Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes à propos des répercussion des systèmes de caméras de surveillance sur la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le 28 octobre 2010
Ottawa (Ontario)

Déclaration prononcée par Patricia Kosseim
Avocate générale, Commissariat à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Nous remercions les honorables membres du Comité de nous inviter à comparaître devant le Comité au moment où vous reprenez votre étude des incidences sur la vie privée découlant de l’utilisation de la technologie de l’imagerie à l’échelle de la rue. Je m’appelle Patricia Kosseim et je suis avocate générale et directrice des Services juridiques, politiques et affaires parlementaires au Commissariat à la protection de la vie privée du Canada. Je suis accompagnée aujourd’hui de Daniel Caron, conseiller juridique, et d’Andrew Patrick, conseiller en recherche sur les technologies de l’information. Au nom de la commissaire à la protection de la vie privée, je tiens à exprimer aux membres du Comité tous ses regrets de ne pouvoir être ici aujourd’hui étant donné qu’elle se trouve actuellement à l’étranger.

Avant de répondre aux questions des membres du Comité, j’aimerais vous donner un bref aperçu de certains des développements importants dans ce domaine depuis la comparution de l’ancienne commissaire adjointe Elizabeth Denham devant ce même Comité au cours de la dernière session du Parlement, soit le 22 octobre 2009.

L’année dernière, avant le lancement de Google Street View au Canada le 7 octobre 2009, le Commissariat, de concert avec nos homologues provinciaux de la Colombie-Britannique, de l’Alberta et du Québec, a émis une fiche d’information intitulée « Vous êtes photographiés : La technologie de l’imagerie à l’échelle de la rue, Internet et vous », dans laquelle nous présentons aux Canadiennes et aux Canadiens plus d’information sur les incidences sur la vie privée causées par l’utilisation des technologies de l’imagerie à l’échelle de la rue. Nous avons présenté nos attentes générales envers les entreprises qui déploient de telles technologies :

  • Elles doivent être proactives et créatives afin d’assurer que les citoyens sont au courant lorsqu’ils sont photographiés.
  • Elles doivent utiliser des technologies de brouillage efficaces et éprouvées des visages et des plaques d’immatriculation.
  • Elles doivent offrir des mécanismes rapides et réactifs qui permettent de bloquer ou de retirer les images sur demande.
  • Elles doivent avoir une bonne raison pour conserver les images originales et non brouillées et doivent limiter la période durant laquelle elles les gardent et les protéger avec des mesures de sécurité appropriées.

Depuis la comparution de l’ancienne commissaire adjointe Denham devant ce Comité l’année dernière, le Commissariat n’a cessé de souligner l’importance d’assurer que le respect de la vie privée demeure un facteur primordial dans la conception de nouveaux produits et services. Cependant, les événements de l’année dernière démontrent que les entreprises doivent intégrer de meilleurs mécanismes de protection des renseignements personnels dans leurs produits au moment même où elles les conçoivent. La collecte de données utiles transmises sur des réseaux Wi-Fi par les véhicules d’imagerie à l’échelle de la rue de Google constitue un exemple édifiant à cet égard.

Incident concernant les données Wi-Fi recueillies par Google

En mai 2010, Google a découvert que, en recueillant de l’information sur les points d’accès de réseaux Wi-Fi afin d’améliorer ses services géodépendants, ses voitures-caméras Street View avaient recueilli par inadvertance des données utiles sur des réseaux sans fil non sécurisés. Devant cette situation, Google a immobilisé ses voitures-caméras Street View, arrêté de recueillir des données sur les réseaux Wi-Fi le 7 mai 2010, et isolé et stocké toutes les données recueillies.

En vertu de l’article 11(2) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la commissaire peut déposer une plainte relativement aux pratiques de gestion des renseignements personnels d'une entreprise si elle est d'avis qu'il y a des motifs raisonnables de faire enquête sur la situation.

Le 1er juin 2010, le Commissariat a envoyé une lettre à Google à l’effet que la commissaire, en vertu du pouvoir discrétionnaire qui lui est conféré par la loi, avait déposé trois plaintes à l’encontre la société, à savoir :

  • Google aurait recueilli, utilisé ou communiqué des données utiles sans que les personnes concernées n’en aient eu connaissance et sans leur consentement.
  • Google aurait procédé à la collecte de données utiles sans avoir défini au préalable les fins pour lesquelles les renseignements personnels ont été recueillis.
  • La collecte de données utiles effectuée par Google n’aurait pas été limitée à ce qui était nécessaire pour répondre aux fins déterminées.

Au cours de l’enquête menée par la commissaire, des représentants du Commissariat se sont rendus dans les locaux de Google à Mountain View le 19 juillet 2010 afin d’examiner des échantillons des données recueillies par Google. À la suite de cette enquête, au cours de laquelle nous avons eu plusieurs échanges avec Google, la commissaire a émis sa lettre de conclusions préliminaire le 19 octobre 2010.

Conclusions

Comme l’a indiqué la commissaire lors de sa comparution devant ce Comité le mardi 19 octobre 2010, son enquête a révélé que Google avait recueilli des renseignements personnels de manière inappropriée à partir de réseaux sans fil non sécurisés. Dans certains cas, ces renseignements personnels étaient de nature très délicate, notamment des courriels au complet, des noms d’utilisateurs et mots de passe, ainsi que des renseignements sur les troubles médicaux de personnes particulières. Malheureusement, cette collecte de données par inadvertance était le fruit d’une erreur qui aurait pu être facilement évitée si Google avait respecté ses propres procédures.

En bref, l’ingénieur qui a élaboré le code en vue d’échantillonner des catégories de données Wi‑Fi diffusées publiquement a inclus également un code permettant la collecte de données utiles, croyant que ce type de renseignement pourrait servir un jour à Google. L’ingénieur a déterminé des préoccupations à son avis « superficielles » en matière de vie privée, mais contrairement à la procédure de la société, il a omis de porter ces préoccupations à l’attention du conseiller juridique en matière de produits dont la responsabilité aurait été de les traiter et de les résoudre avant le lancement du produit.

L’enquête a révélé qu’un certain nombre de principes de protection de la vie privée compris dans la LPRPDE avaient été violés. En conséquence, dans sa lettre de conclusions préliminaire, la commissaire recommandait :

  • Que Google réexamine et améliore la formation en matière de protection de la vie privée qu’elle offre à tous ses employés afin de conscientiser davantage le personnel et de mieux faire comprendre les obligations de Google en vertu des lois relatives à la protection des renseignements personnels.
  • Que Google s’assure d’avoir un modèle de gouvernance en place qui comprend :
    • des mesures de contrôle efficaces visant à s’assurer que toutes les procédures nécessaires pour protéger la vie privée ont été suivies avant le lancement de tout produit;
    • les noms de personnes clairement désignées qui participent au processus et sont responsables de la conformité quant aux obligations de Google en vertu des lois sur la protection des renseignements personnels.
  • Que Google supprime les données utiles canadiennes qu’elle a recueillies dans la mesure où elle est autorisée à le faire en vertu des lois canadiennes et américaines. Si les données utiles canadiennes ne peuvent être supprimées immédiatement, elles doivent être sauvegardées adéquatement et l’accès à ces dernières doit être limité.

À l’heure actuelle, la commissaire considère que l’affaire n’est pas encore résolue. L’affaire sera considérée comme résolue sur réception, au plus tard le 1er février 2011, de la confirmation que la société a mis en œuvre les recommandations ci-dessus. La commissaire émettra alors son rapport et ses conclusions finales en conséquence.

Nous nous attendons à ce que Google mette en œuvre nos recommandations et nous espérons qu’elle s’assurera dorénavant, au chapitre de la procédure comme celui de la pratique, que des mesures efficaces pour la protection des renseignements personnels soient intégrées dans ses nouvelles technologies dès la conception des produits.

Conclusion

Le Commissariat continuera de s’assurer que les entreprises tiennent compte de la protection des renseignements personnels avant le lancement de nouveaux produits ou services, afin que les Canadiennes et les Canadiens puissent tirer avantage de produits innovateurs qui ont été conçus dans le respect de leur droit à la vie privée.

Merci.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :