Faire respecter le droit à la vie privée en ligne

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre du Sommet canadien sur la protection de la vie privée de l’IAPP

Le 27 mai 2010
Toronto (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)

Versión en español


Introduction

Bonjour. Je suis très heureuse d’être ici à Toronto.

J’ai eu le plaisir d’assister au sommet mondial de l’IAPP qui s’est déroulé à Washington le mois dernier. Cet événement extrêmement bien organisé a servi de cadre à bon nombre de discussions intéressantes sur la protection de la vie privée à l’échelle internationale.

Je suis ravie de pouvoir me joindre à vous dans le cadre de cette conférence de l’IAPP axée sur le Canada.

J’ai cru que vous aimeriez savoir où en est le Commissariat et quelle direction il compte prendre à court terme.

Selon nous, l’avenir est en ligne.

Google vient d’avouer publiquement que les véhicules de son service Street View recueillaient accidentellement des extraits de communications transmises sur des réseaux sans fil non sécurisés. Voilà un autre exemple qui souligne l’importance capitale de notre travail.

Les problèmes de protection de la vie privée que nous avons abordés récemment avec Google s’inscrivent dans une tendance généralisée.

La dernière année a été décisive pour le Commissariat à la protection de la vie privée du Canada. Nous avons constaté une augmentation significative des problèmes et des enquêtes liés aux nouvelles technologies, particulièrement à l’univers en ligne. Il semble évident que ces questions continueront de monopoliser notre énergie au cours des prochaines années.

Si nous voulons continuer de revendiquer notre rôle de gardien de la vie privée des Canadiennes et des Canadiens, nous devons nous concentrer sur le monde en ligne. Et c’est ce que nous ferons.

Certaines entreprises doivent s’engager de manière plus sérieuse à respecter les lois sur la protection des renseignements personnels de partout au monde.

En attendant, les autorités de protection des données ont besoin de nouveaux outils pour traiter les questions liées à la protection de la vie privée en ligne. Nous devons trouver des moyens de relever les défis associés à la protection de la vie privée en ligne dans le cadre de nos enquêtes. En effet, ces enquêtes sont souvent complexes et très techniques. Elles exigent beaucoup de travail et visent des sites Web qui changent constamment. En outre, bon nombre d’entreprises qui font l’objet de ce type d’enquête se trouvent à l’extérieur du Canada et risquent davantage de ne pas vouloir coopérer.

La stratégie du Commissariat pour relever ces défis comporte plusieurs volets.

Nous sommes conscients que notre réussite repose sur le renforcement de la collaboration avec nos collègues étrangers. C’est pourquoi nous participons à des initiatives mondiales de protection de la vie privée et travaillons avec nos partenaires provinciaux et internationaux sur des questions d’intérêt commun.

De plus, nous avons pris les mesures nécessaires pour mobiliser les ressources d’enquête pertinentes. Nous avons éliminé l’arriéré de plaintes et affecté les ressources ainsi libérées au domaine du monde en ligne, en plus d’embaucher davantage de spécialistes des questions d’ordre technique.

Nous déployons également beaucoup d’efforts pour mieux comprendre les questions liées à la protection de la vie privée dans l’univers numérique, comme en témoignent les consultations publiques que nous menons actuellement.

J’y reviendrai dans un moment.

Je veux d’abord mettre une chose au clair : l’importance accrue que nous accordons au monde en ligne ne signifie pas que nous délaissons le monde réel! En fait, nous sommes sur le point d’ouvrir un bureau à Toronto afin d’améliorer l’efficacité de nos rapports avec les entreprises qui s’y trouvent.

Nous avons déjà accompli de grands progrès en ce sens que les entreprises qui fonctionnent sur le modèle traditionnel traitent les renseignements personnels beaucoup mieux qu’avant. Dans l’ensemble, elles respectent effectivement leurs obligations en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE).

L’univers en ligne

L’univers en ligne demeure cependant quelque peu anarchique en ce qui concerne la protection de la vie privée. Comme les entreprises en ligne occupent une place grandissante dans notre quotidien, nous devons impérativement nous assurer que les lois du monde réel peuvent en fait s’appliquer au monde numérique.

Je crois que les problèmes auxquels nous sommes confrontés ont beaucoup à voir avec la raison d’être de ces entreprises, à savoir l’objectif parfaitement légitime de générer des profits.

Bien que toutes les entreprises visent ce même objectif, l’incidence sur la vie privée semble particulièrement notable dans le monde numérique.

Certaines entreprises en ligne semblent croire que la clé du succès consiste à mettre rapidement sur le marché un nouveau produit après l’autre. Dans leur empressement, elles oublient apparemment de consulter les lois sur la protection de la vie privée pour savoir ce qu’elles peuvent ou ne peuvent pas faire. Parfois, elles ne semblent même pas se donner la peine de jeter un coup d’œil aux textes de loi!

Certaines de ces entreprises considèrent les renseignements personnels comme une mine d’or, ce qui entraîne une véritable course aux renseignements en ligne. Il arrive alors trop souvent que les principes de base de la protection de la vie privée soient oubliés, voire ignorés. Je trouve que l’on voit trop de cas où les innovateurs innovent en laissant les avocats ramasser les pots cassés.

Je parlerai surtout de Google aujourd’hui, car il s’agit d’un géant du monde en ligne qui a fait régulièrement les manchettes ces derniers temps. Sachez toutefois que nous avons également  des préoccupations au sujet du comportement des autres entreprises en ligne.

Google et le WiFi

La récente annonce de Google selon laquelle, contrairement à ce qu’elle avait déclaré, elle a bel et bien recueilli et conservé des données diffusées sur des réseaux sans fil non sécurisés vient alimenter les craintes que nous avons exprimées en compagnie de nos collègues étrangers le mois dernier.

Dix autorités de protection des données ont uni leurs voix pour envoyer un message clair à Google au sujet de son devoir de tenir compte du droit à la vie privée au moment de créer des produits en ligne. Nous lui avons également rappelé la nécessité de respecter les lois sur la protection de la vie privée de chacun des pays dans lesquels elle déploie ses produits.

Notre requête est parfaitement raisonnable et ne nuit aucunement à l’innovation.

Cette lettre collective adressée à l’entreprise nous a été inspirée par notre déception relativement à sa non‑observation apparente des principes de base de la protection de la vie privée lors du lancement de son nouveau réseau social Google Buzz.

En réponse à notre lettre, Google a dit être « parfaitement au courant » de sa responsabilité de protéger la vie privée.

Une semaine plus tard, l’histoire de la collecte de données sur des réseaux WiFi a fait les manchettes. L’entreprise a avoué avoir recueilli par mégarde, pendant plus de trois ans, des renseignements personnels non chiffrés sur des réseaux sans fil de différents pays.

Aux questions posées auparavant par des organismes de réglementation européens, Google avait répondu que même si ses véhicules Street View recueillaient bel et bien de l’information pour identifier les réseaux WiFi, ils ne recueillaient pas les renseignements communiqués par les utilisateurs sur des réseaux non protégés.

Après quelques vérifications, Google s’est rendu compte que c’était faux.

Évidemment, nous sommes surpris et profondément troublés par cette affaire. Pour des personnes qui sont censées figurer parmi les meilleurs utilisateurs au monde de ce type de technologie, il est inacceptable de ne pas avoir été au courant de la situation pendant trois ans et demi.

Selon ce qu’ont rapporté les médias, Eric Schmidt aurait déclaré qu’il n’y a eu ni préjudice, ni faute. Je ne suis pas d’accord. Bien que, à ce qu’on sache, la situation n’ait lésé personne en particulier, elle a bel et bien porté atteinte à une valeur fondamentale de notre société démocratique, une valeur à laquelle nous tenons : le droit à la vie privée. Nos communications ne devraient certainement pas être interceptées de cette façon, qu’elles soient ou non utilisées à des fins malveillantes.

Comme nous l’avons souligné dans notre lettre collective, il est clair que la façon dont Google développe ses produits et services ne respecte pas les principes de la protection de la vie privée.

Google a signalé l’atteinte au Commissariat; nous lui demandons maintenant de nous éclairer sur ce qui s’est passé. Nous lui avons également demandé de conserver les données pendant que nous cernons les prochaines étapes à entreprendre.

Entre‑temps, nous avons communiqué avec nos homologues étrangers. Ils sont nombreux à s’être montrés inquiets et à avoir ouvert des enquêtes.

C’est à suivre.

Lettre collective à Google

Je tiens également à souligner l’importance de la lettre que nous avons envoyée à Google au sujet de Buzz.

Cette lettre est le fruit d’une collaboration sans précédent : ce ne sont pas simplement différentes autorités d’une seule et même région, mais bien dix autorités réparties sur quatre continents, qui se sont prononcées d’une seule voix sur un enjeu. Cette action concertée est d’autant plus exceptionnelle que certaines de ces autorités adoptent souvent une approche bien différente à l’égard de la protection de la vie privée.

J’ai notamment été surprise par la rapidité avec laquelle nous nous sommes rapidement entendus sur le contenu et le libellé de la lettre, malgré notre nombre.

Selon moi, cela traduit la force des convictions que mes homologues étrangers et moi partageons en ce qui a trait aux problèmes de protection de la vie privée associés à Buzz. C’est donc dire que les exigences des lois sur la protection de la vie privée ne sont pas si différentes d’un pays à l’autre. En effet, les principes fondamentaux sur lesquels reposent ces lois sont essentiellement les mêmes.

Les lois sur la protection de la vie privée exigent une certaine responsabilité. Il revient aux entreprises comme Google de faire preuve de la diligence requise et de prendre connaissance des lois avant de lancer des nouveaux produits et services.

Il ne suffit pas de régler les problèmes une fois qu’ils surviennent, comme Google l’a fait dans le cas de Buzz. Par ailleurs, le lancement d’un produit en version bêta ne donne pas le droit à une entreprise de contourner la loi.

Autres mesures collectives

Que peut faire une autorité de protection des données pour relever ce nouveau défi mondial, surtout dans un pays relativement petit comme le Canada?

La lettre envoyée à Google grâce au concours de nos collègues étrangers n’est vraisemblablement qu’un début. Partout dans le monde, les autorités de protection des données reconnaissent que la meilleure manière d’intervenir en faveur du droit des citoyens à la vie privée est d’unir les efforts. Les grandes multinationales ne pourront ignorer notre message si nous tenons tous le même discours.

Récemment, plusieurs pays ont collaboré à la mise en place d’un forum international sur les enjeux communs : le Global Privacy Enforcement Network (ou réseau mondial d’application des lois pour la protection de la vie privée). Cette initiative devrait permettre aux autorités de protection des données d’harmoniser le traitement des enjeux.

Pour l’instant, certains organismes de protection des données n’ont pas l’autorisation légale de partager des renseignements avec leurs homologues à l’étranger dans le cadre d’une enquête. Au Canada, nous revendiquons des modifications à la LPRPDE dans le but de faciliter la collaboration avec les autres pays. Nous sommes ravis de voir que de telles modifications ont été intégrées au nouveau projet de loi antipourriel déposé cette semaine. Nous espérons que le projet de loi sera adopté rapidement, car nous devons plus que jamais renforcer notre capacité de collaboration internationale.

En tournant mon regard vers l’avenir, je constate de plus en plus à quel point nous devons accroître nos pouvoirs d’application de la loi pour nous porter efficacement à la défense du droit des Canadiennes et des Canadiens à la vie privée, autant dans le monde réel que virtuel. Nous nous penchons sur cette question, qui fera peut‑être l’objet de discussions dans le cadre du prochain examen de la LPRPDE.

Recentrage du Commissariat à la protection de la vie privée du Canada

J’ai la profonde conviction que les ressources du Commissariat doivent être consacrées aux questions d’un intérêt systémique plus vaste en matière de protection de la vie privée.

Dorénavant, le Commissariat canalisera davantage ses efforts sur les enjeux essentiels de l’heure en ce qui a trait à la protection de la vie privée, soit ceux qui posent les plus grands risques pour l’ensemble de la population canadienne.

Comme je le mentionnais plus tôt, ces types d’enquêtes exigent habituellement beaucoup de temps et de ressources. Je reprends l’exemple des enquêtes en ligne qui, de par leur nature, sont difficiles à réaliser.

Notre enquête sur Facebook montre à quel point le dossier d’Internet peut être complexe et technique. Par exemple, l’un des défis majeurs de l’enquête était l’évolution constante du site Web. Le suivi de ces modifications occupait d’ailleurs à temps plein une employée du Commissariat! De plus, le rythme des changements n’a fait que s’accélérer au cours des derniers mois.

Grâce à certaines améliorations, je m’attends à ce que nous disposions des ressources nécessaires pour assumer cette nouvelle charge de travail.

Nous avons récemment éliminé l’arriéré de dossiers. En outre, nous encourageons les personnes qui communiquent avec nous au sujet de problèmes de protection de la vie privée relativement simples à tenter de les résoudre eux‑mêmes, directement avec l’autre partie, avant de déposer officiellement une plainte. Cette méthode a entraîné une baisse importante du nombre de plaintes officielles.

Cette semaine, le gouvernement a proposé une loi qui me conférerait un plus grand pouvoir discrétionnaire lorsqu’il s’agit d’accepter une plainte ou d’abandonner une enquête, notamment dans les cas où la plainte est futile, frivole ou vexatoire.

Compte tenu des récents événements, je suis tout à fait convaincue que nous disposerons d’un plus grand nombre d’enquêteurs pour traiter les questions qui nous seront soumises. Nous serons également en mesure d’assurer un meilleur suivi des cas importants sur lesquels nous enquêtons.

Entre‑temps, notre équipe d’enquêteurs reçoit un appui de taille de la part de nouveaux employés qui possèdent une expertise technologique. Maintenant que nous avons formé une équipe hautement compétente en matière de technologies de l’information, nous travaillons à mettre sur pied un laboratoire de recherche qui examinera les nouvelles technologies et contribuera aux enquêtes en cours.

Consultations

J’aimerais aborder une autre mesure qui nous permettra de relever le défi que posent les nouvelles questions liées à la protection de la vie privée, à savoir les consultations publiques.

Ces consultations portent essentiellement sur deux types d’enjeux liés à la protection de la vie privée : ceux liés au suivi, au profilage et au ciblage des consommateurs en ligne par les spécialistes du marketing et d’autres entreprises, et ceux liés à l’informatique dans les nuages.

Nous avons tenu une série de tables rondes d’une journée ici même, à Toronto, et une autre la semaine dernière à Montréal. Le mois prochain, nous en ferons autant à Calgary.

Je me réjouis de la transparence des représentants de l’industrie concernant leurs pratiques dans l’univers numérique. Nous avons pu entendre certaines entreprises en ligne très responsables qui ont à cœur la protection de la vie privée.

Une des raisons pour lesquelles nous menons ces consultations est notre désir de nous préparer en vue du prochain examen de la LPRPDE, prévu pour l’an prochain.

Sondage auprès des entreprises

Sonder les entreprises, afin d’évaluer leurs points de vue et leurs connaissances sur diverses questions, oriente également notre position sur les éventuelles modifications à la LPRPDE.

Les résultats d’un nouveau sondage, que nous publions aujourd’hui, font état de nouvelles encourageantes quant à la protection des renseignements personnels dans le secteur privé au Canada.

Le sondage mené par Ekos en mars dernier pour le compte du Commissariat révèle que la plupart des entreprises ont pris des mesures pour protéger les renseignements de leurs clients. En outre, près de la moitié des entreprises sondées affirment être pleinement conscientes de leurs responsabilités découlant des lois canadiennes sur la protection de la vie privée.

Les données recueillies suggèrent également que la LPRPDE a eu une influence positive sur la manière dont les entreprises traitent les renseignements personnels de leurs clients. Plus de la moitié des entreprises affirment que la LPRPDE a donné lieu à une amélioration des mesures de sécurité liées à la protection des renseignements personnels.

La seule ombre au tableau, ce serait que la plupart des entreprises ne semblent pas se préoccuper des atteintes à la protection des renseignements personnels de leurs clients, même si elles recueillent et conservent plus de renseignements personnels que jamais auparavant.

Compte tenu des importantes fuites de données recensées au cours des dernières années, il est inquiétant de constater que les entreprises ne se préoccupent pas davantage de la protection des renseignements personnels de leurs clients.

Les atteintes à la sécurité des données constituent un problème à l’échelle mondiale, et de nombreux gouvernements répondent aux préoccupations des consommateurs en adoptant des lois qui rendent obligatoire le signalement de telles atteintes.

Cette semaine, nous avons été très heureux de voir le gouvernement présenter un projet de loi pour créer un régime canadien de signalement obligatoire des atteintes à la sécurité des données. Il s’agit d’une excellente nouvelle.

Nomination en Colombie‑Britannique

Avant de terminer, j’aimerais souligner le travail exceptionnel d’une personne qui a joué un rôle de premier plan auprès des entreprises canadiennes en les aidant à mieux comprendre le fonctionnement de la LPRPDE, et, qui a plus récemment dirigé les efforts du Commissariat dans l’univers en ligne.

La plupart d’entre vous savent sans doute que, plus tôt ce mois‑ci, l’Assemblée législative de la Colombie‑Britannique a approuvé la recommandation unanime d’un comité spécial de nommer Elizabeth Denham au poste de commissaire à l’information et à la protection de la vie privée de la Colombie‑Britannique.

Liz a fait un travail extraordinaire au sein du Commissariat en tant que commissaire adjointe chargée de la LPRPDE. Elle a mené d’une main de maître nos démarches en terrain inconnu pour faire appliquer la LPRPDE au monde en ligne. Elle a également resserré nos liens avec le milieu des affaires, où sa justesse et sa franchise ne sont plus à prouver.

C’est à la fois avec tristesse et beaucoup de fierté que nous saluons le départ de Liz pour la Colombie‑Britannique. Nous serons ravis de poursuivre notre collaboration avec elle à titre d’éminente partenaire provinciale.

Je vous invite à vous joindre à moi afin de remercier Liz pour son travail au Commissariat et de lui souhaiter du succès dans cette nouvelle aventure.

Conclusion

Nous avons abordé beaucoup de sujets en très peu de temps. J’espère être parvenue à vous montrer la direction que prendra le Commissariat au cours des prochaines années et la façon dont il compte y arriver.

Les questions liées à la protection de la vie privée ne sont jamais statiques ni simples, mais elles sont toujours intéressantes.

Enfin, je vous invite à vous joindre à moi ce soir dans le cadre d’une réception au Musée des beaux‑arts de l’Ontario. Vous pourrez alors en savoir plus sur la mise en place d’un bureau du Commissariat à Toronto et rencontrer sa nouvelle directrice. La réception débute à 17 h 30. J’espère avoir le plaisir de vous y retrouver!

Merci.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :