Association canadienne de la technologie de l’information (ACTI)

Consultations de 2010 du CPVP sur le suivi, le profilage et le ciblage en ligne, et l’informatique dans les nuages

Décembre 2010

Principes de protection des la vie privée au Canada

L’Association canadienne de la technologie de l’information (ACTI) est heureuse de réagir à l’ébauche du document d’octobre 2010 intitulé Rapport sur les consultations de 2010 du Commissariat à la protection de la vie privée du Canada sur le suivi, le profilage et le ciblage en ligne, et l’infonuagique. L’ACTI a été un acteur clé dans la création de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), et elle continue de suivre son évolution avec intérêt.

L’Internet public en était probablement à ses premiers balbutiements au moment de l’établissement des dix principes de la norme CSA relativement à la protection de la vie privée et à peine un peu plus avancé au moment de l’adoption de la LPRPDE, mais celle‑ci s’est révélée remarquablement résiliente. La force de la Loi réside dans le fait qu’elle est fondée sur de grands principes plutôt que sur des technologies ou des approches particulières susceptibles d’être vite dépassées. C’est pourquoi elle est souple et adaptable lorsque changent le contexte, les attentes et les technologies. Les organisations, les personnes et la commissaire ne sont pas soumises à des règles strictes; elles se reportent plutôt à un vaste ensemble de principes souples applicables aussi bien à la technologie qui existait à la fin des années 1990 qu’aux nouvelles technologies pas même anticipées à l’époque. Ces principes sont suffisamment solides et constituent la norme par excellence pour la protection des renseignements personnels, grâce à la souplesse qu’elle offre pour tenir compte de changements technologiques importants, y compris le recours croissant à l’infonuagique ainsi qu’au suivi, au profilage et au ciblage en ligne.

La LPRPDE repose fortement sur la disposition relative au « caractère raisonnable », qui établit le point de référence pour les entreprises et les attentes des citoyens canadiens. La collecte, l’utilisation et la communication de renseignements personnels doivent être raisonnables dans les circonstances en question. Ces circonstances peuvent évoluer et le cadre d’application de la LPRPDE peut de la même façon évoluer afin de s’adapter à la participation des entreprises et des citoyens canadiens au sein de la communauté Internet empreinte d’un grand dynamisme et vouée à un avenir prometteur.

Selon l’ACTI, l’infonuagique ou le suivi, le profilage et le ciblage en ligne n’ont rien de particulier qui justifie de modifier la LPRPDE ou de revoir en profondeur la façon dont le Commissariat à la protection de la vie privée applique la Loi. Le principe du consentement, par exemple, prévoit que les entreprises doivent tenir compte de l’attente raisonnable de la personne au moment de déterminer la forme de consentement requise. Si on devait stipuler que dans une circonstance donnée, il faut telle forme de consentement, on créerait alors une norme de facto, qui ne tiendrait pas compte de l’évolution des attentes ou de la possibilité d’adopter des mesures technologiques pour donner aux citoyens le pouvoir de gérer leurs renseignements personnels.

Il faut aussi reconnaître que les entreprises canadiennes adhèrent à des pratiques de pointe qui adaptent la publicité en fonction des intérêts des utilisateurs. Il est logique qu’il soit plus efficace et plus rentable de présenter des annonces d’appareil photo à un utilisateur qui a démontré un intérêt en photographie plutôt qu’au public en général, en espérant qu’un segment de celui‑ci s’y intéressera.

Encourager le commerce et l’innovation

Le cybermarché est vraiment planétaire et les entreprises canadiennes sont bien placées pour continuer d’en bénéficier. Il convient de signaler que le titre de la LPRPDE indique clairement que la Loi visait non seulement à protéger les renseignements personnels, mais aussi à soutenir l’adoption du commerce électronique au Canada. Entre autres, la LPRPDE a été conçue de manière à être neutre du point de vue des technologies et à encourager les affaires, l’expérimentation et l’innovation. Dans le domaine de la publicité, la réglementation indue ou la surréglementation peuvent avoir des répercussions négatives sur les entreprises et les consommateurs. Bon nombre des services dont profitent en ligne les consommateurs canadiens sont « gratuits », bien que payés en grande partie par les annonces publicitaires. Les publicités ciblées sont plus utiles, autant pour l’entreprise qui présente ses produits ou ses services que pour l’organisation qui offre l’espace publicitaire. Des restrictions excessives visant cette publicité seront dommageables aux deux extrémités de cette chaîne de valeur et réduiront en fin de compte la capacité des entreprises canadiennes en ligne d’offrir des services importants aux consommateurs, aussi bien au Canada qu’ailleurs dans le monde.

Ce n’est pas une situation gagnant-perdant. La publicité ciblée peut se faire d’une manière qui respecte la vie privée et l’autonomie des consommateurs. Les annonceurs légitimes qui se soucient des préférences et des choix des consommateurs renseignent ceux‑ci sur les pratiques et les outils à leur disposition pour influer sur la publicité qu’ils reçoivent, y compris l’option de retrait. L’ACTI est convaincue que la LPRPDE et le CPVP sont en mesure de répondre de façon appropriée s’il survenait des cas d’utilisation de renseignements personnels de nature délicate aux fins de ciblage publicitaire en ligne.

L’avenir de l’informatique est dans les nuages

Il va sans dire que l’adoption de l’infonuagique se poursuivra au profit des entreprises et des consommateurs. Toutefois, ce bénéfice sera amoindri selon le degré d’intervention des gouvernements du Canada, des provinces et des territoires pour limiter le flux de renseignements personnels stockés dans les nuages. En raison de la petite taille du marché canadien, il est impossible d’assurer le développement commercial et le maintien d’un nuage permanent « fabriqué au Canada ». Les fournisseurs de services mondiaux risquent tout simplement de mettre l’accent sur d’autres marchés. Heureusement, la LPRPDE énonce déjà les principes que les entreprises canadiennes doivent examiner avant d’envisager le transfert du traitement des données internes dans les nuages, où l’emplacement des données n’est qu’un des nombreux points à considérer. De plus, le travail approfondi du Commissariat en collaboration avec le Secrétariat du Conseil du Trésor pour répondre aux préoccupations du public au sujet de la circulation transfrontalière dans le contexte de la US PATRIOT Act révèle une compréhension équilibrée de la réalité des entreprises et de la nécessité d’une approche raisonnée fondée sur le risque.

Selon l’ACTI, non seulement on peut donner suite aux préoccupations relatives à la protection de la vie privée en ce qui concerne l’infonuagique, mais l’adoption de celle‑ci permet des économies d’échelle qui peuvent avoir des retombées très importantes sur la protection de la vie privée. La plupart des grands fournisseurs de services infonuagiques expLoitent des centres de données de calibre mondial qui offrent une sécurité logique et physique de pointe. Ils peuvent adopter des mesures de sécurité strictes afin de protéger les renseignements personnels en leur possession et ils le font. Quant aux petites et moyennes entreprises, elles choisissent rarement ou n’ont pas les moyens de consacrer les ressources nécessaires pour garantir la sécurité de leur infrastructure et la mise à jour de leurs logiciels. En outre, lorsque les données sont stockées en toute sécurité dans les nuages, elles ne se trouvent pas dans des appareils faciles à perdre, à voler ou à modifier. (Par exemple, le fait de garder les documents dans les nuages élimine le besoin de transporter des données sur des clés USB.) Cet avantage s’accentuera à mesure que les consommateurs et les entreprises adopteront les dispositifs informatiques mobiles, comme les téléphones intelligents, les miniportatifs et les tablettes graphiques. Ces petits appareils sont plus pratiques et plus faciles à perdre, mais si on n’y enregistre pas d’information et qu’on s’en sert pour avoir accès à des données stockées dans les nuages, il n’y a alors pas de risque de compromettre les données s’il arrive quoi que soit aux appareils.

L’élaboration de normes

En plus de traiter des aspects de la protection des renseignements personnels liés à l’infonuagique, l’ACTI répondra brièvement à l’invitation lancée dans l’ébauche de rapport (page 50) de réagir à la suggestion que le gouvernement élabore des normes. D’après elle, il est nettement préférable que les parties intéressées utilisent les processus actuels qui permettent et encouragent déjà la participation canadienne à l’élaboration de normes internationales plutôt que ce soit le gouvernement qui en assume l’entière responsabilité. JTC 1/ISO/CEI, l’UIT‑T et d’autres tribunes offrent des mécanismes bien établis qui favorisent l’apport des secteurs public et privé, à l’échelle nationale et internationale. Les normes internationales devraient primer au Canada; des normes canadiennes seraient de mise uniquement si l’on peut démontrer l’existence de besoins canadiens particuliers.

Conclusion

L’ACTI appuie les efforts que dépLoie le Commissariat pour mieux comprendre les pratiques commerciales et les préférences des consommateurs au fur et à mesure de l’évolution des technologies. Cette compréhension est importante puisque les Lois sont neutres du point de vue des technologies et que tous les intervenants doivent s’en remettre au Commissariat et aux tribunaux qui les interprètent à la lumière des technologies et des attentes qui changent. Même si l’environnement en ligne se transforme rapidement, l’ACTI estime que les Lois qui régissent la collecte, l’utilisation et la communication des renseignements personnels au Canada sont adéquates et qu’on devrait les interpréter de façon à favoriser l’innovation dans la protection des renseignements personnels et dans l’offre d’outils aux Canadiennes et aux Canadiens pour qu’ils gèrent leurs renseignements personnels.

Date de modification :