Mémoire reçu dans le cadre de la consultation sur le consentement en vertu de la LPRPDE (Conseil des consommateurs du Canada)

Conseil des consommateurs du Canada

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page Conditions d’utilisation.

---

Aperçu

La croissance exponentielle du volume de données électroniques créées et recueillies auprès d’un nombre croissant de sources rend le contrôle difficile sur le plan de la protection de la vie privée. Il ne fait aucun doute que l’on continuera de générer, de recueillir et d’utiliser de l’information à des fins légitimes ou suspectes. Il sera également de plus en plus difficile de contrôler l’utilisation des renseignements personnels à l’aide de méthodes traditionnelles. Des mesures de contrôle technologiques devront être mises en œuvre à l’appui de la gestion des renseignements personnels. L’utilisation de solutions techniques devra être envisagée pour les essais de conformité.

Le développement rapide de diverses technologies a entraîné un accroissement considérable des préoccupations en matière de protection de la vie privée. Les nouvelles avancées comprennent la capacité de recueillir des renseignements généraux sans que la personne concernée en soit informée de façon explicite (p. ex. par l’Internet des objets). Les volumes de données sont importants et leur croissance est constante. De plus, la capacité de traiter ces vastes ensembles de données (p. ex. mégadonnées) pour interpréter les tendances est renforcée grâce à des outils de pointe permettant d’effectuer des analyses complexes des données. En outre, comme le mentionne à juste titre le document du Commissariat à la protection de la vie privée du Canada (le Commissariat), le renforcement de la capacité de mise en correspondance des données provenant de nombreuses sources permet d’identifier un profil, même si l’information a été désidentifiée au préalable.

Compte tenu des nombreuses complexités et liens de dépendances qui existent dans l’environnement actuel de traitement des données ainsi que des risques accrus de fuites de données, il sera de plus en plus difficile d’assurer une gestion efficace des renseignements personnels et encore moins de les protéger d’une utilisation non autorisée ou contraire à l’éthique. Le développement de l’environnement de traitement se poursuivra rapidement en raison de la multiplication des données recueillies et des innovations liées aux usages potentiels de l’information. Le document du Commissariat fait également état, à juste titre, des difficultés associées à la présentation d’information aux utilisateurs. En effet, ceux-ci devraient être informés de façon transparente et compréhensible pour qu’ils sachent de quelle manière leurs données personnelles seront traitées et protégées et qu’ils puissent prendre des décisions éclairées sur leur participation dans un environnement où leurs données personnelles peuvent être divulguées ou utilisées d’une façon qui peut les mettre dans l’embarras.

Consentement et autres modèles de protection de la vie privée

Les organismes de réglementation doivent continuer de définir et de catégoriser les renseignements personnels et également de déterminer de quelle façon ils peuvent être utilisés. Cependant, le consentement individuel doit demeurer une pierre angulaire de tout programme de protection de la vie privée. Les limites associées aux modèles de consentement et à la politique de protection de la vie privée en vigueur sont clairement établies dans le document du Commissariat. Même les utilisateurs les plus consciencieux et les mieux informés ne peuvent pas lire toutes les politiques de confidentialité qui les concernent ni comprendre pleinement les conséquences liées au fait d’accepter les conditions d’utilisation d’une application.

Il faudra trouver de nouvelles méthodes pour régler ce problème, même si les nouvelles politiques de protection de la vie privée sont plus transparentes, plus précises et plus faciles à comprendre.

Rôle de la technologie dans la solution

Parmi toutes les solutions suggérées, le recours à des mesures de sécurité adaptées à la technologie semble inévitablement faire partie de toute solution, ne serait-ce qu’en raison des nombreux problèmes créés par le développement rapide des capacités technologiques. Comme il est mentionné dans le document du Commissariat, le rapport de la Maison-Blanche intitulé Big Data and Privacy: A Technological Perspective suggère qu’une organisation aurait la responsabilité d’utiliser les renseignements personnels en respectant les préférences de l’utilisateur. Elle pourrait à cette fin se faire aider par un intermédiaire accepté mutuellement. Les personnes adhéreraient à un ensemble standard de préférences en matière de protection de la vie privée offert par des tiers. Le site Web des tiers approuverait ensuite les applications et les services en fonction du profil de l’utilisateur.

Cette approche semble raisonnable. Le modèle de consentement actuel pourrait être amélioré ou remplacé par une approche électronique complète et unique (p. ex. questionnaire automatisé ou tableau de bord de l’utilisateur) qui permet de consigner et de définir les préférences d’un utilisateur en matière de protection de ses renseignements personnels, ainsi que de préciser les conditions en vertu desquelles il consent à l’échange de ces données. Cette approche permettrait de préciser l’importance que l’utilisateur accorderait à la prévention des risques associés à l’utilisation de ses données par rapport aux avantages qu’elle lui procurerait.

Les résultats de cette approche automatisée peuvent ensuite servir à établir un profil de confidentialité raisonnablement complet qui comprend les préférences de l’utilisateur en ce qui a trait au marquage numérique des données personnelles auxquelles ont accès les différentes applications qu’il utilise ou qui sont utilisées par des tiers (p. ex. organisations et gouvernement). Un identificateur personnel pourrait être attribué à chaque utilisateur de façon à ce que le profil soit utilisé pour établir les conditions d’utilisation des renseignements personnels lorsqu’un consentement est demandé. Le questionnaire pourrait être révisé régulièrement et modifié, au besoin, pour accorder ou annuler des permissions associées à l’utilisation de renseignements personnels. Si l’information a été marquée de façon appropriée, les paramètres de confidentialité peuvent être mis à jour de façon prospective dans les différents systèmes touchés. Cependant, la modification rétroactive d’un paramètre de confidentialité (p. ex. retrait du consentement) sera de plus en plus difficile à réaliser lorsque les paramètres initiaux autorisaient l’échange d’information. Dans l’économie numérique d’aujourd’hui, il est probable que l’information soit transmise trop rapidement à différents systèmes pour qu’il soit possible de faire marche arrière.

Dans le document du Commissariat, on suggère de créer des portails de gestion ou des tableaux de bord renfermant les paramètres de confidentialité que les consommateurs peuvent configurer et modifier par la suite. Il s’agit d’une variante de l’approche du questionnaire qui est pertinente et qui contribuerait à l’évolution du processus.

Conformité et application

Il est très improbable que l’approche d’autosurveillance de la conformité des organisations aux règlements et aux politiques de protection de la vie privée soit efficace si aucune fonction de surveillance ou de gouvernance rigoureuse n’est établie. Une organisation gouvernementale comme le Commissariat est appelée à jouer un rôle crucial et de plus en plus important en matière d’application de la loi. À cette fin, il pourrait être nécessaire d’élargir la portée de son rôle actuel, tout particulièrement en raison de l’augmentation rapide de l’utilisation des renseignements personnels nécessitant une protection.

Cependant, les programmes de conformité, notamment l’accréditation par des tiers ou la délivrance de permis publics réglementés pour des fonctions particulières, peuvent constituer des approches efficaces pour atteindre un niveau de conformité organisationnelle acceptable et faire en sorte que l’utilisateur ait confiance dans le programme de protection de la vie privée. Par ailleurs, il faudra veiller à ce que les personnes concernées soient avisées que certains renseignements personnels doivent être considérés comme de l’information publique et leur indiquer pour quelle raison il ne s’agit pas de renseignements privés.

Conformité avec les règlements internationaux

Le Canada est l’un des rares pays ne faisant pas partie de l’Union européenne qui assure un niveau de protection adéquat des renseignements personnels en raison de sa législation interne ou de ses engagements internationaux. Voilà qui est extrêmement utile, puisque les renseignements personnels peuvent être transmis relativement librement entre le Canada et les pays de l’Union européenne lorsque cela est jugé approprié.

Quelles que soient les solutions envisagées, il sera extrêmement important qu’elles respectent les exigences fondamentales de l’Union européenne. Cela pourrait limiter le choix de solutions proposées dans le document du Commissariat, mais il ne s’agit pas d’un enjeu important.