Quand tout le monde et sa sœur deviennent des fournisseurs de contenu : Le principe du droit à la vie privée au cœur de la révolution sociale

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre de La Boule de cristal du CRIM

Le 7 avril 2010

Montréal (Québec)

Allocution prononcée par Jennifer Stoddart

Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Il me fait plaisir d’être des vôtres aujourd’hui. Il est très important pour moi de saisir chaque occasion de m’adresser à un auditoire composé de spécialistes de la chose informatique, parce que l’essence même de notre époque se situe au confluent de la technologie et de la protection de la vie privée.

Je me présente. Je suis une agente du Parlement, ce qui veut dire que je me rapporte directement à la Chambre des communes et au Sénat à l’instar des autres agents du Parlement tels la vérificatrice générale Sheila Fraser. Dans la période de temps relativement courte qui s’est écoulée depuis que j’occupe ce poste, j’ai été témoin de changements significatifs.

Quand je suis arrivée à Ottawa en 2003, Facebook n’existait pas. Twitter, flickr, YouTube, Google Street View, foursquare et le iPhone non plus.

Si les choses ont bien changé depuis une dizaine d’années, ce n’est pas seulement en raison des percées technologies — il y a d’autres catalyseurs de changement, dont la mondialisation.

Face à tout cela, le point de vue des défenseurs du droit à la vie privée est différent de celui des spécialistes de l’informatique.

Si je dis « contenu généré par les utilisateurs », la première chose qui vous vient à l’esprit, c’est « droits d’auteur et usage loyal », alors que pour moi, c’est « consentement et contrôle par la personne en question ».

Mon objectif aujourd’hui est donc de vous faire voir les choses de notre point de vue, à nous du Commissariat, qui est à la fois celui d’un défenseur du droit à la vie privée et celui d’un organisme de réglementation.

Comme le but de cet événement est de tourner nos regards vers l’avenir, j’aborderai les catalyseurs de changement qui nous semblent les plus importants : d’abord, la mondialisation et la circulation transfrontalière de données, et ensuite, l’incidence des nouvelles applications Web sur le droit à la vie privée dans le contexte de cette nouvelle norme sociale dont on parle beaucoup ces temps-ci.

Le point de vue des organismes de réglementation

Nous sommes appelés à collaborer avec nos collègues des provinces dans des affaires qui concernent toutes nos juridictions. Par exemple, nous collaborons étroitement avec le Commission d’accès à l’information du Québec dans nos pourparlers avec Google au sujet de Street View.

Jusqu’à présent, la Loi que j’administre pour le secteur fédéral a rempli son mandat, malgré un environnement davantage mondialisé et complexe. À plusieurs reprises, nous avons pu faire appliquer la loi à des technologies et à des modèles d’entreprises qui n’existaient pas lorsque la LPRPDE est entrée en vigueur il y a neuf ans.

Nos enquêtes sur Facebook, tant celle de l’été dernier que celle en cours présentement, soulignent l’efficacité de l’approche souple et fondée sur les principes de la LPRPDE, qui se situe quelque part entre la tactique axée sur les marchés adoptée par les États-Unis et la méthode plus prescriptive qui prévaut en Europe.

L’issue de notre première enquête sur Facebook, le géant américain du réseautage social a notamment permis de démontrer que la LPRPDE pouvait s’appliquer à la collecte de renseignements personnels de citoyens par des entités étrangères à des fins commerciales, même si toutes leurs activités étaient exercées en ligne.

Autre grand enjeu auquel nous avons dû faire face : tracer une frontière entre l’utilisation personnelle et l’utilisation commerciale de renseignements personnels.

Ce sont les utilisateurs de Facebook qui choisissent les renseignements personnels qu’ils souhaitent afficher sur le site, dans le but de participer à des activités de réseautage social. Ces renseignements ne sont pas visés par notre loi.

Toutefois, dès que Facebook utilise ces renseignements à des fins commerciales, la Lois’applique et l’entité commerciale devient responsable de la protection des données.

Nous avons récemment dû aborder des questions intéressantes soulevées dans le contexte des services d’imagerie à l’échelle de la rue, comme Google Street View et CanPages.

Nous avons suggéré la façon dont le consentement pouvait être obtenu, tant à Google qu’à CanPages. Les personnes doivent être informées à l’avance que les rues de leur ville seront photographiées, le moment où cela se produira, la raison de cette activité ainsi que le moyen par lequel elles peuvent demander à ce que leur photo ne soit pas affichée en ligne.

Pour y arriver, on peut se servir des véhicules qui portent des marques visibles et diffuser des avis dans les médias.

Mondialisation et réglementation

Je passe maintenant au deuxième catalyseur de changement qui a une incidence importante sur les autorités de protection des données : celui de la circulation transfrontalière des données dans un contexte de mondialisation accrue.

En effet, les données n’ont désormais plus de frontières — c’est bien connu. À notre époque d’entreprises virtuelles et d’informatique en nuage, la circulation des données est mondiale et instantanée.

Certains de ces renseignements se retrouvent dans des pays où le régime de protection est moins rigoureux que le nôtre.

Un autre défi lancé par la mondialisation aux autorités de protection des données, c’est que nous recevons des plaintes contre des entreprises en ligne qui n’ont pas de présence physique dans nos territoires de juridiction respectifs.

Dans le cadre de notre enquête sur Facebook de l’été dernier, nous avons réussi à obtenir qu’une société américaine s’engage à respecter nos lois.

Par contre, dans le cas de Abika.com, un courtier de données en ligne, nous avons dû nous tourner vers la Federal Trade Commission des États-Unis pour faire appliquer leur loi pertinente, et ainsi arriver au même résultat.

L’automne dernier, à la Conférence internationale des commissaires à la protection des données et de la vie privée, tout le monde semblait vouloir parler de la même chose avec moi : Facebook.

Ce n’est pas surprenant quand on considère que les changements que Facebook a effectués ont profité à tous ses utilisateurs, où qu’ils soient.

Le site comptait 300 millions d’utilisateurs au moment où nous avons diffusé nos conclusions d’enquête. On en compterait aujourd’hui 400 millions, dont 70 % en dehors des États-UnisNote de bas de page 1.

Dans un monde en réseau, nous devons adopter une approche flexible et efficace en matière de réglementation à l’échelle mondiale.

Peu importe ce que les pays choisissent de faire au sein de leurs propres frontières, il devient de plus en plus évident que cela ne suffit pas. La circulation mondiale des données nécessite des stratégies mondiales.

C’est pourquoi à mon bureau, nous explorons divers moyens d’accroître la collaboration avec d’autres autorités de protection des données — tant avec les autorités provinciales que les autorités internationales.

Il faut créer des règles et des normes communes, et adopter une approche cohérente et commune pour l’application des lois.

Permettez-moi de vous donner un aperçu rapide de quelques unes des principales initiatives en cours dans le monde.

  • L’automne dernier, des douzaines d’autorités de protection des données réunies à Madrid ont souscrit à un projet de norme internationale relative à la protection de la vie privée.
  • D’importants travaux se déroulent au sein de l’APEC, auquel siège le Canada. Le sous-groupe sur la protection de la vie privée travaille sur les règles transfrontalières de protection de la vie privée.
  • Des discussions auront lieu prochainement sur la façon dont les lignes directrices adoptées par l’OCDE il y a 30 ans ont été mises en pratique — on m’a d’ailleurs invitée à diriger un groupe de travail à cet effet. Le Commissariat participera également à la rédaction d’un document de travail qui fera le point sur la protection de la vie privée et des renseignements personnels au 21e siècle.

Changements sociétaux

Je tiens à parler maintenant d’un autre catalyseur de changement, soit les normes sociales qui évoluent rapidement depuis la dernière décennie.

Aujourd’hui, la plupart des gens veulent être en ligne. Alors qu’il y a 10 ans, on devait s’informer auprès des gens pour savoir s’ils avaient accès au courriel, aujourd’hui il est pratiquement inconcevable que quelqu’un ne soit pas en ligne. Vous devriez voir la tête qu’on me fait quand je dis que je ne suis pas sur Facebook.

Mais on constate des différences par rapport à ce que les gens font en ligne — et la mesure dans laquelle ils sont prêts à afficher leurs renseignements personnels.

La conception de la vie privée des plus jeunes est différente de celle des générations précédentes.

Cela dit, je m’oppose fermement au discours à la mode dans certains milieux, qui proclame la mort de la vie privée.

Bien sûr, on semble être de moins en moins nombreux à croire qu’une vie véritablement privée doit être menée en privé, et que la meilleure façon de protéger ses renseignements personnels, c’est de ne pas les transmettre, encore moins de les afficher sur Internet.

Mais de là à dire que ceux qui choisissent de s’inscrire à un site de réseautage social ou à contribuer autrement au Web 2.0 n’accordent pas de valeur à leur vie privée, il y a tout un monde.

Les sondages que nous avons menés auprès des jeunes prouvent que la protection de la vie privée demeure une valeur profondément ancrée en nous.

Un autre sondage, mené par Ressources naturelles Canada, a démontré que la grande majorité des Canadiennes et Canadiens veulent que le gouvernement fédéral réglemente l’application de nouvelles technologies, afin de protéger leur vie privée.

Peu importe la façon dont les gens choisissent d’agir, ils croient fermement que ces choix leur appartiennent.

De plus en plus, la communication de renseignements personnels se résume à deux enjeux : l’avis et le consentement.

À titre d’exemple, pensez à ce qui se passe lorsqu’un site de réseautage social apporte des modifications à sa politique de confidentialité. Ces changements ne laissent pas les utilisateurs indifférents. Ces utilisateurs ont tendance à faire beaucoup de bruit, et les entreprises seraient sages de les écouter.

L’incidence des percées technologiques sur la vie privée

De tous les défis auxquels la vie privée doit faire face, nul n’est plus sérieux que l’incidence des percées technologiques.

Et le contenu qui tourbillonne dans le Web 2.0 est en grande partie généré par des personnes, ce qui pose de nouveaux défis, tant pour les organismes de réglementation que pour notre société dans son ensemble.

La notion de consommateur averti — sans parler de celle du consentement — est de plus en plus bafouée.

Les problèmes de protection de la vie privée apparaissent toujours dans les contextes d’interactions entre des personnes et des organisations.

Cependant, nous nous apercevons de plus en plus que les principaux risques en matière de protection de la vie privée proviennent de menaces généralisées liées à l’évolution rapide des technologies de l’information.

Ces menaces, bien qu’elles puissent avoir des conséquences importantes, ne sont pas des points sur lesquels une personne ordinaire irait porter plainte à première vue.

Jusqu’à présent, nous avons reçu très peu de plaintes et de demandes de renseignements au sujet de sites de réseautage socialNote de bas de page 2.

Toutefois, chacune des plaintes sur lesquelles nous faisons enquête est très complexe, tant sur le plan technologique que sur le plan juridique. Sur le plan technologique, nous devons nous pencher sur des applications informatiques souvent très sophistiquées, ce que nous n’avions pas souvent l’occasion de faire par le passé.

Sur le plan juridique, nous devons demander à la Loi de trancher sur des questions qui étaient inconcevables au moment où elle a été rédigée.

Jusqu’à maintenant, la neutralité technologique de la Loi s’est avérée salutaire : nous avons réussi à la faire appliquer dans tous les cas qui nous ont été soumis. Nous nous attendons à ce que la cadence des percées technologiques ne ralentisse pas au cours des années à venir — le Québec n’est d’ailleurs pas étranger à l’innovation, cette application pratique de la créativité. La vitalité de la communauté techno de Montréal en est un excellent exemple.

Consultations sur l’incidence des nouvelles technologies sur la vie privée des consommateurs

C’est en prévision de l’examen quinquennal de la Loi prévu pour 2011 que le Commissariat organise présentement des tables rondes qui auront lieu ici à Montréal, le 19 mai ainsi qu’à Toronto ce mois-ci et à Calgary en juin.

Ces événements rassembleront des représentants de l’industrie, du gouvernement, des associations de consommateurs, de la société civile et d’autres parties intéressées.

Elles porteront sur des nouveaux enjeux qui ont des conséquences appréciables sur le droit à la vie privée, soit la publicité comportementale, l’informatique dans les nuages et les données géoréférencées.

Notre objectif est d’étudier les répercussions qu’ont ces technologies sur la vie privée, mais aussi de déterminer si la LPRPDE nous permettra de relever ces nouveaux défis sans mettre un frein au progrès.

On constate notamment des problèmes liés au consentement dans la publicité comportementale, des questions de compétence et de mesures de sécurité adéquates pour l’informatique dans les nuages, ainsi que des restrictions concernant la collecte, l’utilisation et la communication de renseignements personnels dans le domaine des données géoréférencées.

Les tables rondes ont également pour but d’éclairer nos positions politiques par rapport à ces trois formes de technologies, qui risquent de jouer un rôle de plus en plus important dans les plaintes et les demandes de renseignements qui forment notre quotidien.

Conclusion : Liste de souhaits

À la lumière des changements phénoménaux survenus au cours des 10 dernières années, il semble téméraire de vouloir prédire ce que l’avenir nous réserve.

Jusqu’à présent, plusieurs de nos initiatives ont été couronnées de succès. Toutefois, il faut noter que nos succès ont reposé sur la coopération et la bonne volonté des organisations qui ont accepté de se soumettre à la loi canadienne en matière de protection de la vie privée. On est en droit de se demander s’il en sera toujours ainsi.

Il est primordial pour nous de faire en sorte que le respect du droit à la vie privée ne vienne pas mettre un frein à l’innovation. Cette volonté est partagée par nos homologues de la Commission européenne, qui annonçaient récemment le financement du projet PRESCIENT.

Ce projet vise à informer un nouveau cadre de protection des renseignements personnels qui tienne compte des technologies en émergence, en favorisant la réflexion, le dialogue avec les intéressés et, surtout, l’intégration des mesures de protection au moment même de concevoir de nouveaux produits et services.

L’idée n’est pas nouvelle. Depuis plus de dix ans, des défenseurs du droit à la vie privée de partout vantent les avantages de la prise en compte du respect de la vie privée dès la conception.

Ce principe, connu sous l’appellation de Privacy by Design, vise à ce que le respect de la vie privée ne se fasse pas en réaction à des mesures réglementaires, mais qu’il fasse plutôt partie du modèle de conceptualisation des produits et services par défaut des entreprises.

Mon homologue de l’Ontario, Mme Ann Cavoukian, fait la promotion de ce concept depuis les années 1990; en le défendant avec vigueur et sans relâche, elle lui a donné ses lettres de noblesse.

Toutefois, lors d’une réunion à Toronto il y a deux semaines avec le gratin des spécialistes de la protection des données, la commissaire fédérale adjointe Elizabeth Denham a demandé qu’on lui donne un seul exemple d’un système ou d’un produit conçu en prenant compte du respect de la vie privée. Personne, parmi la centaine de participants, n’a pu lui répondre.

Par ailleurs, le professeur Ian Kerr de l’Université d’Ottawa commence à promouvoir le concept de privacy by default, ou protection des données personnelles comme mode de fonctionnement par défaut.

Il suggère que l’on pose des questions en amont de l’introduction d’une nouvelle technologie, soit avant même de songer à l’amélioration du produit en question.

Quant à moi, en observant les annonces faites par Facebook en décembre 2009 et le lancement de Google Buzz en février dernier, je me demande s’il ne devrait pas y avoir une norme réglementée, obligatoire pour les nouveaux produits et services, permettant une mise en vigueur plus simple et une application intégrée au préalable.

Au contraire, on entend souvent des multinationales, notamment des géants du Web 2.0, se dire en faveur du respect de la vie privée de leurs utilisateurs. Mais on comprend que ces paroles ne sont que des vœux pieux quand on s’attarde le moindrement à leurs actions.

C’est pourquoi je tiens à terminer cette allocution par une liste de suggestions, à vous du domaine technologique, pour vous encourager à continuer de faire votre part.

  • Assurez-vous de faire place au consentement des utilisateurs avant de lancer une application qui fasse usage des renseignements personnels.
  • Pour que ce consentement soit valable, les utilisateurs doivent comprendre clairement ce que comment leurs renseignements personnels seront utilisés, où ils s’en vont, à qui seront-ils communiqués, comment seront-ils affichés, combien de temps seront-ils conservés.
  • Rappelez-vous que le profilage, c’est aussi une utilisation de renseignements personnels dont les utilisateurs doivent être informés.
  • Dès l’étape de la conception d’une application, prévoyez une politique de conservation et de destruction des renseignements personnels que vous pensez détenir.
  • Prévoyez également un moyen convivial pour les utilisateurs de mettre fin à leur relation avec vous — par là, j’entends un moyen d’effacer tous leurs renseignements personnels de vos serveurs.
  • Assurez-vous de dépersonnaliser les données chaque fois qu’il est opportun de le faire.
  • Et finalement, assurez-vous d’avoir en place des mesures de sécurité en béton pour protéger les renseignements de vos utilisateurs.

Bientôt, le signalement obligatoire à mon bureau des fuites de données sera en vigueur au Canada.

On sait que le crime organisé, à petite ou à grande échelle, se tourne de plus en plus vers le vol d’information — et de plus en plus, une évidence s’impose : il n’y a pas de confidentialité sans sécurité. C’est un autre élément important que vous devez garder à l’esprit au moment de lancer de nouveaux produits et services.

Il me fera maintenant plaisir de répondre à vos questions.

Date de modification :