Bien protéger la vie privée dans un univers de « remixage » et de « repersonnalisation »

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de l’Industrie géomatique canadienne Annual Leaders Forum

Le 17 juin 2009
Ottawa, Ontario

Allocution prononcée par Elizabeth Denham
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Bien qu'elle fasse partie de nos valeurs, la protection de la vie privée se fragilise de plus en plus. En ce début de XXIe siècle, elle est confrontée à toute une gamme de nouveaux risques. Plus particulièrement, les progrès technologiques ont intensifié de façon draconienne les menaces auxquelles nous faisons face.

Au cours des dernières années, nous avons assisté à l'accroissement de la puissance des ordinateurs. Simultanément, la créativité des êtres humains a mené à une multitude d'applications ayant une incidence importante sur nos renseignements personnels.

Les données personnelles sont devenues un produit de grande valeur pour les gouvernements — ils voient là la solution pour éviter que des événements comme ceux du 11 septembre se reproduisent. Pour le secteur privé aussi — on se sert de nos adresses, habitudes d'achats, de nos intérêts en vue d'essayer de nous vendre davantage de marchandises.

Ces tendances ont fortement influencé l'industrie géomatique. Si l'art de la cartographie existe depuis des millénaires, les préoccupations relatives à la protection de la vie privée ne sont apparues qu'à l'ère du numérique.

Une vaste quantité d'information géospatiale ne constitue pas des renseignements personnels — par exemple, de l'information cartographique et topographique.

Toutefois, un nombre croissant d'applications mettent bel et bien des renseignements personnels en jeu.

Des données de position deviennent des renseignements personnels lorsqu'une personne est mise en relation à cette position. À titre d'exemples : l'imagerie à l'échelle de la rue, les services de suivi des téléphones cellulaires comme Google Latitude et Loopt, de même que les systèmes GPS.

Une préoccupation encore plus importante relativement aux questions de protection de la protection de la vie privée se rapporte à la possibilité de relier des renseignements géospatiaux à d'autres données, ce qui donne lieu à la création de renseignements personnels.

En d'autres mots, on crée des renseignements personnels lorsqu'on établit des liens entre l'information et une position précise, permettant ainsi de mettre en relation ces nouveaux renseignements et une personne en particulier.

Certains « renseignements composites » tirent des données d'une grande variété de bases de données — information sur les services publics, rôles de perception municipale, données sur les interventions d'urgence, etc. — en vue d'établir le profil d'une propriété précise et des gens qui y vivent. Ces outils sont incroyablement performants.

Dans ce cas-ci, le USA Today a pris des renseignements publiquement accessibles sur les forclusions et les a appliqués à une carte de Denver...

La capacité de faire ce genre de recoupement pose des défis considérables au Commissariat. Nous, de même que l'industrie et le gouvernement, devons demeurer vigilants pour garantir la protection du droit à la vie privée.

Nos lois en matière de protection de la vie privée renferment le cadre nécessaire à la protection des droits, mais présentent des lacunes en termes de directives précises et de ressources réglementaires qui assureraient la conformité.

Devant l'apparition de nouvelles applications, les renseignements personnels et les questions de protection de la vie privée sont des enjeux importants pour l'industrie géomatique.

Les lois sur la protection des renseignements personnels visant le secteur privé, tant à l'échelon fédéral que provincial, pourraient s'appliquer à une grande variété d'information géomatique.

Ces enjeux en émergence représenteront un domaine d'intérêt pour le Commissariat pendant l'année à venir — et au-delà, sans doute. L'information géomatique est bien en vue sur notre écran de radar.

Les renseignements personnels dans un contexte géospatial

L'une des questions principales qui survient tandis que nous nous penchons sur le moyen de protéger la vie privée dans le contexte de la géomatique est la suivante : à quel moment l'information géospatiale devient-elle des renseignements personnels?

Les lois canadiennes en matière de protection de la vie privée ne s'appliquent qu'aux « renseignements personnels ».

Ces lois sont la Loi sur la protection des renseignements personnels et les documents électroniques — la LPRPDE — et la Loi sur la protection des renseignements personnels, deux lois fédérales, ainsi que les lois des provinces de la Colombie-Britannique, de l'Alberta et du Québec. L'Ontario et d'autres provinces possèdent des lois en matière de protection de la vie privée qui régissent le domaine de la santé.

Si la formulation des diverses lois diffèrent quelque peu, la définition de « renseignements personnels » se rapporte généralement à la possibilité d'identifier une personne grâce à des renseignements.

Quand des renseignements permettent d'identifier une personne, ce sont des renseignements personnels. En général, on ne peut les recueillir, les utiliser ou les communiquer sans le consentement de la personne concernée.

Dans un contexte géospatial, lorsque l'image d'une rue présente des gens qui marchaient sur le trottoir au moment où la photo a été prise, cette image constitue des renseignements personnels.

De même, si cette image renferme des objets qu'on peut mettre en relation avec une personne en particulier — une plaque d'immatriculation personnalisée, par exemple — cette image constitue des renseignements personnels.

Dans le monde virtuel, on combine des renseignements personnels à des cartes de manière à créer des sites Web que je qualifierais du pire cauchemar d'une commissaire à la protection de la vie privée.

Voici RottenNeighbor.com — où n'importe qui peut dire n'importe quoi au sujet de ses voisins et afficher une photo qui montre exactement où ils habitent.

Cette image est tirée des pages « pour fans harceleurs » de Gawker.com. Les gens s'en servent pour échanger de l'information sur les endroits où se trouvent des célébrités (parfois en temps réel). Certaines des contributions qu'on y a faites donnent la chair de poule — elles révèlent, par exemple, les noms des écoles des enfants de stars du cinéma.

Et regardez ça — une carte indiquant les maisons de tous ceux qui ont fait un don à une campagne visant à bannir le mariage entre personnes de même sexe en Californie.

Notez que tous ces exemples proviennent des États-Unis où il n'y a pas de régime rigoureux de protection des données. Si ces sites commerciaux étaient canadiens, le Commissariat serait en mesure de les fermer.

Mais un exemple bien canadien soulève des questions préoccupantes pour la protection de la vie privée. Le Toronto Star a publié une carte présentant 2008 installations de culture de la marijuana, y compris les adresses municipales exactes.

Évidemment, on n'a pas déclaré coupables toutes les personnes associées à ces adresses. Et qu'en est-il de ceux et celles qui déménageront dans ces maisons après le départ des trafiquants  Il se trouve que je travaille avec une jeune avocate —citoyenne exemplaire — qui habite dans l'une de ces maisons... (Elle a fait une bonne affaire, paraît-il!)

Les lois canadiennes sur la protection des renseignements personnels renferment une exemption à des fins journalistiques, alors cette situation échappe à notre portée.

La protection de la vie privée et le remixage

À première vue, plusieurs renseignements géospatiaux paraissent inoffensifs du point de vue de la protection de la vie privée. Des renseignements géospatiaux pris individuellement ne permettent pas nécessairement d'identifier des personnes. Toutefois, quand on combine ces mêmes données géospatiales à d'autres renseignements, il pourrait devenir possible d'identifier des gens.

La capacité de relier des données à une personne en particulier n'est pas toujours évidente.

Il y a quelques années, AOL a publié une liste de 20 millions de requêtes associées à des recherches sur le Web. AOL a tenté de protéger l'anonymat des utilisateurs en leur assignant des chiffres au hasard.

Le New York Times a suivi la trace des données de l'une de ces requêtes : hommes célibataires, 60 ans; chien qui urine partout; paysagistes à Lillburn, Géorgie... — et a réussi à identifier facilement l'utilisateur # 4417749, une veuve de 62 ans habitant en Géorgie.

On ne doute pas de la consternation de la dame lorsqu'un journaliste du Times lui a téléphoné et lui a débité toutes les requêtes associées aux recherches Web qu'elle avait effectuées au cours des trois mois précédents. Récemment, deux chercheurs américains ont suscité de sérieuses préoccupations à l'effet que des données « dépersonnalisées » recueillies par des dispositifs munis d'un système GPS n'étaient peut-être pas vraiment dépersonnalisées... Ils ont conclu que lorsqu'on connaissait l'adresse approximative du domicile et du lieu de travail d'une personne — à un pâté de maisons près — il était possible d'identifier cette personne.

Le fait qu'on puisse, dans plusieurs cas, rattacher des données soi-disant dépersonnalisées à une personne en particulier a donné lieu à une nouvelle entrée dans le dictionnaire : « repersonnaliser ».

Re-coupler des données « dépersonnalisées » peut s'avérer incroyablement simple.

La semaine dernière, le professeur Khaled El Emam, reconnu comme un spécialiste dans ce domaine, a fait une présentation dans le cadre d'un atelier organisé par le Commissariat. Il a démontré qu'un code postal intégral combiné à une date de naissance constituaient un identificateur unique.

Vous pourrez en savoir plus sur ces travaux en consultant le site Web du Electronic Health Information Laboratory.

Le CPVP et la repersonnalisation

La jurisprudence sur les questions relatives à la repersonnalisation est très limitée. J'aimerais tout de même vous présenter deux cas qui ont fait appel à l'intervention du Commissariat. Ils illustrent parfaitement la complexité de ces enjeux.

Le premier est une cause de droit connue sous le nom de « Gordon ». Il y est question de la possibilité de ré-identifier une personne en combinant des renseignements que possède le gouvernement et d'autres renseignements disponibles publiquement.

Un réalisateur de la chaîne anglophone de Radio-Canada a cherché à accéder à une base de données de Santé Canada renfermant de l'information sur des soupçons d'effets indésirables de produits de santé vendus au Canada.

Santé Canada lui a communiqué certains renseignements, mais a refusé de préciser les provinces où on avait recueilli de l'information sur des effets indésirables de médicaments, arguant qu'il s'agissait de renseignements personnels aux termes de la loi fédérale régissant le secteur public.

L'an dernier, la Cour fédérale a jugé qu'un renseignement est « personnel » lorsqu'il est fortement possible qu'une personne soit identifiée grâce à ce renseignement et ce, qu'il soit utilisé seul ou en combinaison avec d'autres renseignements disponibles.

Dans cette cause, le juge a conclu que de connaître la province concernée ferait augmenter considérablement la possibilité d'identifier une personne en combinant diverses sources de renseignements. Il a précisé que le nom de la province constituait un renseignement personnel et n'était pas accessible.

Plus tôt au cours du présent mois, nous avons publié les conclusions d'une enquête suite à des plaintes alléguant qu'une organisation spécialisée en marketing avait créé des renseignements démographiques personnalisés en combinant des données des Pages blanches et des données de Statistique Canada.

Les plaignants avançaient que leur consentement était nécessaire à l'utilisation et la communication de ces renseignements.

Toutefois, nous avons déterminé que le processus de compilation des listes de consommateurs auquel recourait l'organisation ne faisait pas en sorte que les données des Pages blanches passaient de renseignements disponibles publiquement à des renseignements personnels assujettis au consentement.

Les renseignements personnels disponibles publiquement que renfermait la liste de consommateurs avaient seulement été triés selon des données géodémographiques.

Selon nous, ces listes renfermaient de l'information sur des quartiers, plutôt que sur des personnes identifiables.

Imagerie à l'échelle de la rue

Il serait utile de se pencher davantage sur des exemples réels témoignant de la nécessité de prendre en considération les questions de protection de la vie privée dans le contexte de l'information géospatiale.

Le Commissariat a investi beaucoup de temps à réfléchir à la protection de la vie privée en relation aux services d'imagerie à l'échelle de la rue comme Google Street View et Canpages.

Nous connaissons tous le type « d'instant » qu'ils peuvent saisir...

L'imagerie à l'échelle de la rue met en évidence les défis associés aux « milieux publics intermédiaires » — soit des endroits où les gens vaquent à leurs occupations en public tout en entretenant certaines attentes en matière de vie privée.

Ils reconnaissent, par exemple, que certains passants peuvent les voir, mais ils ne s'attendent pas à ce que leurs déplacements soient consignés et affichés sur Internet — possiblement de façon permanente.

Les résidants du village de Broughton, au Royaume-Uni, ont exprimé ce point de vue de façon éclatante plus tôt cette année, alors qu’ils ont formé une chaîne humaine pour empêcher la voiture de Google Street View d’avoir accès à leurs rues. Ils ont protesté jusqu’à ce que le chauffeur s’en aille.

La réaction au Japon n'a guère été plus chaleureuse... Les Japonais se sont opposés à Google Street View, car il est considéré comme impoli et indiscret d'observer les jardins devant les maisons des gens.

Google a accepté de photographier à nouveau les villes du pays, en s'assurant de positionner les caméras de façon à ce qu'on ne voie pas les jardins.

Au Canada, le Commissariat a engagé la discussion avec Google au sujet de cette application. Nous avons aussi rencontré des représentants de Canpages. Ces entretiens se sont avérés fructueux.

Suite à l'intervention du Commissariat, Google a accepté de brouiller les visages des personnes présentes sur les photos lorsque l'application sera lancée au Canada. Canpages fait de même.

Mais nous voulons également être assurés que la technologie de brouillage utilisée est efficace. Comme vous pouvez le voir sur cette image [image d’un couple qui s’embrasse à Paris] — les personnes sont parfois identifiables même après le processus de brouillage.

Nous voulons également l’assurance que les images originales non brouillées où l'on voit les visages des gens sont détruites, ainsi que l’exigent les lois relatives à la protection de la vie privée. Nous sommes heureux que Canpages ait accepté de le faire. Nous sommes toujours en discussion avec Google à ce sujet.

La question de la notification est une autre de nos préoccupations principales.

Google et d'autres services d'imagerie à l'échelle de la rue devraient s'assurer que les gens sont avisés de façon adéquate qu'on les prendra en photo et que ces photos seront affichées sur Internet.

Il importe que les gens aient une bonne idée du moment où la voiture de Google parcourra leur quartier pour saisir des images. Il faut aussi aviser les gens qu'on peut retirer leurs photos de la base de données si c'est ce qu'ils souhaitent.

À cet effet, les entreprises doivent identifier correctement leurs voitures-caméra. Elles peuvent recourir aux communiqués de presse, aux médias locaux et aux sites Web pour annoncer les dates et les lieux où elles filmeront — et pour indiquer comment obtenir davantage d'information.

Nous avons récemment collaboré avec nos homologues de la Colombie-Britannique, de l'Alberta et du Québec pour élaborer des directives reflétant nos attentes et la marche à suivre. Ces directives sont disponibles sur notre site Web.

Je tiens à ajouter que la plus grande menace à l'endroit de la protection de la vie privée n'est pas l'imagerie à l'échelle de la rue en soi, mais plutôt le recoupement avec toute base de données contenant des adresses. Il en résulterait ce que je qualifierais de « données intelligentes ».

Conclusion

Et maintenant? Le commissariat participe à l'initiative fédérale de GéoConnexions.

Il y est question de pratiques exemplaires en matière de protection de la vie privée et notre implication est considérable. Nous chercherons éventuellement à transmettre au secteur privé ce que nous y apprendrons.

Ces enjeux sont importants. Les risques potentiels d'atteinte à la vie privée sont très grands et les enjeux sont incroyablement complexes.

Dans bien des cas, il nous faudra réfléchir attentivement à la question de savoir si l'information géospatiale constitue des renseignements personnels — et si cette information est sujette à devenir des renseignements personnels.

La protection de la vie privée consiste surtout à protéger les renseignements personnels et le droit d'exercer un contrôle sur nos propres données. C'est une valeur à laquelle on tient au Canada — et vous pouvez aider le Commissariat à la protéger.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :