Un environnement sans confiance, c'est un arbre sans fruits

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Comment contrôler la mise en œuvre des politiques de protection des renseignements personnels et cultiver la confiance dans les environnements électroniques

Commentaires à l’occasion du séminaire « Confiance et environnements électroniques »

Montréal (Québec)
le 10 novembre 2008

Allocution prononcée par Nathalie Daigle
Conseillère juridique

(LE TEXTE PRONONCÉ FAIT FOI)


Introduction

La vie nous enseigne souvent que l’une des meilleures façons d'aider quelqu'un est de lui donner une responsabilité et de lui faire savoir que vous lui faites confiance.Note de bas de page 1

De façon semblable, au Canada, la responsabilité est donnée au gouvernement et aux entreprises du secteur privé d’assurer la mise en œuvre de normes de protection des renseignements personnels destinées à protéger les individus.  Les Canadiennes et les Canadiens s’attendent aussi à ce que le gouvernement et les entreprises privées respectent leur droit à la vie privée en donnant suite aux exigences de la loi et aux politiques de protection des renseignements personnels qu’ils adoptent.

Si la protection de la vie privée avait atteint sa pleine vigueur au Canada, nous serions tous satisfaits du travail du gouvernement et des entreprises et de leurs tentatives d’assurer le respect de pratiques équitables en matière d’information.  Mais les menaces à la protection de la vie privée se multiplient avec l’avènement des nouvelles technologies et la loi ne prévient pas tous les maux.  La défense du droit fondamental à la protection de la vie privée repose donc sur deux assises : (1) un changement dans les pratiques de gestion des renseignements ; et (2) une prise de conscience du public en ce qui concerne l’importance de protéger ses renseignements personnels.

Dans le domaine de l’environnement, un changement a été amorcé au cours des vingt dernières années.  Il est devenu évident que la pollution est néfaste et l’habitude de recycler est entrée dans nos mœurs.  La même prise de conscience doit se faire à l’égard des renseignements personnels : il est néfaste de recueillir des renseignements personnels sans consentement, de les communiquer avec indifférence et de cacher au public les pratiques utilisées en matière de renseignements.  Il est aussi néfaste de ne pas protéger adéquatement ses renseignements personnels.

Il est donc important, d’un côté, que les gouvernements et les entreprises privées conçoivent des normes de protection des renseignements personnels de façon à aider à protéger les renseignements personnels qu’ils contrôlent.  Ils peuvent le faire en identifiant les risques inhérents à la protection de la vie privée et en s’engageant à minimiser ces risques.  D’un autre côté, il est important de sensibiliser les citoyens pour qu’ils protègent convenablement leurs renseignements personnels.

Il ne faut pas oublier que, d’une part, la confiance des citoyens et des internautes se gagne et qu’elle est un élément majeur de tout environnement : sans elle, aucun projet n’aboutit.Note de bas de page 2  D’autre part, comme le note l’écrivain québécois Napoléon Bourassa :

Il y a toujours de la grandeur et du courage dans la confiance que l'on donne à ceux qui nous la demandent, et cela ne peut inspirer que l'estime et la clémence.

Un mandat aux multiples facettes pour le Commissariat à la protection de la vie privée du Canada

Or, la confiance n'exclut pas le contrôle. Le Parlement a confié à la c ommissaire à la protection de la vie privée du Canada, Mme Jennifer Stoddart, le mandat d’agir à titre d'ombudsman, de défenseure et de gardienne du droit à la vie privée et à la protection des renseignements personnels de la population canadienne.  La commissaire veille donc à ce que le secteur public fédéral et le secteur privé (dans les provinces qui n’ont pas une loi essentiellement similaire à la Loi sur la protection des renseignements personnels et les documents électroniques [ LPRPDE] ) rendent compte du traitement qu’ils font des renseignements personnels et à ce que le public soit informé de son droit à la vie privée. 

Plus particulièrement, la commissaire supervise la manière dont sont gérés les renseignements personnels par le gouvernement et les entreprises et voit à ce que soient appliquées ou mises en œuvre :

  • la Loi sur la protection des renseignements personnels, à laquelle sont assujetties les institutions fédérales ;
  • la Loi sur la protection des renseignements personnels et les documents électroniques, qui régit le traitement des renseignements personnels dans le cadre des activités commerciales du secteur privé ;
  • les lignes directrices ou politiques du Secrétariat du Conseil du Trésor, qui tiennent lieu de politiques en matière de protection de la vie privée pour les ministères et les organismes fédéraux ; et
  • les politiques de protection des renseignements personnels adoptées par les entreprises assujetties à la LPRPDE.

Pour les secteurs public et privé, mieux vaut bien gérer les renseignements personnels puisqu’en cette matière, la confiance se gagne en gouttes et se perd en litres. 

Le rôle du Commissariat de surveiller la mise en œuvre des politiques de protection des renseignements personnels

Il relève donc du mandat de la commissaire de surveiller l’application de la loi et la mise en œuvre des lignes directrices et politiques de protection des renseignements personnels tant au niveau des ministères et organismes fédéraux qu’au niveau des entreprises assujetties à la LPRPDE.  Toutefois, ce sont le gouvernement et les entreprises – et non le Commissariat à la protection de la vie privée (le Commissariat) – qui ont la responsabilité d’assurer la mise en place de normes adéquates pour protéger les renseignements personnels.  La conception et la mise en œuvre de ces normes doivent être initiées à l’interne plutôt qu’imposées de l’extérieur.  

Un organisme de surveillance externe tel que le Commissariat peut, et devrait, suggérer les principaux éléments de normes efficaces.  Il peut également effectuer des examens et des vérifications a posteriori afin de déterminer si tout fonctionne comme prévu. Toutefois, pour en assurer le succès, la responsabilité du processus revient au gouvernement et aux entreprises.

Le gouvernement en ligne ou cybergouvernement

Les organismes gouvernementaux – et le public, aussi – exercent une certaine pression pour que soient fournis des services gouvernementaux en ligne.  En fait, le succès du Canada en cette matière est remarquable.  Les services en direct offerts aux Canadiennes et aux Canadiens assurent moins de répétitions inutiles d’information et un meilleur service aux citoyens.

Toutefois , plus il y a de renseignements dans un même système, de visites et d’usagers, plus les personnes sont vulnérables à la surveillance excessive,

qu’elle soit gouvernementale ou bureaucratique.  Sommes-nous en mesure d’accepter ce qui constitue en fait un fichier personnel détaillé et de faire confiance au gouvernement pour qu’il n’en fasse pas un usage inapproprié?

En fait, au niveau fédéral, le cybergouvernement est présent, mais la loi est toujours loin derrière.  La Loi sur la protection des renseignements personnels,qui a maintenant vingt-cinq ans, oblige les institutions gouvernementales à informer les personnes des raisons pour lesquelles leurs renseignements personnels sont recueillis.  Mais la loi devrait exiger une adhésion plus rigoureuse au principe selon lequel les renseignements personnels doivent être utilisés uniquement aux fins auxquelles ils ont été recueillis.  La Loi devrait, de même, établir des contrôles plus sévères d’accès au bassin de renseignements.

Si le gouvernement souhaite devenir plus branché avec ses citoyens, il doit assurer une grande protection de ces derniers.  Le gouvernement doit se souvenir qu’en matière de protection des renseignements personnels, les citoyens ne donnent pas leur confiance, ils la prêtent.Note de bas de page 3  Le gouvernement doit donc faire figure exemplaire pour nourrir la confiance de ses citoyens. 

Enfin, la Loi sur la protection des renseignements personnels, en dépit de sa réforme nécessaire, ne devrait pas empêcher une bonne gestion des renseignements personnels, surtout qu’un renforcement des protections accordées peut être obtenu au moyen de lignes directrices et de politiques émises par le gouvernement.

Les entreprises assujetties à la LPRPDE

Mis à part les tentatives de tiers fraudeurs ou de pirates informatiques rusés, plusieurs examens par le Commissariat à la protection de la vie privée d’incidents importants ont permis d’établir que l’absence de politiques claires et adéquates sur la protection des renseignements personnels et les lacunes dans la formation des employés mènent aux accrocs à la loi et à une gestion inadéquate des renseignements personnels.

Par exemple, la commissaire a fait part en avril 2008 de ses préoccupations concernant les pratiques de protection des renseignements personnels d'une importante billetterie électronique, Ticketmaster Canada ltée.  La commissaire a ouvert une enquête après qu'une personne a déposé une plainte alléguant que les politiques et les pratiques de l'entreprise relativement à la collecte, à la communication et à l'utilisation des renseignements personnels des clients n'étaient pas conformes à la LPRPDE.

Au cours de l'enquête, le Commissariat s’est penché sur la question du consentement, mais a également vérifié si Ticketmaster respectait les principes d'accès, de transparence et de responsabilité que renferme la LPRPDE.  L'enquête a révélé que bien que l'entreprise disposait d'une politique en matière de protection de la vie privée, celle-ci était longue, complexe et difficile à lire.

Il s’est avéré que les clients du service en ligne de Ticketmaster se trouvaient dans l'obligation de consentir à ce que leurs renseignements personnels soient utilisés à des fins de marketing afin d'acheter un billet – ce qui contrevient clairement à la LPRPDE.  À la suite de l’enquête, Ticketmaster a revu ses pratiques de protection de la vie privée de façon à clairement indiquer quels renseignements personnels sont recueillis, avec qui ils sont échangés et comment ils sont utilisés.  L'entreprise a également adapté les avis en ligne et les scénarios téléphoniques des centres d'appels afin d'offrir aux clients la possibilité de consentir à ce que Ticketmaster et certains organisateurs d'événements leur fassent parvenir des documents de marketing.

De plus, Ticketmaster États-Unis a modifié sa politique en matière de protection de la vie privée afin qu'elle soit plus facile à comprendre et à utiliser. Toutefois, l'entreprise n'a pas mis en œuvre de mécanisme, pour ses activités aux É tats-Unis, visant à offrir aux clients la possibilité de consentir à ce qu'on leur fasse parvenir des documents de marketing, comme elle l'a fait pour ses activités au Canada et au Royaume-Uni.Note de bas de page 4 

Il est important que les entreprises ayant des activités au Canada et à l'étranger adoptent les normes de protection des renseignements personnels les plus élevées possible afin qu'elles respectent les lois canadiennes relatives à la protection de la vie privée.  Les entreprises multinationales doivent donc s’assurer que leur présence en ligne se conforme à la LPRPDE.  Les sites informatiques accessibles à partir du Canada peuvent relever de la compétence d’enquête du CPVPNote de bas de page 5. Ces sites doivent donc se conformer à la LPRPDE.

Les mesures prises par Ticketmaster afin de régler les plaintes signal ées à l’attention du Commissariat ont finalement été jugées satisfaisantes.   Toutefois, la commissaire s’est dite « très préoccupée à l'idée que sept ans après la promulgation de la LPRPDE, une importante entreprise œuvrant en ligne partout au Canada contrevenait à la loi. »

En bref, durant les enquêtes de la commissaire, il apparaît quelques fois que les entreprises ne connaissent pas la loi et n'ont pas mis en place de système de responsabilisation.  Le Commissariat a donc élaboré un certain nombre d’outils et de ressources pour aider les entreprises à se conformer à la LPRPDE.  L’année dernière, il a lancé un outil d’apprentissage en ligne interactif pour aider les entreprises à aligner leurs pratiques et politiques en matière de protection des renseignements personnels sur la loi.  Il a également rédigé le guide intitulé Protection des renseignements personnels : vos responsabilités, un guide portant sur la LPRPDE.

En somme, le commerce électronique est en croissance continuelle et les clients du monde entier s'attendent à ce que les entreprises protègent leurs renseignements personnels dans le cadre de leurs activités commerciales.   Le message de la commissaire est donc le suivant : « Il est clair que de mettre en œuvre d'excellentes pratiques de protection de la vie privée pour l'ensemble des opérations d'une entreprise est bon pour les affaires.  Et, de surcroît, c'est la loi au Canada. »  Somme toute, les entreprises assujetties à la LPRPDE devraient se souvenir de la citation suivante de Charlotte SavaryNote de bas de page 6, une romancière québécoise :

La clef qui ouvre toutes les portes... La confiance.

Le rôle des autorités de contrôle de sensibiliser l’opinion sur ces questions

Un document de travail sur le rôle de l’identité dans la société a été diffusé par le Commissariat en janvier 2008.  Ce document de travail vise à éclairer le public sur la manière dont l’identité façonne le droit à la vie privée.  Il décrit les concepts fondamentaux de l’identité, y compris l’identification et l’authentification.  Les individus ont un rôle important à jouer dans la protection de leurs renseignements personnels.  Il leur incombe de poser des questions et d’éviter le recours à des processus d’identification et d’authentification qui ne sont pas fiables.  

En juillet 2008, nous constations, à la suite d’ un sondage commandé par la commissaire, que plus de la moitié des Canadiens sont inquiets de donner leurs renseignements personnels à des détaillants.  Les renseignements personnels sont de plus en plus prisés sur le marché.  Les consommateurs se prennent donc en main et, de plus en plus, remettent en question les demandes de renseignements personnels.  Il est vrai que les entreprises ont besoin de connaître et de comprendre leurs clients, mais si elles ne peuvent expliquer pourquoi elles recueillent nos renseignements, il ne faut pas les leur donner.

Souvenons-nous qu’en vertu de la LPRPDE, les entreprises ont l’obligation, notamment, de préciser les fins auxquelles les renseignements personnels sont recueillis, de limiter la quantité et le type de renseignements recueillis à ce qu’exigent les fins définies et d’utiliser des mesures appropriées pour assurer la protection et la sécurité des renseignements personnels sous leur garde.

Enfin, les internautes insouciants devraient mémoriser cette citation de Pierre CorneilleNote de bas de page 7,  poète et dramaturge français :

Le trop de confiance attire le danger.

CONCLUSION

La mondialisation et la croissance des entreprises en ligne font augmenter la circulation transfrontalière des renseignements personnels.  De plus, compte tenu de la marchandisation de ces renseignements, leur valeur croissante continue d’augmenter.  Les lois fédérales sont-elles en mesure de protéger les renseignements personnels dans ce monde en constante évolution?  Ce sont là des questions sous-jacentes que les lois doivent traiter.  Parallèlement, l’adoption de politiques ou de lignes directrices adéquates peut permettre de redresser les répercussions que les technologies émergentes peuvent avoir sur la protection de la vie privée.  

Dans cet exposé, j’ai présenté quelques-uns des enjeux avec lesquels le Commissariat à la protection de la vie privée doit composer de façon pratique.   Ces enjeux relatifs à la protection de la vie privée sont importants puisqu’ils affectent la vie des gens.  La preuve, c’est que les gens continuent de déposer des plaintes au sujet de la façon dont le gouvernement et les entreprises gèrent leurs renseignements personnels.

Il est vrai, comme le disait Léonard de VinciNote de bas de page 8,  peintre et savant italien, que :

L'expérience prouve que celui qui n'a jamais confiance en personne ne sera jamais déçu.

Toutefois , ne jamais faire confiance à personne n’est pas une solution non plus.  Plutôt, le gouvernement et les entreprises doivent faire figure exemplaire pour gagner la confiance des individus s’ils veulent continuer de transiger dans un environnement électronique avec eux.  Comment peuvent-ils le faire –  En ayant un site W eb sécuritaire et en adoptant une politique de protection des renseignements personnels adéquate et compréhensible. 

Dans les environnements électroniques, les gens continueront sans doute à faire preuve de courage en accordant leur confiance à autrui et, souvenons-nous, cela ne peut inspirer que l'estime et la clémence.  Au fond, la nature humaine ne s’inspire-t-elle pas déjà de la nature – L'oiseau construirait-il son nid s'il n'avait son instinct de confiance au mondeNote de bas de page 9 ?  Avec le même instinct, protégeons nos renseignements personnels en ne les partageant qu’avec ceux qui méritent notre confiance !

Notes en fin de texte

Date de modification :