Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes au sujet de la vie privée et les médias sociaux

Le 29 mai 2012
Ottawa (Ontario)

Déclaration prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Monsieur le Président et honorables membres, je tiens à vous remercier de m’avoir invitée à prendre la parole aujourd’hui devant le Comité, au moment où vous commencez à vous pencher sur les entreprises de médias sociaux et les mesures qu’elles prennent pour protéger les renseignements personnels des Canadiens. Je suis accompagnée par deux membres du Commissariat qui sont des spécialistes en matière de médias sociaux, Daniel Caron, conseiller juridique, et Barbara Bucknell, analyste des politiques stratégiques.

Aperçu des médias sociaux

Vous avez probablement tous déjà utilisé les médias sociaux. Ces plateformes en ligne sont devenues d’importants canaux pour diffuser des nouvelles, communiquer, entretenir des relations et partager des photos, des vidéos et pratiquement tous les autres types de fichiers numériques. Permettez-moi en premier lieu de donner un aperçu de l’industrie pour aider à clarifier ce qu’elle fait et l’incidence de ses activités sur la protection de la vie privée des Canadiens.

Les médias sociaux font appel à des applications grâce auxquelles les individus, les organisations et les collectivités peuvent échanger de l’information et produire un contenu. Avec les modèles fonctionnels traditionnels, les entreprises avaient besoin d’obtenir des renseignements personnels pour offrir un service. Aujourd’hui, les individus, jeunes et vieux, partagent volontairement leurs renseignements personnels sur les sites des médias sociaux pour nouer des liens avec d’autres personnes ou, dans certains cas, pour attirer l’attention sur eux-mêmes et sur leurs idées. En fait, nombre de sites de médias sociaux encouragent les utilisateurs à établir un profil indiquant : qui ils sont, ce qui les intéresse, qui ils connaissent et ce qu’ils aiment. Ils sont nombreux à offrir leurs services gratuitement dans l’espoir d’attirer un vaste bassin d’utilisateurs.

Toutefois, il n’est pas tout à fait exact d’affirmer que ces services sont « gratuits ». En un tour de main, les entreprises de médias sociaux parviennent à réunir une quantité astronomique de renseignements personnels. En plus des préférences, des habitudes et des interactions sociales des utilisateurs, elles recueillent une foule de renseignements de base qui ne figurent pas dans le profil public, notamment l’historique des recherches, les achats effectués, les sites Web consultés et le contenu des messages privés. En recueillant ces milliards de données, les entreprises de médias sociaux peuvent analyser le comportement des utilisateurs au moyen d’algorithmes évolués dans le but de personnaliser leurs services et de trouver des façons de générer des revenus. Elles permettent aussi à d’autres, par exemple des chercheurs, des employeurs, des administrateurs scolaires et des organismes d’application de la loi, d’en savoir plus sur les individus et leurs activités.

Nous sommes à l’ère des mégadonnées et les renseignements personnels sont devenus une monnaie d’échange utilisée librement au Canada et ailleurs dans le monde.

Le Commissariat et les médias sociaux

Le Commissariat a pour mandat de s’assurer que le secteur privé respecte la Loi sur la protection des renseignements personnels et les documents électroniques (ou LPRPDE), qui s’applique à l’utilisation commerciale des renseignements personnels par les entreprises de médias sociaux exerçant leurs activités au Canada.

Au cours des cinq dernières années, nous avons fait enquête sur de nombreux acteurs de l’industrie — grands et petits — et nous sommes intervenus auprès d’eux. Une part appréciable des efforts que nous avons récemment consacrés à la recherche et aux politiques visait surtout à comprendre et à expliquer aux autres les répercussions du phénomène des médias sociaux sur la protection de la vie privée.

Nous sommes pleinement conscients de l’importance de l’innovation dans l’économie numérique actuelle et nous tentons de trouver un équilibre raisonnable entre la volonté des entreprises de tester des produits et des services nouveaux et une protection adéquate des renseignements personnels des Canadiens.

Enjeux clés concernant la protection de la vie privée

Cela dit, j’ai commencé à m’inquiéter du fait que certaines entreprises font apparemment fi des lois canadiennes sur la protection de la vie privée. Nous avons accompli des progrès dans le cas de plusieurs d’entre elles, mais j’aimerais mentionner quelques préoccupations importantes auxquelles tous les sites de médias sociaux devraient à mon avis accorder davantage d’attention. Ces préoccupations sont dans l’ordre la responsabilité, le consentement valable, la limitation de l’utilisation et la conservation des données.

Responsabilité

Le premier de ces enjeux est la responsabilité. Il arrive trop souvent que l’on donne suite aux préoccupations concernant la protection de la vie privée uniquement après la découverte d’un problème majeur ou en réponse à une réaction brutale des utilisateurs. Bien que la plupart des grands acteurs semblent progresser sur ce front, le monde des médias sociaux est en constante évolution. On voit pointer à tout moment de nouvelles entités pressées de lancer sur le marché un service inédit. La protection de la vie privée ne semble pas être une priorité à leurs yeux.

C’est l’une des raisons qui ont incité le Commissariat et mes homologues d’Alberta et de Colombie-Britannique à publier récemment à l’intention des entreprises des lignes directrices en matière de responsabilité indiquant les mécanismes internes et les procédures à mettre en place pour protéger la vie privée, y compris la désignation d’une personne chargée de cet aspect.

Consentement valable

Le consentement valable représente aussi un enjeu crucial. Les entreprises de médias sociaux doivent expliquer clairement à quelles fins elles recueillent, utilisent et divulguent des renseignements personnels et préciser quels tiers — par exemple les développeurs d’applications — y ont accès. Et elles doivent obtenir un consentement sans équivoque des utilisateurs.

Il s’agit d’un défi de taille parce que les politiques régissant la protection de la vie privée sont généralement trop longues et alambiquées et que, dans une large mesure, les utilisateurs n’en tiennent pas compte. Les entreprises de médias sociaux et les autorités chargées de la protection des données doivent se dépasser pour atteindre un juste équilibre. Il faut communiquer une information adéquate que les utilisateurs peuvent facilement lire et comprendre pour ensuite donner leur consentement en toute connaissance de cause.

Le fait que les enfants sont de plus en plus jeunes lorsqu’ils commencent à naviguer dans Internet complique encore davantage la question du consentement. Les utilisateurs les plus jeunes ne sont peut-être pas encore en mesure de donner le consentement valable exigé par la Loi sur la protection des renseignements personnels et les documents électroniques.

Limitation de l’utilisation

L’enjeu suivant est la limitation de l’utilisation. Les services offerts par les médias sociaux évoluent constamment pour des raisons d’innovation et de concurrence, ce qui ouvre la voie à des utilisations nouvelles et parfois inattendues — voire indésirables — des renseignements personnels. Il est important de bien renseigner les utilisateurs en leur expliquant sans tarder les nouvelles fonctionnalités et en leur demandant de consentir, de manière informée, aux utilisations nouvelles des renseignements personnels. À mon avis, il nous faut aussi en apprendre davantage sur les façons dont les renseignements personnels sur ces sites pourraient être utilisés, au-delà de la publicité. Il incombe aux entreprises de médias sociaux et à toutes les autres organisations de faire preuve d’une transparence exemplaire quant aux pratiques concernant les renseignements personnels.

Conservation des données

Le fait que des organisations n’établissent pas de calendrier de conservation des données et n’offrent aux utilisateurs aucune option pour supprimer véritablement leurs renseignements personnels constitue un autre sujet de préoccupation. Les entreprises de médias sociaux doivent indiquer clairement combien de temps elles conservent les renseignements personnels recueillis. Elles doivent aussi préciser le traitement distinct qu’elles réservent aux renseignements personnels selon qu’un compte est désactivé ou réellement supprimé. La Loi sur la protection des renseignements personnels et les documents électroniques oblige les entreprises à détruire les données dont elles n’ont plus besoin aux fins visées.

Les grandes quantités de données, souvent stockées dans d’autres pays, peuvent également poser des problèmes de sécurité.

Honorables membres, au moment de vous pencher sur la protection des renseignements personnels dans les médias sociaux, il pourrait être utile de vous appuyer sur les principes de responsabilité, de consentement valable, de limitation de l’utilisation et de conservation des données pour évaluer la façon dont les médias sociaux protègent les renseignements personnels des Canadiens.

Conclusion

Plus de 2 000 Canadiens ont récemment participé à un sondage d’opinion sur les médias sociaux réalisé à la demande du Commissariat. D’après 83 % des répondants, les entreprises en ligne devraient être tenues d’obtenir une autorisation explicite pour surveiller l’utilisation du Web par les internautes et leur comportement en ligne. De toute évidence, les Canadiens attachent beaucoup d’importance à la protection de leur vie privée en ligne. C’est pourquoi nous jugeons primordial d’obliger les entreprises à rendre compte de la façon dont elles recueillent et utilisent les renseignements personnels.

Le Commissariat a fait des progrès constants sur ce front en utilisant les outils à sa disposition en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, mais je pense qu’il nous reste encore beaucoup à faire. Les entreprises numériques qui se servent d’Internet et des technologies mobiles pour recueillir et partager les renseignements personnels sont appelées à avoir une portée de plus en plus grande au cours des années à venir.

Le Commissariat a effectué des recherches et des analyses approfondies en prévision du deuxième examen quinquennal obligatoire de la Loi sur la protection des renseignements personnels et les documents électroniques par le Parlement, qui est maintenant échu. Nous réfléchissons attentivement à la façon dont nous pourrions moderniser le régime actuel, qui a été mis en place avant tous ces progrès technologiques novateurs. La priorité consiste à déterminer les mesures à prendre pour renforcer les pouvoirs actuels en matière d’application de la loi afin de freiner la tendance à la non-conformité de l’industrie et d’encourager les entreprises à assumer une responsabilité accrue à l’égard des renseignements personnels qu’elles recueillent, utilisent et partagent avec d’autres.

Depuis quelques années, nous observons à l’échelle internationale une tendance au renforcement des pouvoirs d’application de la loi. Le Canada a longtemps été un chef de file des lois qui protègent la vie privée, mais nous risquons maintenant de perdre du terrain.

Je suis impatiente d’exposer en détail au cours de l’examen parlementaire la position adoptée par le Commissariat sur cette question.

Je me ferai maintenant un plaisir de répondre à vos questions.

Date de modification :