubli et à l’application de la loi. Par ailleurs, le gouvernement fédéral peut et devrait en faire plus pour assurer la cybersécurité au sein de tous les secteurs de l’économie.
Rendre le consentement plus significatif
L’exigence de consentement constitue un principe fondamental de toute législation relative au respect de la vie privée. Elle habilite les personnes à choisir le moment de partager des renseignements personnels et avec quelles personnes et entreprises elles souhaitent le faire. Elle fournit aux organismes le fondement juridique sur lequel s’appuyer pour recueillir, utiliser et partager ces renseignements, permettant ainsi aux participants de marché d’échanger de façon équitable.
Bien que le consentement doive demeurer la pierre angulaire du droit canadien quant à ce qui a trait au respect de la vie privée, l’approche actuelle du Canada pose certains problèmes. Les dispositions relatives au consentement de la LPRPDE obligent les organisations à décrire et à communiquer toutes les utilisations possibles des renseignements personnels, ce qui peut donner lieu à l’élaboration de politiques sur la protection de la vie privée qui sont complexes, fréquemment modifiées, et dont la longueur varie souvent entre 4 000 et 5 000 mots. Peu de gens disposent de l’expertise ou du temps nécessaires pour lire et pleinement comprendre ces politiques, ce qui mène à une certaine « lassitude liée aux avis ». La plupart des gens ne font que faire défiler la page de consentement et cliquer sur « j’accepte », ce qui fait penser que leur consentement n’est ni particulièrement bien éclairé ni valable. Le défaut de consentement peut également empêcher les entreprises d’obtenir les renseignements dont elles ont besoin pour offrir des services, même de base, auxquels s’attendent les clients, comme la livraison de produits et la facturation.
Dans certains cas, il peut être impossible d’obtenir un consentement. L’adoption généralisée des analyses de données et de l’IA a permis aux organisations d’utiliser des renseignements archivés de façons nouvelles pour offrir de nouveaux services. En pareils cas, il peut s’avérer difficile, voire impossible, de revenir à la source originale des données et de demander un consentement pour la nouvelle utilisation prévue. Dans d’autres cas, les données peuvent être « observées » plutôt qu’être fournies par les clients, comme par exemple inclure les dossiers relatant les interactions d’un client avec une organisation, ou encore les renseignements qui sont accessibles au public, comme des documents judiciaires, des messages affichés publiquement dans les médias sociaux ou des données recueillies par des technologies de villes intelligentes, telles que des capteurs de chaussée. Les exigences relatives au consentement peuvent également nuire à la collecte d’échantillons représentatifs à des fins de statistiques, et ainsi causer des problèmes potentiels de qualité des données.
La solution à ces problèmes consiste à exiger un consentement lorsqu’il est possible d’obtenir celui-ci et lorsque l’utilisation prévue des renseignements est susceptible d’avoir une grande incidence sur la vie privée d’une personne. La législation canadienne devrait exiger que les organisations expliquent en langage clair et simple la façon dont elles se serviraient des renseignements personnels qu’elles recueilleraient, avec qui ceux-ci seraient partagés, ainsi que les risques pouvant potentiellement être encourus. La loi devrait également accorder aux organisations la faculté de développer des interfaces de consentement conviviales et faciles à comprendre plutôt que d’avoir recours à des formats très légalistes. La loi devrait favoriser l’utilisation du « consentement hiérarchisé » ou de
« l’octroi d’autorisations » qui permettrait aux personnes de gérer facilement les différents niveaux de partage de données en fonction de leurs préférences. Enfin, la loi devrait également continuer de permettre l’utilisation du consentement implicite lorsque des renseignements sont de nature moins sensible.
La LPRPDE devrait également créer des fondements juridiques qui s’étendent au-delà du consentement, et qui s’appliqueraient à la collecte et à l’utilisation de renseignements personnels. L’article 6 du RGPD, par exemple, permet aux organisations de traiter des renseignements personnels dans la mesure où il est nécessaire de le faire à des fins d’exécution d’un contrat, de conformité à une autre obligation légale ou de protection des intérêts vitaux de la personne concernée, d’intérêt public ou d’intérêts légitimes des entreprises. Dans de pareils cas, le consentement n’est pas requis. Le Canada devrait également prévoir une exception similaire au consentement pour un « intérêt légitime » ou des « pratiques opérationnelles normalisées ». De telles modifications ne mineraient pas la vie privée d’une personne si le Commissariat à la protection de la vie privée fournissait des directives visant à s’assurer que les risques potentiels soient pris en compte. Par exemple, le traitement fondé sur « l’intérêt légitime » ou les « pratiques opérationnelles normalisées » pourrait être conditionnel au fait que l’organisation démontre, sur demande raisonnable, qu’elle a suivi les étapes appropriées pour minimiser le risque d’atteinte à la vie privée des personnes. Une telle mesure pourrait comprendre une évaluation formelle des risques permettant de vérifier que les avantages l’emportent sur les inconvénients potentiels sur les droits d’une personne, et que des mesures d’atténuation des risques et d’autres types de contrôles ont été mis en place. De telles évaluations serviraient à renforcer les niveaux de responsabilité et de transparence, lesquels constituent deux principes fondamentaux de la LPRPDE. Le Canada pourrait également envisager d’interdire certaines utilisations de renseignements personnels, soit par
l’entremise de la LPRPDE ou de toute autre législation.
Ensemble, ces réformes de modèles de consentement limiteraient la fréquence de demandes de consentement, tout en les rendant plus faciles à assimiler, et aideraient les Canadiennes et les Canadiens à prendre des décisions plus éclairées au sujet de leurs renseignements personnels.
Protéger contre les biais et la discrimination
Les entreprises et les gouvernements utilisent de plus en plus d’algorithmes pour automatiser leurs processus décisionnels. Dans la plupart des cas, ces applications améliorent la qualité et l’exactitude des décisions. Certains algorithmes peuvent toutefois produire des résultats qui ne sont pas souhaitables ou qui amplifient les partis pris de leurs créateurs. Un exemple largement rapporté concerne un outil d’embauche expérimental fondé sur l’apprentissage automatique chez Amazon qui privilégiait la sélection de candidats masculins, car celui-ci s’appuyait sur les candidatures des dix années précédentes, lesquelles avaient été soumises de façon disproportionnée par des hommes.
De tels enjeux ne sont pas nouveaux, et ont même fait l’objet de poursuites au motif de violations des droits de la personne, notamment au sein de l’industrie de l’assurance où l’âge et d’autres caractéristiques constituent des facteurs qui sont habituellement pris en considération pour évaluer les risques et déterminer les primes. Les tribunaux canadiens soutiennent depuis très longtemps qu’un certain traitement différentiel est permis si celui-ci est « raisonnable et empreint de bonne foi ».
Néanmoins, certains observateurs ont proposé que les organisations devraient se montrer plus ouvertes sur la manière dont les données personnelles sont utilisées dans leurs algorithmes et leurs décisions automatisées. Au cours des consultations qu’il a menées au sujet de la réforme de la LPRPDE, le gouvernement fédéral a indiqué que la loi pourrait contraindre les organisations à divulguer le recours à la prise de décisions automatisée, ainsi que les facteurs qui sont pris en compte dans le cadre de celle-ci.
Dans le cadre des consultations que nous avons menées, les entreprises nous ont indiqué qu’elles étaient prêtes à fournir davantage de renseignements au sujet de leur utilisation d’algorithmes et de la prise de décision automatisée, sous réserve que l’obligation de le faire soit restreinte. Si l’exigence est trop large, les entreprises craignent d’être contraintes à divulguer à leurs concurrents des algorithmes faisant l’objet d’une propriété exclusive, ce qui pourrait dissuader les investissements dans de tels logiciels. Comme les algorithmes évoluent constamment, la divulgation statique est impossible.
Une meilleure approche reposerait sur l’élaboration et la mise en oeuvre de pratiques éthiques, et non seulement de transparence, et en responsabilisant les organisations pour les résultats indésirables. Par exemple, les entreprises pourraient empêcher les partis pris en intégrant divers intervenants dans l’élaboration de nouveaux systèmes de prise de décision. Avec la publication de la Déclaration de Montréal pour un développement responsable de l’intelligence artificielle, on espère amener les entreprises qui utilisent des systèmes d’IA à réfléchir sur les implications morales de cette technologie toujours plus puissante. Plus de
2 000 scientifiques et institutions ont appuyé la Déclaration depuis sa publication en 2018. Le Conseil stratégique des DPI du Canada a également publié récemment des lignes directrices à l’égard de la conception et de l’utilisation éthiques de systèmes de prise de décision automatisée. Les lois provinciales relatives aux droits de la personne, à l’emploi et à la protection des consommateurs devraient constituer les principaux moyens par lesquels les plaintes sur les partis pris sont traitées.
Le droit à l’oubli
Quelques exemples récents de la législation relative au respect de la vie privée, dont le RGPD et la nouvelle loi de la Californie, comportent un
« droit à l’oubli », ce qui donne aux particuliers le droit, sous réserve de certaines limites, de demander que les organisations suppriment leurs renseignements personnels désuets ou potentiellement embarrassants.
La LPRPDE oblige déjà les organisations canadiennes à éliminer les renseignements personnels dont elles n’ont plus besoin. Le gouvernement fédéral a toutefois laissé entendre que le niveau de conformité à cette règle était faible. Par conséquent, il envisage d’établir des droits plus spécifiques pour que les particuliers puissent demander de faire supprimer leurs renseignements personnels. Il envisage également d’établir des limites quant à la période de conservation et d’obliger les organisations à faire le suivi des changements et suppressions apportés afin de préserver l’intégrité des renseignements.
Les entreprises que nous avons consultées dans le cadre de la présente étude reconnaissent et soutiennent le droit des particuliers à demander qu’on supprime leurs renseignements personnels. L’application d’un tel droit pose toutefois quelques défis. Par exemple, des obligations illimitées de supprimer des données peuvent entrer en conflit avec certaines obligations juridiques ou réglementaires, comme dans le cas de la tenue obligatoire de dossiers pour contrer la fraude ou tout autre comportement criminel dans le secteur financier.
Les entreprises sont également préoccupées par la portée d’une telle obligation juridique. Par exemple, il est tout-à-fait envisageable de supprimer le profil d’un client qui ne souhaite plus participer à un programme de points de fidélisation. Par contre, retirer un historique d’achats anonymisé d’une personne d’un ensemble de données plus large servant à améliorer des décisions d’affaires est difficilement envisageable. Par ailleurs, certaines entreprises sont préoccupées par le fait que les gens pourraient abuser du droit à l’oubli pour restreindre la liberté d’expression et faire supprimer des renseignements qui sont d’intérêt public. Cette question a d’ailleurs été introduite par le commissaire à la protection de la vie privée et fait actuellement l’objet d’un examen par les tribunaux canadiens.
Renforcer l’application de la loi et de la surveillance
La tâche de surveiller le respect à la LPRPDE revient au Commissariat à la protection de la vie privée (CPVP), qui fait office d’ombudsman (une tierce partie neutre) chargé de la médiation des plaintes et d’enquêter sur ces dernières. Le CPVP négocie des ententes de conformité volontaire et peut transmettre des causes aux tribunaux ou au procureur général du Canada pour des poursuites liées à des infractions précises. Depuis 2018, les organisations sont tenues de signaler les principales atteintes à la protection des données au CPVP et sont passibles d’amendes si elles ne respectent pas cette exigence.
Il convient de prendre note que les lois fédérales relatives à la protection de la vie privée ne sont pas les seules à exiger que les organisations rendent compte de leurs pratiques quant à la protection de la vie privée. Le Bureau de la concurrence peut également agir contre les entreprises qui diffusent à leurs clients une fausse image de leurs pratiques relatives à la protection de la vie privée.
Certaines entreprises ont toutefois l’impression que la LPRPDE n’est pas suffisamment sévère comparativement à d’autres régimes réglementaires, dont le RGPD. Ce point de vue pourrait saper la confiance dans les lois canadiennes sur la protection de la vie privée, ce qui nuirait aux consommateurs et aux entreprises. Cependant, les entreprises qui ont participé à nos consultations croient qu’il est important de faire preuve de prudence en ce qui a trait au renforcement du modèle d’application de la loi et de la surveillance du Canada. Elles mettent en garde contre l’adoption de l’approche du RGPD, considérée trop normative, parce qu’elle confère aux autorités de protection de données de vastes pouvoirs d’ordonnance et la discrétion administrative de donner des amendes pouvant atteindre jusqu’à 4 % des recettes mondiales. Des sanctions d’une telle ampleur, en l’absence de garanties procédurales établies, créent une immense incertitude parmi les entreprises et peuvent freiner l’innovation reposant
sur les données.
Le Canada devrait plutôt miser sur le modèle éprouvé de l’ombudsman, notamment en fournissant de nouveaux outils au CPVP, comme des pouvoirs d’ordonnance limités à utiliser dans le cadre d’enquêtes. La loi fédérale pourrait également définir de nouvelles infractions passibles de poursuites et de sanctions pécuniaires, que le procureur général et les tribunaux sanctionneraient. Les amendes devraient s’appliquer seulement aux cas de non-conformité les plus flagrants, comme la négligence grave ou l’usage inapproprié intentionnel de renseignements personnels. Les entreprises ne devraient pas être punies pour les fuites de données qui surviennent en dépit de tous les efforts qu’elles déploient.
Il est essentiel que les dispositions de la LPRPDE et la façon dont les entreprises doivent s’y conformer soient claires. Comme il a été mentionné plus haut, le fait que la LPRPDE soit fondée sur des principes et qu’elle soit neutre sur le plan technologique lui a permis de s’adapter à l’évolution des pratiques opérationnelles. Les entreprises devraient toutefois pouvoir tirer parti des normes, des certifications et des codes reconnus de l’industrie. Le CPVP et les tribunaux devraient tenir compte de l’adhésion à ceux-ci comme une preuve de la diligence raisonnable dont fait preuve l’organisation ou comme facteur atténuant dans les enquêtes.
Le CPVP pourrait davantage réduire les incertitudes en publiant des directives individuelles contraignantes ou des agréments préalables à la demande des entreprises. (Une telle mesure serait similaire à l’approche de l’Agence du revenu du Canada, qui rend régulièrement des « décisions anticipées en matière d’impôt sur le revenu » et qui fournit des outils de divulgation volontaire afin d’améliorer la conformité au code des impôts.) Afin d’améliorer la transparence, le CPVP devrait publier en temps opportun toutes ses décisions afin que les autres entreprises puissent apprendre de celles-ci et constater la façon dont la loi est interprétée.
En résumé, les entreprises nous ont dit qu’elles sont en faveur de l’expansion de l’application de la loi et de la surveillance, mais qu’elles croient que la meilleure façon d’y arriver est l’élaboration d’une culture et d’une compréhension communes entre le CPVP et les entreprises réglementées. Le CPVP devrait accorder la priorité à l’expérience de personnes du secteur privé lorsqu’il embauche du personnel et maintenir des contacts réguliers avec les experts de l’industrie.
Renforcer les moyens de cyberdéfense du Canada
La majorité des entreprises canadiennes consultées dans le cadre de la présente étude ont identifié la cybersécurité comme priorité absolue. La cybersécurité est essentielle pour assurer un niveau plus élevé de protection des données. Les cyberattaques menacent la sécurité du Canada et de sa population et engagent de ce fait une responsabilité partagée du gouvernement et du secteur privé.
La réglementation sur la cybersécurité comporte toutefois des limites. Exiger que les entreprises utilisent un ensemble commun de pratiques connues peut créer des vulnérabilités systémiques. Tenir les organisations responsables de cyberincidents qui échappent à leur contrôle est injuste et contreproductif et n’aide guère à dissuader les contrevenants. Il faut mettre en place une collaboration plus étroite entre l’industrie, les organismes chargés de l’application de la loi et la communauté du renseignement.
C’est pourquoi plusieurs entreprises saluent la mise sur pied du nouveau Centre canadien pour la cybersécurité, qui fournit à l’industrie des renseignements sur les menaces tout en servant de point de contact central pour les organismes de sécurité du Canada. Certaines entreprises ont cependant soulevé des préoccupations quant à la capacité du Centre de répondre à des demandes d’assistance plus fréquentes. D’après les consultations que nous avons entreprises, il serait possible d’en faire beaucoup plus pour faire connaître les pratiques exemplaires, développer des compétences en matière de cybersécurité, renforcer l’application de la loi et améliorer le partage de renseignements.
Soutenir un marché compétitif
Bien que la sécurité et la protection de la vie privée soient de toute première importance, le cadre de politique du Canada doit également inciter les acteurs du marché à partager et à échanger leurs données de façon à les valoriser, à stimuler l’innovation et à contribuer à la croissance économique. Les marchés fonctionnent mieux lorsque les participants détiennent des droits de propriété clairs et sont libres d’échanger ce qui leur appartient avec d’autres participants, et lorsque les barrières à l’entrée sont minimes et que le contexte réglementaire inspire un climat de confiance sans imposer un trop lourd fardeau.
De nos jours, bon nombre de ces éléments sont absents de l’économie des données. Les données ne sont pas nécessairement l’objet de droits de propriété de la même manière que les biens corporels, ou même que d’autres formes de propriété intellectuelle le sont. Les données sont souvent entreposées dans des compartiments hermétiques et, par conséquent, il est difficile d’y avoir accès et de les partager. Les données sont de plus en plus concentrées au sein d’un nombre restreint de plateformes numériques dominantes. Ces plateformes peuvent utiliser leur pouvoir de contrôleur d’accès pour diriger les consommateurs vers leurs propres canaux de ventes ou obtenir de meilleures conditions auprès d’autres participants au marché. Comme il a été mentionné précédemment, les obstacles à la circulation des données de part et d’autre des frontières nationales et internationales ne cessent de croître.
Afin de relever ces défis, différents pays sont à explorer actuellement de nouvelles politiques d’encadrement de marché destinées à fournir aux particuliers et aux entreprises plus de contrôle sur leurs données, à favoriser la concurrence et à assurer la libre circulation des données. Bon nombre de ces activités en sont à leurs balbutiements. Le Canada a l’occasion de façonner sa politique sur les données en créant un contexte réglementaire qui permet de valoriser les données pour tous les Canadiens.
Soutenir les consommateurs dans l’utilisation de leurs données
La tendance à la portabilité des données des consommateurs illustre bien la nécessité de créer de nouvelles politiques d’encadrement de marché pour les données. La portabilité des données représente le droit d’une personne à accéder à ses données personnelles détenues par une organisation ou à demander à une organisation de transférer ces données à un tiers en son nom. On peut penser à l’exportation d’une liste de lecture d’un site de diffusion de musique en continu à un autre, à l’accès à des données provenant d’un programme de service énergétique en vue de les saisir dans un calculateur d’empreinte carbone, ou encore à la fourniture d’un historique de transactions bancaires à un prêteur potentiel ou à un fournisseur de conseils financiers. Permettre aux utilisateurs de transférer leurs données d’un service à un autre favorise la concurrence et permet aux nouveaux concurrents d’accéder à des données auxquelles ils n’auraient pas eu accès autrement.
Les gouvernements s’orientent vers l’intégration du droit à la portabilité dans leurs cadres juridiques et réglementaires. Le Royaume-Uni a lancé une initiative de système bancaire ouvert en 2018. L’Australie a légiféré un droit fondamental pour les consommateurs de contrôler leurs données, lequel s’appliquera au secteur bancaire et par la suite aux services publics et aux fournisseurs de télécommunications. Le RGPD et la Consumer Privacy Act de la Californie accordent aux utilisateurs le droit à la portabilité des données et exigent que les renseignements soient fournis dans un format accessible qui favorise une transmission simple. Le gouvernement du Canada a récemment tenu des consultations sur le système bancaire ouvert et envisage d’intégrer le droit à la portabilité dans la LPRPDE.
Bon nombre d’entreprises canadiennes consultées dans le cadre de la présente étude voient des avantages à la portabilité des données. Une entreprise a même parlé « d’élément fondamental du commerce propulsé par les données. » Permettre aux utilisateurs de transférer leurs données d’un fournisseur de service à un autre favorise la concurrence et permet aux nouveaux concurrents de rivaliser plus facilement pour attirer les clients. Une telle mesure élimine également les pratiques non sécuritaires comme le « grattage d’écran », en vertu duquel les utilisateurs partagent leurs codes d’utilisateur et leur mot de passe avec un tiers pour que celui-ci puisse accéder à leurs données.
D’autre part, de nombreuses entreprises sont préoccupées par les risques découlant du respect de la vie privée et de la cybersécurité, sans mentionner les coûts importants qu’entrainerait la mise en oeuvre de la pleine portabilité. Certaines entreprises ont indiqué qu’elles auraient davantage de difficultés à générer un rendement sur leurs investissements dans les données si elles devaient partager des données avec leurs concurrents, ce qui pourrait diminuer leurs incitatifs à l’innovation.
Pour toutes ces raisons, il faut faire preuve de prudence lorsqu’il s’agit de mettre en oeuvre la portabilité des données entre organisations. Les organisations participantes devraient être accréditées ou contractuellement liées afin de s’assurer que les pratiques qu’elles ont mises en place relativement à la cybersécurité et la protection de la vie privée sont appropriées. Des mesures devraient être mise en place pour s’assurer que de telles pratiques ne créent pas d’obstacles anticoncurrentiels pour les nouveaux concurrents. En outre, le droit à la portabilité ne devrait pas s’étendre aux données commerciales exclusives. L’expérience de d’autres juridictions montre que toutes ces questions devraient être abordées secteur par secteur et être traitées soit par la réglementation, soit par la concurrence sur le marché. Dans tous les cas, l’industrie devrait être invitée à participer étroitement au processus.
En résumé, tout droit à la portabilité des données introduit dans la LPRPDE devrait être défini étroitement. La LPRPDE confère déjà aux particuliers le droit d’accéder à des renseignements personnels que détient une organisation. La loi pourrait être modifiée de façon à exiger que les organisations rendent certains renseignements disponibles à un particulier dans un format numérique dans un délai déterminé. Les entreprises devraient disposer de suffisamment de temps pour investir dans les capacités nécessaires.
Indépendamment, la loi doit traiter des transferts de données entre organisations. Le RGPD accorde aux particuliers un droit inconditionnel de demander que les renseignements à leur sujet soient transférés d’une organisation à une autre. Cependant, il ne spécifie pas de quelle manière ce droit devrait être appliqué, ce qui constitue une source de confusion, en partie parce que les organisations ne savent pas exactement comment elles peuvent s’y conformer tout en s’acquittant de leur obligation de protéger des renseignements contre une divulgation non autorisée. Il serait important que le Canada évite toute confusion de ce type, notamment en clarifiant le fait que le droit à la portabilité des données n’existe que lorsque les organisations qui sont en mesure de transmettre ou de recevoir des données font l’objet d’un encadrement reconnu par le gouvernement.
Clarifier les droits liés aux données commerciales
Tout comme les consommateurs qui cherchent à exercer davantage de contrôle sur leurs données, un grand nombre d’entreprises cherchent à avoir plus de précisions sur leurs propres droits relativement aux données. Avant d’investir des sommes considérables dans l’innovation reposant sur les données, les entreprises veulent s’assurer qu’elles pourront bénéficier de ces actifs et détenir un contrôle sur ceux-ci.
Comme il a été mentionné précédemment, il est important de distinguer entre les données commerciales exclusives et les données personnelles. Les protections qui s’appliquent aux renseignements permettant d’identifier une personne ne devraient pas s’étendre aux données anonymisées ou dépersonnalisées, ni aux données dérivées ou aux renseignements que les entreprises tirent d’agrégations et d’analyses subséquentes. Les gouvernements peuvent apporter des précisions en utilisant des règlements de portée générale ou encore opter pour la réglementation sectorielle. Les lignes directrices récentes de l’UE au sujet du RGPD, par exemple, donnent un certain nombre d’exemples spécifiques sur les données jugées non personnelles, comme les données sur les déplacements qui ont été agrégées de façon à cacher des voyages à l’étranger personnels engagés par une personne ou des données anonymes utilisées dans des rapports de statistiques ou de ventes.
Certaines entreprises consultées dans le cadre de la présente étude souhaitent obtenir davantage de précisions sur leurs droits en matière de données dans un contexte interentreprises. Les droits de propriété intellectuelle, comme les secrets commerciaux ou les droits d’auteur, sont mal adaptés aux flux de données en temps réel de plus en plus dynamiques que les entreprises utilisent dans le cadre de leurs activités. Les droits en matière de données sont habituellement davantage définis au cas par cas par l’entremise de modalités contractuelles. Certaines entreprises, surtout les petites, affirment toutefois que le manque d’expérience en négociation et en jurisprudence dans ce domaine peut les empêcher d’avoir accès à des données précieuses ou encore, les emprisonner dans une relation avec un fournisseur unique.
De façon générale, les entreprises préfèrent clairement la souplesse des modalités contractuelles à une réglementation ou une législation ouverte de la propriété de données commerciales. Le Canada pourrait toutefois améliorer la transparence et réduire les déséquilibres de pouvoirs en établissant des modèles de contrats et de dispositions que les entreprises pourraient utiliser lorsqu’elles doivent négocier des ententes de partage de données. On peut noter que l’UE et le Japon mènent actuellement des initiatives en ce sens.
Appliquer les règles de concurrence
Lorsqu’un petit nombre d’entreprises attire un nombre important d’utilisateurs, les données deviennent une source importante de pouvoir de marché. Des règlements plus solides en matière de protection de la vie privée et de portabilité de données peuvent aider à remédier aux asymétries qui s’ensuivent. Au Canada, le Bureau de la concurrence a été prié d’examiner l’efficacité des politiques actuelles, de l’encadrement des marchés et des processus judiciaires et d’enquête pour ce qui est de la collecte, de la transparence et du contrôle des données. Les politiques traditionnelles de concurrence peuvent être difficiles à utiliser dans des marchés qui sont caractérisés par des modèles d’affaires reposant sur une plateforme commerciale et des échanges de données en nature contre bénéfice.
Un bon nombre des entreprises que nous avons consultées convient que les autorités de la concurrence au Canada devraient surveiller étroitement les utilisations anticoncurrentielles des données et l’augmentation du nombre des marchés « tout au vainqueur ». Un des objectifs devrait être de s’assurer que les entreprises, qu’elles soient en démarrage ou bien établies, sont en mesure de rivaliser sur un pied d’égalité avec des entreprises technologiques multinationales, aussi bien dans les secteurs industriels que dans les secteurs interagissant avec les consommateurs.
Elles mettent toutefois en garde contre la prise de mesures qui mineraient la motivation des entreprises à investir dans l’innovation reposant sur les données. Le gouvernement doit trouver un juste équilibre entre favoriser davantage les échanges de données et permettre la rentabilité des coûteux investissements que les sociétés réalisent pour tirer un avantage concurrentiel.
Ne pas entraver les flux transfrontaliers de données
Sauf en ce qui concerne certaines règles provinciales et mesures fédérales limitées qui sont justifiées par des préoccupations nationales en matière de sécurité, les politiques actuelles du Canada sont généralement favorables aux flux transfrontaliers de données. La plupart des entreprises que nous avons consultées dans le cadre de la présente étude soutiennent cette approche, croyant que toute augmentation importante des obstacles à de tels échanges rendrait les marchés moins concurrentiels et novateurs. Bien que les services infonuagiques offrent de plus en plus des services de localisation personnalisés, le marché national canadien est tout simplement trop petit pour que soit déployée une gamme complète de technologies et de services. Selon une étude entreprise en 2017 par l’Information Technology Innovation Foundation, les pays qui mettent en vigueur des politiques de localisation de données et des entraves similaires font en général face à des coûts de TI plus élevés et à une croissance économique plus lente.
Les restrictions relatives aux flux transfrontaliers des données peuvent également avoir une incidence sur la sûreté et la sécurité du public. Les entreprises consultées indiquent que les règles relatives à la localisation de données peuvent les empêcher de tirer parti de solutions en matière de cybersécurité qui sont offertes par des fournisseurs internationaux. En ce qui a trait au secteur des services financiers, de telles contraintes nuisent au partage de renseignements sur le terrorisme, la fraude et le blanchiment d’argent.
La LPRPDE autorise actuellement les entreprises à transférer des renseignements personnels à des tiers à l’étranger, mais les rend redevables de s’assurer que le même niveau de protection de la vie privée qui est requis en vertu des lois canadiennes y soit respecté. Il y aura cependant toujours des risques. Les organismes étrangers chargés d’appliquer les lois sur leur territoire pourraient exiger l’accès à des données canadiennes qui y sont stockées, tout comme d’ailleurs des organismes canadiens pourraient le faire à l’égard de données étrangères détenues au Canada. Les organisations qui transfèrent des données à l’étranger devraient faire preuve de transparence envers leurs clients quant aux transferts qu’elles effectuent, aux précautions qu’elles prendront pour protéger les données en question et au fait qu’elles sont assujetties aux lois du pays dans lequel seront entreposées ces données.
Bon nombre d’entreprises consultées ont salué l’inclusion de dispositions relatives au flux de données dans les derniers accords commerciaux du Canada, comme l’Accord de partenariat transpacifique global et progressiste (PTPGP) et l’Accord Canada-États-Unis-Mexique (ACEUM). Ces accords interdisent aux signataires l’imposition d’exigences relatives à la localisation de données et de restrictions sur les flux transfrontaliers par les pays, tout en accordant aux gouvernements la souplesse nécessaire afin d’assurer la sécurité nationale et le maintien de normes élevées en matière de protection de la vie privée.
Harmoniser la réglementation
Les entreprises canadiennes sont en faveur de l’harmonisation des règles relatives à la protection de la vie privée et des règles relatives aux données qui existent aux niveaux provincial, national et international. À l’heure actuelle, au Canada, on dénombre des douzaines de règles variant d’une juridiction à une autre et d’un organisme de réglementation à un autre. La Colombie-Britannique, l’Alberta et le Québec ont leurs propres lois concernant la façon dont les entreprises doivent traiter les données personnelles. (Le gouvernement fédéral considère qu’elles sont équivalentes à la LPRPDE.) La plupart des provinces disposent de lois spécifiques régissant la collecte et l’utilisation de données personnelles liées aux soins de santé, à l’éducation et à l’emploi. Par ailleurs, les organismes de réglementation oeuvrant dans des secteurs comme les services financiers, les télécommunications et les transports ont bien souvent leurs propres règles en ce qui a trait à la gestion et à la sécurité des données. Les définitions et les obligations peuvent varier, ce qui peut entraîner des coûts de conformité plus élevés et décourager l’innovation en matière de données.
Le Canada se heurte à un trop grand nombre d’obstacles commerciaux internes. Il est impératif d’éviter de créer d’autres obstacles en lien avec les données. L’harmonisation des règles relatives aux données devrait figurer parmi les priorités des gouvernements fédéral, provinciaux et territoriaux, à l’instar d’autres domaines importants de politiques publiques où il y a des responsabilités partagées. En ce moment, l’Ontario est à revoir ses politiques relatives aux données, en parallèle avec le gouvernement fédéral.
C’est l’occasion de les harmoniser.
L’harmonisation au niveau international est tout aussi importante. Avec l’adoption du RGPD, l’UE vise à créer un cadre commun de politique de haute qualité pour assurer la protection de la vie privée partout au sein des pays européens, en harmonisant les lois nationales et en éliminant les obstacles aux flux transfrontaliers de données. Plusieurs pays emboîtent le pas. De la Californie à la Chine, on observe une convergence croissante vers les principaux éléments de ce modèle.
La Commission européenne reconnaît actuellement 11 pays non-membres de l’UE comme offrant un niveau de protection de données assez élevé pour permettre un flux de données en provenance de l’UE sans que d’autres protections ne soient nécessaires. La « liste d’adéquation » de l’UE fera l’objet d’un examen en 2020. Le Canada pourrait devoir modifier quelques éléments de ses lois sur la protection de la vie privée afin de continuer à figurer sur cette liste. L’adéquation ne requiert toutefois pas d’équivalence, ce qui signifie que le Canada est libre de tracer sa propre voie dans les limites prescrites.
Le Canada devrait exercer son influence au sein d’organisations multilatérales, comme l’OCDE, afin de stimuler l’harmonisation internationale sur les principaux enjeux de gouvernance des données. De tels forums aident les gouvernements à élaborer des approches et des modèles communs. Par exemple, les Lignes directrices de l’OCDE régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel, qui ont été publiées pour la première fois en 1980 et qui ont été mises à jour en 2013, ont façonné les lois en matière de protection de la vie privée dans de nombreux pays, dont le Canada.
Le leadership du Canada en matière de recherche sur l’IA lui donne une autre occasion d’influencer les normes éthiques et l’élaboration de politiques, comme en témoigne le lancement en décembre 2018 de la Déclaration de Montréal pour un développement responsable de l’intelligence artificielle. En août 2019, le gouvernement fédéral s’est joint à la France lors d’une réunion du sommet du G7 pour lancer le partenariat mondial sur l’IA. Le partenariat vise à réunir des chercheurs, des gouvernements, la société civile et l’industrie dans le but de parvenir à un consensus sur les occasions et les défis que présente l’IA, ainsi que les réponses politiques appropriées.
Bâtir une infrastructure de données
Une économie propulsée par les données nécessite une infrastructure commune de données, y compris des codes, des normes et des pratiques, des institutions ou des mécanismes communs qui permettent aux organisations de recueillir, de partager et d’intégrer les données de façon sûre et efficace. Le gouvernement fédéral peut aider à élaborer cette infrastructure partagée en réalisant des investissements publics, en s’assurant que l’industrie se coordonne, en adoptant des règlements d’habilitation et en rendant accessibles au secteur privé ses propres données. Le gouvernement joue également un rôle important en ce qui concerne le soutien à la littératie numérique et des données.
Élaborer des codes de conduite et des normes de l’industrie
Des codes de conduite et des normes volontaires de l’industrie sur la gouvernance des données aident les entreprises à combler le fossé entre les obligations réglementaires générales et les pratiques spécifiques de gestion des données. Ils favorisent également l’établissement de pratiques standardisées au sein de l’ensemble des organisations et des secteurs, renforçant ainsi la confiance, l’interopérabilité et les occasions de partage de données. Comme il a été souligné plus haut, la LPRPDE devrait être suffisamment souple pour permettre aux entreprises de respecter leurs obligations réglementaires en adhérant aux normes et aux codes de conduite reconnus.
Bien que plusieurs codes et normes soient actuellement utilisés au Canada, les pratiques sont encore disparates et la couverture, incomplète. L’Association canadienne du marketing, par exemple, a adopté son propre Code d’éthique et ses propres normes de pratique régissant tous les aspects du marketing professionnel et des activités de communication de marketing au Canada. Comme autre exemple, citons Privacy by Design (c’est-à-dire la prise en compte du respect de la vie privée dès la conception), un principe permettant aux entreprises de certifier que les données personnelles sont automatiquement protégées dans une application ou un système de TI donné. Dans l’esprit de ce principe, aucune mesure n’est requise de la part d’un utilisateur pour protéger sa vie privée, car celle-ci est assurée dans le système par défaut. D’abord élaborée à l’Université Ryerson, la prise en compte du respect de la vie privée dès la conception constitue maintenant le fondement d’une norme mondiale instaurée par l’Organisation internationale de normalisation.
Plusieurs organismes gouvernementaux et de la communauté d’affaires du Canada élaborent actuellement de nouvelles normes afin de résoudre les enjeux de gouvernance des données qui apparaissent. Le Conseil stratégique des DPI du Canada a récemment publié une première norme unique en son genre pour « la conception et l’utilisation éthiques de systèmes de décisions automatisés ». Une des entreprises canadiennes qui a participé à nos consultations prévoit appliquer cette nouvelle norme dans le cadre de ses activités internationales.
L’identité numérique constitue un autre domaine d’intérêt. Si les individus pouvaient authentifier de façon rapide et sécuritaire leur identité et d’autres renseignements personnels, cela permettrait d’améliorer la cybersécurité, la vie privée et les bénéfices pour les consommateurs. Le Conseil canadien de l’identification et de l’authentification numériques croit que l’adoption répandue de l’identification numérique pourrait faire épargner aux consommateurs 6,1 milliards de dollars par année. Le Conseil a récemment participé au lancement de Verified.Me, un réseau d’identité numérique développé par SecureKey avec la participation de grandes institutions financières canadiennes.
Malgré la tendance vers la normalisation, de nombreuses entreprises canadiennes continuent à se fier principalement à leurs pratiques internes pour gouverner leurs données et s’acquitter de leurs obligations réglementaires. Le Canada doit mettre en oeuvre une stratégie globale pour développer une vision d’ensemble de ces pratiques et déterminer quels sont les besoins fondamentaux de l’industrie. Voilà la mission du Collectif canadien de normalisation en matière de gouvernance des données, un forum plurilatéral lancé par le Conseil canadien des normes. Le Collectif compte faire l’inventaire de ce qui se fait au Canada et à l’international, identifier les lacunes et créer une feuille de route vers la mi-année 2020.
Plusieurs entreprises canadiennes consultées dans le cadre de la présente étude se mobilisent pour soutenir de tels exercices et y participer. Plus d’une douzaine d’entre elles ont désigné des représentants pour prendre part aux groupes de travail du Collectif. Plusieurs autres pays financent les organisations qui participent aux initiatives d’élaboration de normes. Le Canada devrait envisager de faire la même chose, particulièrement pour les entreprises en démarrage et les plus petites entreprises qui pourraient ne pas être en mesure de se permettre d’investir.
La normalisation offre un très bon potentiel à moyen et à long terme. Dans l’intervalle, plusieurs entreprises croient qu’elles, à l’instar des petites et moyennes entreprises qui se situent dans leurs chaînes d’approvisionnement, bénéficieraient de directives générales présentant les pratiques exemplaires de partage de données dans le secteur privé. L’Infocomm Media Development Authority and Personal Data Protection Commission de Singapour a récemment publié un cadre fiable de partage de données qui pourrait servir de modèle.
Soutenir les secteurs industriels dans le partage des données
Outre les normes et les codes généraux, le Canada doit investir pour que soit mise sur pied une infrastructure plus ciblée de partage de données. Bon nombre d’entreprises consultées dans le cadre de cette étude considèrent qu’il leur faut collaborer pour trouver des moyens de partager ou regrouper certains types de données, en partie pour contrer la menace concurrentielle croissante que posent les grandes entreprises mondiales qui prennent une avance considérable en matière de données.
Tout comme dans le cas de la portabilité des données des consommateurs, les entreprises sont confrontées à des défis importants dans le cas du partage des données. Il faut des formats communs pour structurer et communiquer les mesures de contrôle sur les données, la protection de la vie privée et la sécurité, un encadrement de la responsabilité des participants et une compréhension commune des types de données qui peuvent ou qui devraient être partagées plutôt que d’être traités comme étant exclusifs. Une grande partie de l’infrastructure pour le partage de données doit être élaborée de toutes pièces. De plus, les entreprises doivent fréquemment aussi effectuer des investissements internes importants dans les systèmes de gestion de données.
Une grande entreprise de construction qui a pris part aux consultations que nous avons menées a indiqué que, bien qu’un meilleur partage des données puisse rendre son secteur plus concurrentiel, les chaînes d’approvisionnement sont fragmentées et remplies de petits acteurs qui n’ont pas établi de gouvernance appropriée en matière de données, même pour les fonctions et les processus opérationnels les plus élémentaires. Par conséquent, l’entreprise a envisagé de se joindre à des consortiums américains qui sont à l’avant-garde de la gestion des données en santé et sécurité.
Le financement et le leadership du gouvernement peuvent aider à faire face aux incertitudes, à coordonner les défis et à gérer les conflits possibles résultant de l’élaboration de cadres sectoriels. Une étroite collaboration avec l’industrie est essentielle pour s’assurer que de tels cadres servent à résoudre des cas d’utilisation clairs et soient réalisables sur le plan technique.
Le Canada devrait également étudier la possibilité que des « fiducies de données » puissent aider les particuliers et les organisations à partager des données de nature sensible à des fins particulières. Les fiducies de données sont essentiellement des structures de gouvernance légalement responsables qui peuvent superviser, maintenir et gérer l’utilisation et le partage de données. Les gouvernements et les organismes internationaux, comme l’OCDE et le G20, se sont penchés sur la possibilité d’utiliser des fiducies de données afin de promouvoir le partage de données et l’innovation « responsable ». Le document de travail sur la réforme de la LPRPDE du gouvernement fédéral souligne que les fiducies de données pourraient servir à atténuer le fardeau lié à la lassitude consensuelle et à la protection de la vie privée dans le cas de transactions portant sur des données dépersonnalisées. On a proposé de mettre en place des « fiducies de données civiques » afin de protéger l’intérêt public dans les processus décisionnels liés à la gouvernance des données; ces fiducies sont essentiellement des contrats qui donnent à un groupe de fiduciaires le pouvoir de gérer la collecte et l’utilisation de données en fonction des principes constitutifs de la fiducie.
Le concept des fiducies de données est encore relativement nouveau. Avant qu’elles ne soient déployées à grande échelle, les principales caractéristiques des fiducies, y compris la nature et la portée des obligations fiduciaires, ainsi que les structures de gouvernance et les architectures techniques, devront atteindre un haut niveau de normalisation. Il reste à voir si les fiducies de données sont plus avantageuses que ce qui peut déjà être fait de façon sécuritaire avec les approches existantes. Les entreprises et les gouvernements devraient travailler ensemble pour étudier le potentiel des fiducies de données et le rôle que le gouvernement pourrait jouer dans l’établissement d’un cadre réglementaire approprié pour eux. Cependant, plusieurs entreprises qui ont pris part à nos consultations ont indiqué que la participation à de telles initiatives devrait se faire sur une base volontaire; les organismes privés et les particuliers ne devraient pas être obligés d’y contribuer leurs données.
Exploiter les données disponibles dans le secteur public
Les gouvernements fédéral, provincial et territorial sont les intendants d’énormes quantités de données. Les gouvernements ont besoin de ces données pour élaborer de bonnes politiques publiques, assurer l’efficacité de la réglementation et offrir des services publics, y compris des statistiques auxquelles le secteur privé peut se fier pour prendre des décisions d’affaires.
Au cours des dernières années, le Canada a pris des mesures pour renforcer l’accessibilité, la disponibilité et la pertinence de ses données en regard des problèmes que les entreprises cherchent à résoudre. Le Portail de données ouvertes du gouvernement fédéral offre un accès numérique à plus de
80 000 ensembles de données. Il reste toutefois beaucoup de travail à accomplir. Bon nombre d’entreprises consultées dans le cadre de la présente étude ne pensent même pas à approcher les gouvernements pour établir des partenariats en matière de données. Celles qui le font parlent d’occasions souvent ratées. Par exemple, si le gouvernement fédéral donnait accès aux images satellites à haute résolution aux chercheurs issus du secteur privé, les entreprises pourraient entraîner des algorithmes d’apprentissage automatique qui aideraient à diminuer les congestions routières ou à améliorer la réponse du Canada aux changements climatiques.
Les gouvernements devraient travailler en collaboration avec l’industrie, non seulement pour déterminer quels renseignements pourraient être rendus publics, mais également s’il existe un besoin de les recueillir en tout premier lieu. Bien que les lois fédérales confèrent à Statistique Canada et à d’autres organismes les pouvoirs d’exiger des données auprès de particuliers et d’entreprises, il est important de s’assurer du respect de la vie privée et de la confidentialité.
Trouver le juste équilibre peut s’avérer difficile, comme en témoigne la controverse survenue en 2018 concernant la tentative de Statistique Canada de lancer un projet pilote pour recueillir des renseignements bancaires personnels auprès de 500 000 ménages canadiens. Bien que le rapport du CPVP sur l’affaire n’ait relevé aucune faute, certaines parties prenantes du secteur privé ont senti que la demande entrait en conflit avec les obligations relatives à la protection de la vie privée auxquelles sont soumises les banques envers leurs clients. Statistique Canada a depuis adopté un « cadre de nécessité et de proportionnalité » qui évalue le besoin de la collecte de données par rapport à d’autres facteurs, comme la nature sensible des données, et s’il existe d’autres moyens pour les recueillir.
Alors que le gouvernement s’emploie actuellement à revoir la Loi sur la protection de la vie privée ainsi que la Loi sur la statistique, il devrait évaluer davantage les motifs pour lesquels il recueille et partage des données, tout comme les processus qu’il prend pour le faire. L’objectif consisterait à rendre facilement accessibles les données de grande valeur dans la mesure du possible, tout en protégeant les droits des particuliers et des entreprises en matière de données. Le gouvernement pourrait envisager de mettre en place des exceptions spécifiques pour les données utilisées à des fins de recherche et de statistiques.
Le Canada devrait également tenir compte de ce que font les autres juridictions dans ce domaine. Le gouvernement de l’Australie, par exemple, a proposé une nouvelle législation pour simplifier la façon dont les données publiques sont partagées et divulguées au sein du gouvernement et auprès d’utilisateurs de confiance. Un document de travail publié en 2018 indiquait que l’objectif était de « fournir un accès fiable, efficace, évolutif et fondé sur le risque aux ensembles de données qui procurent des avantages substantiels pour la collectivité dans les domaines de la recherche, de l’innovation et des politiques. » Pour sa part, la Saskatchewan a récemment adopté une loi qui facilite la collaboration entre les organismes gouvernementaux en ce qui concerne le partage de renseignements. La loi confère aux organismes gouvernementaux le pouvoir de conclure des ententes de correspondance de données afin de participer à des projets dans le cadre desquels on utilise des renseignements personnels, tant que ces organismes continuent de protéger les droits individuels à la protection de la vie privée.
Soutenir le savoir-faire en matière de données
Le savoir-faire en matière de données constitue une partie essentielle d’une économie propulsée par les données. Afin de réaliser le potentiel de notre pays dans l’économie des données, les Canadiennes et les Canadiens devront devenir des citoyens numériques et afficher un niveau plus élevé de sensibilisation et de compréhension quant à la façon dont les données ont une incidence sur leur vie et leur travail. Ils doivent être en mesure de reconnaître la valeur de leurs données et prendre des décisions éclairées sur ce qu’ils souhaitent faire avec celles-ci.
Les efforts déployés par le passé par le gouvernement afin d’améliorer les connaissances financières offrent de bons exemples qui pourraient être imités et adaptés pour accroître le savoir-faire relativement aux données. Les gouvernements devraient, en même temps, accorder une attention spéciale à la littératie numérique des plus petites entreprises, qui disposent souvent de capacités limitées pour recueillir et gérer des données et en tirer parti. Pour de nombreuses PME, la conformité aux règlements en matière de protection de la vie privée représente un lourd fardeau.
L’adoption rapide de technologies reposant sur les données exerce également une pression accrue sur le gouvernement. Le gouvernement fédéral du Canada doit développer des capacités de gouvernance de données au sein de ses ministères et de ses organismes. D’autres juridictions ont répondu à ce besoin en mettant sur pied des unités de référence qui peuvent entreprendre des recherches et fournir des directives à l’échelle du gouvernement. Le gouvernement du Royaume-Uni a créé un organe consultatif indépendant, le Centre for Data Ethics and Innovation, afin d’établir un lien entre les décideurs politiques, l’industrie, la société civile et le public. Le ministère des Affaires étrangères d’Israël a pour sa part mis sur pied une Unité de recherche et développement en diplomatie des données, qui tente d’adopter une approche algorithmique inédite à l’égard de la pratique de la diplomatie. Les Émirats arabes unis ont récemment nommé un ministre de l’Intelligence artificielle. La décision prise par le premier ministre Justin Trudeau en 2018 de nommer une ministre du Gouvernement numérique constitue une étape importante dans l’amélioration du savoir-faire en matière de données et des capacités de gouvernance au niveau fédéral.
Conclusion
Les chefs d’entreprises canadiennes issus de tous les secteurs de l’économie reconnaissent le potentiel que représente l’économie propulsée par les données. Ils croient que le gouvernement et les entreprises doivent agir rapidement pour saisir les occasions, acquérir un solide avantage concurrentiel et s’assurer que le Canada constitue une destination de choix pour les idées, les talents et les investissements mondiaux.
Dans un même temps, ils reconnaissent que les possibilités sociales et économiques que présentent les données ne peuvent être réalisées que si tous les participants croient que leurs intérêts sont protégés et défendus. Les gens doivent savoir que leurs données et leurs renseignements personnels sont protégés. Lorsqu’ils choisissent de partager des données, ils doivent savoir qu’ils en retireront une juste valeur en retour. Les entreprises, de leur côté, doivent être en mesure d’utiliser des données et d’y accéder pour être concurrentes et innover sur la scène mondiale. Les gouvernements doivent, de la même façon, pouvoir accéder à des données afin d’être en mesure d’aider les citoyens et offrir des services publics essentiels, tout en protégeant les intérêts du Canada au sein de l’économie mondiale.
Dans les discussions que nous avons eues avec des douzaines de chefs de file et d’experts de l’industrie dans le cadre de la présente étude, nous sommes parvenus à un consensus sur de nombreuses recommandations stratégiques. Celles-ci abordent plusieurs grands enjeux, comme le respect de la vie privée, la cybersécurité, les flux transfrontaliers de données, la politique sur la concurrence et l’infrastructure de données.
Tous les Canadiens et toutes les parties prenantes ont un rôle à jouer afin de s’assurer que le Canada retire le maximum de cette occasion économique qui lui est présentée. Il y a beaucoup de travail à faire, mais si les décideurs politiques agissent rapidement et prennent les bonnes décisions, le Canada peut et pourra façonner un avenir qui valorisera les données pour le bien de tous, tout en respectant les droits de l’ensemble des citoyennes et des citoyens.
Annexe
Groupe consultatif
L’honorable James Moore (président)
Paul Ballew, vice-président principal mondial, directeur des données et des analyses, Les Compagnies Loblaw Limitée
Chantal Bernier, Avocate-conseil, groupe de pratique canadien Cybersécurité et protection de la vie privée, Dentons
Kevin Dougherty, vice-président général, innovation et partenariats, Financière Sun Life Canada
Charles Eagan, directeur technique, BlackBerry
Catherine Luelo, première vice-présidente et chef des Affaires informatiques, Air Canada
Ben Harrison, associé, chef des partenariats et de la politique, Portag3Ventures
Rosemarie Lipman, directrice de l’innovation et vice-présidente directrice, ingénierie numérique et des données, EllisDon Corporation
Robert Malcolmson, premier vice-président, Affaires réglementaires, BCE Inc.
Anne Martel, co-fondatrice et vice-présidente aux opérations, Element AI
John Pecman, consultant principal en administration des affaires, Fasken
Holly Shonaman, responsable de la confidentialité, Banque Royale du Canada
Entreprises consultées *
Air Canada
ARC Financial Corp.
Banque Nationale du Canada
Banque Scotia
BCE Inc. et Bell Canada
BlackBerry Limited
Bruce Power
Bureau d’assurance du Canada
Canada Vie
Clearwater Seafoods Limited Partnership
Cenovus Energy Inc.
Les Compagnies Loblaw limitée
La Corporation Cadillac Fairview Limitée
D2L
Deloitte
DuPont Canada
Element AI
EllisDon Corporation
Enbridge Inc.
GE Canada
Financière Sun Life inc.
Groupe Banque TD
HP Canada Co.
IBM Canada Ltée
James Richardson International
KPMG, S.R.L.
Microsoft Canada Inc.
Morneau Shepell Ltée
Mosaic Forest Management Corp.
PCL Constructors Inc.
Pelmorex Corp.
Portag3 Ventures
Power Corporation du Canada
Banque Royale du Canada
Sidewalk Labs
Siemens Canada limitée
La Société de Gestion AGF Limitée
Manuvie
Telus
Thomson Reuters
TC Énergie Corporation
Teck Resources Limited
*Les opinions émises dans le présent document de travail sont celles du Conseil canadien des affaires et ne représentent pas nécessairement les points de vue ou les positions des organisations ci-dessus qui ont fait l’objet de consultations.