La protection de la vie privée et le Web : comment l’enquête du CPVP sur Facebook a créé des remous à l’échelle mondiale

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors d’une réunion de la communauté de l’AIPRP

Le 30 septembre 2009
Ottawa (Ontario)

Allocution prononcée par Elizabeth Denham
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Mesdames et Messieurs, bonjour et merci de cet accueil chaleureux.

C’est un grand plaisir de participer à votre journée de perfectionnement professionnel.

Je dois dire qu’il s’agit d’une occasion spéciale pour moi, à titre de commissaire adjointe responsable de la loi sur la protection des renseignements personnels couvrant le secteur privé, de m’adresser à un public de professionnels de l’AIPRP. J’ai l’impression de jeter un coup d’œil de l’autre côté de la clôture!

Toutefois, on m’a dit notre récente enquête sur les pratiques et politiques de Facebook en matière de protection de la vie privée pourrait vous intéresser. Je saisis donc l’occasion de vous en parler.

Et je tiens à souligner que cette histoire n’est pas confinée au secteur privé. Comme je l’expliquerai plus tard, nous sommes en plein dans l’ère du réseautage social, et le gouvernement du Canada en fait partie intégrante.

J’ajouterais qu’il y a une leçon à tirer de notre expérience : même dans le cadre des forums les plus publics — et rien n’est plus public qu’Internet — la protection de la vie privée compte.

Tandis que nous explorons l’univers nouveau du Web 2.0 et du contenu généré par les utilisateurs, nous devons nous rappeler que, même quand nous décidons de partager une partie de notre vie en ligne avec d’autres, nous ne renonçons pas à notre droit de contrôler nos renseignements personnels.

Les médias sociaux — qu’il s’agisse de Facebook, MySpace, LinkedIn ou le GCPedia du gouvernement fédéral — ont l’obligation de protéger la vie privée des utilisateurs, tout comme les utilisateurs ont le devoir de lire, comprendre et appliquer les paramètres et les outils disponibles pour assurer la protection de leur propre vie privée.

Aperçu de la LPRPDE

Avant de parler de Facebook, permettez-moi de vous donner aperçu de la LPRPDE, la loi en vertu de laquelle nous avons pu mener notre enquête.

La Loi sur la protection des renseignements personnels et les documents électroniques est pleinement en vigueur depuis cinq ans.

Elle régit les pratiques de confidentialité des entreprises fédérales, comme les banques et les compagnies aériennes. La LPRPDE s’applique également à d’autres entreprises  presque partout au Canada, sauf dans les provinces qui ont des lois similaires — la  Colombie-Britannique, l’Alberta et le Québec, et, pour les renseignements sur la santé, l’Ontario.

Plus précisément, la LPRPDE s’applique aux renseignements personnels recueillis, utilisés ou communiqués par des organisations dans le cadre de leurs activités commerciales –  qu’elles opèrent depuis un bâtiment réel ou, comme dans le cas de Facebook, en ligne.

Les organisations visées par la LPRPDE peuvent recueillir, utiliser ou communiquer des renseignements personnels à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances.

Différences entre la LPRPDE et la Loi sur la protection des renseignements personnels

La LPRPDE diffère de la Loi sur la protection des renseignements personnels de façon fondamentale à plusieurs égards, à commencer par sa structure même.

La loi du secteur privé est fondée sur 10 principes relatifs à l’équité dans le traitement de l’information. Certains de ces principes, comme la notion de responsabilité d’une organisation pour le contrôle des renseignements personnels, ne figurent pas dans la Loi sur la protection des renseignements personnels.

Les politiques et les lignes directrices du Conseil du Trésor ont servi à étoffer le cadre énoncé dans la Loi sur la protection des renseignements personnels. Mais en vertu de la LPRPDE, les exigences sont, pour la plupart, plus explicites et plus rigoureuses.

La principale différence entre les deux lois se rapporte au consentement.

En vertu de la Loi sur la protection des renseignements personnels, l’avis se porte garant du consentement.

La LPRPDE, pour sa part, exige le consentement valable. En d’autres mots, une personne doit être raisonnablement en mesure de comprendre ce à quoi elle consent. Il faut donc porter les enjeux à son attention, dans un langage simple, au moment de la collecte de ses renseignements personnels.

La LPRPDE énonce aussi clairement l’obligation des organisations d’identifier les fins de la collecte de renseignements et de limiter la collecte à ce qui est raisonnablement nécessaire aux fins indiquées. Les entreprises, par ailleurs, doivent faire en sorte que leurs politiques de confidentialité sont facilement accessibles.

D’autre part, l’une des exigences centrales de la Loi sur la protection des renseignements personnels — donner aux individus l’accès à leurs renseignements personnels détenus par le gouvernement du Canada — est mieux étoffée aux termes de la loi du secteur public qu’aux termes de la LPRPDE.

Parmi d’autres différences, notons que la notion « d’usages compatibles » est absente de la LPRPDE et que l’obligation d’instaurer des mesures de sécurité est explicite dans la loi régissant le secteur privé.

Enfin, je tiens à préciser que la LPRPDE est neutre au sujet de la technologie. Cette caractéristique s’est avérée important dans le cas de Facebook, parce que nous étions en mesure d’appliquer la loi à des technologies et un modèle d’entreprise qui n’existaient pas au moment où la loi a été rédigée.

Vue d’ensemble de l’affaire Facebook

L’affaire Facebook a débuté en mai 2008, lorsque des représentants de la CIPPIC, la Clinique d’intérêt public et de politique d’Internet du Canada à l’Université d’Ottawa, ont présenté une plainte — un document de 35 pages — concernant 24 aspects des pratiques et des politiques de confidentialité de Facebook.

En réponse, nous avons lancé ce qui s’est avéré être la toute première enquête approfondie de ce géant du réseautage social.

La portée et la complexité de l’enquête était sans précédent au Commissariat. Mais je suis heureuse de dire que Facebook a collaboré avec nous tout au long de nos efforts, de sorte que de nombreux enjeux ont été résolus en cours d’enquête.

Néanmoins, nous n’avons pas pu parvenir à un accord à propos de quelques-unes de nos préoccupations.

À la mi-juillet de cette année, nous avons diffusé publiquement nos conclusions d’enquête, attirant l’attention des médias, des experts de la protection de la vie privée et des observateurs d’Internet et ce, partout dans le monde.

Suite à notre rapport, Facebook disposait de 30 jours pour répondre à nos recommandations — une période marquée par des négociations et de longues discussions entre le Commissariat et l’entreprise.

Enfin, le mois dernier, nous avons été en mesure d’annoncer que Facebook avait accepté d’entreprendre d’importantes modifications techniques et en matière de politiques, de façon à répondre à nos préoccupations et à améliorer la protection de la vie privée des utilisateurs.

Qui plus est, Facebook s’est engagée à ce que les mesures de sécurité renforcées soient mises en œuvre dans l’ensemble de ses activités à l’échelle mondiale — les 300 millions d’utilisateurs dans le monde pourront donc en profiter.

Examinée et commentée à travers le monde, notre décision de faire face à cette multinationale américaine a été largement saluée comme une victoire pour les « petits »  — qu’il s’agisse du Commissariat, du Canada ou des étudiants universitaires qui ont déposé la plainte.

En fait, c’était une victoire au nom de la protection de la vie privée des utilisateurs de sites de réseautage social – non seulement au Canada, mais partout dans le monde.

Contexte

Tout de même, l’enquête n’a pas été sans controverse. Certains critiques ont remis en question la logique derrière la défense de la protection de la vie privée dans un forum où les gens affichent des photos et des commentaires personnels à l’intention de leurs amis, des amis de leurs amis et, dans bien des cas, de parfaits étrangers.

Mais alors que Facebook compte 12 millions d’utilisateurs au Canada, nous étions d’avis que notre enquête nous éclairerait sur les enjeux en matière de protection de la vie privée soulevés par les médias sociaux.

L’un des principaux objectifs était de préciser la distinction entre ce que les gens décident de faire de leurs renseignements personnels, et ce que le site de réseautage social en fait.

Les utilisateurs de Facebook choisissent les renseignements qu’ils veulent afficher à leur sujet sur le site. Ces renseignements ne relèvent pas de la LPRPDE.

Toutefois, dès que Facebook utilise ces informations à des fins commerciales, la loi s’applique et l’entité commerciale devient responsable de la sécurité des données.

Une difficulté supplémentaire se rapportait au fait que nous étions confrontés à un modèle d’entreprise qui n’existait  pas au moment de la rédaction de la LPRPDE. Ce modèle implique en partie la relation entre Facebook et les développeurs d’environ un million de jeux, questionnaires et autres applications en opération  sur la plateforme.

La plainte

Ces applications ont constitué un élément clé d’une enquête qui, en bout de ligne, comprenait 12 parties.

Selon l’allégation, les utilisateurs qui téléchargeaient ces petits programmes donnaient aux développeurs inconnus, répartis dans 180 pays à travers le monde, un accès pratiquement illimité aux renseignements de leur profil — ainsi qu’à ceux de leurs amis sur Facebook.

Il y avait aussi des préoccupations quant à la collecte de renseignements personnels, tels que la date de naissance, qu’on demandait aux nouveaux utilisateurs lors de leur inscription.

Les plaignants ont également allégué que Facebook ne faisait pas d’efforts raisonnables pour aviser les utilisateurs que leurs renseignements personnels seraient utilisés à des fins publicitaires.

D’autres préoccupations concernaient ce qui se passe quand les gens décèdent ou souhaitent quitter Facebook.

Plus particulièrement, on nous a demandé d’examiner la pratique de « commémoration » des comptes des utilisateurs décédés; la distinction entre la désactivation et la suppression de comptes; et la conservation des renseignements personnels par Facebook.

Je tiens aussi à mentionner un enjeu majeur lié aux personnes qui ne sont pas sur Facebook. On peut télécharger leurs renseignements personnels sur le site de plusieurs façons, notamment par l’étiquetage de photos et les invitations de la part d’utilisateurs à se joindre au site.

Nos constatations – Non fondées / Fondées et résolues

En fin de compte, j’ai écarté quatre aspects de la plainte – ce qui, je pense, témoigne du souci de Facebook pour la vie privée des utilisateurs.

Par exemple, je n’ai trouvé aucune preuve à l’effet que Facebook trompait délibérément les utilisateurs au sujet des fins pour lesquelles elle recueille les données.

Dans quatre autres domaines, j’ai convenu que les plaintes étaient fondées, mais ces questions ont été résolues, à ma satisfaction, au cours de l’enquête.

Par exemple, il a été allégué que Facebook ne faisait pas d’efforts raisonnables pour informer les utilisateurs que leurs renseignements personnels sont utilisés à des fins publicitaires. Au moment de la sortie de notre rapport, Facebook avait accepté en principe de décrire plus clairement ses activités publicitaires dans ses renseignements à l’intention des utilisateurs, et d’aider ces derniers à trouver cette information plus facilement.

Facebook a aussi accepté d’adopter une approche globale quant à l’information donnée aux utilisateurs sur la protection de la vie privée et les mesures de sécurité à cet effet — soit les paramètres de confidentialité. En fait, les politiques de confidentialité sur les sites de réseautage social sont parfois problématiques, parce qu’un site est souvent moins attrayant aux yeux des utilisateurs s’ils doivent passer en revue une politique de confidentialité touffue. C’est une question que nous avons dû prendre en compte dans la formulation de nos recommandations à l’entreprise.

Constatations – Fondées

J’ai maintenu que les quatre autres aspects de la plainte étaient fondés, parce que je trouvais que Facebook n’avait pas proposé ou mis en œuvre des correctifs satisfaisants par rapport à mes préoccupations.

Le plus important de ces aspects concernait les applications de tiers dont j’ai parlé plus tôt.

Dans un modèle d’entreprise traditionnel, une société peut communiquer à un tiers des renseignements personnels spécifiques au sujet des clients — avec leur consentement et moyennant des modalités bien définies.

Dans le modèle de Facebook, les choses fonctionnent différemment. En téléchargeant une application, les utilisateurs invitent le développeur de l’application à accéder à la base de données de Facebook pour récupérer des informations à leur sujet — ainsi qu’au sujet de leurs amis sur Facebook.

Nous trouvions que cette situation exposait beaucoup trop de renseignements personnels.

Nous souhaitions voir un mécanisme qui garantirait que les développeurs d’applications n’aient accès qu’aux renseignements nécessaires au fonctionnement de leurs applications. En outre, nous voulions que Facebook interdise l’accès aux renseignements des utilisateurs qui n’ajoutaient pas eux-mêmes le programme en question.

À titre de mesure corrective pour une autre plainte fondée, nous avons également demandé une politique de conservation en vertu de laquelle les renseignements personnels des utilisateurs qui ont désactivé leur compte seraient supprimés des serveurs du site après un laps de temps raisonnable.

Finalement, nous avons recommandé que les gens soient en mesure de consentir à ce que leur compte soit commémoré après leur décès, et j’ai demandé que la vie privée des non-utilisateurs étiquetés sur les photos ou invités à se joindre au site soit mieux protégée.

Autres négociations

Nous avons accordé 30 jours à Facebook pour démontrer les progrès effectués quant à ses engagements et pour répondre à nos recommandations sur les quatre questions en suspens.

Une période d’intenses discussions entre le Commissariat et les représentants de Facebook s’en est suivie.

Facebook n’a sans doute pas apprécié la couverture mondiale de cette enquête, mais, de toute évidence, elle a saisi l’occasion pour confirmer son souci de la vie privée des utilisateurs, comme elle l’a si souvent affirmé.

Je crois également que l’entreprise a finalement reconnu que nos recommandations étaient raisonnables et en harmonie avec le sentiment de beaucoup d’utilisateurs.

En tout état de cause, il était encourageant de voir Facebook démontrer une réelle volonté d’améliorer les choses.

Cinq semaines plus tard, nous avons été en mesure de rendre publique une solution globale à toutes les questions en suspens.

Pour ce qui est de ma principale préoccupation, par exemple, l’entreprise a accepté de moderniser sa plateforme d’applications pour empêcher les tiers développeurs  d’applications d’accéder aux renseignements personnels avant d’avoir obtenu le consentement exprès des utilisateurs pour chaque catégorie d’information qu’ils cherchent à accéder.

Une victoire pour la vie privée

Comme je le disais plus tôt, tous ces efforts ont donné lieu à une victoire majeure pour la protection de la vie privée.

Les Canadiennes et Canadiens sur Facebook apprécieront une protection renforcée de leurs renseignements personnels, et pourront prendre des décisions plus éclairées, plus significatives, sur la façon dont ils sont recueillis, utilisés et communiqués.

D’autres sites de réseautage social désireux de prévenir une enquête similaire ont porté attention à l’affaire Facebook. En effet, l’un d’entre eux a communiqué avec nous pour s’assurer que ses pratiques en la matière sont à la hauteur.

Enfin, les gens seront en mesure de participer à des activités de réseautage social sans renoncer dans une trop grande mesure au contrôle de leurs renseignements personnels.

Autres avantages

Je dois noter également un autre avantage important.

L’initiative a démontré l’efficacité de l’approche pragmatique, fondée sur les principes, de la LPRPDE.  Elle se situe entre l’approche fondée sur le marché privilégiée aux États-Unis, et celle plus normative qui prévaut en Europe.

Par exemple, en s’appuyant sur les affaires judiciaires et les enquêtes précédentes, nous avons été en mesure d’affirmer que la LPRPDE peut s’appliquer à la collecte commerciale des renseignements personnels des Canadiennes et Canadiens par des entités étrangères, même si elles opèrent uniquement en ligne.

Jusqu’à présent, la loi semble être suffisamment souple pour s’appliquer à des technologies et des modèles d’entreprise modernes — mais nous continuerons de surveiller de près la situation.

Tracer le chemin

Facebook prévoit qu’il faudra un an pour modifier ses pratiques de façon à ce qu’elles soient tout à fait conformes à la LPRPDE.

Nous allons suivre leurs progrès durant cette période. Ils nous fournissent des rapports d’étape, et nous donnent l’occasion de mettre à l’essai a priori quelques-unes des solutions proposées.

Nous continuerons de miser sur la recherche sociologique approfondie que le Commissariat a effectuée, afin de comprendre les comportements, les motivations et les attentes en matière de protection de la vie privée des utilisateurs des sites de réseautage social. Pluls tôt cette semaine, nous avons diffusé un nouveau rapport qui compare les politiques et outils de protection de la vie privée de six sites de réseautage social. Si vous voulez en apprendre davantage sur le sujet, vous pouvez consulter ce rapport sur notre site Web.

Vous, les membres de la communauté de l’AIPRP, serez également aux prises avec ces questions dans les années à venir, alors que les fonctionnaires se tourneront massivement vers les blogues, les wikis comme le GCPedia, et d’autres formes d’interactions en ligne rendues possibles en cette ère du Web 2.0.

Comme vous le savez sans doute, le Secrétariat du Conseil du Trésor travaille à des directives sur l’utilisation appropriée des réseaux sociaux, à la lumière des défis que présente la communication cohérente et bilingue au sein du gouvernement, et le risque de communication non autorisée de renseignements gouvernementaux et personnels délicats.

Chaque fois que l’occasion se présentera, nous rappellerons aux Canadiennes et aux Canadiens qu’ils ont un rôle vital à jouer.

Les sites de réseautage social peuvent agir à plusieurs égards pour rehausser la protection de la vie privée et s’assurer de mettre en place des mesures de sécurité – tout en demeurant un lieu attrayant et divertissant.

Au bout du compte, il relève des personnes elles-mêmes de se tenir à l’abri — en comprenant bien les politiques, en se servant des paramètres de confidentialité et en ayant la maîtrise de leurs propres données.

Merci.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :