Table ronde : sécurité, vie privée et responsabilité

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors d'un forum sur la technologie du PIIC au sujet de l'informatique dans les nuages

Le 14 octobre 2009
Paris, France

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Même si la majorité des discussions d’aujourd’hui portaient sur les activités entourant l’informatique dans les nuages — que ce soit les modèles opérationnels, la mise en œuvre technique ou les mesures de sécurité — je crois qu’il serait utile de reporter notre attention sur les personnes.

Pas la personne en tant qu’utilisateur en général ou consommateur stéréotypé, mais la personne telle qu’elle est définie par l’information disponible à son sujet en ligne : ses renseignements personnels, ses choix passés sur des sites de commerce en ligne et les conclusions qui peuvent être tirées à partir de son comportement en ligne.

Il est clair d’après les discussions d’aujourd’hui que l’informatique dans les nuages demeure une industrie qui connaît certains problèmes de croissance. Ceux d’entre vous qui sont responsables de la création de solutions informatiques dans les nuages pourraient encore trouver de nombreux points à débattre, que ce soit au sujet des coûts, des besoins des consommateurs ou des options de sécurité.

Il n’est pas surprenant que les gens qui commencent lentement à avoir les données dans les nuages puissent parfois devenir confus quant à la façon dont leurs renseignements sont gérés et protégés. Cette situation s’applique autant aux personnes qui se créent un compte avec une application gratuite offerte par des ressources en ligne, comme Gmail ou Hotmail, qu’aux personnes qui ne sont généralement pas conscientes que leurs renseignements sont emmagasinés dans un environnement virtuel par un fournisseur de services.

Peu importe la situation, nous avons constaté que certaines de ces personnes se fâchent lorsqu’elles découvrent que leurs données ont été exposées au grand jour ou même perdues pendant qu’elles étaient entreposées dans un nuage.

Et que dire des renseignements qui font l’objet de procédures judiciaires après avoir été entreposés dans un nuage, que ce soit à cause de la surveillance, parce qu’un tribunal en a ordonné la divulgation ou en raison de l’exercice de pouvoirs en matière de sécurité nationale de grande envergure.

Dans chacun de ces scénarios, la personne aura probablement l’impression que quelqu’un a trahi sa confiance. La relation qu’elle croyait avoir établie avec le fournisseur de services a entraîné des conséquences inattendues et indésirables.

C’est tout aussi vrai quand il n’y a aucune conséquence économique ou sociale évidente. Il est fréquent pour les utilisateurs en ligne de ronchonner chaque fois qu’un service comme Gmail ou Twitter n’est pas disponible… même pendant quelques minutes. Et ce sont là des services gratuits!

Il est clair que certaines personnes n’accepteront pas les obligations liées aux droits d’auteur, la stabilité du réseau ou une simple erreur humaine comme justification pour les perturbations ou les pertes dans les nuages.

Cette nouvelle forme de consumérisme démocratique remet en question les entreprises et toute une gamme de traditions réglementaires. Un nouveau segment du marché et de l’électorat demande un apport riche et constant en information gratuite, en services et en capacité de stockage.

La tendance initiale des utilisateurs à accepter les normes d’exploitation pour des phénomènes comme les sites de réseautage social peut rapidement se transformer en un rejet véhément et une migration vers un concurrent s’ils croient que leur vie privée et leur sécurité sont vulnérables.

Un grand nombre de ces personnes sont inquiètes que leurs renseignements personnels, et d’autres données moins délicates, pourraient être transmis à des tiers. Même lorsque la relation entre le fournisseur de services dans les nuages et les tiers est régie par de solides engagements contractuels, elle doit être clairement expliquée aux personnes.

Ce phénomène était évident dans le cadre de notre récente enquête sur Facebook. Le populaire réseau social était accusé de donner à des tiers fournisseurs d’applications un accès presque illimité à l’information disponible sur le profil des utilisateurs.

Notre enquête a démontré qu’il s’agissait de fournisseurs dont la fiabilité n’avait essentiellement pas été vérifiée — et un processus de vérification ne serait certainement pas transparent pour les membres de Facebook. Lorsque nous avons parlé à des membres, nous avons constaté que ceux-ci étaient surpris que des fournisseurs aient accès à ce type d’information, en particulier parce qu’ils croyaient que l’entreprise avait pris des mesures pour protéger davantage leur vie privée.

Dans un autre dossier en cours, que certains utilisateurs en ligne considèrent comme une réaction inutilement prudente en ce qui a trait à une très populaire application dans les nuages, le Commissariat a entretenu un dialogue avec Google relativement à son service Street View.

Dès le moment où nous avons vu les premières images en ligne aux États‑Unis il y a deux ans, nous nous sommes posé des questions concernant les politiques en matière de consentement ainsi que de collecte et de conservation des données entourant les images de Street View au Canada. Même si le dialogue se poursuit avec Google quant à ce service, nous avons constaté l’adoption de mesures de la part de l’entreprise afin de répondre à nos inquiétudes et de respecter les lois de notre pays.

Je comprends que d’autres normes nationales, comme celles de la Suisse, soulèvent également des questions en ce qui a trait à l’application des normes de protection des données.

Plus important encore, même si l’informatique dans les nuages offre un service qui peut être utilisé à peu près n’importe où dans le monde, les fournisseurs de services ne devraient pas prendre à la légère les droits des utilisateurs conférés par les différentes administrations. Dans le cas de Facebook, nous avons jugé que l’entreprise était assujettie à nos lois, puisque 12 millions d’utilisateurs de Facebook vivent au Canada.

Les exemples que j’ai cités soulignent la nécessité d’appliquer correctement les principes relatifs à l'équité dans le traitement de l’information. Heureusement, bon nombre de lois mondiales en matière de protection des données sont fondées sur ces principes et imposent des exigences semblables aux entreprises recueillant des renseignements personnels, que ce soit à l’intérieur ou à l’extérieur des nuages.

En plus de ces principes, la responsabilité de l’entreprise relativement aux données est enracinée dans la loi sur la protection des renseignements personnels applicables au secteur privé du Canada. Cette responsabilité est manifeste lorsqu’il est question de la circulation transfrontalière des données. Nous avons conçu des lignes directrices précisant comment nous souhaitons que l’information soit traitée lorsqu’elle traverse les frontières internationales : par l’entremise de contrats garantissant que le droit à la protection de la vie privée suive l’information tout au long de ses déplacements.

La responsabilité, plutôt que les frontières géographiques, est le fondement du modèle canadien de protection des données. Ce modèle a l’avantage d’être souple et d’entraîner de faibles coûts indirects pour les entreprises dont les profits découlent de l’innovation. Cependant, la responsabilité signifie aussi que l’utilisation de renseignements personnels canadiens doit respecter les normes juridiques canadiennes, peu importe dans quel nuage Web elle se produit.

Mes collègues de la communauté de la protection de la vie privée et moi ne souhaitons pas explicitement ralentir l’innovation. Toutefois, nous travaillons avec diligence pour nous assurer que le droit individuel déjà établi en matière de respect de la vie privée est respecté partout au sein des différentes administrations. Il est donc important que nos normes soient partagées et appliquées au-delà des frontières.

Nous considérons notre travail avec l’OCDE, l’APEC et d’autres groupes du secteur privé comme étant essentiel à la protection de ce droit. Des recherches conjointes et des mécanismes d’application coordonnés peuvent tous aider à établir une base de référence commune en ce qui a trait à la protection de la vie privée et des données partout dans le monde.

Il est encourageant de constater les récents efforts dignes de mention visant à adopter une série de normes communes à l’échelle mondiale en matière de respect de la vie privée, un mouvement qui, heureusement, gagne en popularité.

Je crois que des approches communes relativement à la confidentialité, bien communiquées et mises en application correctement, ne pourront que favoriser l’augmentation des applications responsables en matière d’informatique dans les nuages, l’innovation et la concurrence, tout en assurant la prospérité de nos économies fondées sur l’information.

Notes documentaires

Gmail : Il y a eu plusieurs cas où Gmail n’était pas disponible pour ses utilisateurs. En général, les utilisateurs de Gmail sont très inquiets lorsque le service ne fonctionne pas, puisqu’ils ont tendance à transmettre tous leurs courriels par le biais du service Gmail afin de profiter de ses capacités de recherche, de filtrage et d’archivage.

Bien qu’il s’agisse d’un service gratuit, Google a activement encouragé les universités, les municipalités et d’autres organismes à déplacer leurs activités vers les nuages.

Twitter : Ce service de messagerie est maintenant utilisé de façon plus générale au sein de nombreux groupes démographiques et il est de plus en plus utilisé comme outil de service à la clientèle dans de petites et de grandes entreprises commerciales. Comme Twitter est une petite entreprise utilisant toujours le financement par capital de risque, il semble que son infrastructure et sa capacité à gérer un trafic élevé soient mises à rude épreuve de temps à autre. C’est pourquoi le service peut être interrompu pendant quelques minutes ou même quelques heures. Twitter est considéré comme une application moins essentielle et les interruptions de ce genre sont davantage vues comme un inconvénient que comme un problème opérationnel fondamental.

Sidekick de T-Mobile : Le Sidekick est un téléphone portable offert par l’entreprise de télécommunications américaine (et mondiale) T-Mobile, qui comprend un clavier miniature et permet à l’utilisateur d’échanger des messages textes et des courriels avec d’autres utilisateurs de téléphones portables et de courriels. Il semble que la base de données qui emmagasine les coordonnées des utilisateurs du Sidekick, leurs messages textes et d’autres renseignements soit tombée en panne la semaine dernière sans qu’il y ait de procédure de sauvegarde, ce qui a entraîné la perte de renseignements associés à une grande quantité d’utilisateurs.

T-Mobile avait déjà signé un contrat avec une tierce partie pour héberger et gérer la base de données nécessaire au produit Sidekick. Ce contrat a été confié à Microsoft après que l’entreprise ait acheté l’entrepreneur d’origine. Par conséquent, cette base de données est tombée en panne pendant que Microsoft en assurait la gestion.

Même si les causes de la panne de la base de données font l’objet de spéculations, ce qui a étonné les utilisateurs et les commentateurs est l’absence de base de données de secours, en particulier pour une application faisant partie du nuage Web.

Amazon Kindle et 1984 : Plus tôt cette année, un nombre restreint d’utilisateurs d’Amazon ont découvert qu’une édition précise d’un livre avait été effacée de la mémoire de leur Kindle – un exemplaire bon marché du livre 1984 de George Orwell. Amazon avait effacé cette édition parce qu’elle avait été conçue sans le consentement des propriétaires des droits d’auteur d’Orwell, et ce, même si le livre était exempt de droits d’auteur dans un certain nombre de pays. En effet, Amazon avait reçu une plainte relative aux droits d’auteur et avait accédé à l’appareil des consommateurs pour effacer l’édition et émettre un remboursement.

Même si apparemment, cette mesure était indiquée dans les conditions de service d’Amazon, elle a été considérée comme capricieuse et trop paternaliste par de nombreux utilisateurs en plus de mettre en évidence le fait que les utilisateurs d’un service dans les nuages peuvent faire l’objet d’une surveillance électronique et d’ingérence, même après une transaction légale.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :