L'après-Facebook : Les répercussions de l'enquête sur l'avenir du CPVP

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Mot d'ouverture lors d'un Forum restreint sur la protection des renseignements personnels de 2009, organisé par le Northwind Professional Institute

Le 19 novembre 2009
Cambridge, Ontario

Allocution prononcée par Jennifer Stoddart, commissaire à la protection de la vie privée du Canada et
Chantal Bernier, commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Bonsoir à tous. J’ai le plaisir de me retrouver parmi vous encore cette année. Ce fut très agréable de pouvoir m’entretenir avec plusieurs d’entre vous pendant la réception qui a précédé le souper.

À la même époque l’année dernière, j’ai eu l’occasion de souligner mon cinquième anniversaire à titre de commissaire à la vie privée. J’en avais profité pour vous livrer quelques réflexions sur les principaux développements qui ont marqué la première partie de mon mandat. En cherchant un sujet à aborder ce soir, j’ai repensé à ce que le Commissariat avait réalisé depuis notre dernière rencontre. Un sujet éclipsait tous les autres : Facebook.

Inutile de vous dire que cette enquête fut une entreprise majeure pour le Commissariat. La plainte que nous avons reçue était très vaste et ses enjeux extrêmement complexes, voire très techniques dans certains cas.

Nous avons été comblés par la couverture médiatique qui a suivi la publication de nos conclusions. L’enquête a été épluchée et commentée partout dans le monde.

Ce soir, j’aimerais vous faire part de la façon dont l’enquête sur Facebook s’est déroulée. J’aimerais également voir plus loin et vous dire ce que cette enquête représente pour l’avenir du Commissariat.

L’enquête

Résumé des notions fondamentales :

L’affaire Facebook a débuté en mai 2008, lorsque des représentants de la CIPPIC, la Clinique d’intérêt public et de politique d’Internet du Canada, nous ont soumis une plainte de 35 pages portant sur 24 aspects liés aux politiques et pratiques de confidentialité du site de réseautage social.

Sous la direction de la commissaire adjointe Elizabeth Denham, nous avons ouvert une enquête d’une portée et d’une complexité sans précédent pour le Commissariat.

Grâce à la coopération des responsables de Facebook, nous avons pu régler plusieurs problèmes pendant l’enquête, qui aura duré 14 mois. Nous ne sommes toutefois pas parvenus à nous entendre sur bon nombre d’inquiétudes, la plus importante étant celle liée aux applications développées par des tiers et exécutées sur la plateforme dans les nuages de Facebook, comme les jeux et les questionnaires.

Nous nous inquiétions du manque de mesures de sécurité adéquates visant à limiter efficacement l’accès des développeurs d’applications aux renseignements personnels des utilisateurs et de leurs « amis » en ligne. Il s’agissait d’un enjeu important étant donné qu’il n’existe pas moins de 950 000 développeurs dans plus de 180 pays.

Nous avons publié nos conclusions et les questions en suspens à la mi-juillet. Les responsables de Facebook ont eu 30 jours pour réagir.

À la suite de longues discussions et négociations, nous avons pu annoncer, au mois d’août, que l’entreprise avait accepté de suivre toutes les recommandations.

De plus, l’entreprise Facebook s’est engagée à renforcer les mesures de sécurité de ses activités à l’échelle mondiale, ce qui devait profiter à ses 300 millions d’utilisateurs dans le monde.

Les responsables de Facebook estiment qu’il faudra un an pour mettre ces changements en place : nous suivrons leurs progrès de près. À ce propos, nous avons récemment été amenés à commenter des propositions de changements à leur politique de confidentialité. Nous pourrons également tester à l’avance certaines de leurs solutions.

Les responsables de Facebook ont toujours affirmé qu’ils se souciaient de la vie privée de leurs utilisateurs. Peut‑être ont-ils cru qu’il s’agissait là d’une bonne occasion de souligner leur engagement. Enfin, je pense qu’ils se sont aperçus que nos recommandations étaient raisonnables et conformes à ce que souhaitaient les utilisateurs.

Réponse mondiale

J’imagine que vous en savez déjà beaucoup sur le sujet, compte tenu de l’ampleur de la couverture médiatique accordée à l’enquête.

À la suite de notre conférence de presse en août dernier, plus de 230 articles ont été publiés dans des journaux du monde entier, ce qui nous a permis de sensibiliser plus de 41 millions de personnes selon certaines estimations. Le BlackBerry de notre directrice des communications n’arrêtait pas de vibrer alors que nous recevions des alertes Google en provenance du Royaume‑Uni, de l’Australie, des quatre coins des États-Unis, et même de la Chine!

Je savais qu’une partie de la population en ligne ne voyait pas d’un bon œil nos enquêtes sur les blogues et les clavardoirs. Il n’empêche que la réaction de la majorité des citoyens, au Canada et ailleurs, fut incroyable. Les gens nous appelaient pour nous remercier d’avoir mené cette enquête. Nous avons rarement été témoins d’une telle réaction. Un de nos agents de demandes de renseignements a reçu l’appel d’une personne qui s’est dite « fière d’être Canadienne ». Un autre citoyen a déclaré, et je n’invente rien, « Aujourd’hui, je suis un contribuable heureux ».

Nous avons également reçu des courriels et des appels d’autres autorités de protection des données, pour nous féliciter et nous dire que l’enquête au Canada aurait d’importantes répercussions dans le reste du monde.

Plus tôt ce mois-ci, j’étais à Madrid pour la Conférence internationale des commissaires à la protection des données et de la vie privée, et tous les participants voulaient discuter de Facebook avec moi.

C’était sans doute parce que les responsables de Facebook avaient affirmé que les changements qu’ils apporteraient, en réponse à notre enquête, le seraient à l’échelle mondiale.

Comme les commissaires à la protection de la vie privée font face à des défis mondiaux en matière de vie privée et qu’ils font affaire à des multinationales, ils cherchent de plus en plus à coopérer.

Une des idées évoquées à Madrid était que, pendant que le Commissariat enquête sur Facebook au Canada, un de ses homologues européens pourrait se charger d’enquêter sur un autre enjeu important en matière de protection de la vie privée, susceptible d’avoir des répercussions mondiales.

Étant donné que les principes de protection de la vie privée canadiens et européens ont beaucoup en commun, cette approche stratégique et économique semble appropriée pour faire face aux multinationales. Le Commissariat ne pourrait pas assumer à lui tout seul un trop grand nombre d’enquêtes de cette envergure.

L’enquête sur Facebook, et toute la couverture médiatique qui s’en est suivie, a redoré notre image auprès des multinationales. Juste après la publication de nos conclusions, un autre grand site de réseautage social a demandé à nous rencontrer. Depuis, nous avons reçu un nombre record de demandes provenant d’entreprises américaines qui voulaient discuter avec nous de leurs applications mondiales.

Il s’agit d’une première, et c’est très encourageant. Je souhaite et espère que toutes ces discussions soient synonymes d’une plus grande protection de la vie privée pour les Canadiennes et Canadiens ainsi que pour les personnes du monde entier.

2e examen de la LPRPDE

Une autre des principales conclusions de cet exercice a été de démontrer que la Loi concernant le secteur privé était suffisamment pragmatique et souple pour s’adapter aux défis d’un modèle d’entreprise qui n’existait pas au moment de l’adoption de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Comme le prochain examen de la LPRPDE est prévu pour 2011, nous devons réfléchir à ce type d’enjeux. En effet, nous envisageons et planifions déjà le 2e examen de la LPRPDE. J’y reviendrai dans quelques instants.

Dans le cas de Facebook, l’approche fondée sur des principes de la LPRPDE, qui se situe quelque part entre la tactique axée sur les marchés adoptée par les États-Unis et la méthode plus prescriptive qui prévaut en Europe, s’est avérée efficace.

En s’appuyant sur d’anciennes enquêtes et affaires judiciaires, cette enquête a notamment permis de démontrer que la LPRPDE pouvait s’appliquer à la collecte de renseignements personnels de citoyens canadiens par des entités étrangères à des fins commerciales, même si toutes leurs activités étaient exercées en ligne.

Autre grand enjeu auquel nous avons dû faire face : tracer une frontière entre l’utilisation personnelle et l’utilisation commerciale de renseignements personnels. Ce sont les utilisateurs de Facebook qui choisissent les renseignements personnels qu’ils souhaitent afficher sur le site, dans le but de participer à des activités de réseautage social. Ces renseignements ne sont pas visés par la LPRPDE.

Toutefois, dès lors que Facebook utilise ces renseignements à des fins commerciales, la Loi s’applique et l’entité commerciale devient responsable de la protection des données.

Nous avons récemment dû aborder des questions intéressantes soulevées par un autre nouveau modèle d’entreprise, dans le cadre de notre travail sur les fournisseurs de services d’imagerie à l’échelle de la rue, comme Street View de Google et CanPages.

Si la LPRPDE a certes été établie selon un principe de consentement conclu entre une entité et une autre (par exemple, je me rends à la banque et je signe une entente dans le but d’ouvrir un compte), la collecte d’images à l’échelle de la rue requiert en revanche un consentement conclu entre une entité et plusieurs.

Nous avons discuté de la façon dont le consentement pouvait être obtenu, tant chez Google que chez CanPages. Les personnes doivent être informées à l’avance que les rues de leur ville seront photographiées, le moment où cela se produira, la raison de cette activité ainsi que le moyen par lequel elles peuvent demander à ce que leur photo ne soit pas affichée en ligne. Pour y arriver, on peut se servir des véhicules qui portent des marques visibles et diffuser des avis dans les médias.

Si une entreprise prend des photos à des fins journalistiques ou artistiques, aucun consentement n’est requis. Google et les autres fournisseurs d’imagerie à l’échelle de la rue pourraient invoquer cette exception. De prime abord, cet argument pose problème, car selon moi il ne s’agit aucunement d’un projet artistique ou journalistique. Toutefois, si cet argument était avancé au cours d’une enquête, nous l’examinerions de plus près.

Se concentrer sur les enjeux de portée générale

L’enquête sur Facebook a été importante à un autre égard. Elle a démontré l’importance d’aborder un enjeu complexe et, pour être très honnête, quelque peu intimidant.

S’il est vrai que cette enquête a demandé beaucoup de temps et de ressources au Commissariat, le résultat final en valait la peine, car les utilisateurs du monde entier bénéficieront de changements non négligeables.

L’enquête est un bon exemple de ce sur quoi j’aimerais que le Commissariat concentre ses efforts à l’avenir, et je suis certaine que le succès que nous avons eu nous aidera à y parvenir.

Depuis un certain temps, je crois que le Commissariat doit se concentrer sur les enjeux importants et de portée générale.

Les problèmes de protection de la vie privée apparaissent toujours dans les contextes d’interactions entre des personnes et des organisations. Ce sont les personnes qui portent plainte au Commissariat.

Cependant, nous nous apercevons de plus en plus que les principaux risques en matière de protection de la vie privée proviennent de menaces généralisées liées à l’évolution rapide des technologies de l’information, comme Internet et les technologies de surveillance. Ces menaces, bien qu’elles puissent avoir une incidence sur notre société au quotidien, ne sont pas des points sur lesquels une personne ordinaire irait porter plainte.

Selon moi, de précieuses ressources sont consacrées de façon disproportionnée à l’ouverture de dossiers de plaintes et à la tenue d’enquêtes connexes, selon le principe du premier arrivé, premier servi.

Outre le fait que les commissaires à la protection des données discutent de méthodes générales et internationales visant à aborder les incidences des technologies mondiales sur la vie privée, le besoin d’une approche stratégique nationale se fait de plus en plus ressentir.

Loin de moi l’idée de demander plus de fonds au gouvernement fédéral pour nous aider à remplir notre mandat. Nous tentons de travailler plus efficacement, et je suis heureuse de pouvoir affirmer que nous avons fait des progrès dans la réduction de notre arriéré.

Nous espérons également que nos processus de renvoi et de règlement rapide des plaintes feront en sorte que nos enquêteurs passent moins de temps à traiter des plaintes dont la portée est limitée et qui n’ont pas d’incidences sur les politiques, ni de votre côté ni du nôtre.

Je reconnais que ces initiatives peuvent demander un grand effort de votre part. Jusqu’à présent, l’approche semble bien fonctionner pour nous et pour les organisations, mais surtout pour les personnes, qui profiteront d’une réponse plus rapide et définitive.

Nous avons été très heureux d’apprendre que le gouvernement avait inclus des modifications à la LPRPDE dans la Loi sur la protection du commerce électronique, modifications qui me permettront de mettre fin à l’examen de certaines plaintes, par exemple s’il n’existe pas suffisamment d’éléments de preuve, si la plainte est futile ou vexatoire, ou encore si l’organisation a apporté une réponse juste et équitable à la plainte.

J’aimerais remercier tous ceux qui ont appuyé le Commissariat en demandant au gouvernement de lui accorder un plus grand pouvoir discrétionnaire.

Si nous parvenons à libérer des ressources d’enquête, le Commissariat pourra se concentrer davantage sur les enjeux liés à la protection de la vie privée susceptibles d’avoir d’importantes répercussions sur la population, comme ce fut le cas avec Facebook.

Dernièrement, nous avons par exemple consacré beaucoup de temps à l’inspection approfondie des paquets. Nous nous préoccupons également de la protection de la vie privée en ligne, des sites Web destinés aux enfants et des entreprises spécialisées dans les tests génétiques commerciaux. Il s’agit d’enjeux que nous aborderons plus en détail à l’avenir.

Examen de la LPRPDE et tables rondes

Il y a quelques instants, j’ai évoqué le fait que le Commissariat avait déjà commencé à préparer un deuxième examen de la LPRPDE.

Comme vous le savez, nous avons déjà commandé un rapport à deux professeurs de droit émérites, soit Lorne Sossin de l’Université de Toronto et France Houle de l’Université de Montréal, dans le but de mener une étude sur les différents modèles réglementaires d’application de la protection des données. Le rapport devrait être prêt au début de l’année prochaine.

Pendant le premier examen de la LPRPDE, nous avions sollicité des observations pour préparer nos discussions avec les parlementaires sur la façon d’améliorer la loi. Cette fois, nous cherchons à établir un dialogue plus consultatif avec les intervenants.

Le Commissariat organise une série de tables rondes qui auront lieu en 2010, sur quelques-uns des principaux nouveaux enjeux dans le domaine de la vie privée, comme la publicité comportementale, l’informatique dans les nuages et les données géoréférencées.

L’objectif est d’étudier les répercussions qu’ont ces technologies sur la vie privée, mais aussi de déterminer si la LPRPDE nous permettra de relever ces nouveaux défis. On constate notamment des problèmes liés au consentement dans la publicité comportementale, des questions de compétence et de mesures de sécurité adéquates pour l’informatique dans les nuages, ainsi que des restrictions concernant la collecte, l’utilisation et la communication de renseignements personnels dans le domaine des données géoréférencées.

Les tables rondes ont également pour but d’éclairer nos positions politiques par rapport à ces trois formes de technologies, qui risquent de jouer un rôle de plus en plus important dans notre quotidien.

Les tables rondes seront organisées par le Commissariat et nous invitons les représentants de l’industrie, du gouvernement, des associations de consommateurs, de la société civile et toutes autres parties intéressées à y participer. Comme nous souhaitons voir le plus grand nombre de Canadiennes et de Canadiens à ces tables rondes, elles se tiendront à Calgary, Toronto et Montréal.

D’autres informations vous seront bientôt communiquées. J’espère que vous y prendrez part!

Conclusion

En terminant, il ne fait aucun doute que l’enquête sur Facebook aura une incidence sur notre travail à l’avenir.

L’enquête a une nouvelle fois souligné le fait que nous vivons dans un monde en réseau et que le besoin d’adopter une approche flexible et efficace en matière de réglementation de la vie privée à l’échelle mondiale se fait de plus en plus ressentir.

Elle a également prouvé que le temps et les efforts investis par le Commissariat à la collaboration avec d’autres autorités de protection des données et des multinationales en valaient vraiment la peine.

J’aimerais remercier le Conseil du Trésor d’avoir reconnu l’importance de ce travail et de nous avoir fourni des ressources supplémentaires, qui nous ont permis de travailler en étroite collaboration avec nos collègues des quatre coins du monde et de représenter le Canada pendant les rencontres internationales.

En tant que pays, notre prospérité dépend grandement du commerce international. Il n’empêche que la protection des renseignements personnels reste pour nous une valeur sociale et culturelle essentielle.

Nous continuerons de faire pression pour que soit adoptée une meilleure approche internationale en matière de protection des renseignements personnels dans un environnement où la circulation transfrontalière des données est omniprésente.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :