Rapports de transparence des entreprises du secteur privé

Une analyse comparée

Juin 2015


Introduction

Les débats publics et les décisions concernant la protection de la vie privée doivent reposer sur des faits et la réalité juridique. De bons rapports de transparence fondés sur des données probantes peuvent étayer ces discussions. La publication en temps opportun de renseignements statistiques exacts sur les demandes d’accès adressées par le gouvernement et sur son accès à des renseignements personnels – sous la forme de rapports de transparence clairs produits à intervalles réguliers – peut aider les consommateurs à faire des choix rationnels et renforcer leur confiance envers une économie de plus en plus axée sur le numérique et les échanges qui se font avec l’État pour les besoins de l’application des lois et de la sécuritéNote de bas de page 1.

Survol des rapports de transparence publiés

Depuis l’automne 2014, cinq entreprises de télécommunications canadiennes (Rogers, TELUS, TekSavvy, MTS Allstream et Sasktel) ont commencé à publier un rapport annuel faisant état des renseignements statistiques sur les éléments de données suivants :

  1. vérifications du nom ou de l’adresse de clients;
  2. ordonnances d’un tribunal, citations à comparaître ou mandats;
  3. mises en demeure d’un gouvernement (en application d’une loi fédérale ou provinciale);
  4. demandes urgentes de la police dans des situations potentiellement mortelles;
  5. demandes d’aide urgentes en lien avec l’exploitation sexuelle d’enfants;
  6. ordonnances d’un tribunal visant à répondre à une demande associée à un traité d’entraide juridique.

Dans son rapport annuel, chaque entreprise décrit généralement ces catégories avec des exemples concrets à l’appui et une indication des autorisations législatives et des articles applicables concernant diverses questions courantes. De plus, l’une des entreprises y décrit en détail ses procédures juridiques internes d’évaluation des demandes, tandis qu’une autre présente son barème de droits.

Aux fins de comparaison, le tableau de correspondance ci-après fait état des éléments de données déclarés par plusieurs grandes entreprises d’envergure mondiale (principalement américaines) qui offrent des services en ligne. Signalons que parmi les entreprises mentionnées ci-après, Apple, Facebook, Google, LinkedIn, Microsoft, Twitter et Yahoo produisent des rapports détaillés portant expressément sur les demandes adressées par les autorités canadiennes.

Dans l’ensemble, la présentation de rapports de transparence par des entreprises du Canada, des États-Unis et d’autres pays constitue une évolution encourageante en matière de droit à la vie privée et de sensibilisation des consommateurs. En effet, la transparence est l’un des principes de base en matière de protection de la vie privée consacrés à l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Dans notre document intitulé Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniquespublié en 2013, nous avons recommandé que l’on oblige les organisations à faire preuve d’une plus grande transparence, en particulier lorsque des enquêteurs du gouvernement invoquent une « autorité légitime » générique pour demander des renseignements concernant des clients canadiens.

Organisations Nombre total de demandes reçues Nombre total de demandes auxquelles on a répondu Détails sur les demandes (citation à comparaître, ordonnance d’un tribunal ou mandat) Détails sur la communication (contenu, données de transmission ou information sur l’abonné) Appareils visés par les demandes Comptes visés par les demandes Détails sur les demandes émanant d’autorités étrangères Cas où l’entreprise a rejeté les demandes ou s’y est opposée Cas où un avis a été envoyé à l’utilisateur Lien avec des politiques internes ou un guide en matière d’application des lois Liste de définitions
Secteur privé – certaines entreprises américaines et étrangères
Apple*      
AT&T        
Comcast              
Dropbox    
Facebook*              
Google*        
LinkedIn*        
Microsoft*        
Pinterest    
Time-Warner      
Twitter*        
Vodaphone              
Verizon*              
Yahoo*        
Secteur privé – entreprises canadiennes
Allstream              
Rogers            
TELUS            
TekSavvy      
SaskTel          
Wind Mobile                

* Un astérisque indique que l’entreprise déclare séparément certains éléments de données concernant les demandes qui émanent des autorités canadiennes.

Voir également Access, « Transparency Reporting Index », pour consulter une liste complète.

Analyse

Les rapports de transparence publiés par certains fournisseurs de services canadiens (en plus des rapports au Parlement provenant de Sécurité publique Canada) constituent de précieuses sources d’information pour comprendre comment les organismes fédéraux d’application des lois interceptent des communications privées et exercent certaines formes de surveillance électronique et pour déterminer si ces mesures s’avèrent efficaces pour les enquêteurs.

Parallèlement, les mécanismes de présentation de rapports manquent d’homogénéité et les lacunes sont manifestes. Par exemple, les rapports ne donnent aucune information concernant la plupart des nouveaux pouvoirs de surveillance prévus en vertu du Code criminel. Il s’agit là d’un aspect d’autant plus important que bon nombre de techniques d’enquête ont récemment été remaniées et sont désormais mises à la disposition d’un plus large groupe d’organismes avec l’entrée en vigueur de la Loi sur la protection des Canadiens contre la cybercriminalité en mars 2015. Ces techniques de collecte d’information comprennent notamment :

  • micro caché sur le corps : interception avec le consentement d’une partie (art. 184.2);
  • ordonnance générale de communication : communication de données et de documents stockés (art. 487.012);
  • données sur les comptes : ordonnances de production d’information sur un compte (art. 487.013);
  • localisation, notamment par GPS : dispositifs de localisation (art. 492.1)
  • métadonnées : registre des appels ou enregistreurs de données (art. 492.2).

Depuis 2009, le Commissariat réclame la mise sur pied d'un régime de présentation de rapports sur les renseignements personnels que communiquent les organisations commerciales au gouvernement. Nous avons adressé nos demandes au Parlement, aux organismes gouvernementaux, aux entreprises et aux associations d'industries. Notre mémoire de 2013 en faveur de la réforme de la LPRPDE proposait l'adoption d'un régime de présentation de rapports, idée remise de l'avant dans nos recommandations au Parlement sur le projet de loi S-4Loi sur la protection des renseignements personnels numériques, en 2014-2015.

Précisons qu’aucun type de rapport ni aucune communication publique de données complexes ne saurait répondre en amont à toutes les préoccupations concernant la protection de la vie privée. Ce qui ressort clairement de l’examen des rapports sur les communications, c’est que depuis leur première publication en 2010, pratiquement toutes les entreprises ont ajouté des éléments de données et ajusté leur méthodologie au fil du temps pour les adapter à leurs propres activités et répondre aux préoccupations particulières de leurs clients.

Après avoir procédé à une comparaison croisée des éléments de données mentionnés dans les diverses sections ci-dessus, nous avons examiné ceux actuellement déclarés par les entreprises commerciales dont l’exploitation est particulièrement complexe et qui exercent leurs activités sur le marché canadien ou dans des pays comparables.

Le Commissariat à la protection de la vie privée du Canada estime que le pays a besoin d’une structure de présentation des rapports cohérente et d’une terminologie normalisée pour les différentes catégories de renseignements personnels et de communications au gouvernement. On pourrait recourir à des dispositions législatives ou réglementaires pour imposer ce type d’exigences mais, le régime de présentation des rapports élaboré par Industrie Canada constitue une bonne première étape et nous comptons qu’il sera adopté et suivi par l’ensemble des intervenants.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :