Une garderie modifie son système de surveillance par cybercaméra pour améliorer la protection de la vie privée

Rapport des conclusions en vertu de la LPRPDE no 2011-008


Lorsqu’il a inscrit son fils dans une garderie privée, le plaignant a été informé que les parents pouvaient, moyennant des frais, bénéficier d’un service de cybercaméra pour observer en temps réel leur enfant dans les locaux de la garderie. Les parents pouvaient visionner les images captées au moyen d’Internet après avoir entré un mot de passe unique.

La garderie a déclaré qu’elle avait mis en place le service de cybercaméra pour deux raisons : pour surveiller le local à des fins de sécurité, et pour rassurer les parents quant à l’environnement dans lequel évoluaient leurs enfants.

La garderie a informé le Commissariat à la protection de la vie privée qu’environ 60 p. 100 des parents des enfants inscrits avaient choisi de bénéficier du service de cybercaméra.

Le plaignant a appris par la suite que les images captées par cybercaméra étaient enregistrées. Il a avisé la garderie qu’il s’opposait à cet enregistrement et qu’il estimait qu’aucune mesure adéquate de protection de la vie privée n’était en place.

Après avoir reçu notification de l’enquête, la garderie a effacé ses fichiers vidéo enregistrés et a modifié son système de manière à ne plus enregistrer les images vidéo captées par sa cybercaméra. Elle a également instauré une politique en matière de respect de la vie privée obligeant tous les parents à signer un formulaire de consentement à l’égard de la surveillance par cybercaméra, qu’ils décident ou non de souscrire à ce service.

La garderie a reconnu que les parents pouvaient enregistrer et envoyer les images captées par la cybercaméra après les avoir visionnées sur leur ordinateur personnel. À la suggestion du Commissariat, la garderie a demandé aux parents qui utilisent le service de cybercaméra de signer un contrat en vertu duquel ils s’engageaient à ne pas enregistrer les images en question et à ne pas divulguer le mot de passe qui leur avait été assigné.

La garderie a mis en œuvre l’ensemble des recommandations du Commissariat et nous avons conclu que la plainte était réglée.

Leçons apprises

  • Des mesures de sécurité technologiques et contractuelles peuvent s’imposer pour assurer une protection adéquate lorsqu’il est question de renseignements personnels concernant des enfants – surtout s’il s’agit de renseignements personnels très délicats comme la lecture en transit de fichiers visuels de très jeunes enfants.
  • Dans ce contexte, un consentement valable suppose que les parents ont été avertis des risques relatifs aux renseignements personnels de leurs enfants qui ne peuvent être écartés au moyen de la technologie.
  • Le caractère volontaire du consentement est pertinent lorsqu’il s’agit de déterminer si un consentement a été obtenu en bonne et due forme, en se demandant, par exemple, si le parent peut raisonnablement accéder à des services de garderie sans surveillance vidéo.

Rapport de conclusions

Plainte déposée aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

1. Le plaignant allègue qu’une garderie (la garderie)

  1. aurait recueilli des renseignements personnels concernant son enfant sans son consentement;
  2. n’aurait pas adéquatement protégé les renseignements personnels concernant son enfant.

Résumé de l’enquête

2. L’enfant du plaignant fréquentait la garderie.

3. Durant l’inscription, la garderie a avisé le plaignant que, moyennant des frais, les parents pouvaient bénéficier de son service de cybercaméra pour observer leur enfant dans son local en temps réel. Les salles de bains et les endroits où se trouvent les tables à langer ne sont pas filmés.

4. Chaque parent dispose d’un mot de passe unique dont il se sert pour accéder à la cybercaméra au moyen d’Internet.

5. La garderie a déclaré qu’elle avait mis en place le programme de surveillance par cybercaméra pour deux raisons :

  1. permettre au personnel de la garderie de surveiller les locaux à des fins de sécurité;
  2. rassurer les parents quant à l’environnement dans lequel évoluaient leurs enfants.

6. Le programme de surveillance par cybercaméra a été instauré après avoir consulté certains parents, sachant que des organisations du même genre qui l’avaient adopté avaient indiqué que les parents en étaient satisfaits et qu’il leur procurait une tranquillité d’esprit.

7. Au début de notre enquête, nous avons été informés qu’environ 60 p. 100 des parents des enfants inscrits à la garderie avaient choisi de bénéficier du service de cybercaméra. Le degré de participation a varié au cours notre enquête, chutant jusqu’à 16 p. 100. D’après les dernières données recueillies par le Commissariat, près de 25 p. 100 des parents sont actuellement inscrits comme utilisateurs du service de cybercaméra. Plus l’enfant est jeune, plus la participation des parents est importante.

8. L’organisation précise qu’aucune autre méthode ne permettrait aux parents d’observer ainsi leur enfant dans l’environnement de la garderie.

9. En mars 2007, le plaignant a découvert que la garderie enregistrait et conservait les images captées par sa cybercaméra.

10. Le plaignant a avisé la garderie qu’il s’opposait à ce que les images filmées par cybercaméra soient enregistrées, estimant qu’il n’existait aucune mesure de sécurité adéquate.

11. Après avoir reçu notification des préoccupations du plaignant, la garderie a effacé les fichiers vidéo qu’elle avait sauvegardés, et modifié ses systèmes de manière à ne plus enregistrer les séquences vidéo de sa cybercaméra.

12. La garderie a également mis en place une politique de protection de la vie privée qui oblige tous les parents (y compris ceux qui bénéficient actuellement du programme) à signer un formulaire de consentement relatif à la cybercaméra, qu’ils choisissent ou non de souscrire à ce service. Grâce à ce protocole, tous les parents d’enfants actuellement inscrits à la garderie connaissent l’existence de la cybercaméra et ont été tenus de signer le formulaire de consentement, qu’ils utilisent ou non ce service.

13. Pendant notre enquête, le système de cybercaméra a été configuré de manière à ce qu’un mot de passe soit réclamé toutes les quinze minutes. Si le mot de passe n’est pas saisi de nouveau, la surveillance par cybercaméra ne peut se poursuivre.

14. La garderie a reconnu qu’un parent serait en mesure, s’il le souhaitait, d’enregistrer et de diffuser des renseignements visualisés sur un ordinateur personnel grâce à sa cybercaméra. Par exemple, un parent pourrait enregistrer les images vidéo visionnées par le biais de la cybercaméra et les diffuser ensuite sur YouTube.

15. Comme aucune mesure de sécurité technologique n’empêchait les parents d’enregistrer les images visionnées grâce à la cybercaméra et de les partager, le Commissariat a demandé que la garderie s’assure que les parents qui souscrivent à son service de surveillance signent un contrat dans lequel ils s’engagent à ne pas enregistrer les renseignements relayés par la cybercaméra et à ne pas divulguer le mot de passe qui leur a été assigné. La garderie a répondu qu’elle avait récemment mis en œuvre une telle mesure. L’actuelle Politique de visionnement par cybercaméra prévoit à présent que [traduction] « les parents qui utilisent le service de cybercaméra signent un contrat par lequel ils s’engagent à ne pas enregistrer les images relayées par la cybercaméra, à ne pas divulguer le mot de passe qui leur a été assigné et à faire en sorte que ce service ne soit utilisé par personne d’autre qu’eux. »

16. La garderie précise toutefois qu’elle ne connaît aucun mécanisme lui permettant de savoir en temps utile s’il y a eu violation de contrat, et en particulier si le téléchargement continu a été enregistré. Elle ajoute qu’elle ignore quelles solutions techniques lui permettraient d’empêcher le téléchargement et la diffusion des images captées par la cybercaméra. La garderie note néanmoins que le programme existe depuis août 2000 et qu’aucun incident ni aucune violation apparente ou réelle de protocole ou utilisation abusive des données n’ont été rapportés.

Application

17. Pour parvenir à nos conclusions, nous avons appliqué le paragraphe 5(3) et les principes 4.3, 4.3.2, 4.7 et 4.7.1 de l’annexe 1 de la Loi.

18. Le paragraphe 5(3) prévoit qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

19. Le principe 4.3 précise que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

20. En vertu du principe 4.3.2, « il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement ». Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, cet usage doit être énoncé de manière à ce que la personne intéressée puisse raisonnablement comprendre comment les renseignements seront employés ou communiqués.

21. Le principe 4.7 de l’annexe 1 indique que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

22. Le principe 4.7.1 prévoit que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.

Conclusions

Le 5 août 2011

23. Dans son rapport d’enquête daté du 29 mars 2010, le Commissariat estimait tout d’abord que la garderie ne s’était pas conformée aux principes 4.7 et 4.3 ni au paragraphe 5(3).

24. Le rapport d’enquête recommandait donc que la garderie mette fin au programme de surveillance par cybercaméra. La réponse écrite de la garderie, expliquant comment elle entendait mettre en œuvre cette recommandation, était attendue dans les 30 jours suivant la date du rapport. Si elle avait la preuve qu’elle n’était pas en mesure de le faire, elle devait la fournir et indiquer au Commissariat dans les 30 jours suivant la date de la lettre explicative comment elle s’y prendrait pour adopter d’autres mesures de conformité adéquates. Sur réception des renseignements requis, ou à la fin de la période de 30 jours, nous devions rendre nos conclusions.

25. Cependant, nous avons jugé nécessaire de formuler des recommandations additionnelles à la garderie après notre rapport d’enquête initial. Voici la version originale du rapport de conclusions préliminaire :

Mesures de sécurité

26. S’agissant des mesures de sécurité exigées en vertu du principe 4.7, la garderie a soulevé plusieurs points. Elle a tout d’abord fait valoir que l’intégrité de son service de visionnement par cybercaméra était fondée sur les obligations contractuelles des parties. L’organisation soutient par ailleurs qu’il est déraisonnable d’adhérer à un principe qui, à la connaissance des parties concernées, n’a pas encore été violé. Elle précise que ses propres politiques en matière de protection de la vie privée prendront acte [traduction] « […] des préoccupations de la Commission [à ce chapitre] et qu’elles s’emploieront à les régler. »

27. Les mesures de sécurité ne sont manifestement pas des garanties, mais elles jouent un rôle préventif important dans la protection de la vie privée.

28. Aux termes du principe 4.7 de la Loi, il incombe aux organisations d’utiliser des mesures de sécurité correspondant au degré de sensibilité des renseignements. Nous estimons que les données liées à la surveillance vidéo en temps réel d’un enfant – que l’on peut voir sur Internet – sont des renseignements personnels extrêmement délicats. Des mesures de sécurité rigoureuses s’imposent donc.

29. En vertu du principe 4.7.1, la garderie est tenue de protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. La garderie doit donc prendre des mesures raisonnables pour s’assurer que les parents n’utilisent pas la retransmission vidéo de la cybercaméra à d’autres fins ou à des fins non autorisées (par exemple, enregistrer et diffuser des images vues sur le Web).

30. Durant l’enquête, la garderie a amélioré ses mesures de sécurité organisationnelles et technologiques en cessant d’enregistrer la retransmission vidéo, en mettant en œuvre une politique de protection de la vie privée et en rehaussant les modalités de protection des mots de passe.

31. Notre enquête a révélé qu’il est raisonnable de s’attendre à ce que la garderie continue d’améliorer ses mesures de sécurité technologiques. De nouvelles recommandations en ce sens sont formulées plus loin au paragraphe 34 (i - iii).

32. Notre enquête a également confirmé qu’il n’existe aucun autre moyen technologique que la garderie pourrait raisonnablement mettre en œuvre pour protéger la retransmission vidéo contre la copie, l’utilisation ou la modification non autorisées par les parents qui y ont légitimement accès.

33. C’est donc à la garderie qu’il incombe de prévoir des clauses contractuelles additionnelles visant à empêcher un tel emploi inadéquat puisque, comme elle l’a reconnu, la sécurité de son service de visionnement par cybercaméra dépend en grande part de la solidité de son entente contractuelle avec les parents.

34. Par conséquent, nous recommandons que la garderie améliore ses mesures de protection technologiques et contractuelles :

  1. en adoptant des mesures pour s’assurer que la liste des utilisateurs autorisés et des mots de passe qui leur sont associés soit tenue à jour en fonction du roulement des inscriptions et des départs; cela pourrait nécessiter l’établissement de politiques et de procédures de désactivation des mots de passe périmés;
  2. en activant la fonction HTTPS pour les connexions au service vidéo, ce qui assurera le cryptage de toutes les données circulant entre le service vidéo et le client et permettra d’identifier formellement ce service;
  3. en s’assurant que les registres de services recueillis par le système soient régulièrement passés en revue à la recherche d’activités inhabituelles (par exemple, plusieurs tentatives ratées d’ouverture de session, utilisation par d’anciens clients);
  4. en incluant dans sa Politique de visionnement par cybercaméra et dans les formulaires de consentement une disposition prévoyant d’importantes conséquences formulées en des termes clairs en cas de violation de contrat, notamment la révocation des privilèges de visionnement par cybercaméra du parent et, en cas de violations graves ou répétées, l’annulation de l’inscription de l’enfant à la garderie;
  5. en incluant dans sa Politique de visionnement par cybercaméra et les formulaires de consentement une déclaration indiquant que l’intégrité de cette politique repose en définitive sur le respect de ses modalités par les parents, puisqu’aucune technologie ne permet de les faire appliquer. Il s’agira d’un moyen de prévenir les parents qui n’ont pas choisi de bénéficier du service de cybercaméra que certains risques ne peuvent être évités au moyen de la technologie, et d’inciter les parents participants à respecter leurs obligations contractuelles.

Consentement

35. En ce qui concerne le consentement, la garderie a souligné que tous les parents dont les enfants sont inscrits doivent à présent donner leur accord pour la surveillance de leurs enfants et signer un formulaire de consentement en ce sens (Politique de visionnement par cybercaméra). Les parents qui refusent de signer ce formulaire ne peuvent inscrire leurs enfants à la garderie. La mise en cause a ensuite évoqué la popularité de ce type de surveillance dans le secteur des garderies.

36. La garderie déclare s’être acquittée de ses obligations en vertu de la Loi pour ce qui est de la collecte, de l’utilisation et de la communication des renseignements en cause puisque chaque participant au programme fournit un consentement clair. Elle estime que le consentement fourni par les parents à l’égard du programme de surveillance est direct et explicite, et qu’il est donné en toute connaissance de la nature du programme, de son utilisation et de ses objectifs.

37. Nous avons examiné le formulaire de consentement maintenant remis aux parents qui participent au programme (Politique de visionnement par cybercaméra). Il y est clairement stipulé en italique que ceux-ci doivent s’engager à ne pas enregistrer les images relayées par la cybercaméra et veiller à ce que le mot de passe qui leur a été personnellement assigné demeure confidentiel. Le formulaire les informe aussi explicitement que le système de cybercaméra permet à d’autres parents de visionner des images d’enfants qui ne sont pas les leurs.

38. Le consentement des parents sera plus éclairé lorsque les recommandations énoncées aux sous-alinéas 34(iv) et (v) du présent rapport seront mises en œuvre : ils seront ainsi informés des limites technologiques et contractuelles à la protection complète des renseignements personnels.

39. Quant au caractère volontaire du consentement, nous n’avons découvert aucun élément de preuve démontrant que le consentement des parents n’est pas volontaire.

40. Les systèmes de surveillance par cybercaméra comme celui qu’utilise la garderie ne semblent pas très répandus dans le secteur de la garde d’enfants.

41. Notre enquête a établi que plusieurs autres garderies agréées qui n’utilisent pas la surveillance par cybercaméra sont exploitées dans la même zone géographique que la garderie et le domicile du plaignant. Une consultation auprès du ministère des Services à l’enfance et à la jeunesse de l’Ontario a révélé que sur les 4 784 programmes agréés de garde d’enfants actifs dans cette province, seuls 61 offrent la retransmission vidéo en temps réel.

42. Comme les parents disposeraient, pour la garde de leurs enfants, de solutions de rechange qui ne prévoient pas de retransmission vidéo en temps réel, rien ne prouve que leur consentement n’est pas libre ou volontaire.

Fins raisonnables

43. Le paragraphe 5(3) de la Loi prévoit qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

44. Bien qu’un consentement ne suffise pas en soi à rendre acceptable une utilisation des renseignements personnels qui ne l’est pas, le fait que les clients de la garderie aient consenti à la surveillance de leurs enfants sur la foi de ce qu’ils ont lu et compris dans la Politique de visionnement par cybercaméra de la garderie est un facteur qui guidera notre analyse.

45. Ces parents ont maintenant reçu des renseignements leur permettant de comprendre certains des risques et répercussions inhérents à la surveillance vidéo, et on peut considérer qu’ils ont jugé acceptables les fins pour lesquelles la garderie effectue une surveillance de leurs enfants, sur la foi de tous les renseignements disponibles.

46. Une fois que les recommandations du paragraphe 34 formulées par le Commissariat à l’intention de la garderie auront été mises en œuvre, les parents seront mieux informés des risques et des répercussions additionnels de la surveillance vidéo découlant de l’impuissance de la garderie à limiter par des moyens technologiques la capacité des parents de reproduire et de diffuser ensuite les images de la retransmission vidéo.

47. Compte tenu des mesures prises par la garderie pour obtenir des consentements plus valables et éclairés, de la preuve dont nous disposons depuis notre rapport initial concernant la vaste disponibilité de garderies qui n’utilisent pas de dispositif de surveillance par cybercaméra et du manque de données probantes sur les effets néfastes à long terme de la tendance à une surveillance accrue de nos enfants, nous ne pouvons conclure pour le moment que la fin pour laquelle la garderie destine les renseignements personnels qu’elle collecte est inacceptable ou déraisonnable.

48. Par conséquent, nous ne recommandons plus que l’organisation mette fin à sa surveillance par cybercaméra.

49. Nous exigeons que la garderie :

  1. adopte ou s’engage par écrit à adopter les mesures de protection technologiques décrites aux alinéas (i) à (iii) du paragraphe 34 du présent rapport;
  2. fournisse au Commissariat une version révisée et à jour de sa Politique de visionnement par cybercaméra ainsi que du formulaire de consentement dans lequel elle aura intégré les recommandations énoncées aux alinéas (iv) et (v) du paragraphe 34

et ce, dans les 30 jours suivant la date du présent rapport.

Réponse aux recommandations

50. En juillet 2011, la garderie a avisé le Commissariat qu’elle avait mis en œuvre l’ensemble de nos recommandations :

  1. La liste des utilisateurs et des mots de passe qui leur sont associés est constamment mise à jour. Cette liste est examinée tous les mois et les mots de passe sont désactivés dès que les parents avisent la compagnie ou cessent de payer pour le service.
  2. La fonction HTTPS pour les connexions au service vidéo a été activée pour assurer le cryptage de toutes les données circulant entre le service vidéo et les clients.
  3. Le fournisseur de services de TI examinera régulièrement les registres de services liés à la cybercaméra et s’assurera que cette opération est effectuée régulièrement pour détecter des activités inhabituelles (par exemple, plusieurs tentatives ratées d’ouverture de session, utilisation par d’anciens clients);
  4. La Politique de visionnement par cybercaméra et les formulaires de consentement ont été mis à jour et contiennent à présent une disposition prévoyant d’importantes conséquences formulées en des termes clairs en cas de violation de contrat, notamment la révocation des privilèges de visionnement par cybercaméra du parent et, en cas de violations graves et répétées, l’annulation de l’inscription de l’enfant à la garderie;
  5. La Politique de visionnement par cybercaméra et les formulaires de consentement ont été mis à jour et stipulent que l’intégrité de la politique de visionnement par cybercaméra repose en définitive sur le respect des conditions de l’entente par les parents, puisqu’il n’existe aucune technologie permettant de les faire appliquer. Cette nouvelle déclaration informera les parents qui n’ont pas souscrit au service vidéo que certains risques ne peuvent être évités au moyen de la technologie, et incitera les parents participants à respecter leurs obligations contractuelles.

51. Comme la garderie a mis en œuvre l’ensemble de nos recommandations, nous estimons que son service de cybercaméra satisfait à présent aux exigences de la Loi.

Conclusion

52. Par conséquent, le Commissariat conclut que l’affaire est réglée.

 

Date de modification :