Comparution devant le Comité permanent de l’industrie, des sciences et de la technologie (INDU) concernant l’examen de la Loi canadienne anti-pourriel

Le 24 octobre 2017
Ottawa (Ontario)

Déclaration prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Je vous remercie de m’avoir invité à comparaître devant vous aujourd’hui dans le cadre de votre examen de la Loi canadienne anti-pourriel (LCAP).

Contexte

La LCAP a eu une incidence positive en aidant à lutter contre les pourriels et à contrer certaines menaces en ligne pouvant nuire aux Canadiens.

Trois organismes d’application de la loi ont la responsabilité d’assurer la conformité à la LCAP. Ce sont le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), le Bureau de la concurrence et le Commissariat à la protection de la vie privée du Canada.

Pour sa part, le Commissariat est chargé de faire enquête sur la collecte d’adresses électroniques et l’utilisation de logiciels espions. Ces deux activités supposent généralement la collecte et l’utilisation de renseignements personnels sans le consentement des intéressés.

Cette responsabilité fait partie intégrante du mandat général qu’exerce le Commissariat en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette loi établit les règles régissant la collecte, l’utilisation et la communication de renseignements personnels dans le cadre d’activités commerciales.

De plus, la LCAP autorise les trois organismes à échanger de l’information et à collaborer pour faire appliquer la loi.

Nous nous sommes efforcés d’établir un dialogue avec nos partenaires dans l’application de la LCAP afin d’utiliser plus efficacement les compétences et les ressources existantes au niveau fédéral.

Par exemple, nous avons eu accès au Centre de notification des pourriels du CRTC et nous l’avons utilisé pour nous aider à identifier les auteurs des collectes d’adresses électroniques ou les entités soupçonnées de propager des logiciels espions.

Première enquête du Commissariat sous le régime de la LCAP

J’ai pris l’initiative de notre première enquête sous le régime de la LCAP après avoir examiné plusieurs plaintes déposées auprès du Centre de notification des pourriels concernant Compu-Finder. Cette entreprise établie au Québec offre des cours de formation professionnelle.

Compu-Finder utilisait des adresses de courriel – dont certaines avaient été recueillies au moyen d’un logiciel de collecte d’adresses – pour envoyer à répétition des courriels à des individus, souvent sans avoir obtenu un consentement valable.

Nous avons collaboré avec le CRTC et échangé de l’information avec l’organisation. Les résultats de notre enquête, qui a pris fin en 2016, ont eu une grande importance pour les Canadiens.

Notre enquête a permis à Compu-Finder d’améliorer ses pratiques. Elle a aussi donné aux entreprises en général une orientation sur le marketing par courriel responsable qui respecte les renseignements personnels des individus.

Dossier Wajam

Nous avons tout récemment mené une enquête sur l’entreprise canadienne Wajam, qui distribuait son logiciel comme complément non sollicité à d’autres logiciels gratuits.

Le logiciel suit les requêtes de recherche en ligne de l’utilisateur et ajoute les résultats de recherche au contenu partagé par les contacts de l’utilisateur dans les réseaux sociaux.

Notre enquête a révélé que Wajam n’obtenait pas un consentement valable des utilisateurs pour installer le logiciel et qu’elle les empêchait de retirer leur consentement en rendant difficile la désinstallation du logiciel.

Par suite de notre enquête, l’entreprise a cessé d’offrir le logiciel au Canada et elle a mis fin à la collecte de renseignements personnels auprès des Canadiens qui avaient déjà installé le logiciel. Elle s’est aussi engagée à détruire tous les renseignements qu’elle possédait sur les utilisateurs canadiens.

Changements technologiques

Par leur nature, les logiciels espions et la collecte d’adresses électroniques représentent de graves menaces. Et les Canadiens peuvent avoir de la difficulté à les détecter.  

Il est peu probable que les plaintes traditionnellement déposées par les consommateurs portent sur ces pratiques.

C’est ce qui nous amène à adopter une approche en matière d’application de la loi plus proactive pour les questions concernant la LCAP, par exemple en menant davantage d’enquêtes de notre propre initiative, entre autres celles dont je viens tout juste de vous parler.

Dans le contexte de la LCAP, nous concentrons aussi nos efforts sur :

  • la sensibilisation;
  • la publication de matériel éducatif et de documents d’orientation pour aider les consommateurs et les organisations à protéger leurs ordinateurs, et;
  • la compréhension des logiciels espions et des rançongiciels.

Modifications apportées à la LPRPDE par suite de l’adoption de la LCAP qui ne visent pas les pourriels

J’aimerais mentionner aussi les modifications suivantes apportées à la LPRPDE par suite de l’adoption de la LCAP qui ont amélioré nos résultats globaux sur le plan de la conformité.

Ainsi, le pouvoir de refuser de faire enquête ou de mettre fin à une enquête nous a fait avancer en nous permettant de nous concentrer sur les pratiques qui posent le plus de risques pour les Canadiens.

Cela dit, les ressources que nous consacrons à l’application de la loi demeurent hypothéquées par un volume continuellement élevé de plaintes. Il est donc difficile de réaliser mon objectif consistant à faire progresser nos efforts proactifs afin de mieux servir les Canadiens.

Grâce à une autre modification apportée à la LPRPDE, nous avons maintenant le pouvoir de collaborer et d’échanger des renseignements avec des organismes analogues au nôtre au pays et à l’étranger. Cette modification a eu une incidence profonde sur la capacité du Commissariat à obtenir des résultats percutants sur le plan de l’application de la loi à l’échelle mondiale.  

Depuis l’entrée en vigueur de ces dispositions en 2011, le Commissariat a participé à de nombreuses enquêtes en collaboration et enquêtes conjointes. Mentionnons entre autres l’enquête de 2013 sur WhatsApp. Il s’agissait de notre première enquête conjointe, menée avec l’autorité néerlandaise de protection des données. Nous avons aussi ouvert l’an dernier une enquête conjointe sur Ashley Madison avec le Commissariat à l’information de l’Australie et la Federal Trade Commission des États-Unis.

Éléments de réflexion pour le Comité

Il y a peu de temps que la LCAP a été adoptée et nous en sommes encore à prendre de l’expérience.

D’après ce que j’ai constaté jusqu’à présent, la loi a mis à la disposition du Commissariat de précieux outils supplémentaires.

Mais j’estime que le Comité devrait envisager d’apporter les modifications suivantes à la LCAP.

1. Donner plus de souplesse au Commissariat pour lui permettre d’échanger des renseignements avec le CRTC et le Bureau de la concurrence.

À l’heure actuelle, en vertu des articles 58 et 59 de la LCAP, les trois organismes peuvent échanger des renseignements et les utiliser, mais uniquement aux fins liées à l’application de la LCAP mentionnées dans ces articles.

Comme je l’ai déjà mentionné, la LCAP a aussi entraîné des modifications à la LPRPDE qui confèrent au Commissariat le pouvoir d’échanger des renseignements avec des organismes analogues au nôtre au Canada et à l’étranger. Mais ni le CRTC ni le Bureau de la concurrence ne font partie de ces organismes.

Au cours d’enquêtes antérieures menées sous le régime de la LPRPDE à l’extérieur du cadre de la LCAP, certaines questions chevauchaient nos domaines de compétence et ceux du CRTC ou du Bureau de la concurrence. Nous estimons qu’il aurait été utile de pouvoir échanger des renseignements dans ces cas.

Pour corriger la situation, le législateur pourrait modifier la LPRPDE ou la LCAP afin de donner plus de latitude au Commissariat pour l’échange des renseignements avec le CRTC ou le Bureau de la concurrence afin de traiter les questions qui touchent à la fois la protection des consommateurs et la protection de la vie privée.

2. Clarifier l’article 2 de la LCAP, selon lequel cette loi a primauté sur la LPRPDE en cas de divergence.  

Nous aimerions que le législateur reformule l’article 2 pour indiquer que les dispositions de la LCAP peuvent s’ajouter à celles de la LPRPDE, mais non abaisser les normes qu’elle fixe.

Il ne s’agit pas d’une préoccupation abstraite. Nous avons déjà traité un cas où l’organisation faisait valoir qu’elle n’avait pas à se conformer à la LPRPDE en raison d’une exception prévue par la LCAP.

À ce sujet, j’invite les membres du Comité à consulter notre rapport de conclusions sur Compu-Finder. Ce rapport montre bien pourquoi des clarifications s’imposent.

3. Clarifier le paragraphe 7.1(3) concernant les logiciels espions.

Par suite de l’adoption de la LCAP, la LPRPDE a éliminé la possibilité d’avoir recours aux exceptions en matière de consentement pour justifier la collecte ou l’utilisation de renseignements personnels par une organisation utilisant ou faisant utiliser un ordinateur en contravention d’une loi fédérale.

Il faudrait clarifier davantage le paragraphe. La mention de l’utilisation d’un ordinateur « en contravention d’une loi fédérale » devrait préciser explicitement l’installation non autorisée d’un logiciel au sens de l’article 8 de la LCAP.

Autrement dit, lorsqu’une organisation installe un logiciel sur l’ordinateur d’un individu sans avoir obtenu son consentement, contrevenant ainsi à la LCAP, elle ne devrait pas être autorisée par la LPRPDE à utiliser le logiciel pour recueillir des renseignements personnels sur cet ordinateur ni pour les utiliser.

Selon nous, il faudrait l’indiquer clairement dans le paragraphe 7.1(3) de la LPRPDE.

Conclusion

Le Commissariat travaille avec diligence pour sensibiliser les individus et les organisations aux répercussions des technologies numériques, des tendances sociales et des pratiques commerciales sur la vie privée. Il s’efforce aussi de mettre en œuvre des mesures de protection de la vie privée.

L’application de la LCAP est un volet essentiel de ses activités dans le domaine.

Les individus devraient prendre des mesures pour connaître les risques et protéger leurs renseignements personnels, mais ils ne devraient pas en avoir seuls le fardeau.

Les organisations doivent elles aussi apporter leur contribution.

Je vous remercie. Je suis maintenant prêt à répondre à vos questions.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :