Le professionnel de la protection des renseignements personnels 2.0

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre du Congrès 2010 de l’Association sur l’accès et la protection de l’information (AAPI)

Le 22 avril 2010
Québec (Québec)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

C’est un plaisir pour moi de me retrouver à Québec aujourd’hui, après un début de semaine bien chargé.

Depuis mardi, vous entendez parler de Web 2.0 et de réseaux sociaux, de cybercriminalité et de cyberpirates. On a l’impression que chaque jour, nous devons apprendre de nouveaux moyens de communiquer — et apprendre à éviter de nouveaux moyens de se faire avoir.

Ces mêmes défis qui nous rendent la vie plus intéressante, pour le meilleur ou pour le pire, ont une incidence directe sur votre travail.

Vous jouez un rôle important. En étant les gardiens du droit d’accès à l’information et du droit à la vie privée, vous protégez des principes qui sont au cœur même d’une société démocratique. Ce n’est donc pas surprenant que tout ce qui change radicalement la société — comme la révolution numérique — aura des conséquences sur votre travail.

J’ai été témoin du début de cette révolution quand je suis arrivée à la Commission d’accès à l’information du Québec il y a 10 ans. Une des choses dont j’ai été le plus fière au cours des quelques années que j’ai passées à la CAI, c’est que le Québec ait accepté notre recommandation et adopté le principe de la publication automatique. C’est une mesure admirable, qui reconnaissait déjà l’importance formidable du Web comme source de renseignements.

Et je pense que la plupart d’entre nous, la première fois que nous sommes allés sur le Web, avons tout de suite compris que c’était une invention qui allait changer le monde. Mais qui d’entre nous avait déjà un portrait clair de ce qui s’en venait dans le détour : les Twitter, Flickr, Facebook et Foursquare, bref, la phase 2.0 de la révolution. Le Web 2.0 a une incidence considérable sur la vie privée parce qu’il dépend du contenu généré par les utilisateurs, et qu’une bonne partie de ce contenu renvoie à des personnes identifiables.

Je propose donc de vous parler aujourd’hui des enjeux que nous, au Commissariat à la protection de la vie privée du Canada, voyons comme étant ceux à surveiller au cours des prochaines années.

Nous avons identifié quatre priorités stratégiques qui nous permettront de mieux cibler nos travaux pendant les années à venir. Ces quatre priorités sont les suivantes :

  • les technologies de l’information;
  • les renseignements génétiques;
  • la sécurité nationale; et
  • l’intégrité de l’identité.

Vous aurez compris que les systèmes informatiques utilisés de nos jours, avec leur puissance de traitement fulgurante et leur capacité de stockage sans limite apparente, sont un facteur pour chacune de ces priorités.

Abaissement des frontières et défis réglementaires

Et comme ces systèmes informatiques très puissants fonctionnent de plus en plus en réseaux, ils ouvrent la porte à un autre enjeu très important, celui de la circulation transfrontalière des données dans un contexte de mondialisation accrue.

En effet, les données n’ont désormais plus de frontières — c’est bien connu. À notre époque d’entreprises virtuelles et d’informatique en nuage, la circulation des données est mondiale et instantanée.

Certains de ces renseignements se retrouvent dans des juridictions où le régime de protection est moins rigoureux que le nôtre.

Un autre défi lancé par la mondialisation aux autorités de protection des données, c’est que nous recevons des plaintes contre des entreprises en ligne qui n’ont pas de présence physique dans nos territoires de juridiction respectifs.

Dans le cadre de notre enquête sur Facebook de l’été dernier, nous avons réussi à obtenir qu’une société américaine s’engage à respecter nos lois.

Par contre, dans le cas de Abika.com, un courtier de données en ligne, nous avons dû nous tourner vers la Federal Trade Commission des États-Unis pour faire appliquer leur loi pertinente, et ainsi arriver au même résultat.

L’automne dernier, à la Conférence internationale des commissaires à la protection des données et de la vie privée, tout le monde semblait vouloir parler de la même chose avec moi : Facebook.

Ce n’est pas surprenant quand on considère que les changements que Facebook a effectués ont profité à tous ses utilisateurs, où qu’ils soient.

Le site comptait 300 millions d’utilisateurs au moment où nous avons diffusé nos conclusions d’enquête. On en compterait aujourd’hui 400 millions, dont 70 % en dehors des États-UnisNote de bas de page 1.

Dans un monde en réseau, nous devons adopter une approche flexible et efficace en matière de réglementation à l’échelle mondiale.

Peu importe ce que les pays choisissent de faire au sein de leurs propres frontières, il devient de plus en plus évident que cela ne suffit pas. La circulation mondiale des données nécessite des stratégies mondiales.

C’est pourquoi à mon bureau, nous explorons divers moyens d’accroître la collaboration avec d’autres autorités de protection des données — tant avec les autorités provinciales que les autorités internationales.

Il faut créer des règles et des normes communes, et adopter une approche cohérente et commune pour l’application des lois.

Sur le plan juridique, nous devons demander à la Loi de trancher sur des questions qui étaient inconcevables au moment où elle a été rédigée.

Jusqu’à maintenant, la neutralité technologique de la Loi s’est avérée salutaire : nous avons réussi à la faire appliquer dans tous les cas qui nous ont été soumis. Nous nous attendons à ce que la cadence des percées technologiques ne ralentisse pas au cours des années à venir — le Québec n’est d’ailleurs pas étranger à l’innovation, cette application pratique de la créativité. La vitalité de la communauté techno de Montréal en est un excellent exemple.

C’est en prévision de l’examen quinquennal de la Loi prévu pour 2011 que le Commissariat organise présentement des tables rondes qui auront lieu ici à Montréal, le 19 mai ainsi qu’à Toronto la semaine prochaine et à Calgary en juin.

Ces événements rassembleront des représentants de l’industrie, du gouvernement, des associations de consommateurs, de la société civile et d’autres parties intéressées.

Elles porteront sur des nouveaux enjeux qui ont des conséquences appréciables sur le droit à la vie privée, soit la publicité comportementale, l’informatique dans les nuages et les données géoréférencées.

Notre objectif est d’étudier les répercussions qu’ont ces technologies sur la vie privée, mais aussi de déterminer si la LPRPDE nous permettra de relever ces nouveaux défis sans mettre un frein au progrès.

On constate notamment des problèmes liés au consentement dans la publicité comportementale, des questions de compétence et de mesures de sécurité adéquates pour l’informatique dans les nuages, ainsi que des restrictions concernant la collecte, l’utilisation et la communication de renseignements personnels dans le domaine des données géoréférencées.

Les tables rondes ont également pour but d’éclairer nos positions politiques par rapport à ces trois formes de technologies, qui risquent de jouer un rôle de plus en plus important dans les plaintes et les demandes de renseignements qui forment notre quotidien.

Jusqu’à présent, la loi que j’administre pour le secteur fédéral a rempli son mandat, malgré un environnement davantage mondialisé et complexe. À plusieurs reprises, nous avons pu faire appliquer la loi à des technologies et à des modèles d’entreprises qui n’existaient pas lorsque la LPRPDE est entrée en vigueur il y a neuf ans.

Web 2.0 et nouvelle norme sociale

Bien sûr, on ne peut pas parler de ces nouveaux modèles d’entreprise sans parler de la « nouvelle norme sociale », une expression qui est sur toutes les lèvres ces temps-ci. Plusieurs se demandent si Internet a créé une nouvelle norme sociale ou plutôt si c’est la société qui se sert d’Internet pour asseoir cette nouvelle norme. Une chose qui est certaine, c’est que la chose 2.0 a une incidence considérable sur le droit à la vie privée.

Un article de presse paru l’an dernier illustrait bien l’effet d’Internet sur le droit à la vie privée. L’article portait sur le nouveau système de dossiers judiciaires en ligne de la Colombie-Britannique.

Le système en ligne permet de consulter des renseignements sur n’importe quel procès civil ou criminel. Or, l’achalandage sur le site a été d’une telle ampleur qu’il s’est formé une file d’attente virtuelle.

Une défenseure de la vie privée de la Colombie-Britannique a souligné qu’elle n’avait jamais été témoin d’une file d’attente au greffe pour avoir accès à ces mêmes dossiers.

L’appétit de plus en plus vorace de certains membres du public pour les renseignements personnels d’autrui cachent, au mieux, une curiosité malsaine, et au pire, le désir d’exploiter ces renseignements à des fins criminelles.

Ce voyeurisme trouve son partenaire dans l’exhibitionnisme virtuel que l’on remarque un peu partout sur le Web.

Aujourd’hui, la plupart des gens veulent être en ligne. Alors qu’il y a 10 ans, on devait s’informer auprès des gens pour savoir s’ils avaient accès au courriel, aujourd’hui il est pratiquement inconcevable que quelqu’un ne soit pas en ligne. Vous devriez voir la tête qu’on me fait quand je dis que je ne suis pas sur Facebook.

Mais on constate des différences par rapport à ce que les gens font en ligne — et la mesure dans laquelle ils sont prêts à afficher leurs renseignements personnels.

La conception de la vie privée des plus jeunes est différente de celle des générations précédentes.

Cela dit, je m’oppose fermement au discours à la mode dans certains milieux, qui proclame la mort de la vie privée.

Bien sûr, on semble être de moins en moins nombreux à croire qu’une vie véritablement privée doit être menée en privé, et que la meilleure façon de protéger ses renseignements personnels, c’est de ne pas les transmettre, encore moins de les afficher sur Internet.

Mais de là à dire que ceux qui choisissent de s’inscrire à un site de réseautage social ou à contribuer autrement au Web 2.0 n’accordent pas de valeur à leur vie privée, il y a tout un monde.

Les sondages que nous avons menés auprès des jeunes prouvent que la protection de la vie privée demeure une valeur profondément ancrée en nous.

Un autre sondage, mené par Ressources naturelles Canada, a démontré que la grande majorité des Canadiennes et Canadiens veulent que le gouvernement réglemente l’application de nouvelles technologies, afin de protéger leur vie privée.

Peu importe la façon dont les gens choisissent d’agir, ils croient fermement que ces choix leur appartiennent.

De plus en plus, la communication de renseignements personnels se résume à deux enjeux : l’avis et le consentement.

À titre d’exemple, pensez à ce qui se passe lorsqu’un site de réseautage social apporte des modifications à sa politique de confidentialité. Ces changements ne laissent pas les utilisateurs indifférents. Ces utilisateurs ont tendance à faire beaucoup de bruit, et les entreprises seraient sages de les écouter.

Les problèmes de protection de la vie privée apparaissent toujours dans les contextes d’interactions entre des personnes et des organisations.

Cependant, nous nous apercevons de plus en plus que les principaux risques en matière de protection de la vie privée proviennent de menaces généralisées liées à l’évolution rapide des technologies de l’information.

Ces menaces, bien qu’elles puissent avoir des conséquences importantes, ne sont pas des points sur lesquels une personne ordinaire irait porter plainte à première vue.

Jusqu’à présent, nous avons reçu très peu de plaintes et de demandes de renseignements au sujet de sites de réseautage socialNote de bas de page 2.

Toutefois, chacune des plaintes sur lesquelles nous faisons enquête est très complexe, tant sur le plan technologique que sur le plan juridique. Sur le plan technologique, nous devons nous pencher sur des applications informatiques souvent très sophistiquées, ce que nous n’avions pas souvent l’occasion de faire par le passé.

Initiatives récentes

Toutefois, quand un enjeu important fait surface, nous n’attendons pas de recevoir une plainte pour agir.

Par exemple, vous avez peut-être entendu aux nouvelles cette semaine que le Commissariat canadien s’est joint à neuf autres autorités nationales de protection des données pour demander des comptes à Google au sujet du lancement de Google Buzz, soit une application de réseautage social complémentaire à son service de courriel Gmail.

Le lancement initial de Buzz en février dernier a été fait d’une manière qui exposait au grand jour les contacts des utilisateurs de Gmail. Une bonne partie de ces utilisateurs se sont fait entendre pour dire qu’ils n’avaient pas été mis au courant de se service à priori. Bien que Google ait agi rapidement pour corriger la situation, dans bien des cas, le mal était fait.

Notre principal message, c’est que Google est un chef de file du monde virtuel et en tant que tel, il aurait dû s’assurer d’être conforme aux lois et aux normes de protection des renseignements personnels en vigueur dans les pays où il fait affaire.

L’entreprise aurait dû réfléchir à l’impact de sa nouvelle application sur la vie privée des gens avant le lancement — et non attendre pour rajuster le tir après-coup.

Le réseautage social au travail

Dans le cadre de vos activités professionnelles, vous avez sûrement à vous pencher depuis quelques années sur l’utilisation des sites de réseautage social en milieu de travail.

Vous n’êtes pas sans savoir que bon nombre d’employeurs et d’agences de recrutement ont recours aux moteurs de recherche Internet et lisent les sites Web et blogues personnels pour en apprendre davantage sur des employés potentiels — et sur des employés déjà en place. Dans le cadre du processus de dotation, cette pratique peut s’avérer problématique si elle remplace la vérification des références officielle et exhaustive.

Bien que de nombreux employeurs se soient dotés de lignes directrices et de codes de conduite sur l’usage du courriel et d’Internet, les sites de réseautage social posent d’autres défis qui doivent être abordés en parallèle avec ces autres règles en milieu de travail. Des règles et des politiques claires portant précisément sur l’utilisation des sites de réseautage doivent être communiquées à tous les employés.

Le Commissariat à la protection de la vie privée du Canada considère que la politique de l’organisme devrait établir les pratiques exemplaires et présenter les attentes relatives à l’utilisation acceptable des sites au travail, énoncer les conséquences d’une mauvaise utilisation et traiter de toutes les questions de protection de la vie privée en milieu de travail.

Les employeurs devraient expliquer à leurs employés, en langage clair, les raisons pour lesquelles il importe de garder confidentiels certains renseignements à propos d’eux-mêmes, de leurs collègues, de leurs clients ou de l’organisation.

Parallèlement, les employeurs doivent faire preuve de jugement et respecter toute loi applicable s’ils décident de recueillir, d’utiliser ou de communiquer de tels renseignements à partir de sources disponibles sur le Web. Un milieu de travail favorable à la protection des renseignements personnels exige une utilisation équitable des renseignements par toutes les parties.

Conclusion

Votre travail de responsable de l’accès et de la protection de l’information devient donc de plus en plus complexe à mesure que les percées technologiques se multiplient et que la mondialisation met au défi les cadres réglementaires.

La plupart des lois sur la protection des renseignements personnels en vigueur aujourd’hui ont été conçues en supposant des modèles de collecte et d’utilisation de données qui datent d’un autre siècle.

Ces lois sont maintenant mises à l’épreuve par de nouvelles applications qui ne correspondent pas aux modèles traditionnels de traitement de l’information — nous avons abordé le réseautage social, mais c’est sans compter l’imagerie à l’échelle de la rue, l’inspection approfondie des paquets et la publicité comportementale.

Les organisations doivent se demander quoi faire quand la lettre de la loi ne s’applique pas clairement à telle ou telle situation.

On s’attend donc à ce que vous, leurs fidèles conseillers en la matière, fassiez preuve de créativité et sortiez des sentiers battus.

Désormais, il ne suffira plus de se demander ce que la loi nous demande de faire. Il faudra plutôt se demander ce qu’il faut faire pour respecter le droit des personnes à la vie privée et réduire au minimum les atteintes à cette vie privée.

Les organisations auront à se demander ce qu’elles doivent faire pour respecter l’esprit de la loi. Et c’est vers vous qu’on devrait se tourner pour obtenir des réponses.

Le monde d’aujourd’hui a besoin de professionnels comme vous qui sauront convaincre leurs organisations que le respect du droit à la vie privée va au-delà du respect des lois.

Les renseignements personnels sont un bien précieux qui mérite d’être protégé, pas quelque chose que l’on protège après coup, une fois qu’on aura pu juger de la réaction des intéressés.

Les professionnels de la protection de l’information doivent rappeler aux organisations que le respect de la vie privée est une valeur fondamentale dans les sociétés démocratiques, pas seulement un ensemble de règles à suivre.

En d’autres mots, vous devez être la conscience de vos organisations.

Je suis certaine que certains d’entre vous ont beaucoup de pain sur la planche. Mais pour chacun d’entre vous, les années qui viennent vous amèneront à relever de beaux défis et à faire preuve de créativité.

Il me fera maintenant plaisir de répondre à vos questions.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :