Examen des pratiques de gestion du trafic Internet des fournisseurs de services Internet

Répliques finales du Commissariat à la protection de la vie privée du Canada à l'intention du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC)

Juillet 2009


En novembre 2008, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a entamé une instance publique afin d’examiner les pratiques de gestion du trafic Internet des fournisseurs d’accès Internet (FAI).

Le CRTC a demandé à recevoir des observations écrites en février 2009. Le CPVP a profité volontiers de cette occasion de contribuer à la discussion publique au sujet de la protection des renseignements personnels sur Internet et a présenté des commentaires.

Dans le cadre de l’instance d’examen, le CRTC a tenu des audiences publiques du 6 au 14 juillet 2009. Toutes les parties qui avaient présenté des observations ont été invitées à y prendre part. Les parties ont également eu l’occasion de présenter des observations finales au plus tard le 28 juillet 2009. Les observations finales ont pour objet de donner aux parties une dernière chance d’aborder des enjeux soulevés dans le cadre de l’instance. Les observations finales visent également à confirmer que le CRTC dispose d’un dossier aussi complet que possible des enjeux et des témoignages pertinents, qui pourraient servir d’assise à des politiques, ordonnances ou décisions de télécom éventuelles au sujet de la gestion du trafic Internet.

La présentation originale et les observations finales du CPVP ont été faites conformément à notre mandat de protéger le droit des personnes à la vie privée, de favoriser la connaissance du public au sujet du droit à la vie privée et de promouvoir les mécanismes de protection de la vie privée disponibles au Canada. Les deux présentations du CPVP dans cette instance sont focalisées sur l’incidence sur la vie privée des utilisations potentielles de l’inspection approfondie des paquets (IAP) et, en termes plus généraux, du besoin crucial des Canadiennes et des Canadiens de protéger leurs renseignements personnels en ligne — et des attentes grandissantes en la matière.


Le 28 juillet 2009

M. Robert A. Morin
Secrétaire général
Conseil de la radiodiffusion et des télécommunications canadiennes
Ottawa (Ontario)
K1A 0N2

Objet : Avis public de Télécom CRTC 2008 19 — Examen des pratiques de gestion du trafic Internet des fournisseurs de services Internet; Répliques finales du Commissariat à la protection de la vie privée du Canada

Monsieur,

1. Le 18 février 2009, en tant que partie à mentionée ci-haut, le Commissariat à la protection de la vie privée du Canada (CPVP)Note de bas de page 1 a formulé des observationsNote de bas de page 2 à l’intention du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), conformément à son mandat législatif de protéger le droit à la vie privée des gens et de promouvoir les mesures de protection de la vie privée offertes aux Canadiennes et aux CanadiensNote de bas de page 3.

2. Les observations initiales du CPVP portaient sur les conséquences des pratiques de gestion du trafic Internet des fournisseurs de services Internet (FSI) sur la vie privée. Plus précisément, le CPVP abordait les préoccupations liées à l’incidence de l’utilisation possible de l'inspection approfondie des paquets (IAP) sur la vie privée.

3. Du 6 au 14 juillet 2009, le CRTC a tenu sept jours d’audiences publiques (audiences) aux fins de l’instance. Le CRTC a entendu les témoignages de divers groupes de défense de l'intérêt public, organisations industrielles, fabricants d’équipements et de matériel technologique servant à gérer les réseaux, FSI et autres personnes concernées.

4. Le CRTC a donné aux parties la possibilité de répondre aux questions soulevées au cours de l’instance par l’intermédiaire de répliques finales. Ces observations constituent la réponse finale du CPVP aux questions sur la vie privée soulevées par le Comité du CRTC et les parties aux audiences.

5. Le CPVP reconnaît que les FSI et d’autres parties ont déclaré dans leur témoignage devant le Comité d’audience que les opérateurs de réseaux de télécommunications n’ont actuellement pas recours à l’IAP à des fins autres que la gestion des réseaux. Les FSI ont déclaré que les renseignements personnelsNote de bas de page 4 des clients qui sont traités selon les pratiques de gestion du trafic Internet (PGTI), comme l’IAP, ne sont pas utilisés à des fins commerciales. Les FSI ont d’ailleurs précisé qu’ils ne font pas de publicité ciblée ou de publicité fondée sur le comportement à partir de l’information recueillie dans le cadre des IAP.  

6. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)Note de bas de page 5 s'applique aux renseignements personnelsNote de bas de page 6 traités par les FSI dans le cadre de la prestation de services Internet aux clients. La LPRPDE stipule qu’une organisation doit obtenir le consentement valable de l’intéressé en connaissance de cause pour utiliser des renseignements personnels à des fins autres que celles prévues au départ. 

7. Notre réplique finale portera sur les points suivants :

  1. Le CRTC est tenu par la loi de protéger la vie privée des Canadiennes et des Canadiens, et possède une autorité reconnue dans ce domaine.
  2. La LPRPDE représente une norme de base en matière de protection de la vie privée. Par conséquent, le CRTC peut établir des lignes directrices plus strictes que celles prévues par la Loi, et qui sont propres à l’industrie.
  3. Le critère de pondération pourrait être un moyen efficace de protéger la vie privée des gens tout en tenant compte des intérêts commerciaux légitimes. Pour des exemples, voir les conclusions d'enquêtes du CPVP en vertu de la LPRPDE.
  4. Les Canadiennes et les Canadiens se soucient de la protection des renseignements personnels et ont le droit de savoir comment ces derniers sont traités et protégés.

I. Le CRTC est tenu par la loi de protéger la vie privée des Canadiennes et des Canadiens, et possède une autorité reconnue dans ce domaine.

8. Selon la politique canadienne de télécommunications, il incombe au CRTC de protéger la vie privée des personnes et leurs communications. Cette politique est énoncée aux alinéas 7a) et i) de la Loi sur les télécommunicationsNote de bas de page 7 :

7. La présente loi affirme le caractère essentiel des télécommunications pour la préservation de l'identité et la souveraineté canadiennes; la politique canadienne de télécommunications vise à :

a) favoriser le développement ordonné des télécommunications partout au Canada en un système qui contribue à sauvegarder, enrichir et renforcer la structure sociale et économique du Canada et de ses régions;

(i) contribuer à la protection de la vie privée des personnes.

9. Pendant les audiences, un certain nombre de parties à l’instance ont déclaré qu’ils préféraient que le CRTC s’abstienne de réglementer les pratiques de gestion du trafic Internet des FSI en ce qui a trait à la protection de la vie privée. En réponse à cela, le Comité a rappelé aux parties que, selon la Loi, le CRTC a non seulement le pouvoir légal de protéger la vie privée des gens, mais aussi l’obligation expresse de le faire de façon à traduire l’intention du Parlement à travers sa loi habilitante.

10. En outre, le CRTC est un tribunal spécialisé et avec un pouvoir décisionnel qui possède une autorité reconnue dans le domaine des télécommunicationsNote de bas de page 8. Le projet de loi C‑27, la Loi sur la protection du commerce électronique (LPCE), dont le Comité permanent de l’industrie, des sciences et de la technologie est actuellement saisi, démontre que le Parlement reconnaît que le CPVP et le CRTC possèdent tous deux une expertise précise dans des domaines de préoccupations communesNote de bas de page 9. Le CRTC a l'expérience et le savoir institutionnels lui permettant d’élaborer des mesures adéquates favorisant l’innovation technologique et la croissance économique au sein de l’industrie, tout en veillant au respect de la vie privée des   utilisateurs d’Internet au Canada.

II. La LPRPDE représente une norme de base en matière de protection de la vie privée. Par conséquent, le CRTC peut établir des lignes directrices plus strictes que celles prévues par la Loi et qui sont propres à l’industrie.

11. En exerçant le pouvoir discrétionnaire que lui confère la Loi sur les télécommunications, le CRTC peut appliquer des normes de protection de la vie privée plus strictes que celles prévues par la LPRPDENote de bas de page 10.

12. Dans nos observations initiales, nous faisions remarquer que le CRTC et le CPVP jouent des rôles complémentaires reconnus en matière de protection de la vie privéeNote de bas de page 11. Leurs rôles sont liés, mais non redondants. Bien que le CPVP et le CRTC aient des juridictions qui se recoupent en matière de protection de la vie privée et de fournisseurs de services de communicationNote de bas de page 12, leurs fonctions et leurs pouvoirs diffèrent grandement.

13. La Loi sur les télécommunications est propre au secteur. Elle permet au CRTC d’élaborer des lignes directrices et des règlements précis visant à répondre aux préoccupations de l’industrie. En vertu de la Loi, le CRTC a la capacité d’améliorer la protection de la vie privée des Canadiennes et des Canadiens. Par exemple, la Loi lui confère les pouvoirs suivants :

  • le pouvoir de rendre des décisions exécutoires et des ordonnances;
  • le pouvoir de réglementer tant les services Internet que les technologies de communication utilisées pour assurer la prestation de ces services. Il s’agit d’un important pouvoir de réglementation qui permet au CRTC de veiller à ce que la protection de la vie privée soit intégrée aux technologies utilisées par l’industrie des communications partout au Canada.

14. Tel que l’a souligné le Comité pendant les audiences, la LPRPDE, contrairement à la Loi sur les télécommunications, est une loi d’application générale. Globalement, la LPRPDE s’applique aux renseignements personnels recueillis par une organisation dans le cadre de ses activités commerciales. La Loi vise les organisations de divers secteurs, dans une grande variété de contextes.

15. La LPRPDE représente une norme de base régissant la façon dont les organisations devraient gérer les renseignements personnels. Fort de ses pouvoirs réglementaires, le CRTC peut établir des exigences supérieures à celles de la LPRPDE si, selon son opinion d’expert, les exigences proposées sont conformes aux intérêts du public et à la politique canadienne sur les télécommunications, tel qu’établi en vertu de la Loi sur les télécommunicationsNote de bas de page 13.

III. Le critère de pondération pourrait être un moyen efficace de protéger la vie privée des gens tout en tenant compte des intérêts commerciaux légitimes. Pour des exemples, voir les conclusions d'enquêtes du CPVP en vertu de la LPRPDE.

16. La LPRPDE a pour objet de protéger les renseignements personnels tout en tenant compte de la réalité du commerce actuel, de plus en plus marqué par les transactions virtuelles électroniques, attribuable aux progrès rapides de la technologie de l’informationNote de bas de page 14.

17. La pierre d’assise de la LPRPDE est le consentement individuel, qui peut être explicite ou implicite, selon les circonstancesNote de bas de page 15. Même avec le consentement du client, les organisations doivent limiter la collecte, l’utilisation et la communication des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstancesNote de bas de page 16.

18. Dans la LPRPDE, le critère de «la personne raisonnable» est au cœur de la protection des renseignements personnels et fait écho au critère établi dans l’arrêt OakesNote de bas de page 17 par la Cour suprême du Canada.

19. Le CPVP a appliquéNote de bas de page 18 le critère de la personne raisonnable, en tenant compte des méthodes qui portent le moins atteintes à la vie privée, dans le cadre d’une évaluation générale du caractère raisonnable aux termes de la LPRPDE. Il faut appliquer ce critère au cas par cas, en tenant compte du contexte, pour parvenir à un juste équilibre entre les préoccupations individuelles en matière de protection des renseignements personnels et les intérêts commerciaux légitimes.

20. Du point de vue de la protection de la vie privée, cette approche va de pair avec les observations formulées par le président pendant les audiencesNote de bas de page 19.

IV. Les Canadiennes et les Canadiens se soucient de la protection des renseignements personnels et ont le droit de savoir comment leurs renseignements personnels sont traités et protégés.

21. Que la collecte, l’utilisation ou la communication de renseignements personnels semble minime, ou qu’elle soit faite à des fins légitimes dans le cadre normal des activités, il faut se rappeler que dès qu’il est question de renseignements personnels, il est question de protection de la vie privée. Cela est également vrai lorsqu’une organisation prétend simplement qu’elle accédera à des renseignements personnels en ayant recours à l’IAP et qu’elle ne « surveillera pas » ni ne conservera ou ne divulguera ces renseignements à des fins autres que la gestion du réseau. 

22. La protection de la vie privée est fondamentalement un droit duquel découlent d’autres libertés essentielles. Les observations initiales du CPVP formulées pendant les audiences invoquent l’abondance de la jurisprudence et des textes législatifs confirmant ce principeNote de bas de page 20. Les membres du Comité ont, tout au long des audiences, rappelé que la protection de la vie privée est un droit fondamental. La protection de la vie privée est une valeur sociale et humaine inhérente qui transcende une loi ou un cadre réglementaire singuliers.

23. Les Canadiennes et les Canadiens se préoccupent de plus en plus de la préservation du droit à la vie privée. Ils ont le droit de disposer de garanties solides, claires et facilement accessibles concernant la protection de leurs renseignements personnels et de savoir quelles pratiques de gestion du trafic Internet sont mises en œuvre par les FSI. Ils s’attendent à ce que leurs renseignements soient utilisés à bon escient, à ce que les organisations avec lesquelles ils font affaires respectent des normes élevées de traitement des renseignements personnels, et à ce que les organismes publics chargés de protéger leur vie privée n’hésitent pas à s’acquitter de leur fonction.

Respectueusement soumis,

version anglaise signée par:

Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Date de modification :