Instance dans le but d’établir un code obligatoire pour les fournisseurs de services sans fil mobiles

Soumission du Commissariat à la protection de la vie privée du Canada à l'intention du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC)


Le 4 décembre 2012

Monsieur John Traversy
Secrétaire général
Conseil de la radiodiffusion et des télécommunications canadiennes
Édifice central
1, Promenade du Portage
Gatineau, Quebec K1A 0N2

Objet : Avis de consultation de télécom CRTC 2012-557 — Instance dans le but d’établir un code obligatoire pour les fournisseurs de services sans fil mobiles

Monsieur,

  1. Le 11 octobre 2012, le CRTC a publié la décision de télécom 2012-556 qui précisait ceci : « […] le Conseil conclut qu’il y a lieu d’élaborer un code obligatoire pour assurer la clarté et encadrer le contenu des contrats de services sans fil mobiles et les questions connexes (Code sur les services sans filNote de bas de page 1 ». Le 11 octobre 2012, le CRTC a également publié l’Avis public de télécom 2012-557, qui invitait les participants à commenter l’établissement d’un code obligatoire pour les fournisseurs de services mobiles sans fil et qui annonçait la tenue d’une consultation publique le 28 janvier 2013.
  2. Le Commissariat à la protection de la vie privée (CPVP) du Canada présente ces observations à titre de partie intéressée aux débats, en vertu de son mandat législatifNote de bas de page 2 qui a trait à la protection du droit des personnes à la vie privée et à la promotion des protections dont disposent les Canadiennes et Canadiens en matière de protection de la vie privéeNote de bas de page 3 Dans nos commentaires, qui se limitent aux questions qui ont trait à notre mandat, nous avançons que le Code sur les services sans fil doit comprendre une disposition qui favorise la conformité à la loi fédérale sur la protection des renseignements personnels applicable au secteur privé et des politiques bien conçues sur la protection des renseignements personnels.
  3. Nos observations sont subdivisées ainsi :

    I – Pouvoirs et rôles complémentaires du CPVP et du CRTC
    II – Politiques sur la protection des renseignements personnels nécessaires pour assurer la conformité à la LPRPDE
    Réponses à certaines questions soulevées dans l’appel aux observations

    a) Contenu et application du Code sur les services sans fil
    b) Clarté des modalités de contrat
    c) Modifications des modalités de contrat
    d) Considérations supplémentaires

I – Pouvoirs et rôles complémentaires du CPVP et du CRTC

  1. Le CPVP a pour mandat de surveiller le respect de la Loi sur la protection des renseignements personnels, qui s’applique aux pratiques de gestion des renseignements personnels des ministères et organismes du gouvernement fédéral, et de la la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est la loi fédérale applicable au secteur privé. La LPRPDE s’applique aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales. Elle ne s’applique pas aux organisations des provinces réputées disposer de lois essentiellement similaires sur la protection des renseignements personnels dans le secteur privé qui, au moment des présentes observations, sont la Colombie-Britannique, l’Alberta et le Québec. L’Ontario, le Nouveau-Brunswick et Terre Neuve et Labrador disposent également de lois essentiellement similaires, mais qui ne portent que sur les pratiques de gestion des renseignements personnels sur la santé par les détenteurs de tels renseignements de ces régions.
  2. Toutefois, la LPRPDE s’applique toujours aux entreprises fédérales du Canada, notamment les sociétés de télécommunications. En ce qui a trait aux entreprises fédérales, la LPRPDE s’applique aux renseignements personnels tant des clients que des employés.
  3. L’annexe 1 de la LPRPDENote de bas de page 4 précise le cadre de la collecte, de l’utilisation et de la communication des renseignements personnels pour les organisations qui sont assujetties à la Loi et elle renferme 10 principes qui ont trait à des pratiques équitables en matière de renseignements. Ces principes, qui s’articulent autour du Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation, offrent également la base qui permet aux personnes de contrôler comment les organisations assujetties à la Loi traitent leurs renseignements personnels.
  4. Le CRTC tire son pouvoir de réglementation concernant l’industrie des télécommunications de la Loi sur les télécommunications. En vertu de l’article 7 de cette Loi, les objectifs de la politique sur les télécommunications incluent la protection de la vie privée des individus en matière de télécommunications. Plus particulièrement, les alinéas 7a) et i) de la Loi sur les télécommunications précisent ceciNote de bas de page 5

    7 a) favoriser le développement ordonné des télécommunications partout au Canada en un système qui contribue à sauvegarder, enrichir et renforcer la structure sociale et économique du Canada et de ses régions;…

    7 i) contribuer à la protection de la vie privée des personnes.

  5. Le Commissariat a signalé, lors d’observations précédentes au CRTC, que même si les rôles du CPVP et du CRTC sont complémentaires, ils ne sont pas redondants, étant donné les différences quant aux fonctions et aux pouvoirsNote de bas de page 6. La LPRPDE est une loi d’application générale qui porte sur diverses industries, tandis que la Loi sur les télécommunications est une loi propre à un secteur qui permet au CRTC d’élaborer des lignes directrices et des règlements spécifiques visant des enjeux prévalant dans l’industrie en questionNote de bas de page 7.
  6. Le CRTC est en outre en mesure d’améliorer la protection de la vie privée en élargissant la norme fixée par la LPRPDE si, selon le Conseil, cette modification correspond à l’intérêt public et à la politique sur les télécommunications; il peut promulguer en tel cas des ordonnances et des décisions exécutoiresNote de bas de page 8. Les rôles complémentaires concordent avec les objectifs de la politique sur les télécommunications du CRTC, qui vise le développement ordonné et la protection de la vie privée des personnes qui font partie du système canadien des télécommunications.
  7. Bien que le Conseil, en vertu d’instructionsNote de bas de page 9 , doive « […]se fier, dans la plus grande mesure du possible, au libre jeu du marché comme moyen d’atteindre les objectifs de la politique []Note de bas de page 10», nous reconnaissons que le Conseil estime « [] qu’on ne peut se fier au seul libre jeu du marché pour s’assurer que les consommateurs disposent des renseignements nécessaires pour participer efficacement dans le marché concurrentiel des services sans fil mobilesNote de bas de page 11».

II – Politiques sur la protection des renseignements personnels nécessaires pour assurer la conformité à la LPRPDE

  1. En vertu de la LPRPDE, chaque organisation qui exécute des activités commerciales doit disposer d’une politique sur la protection de la vie privée. Ces politiques sont essentielles, car elles aident les gens à prendre des décisions éclairées au sujet de leurs renseignements personnels et contribuent à déterminer si une organisation a recueilli des renseignements au su et avec le consentement des personnes.
  2. 12. Le Commissariat a publié différentes conclusions sur le secteur des télécommunications et les politiques sur la protection de la vie privéeNote de bas de page 12. Par exemple, la politique d’une organisation sur la protection de la vie privée peut ne pas être conforme à la LPRPDE si : les gens ne disposent pas d’un accès facile à ces politiques; l’information sur les pratiques de gestion des renseignements personnels de l’organisation est enfouie dans ces politiques; on n’emploie pas un langage clair et simple que les clients ordinaires peuvent comprendre; les clients ne disposent pas de précisions sur l’utilisation et la communication de leurs renseignements personnelsNote de bas de page 13
  3. 13. Le CPVP commande fréquemment la réalisation de sondages sur le point de vue des gens à l’égard de la protection de la vie privée. Notre sondage le plus récent a révélé qu’environ 9 personnes sur 10 sont préoccupées du fait que les entreprises demandent trop de renseignements personnels, qu’elles n’assurent pas la sécurité de l’information, qu’elles vendent ces renseignements à d’autres organisations ou les utilisent dans des pourriels ou à des fins de marketing non sollicitéNote de bas de page 14. Des politiques floues et ambiguës sur la protection de la vie privée sont peu efficaces pour atténuer ces craintes. Une diffusion invisible et inexacte des pratiques de traitement des renseignements personnels risque de nuire à la confiance des gens et à leurs attentes.
  4. 14. En outre, le CPVP commande fréquemment des sondages sur les pratiques des entreprises en matière de protection des renseignements personnels. Notre sondage le plus récent a indiqué que seulement 62 % des entreprises ont mentionné qu’elles disposaient d’une politique sur la protection de la vie privéeNote de bas de page 15. Qui plus est, une organisation qui n’a pas mis en place une politique claire et précise de protection de la vie privée, ou qui n’a conçu aucune politique de la sorte, court un risque important de ne pas respecter la LPRPDE.

III – Réponses à certaines questions soulevées dans l’appel aux observations

a) Contenu et application du Code sur les services sans fil
  1. Étant donné que les organisations de télécommunications sont assujetties à la LPRPDE, on recommande fortement que le Code sur les services sans fil mentionne explicitement les obligations de la Loi et les principes reliés en matière de renseignements personnels enoncés à l’annexe 1. De plus, on doit mettre l’accent sur la démonstration de la responsabilité et le maintien de politiques complètes, à jour, faciles d’accès, claires et faciles à comprendre sur les pratiques de gestion de l’information.
  2. La LPRPDE s’applique à toutes les sociétés de télécommunications puisqu’elles sont des entreprises fédérales. Ainsi, les obligations fédérales en matière de protection des renseignements personnels des sociétés de télécommunications assujetties au Code sur les services sans fil doivent s’appliquer à telles organisations partout au Canada.
  3. Le CPVP appuierait également le Conseil, étant donné son pouvoir législatif propre à un secteur spécifique et ses connaissances spécialisées, s’il juge approprié d’adjoindre des dispositions plus détaillées afin de renforcer la protection des renseignements personnels, en accord aves les principes généraux de la LPRPDE, et dans le but de mieux appuyer les alinéas 7a) et i) de la Loi sur les télécommunications.
b) Clarté des modalités de contrat
  1. Le respect de la protection de la vie privée consiste, entre autres, à démontrer la responsabilité, ce qui exige de transmettre l’information nécessaire afin d’expliquer les politiques et pratiques de protection des renseignements personnels de l’organisation. Le Commissariat, de pair avec les Commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie Britannique, a publié un document d’orientation sur la responsabilité, qui précise qu’un élément central de la gestion de la protection de la vie privée consiste à avoir, puis à communiquer efficacement, la politique de l’organisation sur la protection de la vie privée. Plus particulièrement, la politique spécifie que les communications doivent :
    • être claires et compréhensibles;
    • fournir suffisamment de renseignements pour que les membres du public comprennent le but de la collecte, de l’utilisation et de la communication des renseignements personnels ainsi que leur protection et durée de rétention;
    • informer les personnes si leurs renseignements personnels sont communiqués à l’extérieur du Canada;
    • inclure les coordonnées de la personne-ressource à qui faire part des questions ou des préoccupations;
    • être facilement accessible aux personnes.
  2. Le Commissariat a remarqué que les clients ne sont peut-être pas toujours au courant de ce qui advient de leurs renseignements personnels, car les détails sont souvent enfouis dans une politique qui est difficile à comprendreNote de bas de page 16. Ceci est confirmé par notre sondage de 2011 réalisé auprès de Canadiennes et Canadiens : plus de la moitié des personnes interrogées ont indiqué que les politiques de confidentialité étaient en général quelque peu vagues (35 %) ou très vagues (18 %)Note de bas de page 17.
  3. Sans l’emploi d’un langage clair et précis pour expliquer les méthodes de traitement de l’information des fournisseurs de services, on peut se demander si les gens concernés ont effectivement été informés de la collecte et y ont donné leur consentement.
  4. Notre Rapport de consultations de 2010 sur le suivi, le profilage et le ciblage en ligne et sur l’infonuagiqueNote de bas de page 18et le document d’orientation Une occasion à saisir : Développer des applis mobiles dans le respect du droit à la vie privéeNote de bas de page 19 précisent tous deux que la petite taille des écrans mobiles pose un problème particulier pour l’offre d’information claire et compréhensible aux gens. De plus, la LPRPDE exige qu’une organisation soit transparente quant à sa gestion des renseignements personnels, et les gens doivent pouvoir acquérir l’information sans avoir à déployer des efforts exagérés. Le petit écran des appareils mobiles peut poser des problèmes lorsqu’il s’agit d’obtenir un consentement valable.
  5. Bien que notre document d’orientation sur les applications mobiles s’adresse aux concepteurs d’applications, il présente différentes pratiques exemplaires pour relever le défi de l’obtention d’un consentement valable dans un environnement mobile. Des solutions novatrices qui prennent en compte la petite taille de l’écran des appareils mobiles et la navigation mobile sont nécessaires pour relever ce défi. Étant donné les défis uniques de l’environnement mobile, le Code sur les services sans fil devrait prendre en compte ces réalités.
c) Modifications des modalités de contrat
  1. L’information qui figure dans la politique sur la protection de la vie privée permet au client de déterminer de quelle façon une organisation traite les renseignements personnels dont elle dispose. En cas de changement apporté au traitement des renseignements personnels, on doit se pencher sur la question du renouvellement du consentement. Le principe 4.2.4 de l’annexe 1 de la LPRPDE précise ceci :

    Avant de se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées avant l’utilisation. À moins que les nouvelles fins auxquelles les renseignements sont destinés ne soient prévues par une loi, il faut obtenir le consentement de la personne concernée avant d’utiliser les renseignements à cette nouvelle finNote de bas de page 20.

  2. Par conséquent, lorsqu’une organisation modifie la façon dont elle traite les renseignements personnels, on doit procéder à une évaluation afin de veiller à ce que cette nouvelle façon de faire soit conforme aux fins indiquées dans la politique sur la protection de la vie privée pour laquelle le consentement avait été donné.
  3. À mesure que les entreprises de services sans fil changent leurs pratiques de traitement de l’information ou mettent à jour leurs politiques et processus, et puisque la LPRPDE exige qu’une personne soit informée de la collecte et y donne son consentement, les clients doivent être mis au courant de ces changements afin de confirmer le maintien de leur consentement pour contribuer à favoriser une culture de conformité ainsi que la confiance des clients.
d) Considérations supplémentaires
  1. Les gens utilisent des appareils mobiles pour effectuer tout un éventail d’activités, notamment des opérations bancaires, du magasinage, le maintien de journaux personnels ou de registres d’exercice ou de régime et la réalisation de recherches et de conversations sur des questions très délicates, par exemple la santé. Ainsi, les appareils mobiles constituent une passerelle pour d’éventuelles grandes quantités de renseignements personnels diversifiés. De plus, le système mondial de localisation (GPS) dont sont dotés ces appareils permet de faire le suivi d’un appareil; il peut donc déterminer l’emplacement d’une personne, ses habitudes et ses déplacements, dans le but de créer une image très détaillée de la personne en questionNote de bas de page 21.
  2. Étant donné la nature délicate et la quantité de renseignements recueillis, on doit inciter les organisations à restreindre la collecte, l’utilisation et la communication de renseignements personnels, à établir des périodes de conservation précises de cette information et à informer clairement les utilisateurs sur la façon dont elles recueillent et communiquent l’information, y compris celle sur l’emplacement.
  3. Cet aspect est très important, car les appareils mobiles sont fréquemment perdus ou volés, ce qui augmente considérablement le risque d’usurpation d’identité.
  4. À notre avis, l’efficacité du Code sur les services sans fil devrait être mesurée, par rapport aux objectifs du CRTC qui consistent à garantir la sécurité de l’industrie des télécommunications et à contribuer à la protection de la vie privée. Son succès comme instrument obligatoire de politique dépendra, en partie, du degré d’incitation qu’il créera auprès des organisations à entreprendre d’informer leurs clients au sujet de leurs pratiques de gestion de renseignements personnels, et à respecter les modalités prévues.

Conclusion

  1. Nous avançons respectueusement que la protection de la vie privée est un aspect essentiel du Code sur les services sans fil. La protection de la vie privée doit y être intégrée entièrement afin de gérer les risques liés à l’information qui sont propres aux appareils mobiles et de s’assurer que les organisations respectent efficacement leurs obligations juridiques.
  2. Le respect de la protection de la vie privée exige que les organisations fournissent aux personnes toute l’information dont celles-ci ont besoin pour prendre une décision éclairée en ce qui a trait à leurs renseignements personnels. Sans un solide cadre de protection de la vie privée, on court le risque que des pratiques imprécises ou invisibles atténuent la confiance des clients et que, par conséquent, l’organisation n’arrive pas à respecter ses exigences législatives en matière de conformité.

Veuillez agréer, Monsieur, l’expression de ma considération distinguée

La commissaire à la protection de la vie
privée du Canada,

(La version originale a été signée par)

Jennifer Stoddart

Date de modification :