Conseil canadien des normes

Le 14 décembre 2010

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Place de Ville
Tour B, 3e étage
Ottawa (Ontario)  K1A 1H3

Objet : Commentaires du Conseil canadien des normes concernant le rapport sur les consultations de 2010 du Commissariat à la protection de la vie privée du Canada sur le suivi, le profilage et le ciblage en ligne, et l’infonuagique

Le Conseil canadien des normes (CCN) se réjouit de pouvoir formuler des commentaires sur le rapport du Commissariat abordant le suivi, le profilage et le ciblage en ligne ainsi que l’infonuagique. La présente lettre complète celle qui a été envoyée au Commissariat le 10 décembre 2010 au sujet de l’informatique dans les nuages.

Le CCN coordonne les activités de normalisation au Canada. Il agrémente les organismes de normalisation après avoir vérifié s’ils possèdent les ressources, les structures et l’expertise nécessaires pour offrir des services fiables. En outre, le CCN approuve les normes nationales du Canada et représente le pays au sein des principaux organismes régionaux et internationaux de normalisation comme ISO et la CEI.

Les questions soulevées dans le rapport du Commissariat, comme la protection de la vie privée au Canada, le profilage et le ciblage en ligne, l’informatique dans les nuages et les défis posés par la convergence de la technologie, sont toutes dignes d’intérêt du point de vue de la normalisation. Le CCN note avec satisfaction les liens établis dans le rapport entre l’apparition de nouvelles technologies, les défis que cela implique et les solutions que peuvent fournir les normes.

Par exemple, le CCN et les intervenants du système de normes nationales recommandent l’élaboration d’une norme internationale sur le système de gestion de la protection de la vie privée et de l’identification qui serait fondée sur la série de normes de sécurité ISO/CEI 27000. Cette démarche harmoniserait la façon dont les organisations appliquent un système de gestion intégrée de la sécurité, de la protection de la vie privée et de l’identification, et répondrait vraisemblablement à d’autres besoins semblables. Les législateurs en bénéficieraient puisque la question de la conformité serait réglée dans la mesure où les objectifs et les principes de la réglementation seraient respectés.

Par ailleurs, la croissance du nombre d’utilisateurs de technologies en ligne pourrait mener à l’établissement d’une méthode de contrôle fondée sur l’évaluation par les pairs et les vérifications. Le système de normalisation pourrait alors servir à mettre en œuvre des procédures établies d’accréditation du personnel et de la gestion.

La LPRPDE est fondée sur les normes de protection de la vie privée, comme le mentionne le rapport, et elle donne de bons résultats. Par conséquent, au moment où s’amorce le prochain processus d’examen de la LPRPDE, le CCN serait heureux de discuter avec le Commissariat des avantages que les solutions de normalisation pourraient procurer dans ce domaine (voir la page 6 du rapport).

Pour ce qui est de l’infonuagique, le rapport souligne avec raison que des solutions de normalisation sont requises à mesure que ces technologies sont créées et adoptées. Le Canada fait partie du Comité international technique mixte 1 (JTC 1) qui élabore des normes sur les technologies de l’information et des communications, dont l‘informatique dans les nuages. Des normes dans ce domaine seront nécessaires pour assurer l’interopérabilité et la cohérence ainsi que pour protéger l’identité et les renseignements des utilisateurs. Pour que l’industrie canadienne des TIC soit concurrentielle, l’industrie et le gouvernement devront collaborer afin de recueillir les fonds nécessaires à une présence à la table de négociation internationale.

Enfin, le CCN souhaite commenter la proposition présentée aux fins de discussion dans le rapport, selon laquelle le gouvernement devrait commence à élaborer des normes de sécurité des renseignements personnels (voir les pages 50 et 54 du rapport). S’il est vrai que le gouvernement participe à l’établissement des normes, il n’agit pas seul. Le système de normalisation volontaire du Canada est fondé sur un processus voulant que des comités composés d’intervenants concernés fixent des normes après être arrivés à un consensus. Les membres peuvent comprendre des représentants de l’industrie, de gouvernements, d’universités et de groupes de défense de l’intérêt public. Un organisme spécialisé dans le domaine de l’élaboration des normes — souvent un des quatre organismes d’élaboration des normes accrédités au Canada — organise et gère ces comités.

Le processus fondamental de création d’une norme est le même dans tous les organismes nationaux et internationaux responsables de l’élaboration des normes. Voici le déroulement simplifié du processus :

  • Constatation de la nécessité d’établir une nouvelle norme
  • Étude préliminaire et préparation d’un sommaire
  • Formation d’un comité (nouveau ou existant)
  • Réunions du comité afin de construire un consensus sur l’ébauche
  • Vote sur l’ébauche de la norme
  • Publication de la norme

Le processus d’élaboration de normes au Canada est conforme aux pratiques exemplaires reconnues à l’échelle internationale. Ces exigences découlent des dispositions de l’annexe 3 de l’AOTC/OMCNote de bas de page 1 et du guide 59 ISO/CEI intitulé « Code de bonne pratique pour la normalisation ». Les principes canadiens habituels pour en arriver à un consensus, c’est‑à‑dire l’accès égal et la participation réelle des parties intéressées, l’équilibre des intérêts de chacun et un mécanisme de résolution des différends, font aussi partie des exigences relatives à l’accréditation.

Le CCN examinera les normes présentées par les organismes responsables de leur élaboration afin de les approuver en tant que normes nationales du Canada. Les normes nationales doivent satisfaire aux exigences suivantes :

  • Être élaborées par un comité d’intervenants équilibré qui est parvenu à un consensus
  • Faire l’objet de l’examen du public
  • Être publiées dans les deux langues officielles
  • Respecter ou intégrer les normes internationales existantes ainsi que les normes étrangères pertinentes
  • Ne pas faire obstacle au commerce

Les normes nationales du Canada peuvent être présentées aux organismes internationaux d’élaboration de normes pour être examinées et adoptées en tant que normes internationales.

Le CCN souhaite soutenir le Commissariat en ce qui concerne le suivi, le profilage et le ciblage en ligne, ainsi que l’infonuagique. Il serait heureux de donner son avis sur des questions ou des commentaires plus vastes qui pourraient être soulevés en ce qui a trait à la protection de la vie privée ou à des préoccupations générales.

Cordialement,

Chantal Marin-Comeau
Directrice déléguée à la normalisation

Date de modification :