Autres publications

Examen des pratiques de gestion du trafic Internet des fournisseurs de services Internet

Soumission du Commissariat à la protection de la vie privée du Canada à l'intention du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC)

En novembre 2008, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a entamé une instance publique afin d’examiner les pratiques de gestion du trafic Internet des fournisseurs d’accès Internet (FAI).

Le CRTC a demandé à recevoir les observations écrites au plus tard le 23 février 2009. Une consultation publique est prévue en juillet 2009. Le Commissariat profite de l’occasion pour participer à la discussion publique au sujet de la protection des renseignements personnels sur Internet.

Le CRTC et le Commissariat à la protection de la vie privée du Canada ont des rôles législatifs complémentaires en matière de protection de la vie privée. Le mandat du CRTC en vertu de la Loi sur les télécommunications inclut expressément de contribuer à la protection de la vie privée des personnes dans le cadre de la politique canadienne sur les télécommunications. L’observation du Commissariat est faite en vertu de notre mandat législatif de protéger le droit à la vie privée des personnes, de favoriser la compréhension de la vie privée au sein de la population et de promouvoir les mécanismes de protection de la vie privée offerts aux Canadiens. La présentation du Commissariat met l’accent sur les répercussions sur la vie privée associées au recours potentiel à l’inspection approfondie des paquets (IAP).

Le 18 février 2009

M. Robert A. Morin
Secrétaire général
Conseil de la radiodiffusion et des télécommunications canadiennes
Ottawa (Ontario)
K1A 0N2

Objet : Avis public de télécom CRTC 2008-19 – Examen des pratiques de gestion du trafic Internet des fournisseurs de services Internet; Référence du CRTC : 8646-C12-200815400

Monsieur,

1. Le 20 novembre 2008, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a amorcé une instance publique en vue d’examiner les pratiques de gestion du trafic Internet relatives aux services Internet de gros et de détail. Dans son avis public de consultation et d’audience, le CRTC a invité les parties à formuler des commentaires sur des questions et sujets en particulier qu’il avait cernés dans une série de demandes de renseignements.
2. Le 16 décembre 2008, le Commissariat à la protection de la vie privée du Canada (CPVP) a informé le CRTC de son intention de participer à l’instance parce qu’il juge qu'elle soulève d'importantes questions en ce qui concerne la protection des renseignements personnels sur Internet.
3. Le CPVP formule ces observations en tant que partie intéressée à l’instance, conformément à son mandat législatif de protéger le droit à la vie privée des personnes et de promouvoir les mesures de protection de la vie privée offertes aux Canadiennes et aux Canadiens¹.
4. Les observations du CPVP dans le cadre de cette instance ciblent les conséquences sur la protection de la vie privée des pratiques de gestion du trafic Internet des fournisseurs de services Internet (FSI). Plus particulièrement, les commentaires du CPVP touchent des préoccupations en matière de protection de la vie privée quant au recours éventuel à l'inspection approfondie des paquets (IAP).
5. Nos observations porteront sur les points suivants :

   I. Le mandat et la mission du Commissariat à la protection de la vie privée du Canada

   II. L’intervention du CPVP dans les questions relatives à la protection de la vie privée et à la technologie d'inspection approfondie des paquets

   1. Plaintes et enquêtes en cours
   2. Recherche et publications

   III. L’inspection approfondie des paquets et son incidence possible sur la protection de la vie privée

   IV. Réponses aux demandes de renseignements :

   6a) Conséquences du recours à l'IAP sur la protection de la vie privée et objectifs en matière de politique de la Loi sur les télécommunications
   8a) Initiatives d’autres administrations relatives à la protection de la vie privée et aux pratiques de gestion du trafic Internet à l’aide de l’IAP;
   8b) L’applicabilité possible d’initiatives relatives à la protection de la vie privée et au recours à l'IAP au Canada.

I. Le mandat et la mission du Commissariat à la protection de la vie privée du Canada

6. Les rôles du CRTC et du CPVP prévus par la loi se complètent en ce qui a trait à la protection de la vie privée². Le CRTC a compétence sur les questions touchant la vie privée qui découlent des activités des réseaux télécommunications³. Son mandat, selon la Loi sur les télécommunications⁴, comprend précisément le fait de contribuer à la protection de la vie privée des personnes en vertu de la politique canadienne de télécommunication.  
7. Le CPVP a pour mandat de surveiller la conformité à la Loi sur la protection des renseignements personnels⁵, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, de même qu'à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)⁶, la loi fédérale sur la protection des renseignements personnels dans le secteur privé. La LPRPDE vise les organisations qui recueillent, utilisent et communiquent des renseignements personnels dans le cadre de leurs activités commerciales⁷. Elle vise également les renseignements personnels des clients et employés des entreprises fédérales, comme les entreprises de télécommunications⁸. La LPRPDE considère donc les FSI de deux façons : comme des opérateurs de réseaux de télécommunications et comme des employeurs.
8. Le CPVP a pour mission de protéger et de promouvoir le droit des personnes à la vie privée. À cette fin, il cherche des occasions de favoriser la sensibilisation et l’éducation du public à l’égard des droits et obligations en matière de protection de la vie privée par l’entremise de la participation des institutions et organismes fédéraux, du secteur privé, d'un large éventail d'autres intervenants intéressés ainsi que du public en général.
9. En présentant au CRTC ses observations concernant la protection de la vie privée et l’IAP, le CPVP vise à s’acquitter de son mandat et à remplir sa mission.

II. L’intervention du CPVP dans les questions relatives à la protection de la vie privée et à la technologie de l'inspection approfondie des paquets

i) Plaintes et enquêtes en cours

10. Au moment de la présente soumission, le CPVP avait reçu quelques plaintes en vertu de la LPRPDE liées à l'IAP. Ces plaintes font actuellement l’objet d’une enquête. Le Commissariat n’a formulé aucune conclusion et aucun règlement entre les parties n’est encore survenu.

ii) Recherche et publications

11. Le CPVP effectue des recherches continues relativement aux conséquences de l’IAP et de la restriction des services d’accès Internet sur la protection de la vie privée, sur les plans légal, politique et technique. Le blogue officiel du CPVP a publié des commentaires sur la question⁹. Le Commissariat publiera prochainement une série d‘essais sur la protection de la vie privée et l’IAP rédigés par des spécialistes du sujet ainsi que de la loi sur les télécommunications, de la technologie et des sciences sociales. Un site Web interactif sera lancé en même temps dans le but de faciliter la discussion avec le public ainsi que son éducation. Le CPVP poursuivra le dialogue avec des spécialistes dans le domaine, et continuera d’étudier des façons d’accroître la protection de la vie privée sur Internet. 

III. L’inspection approfondie des paquets et son incidence possible sur la protection de la vie privée

12. L’inspection approfondie des paquets (IAP) consiste en une forme de filtrage de paquets sur un réseau d’ordinateurs. L’IAP existe depuis plusieurs années et tire sa source de la sécurité de la technologie de l’information. Elle visait d’abord à examiner les données et les sections de l’en-tête d’un paquet au moment du passage à un point d’inspection, à la recherche d’indicateurs de non-respect du protocole, de virus ou d’autres programmes malveillants, de pourriels et d’autres formes d’intrusion. L’IAP permet également le forage de données Internet, l’écoute clandestine et l’interception légale, la censure, l’application de la législation en matière de droit d’auteur et l’optimisation du trafic des réseaux (p. ex. la qualité du service et les services prioritaires). Les technologies d’IAP soulèvent des inquiétudes sur le plan de la protection de la vie privée, entre autres parce qu’elles peuvent entraîner l'inspection du contenu de l’information transmise entre utilisateurs finaux, permettant ainsi à de tierces parties de tirer des conclusions au sujet de la vie, des champs d’intérêt et des activités des utilisateurs.
13. Les instruments servant à l’IAP ont la capacité de scruter de la couche 2 (couche liaison) à la couche 7 (couche d’application) du modèle d‘interconnexion de systèmes ouverts (OSI)¹⁰. Ils peuvent par conséquent examiner les en-têtes et les structures de protocole de données en plus des données utiles actuelles du message. En d’autres mots, la technologie d’IAP permet de prendre connaissance du contenu d'un message envoyé par Internet. Voici un exemple concret : le recours à l'IAP s'apparente à une tierce partie qui ouvre une enveloppe envoyée par courrier de surface et qui en lit le contenu avant qu’elle ne parvienne à son réel destinataire. Cette capacité d’examiner les paquets dans leur entièreté rend possible la détection de certaines attaques que les systèmes de détection et de prévention des intrusions ainsi que les pare-feu traditionnels n'arrivent pas à déceler. En plus d'aider à prévenir les attaques de virus et de vers au débit de la connexion (efficacement, en temps réel), l’IAP peut aussi s'avérer efficace contre d’autres menaces à la sécurité, notamment des attaques touchant le dépassement de tampon, des attaques de déni de service et des intrusions subtiles.
14. L’IAP cible et classe le trafic en fonction d’une base de données de signatures qui comprend des renseignements extraits des données faisant partie d’un paquet, permettant un contrôle plus serré que la classification fondée seulement sur des renseignements contenus dans les en-têtes (souvent appelée inspection superficielle ou dynamique des paquets). Un paquet classé peut être redirigé, marqué/étiqueté, bloqué ou abandonné, contrôlé sur le plan du transfert et, bien sûr, signalé à un agent responsable du réseau.
15. Les inquiétudes du CPVP relatives à la protection de la vie privée portent essentiellement sur quatre utilisations proposées de l’IAP :
    1. Publicité ciblée axée sur les habitudes de navigation des internautes;
    2. Balayage du trafic Internet pour déceler du contenu indésirable ou illégal, comme des pourriels, une distribution non autorisée de matériel visé par un droit d'auteur ou encore du matériel haineux ou obscène; 
    3. saisie et enregistrement de paquets sélectifs à des fins de surveillance de l’application de la loi;
    4. surveillance des volumes de trafic afin de mesurer le rendement du réseau et de planifier en vue de futurs investissements touchant les installations. 
16. Le CPVP se préoccupe de la collecte, de l’utilisation et de la communication des renseignements personnels des usagers à leur insu et sans leur consentement et, dans certains cas, en l’absence d’autorité légitime. La conservation et la sauvegarde appropriée des renseignements personnels obtenus à l'aide de l’IAP demeurent une question en matière de protection de la vie privée à laquelle s'intéresse le CPVP.

IV.  Réponses aux demandes de renseignements :

6a) Conséquences du recours à l'IAP sur la protection de la vie privée et objectifs en matière de politique de la Loi sur les télécommunications

17. La protection de la vie privée est souvent considérée comme un droit fondamental de la personne, et sans doute le droit duquel plusieurs autres importantes libertés sont issues : l’autonomie et la prise de décision individuelles, la liberté d’expression, la liberté d‘association et la liberté de pensée¹¹. Historiquement, le droit canadien n’a pas autorisé de surveillance simplement en raison des capacités technologiques accrues. Les sanctions du Code criminel, jointes aux exigences des lois en matière de protection de la vie privée, ont imposé de sévères restrictions aux mesures gouvernementales et aux pratiques du secteur privé en ce qui concerne l’accès aux renseignements privés¹².
18. La protection de la vie privée ne se résume pas à un droit individuel, c’est un bien collectif qui rend compte des décisions que nous avons prises comme peuple sur le mode de vie en société auquel nous aspirons. Ces valeurs sont reflétées dans les lois relatives à la protection de la vie privée partout au pays, dans la Charte canadienne des droits et libertés¹³ ainsi que dans les objectifs en matière de politique de la Loi sur les télécommunications 1993, ch. 38 T-3.4.
19. L’un des objectifs en matière de politique en vertu de la Loi consiste à protéger la vie privée des personnes et leurs communications. Cette politique est énoncée aux alinéas 7a) et i) :

    7. La présente loi affirme le caractère essentiel des télécommunications pour l’identité et la souveraineté canadiennes; la politique canadienne de télécommunication vise à :

    a) favoriser le développement ordonné des télécommunications partout au Canada en un système qui contribue à sauvegarder, enrichir et renforcer la structure sociale et économique du Canada et de ses régions;

i) contribuer à la protection de la vie privée des personnes.

20. Les Canadiens figurent parmi les utilisateurs les plus avides d’Internet dans le monde¹⁴, passant en moyenne 17 heures par semaine en ligne¹⁵. Quarante pour cent des utilisateurs affirment visiter un site communautaire ou de réseautage social afin d’interagir et de socialiser avec des membres de leur famille et des amis¹⁶. Ils utilisent aussi Internet pour s’initier à des questions politiques et sociales : un peu plus de la moitié des utilisateurs d'Internet à domicile âgés de 18 ans et plus ont affirmé qu'ils lisaient des journaux ou des magazines en ligne concernant une question sociale ou politique particulière¹⁷. Une étude de Statistique Canada datant de 2007 a montré que les Canadiens avaient dépensé en un an près de 12,8 milliards de dollars en ligne, la vaste majorité ayant effectué des paiements par Internet à l’aide d’une carte de crédit ou de débit pour une partie ou la totalité de leurs commandes et achats¹⁸. Étant donné que les Canadiens consacrent une importante part de leur vie personnelle et professionnelle en ligne, il nous semble impératif que leur vie privée soit protégée lorsqu’ils utilisent Internet.
21. Nous soumettons respectueusement qu'afin de promouvoir les objectifs en matière de protection de la vie privée énoncés dans la Loi, il faudrait que les politiques sur les télécommunications, les décisions et la réglementation concernant les pratiques de gestion du trafic Internet en général, et l’IAP en particulier, tiennent compte de la nature potentiellement invasive de la technologie d’IAP de même que de la manière dans laquelle les FSI l’ont mise en œuvre (p. ex. sans préavis, consentement, etc.).

    Le recours à l’IAP soulève un certain nombre de questions relatives à la vie privée :

    1. Quels sont les usages appropriés de l’IAP?
    2. À quel moment l’IAP doit-elle être activée, et selon quelle autorité?
    3. Quels processus et contrôles de gestion de l’information doivent être utilisés par les organisations qui ont recours à la technologie d’IAP ou les tierces parties qui ont accès à cette information?
    4. Quelles devraient être les exigences relatives à ce qui suit :
       1. Informer le client quant à l’utilisation de l’IAP;
       2. Les choix des clients quant à l’utilisation de l’IAP à des fins de sécurité;
       3. Les choix des clients quant à l’utilisation de l’IAP aux fins de la vente de données de profilage à des tierces parties.
    5. Quels renseignements susceptibles d’être examinés dans le cadre de l’IAP constituent des renseignements personnels et sont par conséquent protégés par la législation relative à la protection de la vie privée¹⁹?
    6. Devrait-on tenir compte de la pertinence des décisions sous-jacentes relatives à la conception, étant donné que l’exploitation des faiblesses entraîne le besoin d’une IAP?

    8 a) Initiatives d’autres administrations relatives à la protection de la vie privée et aux pratiques de gestion du trafic Internet à l’aide de l’IAP

    22. Aux États-Unis, le sous-comité des télécommunications et de l’Internet du comité permanent de l’énergie et du commerce a tenu en juillet 2008 une audience sur les fournisseurs de large bande et leur recours à l’IAP à des fins de publicité comportementale. Le président Edward Markey a fait valoir ce qui suit :

    [Traduction] « Du point de vue de la protection de la vie privée, étant donné la grande sophistication de la capacité de la technologie et la sensibilité évidente des renseignements personnels qui peuvent être tirés de l’utilisation du Web par un consommateur, je suis d’avis que les fournisseurs de large bande qui ont recours à des technologies d’inspection approfondie des paquets doivent adopter des politiques claires en matière de protection de la vie privée. Selon moi, les consommateurs ont droit, à tout le moins, à ce qui suit : 1) un avis clair et sans ambiguïté au sujet de l’utilisation de l’inspection approfondie des  paquets que fera le fournisseur de large bande; 2) un consentement explicite « avec acceptation » pour une telle utilisation; 3) aucune surveillance ou interception de données des consommateurs qui ne consentent pas à cette utilisation²⁰. »

    23. En septembre 2008, la Network Advertising Initiative (NAI), une association de l’industrie de la publicité en faveur de l’autoréglementation de la publicité en ligne, a fait saloir qu’elle appuyait l’établissement d’une norme d’acceptation pour les cas où l’IAP est utilisée par les FSI à des fins de publicité comportementale²¹. Le directeur exécutif de la NAI, Trevor Hughes, a déclaré ce qui suit :

    [Traduction] « Le modèle comportemental des FSI doit prévoir des protections supplémentaires afin de veiller à ce que les consommateurs gardent le contrôle de leur expérience de navigation. À la lumière de cette différence fondamentale entre la façon dont l’avis et le choix peuvent être offerts aux consommateurs, nous approuvons les récentes déclarations de la Commission fédérale du commerce à l’effet que la publicité comportementale provenant des FSI diffère des formes de publicité comportementale provenant des diffuseurs²². »

    24. La Commission fédérale des communications des États-Unis (FCC) a rendu un jugement sur les pratiques de gestion de réseau de Comcast Corporation, un fournisseur de services Internet, qui avait recours à l’IAP et aux paquets à fausse indication de réinitialisation (false reset packets) à des fins de gestion du trafic relatif aux applications poste à poste (P2P). Selon l’ordonnance, la FCC était d’avis que la pratique discriminatoire et arbitraire de l’entreprise éliminait indûment les avantages dynamiques d’une connexion Internet ouverte et accessible et ne constituait pas une gestion raisonnable du réseau. De plus, elle était d’avis que le défaut de Comcast de faire part de sa pratique aux clients avait ajouté au préjudice²³.
    25. La FCC a jugé que le niveau de divulgation de Comcast à ses clients était inadéquat et que ceux-ci n’étaient pas raisonnablement en mesure de savoir que les applications P2P faisaient l’objet de discrimination²⁴.
    26. La FCC était également d’avis que les pratiques de Comcast ne se limitaient pas à une intrusion minime, mais étaient plutôt invasives et associées à de lourdes conséquences²⁵. Elle a de plus fait valoir que Comcast avait recours à l’IAP pour surveiller ses consommateurs et acheminer les communications électroniques en fonction de leur contenu et non de l’adresse²⁶.
    27. On a mentionné que Comcast avait fourni à la FCC un nouveau plan de gestion du trafic du réseau fondé sur l’inspection superficielle des paquets (shallow packet inspection), selon lequel le trafic est non pas mesuré en fonction du type d’application utilisée, mais bien en fonction de la congestion au sein du voisinage immédiat d’une personne et de la bande passante qu’elle utilise²⁷. Par conséquent, nous souhaitons souligner que d’autres administrations ont trouvé des méthodes moins intrusives qui ne semblent pas inclure le recours à l’IAP pour mettre en œuvre des pratiques de gestion de réseau afin de traiter de la congestion du trafic.
    28. En janvier 2009, la FCC a transmis à Comcast une lettre dans laquelle elle lui demandait de clarifier ses principes de gestion de réseau révisés quant aux services relatifs à la voix par IP (VoIP)²⁸. Elle a souligné que, selon le plan révisé de gestion du trafic du réseau de Comcast, lorsqu’une personne avait atteint un certain niveau d’utilisation de la bande passante au cours d’une certaine période alors que le nœud du voisinage avait presque atteint sa capacité maximale depuis 15 minutes, la qualité des appels VoIP pouvait être réduite; toutefois, il semble que les applications de VoIP de Comcast ne soient pas affectées²⁹. Free Press a eu vent de la demande de clarification de la FCC quant à cette pratique de traitement différentiel potentiel, et son directeur des politiques, Ben Scott, a fait valoir ce qui suit :

        [Traduction] « Cette lettre est un preuve évidente que la décision de la FCC dans l’affaire Comcast n’était pas une mesure isolée en matière de neutralité dans Internet. Nous sommes ravis de voir que la Commission procède à une enquête continue sur les pratiques de gestion des réseaux susceptibles d’avoir une incidence sur l’accès des utilisateurs au contenu et aux services en ligne de leur choix.

    Un réseau Internet ouvert ne peut tolérer l’interférence arbitraire de fournisseurs de services Internet³⁰. »

    29. L’ancien président de la FCC, Kevin J. Martin, a soutenu qu’il considérait le fait que les fournisseurs divulguent leurs pratiques aux consommateurs comme une pratique raisonnable de gestion de réseau³¹. Il a également souligné qu’en raison de l’importance d’Internet, il nous fallait maintenir son ouverture et son dynamisme afin qu’il puisse demeurer un moteur de productivité et d’innovation dont tous peuvent profiter³².
    30. Viviane Redding, commissaire européenne à la Société de l'information et des médias, a souligné l’importance de veiller à ce qu’Internet demeure ouvert du point de vue des fournisseurs de services qui souhaitent offrir des services novateurs DE MÊME que du point de vue des consommateurs qui souhaitent avoir accès aux services de leur choix et créer le contenu de leur choix³³ [texte souligné dans l’original]. Bien qu’elle ait fait valoir qu’on puisse devoir traiter les enjeux relatifs à l’établissement des priorités en matière de trafic, elle a insisté sur le fait qu’un comportement anticoncurrentiel limitant le choix du consommateur constituait un risque sérieux et que la transparence constituait un principe directeur important³⁴.

    8b) L’applicabilité possible d’initiatives relatives à la protection de la vie privée et au recours à l'IAP au Canada

    31. Le recours à la technologie d’IAP soulève deux principales préoccupations. La première a trait à la gestion de réseau. Il y a une préoccupation à l’effet que la mise en œuvre de l’IAP aux fins de la gestion du trafic Internet a été faite de façon plutôt opaque et peut-être non conforme aux attentes des personnes ou consommateurs. Certaines autres administrations ont avancé certaines preuves donnant à penser que la technologie avait été utilisée pour des pratiques de gestion de réseau déraisonnables.
    32. La deuxième préoccupation a trait à la protection de la vie privée. L’IAP permet non seulement l’examen des en-têtes de paquets, y compris les adresses IP de source et de destination (qui, dans certains cas, sont considérées comme des renseignements personnels), mais également celui du contenu d’une communication électronique. La nécessité de l’examen du contenu à des fins de gestion de réseau n’a pas été clairement établie, et celui-ci peut constituer une invasion déraisonnable de la vie privée d’une personne.
    33. Ces préoccupations doivent être traitées en vue d’élaborer un cadre de gestion du trafic Internet qui réponde aux exigences des fournisseurs de services, respecte la vie privée des personnes et des consommateurs et soutienne le dynamisme du réseau Internet, qui peut servir de moteur de l’innovation et de la croissance.
    34. Dans le contexte canadien, les points ci-après doivent être pris en compte dans le cadre d’une discussion ou d’un examen relatifs à l’incidence sur la vie privée des personnes du recours à l’IAP à des fins de gestion du trafic Internet :
        • L’alinéa 7i) de la Loi sur les télécommunications établit que lapolitique canadienne de télécommunication vise entre autres à contribuer à la protection de la vie privée des personnes. À ce titre, nous suggérons respectueusement à la Commission que les prochains examens relatifs à la gestion du trafic Internet tiennent pleinement compte de cet objectif en matière de politique.
        • Une stratégie responsable de gestion du trafic Internet doit comporter des cadres de gestion de la vie privée en vue de protéger les personnes et les consommateurs.
        • Ce cadre doit viser les utilisations actuelles et éventuelles de l’IAP à des fins de gestion raisonnable du trafic du réseau. Il doit prévoir les risques potentiels en matière de vie privée associés à une stratégie de gestion du trafic du réseau et traiter de ce qui suit :
          • la transparence;
          • la mesure dans laquelle l’IAP peut voir l’activité en ligne;
          • la mesure dans laquelle l’IAP peut trouver des renseignements personnels ou sensibles;
          • qu’arrive-il à ces renseignements? Une analyse des pratiques de gestion de l’information, y compris la collecte, l’utilisation et la communication de l’information ainsi que l’accès de toute tierce
          • la limitation de l’invasion intrusive du contenu relativement à l’activité en ligne;
          • les mesures de protection des renseignements personnels;
          • le choix du consommateur.
    35. Le recours à l’IAP ne se limite pas aux pratiques de gestion du réseau Internet. L’IAP a également servi à la publicité comportementale. Nous suggérons que toute discussion à son sujet traite des utilisations possibles de la technologie pour d’autres applications ainsi que des préoccupations connexes en matière de vie privée.
    36. Aux États-Unis et au Royaume-Uni, on a relaté que les publicitaires tiers (dont les plus notoires sont Phorm et NebuAd) avaient entamé des discussions avec les FSI en vue de déployer l’IAP sur leur réseau à des fins de publicité ciblée. Dans le cadre de ces partenariats, on crée le profil en ligne d’une personne en fonction de l’ensemble de son historique en ligne. La grande quantité de renseignements personnels associés à ce type de profilage a soulevé d’importantes préoccupations relatives à la vie privée.
    37. Ce genre d’activités donne à penser que les fournisseurs de services n’avisent pas de manière adéquate les personnes de la présence de ce type de suivi ou de profilage. De plus, l’absence d’un modèle de consentement adéquat (ou, dans le cas de certains fournisseurs de services, l’absence de demande de consentement) a également été soulevée.
    38. Parmi les autres préoccupations relatives à la vie privée se trouvent notamment les suivantes :
        • Renseignements personnels sensibles : Le système d’IAP du réseau d’un FSI peut analyser l’activité en ligne d’une personne, qui peut comporter des renseignements personnels et sensibles.
        • Portée et échelle des renseignements personnels : L’IAP a la capacité d’étudier le contenu détaillé de l’ensemble de la communication en ligne d’une personne. Par conséquent, elle peut, intentionnellement ou non, permettre de visionner une grande quantité de renseignements personnels et sensibles. Il faut donc avoir recours à des pratiques équitables de traitement des renseignements, entre autres la restriction de la collecte, de l’utilisation et de la communication des renseignements.
        • Anonymat : Bien que les profils des utilisateurs puissent être rendus anonymes, il est tout de même possible d’associer un profil à une personne. Les profils fondés sur des catégories de marketing détaillées peuvent mener à l’identification d’une personne.
        • Réacheminement des communications : Les évaluations techniques de Phorm et NebuAd donnent à penser que ces systèmes réacheminent les communications des personnes sans leur consentement en prétendant agir comme l’utilisateur final qu’elles tentent de joindre.
        • Témoins : Parmi les enjeux ciblés se trouve la diffusion de témoins d’abstention lorsqu’une personne refuse de donner son consentement. Le caractère approprié du témoin d’abstention a été remis en question. Si une personne supprime ses témoins de façon régulière, ce qui peut être considéré comme une pratique raisonnable de maintenance du réseau, il se peut qu’elle soit réintégrée dans le lot. Par conséquent, le témoin d’abstention risque de respecter de façon temporaire seulement le choix d’une personne de ne pas voir l’ensemble de son activité en ligne surveillée.
    39. L’IAP a également une incidence sur la vie privée si elle est associée à d’autres appareils électroniques comme les téléphones cellulaires et autres dispositifs sans fil mobiles.

    Conclusion

    40. Les utilisations possibles de la technologie d’IAP soulèvent d’importantes préoccupations au sujet de la vie privée. La technologie d’IAP pourrait donner aux FSI et aux autres entités un vaste accès à de grandes quantités de renseignements personnels transmis sur Internet. Les Canadiens passent une grande partie de leur vie en ligne en tant que consommateurs, professionnels et citoyens. Leur vie privée doit être protégée, conformément à la politique canadienne de télécommunication, et comme le prévoient la Loi sur les télécommunications et la législation en matière de protection de la vie privée du Canada. Nous suggérons respectueusement un examen minutieux de l’incidence de la technologie d’IAP sur la vie privée des personnes avant qu’on songe à l’utiliser.

     

    Veuillez agréer, Monsieur, l’expression de ma considération distinguée.

    La commissaire à la protection de la vie privée du Canada,

    Original signé par

    Jennifer Stoddart

     

    *** FIN DU DOCUMENT ***

    
    

    Notes en fin de texte

    ¹ Loi sur la protection des renseignements personnels, ch. P-21; Loi sur la protection des renseignements personnels et les documents électroniques (2000, ch. 5).

    ² Groupe d’étude sur le cadre réglementaire des télécommunications, ch. 6 Réglementation sociale http://www.telecomreview.ca/eic/site/tprp-gecrt.nsf/fra/rx00060.html.

    ³ Loi sur les télécommunications de 1993, ch. 38 T-3.4, paragr. 5.

    ⁴ Ibid, alinéas 7a) et i).

    ⁵ (L.R.,1985, ch .P-21).

    ⁶ (2000, ch. 5).

    ⁷ Guides du CPVP : Un guide pour les particuliers. Vos droits en matière de vie privée. Guide au sujet de la Loi sur la protection des renseignements personnels et les documents électroniques http://www.priv.gc.ca/information/02_05_d_08_f.cfm; et Guide à l’intention des entreprises et des organisations. Protection des renseignements personnels : vos responsabilités. La Loi sur la protection des renseignements personnels et les documents électroniques du Canada http://www.priv.gc.ca/information/guide_f.cfm

    ⁸ Fiche d’information du CPVP : Application de la Loi sur la protection des renseignements personnels et les documents électroniques aux dossiers du personnelhttp://www.priv.gc.ca/fs-fi/02_05_d_18_.asp

    ⁹ Blogue officiel du Commissariat à la protection de la vie privée au Canada http://blog.priv.gc.ca/index.php/2008/11/21/crtc-begins-dialogue-on-traffic-shaping/ [commentaire et réponses, en anglais seulement] et http://blogue.priv.gc.ca/index.php/2008/11/21/le-crtc-initie-un-dialogue-sur-le-lissage-du-trafic-internet/ [commentaire seulement, en français].

    ¹⁰ Pratiquement tous les réseaux utilisés aujourd’hui se fondent en quelque sorte sur la norme OSI. L’OSI a été mise au point en 1984 par l’Organisation internationale de normalisation (ISO), une fédération mondiale d‘organisations nationales de normalisation représentant environ 130 pays. Le modèle de référence OSI constitue l’élément principal de cette norme. Il s’agit d’une série de sept couches qui définit les différentes étapes que doivent suivre les données pour voyager d’un instrument à un autre dans le réseau.

    ¹¹ Il y a une longue série de décisions dans lesquelles la Cour Suprême du Canada affirme que le droit à la vie privée est digne d’être protégé par la Constitution : Hunter c. Southam Inc., [1984] 2 R.C.S. 145; R. c. Morgentaler, [1988] 1 R.C.S. 30; R. c. Dyment, [1988] 2 R.C.S. 417; R. c. Duarte, [1990] 1 R.C.S. 30; R. c. Hebert, [1990] 2 R.C.S. 151; R. c. Wong, [1990] 3 R.C.S. 36; R. c. Broyles, [1991] 3 R.C.S. 595; R. c. Osolin, [1993] 4 R.C.S. 595; Rodriguez c. Colombie-Britannique (Procureur général), [1993] 3 R.C.S. 519; R. c. Evans, [1996] 1 R.C.S. 8; R. c. Edwards, [1996] 1 R.C.S. 128; Godbout c.Ville de Longueuil, [1997] 3 R.C.S. 844; Dagg c. Canada (Ministre des Finances), [1997] 2 R.C.S. 403; Aubry c. Éditions Vice-Versa, [1998] 1 R.C.S. 591; Lavigne c. Canada (Commissariat aux langues officielles), [2002] 2 R.C.S. 773; Ruby c. Canada (Solliciteur général), [2002] 4 R.C.S. 3; R. c. Tessling, [2004] 3 R.C.S. 432; R. c. A.M., 2008 CSC 19; R. c. Kang-Brown, 2008 CSC 18.

    ¹² Voir, par exemple, l’art.184 (interception volontaire d’une communication privée); l’art. 342.1 (obtention frauduleuse de la substance, du sens ou de l’objet de toute fonction d’un ordinateur); le paragr. 430(1.1) (méfait; volontairement, empêche, interrompt ou gêne l’emploi légitime des données ou dépouille les données de leur sens, les rend inutiles ou inopérantes) Code criminel, L.R.C. 1985, ch. C-46.

    ¹³ Charte canadienne des droits et libertés, partie I de la Loi constitutionnelle de 1982, soit l’annexe B de la Loi de 1982 sur le Canada, (R.-U.), 1982, ch 11.

    ¹⁴ Recherche Internet Canada - Rapport sur la deuxième étape d’une étude portant sur les habitudes d’utilisation d’Internet des Canadiens, 24 septembre 2008, p. 2. En ligne à l’adresse suivante : http://www.canadianinternetproject.ca/en/docs/2008/CANADA%20ONLINE!%202007;%20PRESS%20RELEASE%20SEPT%2024%2008-FRENCH.pdf.

    ¹⁵ Recherche Internet Canada, idem.

    ¹⁶ Recherche Internet Canada, supra p. 4.

    ¹⁷ Statistique Canada, Le Quotidien – Étude : Utilisation d'Internet et participation sociale et communautaire, le jeudi 4 décembre 2008. Disponible en ligne à l’adresse suivante : http://www.statcan.gc.ca/daily-quotidien/081204/dq081204d-fra.htm

    ¹⁸ Statistique Canada, Le Quotidien – Commerce électronique : Magasiner sur Internet, 17 novembre 2008. Disponible en ligne à l’adresse suivante : http://www.statcan.gc.ca/daily-quotidien/081117/dq081117a-fra.htm.

    ¹⁹ Voir « What is Personal Data? » par Richard Cumbley et Peter Church dans : Data Protection Report, novembre 2008-12-24; « EU DP Supervisor says IP addresses are protected » dans : Privacy Laws & Business International Newsletter, déc. 2008.

    ²⁰ Site Web du député au congrès Edward Markey. Communiqué de presse, discours d’ouverture du président Markey devant le sous-comité des télécommunications et d’Internet du comité permanent de l’énergie et du commerce dans le cadre de l’audience intitulée « What Your Broadband Provider Knows About Your Web Use: Deep Packet Inspection and Communications Laws and Policies » (Ce que votre fournisseur de large bande sait de votre utilisation du Web : l’inspection approfondie des paquets et les lois et politiques en matière de communication).  17 juillet 2008. Disponible en ligne à l’adresse suivante [en anglais seulement] :  http://markey.house.gov/index.php’option=com_content&task=view&id=3411&Itemid=141.

    ²¹ « Network Advertising Initiative Affirms Support for Self-Regulation of Companies Using “Deep Packet Inspection” », Marketwire, 25 septembre 2008.  Disponible en ligne à l’adresse suivante [en anglais seulement] :
    http://www.marketwire.com/press-release/Network-Advertising-Initiative-903861.html.

    ²² Ibid.

    ²³ Avis et ordonnance de la Commission fédérale des communications intitulé « In the Matters of
    Formal Complaint of Free Press and Public Knowledge Against Comcast Corporation for Secretly Degrading Peer-to-Peer Applications » (Cas de plaintes formelles de la presse libre et du savoir du public contre l’entreprise Comcast, pour avoir secrètement détérioré les applications poste à poste). Dossier EB-08-Ih-1518. WC Docket No. 07-52. 20 août 2008, p.1. Disponible en ligne à l’adresse suivante [en anglais seulement] : http://hraunfoss.fcc.gov/edocs_public/attachmatch/FCC-08-183A1.doc.

    ²⁴ Supra Note 1, p. 52.

    ²⁵ Supra Note 2, p. 2.

    ²⁶ Ibid.

    ²⁷ « Comcast loses P2P religion, goes agnostic on throttling », Ars Technica, 19 septembre 2008.  Disponible en ligne à l’adresse suivante [en anglais seulement] :
    http://arstechnica.com/old/content/2008/09/comcast-loses-p2p-religion-goes-agnostic-on-throttling.ars.

    ²⁸ Commission fédérale des communications, lettre adressée à Comcast Corporation en vue d’obtenir des clarifications quant à ses pratiques de gestion du réseau. 18 janvier 2009. Disponible en ligne à l’adresse suivante [en anglais seulement] : http://hraunfoss.fcc.gov/edocs_public/attachmatch/DOC-288047A1.pdf.

    ²⁹ Ibid, p. 1-2.

    ³⁰ Communiqué de presse de la presse libre, « FCC Questions Comcast's Treatment of Voice Competitors » (La FCC remet en question le traitement de Comcast à l’égard des compétiteurs du domaine de la téléphonie), 19 janvier 2009. Disponible en ligne à l’adresse suivante [en anglais seulement] : http://www.freepress.net/node/47350.

    ³¹ Déclaration écrite de Kevin J. Martin, président de la Commission fédérale des communications, « Network Neutrality Conference-Implications for Innovation and Business Online » (Conférence sur la neutralité dans Internet – Répercussions sur l’innovation et les affaires en ligne), 30 septembre 2008, p.5. Disponible en ligne à l’adresse suivante [en anglais seulement] :
    http://hraunfoss.fcc.gov/edocs_public/attachmatch/DOC-285830A1.pdf%20(as%20prepared%20for.

    ³² Ibid, p.7.

    ³³ Déclaration écrite de Viviane Redding, commissaire européenne à la Société de l'information et des médias, dans le cadre de la conférence sur la neutralité dans Internet et ses répercussions sur l’innovation et les affaires en ligne, « Net Neutrality and Open Networks – Towards a European Approach » (Neutralité dans Internet et réseaux ouverts – un pas vers l’approche européenne), 30 septembre 2008. Disponible en ligne à l’adresse suivante [en anglais seulement]  http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/08/473.

    ³⁴ Ibid.