Respecter ses obligations en matière de protection de la vie privée

Supports de substitution

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Privacy Compliance Conference – 2009

Le 27 mai 2009
Toronto

Notes d'une allocution par Jennifer Stoddart,
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Bonjour, mesdames et messieurs. Je suis très heureuse de participer à une conférence intitulée « Respecter ses obligations en matière de protection de la vie privée » — une commissaire à la protection de la vie privée ne pourrait pas demander mieux!

C'est un réel plaisir d'avoir été invitée à participer à une conférence qui aborde une si vaste gamme de sujets importants concernant la protection des renseignements personnels. Et je suis toujours ravie de me trouver dans une salle pleine de gens qui ont la protection de la vie privée à cœur.

Ce matin, je vais présenter une bilan d'une partie du travail que le Commissariat effectue depuis quelques mois en vue d'aider les organisations à comprendre et à respecter leurs obligations en matière de protection de la vie privée.

Vous avez sans doute remarqué que nous avons multiplié nos efforts d'engagement. À ce titre, nous avons publié davantage de documents d'orientation à l'intention des entreprises. Nos lignes directrices les plus récentes traitent de questions relatives à la surveillance secrète. Je vous en présenterai un aperçu ce matin.

Les lignes directrices sur la surveillance secrète arrivent juste après la parution de divers documents d'orientation — sur la circulation transfrontalière des données, la vidéosurveillance et la collecte de renseignements que renferme le permis de conduire, par exemple.

Lorsque c'est possible, nous travaillons à ces lignes directrices en collaboration avec nos homologues provinciaux qui sont responsables de l'application de lois sur la protection des renseignements personnels pour le secteur privé.

À nos yeux, l'harmonisation et une coopération solide sont essentielles — je vous entretiendrai également des nouveaux développements en ce sens.

J’ai pensé que vous seriez intéressés par ce que nous avons appris examinant les atteintes à la protection des données signalées Commissariat au cours des dernières années. Cette nouvelle analyse met en lumière les domaines où les organisations doivent investir davantage d'efforts en vue de prévenir les fuites de données.

Je compte aussi réserver du temps pour répondre à vos questions — ainsi, nous pourrons aborder les sujets dont il est question dans le cadre de vos activités quotidiennes.

Efforts d'harmonisation

Les activités des entreprises chevauchent de plus en plus les frontières provinciales et nationales.

Le Commissariat a investi beaucoup d'énergie dans les efforts internationaux visant à promouvoir la protection de la vie privée de la population canadienne à l'échelle mondiale.

Nous créons des partenariats de plus en plus forts avec les autorités de protection des données, les associations internationales, les groupes de la société civile, les multinationales et d'autres organismes de réglementation comme la Federal Trade Commission aux États-Unis.

Nous trouvons également nécessaire de travailler en coopération avec mes collègues commissaires des provinces et des territoires. Pour renforcer la protection de la vie privée au Canada, des efforts concertés s'imposent.

Les enjeux en matière de protection de la vie privée sont pratiquement les mêmes à l'échelle du pays. Nous sommes tous préoccupés par le vol d'identité, les questions relatives à la santé, la vidéosurveillance et plusieurs autres enjeux. Ils surviennent souvent dans des domaines de compétence relevant à la fois du Commissariat et des bureaux provinciaux.

Par exemple, le Commissariat est responsable de traiter les préoccupations liées aux activités de promotion des dossiers de santé électroniques par le gouvernement fédéral, tandis que les bureaux provinciaux veillent à ce que les renseignements sur la santé soient utilisés de façon appropriée.

Nous collaborons avec les bureaux provinciaux et territoriaux de plusieurs manières — activités de sensibilisation du grand public et d'engagement, conseils aux organisations, enquêtes, pour ne nommer que celles-là.

Plus tôt cette année, par exemple, le Commissariat, les bureaux des commissaire à la protection de la vie privée du Nouveau-Brunswick, du Québec et de la Saskatchewan ainsi que des groupes de défense des droits des enfants de partout au Canada ont mis sur pied un groupe de travail sur la protection de la vie privée en ligne des enfants visant à explorer les moyens pour améliorer les mesures de protection.

Le besoin est encore plus grand d'établir de solides relations de travail avec les bureaux provinciaux qui sont responsables de l'application des lois sur la protection des renseignements personnels régissant le secteur privé.

Au cours des dernières années, la collaboration avec nos homologues de la Colombie-Britannique, de l'Alberta et du Québec s'est considérablement accrue.

En 2008, le Commissariat a fait paraître une déclaration d'intention, affirmant de manière détaillée comment nous envisageons collaborer avec les commissaires et ombudsmans des provinces et des territoires sur des questions de protection de la vie privée.

Le document soulignait notre engagement à consulter les bureaux provinciaux et territoriaux pour des questions relevant de certains domaines prioritaires, comme des projets de lois fédéraux ayant d'importantes répercussions sur la collecte, l'utilisation et la communication des renseignements personnels dans une province ou un territoire.

Nous avons également élaboré un protocole d'entente avec la Colombie-Britannique et l'Alberta pour définir le mode de coopération des commissaires dont la compétence est partagée pour les questions relevant du secteur privé.

Les entreprises ayant des activités partout au pays souhaitent que leurs responsabilités relatives à la protection des renseignements personnels soient claires et harmonisées. Les Canadiennes et les Canadiens souhaitent que leur vie privée soit adéquatement protégée partout au pays.

La collaboration avec les bureaux provinciaux comporte également des avantages pratiques, comme l'utilisation efficiente et efficace des ressources dont disposent les bureaux.

Le cas de Ticketmaster Canada illustre très bien cette réalité : une enquête parallèle menée par le Commissariat et le bureau du commissaire à l'information et à la protection de la vie privée de l'Alberta. Cette étroite collaboration a permis de maintenir une approche constante en ce qui a trait aux conclusions et aux recommandations. Nous avons aussi travaillé avec les bureaux provinciaux sur des documents d'orientation à l'intention des entreprises. Par exemple, nous avons produit, en collaboration avec l'Alberta et la Colombie-Britannique, les lignes directrices sur la vidéosurveillance dans le secteur privé, ainsi qu'un guide à l'intention des détaillants sur la collecte des renseignements relatifs aux permis de conduire.

Récemment, nous avons également publié un document d'orientation en collaboration avec nos collègues de la Colombie-Britannique, de l'Alberta et du Québec, sur la technologie d'imagerie à l'échelle de la rue, comme celle de Google Street View et de Canpages.

Augmentation du travail d'orientation

Ce genre de travail d'orientation joue un rôle de plus en plus grand dans le cadre de nos efforts d'engagement.

Ce printemps, j'ai assisté au forum sur le droit international de protection des renseignements personnels, à Barcelone, où des avocats experts en TI de l'Europe et des États-Unis ont fait valoir l'importance grandissante des directives n'ayant pas caractère obligatoire — soit des lignes directrices réalistes élaborées par des organismes de réglementation.

Ici au Canada, des organisations ont affirmé qu'elles accueilleraient favorablement des documents d'orientation présentant les attentes du Commissariat. D'ailleurs, si vous avez des suggestions de documents d'orientation qui s'avéreraient nécessaires, n'hésitez pas à nous en faire part !

Lignes directrices sur la surveillance secrète

Nous nous sommes rendu compte l'an dernier que la surveillance secrète est un domaine ou des lignes directrices seraient grandement utiles.

Depuis un certain temps, le nombre de plaintes concernant l'industrie des assurances a augmenté, certaines à propos des techniques qu'emploient les experts en sinistres pour évaluer ou appuyer des réclamations. La vidéosurveillance secrète — c'est-à-dire lorsqu'un enquêteur suit une personne et la filme — soulève évidemment plusieurs questions importantes par rapport à la protection de la vie privée.

Nous avons élaboré un projet de lignes directrices, lequel est affiché sur notre site Web, et avons lancé un processus de consultation. Quinze intervenants représentant l'industrie des assurances, les enquêteurs privés, les syndicats et les employeurs nous ont fait parvenir leurs observations.

Nous jugeons que la vidéosurveillance constitue une forme de technologie pouvant porter grandement atteinte à la vie privée, puisqu'elle implique la collecte d'une très grande quantité de renseignements personnels.

On croit souvent à tort que les organisations n'ont pas à se soucier de questions de protection de la vie privée lorsque la vidéosurveillance secrète est effectuée sur la place publique. C'est faux !

Les organisations qui envisagent de recourir à la vidéosurveillance secrète doivent connaître les critères auxquels il faut répondre en vue de recueillir, d'utiliser et de communiquer, en conformité avec la LPRPDE, des images issues de la vidéosurveillance.

Les fins visées

Par exemple, les organisations doivent réfléchir aux objectifs qu'elles cherchent à atteindre par l'entremise de la vidéosurveillance. En vertu de la LPRPDE, une organisation peut recueillir, utiliser et communiquer des renseignements personnels uniquement à des fins qu'une personne raisonnable jugerait appropriées dans les circonstances. Il faut prendre plusieurs choses en compte.

  • Est-il solidement fondé de recourir à la vidéosurveillance comme mode de collecte de renseignements personnels ? (De simples soupçons ne suffisent pas.)
  • Est-il probable que la collecte de renseignements personnels par le biais de la vidéosurveillance aidera l'organisation à atteindre ses objectifs ?
  • L'atteinte à la vie privée est-elle trop grande ? Il faut évaluer le droit d'une personne à la vie privée par rapport au besoin d'une organisation de recueillir, d'utiliser et de communiquer des renseignements personnels. Le droit fondamental à la vie privé est un facteur primordial à prendre en considération.
  • La perte de vie privée est-elle proportionnelle au bénéfice réalisé ? Pourrait-on recourir à des mesures qui portent moins atteinte à la vie privée ?

Consentement

Un autre facteur important à prendre en compte est le consentement. Si, de façon générale, la LPRPDE exige qu'on obtienne le consentement d'une personne à la collecte, l'utilisation et la communication de ses renseignements personnels, la Loi reconnaît que dans certaines situations, le consentement n'est pas requis.

Par exemple, le consentement pourrait s'avérer implicite si une personne a entamé une poursuite officielle contre une organisation et que cette dernière recueille des renseignements aux fins de sa défense.

Afin de recueillir des renseignements par l'entremise de la vidéosurveillance sans consentement, une organisation doit être raisonnablement convaincue que :

  • premièrement, la collecte au su et avec le consentement de la personne compromettrait la disponibilité ou l'exactitude des renseignements;
  • deuxièmement, que la collecte est raisonnable et à des fins liées à une enquête sur le non-respect d'une entente ou sur une infraction à la loi.

Limiter la collecte

Nos lignes directrices avertissent également les organisations qu'elle doivent limiter la quantité de renseignements personnels qu'elles recueillent.

Nous sommes particulièrement préoccupés par la collecte de renseignements sur un tiers qui n'est en rien concerné par l'objet de la surveillance.

Par exemple, le voisin d'une personne qui est l'objet de surveillance ne devrait pas être à risque que des images d'une conversation de jardin fassent partie du dossier que l'enquêteur remet à une entreprise.

Une des plaintes qui a été déposées au Commissariat concernait une entreprise qui a engagé un enquêteur privé pour effectuer la vidéosurveillance secrète d'un employé dont la gravité de la blessure subie suite à un accident de travail était en doute. L'enquêteur a filmé l'épouse de l'employé qui conduisait leurs enfants à l'école — même s'ils n'étaient pas l'objet de la surveillance!

Lorsque des personnes innocentes sont filmées par inadvertance, ces images doivent être supprimées ou dépersonnalisées aussi tôt que possible. On peut brouiller les visages des personnes, par exemple.

Ainsi, on protège la vie privée de personnes qui n'ont absolument rien à voir avec l'enquête.

Vous pourrez en savoir davantage en consultant les lignes directrices que nous prévoyons afficher aujourd'hui sur notre site Web.

De toute évidence, les organisations doivent prendre en considération plusieurs enjeux avant d'entreprendre des activités de vidéosurveillance secrète. Les nouvelles lignes directrices devraient les aider à trouver le juste équilibre entre le besoin légitime de recueillir des renseignements à des fins commerciales et le droit des personnes à la vie privée.

Cet équilibre n'est pas facile à atteindre; mais la protection de la vie privée doit être respectée.

Atteintes à la vie privée – aperçu

Un autre problème, malheureusement, continue de le Commissariat occupé : les atteintes à la protection des données.

Nous avons récemment complété une analyse des atteintes à la protection des données survenues dans le secteur privé et qui ont été signalées au Commissariat entre 2006 et 2008. Cette analyse nous permettra de mieux comprendre comment elles surviennent et commet les prévenir.

Le nombre de cas signalés d'atteinte à la vie privée a augmenté de façon significative depuis que nous avons publié une liste de contrôle à l'intention des entreprises pour les cas d'atteinte à la vie privée en 2007 et, en 2008, les lignes directrices sur l’avis en cas d'atteinte à la vie privée.

Le nombre de cas signalés a grimpé de 23 en 2006 à 48 en 2007, puis à 65 l'an dernier.

En dépit de cette augmentation, il est clair que tous les cas ne sont pas signalés. Le signalement des atteintes à la vie privée n'est pas encore obligatoire en vertu de la LPRPDE.

Nous espérons qu'on apportera éventuellement des modifications à la LPRPDE qui tiendront compte de la notification en cas d'atteinte à la vie privée — de même que d'autres enjeux comme la communication de renseignements personnels dans le cadre de fusions et d'acquisitions et la définition de l'information sur les contacts d'affaires.

Lorsque nous nous sommes penchés sur les cas d'atteinte à la vie privée signalés, nous avons été frappés de constater que pour un grand nombre d'entre eux, des problèmes de faible technicité étaient en jeu.

La conscientisation et la formation des employés constituent des facteurs presque aussi importants que la sécurité des systèmes. Presque un tiers des cas d'atteinte découlait de la mauvaise conduite délibérée d'employés.

Et un incident sur cinq mettait en cause les procédures que suivent les employés lorsqu'ils apportent les données avec eux à l'extérieur du bureau — pour travailler à la maison ou pendant un voyage d'affaires, par exemple. C'est plutôt découragent quand on pense au très grand nombre de manchettes qui rapportent des cas d'atteinte à la protection des données liées au vol d'ordinateurs portatifs dans des voitures garées !

Types d'atteintes à la vie privée

La première étape de notre analyse consistait à faire un classement des types d'atteintes à la vie privée....

Les cas résultant de l'accès, de l'utilisation et de la communication sans autorisation représentaient plus d'un tiers de tous les cas d'atteinte à la vie privée signalés. En général, le coupable était un employé dissident qui utilisait — ou tentait d'utiliser — des renseignements personnels pour commettre une fraude.

Les cas de communication accidentelle comprenaient : des erreurs lors d'envois postaux; la destruction ou l'élimination inadéquate de renseignements; la communication en ligne; les erreurs de courriels et de télécopies.

Les cas de vols incluent les incidents où des documents et des appareils électroniques renfermant des renseignements personnels ont été volés dans des voitures, des bureaux ou des magasins ainsi que dans les sacs de messagers.

Les cas de perte de renseignements personnels se rapportent à la disparition de documents papier et de dispositifs portables comme les clés USB.

Les problèmes derrière les atteintes à la vie privée

Dans le cadre de l'analyse, nous nous sommes aussi penchés sur les problèmes qui sous-tendent tous les cas d'atteinte à la vie privée. La plupart du temps, plusieurs facteurs entraient en jeu.

De quoi devriez-vous vous préoccuper le plus?

Comme je l'ai mentionné plus tôt, l'analyse démontre que le problème le plus fréquent est la faiblesse des systèmes de sécurité, suivie de près par la formation inadéquate des employés.

Même aujourd'hui, après les incidents survenus à la TJX, les organisations continuent de sous-estimer les risques en matière de sécurité et la nécessité de protéger les renseignements personnels. Les technologies sont en constante évolution et il est crucial que les organisations garantissent que leurs systèmes de sécurité demeurent efficaces et continuent de protéger adéquatement les données personnelles.

Je sais que ça pose plein de défis — mais c'est aussi absolument nécessaire.

Il était décevant — mais pas surprenant — de voir que la formation inadéquate des employés contribue à un si grand nombre d'atteintes à la vie privée.

Selon un sondage commandé par le Commissariat en 2007, seul le tiers des entreprises ont indiqué avoir formé leur personnel sur les pratiques et les responsabilités en vertu des lois canadiennes sur la protection des renseignements personnels (bien que les plus grandes entreprises semblent s'en tirer mieux).

La formation — la formation continue — est centrale à un bon système de gestion de la protection de la vie privée.

Un autre problème important que l'analyse a permis d'identifier est la mauvaise conduite délibérée des employés. C'est un problème plus difficile à régler... Comment prédire quels employés tenteront de voler des renseignements personnels? Bien sûr, un moyen efficace de réduire les risques est de s'assurer que les renseignements personnels ne sont accessibles qu'aux employés qui en ont besoin.

Parmi d'autres facteurs que les organisations doivent prendre en considération pour réduire les risques d'atteinte à la protection des données, mentionnons : les procédures administratives, y compris les pratiques relatives à la destruction et à l'élimination des données; les tiers fournisseurs de services et leur capacité à protéger les renseignements personnels; et les procédures et mesures de sécurité applicables aux employés qui apportent des données avec eux à l'extérieur du bureau.

Nous espérons que les conclusions de l'analyse donneront à réfléchir aux organisations qui investissent des efforts pour réduire les risques de fuites de données.

Nous serons en mesure d'analyser plus efficacement ces incidents lorsque leur signalement sera obligatoire; nous pourrons alors considérer la situation dans son ensemble.

La protection de la vie privée et l'économie

Il me semble qu'à la lumière des récents troubles économiques, il est d'autant plus important que le signalement des atteintes à la vie privée devienne obligatoire — cela inciterait davantage les entreprises à prendre au sérieux la prévention de tels incidents.

Il y a toujours un risque que des entreprises qui cherchent à économiser pendant des périodes difficiles se mettent à lésiner sur la sécurité.

Un sondage que nous avons commandé il y a quelques mois révèle que 87 % des Canadiennes et Canadiens sont préoccupés par l'idée que des entreprises pourraient choisir d'investir moins dans la protection des renseignements personnels de leurs clients en période d'incertitude économique.

La menace à l'endroit des renseignements personnels risque d'augmenter en période de difficulté économique, les escrocs cherchant à exploiter les vulnérabilités. Plus tôt cette année, le gouvernement du Canada a mis en garde les entreprises et les consommateurs et leur a conseillé de rester vigilants face à un possible accroissement des activités frauduleuses et d'arnaques.

Ce n'est absolument pas le moment de couper dans la sécurité.

Les entreprises pourraient trouver contre-productif de se serrer la ceinture en ce qui a trait aux mesures de sécurité et de protection de la vie privée. Les études démontrent qu'il est moins coûteux d'investir a priori dans de bonnes mesures de sécurité que de payer pour les pots cassés après une atteinte à la protection des données découlant de problèmes de sécurité.

Nous trouvons toutefois encourageant de voir que plusieurs entreprises nous ont fait part de leur engagement à protéger la vie privée — un geste qui, à leurs yeux, leur procure un avantage concurrentiel.

Conclusion

J'ai traité d'un large éventail de questions. J'espère avoir réussi à brosser un bon portrait de certaines de nos plus récentes initiatives visant à aider les organisations à respecter leurs obligations en matière de protection de la vie privée.

Dans le cadre de nos travaux à l'extérieur du Canada, nous cherchons à élaborer des normes mondiales de protection de la vie privée qui contribueront à protéger les données de vos clients après qu'elles sont sorties du pays.

Nous collaborons avec nos homologues provinciaux pour faire en sorte que les bureaux responsables de l'application des lois régissant le secteur privé adoptent des approches cohérentes. Nous tentons, dans la mesure du possible, de vous orienter dans la même direction.

Nous œuvrons aussi à vous fournir davantage de directives. Nos lignes directrices témoignent des attentes du Commissariat et aident les organisations à mettre en œuvre de bonnes pratiques de protection de la vie privée — et à éviter les ennuis.

Enfin, nous consacrons beaucoup de ressources à l'analyse et à la recherche pour améliorer la compréhension de nombreux enjeux relatifs à la protection de la vie privée. Notre analyse des atteintes à la protection des données en est un exemple. Nous annoncerons prochainement les noms des derniers récipiendaires du Programme des contributions pour la recherche dans le domaine de la protection de la vie privée. Cette année, 11 organisations de partout au pays se partageront environ 450 000 $. Le Programme a été créé en 2004 pour soutenir la recherche sans but lucratif dans le domaine de la protection de la vie privée, pour favoriser l'élaboration de politiques en la matière et pour promouvoir la protection des renseignements personnels au Canada. Ce programme est devenu l'un des plus éminents au monde au plan du financement de la recherche.

En bout de ligne, l'objectif du Commissariat est de vous aider à réussir à protéger les renseignements personnels que les Canadiennes et les Canadiens vous confient.

Nous sommes toujours prêts à recevoir vos idées et vos suggestions.

Il me fera maintenant plaisir de répondre à vos questions...

Date de modification :