Conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-010

Rapport de conclusions
La commissaire adjointe recommande à Bell Canada d’informer les clients au sujet de l’inspection approfondie des paquets

Septembre 2009

Les mérites de l'inspection approfondie des paquets (IAP) inspirent de nombreux débats. Cette technologie sert à gérer le trafic sur les réseaux de télécommunications, grands et petits, mais elle sert aussi à cibler des messages publicitaires sur ces mêmes réseaux.

Récemment, ce débat a été repris à plusieurs endroits. Les fabricants de matériel servant à l'inspection approfondie des paquets, les gestionnaires de réseaux, les publicitaires et les groupes de défense des consommateurs ont témoigné devant des comités gouvernementaux, des autorités de protection des renseignements personnels et des organismes de réglementation des télécommunications pour faire valoir les avantages et les désavantages de cette technologie.

Les gestionnaires de réseaux soutiennent que l'inspection approfondie des paquets n'est qu'un outil parmi d'autres pour s'assurer que les réseaux peuvent répondre à la demande variable de leurs clients en matière de bande passante. Les défenseurs du droit à la vie privée affirment que l'IAP peut servir à lire le contenu des paquets qui circulent entre les utilisateurs sur les réseaux — que ce soit des fichiers MP3, des messages personnels ou des documents commerciaux. Même la terminologie utilisée pour décrire l'opération d'IAP suscite des débats.

Il ne relève pas du Commissariat à la protection de la vie privée de résoudre des différends au sujet de la terminologie ou de l'impact général de l'IAP sur le fonctionnement des réseaux. Notre mandat est de s'assurer que les renseignements personnels sont protégés de manière appropriée, peu importe la situation. Le rapport de conclusions qui suit, réalisé par la commissaire adjointe Elizabeth Denham, fait référence à des renseignements fournis tant par Bell que par la Clinique d'intérêt public et d'Internet du Canada, mais ne prétend pas être le dernier mot en matière d'IAP.

Il est relativement facile de brosser le portrait d'un réseau où l'IAP débridée pourrait servir à surveiller les activités des utilisateurs. Il est plus rare d'examiner à tête froide l'application effective de l'IAP sur un réseau.

Le rapport de conclusions ci-joint aborde les résultats d'une enquête au sujet d'une mise en œuvre spécifique de la technologie, dans laquelle nous avons déterminé que la manière dont Bell Canada relie l'IAP, les adresses IP dynamiques et les numéros d'identification des abonnés du service Internet Sympatico de Bell influe sur les renseignements personnels.

L'enquête a soulevé des préoccupations précises au sujet de la manière dont les utilisateurs sont informés de la nouvelle technologie.

L'avis et le consentement sont souvent laissés de côté quand on déploie de nouvelles technologies en ligne. Comme c'est le cas pour bien d'autres technologies, la mise en œuvre de la technologie d'IAP doit être considérée au cas par cas, chaque cas devant faire l'objet d'un examen pour s'assurer que les renseignements personnels sont traités et protégés de manière appropriée.


Table des matières

  1. Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
  2. Résumé de l’enquête
  3. Champ d’application
  4. Conclusions
  5. Recommandations tirées du rapport d’enquête
  6. Réponses de Bell aux recommandations
  7. Autres commentaires de Bell
  8. Conclusion

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)Haut de la page Table des matières

1. Le plaignant allègue que Bell Sympatico (Bell) utilise la technologie d’inspection approfondie des paquets (IAP) pendant les transmissions Internet pour recueillir et utiliser les renseignements personnels de ses clients sans leur consentement.

2. Le plaignant soutient également que cette pratique permet à Bell de recueillir davantage de renseignements personnels que ce dont elle a besoin pour réaliser les objectifs déclarés de l’entreprise d’assurer l’intégrité du réseau et la qualité du service.

3. Le plaignant allègue de plus que Bell n’informe pas ses clients de manière adéquate de ses pratiques et de ses politiques en matière de collecte de leurs renseignements personnels lors de transmissions sur Internet.

Résumé de l’enquêteHaut de la page Table des matières

Aperçu : En quoi consiste l’IAP et comment est-elle utilisée?

4. L’IAP est un outil utilisé par les fournisseurs d’accès Internet (FAI) pour examiner l’information transmise sur Internet (p. ex. courriels, téléchargements) afin de gérer le trafic sur leur réseau.

5. L’information est transmise par Internet au moyen d’un protocole qui fragmente l’information en paquets, l’achemine vers sa destination et réassemble l’information contenue dans les paquets dans sa forme originale. Le contenu (ou les « données utiles ») sont l’information produite par les utilisateurs (comme le contenu d’un courriel); ce contenu est entouré par plusieurs couches de renseignements de contrôle pour en assurer le traitement et l’acheminement appropriés.

6. Grâce à l’IAP, on peut voir à travers ces nombreuses couches de protocole et en inspecter le contenu. Par exemple, en allant examiner la couche application d’un paquet — la couche qui surmonte directement les données utiles — le FAI peut déterminer le type d’application logicielle qui sert à transmettre le paquet. Selon la méthode particulière adoptée par un FAI, le fait d’être en mesure d’isoler et d’identifier l’information relative à l’application peut contribuer à la capacité du FAI à gérer le trafic sur son réseau et à réduire l’encombrement. Certaines applications logicielles utilisent beaucoup de bande passante et sont conçues pour utiliser la capacité disponible sur le réseau pour transmettre leur information. De manière générale, le courriel utilise peu de bande passante, alors que les applications de partage de fichiers poste à poste (P2P) en utilisent beaucoup. Les applications couramment utilisées pour partager des fichiers de musique et de vidéo de poste à poste peuvent utiliser une bonne part de la bande passante et « ralentir » le reste du trafic Internet.

7. Chaque couche de paquet possède également son propre en-tête, dont l’une des fonctions consiste à identifier la couche et à la distinguer de toutes les autres couches qui l’entourent. Ces en-têtes sont parfois appelés « en-têtes de protocole ».

8. L’IAP ne peut pas être considérée comme une nouvelle technologie. Elle a été utilisée par le passé comme partie intégrante de systèmes de prévention des intrusions, de systèmes de détection des intrusions ou de la technologie traditionnelle de pare-feu. Ainsi, l’IAP peut être avantageuse pour un utilisateur et contribuer à la sécurité de ses données. Cependant, c’est plutôt l’utilisation qu’en font présentement Bell et d’autres FAI qui constitue une nouveauté.

Pourquoi Bell juge-t-elle nécessaire d’utiliser l’IAP?

9. Dans ses observations, Bell soutient que le trafic attribuable aux applications poste à poste (P2P) encombre indûment son réseau, constitue une menace pour le réseau et détériore les services Internet qu’elle offre à ses clients en ralentissant le service, particulièrement pendant les périodes d’utilisation de pointe d’Internet.

10. Bell fait valoir que son utilisation de l’IAP, dans le cadre de sa solution de gestion du trafic Internet afin de résoudre les problèmes d’encombrement pendant les périodes d’utilisation de pointe, s’est limitée aux seules applications de partage de fichiers poste à poste. Selon Bell, les périodes d’utilisation de pointe ont lieu de 16 h 30 à 2 h. Pendant cette période, les débits de téléchargement des transmissions poste à poste sont progressivement réduits au début de la période de pointe, puis augmentés progressivement vers la fin de ladite période.

11. L’enquête du Commissariat a confirmé que l’utilisation d’applications poste à poste pour transmettre du contenu sur Internet fait effectivement augmenter le trafic sur le réseau (c.-à-d. que ces applications utilisent davantage de bande passante que les autres applications client-serveur) et que le phénomène largement répandu de l’encombrement des réseaux est en grande partie attribuable aux téléchargements ou aux partages de fichiers au moyen d’applications poste à poste. Les outils de gestion du trafic comme l’IAP constituent l’un des moyens à la disposition des FAI pour optimiser le trafic sur le réseau.

Qui est visé par l’utilisation que fait Bell de l’IAP?

12. Bell a indiqué qu’elle transmet le trafic Internet de ses abonnés à Sympatico ainsi que d’autres FAI concurrents de plus petite taille, à titre de grossiste; le trafic provenant des abonnés à Sympatico et des clients de gros a été assujetti à la gestion du trafic au moyen de l’IAP.

Qu’est-ce que l’IAP permet d’examiner?

13. Selon le plaignant, l’IAP permet également d’examiner le contenu d’un paquet produit par un utilisateur. L’une des sources citées par le plaignant mentionne une entreprise qui utiliserait l’IAP pour regarder à l’intérieur des paquets et réassembler des renseignements fragmentés. Ce faisant, l’entreprise peut recréer, à partir du trafic Internet, un dossier lisible de courriels, d’activités de navigation sur Internet, d’appels téléphoniques sur IP (appels VoIP) et de mots de passe.

14. Le plaignant cite également un communiqué de presse d’une autre entreprise qui conçoit des outils de gestion du trafic qui s’appuient sur la technologie d’IAP. Le communiqué de presse de l’entreprise indique comment son propre produit fournit « des rapports sur les habitudes d’utilisation des abonnés et des applications qui permettent un marketing de services efficace s’appuyant sur des données réelles relatives au comportement des abonnés » [traduction]. Selon un analyste de l’industrie, ce « type de technologie peut être un outil précieux pour les responsables du marketing » [traduction].

15. L’enquête du Commissariat a permis de confirmer que l’IAP permet d’examiner ce qui suit :

  • les services ou les applications les plus populaires (P2P, VoIP, jeux en ligne, courriel, vidéo, etc.);
  • les habitudes d’utilisation des abonnés (au moyen de l’adresse de protocole Internet [adresse IP] d’un ordinateur);
  • les tendances d’utilisation des applications;
  • les services concurrents et leur présence sur le réseau (p. ex. quantité de trafic VoIP);
  • le trafic malveillant sur le réseau.

16. Qui plus est, bien que l’IAP ait été conçue pour examiner l’en-tête de la couche application d’un paquet ou d’un flux de trafic, l’enquête du Commissariat a confirmé qu’il est possible d’utiliser certaines technologies d’IAP pour examiner de manière plus approfondie et analyser les données utiles contenues dans les paquets transmis (p. ex. courriels, jeux en ligne, vidéos). Ces données utiles peuvent contenir des renseignements personnels, comme des photographies, des renseignements financiers et des coordonnées.

Quelle utilisation Bell fait‑elle de l’IAP?

17. Bell a insisté qu’elle n’utilise pas l’IAP pour d’autres applications (p. ex. les applications en temps réel comme la radio sur Internet ou YouTube).

18. Le Commissariat a examiné minutieusement les observations de Bell au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC). Bell y soutenait ce qui suit :

En raison de la manière dont ils sont conçus, les dispositifs d’IAP déployés sur le réseau de Bell :

  • n’utilisent pas les renseignements personnels permettant d’identifier un utilisateur donné;
  • ne conservent pas et ne tiennent pas un registre des renseignements personnels identifiables;
  • ne connaissent pas l’identité réelle d’un utilisateur;
  • ne connaissent pas l’historique de navigation sur Internet d’un utilisateur;
  • ne connaissent pas les activités de recherche sur Internet d’un utilisateur;
  • ne connaissent pas les sujets ou le contenu du courriel d’un utilisateur;
  • ne conservent pas le contenu consulté par un utilisateur;
  • ne conservent pas en mémoire cache tout contenu, quel qu’il soit, y compris les contenus propres à un utilisateur donné;
  • ne saisissent ni ne lisent aucune communication, n’installent ni n’exigent l’installation d’aucun logiciel particulier sur l’ordinateur d’un utilisateur.

19. Dans ses observations, Bell soutient que les dispositifs d’IAP déployés sur son réseau ne sont pas configurés pour reconnaître les types de contenus produits par ses clients qui se trouvent dans les paquets. Bell affirme qu’elle se sert de l’IAP non pas pour inspecter le contenu des données produites par les utilisateurs, mais bien aux fins de la classification du flux de trafic.

20. Dans un rapport présenté au CRTC, Bell reconnaît que la technologie d’IAP qu’elle utilise sur son réseau a la capacité d’inspecter le contenu, mais qu’elle ne l’utilise pas à cette fin. Voici un extrait du rapport :

Cependant, Bell Canada pourrait configurer un filtre particulier apparié à une position précise dans un paquet, afin d’isoler une communication donnée. Toutefois, Bell devrait avoir une connaissance préalable de cette information pour être en mesure de fixer les valeurs des champs et des positions à apparier. Ce type de filtre pourrait vraisemblablement être installé sur n’importe quel élément du réseau, pas seulement l’IAP. L’entreprise n’a introduit aucune configuration de la sorte dans le cadre de la solution de gestion du trafic. [traduction]

Qu’est‑ce qu’une adresse IP?

21. Une adresse IP (également appelée adresse Internet) est une adresse numérique unique (p. ex. 1.237.10.591) qui identifie un ordinateur donné sur un réseau, comme Internet. Quand l’information est transmise sur Internet, les adresses IP respectives de l’expéditeur et du destinataire sont incluses dans chaque paquet. Une adresse IP fixe identifie toujours de la même manière un ordinateur pendant chacune des sessions sur un réseau; une adresse IP dynamique peut changer à chaque nouvelle session du même ordinateur, introduisant ainsi des éléments aléatoires pour assurer un anonymat relatif. Pourtant, si aléatoires qu’elles puissent paraître, les adresses IP dynamiques contiennent souvent un identificateur invariable, comme le numéro d’utilisateur d’un abonné (attribué par le FAI), qui, en fonction du FAI et de ses systèmes d’information, peut permettre de faire le lien avec un abonné particulier.

Comment les adresses IP sont‑elles traitées quand Bell utilise l’IAP?

22. Dans le rapport que Bell a déposé auprès du CRTC, l’entreprise mise en cause décrit également la manière dont elle traite les adresses IP quand elle utilise l’IAP. Elle explique d’abord comment, dans un réseau, plusieurs paquets d’information sont regroupés en un « flux » pendant la transmission, et comment l’IAP analyse ensuite l’information contenue dans les en‑têtes des paquets et la conserve dans un « tableau de flux ». Un diagramme décrivant le tableau de flux indique clairement que, pendant ce processus, l’IAP conserve les adresses IP de l’expéditeur et du destinataire dans le tableau.

23. Dans un extrait du même rapport, Bell confirme qu’elle conserve les adresses IP : « la technologie d’IAP déployée par Bell Canada a la capacité d’identifier les adresses IP source et destination de l’expéditeur et du destinataire des communications, au moment de créer et de gérer les flux » [traduction].

24. Selon le rapport, l’utilisation normale que l’entreprise fait de l’IAP ne lui permet d’identifier que les adresses IP du trafic sur son réseau d’accès : « À elle seule […], l’IAP peut identifier l’adresse IP d’un expéditeur ou d’un destinataire quand il se trouve sur le réseau d’accès de Bell Canada, mais pas lorsqu’il se trouve sur Internet » [traduction]. Ainsi, il semble que les adresses IP d’utilisateurs que Bell peut identifier comprennent à tout le moins celles de ses propres abonnés. Par conséquent, les adresses IP de non-abonnés (c.‑à‑d. ceux qui ont un FAI différent) peuvent également être identifiées par Bell si le message du non-abonné passe par le réseau d’accès de Bell pendant la transmission de l’expéditeur au destinataire (p. ex. un message envoyé par une personne qui n’est pas abonnée à Sympatico à un abonné à Sympatico).

25. Dans le rapport, Bell poursuit et explique que la technologie lui offre également la capacité d’élargir son application :

Cette utilisation normale de l’IAP peut être supplantée au moyen d’un filtre configuré pour une destination donnée, qui peut servir à établir des flux avec n’importe quelle adresse IP de source IP se dirigeant vers une adresse IP destination filtrée (adresse IP de 32 bits complète). Cela obligerait Bell Canada à configurer l’adresse IP destination donnée pour assurer le traitement de tout flux correspondant au filtre. [traduction]

26. Cette application pourrait inclure l’inspection du contenu produit par les utilisateurs :

En théorie, l’IAP permet, sur le plan technique, d’attribuer un filtre à un emplacement particulier des données utiles du paquet, c.‑à‑d. le contenu réel […]. Cependant, il serait particulièrement difficile de mettre une telle application en pratique, puisque l’architecture actuelle de Bell Canada n’a pas été conçue pour ce type d’usage. [traduction]

27. Bell ajoute que, quand ses abonnés utilisent son réseau, elle leur attribue des adresses IP dynamiques, même si chaque numéro d’utilisateur attribué reste le même. De cette manière, un numéro d’utilisateur donné, pendant une session sur le réseau de Bell, peut être attribué à plusieurs adresses IP différentes, chacune correspondant à différentes périodes passées par l’utilisateur sur le réseau :

L’identificateur le plus proche d’un abonné que l’IAP établit et conserve présentement est un « numéro d’abonné », qui est en réalité le numéro d’utilisateur Bell Canada attribué par l’authentification du réseau pour lier un utilisateur à une adresse IP attribuée. […] L’IAP est capable de reconnaître les utilisateurs du réseau et de leur associer les adresses IP dynamiques qui leur ont été attribuées. Souvent, les adresses IP sont attribuées de manière dynamique aux fins de la facturation exacte en fonction de l’utilisation. [traduction]

28. Bell fait valoir que, de cette manière, la personne qui utilise le réseau n’est pas identifiée de manière unique — seul le dispositif qui se trouve chez le client (p. ex. son ordinateur ou son routeur) est identifié — et que, « bien que le dispositif d’IAP ne puisse pas par lui‑même établir un lien entre l’adresse IP et un utilisateur humain précis du réseau, Bell Canada peut utiliser cette information à des fins de gestion de l’utilisation de bande passante, p. ex. si un client a un plan de service d’accès à Internet précis assorti d’une limite de téléchargement » [traduction].

De quoi les clients Sympatico sont-ils informés? Ont‑ils l’occasion de donner leur consentement?

29. Bell a confirmé au Commissariat qu’elle a commencé à utiliser l’IAP en regard de ses abonnés à Sympatico à la fin de l’année 2007. Selon notre enquête, aucun élément de preuve ne démontre que Bell a informé ses clients Sympatico qu’elle allait inspecter le trafic sur son réseau. Cependant, selon le plaignant, le 28 mars 2008, Bell a informé certains de ses clients FAI de gros qu’elle avait commencé à prendre des mesures de gestion du trafic à l’égard de ses clients Sympatico.

30. D’après l’examen que le Commissariat a mené du Contrat de service – Services Bell Internet et du Contrat de service – Services Bell Internet de base (tous deux mis à jour le 11 août 2008 et disponibles sur le site Web de l’entreprise), les utilisateurs sont informés d’une manière générale de la possibilité que Bell surveille leur utilisation de ses réseaux. Plus particulièrement, voici un extrait de la clause 17 (Ce que les usagers doivent savoir) :

Vous convenez toutefois qu’il [le fournisseur de service] se réserve le droit, à l’occasion, de surveiller le service de façon électronique ou d’enquêter au sujet d’un contenu ou de l’utilisation que vous faites de ses réseaux, y compris la consommation de bande passante, et aussi de divulguer les renseignements nécessaires pour se conformer à une loi, à un règlement ou à une demande du gouvernement de tout territoire compétent, pour exploiter le service, pour se protéger ou protéger des tiers.

31. La clause 17 se poursuit ainsi :

Par les présentes, vous reconnaissez que le fournisseur de service et ses sociétés affiliées, mandataires et fournisseurs peuvent conserver et utiliser tout renseignement, commentaire ou idée que vous avez communiqué relativement au service (y compris tous les produits et services mis à disposition dans le cadre du service). Ces renseignements peuvent être utilisés afin de vous fournir un meilleur service.

32. Bell fait valoir que l’information relative à ses pratiques mise à la disposition de ses clients afin d’obtenir leur consentement est suffisante, et que l’obligation d’une organisation de recueillir, d’utiliser ou de communiquer des renseignements personnels en vertu de la Loi ne l’oblige pas à « expliquer la technologie précise qu’elle utilise à cette fin ni à obtenir le consentement aux fins de l’utilisation d’une technologie précise » [traduction].

33. L’entreprise ajoute (donnant pour exemple sa pratique d’enregistrer les appels au numéro 310‑BELL à des fins d’assurance‑qualité) qu’elle n’est pas non plus obligée d’informer les personnes des capacités existantes de la technologie qu’elle utilise, ni de toutes ses utilisations possibles futures. Cependant, la mise en cause reconnaît que si elle devait utiliser la technologie d’enregistrement des appels à l’avenir « à des fins différentes, p. ex. à des fins de marketing, elle devrait le faire conformément aux obligations imposées par la LPRPDE, c.‑à‑d. que la nouvelle fin devrait être décrite, que le consentement devrait être obtenu au préalable et que la forme du consentement dépendrait de la sensibilité de l’information. Il n’y aurait aucun consentement lié à la nature de la technologie utilisée pour ce faire » [traduction].

34. En ce qui concerne précisément la technologie d’IAP, Bell affirme que l’utilisation qu’elle en fait à des fins autres que celles qu’elle déclare présentement « serait conforme à [ses] obligations en matière de protection des renseignements personnels en vertu de la LPRPDE, à [ses] propres politiques en matière de protection des renseignements personnels et aux contrats de service avec [ses] clients qui s’appliquent » [traduction].

Bell utilise‑t‑elle d’autres moyens pour informer ses clients ou le grand public de ses activités de surveillance et de gestion du trafic?

35. Le plaignant soutient que l’information disponible sur les sites Web de Bell relativement à ses politiques et pratiques de surveillance du réseau manque de clarté et d’uniformité. Par exemple, sur le site Web de l’entreprise, une partie du document de modalités de service de Bell renvoie les lecteurs à la politique de Sympatico en matière de protection de la vie privée. Toutefois, le plaignant a allégué que l’hyperlien entre les pages Web ne fonctionnait pas.

36. Pendant l’enquête, Bell a informé le Commissariat que la politique de Sympatico en matière de protection de la vie privée n’existe plus et qu’elle a maintenant été remplacée par un Code de protection des renseignements personnels de Bell et une version abrégée d’une page de sa politique sur la protection de la vie privée. Bell a également confirmé avoir réparé l’hyperlien vers l’ancienne politique sur la protection de la vie privée, et que le contenu de la page Web avait été mis à jour. Maintenant, Bell informe ses clients qu’ils doivent cliquer sur l’hyperlien permanent Confidentialité disponible au bas de chaque page Web pour trouver les politiques pertinentes en matière de protection des renseignements personnels.

37. L’enquête a révélé que les documents ayant trait à la protection des renseignements personnels et au service Internet de Bell sont maintenant les suivants : le Code de protection des renseignements personnels de Bell (le Code); la Foire aux questions (FAQ); la Politique sur la protection de la vie privée; le Contrat de service – Services Internet Bell; le Contrat de service – Bell Internet Optimax; le Contrat de service – Bell Internet de base. Le lien Confidentialité, situé sur toutes les pages du site Web de Bell, donne accès à la page sur la confidentialité, qui fournit des hyperliens vers le Code, la FAQ et la Politique sur la protection de la vie privée.

38. Dans la FAQ, la réponse à la question 12 (« Bell Sympatico surveille‑t‑elle l’utilisation que je fais de son service? » [traduction]) indique que Bell peut surveiller des aspects de l’utilisation d’un abonné :

Bell Sympatico n’exerce aucune surveillance active de l’utilisation que vous faites du service, ni du contenu de vos courriels.

Cependant, Bell Sympatico, ainsi que le font d’autres fournisseurs de services Internet, se réserve le droit, à l’occasion, de surveiller le service de façon électronique. Dans le cadre habituel de ses activités, Bell Sympatico pourrait devoir surveiller certains aspects de l’utilisation que vous faites du service, comme votre utilisation de la bande passante ou encore le pollupostage, afin d’assurer le bon fonctionnement du service, ou pour garantir la conformité avec d’autres dispositions de nos règles d’utilisation acceptable, comme le harcèlement d’autres utilisateurs, le téléchargement, […] [traduction].

Dans cette réponse, Bell fournit des hyperliens vers les trois conventions d’utilisation d’Internet, qui comprennent également les règles d’utilisation acceptable.

39. Même si, dans ses observations datées du 15 juillet 2008, Bell soutient qu’elle préparait « l’ajout à la FAQ d’une question relative à son utilisation de la technologie d’IAP à de telles fins [c.‑à‑d. les mesures de gestion du trafic] » [traduction], soulignons qu’aucune question de cette nature n’a été ajoutée à la page de la FAQ en date de la publication du présent rapport d’enquête.

40. Le site Web de l’entreprise (www.bell.ca) fournit de l’information précise, sous forme de questions et réponses, qui explique comment et pourquoi Bell utilise la technologie d’IAP. Cette information se trouve sous la rubrique « Gestion du réseau », à laquelle on peut accéder en suivant les hyperliens suivants : Accueil/Soutien/Internet/Dépannage/Connexion lente/Gestion du réseau. Nous avons observé qu’il n’y a pas de lien direct vers cette information à partir de la FAQ ou d’autres documents liés à la confidentialité à l’intention des utilisateurs. Voici la réponse à la question finale, « Bell est‑elle autorisée à prendre ces mesures? », qui renvoie précisément les lecteurs au Contrat de service – Services Bell Internet :

Bell a la responsabilité de maximiser la capacité de tous ses clients d’utiliser leur service Internet Bell et de répartir équitablement la bande passante entre eux.

Pour s’acquitter de ces responsabilités, Bell est autorisée, aux termes du Contrat de service, à utiliser la technologie qui maintient ou améliore la performance du service et l’intégrité du réseau. [traduction]

Champ d’applicationHaut de la page Table des matières

41. Au moment de rendre notre décision, nous avons appliqué le principe 4.3, qui précise que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le paragraphe 2(1) définit un renseignement personnel comme tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé de l’organisation et des adresse et numéro de téléphone de son lieu de travail.

42. Le principe 4.3.2 ajoute que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.

43. Nous avons également appliqué le principe 4.4, qui précise que l’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées. L’organisation doit procéder à la collecte de façon honnête et licite.

44. Enfin, nous avons appliqué le principe 4.8, selon lequel une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

ConclusionsHaut de la page Table des matières

Le 13 août 2009

45. Le 24 avril 2009, j’ai publié un rapport d’enquête dans lequel je signalais que les actes de Bell n’étaient pas conformes à diverses dispositions législatives de la LPRPDE et j’ai formulé quatre recommandations, en vue d’aider l’organisation à s’acquitter de ses obligations. Bell a répondu aux recommandations.

46. Voici une traduction du texte original du rapport d’enquête :

47. En premier lieu, la question à trancher consiste à déterminer si l’information recueillie ou utilisée par Bell aux fins de l’IAP peut être considérée comme des renseignements personnels. Le Commissariat a déjà conclu qu’une adresse IP peut constituer un renseignement personnel s’il est possible de l’associer à une personne identifiable. Qui plus est, notre enquête a établi que, aux fins de la gestion du trafic sur son réseau, les dispositifs d’IAP de Bell, selon leur configuration actuelle, recueillent et utilisent l’information suivante associée à une communication donnée :

  • adresses IP;
  • numéro d’abonné/numéro d’utilisateur des clients de Bell;
  • type d’application.

48. L’enquête du Commissariat a permis d’établir que Bell attribue une adresse IP dynamique à chacun de ses abonnés à Sympatico qui se connecte au réseau. Bell a précisé qu’elle lie chaque adresse IP dynamique à un « numéro d’abonné » invariable qui peut permettre de retracer un abonné à Sympatico en particulier. Ainsi, Bell peut déterminer lequel de ses abonnés à Sympatico est associé à une adresse IP dynamique à un moment précis. Compte tenu du fait que Bell peut établir un lien entre ses abonnés à Sympatico (grâce à leur numéro d’abonné) et les activités Internet associées aux adresses IP qui leur ont été attribuées (en l’occurrence, le type d’application utilisé), je suis d’avis que, dans un tel contexte, les adresses IP constituent des renseignements personnels.

49. Le Commissariat n’a aucun élément de preuve qui indique que Bell Canada peut faire un lien entre des adresses IP qui ne sont pas associées à des abonnés à Sympatico et un abonné identifiable. Par conséquent, dans de telles circonstances, on ne peut dire que Bell recueille ou utilise des renseignements personnels en ce qui concerne les adresses IP appartenant à des personnes qui ne sont pas abonnées à Sympatico.

Connaissance et consentement

50. Dans le premier paragraphe de la clause 17 du Contrat de service – Services Bell Internet et du Contrat de service – Services Bell Internet de base, les abonnés sont informés que Bell peut surveiller l’utilisation qu’ils font de son réseau ainsi que le contenu de leurs communications. Après avoir lu cette partie du contrat de service, je considère qu’il est raisonnable de s’attendre à la possibilité que des renseignements personnels puissent être surveillés. Par conséquent, les dispositions générales du principe 4.3 semblent être satisfaites.

51. Cependant, les questions qui consistent à déterminer si les personnes sont clairement informées des fins auxquelles les renseignements seront utilisés et si elles ont donné un consentement éclairé — comme l’exige le principe 4.2.3. — posent problème. Par exemple, le texte du deuxième paragraphe de la clause 17 renvoie à la conservation et à l’utilisation de renseignements par plusieurs parties autres que Bell (p. ex. « sociétés affiliées, mandataires et fournisseurs » [traduction]), et est suivi d’une description ouverte du type de renseignements qui pourraient être conservés et utilisés par ces parties. Lorsque ce texte est jumelé au but de la conservation et de l’utilisation des renseignements, qui est très large (« afin de vous fournir un meilleur service » [traduction]), le message final est vide de sens, et je suis d’avis que la moyenne des gens ne serait pas en mesure de comprendre comment leurs renseignements personnels pourraient être utilisés ou communiqués. À ce chapitre, j’estime que les exigences du principe 4.3.2 n’ont pas été satisfaites. Qui plus est, il n’est pas clair dans quelle mesure le deuxième paragraphe de la clause 17 renvoie à l’utilisation que Bell fait de l’IAP. Voilà qui pose problème, compte tenu du fait que Bell soutient ne pas communiquer de renseignements personnels à de tierces parties dans le cadre de son utilisation déclarée de l’IAP.

52. Bien que la fin déclarée pour laquelle Bell utilise l’IAP soit présentement limitée, Bell a affirmé que toute nouvelle utilisation de l’IAP serait conforme aux contrats de service avec ses clients qui s’appliquent. La clause 17 du Contrat de service – Services Bell Internet et du Contrat de service – Services Bell Internet de base précise que la mise en cause se réserve le droit de « surveiller […] ou d’enquêter au sujet d’un contenu » [traduction]. En théorie, Bell pourrait s’appuyer sur une telle disposition contenue dans ses contrats de service, en plus des déclarations concernant la communication de renseignements personnels susmentionnées au paragraphe 49, pour élargir son utilisation actuelle de l’IAP sans chercher à obtenir le consentement explicite des utilisateurs.

53. Cependant, je suis d’avis que l’information contenue à la clause 17 est insuffisante pour permettre aux clients de Bell de donner un consentement éclairé à d’éventuelles utilisations élargies de l’IAP. Par conséquent, le fait de s’appuyer sur la clause 17 pour justifier l’utilisation élargie de l’IAP constituerait une violation de la Loi. Pour cette raison, je m’attends à ce que Bell ne s’adonne pas à de nouvelles utilisations de l’IAP sans prendre les mesures nécessaires pour en informer clairement ses clients.

Collecte limitée

54. En troisième lieu, la question consiste à déterminer si, aux termes du principe 4.4, Bell recueille davantage d’information qu’il n’est nécessaire pour réaliser son objectif d’assurer l’intégrité de son réseau et la qualité du service. Je suis d’avis que le fait de gérer le trafic sur le réseau en ciblant les applications de partage de fichiers poste à poste afin d’assurer une répartition adéquate de la bande passante et la qualité du service Internet de ses clients constitue un objectif d’affaires acceptable pour un FAI.

55. Au moment de la publication du présent rapport, je ne suis pas convaincue que Bell recueille ou utilise des renseignements personnels autres que les adresses IP et numéros d’abonné des clients Sympatico quand elle utilise sa technologie d’IAP aux fins de la gestion du trafic sur le réseau. Pour cette raison, le principe 4.4 n’a pas été enfreint.

56. Néanmoins, je suis consciente que les plateformes d’IAP ont la capacité de permettre à une organisation de visualiser de l’information d’une nature qui pourrait être particulièrement sensible — pour des raisons qui pourraient être différentes et si l’organisation devait appliquer les configurations appropriées. Bell a déclaré que la plateforme d’IAP qu’elle utilise possède cette capacité, mais que, à l’heure actuelle, elle ne l’utilise pas à cette fin. Elle a également assuré le Commissariat que toute nouvelle fin pour laquelle elle utilise actuellement l’IAP se conformerait aux obligations de l’entreprise en matière de protection des renseignements personnels aux termes de la Loi, à ses propres politiques de protection des renseignements personnels et aux contrats de service avec ses clients qui s’appliquent.

Transparence

57. Finalement, en ce qui concerne le principe 4.8, la question consiste à déterminer si Bell informe ses clients de manière adéquate de ses politiques et de ses pratiques concernant la collecte et l’utilisation de leurs renseignements personnels quand l’entreprise utilise l’IAP.

58. J’ai plusieurs préoccupations précises à ce chapitre. Tout d’abord, l’information que Bell met à la disposition de ses clients concernant ses pratiques de gestion du trafic et l’utilisation qu’elle fait de leurs renseignements personnels à cette fin est présentée d’une manière fragmentée sur le site Web de l’entreprise et n’est pas facilement accessible. Plutôt que d’être intégrée dans la page « Confidentialité » dont le lien apparaît sur chaque page du site, l’information essentielle sur la gestion des renseignements personnels est fragmentée et répartie dans trois sources différentes : la question 12 de la FAQ, les contrats de service et la relativement obscure page Web « Gestion du réseau ». Ce sont ces deux dernières sources qui donnent le plus d’information aux fins du consentement des clients, mais ce sont également celles qui sont les moins accessibles. De même, la FAQ ne contient aucune question sur l’utilisation que Bell fait de la technologie d’IAP aux fins de la gestion du trafic.

59. La réponse que donne Bell à la question « En quoi consiste l’inspection approfondie des paquets (IAP) et quel est son rôle dans la gestion du trafic Internet? », située sur la page « Gestion du réseau », n’est pas exacte. L’enquête du Commissariat a révélé que, au moyen de la technologie d’IAP, Bell recueille des adresses IP et peut les associer au numéro d’abonné de ses propres abonnés à Sympatico; je suis d’avis qu’il s’agit là de « renseignements personnels ».

60. Par conséquent, aux termes des dispositions de la Loi, toute information que Bell présente concernant les fins et la portée de ses pratiques de gestion du trafic devrait être exacte, compréhensible, intégrée et plus facilement accessible. Tant que ces problèmes ne seront pas corrigés, le principe 4.8 ne sera pas respecté.

Recommandations tirées du rapport d’enquêteHaut de la page Table des matières

61. Dans mon rapport d’enquête, j’ai formulé les recommandations suivantes relatives à la transparence :

  1. Que Bell précise la mesure dans laquelle le deuxième paragraphe de la clause 17 des contrats de service Internet renvoie à ses pratiques de gestion du trafic;
  2. Que Bell intègre ses politiques et ses pratiques (sur le site Web et dans des documents imprimés) concernant sa gestion du trafic en une forme qui est exacte ainsi qu’aisément identifiable, accessible et compréhensible;
  3. Que Bell rédige et ajoute une question à la FAQ de sa page Confidentialité à laquelle elle répond en expliquant ses pratiques de gestion du trafic et leur incidence sur la protection des renseignements personnels de ses clients;
  4. Que Bell révise la réponse à la question « En quoi consiste l’inspection approfondie des paquets (IAP) et quel est son rôle dans la gestion du trafic Internet? » qui se trouve sur la page « Gestion du réseau » de son site Web. La réponse devrait indiquer que des renseignements personnels sont recueillis.

Réponses de Bell aux recommandationsHaut de la page Table des matières

62. Bell a répondu aux recommandations du Commissariat.

63. Premièrement, en ce qui concerne notre recommandation de préciser le second paragraphe de la clause 17 du Contrat de service – Services Bell Internet (clause 14 du Contrat de service – Services Bell Internet de base), Bell a confirmé que cette partie de la clause ne renvoie pas à ses pratiques de gestion du trafic. Bell a précisé qu’elle s’applique plutôt aux commentaires portant sur le service que ses abonnés publient sur les babillards Bell ou dans des forums en ligne, par exemple. Néanmoins, je demande à Bell d’indiquer plus clairement aux utilisateurs l’objet de cette partie de la clause, en ajoutant une rubrique soulignée (p. ex. « Information sur le service à la clientèle ») au début du deuxième paragraphe de cette clause. Nous ferons un suivi auprès de Bell dans les 30 jours afin de vérifier ce qu’il en est relativement à la présente demande.

64. Deuxièmement, en ce qui concerne notre recommandation à Bell de revoir la manière dont elle organise et affiche ses politiques et ses pratiques sur la gestion du trafic sur son site Web et sous forme imprimée, l’organisation a répondu que toute l’information sur ses politiques de gestion du trafic est disponible à une seule et même adresse URL (« Gestion du réseau »). Qui plus est, Bell a indiqué que les utilisateurs peuvent se rendre à cette URL de différentes manières à partir de la page d’accueil www.bell.ca (p. ex. fonction de recherche, hyperlien « Notre engagement » situé au bas de chaque page, page « Mon utilisation Internet »). Ainsi, le principe 4.8 a été respecté.

65. Troisièmement, en réponse à notre recommandation de préparer et d’ajouter une FAQ sur les pratiques de gestion du trafic de Bell et leur incidence sur la protection des renseignements personnels de ses clients, Bell a répondu qu’elle a l’intention d’ajouter une FAQ au www.bell.ca/confidentialite quand l’issue de la présente plainte sera connue. Par conséquent, Bell a proposé l’ébauche d’une question et de sa réponse. J’ai examiné cette ébauche et je recommande que la réponse soit révisée. Je suis d’avis que la réponse ne décrit pas de manière complète l’incidence des pratiques de gestion du trafic sur la protection des renseignements personnels des utilisateurs, particulièrement en ce qui concerne la collecte des adresses IP, qui constituent selon nous des renseignements personnels des abonnés à Sympatico.

66. Cela étant dit, dans l’ébauche de la réponse à la question de la FAQ, je note avec bonheur la présence d’un hyperlien direct vers l’URL « Gestion du réseau »; c’est une passerelle essentielle pour les personnes qui commencent leur recherche sur le site Web pour en savoir plus sur l’IAP du point de vue de la protection des renseignements personnels des utilisateurs; le lien les aiguille vers des renseignements plus précis sur l’utilisation que fait Bell de l’IAP (du point de vue de la performance du réseau). L’établissement d’un lien entre ces deux URL apporte également réponse à notre deuxième recommandation, c’est‑à‑dire l’amélioration de l’ensemble de l’organisation et de l’affichage de l’information à ce sujet disponible sur le site Web de Bell.

67. En ce qui concerne notre quatrième recommandation, que Bell revoie la réponse à la question « En quoi consiste l’inspection approfondie des paquets (IAP) et quel est son rôle dans la gestion du trafic Internet? » (dans l’URL « Gestion du réseau ») de façon à indiquer que les renseignements personnels des abonnés à Sympatico sont recueillis sous la forme d’une adresse IP, Bell ne s’est pas conformée. Bien que Bell reconnaisse qu’elle utilise les adresses IP et qu’elle établit un lien entre ces dernières et les numéros d’utilisateur de ses abonnés à des fins de gestion de l’encombrement sur le réseau, elle estime que la brève durée du processus de gestion du trafic fait en sorte qu’il « n’y a pas de "collecte" à proprement parler des adresses IP liées au numéro d’utilisateur des abonnés dans ce contexte donné » [traduction]. Bell ajoute que les adresses IP « ne sont pas conservées plus longtemps qu’il ne le faut pour appliquer la politique précise de gestion du trafic » et que « Bell ne peut à aucun moment examiner le compte d’un abonné pour savoir si son application de partage de fichiers poste à poste fait l’objet de lissage de trafic à un moment précis » [traduction].

68. Selon moi, Bell recueille et utilise les adresses IP. Cependant, rien ne nous permet de conclure que ces adresses sont conservées après avoir servi aux fins de la gestion en temps réel du trafic.

69. La Loi ne précise pas les périodes minimales nécessaires pour juger qu’une collecte d’information a eu lieu. Cependant, par le passé, le Commissariat a toujours interprété l’utilisation prévue par la Loi du verbe « recueillir », dans le contexte de la collecte de renseignements personnels, comme la description d’un acte visant à amasser cette information, pour quelque durée que ce soit, habituellement en vue d’utiliser l’information à une fin donnée. Le fait que l’organisation décide de ne pas conserver l’information par la suite ne change rien au fait que les renseignements ont été recueillis en premier lieu.

70. Ainsi, je ne peux admettre l’affirmation de Bell selon laquelle elle ne recueille pas les adresses IP liées au numéro d’utilisateur des abonnés. Puisque Bell n’a pas mis en œuvre notre quatrième recommandation, le principe 4.8 n’est pas respecté.

Autres commentaires de BellHaut de la page Table des matières

71. Bell a également fait des commentaires sur l’usage que le Commissariat a fait de certains termes dans son rapport d’enquête, ainsi que sur ce qu’elle percevait être le manque de détails avec lequel le Commissariat décrivait parfois certains des faits. Après avoir examiné attentivement ces commentaires, je suis d’avis que, de manière générale, le rapport d’enquête rendait compte de façon exacte de l’enquête menée par le Commissariat, et que la manière dont nous avons choisi de décrire un enjeu technique et complexe (nous permettant ainsi de joindre un lectorat plus large) n’a eu, au bout du compte, aucune incidence sur nos recommandations ou nos conclusions.

72. Cela étant dit, nous pourrions préciser la description que nous présentons au paragraphe 5 de la manière dont l’information est transmise par Internet en retirant l’expression entre parenthèses « ou les "données utiles" » puisque, ainsi que Bell nous l’a signalé, il pourrait y avoir plus d’un ensemble de données utiles lorsqu’il y a plusieurs couches de protocole consécutives. Cependant, pour l’analyse finale, les notions de données utiles et de couches de protocole n’étaient pas essentielles aux recommandations ou aux conclusions de notre enquête.

73. En ce qui concerne l’allégation du plaignant relativement à un hyperlien non fonctionnel entre le document de modalités de service de Bell et la politique de Sympatico en matière de protection de la vie privée (paragraphes 35 et 36), Bell a fait valoir que cet enjeu continuait de poser problème. Afin de démêler tout cela, Bell a proposé ce qui suit :

le plaignant a confondu les modalités du portail Sympatico.MSN (www.sympatico.msn.ca), un portail généraliste qui n’a rien à voir avec les services d’accès à Internet offerts par Bell et l’utilisation de la technologie d’IAP, et le site Web principal des services de Bell, www.bell.ca. […] Cependant, dans les Modalités de service Sympatico.MSN, il y avait un hyperlien non fonctionnel qui a été réparé depuis. […] Qui plus est, Bell a expliqué qu’une version antérieure des Modalités de service Sympatico.MSN continuait à renvoyer à la Politique de Bell sur la protection de la vie privée, un document simplifié à l’intention des clients qui était joint au Code de protection de renseignements personnels de Bell. Bell a confirmé que la Politique de Bell sur la protection de la vie privée n’existe plus et qu’elle a été remplacée par un énoncé d’une page sur la protection des renseignements personnels et une FAQ complète, accessible à partir des pages sur la confidentialité de Bell, mises à jour au besoin. Elle a également confirmé que l’hyperlien vers l’ancienne politique de Bell sur la protection de la vie privée, dont le plaignant alléguait qu’il était non fonctionnel, a été réparé et que le contenu de la page Web a été mis à jour. [traduction]

Ainsi, les circonstances entourant l’hyperlien non fonctionnel ont été expliquées.

74. Enfin, en ce qui concerne la question visant à déterminer si les clients de Bell, avant la mise en œuvre de la technologie d’IAP, ont été avisés que le trafic Internet sur le réseau qu’ils utilisent allait être inspecté, Bell a fourni d’autres observations. La mise en cause soutient avoir publié sur son site Web www.bell.ca un avis intitulé « Gestion du réseau » le 4 octobre 2007, soit avant le début du déploiement de l’IAP pour ses clients Sympatico, à la mi‑octobre. Selon Bell, l’avis était libellé ainsi :

Afin de continuer à offrir un service d’une grande qualité à tous nos clients, Bell peut être appelée à gérer son réseau de façon à empêcher tout client ou service ou toute application d’utiliser une largeur de bande excessive, ce qui pourrait nuire à l’utilisation satisfaisante du service par d’autres clients. Pour offrir un service de qualité supérieure de façon continue à tous ses clients, Bell utilise cette solution pour garantir une expérience uniforme et fiable à toute sa clientèle qui se sert d’applications sensibles à la transmission en temps réel, telles que la navigation sur le Web et la messagerie instantanée. D’autres fournisseurs au Canada ont mis en œuvre des mesures similaires. Il convient de souligner que toutes les applications en ligne continueront d’être disponibles pour nos clients. [traduction]

Cette nouvelle information n’a pas d’incidence sur les recommandations ou les conclusions de notre enquête.

ConclusionHaut de la page Table des matières

75. Par conséquent, la plainte n’est pas fondée en ce qui concerne les questions du consentement et de la limitation de la collecte, mais est fondée en ce qui concerne la transparence.

76. Nous effectuerons un suivi auprès de Bell dans les 30 jours pour vérifier ce qu’il advient des demandes suivantes :

  • la rubrique soulignée à ajouter au paragraphe des contrats de service susmentionnés (dans la clause 17 ou la clause 14) relative à la conservation ou à l’utilisation de renseignements provenant des commentaires publiés par les abonnés;
  • la réponse à la question de la FAQ sur la confidentialité en ce qui concerne l’incidence des pratiques de gestion du trafic de Bell sur la protection des renseignements personnels de ses clients;
  • les révisions suggérées à la réponse à la question : « En quoi consiste l’inspection approfondie des paquets (IAP) et quel est son rôle dans la gestion du trafic Internet? », qui se trouve sur la page « Gestion du réseau » du site Web de Bell, pour indiquer que des renseignements personnels sont recueillis.

77. Enfin, dans son rapport déposé auprès du CRTC, Bell a confirmé qu’elle n’introduit pas de configurations d’IAP, dans le cadre de sa solution de gestion du trafic, qui permettraient à l’organisation d’inspecter le contenu des communications que les utilisateurs transmettent sur son réseau. Bell a également expliqué sa position relativement à ses obligations en matière de transparence quand elle choisit une technologie en particulier. En donnant l’exemple de sa technologie d’enregistrement des appels au numéro 310‑BELL, Bell a reconnu que, si elle devait utiliser cette technologie à l’avenir, « […] à des fins différentes, p. ex. à des fins de marketing, elle devrait le faire conformément aux obligations imposées par la LPRPDE, c.‑à‑d. que la nouvelle fin devrait être décrite, le consentement devrait être obtenu au préalable et que la forme du consentement dépendrait de la sensibilité de l’information. Il n’y aurait aucun consentement lié à la nature de la technologie utilisée pour ce faire » [traduction].

78. De même, je m’attends à ce que, conformément au principe 4.4 de la Loi, toute utilisation élargie de la technologie d’IAP faite par Bell, d’une telle manière que des renseignements personnels sont recueillis, utilisés ou communiqués à des fins autres que celle de gérer le trafic sur le réseau, fasse l’objet d’un consentement renouvelé, valable et éclairé des personnes concernées. De plus, conformément au principe 4.8, l’organisation devrait faire en sorte de rendre facilement accessible à toute personne des renseignements précis portant sur tout changement à ses politiques et ses pratiques de gestion des renseignements personnels.