Colmater les fuites : Pour une meilleure protection des renseignements personnels

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

À la suite d’une étude menée par le Commissariat à la protection de la vie privée du Canada au sujet des « fuites sur le Web » et des travaux de suivi qui en ont découlé, des améliorations ont été apportées aux pratiques relatives à la protection de la vie privée de quelques sites Web canadiens populaires.

Vous vous rappelez peut‑être que l’année dernière, nos technologues ont procédé à des essais sur 25 sites et ont constaté qu’un grand nombre d’entre eux communiquaient les renseignements personnels des usagers inscrits – notamment les noms et les adresses de courriel – à des sites exploités par des tiers, comme des entreprises publicitaires.

Cette étude a donné lieu à des discussions poussées avec les exploitants des 11 sites pour lesquels des préoccupations ou des questions avaient été dégagées.

Des changements positifs

En fin de compte, nous sommes heureux de dire que cette initiative a entraîné des changements positifs pour les Canadiens :

  • Plusieurs organisations ont pris des mesures pour mettre fin à la divulgation non intentionnelle ou superflue de renseignements personnels.
  • En outre, beaucoup d’organisations ont accepté de mettre en place des mesures pour fournir aux utilisateurs de l’information claire et accessible au sujet de leurs pratiques en matière de protection des renseignements personnels.

Toutes les organisations ont collaboré avec le Commissariat et nous avons réussi à faire disparaître nos préoccupations quant aux pratiques de chacune d’entre elles. Voici un résumé des résultats de notre travail relativement aux 11 sites concernés :

  • Dans trois cas, les exploitants des sites ne savaient pas que des renseignements personnels étaient transmis à des tiers, et ils ont pris des mesures pour que ces divulgations cessent.
  • Dans trois autres cas, des renseignements, notamment des adresses de courriel, étaient intentionnellement communiqués à des tiers; toutefois, lorsque les responsables des sites ont été informés de nos préoccupations quant à cette pratique, ils ont accepté d’y mettre fin. Une autre organisation cherchait à déterminer si elle pourrait modifier la conception de son site de façon à empêcher que des renseignements personnels soient communiqués à deux de ses fournisseurs de services en ligne.
  • Une organisation a reconnu que des renseignements personnels étaient communiqués à des tiers fournisseurs de services aux fins de la gestion de son site Web, et ce, même si sa politique en matière de protection des renseignements personnels indique que les renseignements personnels ne sont pas communiqués à des tiers. L’organisation apporte actuellement des changements à sa politique en matière de protection des renseignements personnels afin de la rendre plus claire.
  • Dans les autres cas, nos discussions avec les organisations concernées nous ont confirmé que, mises à part les divulgations repérées dans notre étude, aucun autre renseignement – par exemple, le code postal – n’était communiqué à des tiers. Par conséquent, nous avons déterminé que les renseignements communiqués n’étaient pas des renseignements personnels.

Évidemment, notre initiative portait sur un très petit échantillon de sites et les préoccupations relatives aux « fuites sur le Web » ne visent pas exclusivement les organisations nommées dans notre étude. Tous les exploitants d’un site Web et les tiers devraient examiner les renseignements personnels qu’ils communiquent et procéder à des essais sur leurs propres sites pour vérifier si des données sont communiquées de façon non intentionnelle.

Enjeux débordant du cadre des « fuites sur le Web »

Notre initiative a aussi permis de cerner des problèmes qui débordent du cadre des « fuites sur le Web ».

En effet, nous avons constaté, dans le cadre de nos travaux, que les pratiques relatives à la protection des renseignements personnels des organisations, comme la communication légitime de renseignements à des tiers, n’étaient pas toujours décrites aux consommateurs d’une façon qui permette à ceux‑ci d’en saisir toutes les implications.

La commissaire Stoddart a fait part de ses préoccupations au sujet du fait que les politiques relatives à la protection des renseignements personnels sont souvent trop longues et trop compliquées, et par conséquent, qu’elles tendent à être ignorées par un grand nombre d’utilisateurs.

Les organisations devraient posséder des politiques en matière de protection des renseignements personnels claires et détaillées. Le Commissariat a aussi commencé à se pencher sur d’autres pratiques qui pourraient être adoptées afin d’informer les personnes de la façon dont leurs renseignements personnels seront traités. Par exemple, nous préconisons la communication d’avis juste‑à‑temps, soit la fourniture d’explications au sujet des pratiques relatives à la protection des renseignements personnels au moment même où les renseignements sont recueillis.

Compte tenu de ce qui précède, nous avons été heureux d’entendre plusieurs organisations s’engager à mettre en place des mesures plus efficaces pour informer les utilisateurs de l’usage qu’elles font des renseignements personnels obtenus. Par exemple, quelques‑unes révisent leur politique en matière de protection des renseignements personnels et envisagent des façons plus novatrices – comme des avis juste‑à‑temps – pour la communication de renseignements personnels.

Toutes ces étapes contribueront grandement à veiller à ce que les organisations obtiennent le consentement éclairé des utilisateurs avant de recueillir, d’utiliser et de divulguer des renseignements personnels en ligne – comme l’exigent les lois canadiennes régissant la vie privée et la protection des renseignements personnels.

Par ailleurs, comme les problèmes que nous avions cernés ont été corrigés, la commissaire à la protection de la vie privée du Canada a décidé de ne pas utiliser son pouvoir de nommer les organisations fautives.

Étant donné que notre étude a permis de cerner des problèmes systémiques, nous travaillons actuellement à l’élaboration d’un document d’orientation qui présentera les pratiques exemplaires que les organisations peuvent suivre pour obtenir le consentement éclairé des Canadiens avant de recueillir, d’utiliser et de divulguer des renseignements personnels en ligne. Nous prévoyons publier le document d’orientation plus tard cette année.

Date de modification :