Facebook, Street View et ce qui pointe à l’horizon : Trouver son chemin parmi les nouveaux enjeux de droit relatif à la protection de la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de la 15e Conférence biennale nationale organisée par le Barreau du Haut-Canada

Le 24 avril 2010
Ottawa (Ontario)

Commentaires prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Merci au Barreau du Haut‑Canada de m’avoir invitée à faire partie de cette éminente assemblée.

Nous aborderons les questions soulevées dans le mémoire intitulé « Facebook, Street View and What’s Next ― Navigating your way through new issues in privacy law ».

Je tiens à remercier Alex Cameron pour son analyse et son résumé critiques, car il s’agit d’un sujet très vaste.

Contexte

Nous avons un excellent point de départ pour notre discussion. Je voudrais revenir sur la controverse provoquée par le fondateur de Facebook, Mark Zuckerberg, en janvier dernier.

Il a mentionné à ce moment que les normes sociales liées à la protection de la vie privée avaient évolué au point où les gens ne voyaient plus d’inconvénients à échanger de nombreux renseignements personnels avec de plus en plus de personnes.

Beaucoup considèrent que ces commentaires s’inscrivent dans l’école de pensée selon laquelle « la vie privée n’existe plus », même si M. Zuckerberg n’a jamais prononcé ces mots.

Quoi qu'il en soit, en tant que commissaire à la protection de la vie privée du Canada, je n’adhère évidemment pas du tout à cette théorie. La vie privée est bel et bien vivante dans chacun de nous. Et c’est nous, en tant que personnes ― et non pas les entreprises ou les gouvernements ― qui définissons ce droit.

En effet, une récente étude de l’Université de Californie à Berkeley révèle que même les jeunes membres d’un site de réseautage social se soucient encore de la vie privée; seulement, ils surestiment les mesures de protection de la vie privée dans le monde en ligne.

Nous devons toutefois reconnaître que les choses évoluent ― rapidement, radicalement et de nombreuses façons.

La tâche est donc difficile pour les organismes de réglementation, qui doivent prévoir l’avenir et se préparer en conséquence.  

Évolution des normes

Il est vrai que la protection de la vie privée, en tant que norme sociale, évolue.

À ce sujet, j’ai été intriguée par une étude approfondie sur le phénomène du réseautage social effectuée par Avner Levin, de l’Université Ryerson, et une collègue de l’Université de Miami.

À la suite d’un sondage réalisé auprès de 2 500 jeunes du Canada et des États‑Unis, ces chercheurs concluent que la protection de la vie privée n’est plus seulement une question de contrôle. Il ne suffit plus de tenir pour acquis que les préoccupations des gens en matière de protection de la vie privée ont été réglées s’ils « cliquent ici » pour dire qu’ils ont lu la politique à ce sujet.

Le professeur Levin a constaté que la compréhension dans le monde en ligne est plus nuancée.

Les jeunes n’hésitent pas à diffuser des renseignements embarrassants et très personnels les uns sur les autres, même s’ils ne peuvent en limiter la diffusion, mais ils sont contrariés lorsque quelqu’un à l’extérieur de leur réseau social accède à ces renseignements, les utilise ou les communique.

Le professeur Levin qualifie ce phénomène de « confidentialité en réseau » : les jeunes membres d’un site de réseautage social considèrent les renseignements comme privés s’ils en sont la source et s’ils ne sont pas diffusés au‑delà de leur réseau immédiat.

Soulignons cependant que les jeunes considèrent aussi les renseignements créés à l’extérieur de leur réseau comme étant privés pour autant que ceux‑ci n’affectent pas leur personnalité en ligne établie.  

M. Levin conclut que tout est une question de dignité et de réputation.   

J’ajouterais le mot « discrétion ». Avant l’avènement des sites de réseautage social, il était possible de discuter franchement et discrètement avec ses proches, en sachant que la teneur de la conversation ne serait pas criée sur tous les toits. Malheureusement, si de nombreux jeunes semblent encore comprendre ce concept, il faut rafraîchir la mémoire d’une génération d’adultes de Silicon Valley.

Changements technologiques

Les organismes de réglementation doivent faire face aux normes en évolution, mais aussi aux nouvelles technologies.

Par exemple, le sujet de notre table ronde fait référence à Google Street View, mais ce n’est qu’une des nombreuses applications géospatiales qui apparaissent ces jours‑ci.

Certaines, comme Street View, sont surtout axées sur les villes, et leur modèle de gestion repose sur la publicité en ligne. D’autres vont plus loin et permettent d’ajouter des étiquettes numériques et des graffiti virtuels. Elles deviennent ainsi interactives et permettent aux gens d’ajouter de nouveaux renseignements avec leurs téléphones intelligents.

D’autres applications encore servent principalement à extraire des ressources naturelles dans des régions éloignées.

Enfin, il y a les projets de cartographie en ligne libres, qui sont généralement menés entièrement par des bénévoles. Open Street Map, par exemple, est une carte modifiable du monde entier. Le projet a débuté en 2004 et il vise à donner accès gratuitement à des données cartographiques.

Consultations aupràs des consommateurs

Compte tenu de la rapidité des changements technologiques, nous devons rester en communication avec les Canadiennes et Canadiens au sujet des questions de protection de la vie privée qui les touchent.

C’est pour cette raison que le Commissariat lance une série de consultations sur les questions émergentes, comme le suivi géodépendant, le profilage des consommateurs, la publicité et le marketing en ligne, la protection des renseignements personnels des enfants dans un environnement Internet en évolution, le forage de données, l’analytique, et l’informatique dans les nuages.

La première séance débutera la semaine prochaine à Toronto, et d’autres séances sont prévues à Montréal en mai et à Calgary en juin.

L’objectif est d’en savoir plus sur ces pratiques de pointe, d’étudier à fond leurs répercussions sur la protection de la vie privée et de découvrir les mesures de protection auxquelles la population s’attend en ce qui a trait à ces pratiques.

Nous voulons aussi susciter un débat public vaste et éclairé sur ces questions.

L’apprentissage réalisé servira à guider le prochain examen de la LPRPDE, la Loi sur la protection des renseignements personnels et les documents électroniques, qui régit la protection de la vie privée dans le secteur privé.

Contexte réglementaire en évolution

Étant donné que la LPRPDE a été promulguée il y a presque dix ans, nous voulons nous assurer qu’elle est bien adaptée aux nombreux défis actuels.

J’ai donc demandé à deux éminents juristes d’examiner une vaste gamme de questions relatives à la loi, à ses répercussions et aux pouvoirs du Commissariat. L’étude, que nous publierons bientôt, a été réalisée par France Houle, de l’Université de Montréal, et Lorne Sossin, qui est actuellement à l’Université de Toronto, mais qui deviendra le doyen de la Faculté de droit Osgoode Hall en juillet.

Les auteurs affirment que, dans l’ensemble, le régime de protection de la vie privée a été très efficace pour les grandes entreprises, ce qui s’explique par l’approche particulière établie dans la LPRPDE ainsi que par le modèle d’ombudsman qui a été adopté par le Commissariat au fil des années et qui privilégie la collaboration et l’inclusion.

Il faudra cependant insister davantage auprès des organisations plus petites. Ce fait n’est pas à négliger, ne serait‑ce qu’en raison du grand nombre de petites et moyennes entreprises et de la quantité de renseignements personnels qu’elles traitent.

Selon le rapport, des mesures incitatives pourraient être une solution à envisager.

Toutefois, la meilleure façon de protéger les consommateurs serait d’étendre les pouvoirs du commissaire pour que celui‑ci puisse élaborer des lignes directrices précises et exécutoires, puis imposer des amendes ou d’autres pénalités pour faire en sorte que la loi soit respectée.

Selon les auteurs du rapport, il n’est pas nécessaire d’avoir recours à des pouvoirs élargis et envahissants puisque des pouvoirs limités qui influeraient sur la rentabilité d’une entreprise augmenteraient le taux de conformité. Les pouvoirs exécutoires serviraient aussi à dissuader les entreprises qui, autrement, se préoccuperaient peu des lois sur la protection des renseignements personnels.

En effet, au Canada comme ailleurs, on a de plus en plus recours aux conseils et à la réglementation non impérative plutôt qu’à la simple application de la loi. Compte tenu de l’évolution rapide de la technologie, il convient peut‑être que le Commissariat dispose d’un processus de réglementation plus rapide et souple et fasse seulement appel aux tribunaux pour les conflits les plus épineux.

J’insiste cependant sur le fait que, même si notre approche en matière de conformité paraît conciliante, la loi reste la loi, et nous sommes déterminés à la faire respecter.

Facebook

C’est pourquoi nous avons effectué l’été dernier une enquête approfondie sur les politiques et les pratiques de Facebook en matière de protection des renseignements personnels. Les dirigeants se sont par la suite engagés à apporter un certain nombre de changements à leur site de réseautage social pour que celui‑ci soit conforme au droit canadien relatif à la protection de la vie privée.

Ce n’est pas encore le cas, si bien que le Commissariat a dû lancer une autre enquête en janvier en raison des changements apportés aux paramètres de protection des renseignements personnels en décembre dernier.

Nous poursuivons notre dialogue avec Facebook et nous continuons à surveiller ses progrès.

Il ne faut pas oublier que Facebook est une gigantesque multinationale qui dispose de tous les appuis juridiques et techniques nécessaires pour connaître, comprendre et respecter les lois en matière de protection des renseignements personnels dans les pays où elle mène des activités.

Les grandes multinationales n’ont pas seulement oublié la valeur de la discrétion; elles semblent avoir perdu de vue un autre principe fondamental du bon comportement social : à Rome, il faut vivre comme les Romains.

Google Buzz

Ceci m’amène à Google Inc., un autre géant du monde en ligne, qui est bien représenté au Canada par Jacob Glick, mon collègue de la table ronde.

Vous savez peut‑être que le Commissariat a collaboré avec neuf autorités de protection des données du monde entier plus tôt cette semaine pour critiquer Google au sujet du lancement de son nouveau service de réseautage social Google Buzz, qui s’intègre au populaire service de courriel Gmail.

Lors du lancement de l’application en février dernier, les contacts personnels des utilisateurs de Gmail ont été affichés, ce qui a suscité des protestations vigoureuses. Google a agi rapidement pour remédier à la situation, mais une partie du mal était déjà fait.

Le principal point que nous voulions faire valoir est que Google, en tant que chef de file mondial du domaine de la technologie, aurait dû veiller à respecter les lois et les normes en matière de protection de la vie privée des pays dans lesquels elle mène des activités.

En outre, elle aurait dû employer son ingéniosité légendaire pour chercher de nouvelles technologies visant à mieux protéger la vie privée.

Mais surtout, Google aurai dû examiner et atténuer le plus possible les répercussions de sa nouvelle application sur les renseignements personnels avant de la dévoiler plutôt que de réparer les pots cassés.

Approches mondiales

Je voudrais souligner une dernière chose à ce sujet : l’approche multinationale qui a été adoptée.

De nombreuses entreprises, bien qu’elles ne soient pas présentes partout sur la planète comme Google, mènent des activités dans plusieurs pays. Certaines sont seulement présentes en ligne. D’autres enregistrent leurs données dans un environnement d’informatique dans les nuages, qui peut se trouver n’importe où.

Après tout, les données d’aujourd’hui ne connaissent pas de frontières.

Par conséquent, les organismes de réglementation entreprendront de plus en plus d’initiatives conjointes, y compris des mécanismes d’application.

En vertu de la Loi sur la protection du commerce électronique, je serais expressément autorisée à échanger des renseignements avec d’autres autorités de protection des données, au Canada ou ailleurs.

Vous vous souvenez peut‑être que ce projet de loi qui visait principalement à réduire les pourriels est mort au feuilleton, mais nous espérons que le Parlement reviendra à la charge bientôt.

Secteur public

J’ai seulement parlé des organisations privées jusqu’ici, mais la protection des renseignements personnels est un devoir tout aussi impérieux pour le secteur public. Il est même encore plus important que l’État fasse preuve de retenue en matière de collecte, d’utilisation et de communication de renseignements personnels.

Après tout, le gouvernement conserve des renseignements personnels très délicats comme les renseignements concernant l’impôt sur le revenu et le soutien du revenu, les casiers judiciaires, les dossiers du système de justice, les données sur la santé de certains groupes, etc.

Il doit donc veiller à ce que les renseignements soient exacts, protégés, recueillis à des fins légitimes et échangés seulement selon des conditions très strictes.

Comme l’affaire de Maher Arar et d’autres cas semblables le prouvent, des erreurs ou des omissions dans le traitement des renseignements personnels peuvent avoir de graves conséquences.

Les ministères doivent au minimum effectuer des évaluations officielles des facteurs relatifs à la vie privée, ou EFVP, et présenter celles‑ci au Commissariat aux fins d’examen.

Ils doivent montrer clairement la nécessité de recueillir les renseignements personnels, expliquer pourquoi l’atteinte à la vie privée est une mesure proportionnée à un objectif stratégique précis, indiquer comment leur programme règlera, dans les faits, le problème qu’ils ont cerné et assurer qu’il n’existe pas une autre solution qui porterait moins atteinte à la vie privée.

On espère que ces efforts supplémentaires et les consultations continues avec le Commissariat feront en sorte que les nouvelles mesures relatives à la sécurité publique respecteront aussi le droit à la vie privée.

Conclusion

Pour conclure, je tiens à souligner une fois de plus que la conformité aux lois en matière de protection de la vie privée est obligatoire, tant dans le secteur public que privé. Ces lois ne sont pas des lignes directrices, des suggestions ou des souhaits, mais bien des lois.

Le fait que l’entreprise soit canadienne ou étrangère, virtuelle ou réelle, n’y change rien. Il peut s’agir d’une nouvelle firme de téléphonie sans fil de Toronto ou d’une banque dans une communauté en ligne dirigée à partir de Singapour. Si l’entreprise mène des activités au Canada et recueille des renseignements personnels sur les Canadiennes et Canadiens, elle doit se soumettre aux lois canadiennes. C’est parfaitement clair.

Les entreprises devraient connaître la loi, comprendre leurs responsabilités et assumer celles‑ci.

On s’attend à ce qu’elles innovent pour améliorer la protection des renseignements personnels et à ce qu’elles communiquent avec leurs clients à ce sujet.

Mais surtout, on s’attend à ce qu’elles fassent tout cela avant de prendre une mesure qui risque d’empiéter sur le droit à la vie privée des Canadiennes et Canadiens.

Ces attentes ne sont pas déraisonnables; les autorités de protection des données du monde entier partagent ce point de vue.

En plus, les entreprises y trouvent leur compte. En protégeant les renseignements personnels des citoyens et des consommateurs, elles instaurent un climat de confiance et favorisent leur succès à long terme.

Je vous remercie de votre attention et il me fera plaisir de recevoir vos commentaires.

Date de modification :