Vers une réglementation internationale de la vie privée : propositions et stratégies

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires devant l’Association du Barreau de l’Ontario

Le 17 septembre 2009
Toronto (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

On me considère tantôt comme une Montréalaise, parce que j’ai vécu dans cette ville pendant des dizaines d’années, tantôt comme une Outaouaise, parce que je travaille à Ottawa la semaine. Or, je suis en faite une Torontoise exilée.

C’est donc toujours avec grand plaisir que je reviens à Toronto. Je vous remercie de me donner la chance de discuter avec vous aujourd’hui.

Je sais que vous provenez de divers domaines d’exercice du droit et que l’intérêt de chacun pour la protection de la vie privée est sans doute propre au domaine particulier qui vous concerne.

Néanmoins, j’espère qu’en tant que membres d’une profession qui protège les droits des Canadiennes et des Canadiens plus que toute autre, vous conservez un intérêt envers les aspects plus généraux de la protection de la vie privée.

Aperçu

En tant que commissaire à la protection de la vie privée, mon travail consiste à chapeauter l’application de deux lois en matière de protection de la vie privée, à savoir la Loi sur la protection des renseignements personnels,qui s’applique au secteur public, et la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, pour le secteur privé.

La protection de la vie privée est présente dans pratiquement tous les domaines du droit, qu’il s’agisse de questions de sécurité nationale liées à l’immigration, d’opérations commerciales, de questions de droit pénal ou de la manière dont les gouvernements recueillent, utilisent et communiquent des renseignements personnels à notre sujet.

Ce serait se montrer injuste envers le thème de la vie privée que d’essayer d’aborder plus que quelques-uns de ces domaines dans le peu de temps qui m’est imparti aujourd’hui.

C’est pourquoi je vous propose plutôt de nous concentrer sur deux cas issus du secteur privé qui ont récemment pris de l’importance pour vous montrer les progrès accomplis en matière de protection de la vie privée et ce qu’il reste à faire.

Le premier cas que je vous présenterai concerne notre enquête sur les pratiques de protection de la vie privée du très populaire site de réseautage social Facebook.

Le deuxième cas concerne une entreprise située aux États-Unis appelée Accusearch, qui recueillait, utilisait et communiquait régulièrement des renseignements personnels sur les Canadiennes et Canadiens.

C’est avec plaisir que je répondrai ensuite à toutes vos questions.

Réseautage social

Vous connaissez tous sans doute les sites de réseautage social tels que MySpace, Facebook, LinkedIn et Twitter.

Au cours des dernières années, des centaines de millions de personnes dans le monde se sont inscrites sur de tels sites pour garder contact avec leurs amis, les membres de leur famille et leurs collègues ainsi que pour faire de nouvelles connaissances.

Ce phénomène témoigne d’un changement radical dans la façon de communiquer et modifie la conception de la vie privée et de l’intimité.

Si le réseautage social facilite sans contredit les interactions humaines, il n’empêche qu’il peut également détruire la vie des personnes si ces dernières ne font pas preuve de prudence.

Pour cause, de nombreuses personnes sont prêtes à exposer sur ces sites des renseignements intimes les concernant. Du point de vue de la protection de la vie privée, le problème suivant se pose : « Qui a accès à ces renseignements et à quelles fins les utilise-t-on? »

Une telle ouverture peut avoir des effets pervers. Nous savons que les employeurs effectuent parfois des recherches en ligne pour obtenir des renseignements sur des candidats potentiels. Par conséquent, les candidats qui veulent paraître raffinés et respectables en entrevue ont tout intérêt à ne pas afficher en ligne les photos de leur débauche de la fin de semaine.

Le Commissariat continue à prévenir les Canadiennes et les Canadiens de ces conséquences potentielles. En outre, comme vous en avez peut-être entendu parler cet été, le Commissariat a réussi à faire en sorte que Facebook prenne des mesures importantes pour améliorer ses paramètres de protection de la vie privée pour les utilisateurs au Canada et ailleurs au monde.

Plainte déposée contre Facebook

Comme vous le savez sans doute, Facebook est le site de réseautage social le plus populaire du monde avec 250 millions d’utilisateurs, dont près de 12 millions de Canadiennes et de Canadiens.

Le Commissariat a examiné les pratiques et politiques de l’entreprise concernant la protection des renseignements personnels à la suite d’une plainte déposée en mai 2008 par la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) de l’Université d’Ottawa.

Le Canada est donc devenu le premier pays à mener une enquête approfondie sur les pratiques de Facebook en matière de protection de la vie privée.

La plainte, déposée en vertu de la LPRPDE, concernait onze aspects de ce site de réseautage social. Parmi les principaux points visés, citons :

  • les paramètres de confidentialité par défaut du site;
  • la collecte et l’utilisation de renseignements personnels à des fins publicitaires;
  • la communication des renseignements personnels d’utilisateurs à des tiers développeurs d’applications;
  • la collecte et l’utilisation des renseignements personnels de personnes qui ne sont pas inscrites sur Facebook.

L’un des principaux points examinés était la connaissance et le consentement. Nous voulions savoir si les renseignements fournis par Facebook aux utilisateurs étaient suffisants pour que ces derniers puissent donner un consentement valable à la collecte, à l’utilisation et à la communication des renseignements personnels les concernant.

Nous voulions également vérifier si ces renseignements leur étaient fournis de façon claire et transparente.

Autre source d’inquiétude : la conservation des renseignements personnels par Facebook, notamment ceux ayant trait aux utilisateurs qui souhaitaient désactiver ou supprimer leur compte.

Les mécanismes de sécurité comptaient également parmi les sources d’inquiétude, notamment en ce qui concerne les près d’un million de tiers qui développent des applications offertes sur la plateforme Facebook comme les jeux, questionnaires, horoscopes et autres.

Nos constatations

Notre enquête a pris fin en juillet. Elizabeth Denham, la commissaire adjointe à la protection de la vie privée qui a dirigé l’enquête, a conclu qu’il n’existait aucune preuve de violation de la LPRPDE en ce qui concerne les quatre domaines susmentionnés, ni en ce qui concerne les allégations de tromperie et de fausse représentation de la part de Facebook.

Dans d’autres aspects liés notamment aux paramètres de confidentialité par défaut, ou à la collecte et à l’utilisation de renseignements personnels à des fins publicitaires, nous avons conclu que Facebook avait bel et bien enfreint la LPRPDE. Toutefois, la commissaire adjointe à la vie privée a jugé que les problèmes avaient été résolus grâce aux mesures correctives proposées par Facebook.

En revanche, nous avons conclu que certaines activités de Facebook allaient à l’encontre de la LPRPDE.

Nos inquiétudes portaient sur les points suivants :

  • les applications de tiers;
  • la désactivation et la suppression des comptes;
  • les comptes des utilisateurs décédés;
  • les renseignements personnels des non-utilisateurs.

Par exemple, Facebook ne déployait pas suffisamment d’efforts pour obtenir le consentement valable des utilisateurs à la communication des renseignements personnels les concernant à des tiers développeurs d’applications.

À l’inverse, ces centaines de milliers de développeurs avaient un accès pratiquement illimité aux renseignements personnels des utilisateurs ainsi qu’à ceux de leurs amis.

Facebook n’a pas accepté tout de suite d’adopter nos recommandations pour ces quatre principales inquiétudes non résolues.

La commissaire adjointe à la protection de la vie privée a demandé à Facebook de réexaminer ses recommandations et leur a accordé un délai de 30 jours, comme le prévoit la Loi, pour accepter les recommandations ou pour prendre d’autres mesures acceptables.

Elle a également continué à discuter et à négocier avec les représentants de la société.

Par la suite, vers la fin du mois dernier, Facebook a accepté de modifier sa plateforme d’applications et de restreindre le flux de renseignements personnels communiqués au million ou presque de développeurs d’applications, ce qui constitue un défi de taille en matière de technologie.

Une fois que les modifications auront été apportées, les développeurs ne pourront plus avoir accès aux renseignements personnels des utilisateurs sans leur consentement explicite.

Facebook a en outre accepté d’apporter des changements pour aider les utilisateurs à mieux comprendre de quelle manière les renseignements personnels les concernant seront utilisés. Les utilisateurs pourront prendre des décisions plus éclairées qu’auparavant par rapport à la mesure dans laquelle ils veulent communiquer ces renseignements.

J’ai examiné la liste des promesses d’améliorations faites par Facebook et effectuerai un suivi auprès de la société pour m’assurer que les modifications sont bel et bien effectuées.

Pouvoirs légaux

Je crois qu’il est important de préciser que la commissaire à la protection de la vie privée du Canada n’a aucun pouvoir direct sur l’application de la Loi sur la protection des renseignements personnels ou de la LPRPDE.

La LPRPDE autorise cependant la commissaire à la protection de la vie privée à demander à la Cour fédérale de faire respecter la Loi.

Nous n’aurions donc pas été sans recours si Facebook avait refusé d’adopter nos recommandations.

D’ailleurs, il y a maintenant cinq ans que la LPRPDE est en place, et le Commissariat a rarement dû avoir recours au tribunal.

Dans le cas qui nous intéresse, nous avons été en mesure d’utiliser notre pouvoir de persuasion pour convaincre Facebook de s’engager à apporter des améliorations importantes au mode de fonctionnement de son site. De plus, ces améliorations ne s’appliquent pas seulement au Canada, mais à tous les autres pays.

Même les géants mondiaux comme Facebook reconnaissent que l’application de nos recommandations constitue la meilleure voie à suivre.

Il s’agit donc d’une grande victoire au chapitre de la protection de la vie privée, tant à l’échelle nationale qu’internationale.

Accusearch

Le deuxième cas important que je tiens à aborder concerne également Internet, mais comporte cette fois un problème supplémentaire de juridiction.

Il s’agit du cas visant Accusearch, Inc., une société du Wyoming qui exerce ses activités en ligne sous le nom d’Abika.com.

Abika offrait une gamme de services de recherche sur des particuliers et demandait à des tiers de rechercher des renseignements personnels concernant ces particuliers dans des bases de données et des registres publics et privés.

La société offrait également un service d’établissement de « profils psychologiques » de particuliers comprenant des données sur leur comportement et leurs traits de caractère.

En juin 2004, le Commissariat a reçu une plainte selon laquelle Accusearch procédait régulièrement à la collecte, à l’utilisation et à la communication de renseignements personnels sur des Canadiennes et des Canadiens à des fins inappropriées, à leur insu et sans leur consentement.

De plus, selon les allégations de la plaignante, même si Accusearch était une société située aux États-Unis, ses activités contrevenaient à la LPRPDE canadienne.

Le Commissariat a d’abord refusé d’enquêter sur la plainte parce qu’il estimait ne pas être l’instance appropriée. Toutefois, dans le cadre d’un contrôle judiciaire, la Cour fédérale du Canada a confirmé que le Commissariat avait le pouvoir d’enquêter sur la plainte concernant Accusearch, Inc., même si la société était située aux États-Unis et qu’il pouvait par conséquent être difficile de mener une enquête efficace.

Le Commissariat a donc procédé à sa propre enquête sur Accusearch et son site Web Abika.com, enquête fondée en grande partie sur les renseignements fournis par la Federal Trade Commission des États-Unis.

Nos conclusions

À la suite de l’enquête, le Commissariat a conclu qu’Accusearch avait transgressé des dispositions importantes de la LPRPDE dans sa manière de recueillir, d’utiliser et de communiquer les renseignements personnels de résidents canadiens.

Le Commissariat a plus particulièrement conclu que la société communiquait à des tiers les renseignements personnels de Canadiennes et de Canadiens à leur insu et sans leur consentement.

En outre, le Commissariat a constaté qu’en général Abika.com acceptait des demandes d’obtention de renseignements personnels et y répondait sans égard à leur caractère approprié ou non.

En effet, le Commissariat a déterminé que, dans certains cas, la société avait sciemment communiqué des renseignements personnels à des fins qu’une personne raisonnable estimerait totalement inacceptables.

Un des éléments de la plainte portait sur l’exactitude des renseignements personnels communiqués au sujet de la plaignante dans un « profil psychologique ».

Le Commissariat a rejeté cet aspect de la plainte pour des raisons de preuve insuffisante. La commissaire adjointe a toutefois laissé entendre que la majeure partie du profil psychologique lui semblait hautement discutable et inexacte.

Issue

La commissaire adjointe a recommandé que Abika.com cesse de recueillir, d’utiliser et de communiquer les renseignements personnels de personnes vivant au Canada à leur insu et sans leur consentement.

La société n’a pas fourni de réponse sur le fond aux recommandations dans les délais prescrits et le Commissariat a jugé que la demande de prorogation du délai de son avocat aux États-Unis n’était pas raisonnable.

Problèmes transfrontaliers

Parallèlement, la Federal Trade Commission des États-Unis a mené sa propre enquête sur les activités d’Accusearch et a intenté une poursuite contre la société devant la Cour de district du Wyoming, réussissant à mettre un frein à la vente de renseignements personnels de clients.

En outre, la United States Court of Appeals for the Tenth Circuit a récemment confirmé la décision de la Cour inférieure.

Le dossier en appel avait pour objet le transfert de données entre les États-Unis et le Canada, la façon dont les courtiers en données recueillent, utilisent et communiquent des renseignements personnels à l’insu des personnes visées et sans obtenir leur consentement ainsi que la façon dont l’échange en ligne de renseignements personnels touche le droit à la vie privée.

Puisque le Commissariat est visé par le litige concernant Accusearch, Inc. et que les questions soulevées portent sur la circulation transfrontalière de données, le Commissariat a obtenu la permission de présenter un mémoire d’amicus curiæ dans le cadre de l’appel d’Accusearch.

Dans le mémoire, le Commissariat expliquait la mesure dans laquelle la décision de la Cour aurait un impact direct sur le droit à la vie privée des Canadiennes et des Canadiens ainsi que sur la réputation des organisations canadiennes touchées par les activités des courtiers.

Le mémoire du Commissariat soulignait particulièrement le fait que la collecte, l’utilisation et la communication non autorisées de renseignements personnels sur Internet par des courtiers en données peuvent causer des préjudices et avoir des conséquences à l’étranger.

Dans sa décision, la United States Court of Appeals for the Tenth Circuit a déterminé que la société savait que ses chercheurs obtenaient des renseignements confidentiels de manière frauduleuse ou illégale.

Par conséquent, elle a considéré que la société avait « sciemment tenté de convertir des renseignements à toutes fins inconnues en une denrée accessible au public » [traduction].

En raison de cette décision, Abika.com fait toujours l’objet d’une injonction lui interdisant de transmettre des relevés de téléphone confidentiels et autres « renseignements personnels sur les clients » sans avoir obtenu leur consentement explicite par écrit.

Coopération transfrontalière

La décision d’appel de la United States Court of Appeals for the Tenth Circuit reconnaît clairement l’atteinte à la vie privée causée par le commerce en ligne non autorisé de renseignements personnels. Elle marque également l’apparition d’une nouvelle protection importante tant pour les citoyens du Canada que pour ceux des États-Unis.

Je tiens à ajouter que le fait de reconnaître que les pratiques d’Accusearch sont illégales selon la loi des États-Unis a favorisé l’uniformisation de la méthode utilisée par les États‑Unis et par le Canada à l’égard de la protection de la vie privée.

Cette uniformisation guidera, à son tour, les organisations qui prévoient impartir des fonctions de traitement des données aux États-Unis et aidera à donner aux personnes la confiance dont elles ont besoin pour faire affaire sur Internet.

Somme toute, le cas d’Accusearch a marqué un pas important dans la coopération et la collaboration internationales, qui seront d’ailleurs de plus en plus nécessaires à la protection du droit à la vie privée des deux côtés de la frontière.

Conclusion

En conclusion, je voudrais simplement ajouter que les cas de Facebook et d’Accusearch ne constituent que deux des nombreux cas que le Commissariat doit gérer chaque année.

Il va sans dire que les enquêtes complexes telles que celles dont je viens de vous parler pèsent lourd sur les ressources du Commissariat.

Pourtant, nous avons fait des progrès remarquables.

D’autant plus remarquables que les enjeux sont immenses. Rappelez-vous par exemple que les activités commerciales en ligne, quel que soit l’endroit où elles sont exercées, peuvent avoir un effet sur la vie et la protection de la vie privée de millions de personnes.

Le cas de Facebook a démontré que nous pouvons persuader de grandes et puissantes sociétés, même si elles sont situées à l’étranger, de changer leurs pratiques à l’échelle mondiale.

L’issue du litige avec Accusearch nous laisse espérer qu’une meilleure harmonisation des normes en matière de protection de la vie privée est possible entre les pays, ce qui constitue une nécessité dans un monde où l’information traverse les frontières nationales à la vitesse de la lumière.

Je vous remercie de votre attention. Il me fera maintenant plaisir de répondre à vos questions.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :