Bilan de la protection de la vie privée pour les Canadiennes et les Canadiens : Le verre est-il à moitié vide ou à moitié plein?

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de la 10e Conférence annuelle sur la protection de la vie privée et la sécurité

Victoria, C.-B.
le 3 février 2009

Allocution prononcée par Jennifer Stoddart,
Commissaire à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)


Introduction

Bonjour et merci de m’avoir invitée à prendre part à cette conférence passionnante. Je tiens à féliciter les organisateurs pour cette 10e édition de la Conférence annuelle sur la protection de la vie privée et la sécurité. Je suis ravie de participer à un évènement qui reconnaît le lien crucial entre le monde de la protection de la vie privée et celui de la sécurité.

J’aimerais prendre quelques instants pour présenter les membres du Commissariat qui sont présents aujourd’hui. S’ils veulent bien se lever…

Nos deux commissaires adjointes sont présentes : Chantal Bernier, qui vient tout juste d’entrer en fonction, est responsable de la Loi sur la protection des renseignements personnels et des questions liées au secteur public. J’espère que vous profiterez de l’occasion pour la rencontrer.

Elizabeth Denham, que beaucoup d’entre vous connaissent déjà, est responsable de la LPRPDE.

Steven Johnston, notre conseiller principal en sécurité et technologie, ainsi que Melanie Millar‑Chapman et François Cadieux, de notre équipe de recherche.

Steven Morgan est le nouveau directeur général de la Direction de la vérification et de la revue.

Anne‑Marie Hayden et Jill Pyle, de la Direction des communications, vous attendront au kiosque du Commissariat à la protection de la vie privée dans le salon des exposants.

De la Direction des services juridiques, des politiques et des affaires parlementaires, je vous présente Ann Goldsmith et Hedy Kirkby.

Toutes ces personnes se feront un plaisir de répondre à vos questions au sujet de notre travail pendant cette conférence.

Le verre est-il à moitié plein?

Il y a quelques mois, les organisateurs de la Conférence ont suggéré d’intituler cette présentation Bilan de la protection de la vie privée pour les Canadiennes et les Canadiens : Le verre est-il à moitié vide ou à moitié plein?

Nous avons certainement de bonnes nouvelles à communiquer sur le plan de la protection de la vie privée.

Bien que je sois parfois en désaccord avec divers ministères sur certains enjeux liés à la protection de la vie privée, j’apprécie l’appui du gouvernement fédéral, qui a doublé le budget du Commissariat depuis cinq ans, et la confiance dont ce geste témoigne.

Ce financement nous permet de nous adjoindre les services d’une nouvelle génération d’experts en protection de la vie privée qui sont très au fait des nouvelles technologies. Nous venons d’embaucher 20 nouveaux enquêteurs qui suivent actuellement une formation intensive de deux mois.

Je célébrais récemment le cinquième anniversaire de ma nomination au poste de commissaire. Lorsque je me rappelle l’état des choses à mon arrivée, je suis stupéfaite des progrès accomplis.

Voilà pour « le verre à moitié plein ». Bien que j’évite normalement de considérer les choses sous la perspective du « verre à moitié vide », j’aimerais tout de même axer ma présentation d’aujourd’hui sur certains des enjeux qui me préoccupent. J’aimerais aussi vous faire part de mes réflexions sur les pistes de solutions possibles.

Un nouveau paysage de la protection de la vie privée

Les nouvelles technologies, qu’il s’agisse du dossier de santé électronique, des sites de réseautage social ou des systèmes de gestion du trafic sur Internet, posent constamment de nouveaux défis en matière de protection de la vie privée pour les Canadiennes et les Canadiens, et pour le Commissariat. Nous enquêtons actuellement sur des plaintes concernant Facebook et l’inspection approfondie des paquets.

La collecte, le partage, l’analyse, le transfert et le stockage de renseignements personnels se font à une vitesse ahurissante. Bien souvent, ces renseignements ne sont pas protégés adéquatement, que ce soit par les particuliers qu’ils concernent ou par les organisations qui les détiennent.

Le nombre d’atteintes à la protection des renseignements personnels partout dans le monde, et leur ampleur, est alarmant.

Un article paru récemment dans The Economist citait un enquêteur professionnel qui constatait que, peu importe les fins visées par la création et la communication d’un renseignement, ce renseignement finira toujours par servir à une autre fin. Voilà de quoi ébranler tous les principes d’orthodoxie en la matière.

Nous faisons face à une quantité impressionnante de défis en matière de protection de la vie privée, dont bon nombre proviennent des nouvelles technologies qui nous fascinent en tant que consommateurs, et contribuent grandement au confort et à la prospérité de nos sociétés.

Ces défis, vous les connaissez bien. J’ai bien peur de m’attirer les foudres de plusieurs en suggérant que la solution n’est pas, à mon sens, le simple ajout de nouvelles technologies.

Évidemment, les technologies font souvent partie de la solution, mais, et c’est l’essentiel de mon message aujourd’hui, ce sont des personnes qui sont responsables de l’utilisation que nous faisons des technologies; chacun doit assumer la responsabilité de ce que permettent les technologies. Voilà qui peut paraître évident, mais je crois que nous avons perdu ce facteur de vue depuis quelques années.

Changements culturels et technologiques

Certains d’entre vous ont peut-être déjà vu ce genre d’affiches de la Deuxième Guerre mondiale dans un cours d’histoire. L’idée de protéger les renseignements dépassait le contexte militaire.

Notre vision des renseignements personnels a considérablement changé en relativement peu de temps.

La croissance phénoménale d’Internet, par exemple, a mené à une nouvelle philosophie : l’information est faite pour circuler.

Il existe maintenant une génération qui a grandi avec le World Wide Web. Cette génération ne voit aucun problème dans l’échange étendu d’information et considère dépassé d’être trop avare d’information. Les récentes recherches de notre groupe de recherche sur le réseautage social montrent que beaucoup de jeunes ne voient aucun inconvénient à mettre en ligne la majorité de leurs renseignements personnels.

Le monde du commerce a aussi changé. Dans les années 1990, les entreprises ont compris le potentiel lucratif des renseignements personnels et se sont mises à les recueillir, à les utiliser et à les vendre de plus en plus.

Dans la foulée des évènements du 11 septembre, les gouvernements du monde entier ont réalisé l’intérêt d’amasser des renseignements personnels dans leur combat contre le terrorisme.

Les avancées technologiques ont évidemment joué un rôle dans ces changements culturels, économiques et politiques, chacun de ces changements ayant des répercussions majeures en ce qui a trait à la protection de la vie privée.

De plus, l’arrivée de technologies puissantes rend des quantités énormes d’information extrêmement portables.

De minuscules appareils peuvent contenir des quantités phénoménales de renseignements personnels et ces appareils ont une inquiétante tendance à s’égarer facilement. Rappelez‑vous la disparition, dans la poste britannique, de deux disques durs qui contenaient les renseignements personnels de tous les bénéficiaires de prestations pour enfants, soit 25 millions de dossiers.

Les défis que posent ces changements en ce qui a trait à la protection de la vie privée sont colossaux. Alors, que pouvons-nous faire? Que devons-nous faire?

La recherche de solutions

Il nous faut d’abord reconnaître que la technologie ne peut suffire à régler tous nos problèmes. Un problème de protection de la vie privée causé par une technologie est rarement résolu à long terme par l’adoption d’une nouvelle technologie.

La plupart des technologies suivent le même modèle et une personne futée arrivera toujours à déjouer le système, peu importe la technologie ou l’industrie. 

Prenez pour exemple les cas de craquage. Chaque avancée dans les techniques de chiffrement suscite de nouvelles tentatives d’atteinte à la sécurité.

Autre exemple : les marchés mondiaux du crédit et de la finance. Même les entreprises les plus brillantes, qui disposent des technologies les plus avancées au monde, n’ont pu échapper aux conséquences désastreuses de leurs propres décisions.

On pourrait avancer que leurs technologies – leurs systèmes de forage de données financières, leurs systèmes complexes d’établissement des cotes de crédit, leurs instruments financiers de pointe – les ont aveuglées, les conduisant ainsi à ignorer les bonnes vieilles méthodes classiques comme le contrôle diligent, l’évaluation des capitaux propres et l’obtention de garanties. 

Nous devons bien sûr encourager le progrès, mais il faut toutefois éviter de ne compter que sur la technologie pour régler les problèmes d’atteinte à la vie privée. Les problèmes technologiques ne se règlent pas à long terme par le simple ajout de technologies plus complexes.

Dans le domaine automobile, par exemple, pour éliminer les accidents de la route, on a bien sûr recours à des technologies, pour le freinage entre autres, comme la technologie des freins antiblocage. Mais le facteur le plus important demeure l’éducation des conducteurs, c’est‑à‑dire le facteur humain.

Je demeure convaincue que les facteurs déterminants en matière de protection de la vie privée sont les valeurs personnelles, les mesures prises par les personnes et les entreprises, ainsi qu’une application plus stricte de la loi.

Des citoyens et des consommateurs mieux informés, une attitude personnelle plus responsable, de bonnes pratiques d’entreprise, des lois mieux conçues, une surveillance réglementaire plus perspicace et une application plus stricte la loi, voilà qui est plus susceptible d’être efficace que la mise en place de solutions technologiques imposantes et complexes.

Leçons tirées de l’expérience de la Grande‑Bretagne

C’est exactement la conclusion à laquelle sont venus les Britanniques suite aux importantes enquêtes qui ont suivi la grave atteinte à la protection des renseignements personnels à l’agence des douanes et des revenus.

Les experts britanniques ont déterminé que même si elle est à l’origine des problèmes qui ont mené à cette violation, en permettant le stockage d’une si vaste quantité d’information sur un minuscule disque, la technologie ne saurait suffire à éviter de nouveaux cas de fuite de données.  

La Grande‑Bretagne a plutôt opté pour une démarche multifacette :

  • offrir une formation sur la protection des renseignements personnels à tous les employés du gouvernement;
  • insister davantage sur la responsabilité des cadres supérieurs;
  • améliorer le processus d’évaluation des répercussions des atteintes à la vie privée;
  • augmenter le pouvoir d'application de la loi du commissaire à l'information de la Grande‑Bretagne, notamment en lui permettant de réaliser des vérifications ponctuelles et d’imposer des amendes substantielles aux organisations qui commettent, délibérément ou par négligence, de graves infractions à la loi sur la protection des renseignements personnels de la Grande‑Bretagne.

Les experts britanniques débattent maintenant d’une autre question importante : la nécessité de déterminer la valeur pécuniaire des renseignements personnels.

Cette idée nous a donné du fil à retordre dans le cadre de l’application de la LPRPDE, car comment attribuer une valeur à la perte de renseignements personnels, surtout en l’absence de dommages tangibles?

Favoriser la responsabilisation

Nous savons combien valent le matériel informatique et les logiciels qui servent à stocker les renseignements personnels; nous connaissons le salaire de la personne qui gère la base de données, mais la majorité du temps, personne ne se questionne sur la valeur des renseignements personnels.

Nous devons aussi trouver de meilleurs mécanismes pour rendre les décideurs plus responsables des décisions qui ont une incidence sur la sécurité et la confidentialité des renseignements personnels.

L’ajout d’exigences de notification des atteintes à la protection des renseignements personnels dans nos lois serait très utile. Le Commissariat surveille de près l’initiative de signalement de la Federal Trade Commission des États-Unis.

Je suis de plus en plus convaincue que le Canada doit se pencher sérieusement sur la façon dont le gouvernement fédéral applique les lois sur la protection des renseignements personnels dans le secteur privé. Depuis quelques années, bon nombre d’observateurs ont vanté les mérites  des modèles provinciaux d’application de la loi, jugeant ceux-ci préférables.

La nomination d’un ombudsman est-elle le meilleur moyen de guider la politique sur les renseignements personnels? L’opacité du processus d’enquête sur les plaintes sert-elle les intérêts de la réglementation sur la protection de la vie privée? La commissaire à la protection de la vie privée devrait-elle avoir le pouvoir de déterminer les plaintes prioritaires, comme le réclament certains depuis longtemps? En quoi devrait consister une application plus judicieuse de la loi au 21e siècle? 

Le Commissariat commandera une étude auprès d’une personne spécialisée en droit administratif et ayant une connaissance approfondie des lois sur le droit à l'information et la protection des renseignements personnels.

Cette étude, qui sera diffusée au public, servira de catalyseur pour les discussions portant sur les politiques.

Dans de nombreux forums partout dans le monde, comme l’APEC, les APVPAP, l’OCDE (Europe), on discute d’approches plus ingénieuses et pratiques d’application des lois. Le Commissariat participe à ces discussions de façon à arriver à une compréhension commune des principes liés à la protection de la vie privée et des normes de responsabilisation appropriées afin de mieux protéger les Canadiennes et les Canadiens.

Importance de la formation

Un autre aspect important de la prévention des atteintes à la protection des renseignements personnels est la formation des employés; le facteur humain, l’élément essentiel que j’ai mentionné plus tôt.

Selon un sondage mené pour le Commissariat en 2007, seul le tiers des entreprises sondées avaient formé leur personnel sur leurs responsabilités en vertu des lois canadiennes régissant les questions de vie privée. Voilà qui est très inquiétant!

Le Commissariat a récemment analysé 86 cas d’atteintes à la protection des renseignements personnels qui lui avaient été signalés, pour constater que le manque de formation et de sensibilisation des employés était le facteur contributif le plus déterminant. En effet, ce facteur était en cause dans plus de la moitié des cas examinés!

Nous avons constaté que les atteintes à la vie privée sont souvent causées par des erreurs élémentaires, des erreurs humaines. Les atteintes sont principalement causées par l’inconduite d’employés et l’erreur humaine, et non par des faiblesses sur le plan technologique.

Dans une récente étude, le Ponemon Institute a découvert que la moitié des directeurs d’entreprise avaient désactivé la fonction de chiffrement de leur ordinateur portatif. Le facteur humain, encore une fois!

Il y aura toujours des erreurs et des manques de jugement, mais les organisations peuvent considérablement accroître la sécurité des renseignements personnels en formant leur personnel adéquatement.
Le Commissariat appuie totalement les efforts déployés pour professionnaliser les personnes chargées de protéger des renseignements personnels – le travail d’organisations comme l’IAPP, l’ACAP, l’ACAPAP, l’Université d’Alberta et un organisme québécois.

Les organisations doivent s’assurer que tous les employés comprennent la responsabilité qu’ils ont de protéger les renseignements personnels. Un employé qui comprend sa responsabilité ne mettra jamais à la poste un disque compact qui contient les renseignements personnels de 25 millions de personnes!

Les erreurs, notamment les erreurs humaines, seront moins fréquentes lorsque les employés se verront comme les gardiens fidèles de ces renseignements personnels. Et la mauvaise conjoncture économique et les compressions des coûts ne devraient pas changer ma prédiction.

Conclusion

La technologie a grandement changé nos vies ainsi que la façon dont la société comprend les questions de vie privée et, parfois, choisit d’autres priorités.

Cette nouvelle perspective ne s’imposera pas simplement par des lois ou de meilleures technologies. La protection de la vie privée est l’affaire de chacun et est fonction des choix de chacun. Le niveau de protection dont chacun bénéficie est bien souvent le résultat de nos propres exigences, demandes ou définitions.

Malgré le changement de génération dont nous sommes témoins, je demeure convaincue que la protection de la vie privée demeure une valeur importante pour les jeunes, même s’ils en ont une vision différente. Les jeunes canadiens s’attendent à ce que les entreprises et les gouvernements prennent des mesures pour protéger leurs renseignements personnels dans ce nouveau contexte.

Il faut freiner les gouvernements et les organisations dans leur tentative de recueillir de plus en plus de renseignements personnels. Les nouvelles technologies et les mesures de protection imposées avec force en fin de compte pour protéger les données déjà recueillies ont leurs limites, comme les nouveaux cas de fuites le montrent.

Ne faisons pas l’erreur de croire que la technologie est le remède miracle à tous les problèmes de protection de la vie privée. Je ne suis pas la seule à partager cet avis. Bruce Schneier publiait récemment un article dans le Wall Street Journal dans lequel il explique pourquoi la technologie ne peut pas empêcher le vol d’identité. Il y souligne qu’aucun système d’authentification n’est parfait et que « nous pouvons réduire les risques d’usurpation d'identité, mais pas les éliminer. La technologie ne résout rien, fondamentalement ». [traduction libre]

C’est le citoyen qui est au centre de la question du respect des renseignements personnels. Le citoyen qui est la pierre angulaire de la question de la responsabilisation, et c’est encore le citoyen qui se trouve au cœur des changements à apporter pour mieux protéger la vie privée des Canadiens et des autres citoyens du monde. Ce sont les citoyens qui prennent les décisions susceptibles de créer un monde où la protection des renseignements personnels est respectée.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :