Vie privée, confiance et innovation – Étayer l’avantage numérique du Canada

Observations du Commissariat à la protection de la vie privée du Canada présentées dans le cadre de la consultation sur la Stratégie sur l’économie numérique du Canada

Juillet 2010


Nous avons remarqué de nombreux renvois à la protection de la vie privée dans le document de consultation. La vitesse à laquelle la technologie a évolué et continue d’évoluer entraîne des répercussions sur la protection des renseignements personnels. La protection de la vie privée est fondamentale à l’économie numérique et elle peut représenter un moteur important de l’innovation. Nous avons participé aux audiences du Comité permanent des transports et des communications du Sénat sur la société numérique où nous avons abordé la protection de la vie privée et la sécurité dans l’univers numérique. Nous venons de terminer une série de consultations sur les conséquences pour la vie privée du suivi, du profilage et du ciblage en ligne, et de l’infonuagique. Nous diffuserons un rapport sur ces enjeux et sur les défis en matière de protection de la vie privée qui pourraient poindre à l’horizon. Nous profitons de l’occasion que vous nous offrez pour poursuivre le dialogue et formuler des suggestions sur la façon dont le Canada peut être un chef de file dans le secteur numérique et en matière de protection de la vie privée.

Objectifs des présentes observations

Le CPVP émet ces observations conformément à son mandat législatif de protéger le droit à la vie privée des personnes et de promouvoir les mesures de protection de la vie privée offertes aux Canadiennes et aux Canadiens. Dans nos observations, nous présenterons un aperçu des travaux que nous avons réalisés en matière de technologie numérique et de protection de la vie privée, notre point de vue concernant les domaines dans lesquels la protection de la vie privée semble menacée par des avancées technologiques et des modèles de fonctionnement ainsi que des moyens qui permettraient, à notre avis, de remédier à ces problèmes afin de protéger les Canadiennes et les Canadiens dans le cybermarché au cours des années à venir.

I. Mandat et mission du Commissariat à la protection de la vie privée du Canada

Le CPVP a pour mandat de surveiller la conformité à la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, de même qu’à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels applicable au secteur privé. La LPRPDE vise les organisations qui recueillent, utilisent et communiquent des renseignements personnels dans le cadre de leurs activités commerciales (sauf s’il existe des lois provinciales essentiellement similaires). Elle vise également les renseignements personnels des clients et employés des entreprises fédérales.

Le CPVP a pour mission de protéger et de promouvoir le droit des personnes à la vie privée. À cette fin, il saisit chaque occasion de favoriser la sensibilisation et l’éducation du public à l’égard des droits et obligations en matière de protection de la vie privée auprès des institutions et organismes fédéraux, du secteur privé, d’un large éventail d’autres intervenants intéressés ainsi que du public en général.

II. Principales activités du CPVP

Au cours des dernières années, le CPVP a participé à différentes activités qui ont souligné à quel point il y a eu des changements depuis la mise en œuvre du cadre de protection de la vie privée du Canada. La mondialisation, les changements sociaux et la vitesse des avancées technologiques ont modifié le milieu de la protection de la vie privée. Nos enquêtes, nos vérifications, nos recherches, nos travaux d’élaboration des politiques, notre participation ou nos présentations relatives aux projets de loi, nos sondages d’opinion et nos analyses médiatiques nous permettent de prendre connaissance de technologies et de modèles de fonctionnement très intéressants qui lancent des défis fascinants à la vision que nous avons toujours eue de la protection de la vie privée.

Par exemple, nous avons livré des présentations au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) au sujet des répercussions de l’inspection approfondie des paquets sur la protection des renseignements personnels, nous avons mené une enquête sur son utilisation et nous avons commandé des études à ce sujet dans le but de favoriser le dialogue auprès des Canadiennes et des Canadiens. Nous avons examiné les sites de réseautage social et nous avons rencontré différentes entreprises, à leur demande, afin d’étudier les services offerts en utilisant la technologie de façon novatrice, qui ont des conséquences sur la protection de la vie privée. Nous nous sommes concentrés sur la protection de la vie privée des jeunes dans l’objectif de contribuer à ce qu’ils deviennent de bons citoyens de la société numérique, et pour ce faire, nous avons tenté de joindre directement les jeunes Canadiennes et Canadiens. Nous continuons de travailler en collaboration avec les ministères, par l’entremise du processus d’évaluation des facteurs relatifs à la vie privée, dans le but de les inciter à trouver des moyens d’assurer la protection de la vie privée dans leurs programmes et dans leur utilisation de la technologie. Cependant, nous savons que les connaissances que nous avons acquises ne représentent que la pointe de l’iceberg.

Le moment choisi pour tenir cette consultation sur une stratégie numérique pour le Canada est très opportun. Au printemps 2010, nous avons lancé un processus de consultation sur différentes technologies et pratiques en ligne, à savoir le suivi, le profilage et le ciblage de consommateurs que les entreprises effectuent en ligne, ainsi que la tendance croissante vers l’infonuagique, afin de mieux connaître le milieu et les conséquences relatives à la protection de la vie privée en prévision du prochain examen quinquennal obligatoire de la LPRPDE, qui est prévu pour 2011. Les consultations sont en lien avec deux de nos priorités stratégiques, à savoir les technologies de l’information et la gestion de l’identité. En 2007, nous avons fixé des priorités stratégiques qui représentent, à notre avis, certains des enjeux les plus importants en ce qui concerne la protection de la vie privée des Canadiennes et des Canadiens. Ces priorités orientent nos travaux en matière de politiques, de recherche, d’enquête et de vérification.

Nous procédons également à l'examen de notre propre structure et de nos fonctions à titre d’organisme responsable de la protection des données. À cette fin, nous avons commandé une étude portant sur le contexte économique, juridique et politique général au moment où la LPRPDE a été adoptée initialement afin de le comparer au contexte actuel. Cette étude comprend une comparaison de notre modèle avec celui utilisé dans d’autres provinces et d’autres pays.

Comme nos consultations viennent tout juste de se terminer et que nous avons l’intention de préparer un document sur leurs issues dans quelques mois, et que l’étude sur notre modèle de réglementation n’est pas encore terminée, nos observations sur la stratégie numérique du Canada seront axées sur des questions générales de protection de la vie privée soulevées par certaines technologies. Nous proposerons aussi certaines mesures qui pourraient être tirées à même notre cadre de protection de la vie privée actuel afin de mieux promouvoir la protection de la vie privée et de bâtir la confiance nécessaire pour accroître l’avantage numérique au Canada.

III. Technologie et protection de la vie privée

Cadre de protection de la vie privée du Canada

La technologie a procuré des avantages considérables aux particuliers. Elle a permis d’améliorer les services offerts à mesure que les organismes exploitent le pouvoir de l’Internet pour entrer en communication avec les personnes — que ce soit entre les gouvernements et les citoyens ou entre les entreprises et les consommateurs. La technologie nous aide à mieux faire notre travail. Qui d’entre nous se souvient de l’époque où nous comptions uniquement sur la machine à écrire? La technologie stimule la créativité des travailleurs, des personnes et des citoyens. Elle joue un rôle dans la protection de l’environnement. La croissance économique du Canada dépend de l’innovation et de l’existence de cadres de travail solides visant à soutenir les citoyens et l’industrie. En ce qui concerne la protection des renseignements personnels, le Canada est un chef de file qui a créé un cadre de protection de la vie privée permettant d’offrir du soutien aux organismes et de protéger la vie privée des individus. Au moment où le Canada examine les moyens d’accroître au maximum son avantage numérique, il importe de s’assurer de maintenir un équilibre et de le consolider si nécessaire afin de veiller à ce que le Canada demeure un chef de file en matière de protection de la vie privée dans le marché numérique.

La création d’un cadre de protection de la vie privée au Canada (voire dans une bonne part du monde occidental) découle de l’évolution de la technologie et des inquiétudes quant aux répercussions qu’elle peut avoir sur la vie privée. Il y a une quarantaine d’années, au moment où les ordinateurs et les bases de données gagnaient en puissance, le milieu universitaire, les décideurs et les gouvernements ont commencé à s’intéresser aux meilleurs moyens de protéger la vie privée des personnes.

Au Canada, un cadre complet de protection de la vie privée a été mis en place. Il a été marqué par l’adoption de la Loi canadienne sur les droits de la personne en 1978, qui régit l’utilisation des renseignements personnels par le secteur public fédéral, par l’adoption de la Loi sur la protection des renseignements personnels du gouvernement fédéral en 1983 et par l’adoption de lois provinciales et territoriales semblables. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui réglemente les pratiques relatives à la protection de la vie privée dans le secteur privé (sauf s’il existe des lois provinciales essentiellement similaires), a été adoptée en 2000. La LPRPDE intègre le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation, qui était un modèle en matière d’autoréglementation. Ce Code s’inspire des Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de 1980 de l’OCDE, un document énonçant les premiers principes relatifs à la protection de la vie privée adoptés à l’échelle internationale qui vise à la fois à protéger la vie privée des individus (au moins en ce qui concerne la protection des renseignements personnels) et à éliminer les obstacles injustifiés à la libre circulation des données au nom de la protection de la vie privée.

Les principes de protection des renseignements personnels énoncés dans la LPRPDE ont aussi grandement favorisé l’atteinte de ces deux objectifsNote de bas de page 1. La LPRPDE est neutre sur le plan de la technologie, ce qui s’est avéré jusqu’à maintenant une de ses forces. Cette loi vise à établir des règles visant le traitement des renseignements personnels qui tiennent compte du droit à la vie privée des personnes et le besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins appropriées. Cette importance accordée à l’équilibre est significative. Depuis l’entrée en vigueur de la loi il y a presque 10 ans, nous avons été en mesure d’appliquer la LPRPDE à des technologies et à des modèles de fonctionnement qui n’existaient pas au moment où elle a été rédigée. Nous avons mené des enquêtes sur les sites de réseautage social et nous avons traité des questions intéressantes soulevées par la technologie de l’imagerie à l’échelle de la rue servant à représenter nos villes sur des cartes. Nos enquêtes, nos recherches et nos travaux d’élaboration des politiques continuent de porter sur d’autres secteurs du monde numérique.

Économie numérique mondiale

En raison de la mondialisation des renseignements personnels, du changement du mode d’interaction et de participation des individus quant à la technologie et du rythme accru des avancées technologiques, les décideurs, les responsables de la protection des données et les observateurs de nombreux pays ont dû faire un temps d’arrêt. Est-ce que les principes sur lesquels nous nous fondons depuis des décennies permettront de satisfaire les besoins des citoyens dans le contexte d’une technologie en évolution? L’OCDE prépare un examen de ses Lignes directrices en 2011; la Commission européenne a lancé des consultations en 2009 au sujet de la Directive européenneNote de bas de page 2; les États-Unis réfléchissent aux avantages d’avoir une législation exhaustive en matière de protection de la vie privée; de nombreux organismes responsables de la protection des données préparent des travaux visant à établir des normes internationales communes en matière de protection de la vie privéeNote de bas de page 3. Il est généralement reconnu dans le domaine de la protection des renseignements personnels que la technologie a changé, mais aussi que les frontières s’abaissent, et que le paysage et les intervenants évoluent. Il faudra se pencher attentivement sur la question de savoir si les cadres législatifs actuellement en place permettront de relever le défi.

Le volet international de cette initiative est important parce que lorsqu’il est question de l’« économie numérique canadienne », il faut comprendre en quoi la technologie dépasse largement les frontières. Il est vraiment question de l’économie numérique mondiale, à laquelle participent bien des économies en-dehors de l’hémisphère occidental, qui ne sont pas toutes régies par des lois sur la protection des données. Cette réalité entraîne des conséquences considérables pour le droit la vie privée et sur les activités des entreprises. Les citoyens désirent connaître les mesures de protection de la vie privée en place et les entreprises désirent appliquer un ensemble de règles communes. Pour notre part, c’est un défi que de réglementer les pratiques de traitement des renseignements personnels d’entreprises faisant affaire dans de nombreux territoires de compétence, où les régimes de protection des données (s’il en est) varient.

À l’échelon national, nous nous efforçons en collaboration avec nos homologues provinciaux et territoriaux d’assurer l’uniformité des méthodes de protection de la vie privée pour les citoyens, les consommateurs et les entreprises. À l’échelon international, le CPVP continue de travailler de concert avec d’autres organismes responsables de la protection des données dans le but d’établir des ententes et des méthodes communes : nous estimons que les entreprises doivent pouvoir compter sur une certaine uniformité et que les citoyens ont des attentes à cet égard. Nous aimerions souligner que la protection de la vie privée n’est pas un frein à l’innovation et à la croissance. Au contraire, elle renforcit la confiance des personnes, qui peuvent se rassurer que la technologie — celles qu’ils utilisent ou celle qu’utilisent les entreprises avec lesquelles ils font affaire — assure la protection de leurs renseignements personnels en les protégeant des menaces et aussi en reconnaissant leur droit d’exercer un contrôle sur leurs renseignements personnels. La confiance entraîne le soutien nécessaire à l’innovation et à la croissance de l’économie numérique.

L’élaboration de normes relatives à la protection de la vie privée régissant l’utilisation et le lancement de technologies nouvelles et existantes a fait l’objet de débats et de discussions considérables dans le milieu des normes et dans celui de la protection des données sur la scène internationale.

L’Organisation internationale de normalisation, l’ISO, a manifesté son intention de faire progresser ces travaux grâce à la création d’un groupe de travail sur la gestion de l’identité et les technologies de protection de la vie privée en 2006.

Le Commissariat a participé activement aux activités de l’ISO visant à élaborer et à appliquer des normes et des lignes directrices sur les questions de sécurité relatives à la gestion de l’identité, à la biométrie et à la protection des renseignements personnels. Les principaux projets de l’ISO comprennent l’élaboration de normes générales sur la gestion de l’identité et sur la vie privée ainsi que la détermination des besoins relatifs aux normes qui seront adoptées ultérieurement et aux lignes directrices concernant des technologies particulières destinées à améliorer la protection de la vie privée.

Les organismes de réglementation de la vie privée ne sont pas les seuls à reconnaître la valeur de principes équitables en matière de traitement de l’information. En plus des personnes qui communiquent avec le Commissariat lorsqu’ils ont des inquiétudes relatives à la protection de la vie privée, d’autres ont mis l’accent sur l’importance de ces principes au cours des derniers mois par d’autres moyens, de façon très publique. À l’hiver et au printemps 2010, une multitude d’articles dans les médias et les magazines spécialisés au Canada et à l’étranger ont mis en lumière les véritables préoccupations des utilisateurs en matière de confiance et de contrôle de leurs renseignements personnels. Nous faisons principalement référence aux répercussions causées par les changements apportés aux paramètres de confidentialité d’un site de réseautage social ainsi qu’à la mise en œuvre d’une nouvelle application de réseautage social d’une autre entreprise, créée à partir de l’utilisation de son service de courrier électronique. Les deux entreprises concernées par ces incidents sont au cœur de l’économie sur Internet et sont des innovateurs puissants. Cependant, leurs utilisateurs se sont montrés très mécontents des actions qui, à leurs yeux, constituent un changement fondamental dans la relation qu’ils croyaient entretenir avec ces entreprises. Ces incidents ont aussi permis de voir à quel point les questions relatives à la protection de la vie privée peuvent être mises de côté pendant la conception et l’essai de nouvelles technologies ou de services créés autour de celles ci. Nous reviendrons sur cette question plus loin dans le présent document.

IV. La protection de la vie privée dans l’économie numérique

Bien que les consultations du CPVP viennent tout juste de se terminer et que la position de principe du Commissariat à l’égard de ces technologies n’ait pas encore été entièrement étudiée, il semble évident que certains aspects de la technologie numérique et les modèles opérationnels qui s’en servent ou ont évolué en raison de la technologie soulèvent quelques questions en matière de protection de la vie privée. Si la technologie a estompé les frontières nationales, elle estompe également la distinction entre les organismes, les processeurs et les particuliers.

Sécurité des renseignements personnels

L’une des principales questions relatives à la protection de la vie privée qui émane de la technologie touche la sécurité des renseignements personnels, comme l’énonce le document de consultation du gouvernement du Canada. La cybersécurité représente une préoccupation grave et grandissante. Les problèmes de sécurité, en particulier le cybercrime et le cyberespionnage, menacent nos infrastructures électroniques publiques et privées, et certains facteurs accentuent ce problème :

  • stockage et traitement d’un nombre accru de données électroniques;
  • complexité sans cesse croissante de l’équipement informatique et des logiciels;
  • appareils informatiques ubiquistes souvent portatifs (téléphones intelligents, PDA, ordinateurs portatifs);
  • défaut d’utiliser des méthodes de conception de logiciels fiables garantissant la sécurité;
  • cybercriminels sachant exploiter toute vulnérabilité décelée;
  • infection de millions d’ordinateurs avec des logiciels malveillants (« maliciels » ou « logiciels criminels »);
  • économie cybercriminelle en croissance ayant mis au point des méthodes visant à convertir des données volées en argent.

La cybersécurité est un problème complexe qui s’avère très difficile à régler, bien que certaines entreprises informatiques protègent de mieux en mieux leurs systèmes et logiciels. Entre-temps, les cybercriminels ont jeté leur dévolu sur des cibles plus faciles.

La portée des protections de la vie privée et le contrôle individuel

Bien que la sécurité soit une question importante, d’autres ont de graves répercussions pour les consommateurs. Nous sommes à l’aube d’une convergence des technologies qui entraînera une surveillance exhaustive des personnes par la surveillance de leurs données. Grâce aux outils de plus en plus puissants de forage de données, il est possible de dresser le portrait complet d’une personne, à partir de ce qu’elle écrit sur elle même et les autres sur des sites de réseautage social, des capacités de cartographie qui montrent, à nous et aux autres, où et comment nous vivons, du jumelage de nos préférences aux endroits où nous nous trouvons ainsi que de la surveillance de l’utilisation des choses que nous possédons. En outre, les avancées dans le domaine de la technologie permettent la convergence des capacités sur un seul instrument ou des capacités ou services sur une seule plateforme. Ce dernier scénario représente une accumulation de renseignements et de pouvoirs en une seule organisation, dans le but de protéger la vie privée ou de l’envahir, qui pose un défi important à la protection du marché en ligne.

Ces avancées soulèvent des questions à savoir ce que sont réellement les renseignements personnels. Elles incitent à se demander qui est responsable de la protection des données lorsque celles ci sont dispersées dans les nuages ou que des personnes communiquent une grande quantité de renseignements personnels, les leurs et ceux des autres, sur les sites de réseautage social. La technologie numérique met en lumière les défis à relever pour assurer que les personnes contrôlent leurs renseignements personnels; peuvent elles comprendre la façon dont ils sont traités, ont elles la capacité de consentir de manière valable à diverses utilisations et y ont elles accès? Pendant combien de temps les données recueillies devraient elles être conservées? Le stockage s’avère peu coûteux et des pressions atténuantes sont exercées pour les conserver sur des périodes qui ne cessent de se prolonger. Quel est le meilleur moyen de protéger ces données? La portée de la protection de la vie privée, la connaissance et le consentement, l’accès et la conservation forment les pierres angulaires du cadre de protection de la vie privée du secteur privé canadien que les créateurs et utilisateurs de la technologie numérique doivent comprendre et intégrer à leurs produits et services.

Les paragraphes qui suivent ne forment pas une analyse exhaustive de certains des modèles opérationnels et avancées technologiques actuels, ni de leurs conséquences sur la vie privée. Quelques unes des questions relatives à la vie privée qu’ont soulevées ces avancées auraient pu être évitées ou atténuées si les principes fondamentaux en matière de vie privée avaient fait partie des processus de planification et de mise en œuvre. Certains des thèmes abordés ont fait l’objet de nos consultations. D’autres ont été celui de nos enquêtes ou ont pris en compte de la position du Commissariat au fil de leur élaboration.

Sites de réseautage social

Très populaire et faisant de plus en plus partie intégrante de nos vies sociales et professionnelles, le réseautage social a suscité d’intéressantes questions quant à savoir où tracer la ligne entre les utilisations personnelles et commerciales des renseignements personnels. Il a également posé des défis touchant les questions de compétence étant donné que de nombreux sites du genre ne sont ni détenus ni exploités par des entreprises canadiennes. De tels sites comptent sur les renseignements personnels comme source de revenus en vue de financer un service gratuit, ce qui entraîne des préoccupations au sein de certains secteurs concernant le caractère approprié de convertir en monnaie courante des renseignements personnels fournis volontairement par des particuliers pour communiquer avec leur famille et leurs amis. Le degré d’ouverture recommandé aux utilisateurs lorsqu’ils affichent leurs renseignements personnels sur un site, la quantité de renseignements transmis aux utilisateurs sur le mode de fonctionnement du site, la pratique consistant à donner accès à la plateforme du site aux développeurs afin de créer des applications pour les utilisateurs ainsi que la quantité de renseignements personnels partagés avec les développeurs sont des enjeux sur lesquels le CPVP s’est penché et qui méritent une attention soutenue au fil du temps. L’établissement de l’équilibre entre les besoins du site pour qu’il puisse fonctionner comme prévu et le degré de contrôle que les utilisateurs souhaitent et qui peut techniquement leur être accordé s’est avéré complexe tant pour les entreprises que pour le CPVP.

Technologies de cartographie

Le CPVP a travaillé avec ses homologues provinciaux à l’élaboration de documents d’orientation destinés aux entreprises qui planifient recourir à la technologie de l’imagerie à l’échelle de la rue pour des services de cartographie. Certaines des questions relatives à la protection de la vie privée qui étaient en jeu concernaient le consentement et la conservation. Nous nous sommes penchés pour la première fois sur cette question il y a environ trois ans lorsque nous avons appris le lancement de services de cartographie dans d’autres pays et voulions nous assurer que la vie privée des Canadiennes et des Canadiens était protégée conformément à nos cadres législatifs. Il nous paraissait évident que l’entreprise n’avait pas vraiment accordé suffisamment d’attention à cette question avant de photographier les paysages urbains.

Services géodépendants

L’intégration de l’emplacement d’une personne aux stratégies de marketing est devenue un Graal au sein de l’industrie de la technologie. Spécialistes du marketing, moteurs de recherche sur Internet — chacun veut savoir où se trouvent les gens parce que cette information révèle bien des choses sur eux ainsi que sur leurs habitudes, leurs intérêts, leurs amis. La prévalence des appareils portatifs et la popularité grandissante des applications géodépendantes facilitent de plus en plus l’établissement exact des déplacements et préférences des gens.

L’Internet des choses

L’Internet des choses ne constitue qu’un exemple de ce à quoi l’on fait référence en parlant de réseau de capteurs. Les réseaux de capteurs forment un système de nœuds de capteurs distribués qui interagissent les uns avec les autres et, selon les applications, interagissent aussi avec d’autres infrastructures dans le but d’acquérir, de traiter, de transférer et de fournir des renseignements extraits du monde physique.

L’Internet des choses est décrit comme une informatique et des communications pouvant avoir lieu à tout moment, n’importe où, par n’importe qui ou n’importe quoi — il représente la convergence de plusieurs technologies, notamment le protocole Internet version 6 (IPV6), l’identification par radiofréquence (IRF), les technologies de capteurs sans fil, les technologies intelligentes et la nanotechnologie.

Nous commençons déjà à voir certains des précurseurs de l’Internet des choses dans le déploiement, par exemple, de l’IRF comme partie intégrante de la gestion de la chaîne d’approvisionnement et dans l’introduction des infrastructures de compteurs avancés pour les logiciels utilitaires ou les réseaux intelligents. Parmi les autres réseaux de capteurs éventuels se trouvent l’automatisation et le contrôle des maisons intelligentes, les systèmes de transport intelligents et l’observation environnementale, la prévision et la protection.

Ces technologies entraîneront un certain nombre d’avantages possibles (individuellement ou en combinaison), y compris les biocapteurs de l’IRF afin de mettre en garde contre une contamination potentielle des aliments, une surveillance éloignée des paramètres physiologiques (patients âgés à la maison), de même que la surveillance de l’habitat et de la pollution environnementale.

Ces technologies (encore une fois prises individuellement ou en combinaison) soulèvent également quelques préoccupations en matière de protection de la vie privée. À mesure que ces réseaux de capteurs se répandront, chaque objet, chaque mouvement et chaque interaction en ligne et, dans certains cas, dans le monde physique, deviendront des données qui pourront être communiquées, stockées, explorées et analysées à l’infini et à d’innombrables niveaux.

Par exemple, quel utilisateur se souviendra que sa nouvelle voiture « appelle » automatiquement le fabricant afin de lui transmettre des données sur l’entretien et l’utilisation? La surveillance en ligne de la consommation d’électricité à la maison peut s’avérer utile pour le consommateur, mais celui ci prend il le temps de s’interroger sur la façon dont le logiciel utilitaire peut se servir de ces renseignements, comme en période de sécheresse ou de vague de chaleur? Comment les données produites par les instruments et outils intégrés dans les réseaux intelligents seront elles recueillies et analysées, et par qui? Ces exemples illustrent les défis liés aux connaissances qu’a le consommateur sur la façon dont ses renseignements personnels sont utilisés et au fait de savoir si le consentement a été obtenu.

Analytique

Au fur et à mesure que la taille des bases de données de renseignements personnels s’accroît, que les algorithmes gagnent en puissance et en perfectionnement et que le coût associé à la conservation des données diminue, les profils des particuliers peuvent être établis; une fois que l’Internet des choses deviendra une réalité, il sera possible de les préciser encore plus. Les activités, les préférences, les goûts, le statut socioéconomique, le niveau d’instruction et l’emplacement de ces personnes pourront être rassemblés à partir de leur utilisation de la technologie. En raison des capacités analytiques sans cesse plus puissantes, les définitions des données personnelles et de l’anonymat font l’objet d’une révision, et ce processus entraîne des pressions sur la portée fondamentale des cadres de protection de la vie privée. Cette mesure a des répercussions sur l’accord d’un accès ouvert aux données de recherche détenues par le gouvernement étant donné que les renseignements perçus comme anonymes peuvent l’être moins une fois qu’ils seront combinés à d’autres bases de données.

Cybersanté

Le CPVP et ses homologues provinciaux et territoriaux traitent activement des questions liées au droit à la vie privée soulevées par les initiatives de dossiers de santé personnels (DSP)Note de bas de page 4. Que ces derniers soient élaborés par le secteur privé ou public, nous avons demandé à tous les développeurs de veiller à ce que les applications respectent les lois pertinentes et reflètent les pratiques exemplaires en matière de protection de la vie privée.

Modèles opérationnels en évolution

La plupart des exemples ci dessus sont surtout rendus possibles grâce au Web 2.0. Ce dernier est caractérisé par un changement radical dans la façon dont circulent les renseignements et dans ceux qui les fournissent. Comme la ligne entre les fournisseurs et les consommateurs de contenu s’amincit de plus en plus, les questions relatives au contrôle et à la responsabilité se sont retrouvées au premier plan. Des applications provenant de tiers viennent désormais bonifier de nombreuses plateformes et facilitent l’apport et le partage de contenu. Le lien entre les fournisseurs de plateformes et les développeurs tiers a soulevé des questions entourant la responsabilisation à l’égard de la collecte, de l’utilisation et de la protection des données. Nous avons traité de cette question au cours de notre enquête sur un site de réseautage social.

Le sujet de l’une de nos récentes activités de consultation publique, l’infonuagique ou « informatique dans les nuages », réfère à une tendance de plus en plus répandue qui consiste à impartir le stockage et le traitement de données à des fournisseurs tiers via InternetNote de bas de page 5. La popularité de l’infonuagique s’explique par le fait qu’elle peut considérablement réduire les coûts et la complexité liés au fonctionnement d’un centre local de données. De plus, les fournisseurs de services d’infonuagique qui se sont spécialisés dans un secteur en particulier (p. ex. courriel, exploitation de données) peuvent offrir des services avancés qu’une entreprise individuelle pourrait ne pas pouvoir se permettre ou développer d’elle-même.

L’infonuagique peut accroître les capacités de protection de la vie privée et de sécurité si les fournisseurs sont en mesure d’utiliser des méthodes de protection et des technologies que n’emploieraient habituellement pas les entreprises dans leurs propres centres de données.

Toutefois, l’infonuagique suscite des inquiétudes en matière de protection de la vie privée et de sécurité. Il faut protéger les données lorsqu’elles voyagent sur Internet et lorsqu’elles sont conservées dans des endroits éloignés. De plus, compte tenu que les fournisseurs de services d’infonuagique desservent souvent de nombreux clients en même temps, il importe de séparer adéquatement les données et de les protéger d’une atteinte accidentelle ou délibérée.

L’infonuagique soulève également des préoccupations touchant des questions de politique et de compétences. Les clients de services d’infonuagique doivent s’assurer que le fournisseur respecte leurs valeurs et politiques quant au traitement des données. Il s’agit d’une préoccupation importante si les données sont conservées dans territoire de compétence autre que celui où le client tient normalement ses activités (p. ex. un client canadien qui fait équipe avec un fournisseur situé aux États Unis).

V. Recommandations

Dans le cadre de l’établissement d’un programme d’élaboration des politiques tourné vers l’avenir, le gouvernement fédéral, l’industrie ainsi que le secteur de la recherche-développement doivent tenir compte d’un certain nombre de questions relatives à la protection de la vie privée. Le document de consultation cherche à obtenir des commentaires quant au rôle que pourrait jouer le gouvernement fédéral en vue d’appuyer l’économie numérique, et souligne un certain nombre de mesures lui permettant d’améliorer ou d’accroître son soutien, notamment : veiller à ce que des cadres législatifs et de politiques appropriés soient en place; être un utilisateur modèle des technologies numériques; renforcir les capacités numériques; soutenir les petites et moyennes entreprises; et financer la recherche-développement. Nous proposons des recommandations au sujet des mesures que nous estimons liées au droit à la vie privée et au sein desquelles la protection des renseignements personnels peut être améliorée tout en appuyant des innovations qui font du Canada un chef de file du numérique et de la protection de la vie privée.

Cadres législatifs et de politiques

En ce qui a trait à la présentation d’un nouveau projet de loi (C 29, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques) qui modifie la LPRPDE afin de permettre au Commissariat de partager des renseignements avec ses homologues provinciaux et internationaux, nous sommes d’avis qu’il s’agit d’un changement clé à la façon de traiter des questions relatives à la protection de la vie privée qui émanent de la mondialisation des renseignements personnels. L’introduction de la déclaration obligatoire des infractions souligne l’importance de la sécurité des renseignements personnels et devrait aider les organisations qui utilisent la technologie et même celles qui la développent à mieux intégrer la sécurité dans les technologies et dans leur utilisation. Dans les autres pays, la déclaration obligatoire des infractions a servi de catalyseur pour une concentration accrue sur la protection des données de la part des entreprises qui mènent des activités dans plusieurs administrations, ce qui est une conséquence positive.

En raison de nos consultations et de l’examen prochain de la LPRPDE, nous nous abstiendrons à ce moment d’émettre des commentaires précis quant au caractère adéquat de cette loi. Le document que nous avons l’intention de publier sur l’issue des consultations abordera les risques en matière de protection de la vie privée émanant des nouvelles technologies de même que les domaines nécessitant une attention accrue ou des modifications à la LPRPDE afin d’atténuer ces risques. Dans l’intervalle, nous souhaitons émettre les commentaires suivants :

Recommandation : Adopter une approche holistique et intégrer la protection de la vie privée dès le départ

Comme nous l’avons mentionné précédemment, la LPRPDE est neutre sur le plan de la technologie et se fonde sur les pratiques équitables de traitement de l’information; elle a donc su jusqu’à maintenant relever les défis associés à l’évolution de la technologie et des modèles opérationnels. Toutefois, nous sommes d’avis que des mesures supplémentaires pourraient être prises afin d’éviter les problèmes relatifs à la protection de la vie privée ou d’atténuer les effets des nouvelles technologies sur la protection de la vie privée en faisant du cadre de protection de la vie privée actuel une partie intégrante du développement de l’économie numérique. Il s’agit d’une étape essentielle si l’on souhaite respecter les attentes des Canadiennes et des Canadiens en matière de protection de la vie privée et maintenir la confiance envers la technologie. La protection de la vie privée est trop souvent négligée à l’étape de la conception et les réparations après coup peuvent être dispendieuses.

Il ne s’agit pas d’une nouvelle idée. Depuis de nombreuses années, les responsables de la réglementation en matière de protection de la vie privée, particulièrement mon homologue de l’Ontario, Ann Cavoukian, vantent les mérites de la prise en compte de la protection de la vie privée à l’étape de la conception (également connue sous l’appellation « privacy by design »). Dans son document d’opinion sur la promotion de la confiance envers la société de l’information au moyen de la facilitation de la protection des données et de la vie privée, le superviseur européen à la protection des données défend également une approche similaire et recommande de modifier les directives pertinentes afin d’exiger que la conception axée sur la protection de la vie privée soit intégrée au processus de conceptionNote de bas de page 6. Étant donné le nombre croissant de personnes appuyant cette mesure, le gouvernement du Canada devrait songer à des façons de l’encourager. Elle a également pour effet d’encourager l’innovation en matière de protection de la vie privée par l’entremise de la technologie.

Or, il y a encore plus à faire. La protection de la vie privée doit également faire partie intégrante des modèles opérationnels qui s’appuient sur la technologie par le truchement d’une analyse minutieuse des activités des entreprises. Les évaluations des facteurs relatifs à la vie privée (EFVP) constituent un outil pratique que le secteur privé devrait être encouragé à utiliser étant donné qu’une plus grande insistance sur cette analyse peut éviter l’apparition de problèmes. Le gouvernement du Canada devrait songer aux façons dont les EFVP peuvent jouer un rôle plus important dans le secteur privé afin d’intégrer la protection de la vie privée à l’équation.

L’établissement d’une culture de protection de la vie privée, de la conception à la mise en œuvre, nécessite l’élaboration de stratégies et l’apport de soutien. En vue de favoriser ces développements, nous proposons que le gouvernement du Canada, de même que le Commissariat à la protection de la vie privée du Canada, aux termes de son rôle mandaté visant la promotion des mesures de protection des renseignements personnels offertes aux Canadiennes et aux Canadiens, se concentrent sur les domaines énumérés ci-dessous.

Le gouvernement à titre d’utilisateur modèle

Recommandation : Renforcir les mesures de protection des renseignements personnels au sein du gouvernement fédéral

Nous sommes d’avis que le gouvernement fédéral peut jouer un rôle crucial dans le développement du secteur de la technologie en agissant à titre d’« utilisateur modèle » de la technologie numérique. Toutefois, du point de vue de la protection de la vie privée, cette mesure peut entraîner certains défis. La Loi sur la protection des renseignements personnels a presque 30 ans. Nous avions demandé au gouvernement fédéral d’entreprendre un examen de la Loi en raison des changements qui surviennent dans le milieu. Bien que le gouvernement ait refusé de le faire, et bien que nous continuions de demander une réforme de la Loi, nous avons élaboré des mesures administratives en vue de mettre en œuvre les « solutions rapides » que nous avions recommandées au gouvernement. Il s’agit toutefois de mesures à court terme.

Néanmoins, un régime de protection de la vie privée est instauré et doit être respecté de manière appropriée. Nous avons recommandé que les cadres de gestion de la vie privée soient mis en place, et certains ministères du gouvernement l’ont fait. Nous croyons qu’il s’agit d’une étape positive. Pour sa part, le Secrétariat du Conseil du Trésor révise le processus d’EFVP. Il s’agit d’une occasion de veiller à ce que la protection de la vie privée soit prise en compte dans tous les programmes gouvernementaux, ce qui n’est pas toujours le cas à l’heure actuelle. Nous souhaiterions voir le processus d’EFVP renforcé en y intégrant l’exigence de réaliser une EFVP dans le cadre de la préparation d’un mémoire au Cabinet aux fins de l’approbation des programmes.

Nous recommanderions également que le gouvernement utilise des technologies d’authentification et de protection de pointe, car il accuse un retard dans ce domaine. L’innovation dans ce domaine n’exige pas un investissement de grande échelle dans des solutions personnalisées. Par exemple, aux États Unis, le gouvernement fédéral examine la façon dont les normes et produits libres peuvent être utilisés afin de procéder à la vérification de l’identité de ses services en ligne.

Le gouvernement du Canada adopte des mesures positives pour contrer la cybercriminalité, notamment avec l’adoption du projet de loi S-4, Loi modifiant le Code criminel, ainsi que la présentation d’un projet de loi sur le pourriel et d’un autre proposant des modifications à la LPRPDE. La Gendarmerie royale du Canada a également entamé une stratégie nationale sur le crime contre l’identité. Ces développements sont les bienvenus; toutefois, il en faudra davantage pour assurer la sécurité des renseignements personnels

La confiance des citoyens est vitale et le gouvernement du Canada doit veiller à être un modèle de protection de la vie privée de même qu’un utilisateur modèle de la technologie numérique.

Outils et compétences numériques

Recommandation : Faire de la culture en matière de vie privée une partie intégrante de la citoyenneté numérique

Nous reconnaissons que le Canada a besoin de renforcer ses compétences numériques pour l’avenir. À cette fin, nous encourageons une approche qui intègre la culture en matière de vie privée aux outils nécessaires à la citoyenneté numérique. Si, du point de vue de la politique, nous insistons pour que la protection de la vie privée fasse partie de la conception et de la mise en œuvre de toute technologie, les concepteurs et utilisateurs (les entreprises et les particuliers) doivent comprendre leurs obligations en matière de protection de la vie privée et leur importance. Ils doivent disposer des compétences nécessaires à cet égard.

Toute stratégie visant à concevoir des outils numériques doit tenir compte en partie des plus jeunes. Une des recommandations émanant du Forum Canada 3.0 sur les médias numériques tenu en mai était la création d’une initiative nationale de culture numérique qui se centrerait sur l’établissement d’un référentiel d’apprentissage numériqueNote de bas de page 7. De plus en plus, nous percevons la gestion de la réputation en ligne et la sensibilisation à l’égard de la protection de la vie privée comme faisant partie d’un ensemble de compétences en culture numérique nécessaires en vue de réussir au sein de l’économie numérique.

Un rapport récent du Pew Internet and American Life Project des États Unis (2010) montre que de nombreux utilisateurs d’Internet, et particulièrement les jeunes internautes de 18 à 29 ans, gèrent activement leur identité en ligne en limitant la quantité de renseignements personnels qu’ils publient en ligne à leur sujet, en modifiant entre autres les paramètres de confidentialité par défaut sur les sites de réseautage social. Une recherche du Réseau Éducation Médias (2005) donne à penser que la majorité des enfants canadiens (66 %) sont non seulement soucieux de la protection de la vie privée dans la sphère numérique, mais cherchent également des renseignements sur la façon de protéger leur vie privée en ligneNote de bas de page 8.

Le Commissariat a pour mandat d’éduquer le public au sujet des questions relatives à la protection de la vie privée. Nos propres observations anecdotiques, formées à l’occasion des présentations du Commissariat destinées aux écoliers, aux professeurs et aux parents (plus de 18 000 personnes sensibilisées à ce jour), montrent que les outils et ressources pédagogiques suscitent beaucoup d’intérêt et une grande demande.

Cependant, les jeunes ne doivent pas être le seul point de mire. Les développeurs, chefs d’entreprise et utilisateurs de tout âge doivent bien connaître les principes relatifs à la protection de la vie privée si nous voulons protéger le marché en ligne du Canada. Étant donné que les personnes publient de grandes quantités de renseignements personnels à leur sujet et au sujet des autres (une activité qui dépasse largement la portée de la LPRPDE), le fait de les éduquer au sujet des bonnes habitudes en matière de protection de la vie privée est essentiel.

Soutien aux petites et moyennes entreprises (PME)

Recommandation : Offrir des outils aux PME afin de les aider à mieux comprendre le droit à la vie privée

Le document de consultation souligne le besoin de se concentrer sur les PME dans le cadre du développement et de l’utilisation des technologies numériques. Les programmes d’éducation et de sensibilisation du public du CPVP visent à leur faire connaître aux PME leurs obligations en matière de protection de la vie privée. Le message relatif à la protection de la vie privée est de plus en plus important au fil du développement ou de l’adoption des technologies numériques par ces groupes. Par exemple, est ce que les PME maintiennent leurs systèmes et par conséquent protègent de manière appropriée tous les renseignements personnels qu’elles possèdent à mesure que se complexifie la technologie? Est-ce que l’infonuagique constitue une option intéressante? Dans l’affirmative, quels sont les risques connexes? Les EFVP ou les vérifications relatives à la protection de la vie privée peuvent s’avérer très utiles en vue d’étudier les pratiques commerciales et de cibler les risques touchant la vie privée, mais peuvent être perçues comme une dépense supplémentaire. Industrie Canada et le CPVP doivent aider les PME en élaborant des outils et des programmes d’éducation.

Recommandation : Cibler les PME innovatrices sur le plan de la technologie

Nombre des acteurs les plus innovateurs du milieu numérique, notamment les développeurs d’applications, sont des PME. Le modèle d’application attire les développeurs de logiciels qui travaillent seuls ou au sein d’une petite équipe de deux à cinq personnes. Il nous faut veiller à ce que la protection de la vie privée soit prise en compte à l’étape de la conception des applications par les concepteurs et les développeurs. Le fait de cibler ces groupes en offrant des outils, des lignes directrices et de l’éducation constitue un autre moyen de sensibiliser l’une des forces les plus innovatrices du Web.

Financement de la recherche et du développement

Recommandation : Financer la recherche-développement soucieuse du droit à la vie privée

Nous croyons que le gouvernement du Canada devrait aider à appuyer le rôle du Canada dans l’économie numérique par l’entremise du financement et de la recherche. Nous aimerions que les technologies de la sécurité et des réseaux qui intègrent des mesures de protection de la vie privée reçoivent un financement fédéral. Nous aimerions que la protection de la vie privée constitue un critère en vue de l’obtention d’un financement fédéral pour les autres technologies. Cette mesure encouragerait l’intégration de la protection de la vie privée à l’étape du développement. Étant donné l’examen par l’OCDE de ses lignes directrices ainsi que la consultation imminente de l’Union européenne au sujet de la Directive, il pourrait s’agit d’un moment opportun pour collaborer étroitement avec nos partenaires internationaux afin de trouver des moyens d’encourager la recherche-développement qui tienne compte de manière positive du droit à la vie privée.

Recommandation : Financer la recherche à l’appui de programmes de culture numérique

Il importe également que la recherche canadienne actuelle appuie et se centre sur les programmes de culture numérique. Le travail de recherche le plus récent, soit l’étude du Réseau Éducation Médias sur les comportements, attitudes et opinions des enfants et jeunes canadiens en ligne, date d’il y a plus de cinq ans. Afin d’élaborer des outils de culture numérique efficaces, il nous faut mieux comprendre les questions suivantes : Qui est réellement vulnérable? Dans quelle mesure? Quels sont les outils qu’ils trouveraient utiles? La nouvelle recherche offrirait également un point de départ pour l’évaluation des programmes au fil du temps. Nous recommandons que le gouvernement étudie la possibilité d’offrir un soutien financier en vue de mettre à jour la recherche qui nous offrirait des données comparables.

VI. Conclusion

Les mesures de protection de la vie privée sont essentielles afin de favoriser la confiance envers l’économie numérique et la protection du marché en ligne. Le Canada est un chef de file de la protection de la vie privée et nous sommes d’avis qu’il continuera de l’être. Les développements technologiques ont longtemps nui à la protection de la vie privée des personnes. Nos lois et cadres concernant la protection de la vie privée ont su y répondre en grande partie, mais ils auront besoin de soutien au cours des prochaines années afin de trouver l’équilibre entre le droit à la vie privée des personnes et le besoin de soutenir et de faire avancer notre économie.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :