Commerce et communications – que faire pour que la confiance soit maintenue?

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de la Conférence sur la Protection de la vie privée et vol d'identité organisée par la Freedom of Information and Privacy Association

Vancouver, C.-B.
le 24 novembre 2008

Allocution prononcée par Jennifer Stoddart,
Commissaire à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)


Introduction

Bonjour. Pour commencer, je souhaite remercier les organisateurs de m'avoir invitée à participer à une conférence qui sera sans aucun doute des plus stimulantes.

Cet événement n'est pas la première initiative de la FIPA portant sur le vol d'identité. Plusieurs d'entre vous se rappelleront qu'il y a quelques années, la FIPA présentait l'une des premières études exhaustives sur le vol d'identité au Canada. Ce projet avait été financé par le Programme des contributions du Commissariat.

Darrell Evans et son équipe méritent nos félicitations pour tout le remarquable travail qu'ils font sur le vol d'identité ainsi que sur de nombreux enjeux – et toujours en dépit d'un budget très limité.

J'ai été extrêmement impressionnée de voir l'ordre du jour de la conférence. Il intègre plusieurs des thèmes clés que le Commissariat traite depuis quelques années : l'absence de statistiques fiables sur la fraude d'identité au Canada; l'urgent besoin d'actions législatives; et l'exigence que les organisations investissent plus d'efforts pour protéger les renseignements personnels des Canadiennes et des Canadiens.

Ce matin, j'aimerais vous faire part de quelques réflexions sur chacun de ces enjeux. Il appert que la lutte contre le vol d'identité nécessitera que des actions soient prises sur plusieurs fronts.

Établir la confiance

Les organisateurs de la conférence ont suggéré que le titre de ma présentation de ce matin soit Commerce et communications – que faire pour que la confiance soit maintenue?

À mon avis, les consommateurs d'aujourd'hui ne font pas beaucoup confiance aux organisations qui détiennent leurs renseignements personnels, ni aux organismes gouvernementaux qui sont censés les protéger contre le vol d'identité. Peut-être aurait-il mieux convenu d'intituler ma présentation en faisant référence à « établir » ou « créer » la confiance. Notre système, s'il n'est pas défectueux, a définitivement besoin d'une mise au point.

Pourquoi est-ce que je dis ça?

Chaque matin, une multitude de coupures de presse aboutissent sur mon bureau à Ottawa; elles comprennent invariablement des histoires concernant une nouvelle atteinte à la vie privée – souvent plus d'une. Il n'est pas étonnant que les gens se préoccupent de plus en plus de la sécurité de leurs renseignements personnels!

Un sondage Ipsos Reid effectué l'année dernière pour le compte de CanWest News Service et du réseau de télévision Global indiquait que près de la moitié des Canadiennes et des Canadiens étaient d'avis que les banques et les autres entreprises ne prenaient pas suffisamment de mesures pour protéger leurs renseignements personnels et pour prévenir le vol d'identité.

Selon le même sondage, le risque de vol d'identité a poussé près du tiers de la population canadienne à modifier ses habitudes de consommation et la façon dont elle utilise les cartes de débit et les cartes de crédit.

Entre-temps, le gouvernement fédéral a entrepris des démarches préliminaires relativement au vol d'identité. Par exemple, un projet de loi visant à mieux cibler le vol d'identité a été présenté durant la dernière session parlementaire, mais il n'avait pas été adopté au moment du déclenchement des élections.

Toutefois, nous attendons toujours une approche globale, qui est nécessaire si nous comptons réaliser de réels progrès. Les besoins sont grands pour attiser la confiance des consommateurs.

Évaluer le problème

Une partie du problème, c'est que nous ne disposons pas d'un portrait détaillé de la portée du vol d'identité au Canada, ni des causes sous-jacentes.

Pour commencer, le débat au sujet de la définition du vol d'identité n'est pas clos. On emploie le terme pour plusieurs situations – des simples cas de fraude, quand quelqu'un falsifie un chèque ou utilise une carte de crédit volée pour faire des achats, à des cas plus complexes, comme un imposteur qui crée une nouvelle identité. En raison de l'absence de consensus sur la définition, évaluer le vol d'identité constitue tout un défi.

Pour ce qui est de quantifier le problème, l’organisme PhoneBusters fournit quelques chiffres qui sont utiles pour indiquer les tendances. Toutefois, cet organisme reconnaît volontiers qu'il ne compile qu'un petit pourcentage des chiffres réels. Plusieurs personnes ne se donnent pas la peine de rapporter des cas de vols d'identité, peut-être parce que pour le moment, la police ne peut pas leur procurer une grande aide. Notre Code criminel n'est tout simplement pas à jour et il faut aussi prendre en considération les priorités en matière d'application de la loi.

Un autre problème, c'est que nous ne possédons pas d'information utile sur les sources de renseignements personnels que les voleurs d'identité utilisent. Certaines études avancent qu'une grande partie des renseignements provient des organisations; d'autres recherches prétendent qu'en général, les voleurs d'identité connaissent leurs victimes. Des données fiables nous aideraient à mieux cibler nos efforts pour lutter contre ce crime.

La menace

La plupart des données dont nous disposons laissent présager une explosion du vol d'identité.

La semaine dernière, un nouveau sondage effectué par Susan Sproule pour le compte de l'Université McMaster laissait entendre qu'au cours de la dernière année, 6,5 % des consommateurs canadiens – soit quelque 1,7 millions de personnes – avaient été victimes d'une forme quelconque de fraude d'identité. Les chercheurs se sont aussi penchés sur la source de renseignements personnels utilisée pour ces fraudes. Je suis impatiente d'en apprendre davantage à ce sujet pendant la conférence. Je tiens également à souligner les recherches de premier plan que le CIPPIC a effectuées sur les aspects légaux et politiques du vol d'identité.

Dans le cadre de l'évolution des tendances relatives au vol d'identité au cours des dernières années, il est important de noter que les voleurs reconnaissent de plus en plus qu'ils peuvent faire beaucoup d'argent en volant des noms, des dates de naissance, des cartes de crédit ainsi que d'autres renseignements personnels.

Selon la GRC, les groupes du crime organisé du Canada considèrent que les renseignements personnels constituent une affaire lucrative qui complète leurs sources plus traditionnelles de revenus – la cocaïne et la marijuana.

De façon plus particulière, les menaces en ligne évoluent et se font plus sophistiquées et mieux ciblées. À l'échelle de la planète, la cybercriminalité est devenue une affaire de 105 milliards de dollars – ça représente plus que le trafic illégal des stupéfiants, selon David DeWalt, PDG de l'entreprise de technologie de la sécurité McAfee Inc.

Les criminels voient partout des occasions à exploiter... Tandis que la plupart d'entre nous nous inquiétons de la débandade de l'économie et de la fonte progressive de nos REER, les fraudeurs tirent profit des perturbations du marché financier. La Federal Trade Commission des États-Unis a récemment lancé un avertissement à l'effet que des escrocs – bien au fait de la crise hypothécaire – envoient des courriels hameçons par lesquels ils se font passer pour une institution financière qui aurait récemment acquis la banque ou l'hypothèque d'un consommateur.

Dans notre camp, il nous faudra être tout aussi innovateurs dans l'élaboration de stratégies pour réagir à la menace qui pèse sur nos renseignements personnels.

Le rôle du CPVP

Le Commissariat s'attaque au vol d'identité sur plusieurs fronts. Même que cet enjeu est l'une des principales priorités stratégiques qui orientent nos travaux.

Nous enquêtons sur des atteintes à la protection des données qui pourraient mener au vol d'identité. Nous disposons également du pouvoir d'effectuer la vérification des pratiques relatives à la protection de la vie privée des organisations du secteur privé lorsque nous avons des motifs raisonnables de le faire. Ces activités permettent de déceler les faiblesses des systèmes d'une organisation et aident à combler les lacunes qui mettent les renseignements personnels en danger.

Nous jouons aussi un important rôle sur le plan de la sensibilisation du grand public. Il est clair que plusieurs personnes ne prennent même pas les mesures de base nécessaires à la protection de leurs propres renseignements.

Le Commissariat exhorte également le gouvernement fédéral à prendre davantage d'actions contre le vol d'identité.

Réaction

Nous avons constaté avec plaisir que le gouvernement a entrepris des démarches positives – quoique relativement modestes.

1. Législation en matière de vol d'identité

Durant la dernière session parlementaire, le gouvernement a présenté un projet de loi pour modifier le Code criminel de façon à traiter plusieurs problèmes relatifs au vol d'identité. Cette législation se penche sur les premières étapes du vol d'identité et traite des moyens par lesquels les criminels recueillent les renseignements personnels.

Par exemple, la possession ou le trafic de renseignements permettant l'identification deviendrait une infraction lorsque ces renseignements sont utilisés à des fins frauduleuses. Le projet de loi traite également de la fraude par carte de crédit en créant une nouvelle infraction pour la possession de matériel de reproduction des renseignements associés à une carte de crédit.

Ces modifications fourniront à la police de nouveaux outils utiles pour arrêter les voleurs d'identité et les fraudeurs avant que les Canadiennes et les Canadiens ne souffrent de réels torts financiers.
Un autre élément méritoire de ce projet de loi, c'est que les contrevenants pourraient devoir rembourser leurs victimes pour les coûts encourus en raison de la fraude.

Dans l'ensemble, le Commissariat considère que cette législation est un premier pas dans la bonne direction.

2. Loi anti-pourriel

Les conservateurs du premier ministre Harper ont aussi indiqué qu'ils prévoyaient présenter un projet de loi visant à diminuer la quantité de pourriel que reçoit la population canadienne.

Cette loi interdirait le recours au pourriel pour recueillir des renseignements personnels par faux semblant pour participer à des activités criminelles. La loi prévoirait de nouvelles amendes et mettrait sur pied un organisme coordonnateur qui appliquerait la loi et traiterait les plaintes des consommateurs.

Le Canada est le seul pays du G-8 qui ne possède pas de loi en la matière – bien que ce fut la recommandation principale du Groupe de travail fédéral sur le pourriel (dont le CPVP était membre) en 2005.
Il est difficile de régler efficacement le problème du pourriel. Environ 98 pour cent des courriels que le Commissariat à la protection de la vie privée reçoit sont des pourriels. Vive les filtres!

Bien que je n'aie pas entendu parler précisément de la lutte contre le vol d'identité et le pourriel dans le discours du Trône de la semaine dernière, j'ose espérer que le gouvernement en fait des priorités et que nous le verrons bientôt agir à cet effet.

3. Notification obligatoire en cas d'atteinte à la vie privée

La troisième initiative importante associée au vol d'identité et présentement à l'étude au niveau fédéral vise à exiger que les organisations du secteur privé notifient le Commissariat et les consommateurs concernés lorsque survient une atteinte à la protection des données. Cette modification s'inscrit dans l'examen plus général de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

La notification aidera les personnes dans leurs démarches pour se protéger contre le vol d'identité. Ces exigences devraient également s'avérer utiles en encourageant les organisations à améliorer les mesures de sécurité pour protéger les renseignements personnels qu'on leur a confiés.

Stratégie en matière de cybercriminalité

J'aimerais aussi mentionner une autre initiative possible au niveau fédéral. Un récent rapport médiatique indique qu'on verra bientôt paraître les détails d'une stratégie en matière de cybersécurité – un élément important relativement au problème du vol d'identité.

Prochaines étapes

Si nous accueillons favorablement ces développements, il ne faut pas s'arrêter là. Le Commissariat presse le gouvernement fédéral d'élaborer une vaste stratégie en matière de fraude d'identité. Présentement, plusieurs ministères et organismes fédéraux – la GRC, le Bureau de la concurrence et Industrie Canada, par exemple – se soucient du vol d'identité, mais jusqu'à maintenant, leurs efforts n'ont pas donné lieu à une stratégie concertée.

J'ai proposé que le gouvernement fédéral crée un bureau central ou un groupe de travail qui coordonnerait l'élaboration d'une stratégie à multiples facettes. Cet organisme central réunirait diverses institutions gouvernementales, les provinces, les organismes chargés de l'application de la loi et d'autres intervenants.

Il faut agir sur plusieurs fronts – de nouvelles sanctions pénales et civiles; des mesures contre le faux semblant et les pourriels; une sécurité plus rigoureuse de la part des organisations; une procédure de recours pour les citoyens; la modernisation de la Loi sur la protection des renseignements personnels; et davantage de sensibilisation du grand public – quelques exemples parmi tant d'autres.

Approche adoptée aux États-Unis

Ce ne sont pas les idées qui manquent, mais si nous cherchons un peu d'inspiration, il y aurait lieu de se tourner vers le sud.

Les États-Unis se sont penchés intensément sur le problème du vol d'identité en créant un Groupe de travail sur le vol d'identité en 2006 afin de mobiliser les ressources du gouvernement fédéral. Dans un récent rapport d'étape, le Groupe de travail a indiqué qu'aux États-Unis, les condamnations pour vol d'identité au niveau fédéral avaient augmenté de 26 pour cent en 2007 par rapport à l'année précédente.

Les États-Unis ont instauré des modifications législatives créatives et avant-gardistes.

Par exemple, le Massachusetts et le Nevada ont récemment adopté des lois selon lesquelles les entreprises qui recueillent des renseignements personnels au sujet de résidents de l'État seront tenues de chiffrer les données sensibles conservées sur des supports portatifs comme les ordinateurs portatifs, les Blackberry et les téléphones cellulaires.

À l'échelle nationale, le président Bush a récemment ratifié un projet de loi visant à faciliter la tâche des procureurs qui poursuivent les cybercriminels. Cette même loi prévoit aussi que les victimes seront indemnisées lorsqu'on ordonne aux voleurs d'identité de payer des dédommagements.

Les États-Unis ont également adopté des « Red Flag Rules » – de nouvelles exigences visant à ce que les institutions financières et autres créanciers, comme les concessionnaires d'automobiles et les entreprises de télécommunications et de services publics, rédigent et adoptent des politiques de prévention du vol d'identité.

On appelle ces exigences les « Red Flag Rules » – « les règlements sur le signalement » – parce que les organisations sont tenues d'instaurer des programmes pour discerner des types de comportements, des pratiques ou des activités particulières à signaler, susceptibles d'être associés au vol d'identité, et y réagir.

Cela illustre d'autant plus que le gouvernement américain est beaucoup plus actif que le gouvernement canadien au plan de la lutte contre le vol d'identité.

Problème des atteintes à la protection des données

J'ai parlé de plusieurs domaines où le gouvernement fédéral devrait faire preuve de leadership. Mais les organisations du secteur privé ont aussi un rôle crucial à jouer par rapport au vol d'identité.

Il survient encore trop d'atteintes à la protection des données. Il me semble que les entreprises – petites ou grandes – sous-estiment le danger qu'une atteinte survienne chez eux.

Ce que nous constatons dans les cas d'atteintes signalées au Commissariat, c'est que l'erreur humaine et la formation inadéquate des employés sont deux problèmes majeurs que les organisations doivent régler.

Une récente analyse des atteintes signalées depuis 2006 indique que la conscientisation et la formation des employés est le plus important facteur contribuant aux atteintes qui ont été signalées. C'était le cas dans plus de la moitié des incidents à l'étude.

Il n'y a peut-être pas lieu de s'étonner puisqu'un sondage mené pour le compte du Commissariat l'an dernier indique que seul un tiers des entreprises ont affirmé avoir formé leur personnel sur leurs responsabilités aux termes des lois canadiennes sur la protection des renseignements personnels.

Une autre conclusion importante en lien avec notre discussion sur le vol d'identité, c'est que l'accès, l'utilisation et la communication non autorisés représentaient environ un quart des cas d'atteintes signalées au Commissariat. La plupart de ces cas (plus des deux tiers) mettaient en cause des employés mal intentionnés – plusieurs convoitaient les renseignements personnels pour commettre des fraudes. L'utilisation frauduleuse des renseignements personnels, y compris le vol d'identité, a été confirmée dans près de 80 pour cent des cas où la fraude a servi de moteur à l'atteinte à la protection des données.

De toute évidence, les organisations doivent faire davantage d'efforts pour protéger les renseignements personnels qui leur sont confiés. Au Canada, la loi exige que les renseignements personnels soient protégés de façon adéquate. Ce n'est pas facultatif.

Conclusion

Il est clair que le vol d'identité est un problème complexe – chaque présentation de cette conférence le mentionnera sûrement. Il n'y a pas de solution unique ni de solution simple au vol d'identité, en partie parce qu'il y a de nombreuses causes fondamentales. Une d’entre elles, à mon avis, est l’accès facile au crédit en Amérique du Nord. Pourquoi l’Europe semble-t-elle avoir moins de problèmes?

Les organisations et les personnes doivent faire leur part. Et le gouvernement fédéral doit ouvrir la voie grâce à une stratégie aux multiples facettes qui nous aidera à réaliser des progrès contre ce que certains appellent le crime du XXIe siècle.

Avant de répondre à vos questions, je souhaite vous inviter à visiter le kiosque du Commissariat dans la section des exposants; vous y trouverez des documents de sensibilisation du grand public que nous avons produits sur le vol d’identité ainsi que d'autre information.

'espère que vous consulterez aussi le bulletin électronique que le Commissariat vient de lancer. Il contient des nouvelles de nos travaux et nos points de vue sur des enjeux émergents en matière de protection de la vie privée. Vous pouvez vous y abonner en ligne via notre site Web ou vous inscrire ici, à notre kiosque.

Il me fera maintenant plaisir de répondre à vos questions...

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :