La solution en matière de renseignement : Pourquoi la protection des renseignements personnels renforce aussi la sécurité

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de la Conférence tri-latérale Sécurité Canada Alberta

Le 13 mai 2010
Calgary (Alberta)

Allocution prononcée par Elizabeth Denham
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Merci Ken [Newans] pour cette belle présentation.

Je suis très heureuse d’être ici ce matin et de participer à cet impressionnant programme. Impressionnant certes, mais aussi quelque peu intimidant, je dois l’admettre, en raison de tout ce qui se dit au sujet des fraudes, de la cybercriminalité, des menaces à la sécurité et de la tempête qui se profile à l’horizon!

Il ne fait aucun doute que la vie moderne a entraîné de nouveaux défis importants et que ceux d’entre vous qui œuvrez dans les domaines de l’application de la loi, de la sécurité physique et de la cybersécurité faites partie de la ligne de front.

La protection de la sécurité des Canadiennes et Canadiens, de même que de nos biens commerciaux et de notre infrastructure physique et réseau, constitue une préoccupation de premier ordre aux yeux de tous. Il s’agit d’un travail de la plus haute importance, difficile et jamais sans risque.

Contexte

Il y a un risque qui peut parfois être oublié, et c’est le droit à la protection de la vie privée.

Or, c’est bel et bien un risque.

Que nous parlions d’une nouvelle stratégie pangouvernementale ou d’un nouveau jouet tactique qui brille, la question de la protection de la vie privée ne peut être abordée après coup. Il faut en tenir compte dès le début, même à l’étape de l’élaboration de toute mesure de sécurité.

Et, même après l’instauration de mesures de protection de la vie privée autour d’une initiative donnée, il faut les examiner avec soin de façon périodique, les peaufiner et les renforcer, puisque rien ne fonctionne jamais exactement comme prévu ou demeure inchangé au fil du temps.

C’est le même genre de message que nous avons transmis aux gestionnaires de Google et d’autres entreprises en ligne voilà quelques semaines lors d’une conférence de presse à Washington : la protection de la vie privée doit être intégrée dès l’étape de l’élaboration de nouveaux produits et services; elle ne peut faire l’objet d’une réflexion après coup.

Pourquoi protéger la vie privée?

Je reconnais que, dans cette pièce, je ne prêche pas nécessairement à des convertis. Bon nombre d’entre vous considérez les renseignements personnels comme le principal outil de votre commerce. Plus vous pouvez en recueillir, plus vous vous approchez de la victoire sur la menace à la sécurité qui vous préoccupe.

Mais je dois vous dire ceci : il y a des lois sur la protection des renseignements personnels – à l’échelle fédérale pour les secteurs public et privé, ainsi qu’à l’échelle provinciale – et elles s’appliquent à toutes les organisations. Les personnes chargées de la sécurité n’en sont pas exemptes.

En plus des obligations juridiques, il existe d’autres raisons impérieuses d’intégrer les considérations en matière de vie privée à vos responsabilités quotidiennes. Certaines sont d’ordre philosophique, d’autres, totalement pratiques.

  1. Dignité humaine

Qu’est‑ce que j’entends exactement par « protection de la vie privée »?

En termes simples, nous associons souvent la vie privée à la modestie ou à la discrétion : c’est ce que vous faites dans l’intimité de votre domicile.

Il s’agit là d’une valeur importante –

 [Dessin humoristique de décembre 2009 montrant un couple dans un lit]

– qui s’avère particulièrement importante chaque fois qu’il y a un déséquilibre intrinsèque entre le pouvoir et l’autorité.

[Dessin humoristique de mars montrant deux policiers procédant à une fouille à nu]

Cette définition de la vie privée s’est imposée lorsque le Commissariat s’est penché sur la question des nouveaux scanners à ondes millimétriques utilisés pour renforcer la sécurité dans les aéroports. À notre avis, la dignité humaine se trouvait en jeu, en plus des normes culturelles entourant le fait que des étrangers allaient voir des images de passagers à travers leurs vêtements.

Je veux souligner que, dans cet exemple, nous n’allons pas à l’encontre de la technologie ou de la sécurité qu’il est censé accroître.

Nous exigeons plutôt de meilleures protections à l’égard de la vie privée, dans le contexte de la dignité humaine.

Au Commissariat à la protection de la vie privée du Canada, nous avons été encouragés au bout du compte par les engagements suivants pris en vue de minimiser le caractère intrinsèquement envahissant des scanners :

  • les scanners seraient utilisés à titre de mesures d’inspection secondaires;

 

  • ils seraient offerts à titre de solution de rechange à une fouille par palpation;
  • il y aurait une séparation physique entre l’agent qui voit le passager et celui qui voit l’image sur le scanner.

 

  1. Intégrité de l’identité

 

Mais, la vie privée ne se résume pas à la dignité humaine. Il s’agit aussi d’exercer une mesure de contrôle sur votre identité – comment vous vous présentez aux autres; votre réputation.

[Dessin humoristique d’avril montrant un homme assis sur un sofa pendant que ses enfants publient les images sur YouTube]

Cette question n’est pas facile à comprendre. Bien des gens, par exemple, vivent dans des mondes multiples, et entretiennent une gamme d’images et de réputations. Il y a ceux qui vivent dans la réalité, ou en ligne sur Second. Ou les deux à la fois.

Il y a ceux dont l’image professionnelle diffère considérablement de l’image personnelle.

Certains aiment le spectacle – ils tweetent, bloguent, affichent leurs photos et performent sur YouTube. D’autres partagent leurs réflexions seulement avec quelques proches.

[Dessin humoristique de juillet montrant une jeune adepte de Facebook avec ses 700 meilleurs amis]

En fait, les gens ont des choix, et avoir des choix, ça fait partie de leurs droits.

C’est leur droit parce que, en tant que société démocratique, nous accordons une grande valeur à la liberté de parole, la libre expression et le droit, de vivre généralement en paix. Notre constitution garantit ces libertés, et nos lois en matière de protection des renseignements personnels les renforcent.

  1. Contrôle sur les renseignements personnels

J’admets que ces concepts ne sont pas faciles à établir. Ils sont difficiles à définir, à mesurer et, par conséquent, à défendre.

Mais laissez‑moi vous présenter une autre facette du respect de la vie privée, que la loi détaille et que des mesures très concrètes et pratiques peuvent donc protéger.

Il a trait au contrôle sur les renseignements personnels.

La LPRPDE, la loi sur la protection des renseignements personnels dans le secteur privé, se fonde sur dix principes relatifs à l'équité dans le traitement de l’information qui établissent les règles fondamentales concernant la collecte, l’utilisation, la communication, la conservation et le retrait des renseignements personnels par des organisations se livrant à des activités commerciales.

Ces principes énoncent notamment que les organisations devraient recueillir les données personnelles uniquement à des fins clairement définies –

[Dessin humoristique de novembre 2009 montrant une femme à la caisse d’une épicerie]

et limiter l’utilisation et la communication de ces renseignements de manières conformes à ces fins.

[Dessin humoristique d’août montrant un préposé aux prêts]

Les règles prévoient également que les personnes dont les renseignements personnels sont recueillis devraient avoir la chance de donner un consentement éclairé.

De plus, il faut mettre en place des mesures de protection adéquates pour prévenir les atteintes à la sécurité des données ou l’accès non autorisé aux renseignements personnels.

[Dessin humoristique de novembre 2010 montrant un concierge dans le cabinet d’un médecin]

J’aimerais souligner que ces principes relatifs à la protection de la vie privée ont aussi d’importantes répercussions pour la sécurité.

Dans le secteur privé, la sécurité des systèmes, l’intégrité des données et la prévention des atteintes à la protection des renseignements personnels doivent faire partie des priorités de toute organisation qui souhaite survivre et réussir dans un marché concurrentiel.

L’État, entre‑temps, a aussi des raisons pratiques d’appliquer les principes relatifs à l'équité dans le traitement de l’information à la collecte, à l’utilisation et à la communication des renseignements personnels. L’inobservation de ces principes peut avoir des suites désastreuses.

Certaines personnes peuvent, par exemple, être accusées injustement de crimes à la suite de la surveillance ou de l’écoute téléphonique clandestine fautive ou illégale. Elles peuvent être inscrites sans raison sur la liste fédérale des personnes interdites de vol sans un recours raisonnable.

Des renseignements erronés peuvent également être partagés avec des autorités étrangères, ce qui peut mener à la déportation, à la séquestration et même à la torture.

Qui plus est, dans le cadre de la collecte de renseignements personnels par l’État, il est vraiment préférable de s’en tenir au minimum. En effet, il a été démontré que le travail des autorités chargées de l’application de la loi est en fait ralenti par un surplus de renseignements, recueillis au hasard sans égard à la qualité.

De quelle façon ces concepts orientent‑ils les travaux du CPVP?

Politiques du secteur public et EFVP

Ces principes relatifs à l'équité dans le traitement de l’information ne sont pas schématisés ainsi dans la Loi sur la protection des renseignements personnels, la loi qui régit une grande partie des organismes responsables de notre sécurité nationale.

Ils apparaissent toutefois dans les EFVP, ou évaluations des facteurs relatifs à la vie privée. Tout ministère ou organisme fédéral qui propose une nouvelle mesure ou une mesure grandement modifiée impliquant la collecte de renseignements personnels est tenu, selon les obligations du Conseil du Trésor, de procéder à une EFVP et de la présenter au Commissariat à des fins d’examen.

Dans le domaine de la sécurité, au cours des dernières années seulement, nous avons examiné les EFVP concernant les scanners dans les aéroports, le Programme fédéral de protection des passagers (ou la liste des personnes interdites de vol), les permis de conduire améliorés, les passeports électroniques, le régime fédéral de lutte contre le blanchiment des capitaux et le financement des activités terroristes et le Système national intégré d'information interorganismes pour le partage des dossiers entre les services de police de diverses administrations.

En général, les EFVP nécessitent d’importantes discussions avec le Commissariat.

Toutefois, avant même qu’elles ne se rendent à l’étape d’appliquer les dix principes relatifs à l'équité dans le traitement de l’information, nous attendons des organisations qu’elles justifient le besoin d’une initiative en fonction d’un critère en quatre parties.

Ce critère, qui émane de la loi constitutionnelle, exige qu’une initiative qui pourrait porter atteinte à la vie privée d’une personne corresponde à ce qui suit :

  • l’initiative est nécessaire pour répondre à un problème précis;
  • elle permet vraisemblablement de résoudre ce problème;
  • la perte de confidentialité est proportionnelle aux avantages obtenus;
  • il n’y a pas de façon moins envahissante pour la vie privée de parvenir aux mêmes fins.

L’Administration canadienne de la sûreté du transport aérien a procédé à une EFVP pour ses nouveaux scanners dans les aéroports et a été en mesure d’élaborer une approche peu invasive par l’entremise de ce processus.

Accès légal

Nous étions toutefois moins optimistes quant à la proposition d’une loi sur l’accès légal par le gouvernement fédéral. Des mesures à cet égard étaient dans l’air depuis un certain temps, les plus récentes étant les projets de loi C‑46 et C‑47.

Les deux projets de loi sont morts au Feuilleton lorsque le Parlement a été prorogé en décembre dernier, mais tout porte à croire qu’ils seront ressuscités.

La loi vise à faciliter l’accès aux données de communication à la police et aux organismes chargés de la sécurité.

Les projets de loi obligeraient toutes les entreprises fournissant un service de télécommunications au Canada à intégrer une capacité d'interception dans leurs réseaux; elles pourraient donc répondre à une demande autorisée par la loi de transmettre les communications de certains utilisateurs.

De nouveaux outils tels que le clavardage, la messagerie pair à pair et les services de communication vocale sur protocole Internet, comme Skype, se retrouveraient tous dans cette situation, de même que la messagerie NIP à NIP entre BlackBerrys et la messagerie texte avec les appareils mobiles.

Nous sommes préoccupés, et nos homologues des provinces et des territoires aussi, par le fait que ces mesures allaient trop loin, particulièrement en raison du fait que certaines données personnelles allaient devoir être transmises aux autorités sans l’obtention d’un mandat.

Nous avons donc émis une série de recommandations au Parlement, comme la révision du système d’obtention des mandats à titre de solution de rechange à la réduction des protections légales, l’adaptation des pouvoirs à certains crimes précis et l’appui au système de surveillance proposé.

LPCE

D’un autre côté, il y a une loi que nous souhaitons voir présentée à nouveau, et le plus tôt sera le mieux.

Il s’agit de la LPCE, la Loi sur la protection du commerce électronique, un projet de loi anti‑pourriel qui aurait dû être adopté il y a bien longtemps, étant donné que nous sommes le seul pays du G‑7 qui ne soit pas doté d’une telle loi.

Les pourriels, comme vous le constatez, sont un des grands maux d’Internet. Il s’agit d’une source importante de virus et de maliciels de même que d’un véhicule pour de nombreux cas d’hameçonnage et de vols d’identité.

Cette loi nous plaît parce qu’elle aide beaucoup à protéger la vie privée. L’interdiction des communications non souhaitées, quelle qu’en soit la forme, protège les gens des atteintes à leur vie privée.

Elle renforce également l’idée que les renseignements personnels nous appartiennent, qu’ils ont une valeur et qu’ils méritent d’être protégés.

De plus, la LPCE améliorerait la sécurité en protégeant les personnes des menaces en ligne, renforçant ainsi la possibilité que la protection de la vie privée et la sécurité aillent de pair.

Consultations auprès des consommateurs

Les renseignements personnels ont une valeur pour les personnes de même que pour les criminels, cela ne fait aucun doute. Mais ils ont également une valeur pour le secteur privé légitime.

Les entreprises et ceux qui les appuient (les spécialistes du marketing, les organisations d’enquête auprès des consommateurs, etc.) sont prêts à payer le gros prix pour obtenir les renseignements qui mènent au cœur, à l’esprit et au portefeuille des Canadiennes et Canadiens.

Une fois de plus, comme c’est le cas dans les domaines de la sécurité publique et nationale, nous n’irions pas à l’encontre des pratiques commerciales légitimes, mais elles doivent être légales : elles doivent respecter la loi et les dix principes de l’utilisation équitable de l’information.

Cela étant dit, nous reconnaissons également que les choses évoluent rapidement en cette ère du numérique. Il ne s’agit plus uniquement d’enquêtes téléphoniques pour évaluer les préférences et intentions des consommateurs.

Aujourd’hui, il s’agit d’affichage de repérage GPS sur les téléphones intelligents, de puces d’identification par radiofréquence intégrées dans les produits et d’une gamme impressionnante d’applications en ligne visant à déterminer où vous allez, ce que vous pensez et comment faire pour que vous arrêtiez chez Starbucks pour un café ou chez Holt Renfrew pour un nouvel ensemble.

[Dessin humoristique de juin montrant un couple devant un ordinateur et une fenêtre flash qui annonce un berceau]

Il s’agit d’un nouveau domaine complexe, mais nous sommes déterminés à demeurer au premier plan étant donné que les conséquences sur la vie privée sont colossales.

C’est pourquoi nous tenons des consultations avec les experts et le public sur le suivi, le profilage et le ciblage en ligne des consommateurs par les spécialistes du marketing et les autres entreprises. Nous avons tenu la première série de consultations à Toronto en avril, et nous tiendrons la deuxième série à Montréal la semaine prochaine.

Le mois prochain, nous reviendrons également à Calgary afin d’étudier les conséquences de l’informatique dans les nuages sur la vie privée, un sujet de grand intérêt pour bon nombre d’entre vous.

Surveillance

La surveillance vidéo visible et secrète constitue un des moyens par lesquels les organisations recueillent un grand nombre de renseignements personnels.

Il peut s’agir d’un domaine complexe en ce qui a trait au respect de la loi, et cette surveillance suscite certainement pas mal d’anxiété chez les gens.

[Dessin humoristique de mai montrant deux femmes dans des toilettes publiques]

C’est pourquoi le Commissariat a publié des lignes directrices sur la surveillance visible et secrète dans le secteur privé, de même que sur la surveillance des endroits publics par la police et les autorités chargées de l’application de la loi.

En effet, la croyance populaire veut que les organisations soient libérées de leurs obligations relatives à la protection de la vie privée si la surveillance vidéo est effectuée dans un lieu public. Cette croyance est toutefois fausse.

Comme l’entreprise Google s’en est aperçue lorsqu’elle a commencé à filmer les quartiers du Canada pour son application Google Street View, la LPRPDE s’applique bel et bien. Google a dû se conformer à la loi, et prendre des images une deuxième fois en informant les résidents locaux que des voitures munies de caméras allaient passer dans leur rue.

Nos lignes directrices sur la surveillance vidéo secrète, publiées l’année dernière, soulignent le fait que la loi s’applique, même lorsque l’activité est réalisée de manière clandestine. Plus particulièrement, nous attendons des organisations qu’elles puissent justifier le besoin d’une surveillance secrète, et qu’elles appliquent les principes relatifs à l'équité dans le traitement de l’information à la collecte, à l’utilisation et à la communication de toutes les données personnelles recueillies dans le cadre du processus.

Les lignes directrices sont raisonnables et réalistes. Par exemple, elles reconnaissent qu’un enquêteur risque peu de demander son consentement à la cible de la surveillance.

Elles énoncent donc que, si, par exemple, une personne poursuit en justice une entreprise, elle devrait s’attendre à ce que l’entreprise engage un enquêteur privé pour rassembler des preuves en vue de sa défense. Dans un tel cas, il peut être raisonnable de supposer la connaissance et le consentement implicite du plaideur.

Dactyloscopie numérisée

On est en présence d’une autre forme de surveillance secrète lorsque les entreprises sont en mesure d’obtenir des renseignements au sujet des ordinateurs des utilisateurs avec lesquels elles interagissent en ligne.

La dactyloscopie numérisée constitue une façon d’y parvenir. Il s’agit de l’utilisation, par une organisation, d’un logiciel de suivi afin de découvrir plusieurs choses au sujet des visiteurs en ligne : le type de système d’exploitation qu’ils utilisent, leur navigateur, leur matériel et leurs logiciels, et même leur adresse IP.

Une banque, par exemple, utilisera la dactylographie numérisée pour veiller à ce que seuls les clients légitimes puissent ouvrir une session sur son site. Les organisations qui souhaitent obtenir les rétroactions des clients peuvent s’en servir pour s’assurer que les répondants ne remplissent le sondage en ligne qu’une seule fois.

Dans de nombreux cas, les personnes ne savent pas que les données sont recueillies, ce qui signifie qu’elles ne peuvent pas donner leur consentement.

Le Commissariat prépare donc de nouvelles lignes directrices afin d’informer la population au sujet de cette technologie émergente. La population peut prendre certaines mesures afin de se protéger, bien que les choix ne soient pas si nombreux.

IAP

Le phénomène de l’IAP, ou inspection approfondie des paquets, est également présent. L’IAP permet aux fournisseurs de services Internet (FSI) d’obtenir des renseignements au sujet des paquets de données qui passent par leurs réseaux. Au Canada, les FSI allèguent qu’ils inspectent uniquement les données de routine contenues dans les en‑têtes de paquets afin de mieux gérer le trafic du réseau.

Toutefois, d’autres font valoir que la technologie donne aux FSI le pouvoir de scruter le contenu des messages. En d’autres termes ils pourraient, techniquement, lire vos courriels.

Étant donné la mauvaise utilisation possible, nous avons commandé une recherche exhaustive sur cette technologie. Notre site Web compte maintenant un microsite dédié à ce sujet.

Nous avons également enquêté sur une plainte contre Bell et son service Internet Sympatico.

J’ai conclu que Bell utilisait bel et bien l’IAP uniquement pour gérer le trafic de son réseau.

Toutefois, je suis en désaccord avec l’entreprise en ce qui a trait à un point clé : Bell a fait valoir que les adresses IP ne constituaient pas des renseignements personnels. J’ai conclu que, étant donné que l’entreprise conservait également les noms, numéros de téléphone et autres données sur les abonnés, ces renseignements pouvaient être associés à des adresses IP.

Cela signifie que les abonnés pourraient être identifiés par l’entremise de leur adresse IP, ce qui fait qu’elle constitue un renseignement personnel.

Je recommande donc que Bell informe ses utilisateurs de manière appropriée quant à l’utilisation de l’IAP.

Conclusion

En conclusion, je crois que, même dans cette ère d’exhibitionnisme numérique, la population tient à sa vie privée.

Elle peut la valoriser à divers degrés et l’exprimer de différentes façons.

Mais, au bout du compte, le choix lui revient : les lois sur la protection des renseignements personnels sont en place pour protéger tout le monde de façon égale.

Elles n’existent pas de façon isolée; elles font partie intégrante de notre société. Dans le cadre de leurs activités respectives, les gouvernements et les entreprises privées sont tenus, en vertu de la loi, de tenir compte de la vie privée des Canadiennes et Canadiens.

Cette obligation s’applique tant aux organisations réelles que virtuelles, que leur siège social soit au Canada ou qu’elles n’y fassent que très peu d’activités.

Elle s’applique également autant à une organisation hôte d’un site de réseautage social qu’à une organisation responsable de protéger la sécurité d’une nation.

S’il y a collecte des renseignements personnels des Canadiennes et Canadiens, les règles sur la protection de la vie privée s’appliquent.

Je vous remercie de votre attention.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :