La loi fédérale canadienne visant le secteur privé : Les dix premières années

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de la 8e Rencontre des autorités de protection de données ibéro-américaines

Mexico (Mexique)
Le 29 septembre 2010

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

Version Español


Au Commissariat à la protection de la vie privée du Canada, nous avons suivi avec intérêt les démarches qui ont mené au décret de la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Nous nous réjouissons de l’adoption de cette loi, qui saura protéger davantage le droit à la vie privée des habitants du Mexique, nos compatriotes nord-américains.

L’adoption de la loi fédérale mexicaine arrive à point. Nous vivons une époque où la technologie de l’information remet en question nos attentes face à la protection de nos renseignements personnels, ainsi que les mesures de protection de ces renseignements. Le volume, la volatilité et la vulnérabilité de l’information personnelle à l’ère numérique fait appel à un cadre normatif de protection accru et modernisé.

Mon intervention de ce matin se déroulera comme suit :

  1. D’abord, je ferai un survol du cadre canadien de protection de la vie privée.
  2. Ensuite, je donnerai un aperçu des parallèles et contrastes entre la nouvelle loi fédérale du Mexique et la loi fédérale canadienne.
  3. Et finalement, j’aborderai certaines des leçons que nous avons tirées au cours des dix premières années d’existence de la Loi sur la protection des renseignements personnels et les documents électroniques, en donnant des exemples de cas précis.

Cadre canadien de protection de la vie privée

Alors que le Mexique célèbre l’adoption de sa nouvelle loi sur la protection des renseignements personnels dans le secteur privé, le Canada célèbre les dix ans de sa propre loi. En effet, en 2000, le Commissariat à la protection de la vie privée du Canada était dans une situation comparable à celle que connaît l’IFAI cette année.

Quand a été promulguée la loi fédérale canadienne visant le secteur privé, soit la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE, le commissariat canadien existait depuis près de 20 ans et veillait déjà au respect de la loi fédérale sur la protection de la vie privée dans le secteur public. Nous nous retrouvions donc dans des circonstances à peu près identiques à celles que connaît l’IFAI aujourd’hui. Au risque de verser dans le truisme, je dois affirmer que malgré ces ressemblances, le contexte n’est plus le même qu’il y a dix ans.

En avril 2000, quand la LPRPDE a obtenu la sanction royale, on avait encore le souci de demander aux gens s’ils avaient une adresse de courriel. Aujourd’hui, on s’étonne de rencontrer quelqu’un qui n’est pas sur Facebook.

Il y a dix ans, Foursquare, LinkedIn et Twitter n’existaient pas encore, et Google venait à peine d’emménager dans un immeuble de Palo Alto — deux ans auparavant, l’entreprise avait pignon sur rue dans le garage d’un ami de ses fondateurs.

Il y a dix ans, les multinationales étaient des entreprises bien établies. Leurs pratiques avaient eu le temps de se raffiner au fil de leur croissance. Aujourd’hui, les multinationales sont des entreprises qui en sont encore à leur adolescence — dans les meilleurs des cas.

On dit souvent de l’approche canadienne en matière de protection de la vie privée qu’elle se situe à mi‑chemin entre celle qui se pratique en Europe et celle qui a cours aux États‑Unis.

C’est qu’à plusieurs égards, la culture juridique du Canada est un hybride des traditions britannique et française qui ont marqué son histoire. Mais le modèle canadien de protection de la vie privée est également grandement redevable à l’influence contemporaine de l’Union européenne et des États‑Unis.

La Loi sur la protection des renseignements personnels, notre loi visant le secteur public qui compte un quart de siècle, s’applique aux ministères et organismes publics fédéraux.

Pour ce qui est du secteur privé, trois provinces — le Québec, l’Alberta et la Colombie‑Britannique — ont adopté leurs propres lois, lesquelles ont été reconnues comme étant essentiellement similaires à la LPRPDE. Une quatrième province, l’Ontario, a une loi qui s’applique aux renseignements personnels sur la santé, elle aussi jugée essentiellement similaire à la loi fédérale.

Même dans ces provinces, la LPRPDE peut continuer de s’appliquer aux éléments du secteur privé régis par le gouvernement fédéral — par exemple, les banques, les sociétés de transport et les télécommunicateurs — de même qu’aux renseignements personnels dans le cadre de transactions interprovinciales et internationales.

Les règles fondamentales énoncées dans la LPRPDE reposent sur 10 principes relatifs à l’équité dans le traitement de l’information qui épousent les principes de l’OCDE.

La fonction de commissaire à la protection de la vie privée est avant tout celle d’un ombudsman qui s’efforce de régler des différends par la négociation, la médiation et la conciliation. Toutefois, quand nous n’arrivons pas à atteindre nos objectifs de cette façon, nous pouvons soumettre des dossiers à la Cour fédérale, ce qu’il nous arrive d’ailleurs de faire. Nous arrivons tout de même à régler la grande majorité des dossiers sans avoir à aller devant le tribunal.

La LPRPDE nous a bien servis jusqu’à présent. En raison de sa neutralité sur le plan de la technologie, elle a pu servir à trancher dans des causes qui auraient été inconcevables au  moment de sa rédaction.

On devra toutefois y apporter des modifications afin qu’elle puisse continuer de protéger le droit des Canadiennes et Canadiens à la vie privée pour plusieurs décennies encore. Les législateurs ont prévu un examen parlementaire quinquennal de la LPRPDE; le prochain devrait avoir lieu en 2011.

Leçon : Nécessité de pouvoir enquêter avec un autre pays
Nous espérons que notre habileté à collaborer avec d’autres autorités de protection des données sur la scène internationale sera précisée et renforcée. C’est une mesure qui s’impose, alors que nos renseignements personnels sont désormais en orbite perpétuel, et qu’ils sont de plus en plus convoités par des multinationales dont les activités ont lieu exclusivement en ligne — et dont le seul actif se résume souvent au contenu généré par les utilisateurs.

Nous souhaitons que notre pouvoir de mener des enquêtes discrétionnaires soit élargi pour nous permettre de faire face de manière plus adéquate aux nouveaux défis qui se dressent devant le droit à la vie privée.

Leçon : Le signalement des atteintes à la protection des données doit être obligatoire
Nous considérons également que le signalement des atteintes à la protection des données — une pratique recommandée par le Conseil du Trésor du Canada pour les organismes publics et entièrement volontaire pour les organisations du secteur privé — devienne obligatoire.

Leçon : La notion de consentement doit être modernisée
Et finalement, il nous semble primordial de se pencher plus avant sur la question du consentement. En effet, que vaut le consentement des employés? Comment peut-on obtenir un consentement valable dans les circonstances où il est difficile de préciser les fins de la collecte? Lorsque la technologie en cause est complexe ou que les buts de la cueillette même des données peut changer en cours de route — on pense bien entendu à la recherche sur la santé et aux renseignements génétiques — peut-on vraiment obtenir un consentement valable?

Parallèles et contrastes entre la Ley Federal de Protección de Datos Personales en Posesión de Particulares et la Loi sur la protection des renseignements personnels et les documents électroniques

Nous avons lu avec beaucoup d’intérêt la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Nous avons noté beaucoup de parallèles et de contrastes entre la loi mexicaine et notre LPRPDE canadienne, que je pose ici comme mise en contexte.

J’ai soulevé notamment les points suivants :

  • À quoi la loi s’applique-t-elle?
  • Qu’est-ce qu’un renseignement personnel?
  • Sur quels principes repose la protection des renseignements personnels?
  • La loi a-t-elle des dispositions précises pour la circulation transfrontière des données?
  • Quelles sont les procédures d’exécution prévues dans la loi?
  • Quelles sont les pénalités prévues par la loi?

J’aborderai maintenant chacun des ces points plus en détail.

À quoi la loi s’applique-t-elle?

La LPRPDE utilise le concept d’activité commerciale de sorte qu’elle ne s’applique que dans le cadre d’une transaction. L’article 2.(1) de la loi définit une activité commerciale comme étant « Toute activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature, y compris la vente, le troc ou la location de listes de donneurs, d’adhésion ou de collecte de fonds. » Ce concept fondamental dans l’interprétation du champ d’application de la loi est donc fondé sur la nature de l’activité en cause.

Ainsi, toutes les activités d’une organisation qui est en affaires et qui recueille, utilise ou communique des renseignements personnels dans le contexte de ses activités d’affaires seraient assujetties à la loi. Toutefois, une organisation sans but lucratif, comme une université ou une œuvre de bienfaisance, ne serait pas assujettie à la loi, à moins qu’elle procède de temps à autres à la vente de listes de coordonnées d’anciens ou de donateurs, par exemple, en quel cas ces activités particulières seraient visées par la LPRPDENote de bas de page 1.

Qu’est-ce qu’un renseignement personnel?

La LPRPDE ne fait pas de distinction entre les données personnelles et les données personnelles délicates. La première année de mise en œuvre de la LPRPDE a tout de même été marquée par la question de savoir ce qu’est un renseignement personnel, comme l’illustrent bien certains dossiers sur lesquels nous nous sommes penchés à l’époque.

Par exemple, plusieurs entreprises se sont empressées de réclamer que certaines données attribuées aux clients — en l’occurrence, leurs numéros de compte ou de carte de crédit — appartenaient à l’entreprise et non au client, puisque ces renseignements étaient produits par l’entreprise et non fournis par les clients.

Or, l’article 2 de la LPRPDE précise qu’un renseignement personnel est « tout renseignement concernant un individu identifiable ». L’article 2 ne dit pas que l’information doit provenir d’un individu ou être fourni par celui-ci. On ne parle pas non plus de la propriété de l’information. On dit seulement qu’elle doit porter sur un individu identifiable.

Sur quels principes repose la protection des renseignements personnels?

Plutôt que les huit principes qui soutendent la Ley, les concepteurs de notre loi visant le secteur privé ont adopté des principes généraux — recours à dix pratiques équitables dans le traitement de l’information, droit d’accès et de correction, et pouvoir de surveillance par un commissaire à la protection de la vie privée disposant de grands pouvoirs d’enquête — mais non les exigences plus officielles comme l’enregistrement des responsables et la notification en cas de traitement, ou encore le signalement des atteintes à la protection des renseignements personnels.

Les dix principes d’équité en matière de traitement de l’information sur lesquels repose la LPRPDE sont :

  • la responsabilité;
  • la détermination des fins de la collecte des renseignements;
  • le consentement;
  • la limitation de la collecte;
  • la limitation de l’utilisation, de la communication et de la conservation;
  • l’exactitude;
  • les mesures de sécurité;
  • la transparence;
  • l’accès aux renseignements personnels;
  • la possibilité de porter plainte à l’égard du non-respect des principes.

La loi a-t-elle des dispositions précises pour la circulation transfrontière des données?

Comme je le disais au début de mon intervention, la flambée des activités en ligne — qu’elles soient économiques ou sociales — entraîne une circulation sans précédent de données, d’un territoire de compétences à un autre.

La Ley n’aborde pas en soi le transfert de données au-delà des frontières mexicaines, mais prévoit un cadre pour le transfert de données à des tiers. Le principe est comparable à celui prévu par la loi canadienne : la LPRPDE prévoit qu’une organisation demeure responsable des données qu’elle confie à un tiers.

La LPRPDE ne gêne pas notre économie. De fait, il est dit dans la loi elle‑même qu’elle vise à appuyer et promouvoir le commerce électronique en protégeant les renseignements personnels.

Le marché mondial s’en trouvera amélioré si les consommateurs peuvent être assurés que leurs renseignements personnels seront protégés même après avoir franchi les frontières de leur pays d’origine.

Il n’est pas question ici d’un laisser‑aller généralisé. La loi exige que les renseignements personnels soient protégés, peu importe qu’ils soient transférés et l’endroit où ils le sont. Quiconque se trouve au Canada et procède au transfert de renseignements personnels doit s’assurer que ces renseignements sont protégés et traités selon la norme applicable au Canada.

Contrairement à l’approche d’État à État adoptée par l’Union européenne, laquelle est assortie de l’évaluation de la « convenance » de l’autre administration, le Canada a opté pour une approche d’organisation à organisation.

En vertu de la LPRPDE, il incombe aux organisations d’assurer la protection des transferts de renseignements personnels dans le cadre de chacune des ententes d’impartition.

Par voie contractuelle ou autrement, l’organisation doit fournir un degré de protection comparable à celui de la LPRPDE pendant le traitement de l’information par un tiers.

Par « degré comparable de protection », on entend que la protection accordée par le tiers chargé du traitement doit être comparable au degré de protection que les renseignements personnels auraient reçu s’ils n’avaient pas été transférés.

Cela ne signifie pas que les mesures de protection doivent être identiques partout. Cela signifie qu’elles doivent s’équivaloir de façon générale.

Lorsqu’une organisation décide d’impartir le traitement, elle doit prendre toutes les mesures raisonnables nécessaires pour protéger les renseignements personnels d’une utilisation et d’une communication non autorisées pendant qu’ils se trouvent aux mains du tiers qui en assure le traitement. Elle doit également s’assurer que les renseignements sont bien protégés en tout temps.

Quelles sont les procédures d’exécution prévues dans la loi?

La Ley prévoit un processus clair et rigoureux pour faire face à des infractions potentielles.

Le Commissariat à la protection de la vie privée du Canada intervient généralement de quatre manières :

  • Nous menons des enquêtes à la suite de plaintes qui nous sont soumises par des particuliers;
  • Nous menons des enquêtes de notre propre initiative, lorsque nous avons des motifs raisonnables de croire qu’une infraction à la Loi est commise;
  • Nous procédons à des vérifications lorsque nous avons des motifs raisonnables de croire que les pratiques d’une organisation ou d’une industrie en matière de gestion des renseignements personnels contreviennent à la Loi;
  • Nous examinons les évaluations des facteurs relatifs à la vie privée que nous soumettent les organisations.

Dans nombre d’interventions, que ce soit dans le cadre d’enquêtes, de vérifications ou d’examen des évaluations des facteurs relatifs à la vie privée, nous appliquons un critère en quatre parties pour déterminer si une collecte de renseignements personnels est raisonnable.

Nous nous en sommes servis pour la première fois en 2003, dans une affaire opposant un employé d’un chemin de fer et son employeur. L’employé était préoccupé par le fait que des caméras numériques récemment installées dans les aires de travail pourraient être utilisées pour surveiller les employés, leur comportement et leur rendement.

Le commissaire de l’époque s’était inspiré d’une cause entendue par la Cour suprême du Canada en 1986 — l’affaire Oakes — dans laquelle on avait dû établir dans quelles circonstances il était raisonnable de limiter les droits et libertés individuels dans une société libre et démocratique.

Les quatre questions que nous avons tirées de cette cause sont les suivantes :

  1. La mesure est-elle nécessaire pour répondre à un besoin démontrable?
  2. La mesure est-elle susceptible de répondre efficacement à ce besoin?
  3. L’atteinte à la vie privée est-elle proportionnelle à l’avantage tiré?
  4. Y a-t-il un moyen moins envahissant de parvenir aux mêmes fins?

Le commissaire de l’époque a reconnu que les objectifs visés par la compagnie, soit la réduction du vandalisme et du vol, et la sécurité du personnel, pouvaient sembler appropriés. Toutefois, après avoir évalué la situation à la lumière du critère en quatre parties inspiré du cas Oakes, le commissaire a jugé que l’utilisation de la vidéosurveillance dans ce cas précis n’était pas justifiée.

Ce critère en quatre parties nous sert également pour l’examen de questions touchant au secteur public : il nous a permis de trancher récemment sur l’utilisation des scanners à ondes millimétriques dans les aéroports canadiens. 

Quelles sont les pénalités prévues par la loi?

Le Commissariat à la protection de la vie privée du Canada n’a pas le pouvoir d’imposer des amendes aux organisations.

Toutefois, si une entreprise refuse de suivre nos recommandations, nous demandons à la Cour fédérale de rendre une ordonnance pour l’obliger à se conformer et à offrir un dédommagement, s’il y a lieu. Vous ne serez pas étonnés d’apprendre que la possibilité d’être poursuivi en justice constitue un outil extrêmement persuasif — à peu près tout le monde se conforme à nos recommandations.

Néanmoins, nous reconnaissons la valeur d’avoir inclus des peines précises dans la Ley.

Leçons retenues en dix ans

L’affaire Facebook : Comment l’autorité de protection des données d’un pays de 34 millions d’habitants peut améliorer le sort de centaines de millions d’internautes

Le premier cas d’envergure que j’aborderai ce matin vous est déjà familier : il s’agit bien entendu de l’enquête que nous avons menée sur les pratiques de gestion des renseignements personnels de Facebook.

Le Commissariat à la protection de la vie privée du Canada a examiné les pratiques et politiques de l’entreprise concernant la protection des renseignements personnels à la suite d’une plainte déposée en mai 2008 par la Clinique d’intérêt public et de politique d’Internet du Canada de l’Université d’Ottawa, la CIPPIC.

C’est ainsi que le Canada est devenu le premier pays à mener une enquête approfondie sur les pratiques de Facebook en matière de protection de la vie privée.

La plainte, déposée en vertu de la LPRPDE, concernait onze aspects de ce site de réseautage social. Parmi les principaux points visés, citons :

  • Les paramètres de confidentialité par défaut du site;
  • La collecte et l’utilisation de renseignements personnels à des fins publicitaires;
  • La communication des renseignements personnels d’utilisateurs à des tiers développeurs d’applications;
  • La collecte et l’utilisation des renseignements personnels de personnes qui ne sont pas inscrites sur Facebook.

L’un des principaux points examinés était l’avis et le consentement. Nous voulions savoir si les renseignements fournis par Facebook aux utilisateurs étaient suffisants pour que ces derniers puissent donner un consentement valable à la collecte, à l’utilisation et à la communication des renseignements personnels les concernant.

Nous voulions également vérifier si ces renseignements leur étaient fournis de façon claire et transparente.

Autre source d’inquiétude : la conservation des renseignements personnels par Facebook, notamment ceux ayant trait aux utilisateurs qui souhaitaient désactiver ou supprimer leur compte.

Les mécanismes de sécurité comptaient également parmi les préoccupations soulevées dans la plainte, notamment en ce qui concerne les près d’un million de tiers qui développent des applications offertes sur la plateforme Facebook, comme les jeux, questionnaires, horoscopes et autres.

Notre enquête a pris fin en juillet 2009. Nous avons conclu qu’il n’existait aucune preuve de violation de la LPRPDE en ce qui concerne les quatre domaines susmentionnés, ni en ce qui concerne les allégations de tromperie et de fausse représentation de la part de Facebook.

Dans d’autres aspects liés notamment aux paramètres de confidentialité par défaut, ou à la collecte et à l’utilisation de renseignements personnels à des fins publicitaires, nous avons conclu que Facebook avait bel et bien enfreint la LPRPDE. Toutefois, la commissaire adjointe responsable de l’enquête a jugé que les problèmes avaient été résolus grâce aux mesures correctives proposées par Facebook.

En revanche, nous avons conclu que certaines activités de Facebook allaient à l’encontre de la LPRPDE.

Nos inquiétudes portaient sur les points suivants :

  • Les applications de tiers;
  • La désactivation et la suppression des comptes;
  • Les comptes des utilisateurs décédés;
  • Les renseignements personnels des non-utilisateurs.

Par exemple, Facebook ne déployait pas suffisamment d’efforts pour obtenir le consentement valable des utilisateurs pour communiquer des renseignements personnels les concernant à des tiers développeurs d’applications.

En revanche, ces centaines de milliers de développeurs avaient un accès pratiquement illimité aux renseignements personnels des utilisateurs ainsi qu’à ceux de leurs amis.

Facebook n’a pas accepté tout de suite d’adopter nos recommandations pour ces quatre enjeux non résolus.

Le Commissariat à la protection de la vie privée du Canada s’est donc engagé dans des discussions très approfondies — et souvent très intenses — avec les responsables de Facebook.

C’est avec plaisir que la commissaire Stoddart a annoncé la semaine dernière que ces pourparlers ont porté fruit, et que les éléments en suspens avaient tous été résolus de manière satisfaisante.

Elle a toutefois précisé que les éléments résolus étaient ceux visés précisément par la plainte déposée par la CIPPIC. Le Commissariat fait présentement enquête sur de nouvelles plaintes qui ont été déposées depuis contre Facebook, et qui portent sur d’autres aspects du site de réseautage social.

Nous avons tiré plusieurs leçons de notre première enquête sur Facebook. En voici quelques unes.

  • D’abord, cette affaire a démontré que la médiation peut mener à terme des cas inédits, même les plus complexes.
  • Ensuite, le succès de cette première enquête sur Facebook illustre bien les avantages d’une loi neutre sur le plan de la technologie. En effet, comme j’y faisais allusion plus tôt, non seulement Facebook n’existait-il pas quand la LPRPDE a été rédigée, mais Internet n’avait pas l’importance qu’il a maintenant dans notre quotidien — le réseautage social encore moins.
  • Finalement, nos enquêtes sur Facebook — et toutes les autres que nous menons ou avons menées dans des secteurs commerciaux fortement marqués par la technologie, notamment celle en cours présentement sur l’enregistrement par Google de données transmises sur des réseaux Wi-Fi non sécurisés — font valoir l’importance d’une haute capacité technologique à l’intérieur d’un commissariat à la protection de la vie privée. Une autorité de protection des données doit absolument compter en ses rangs des personnes qui ont des connaissances d’expert au sujet des industries qu’elle règlemente. Ces personnes clés au sein de l’organisation font en sorte que l’autorité comprend bien les enjeux contemporains et leurs répercussions sur le droit à la vie privée. Le fait que l’information personnelle est recueillie et détenue dans une infrastructure technologique exige que les autorités de protection maîtrisent les caractéristiques de cette technologie.

Nous avons été en mesure d’utiliser notre pouvoir de persuasion pour convaincre Facebook de s’engager à apporter des améliorations importantes au mode de fonctionnement de son site. De plus, ces améliorations ne s’appliquent pas seulement au Canada, mais à tous les autres pays.

Même les géants mondiaux comme Facebook reconnaissent que l’application de nos recommandations constitue la meilleure voie à suivre.

Il s’agit donc d’une grande victoire au chapitre de la protection de la vie privée, tant sur la scène nationale qu’à l’échelon international.

L’affaire Abika : Comment faire respecter la loi dans un monde où les frontières ont tendance à s’estomper

Le deuxième cas important que je tiens à aborder concerne également Internet, mais illustre cette fois comment deux territoires de compétence peuvent collaborer à l’intérieur des règles déjà établies.

Il s’agit du cas visant Accusearch, Inc., une société du Wyoming qui exerce ses activités en ligne sous le nom d’Abika.com.

Abika offrait une gamme de services de recherche sur des particuliers et demandait à des tiers de rechercher des renseignements personnels concernant ces particuliers dans des bases de données et des registres publics et privés.

En juin 2004, le Commissariat a reçu une plainte selon laquelle Accusearch aurait procédé de façon routinière à la collecte, à l’utilisation et à la communication de renseignements personnels sur des Canadiennes et des Canadiens à des fins inappropriées, à leur insu et sans leur consentement.

De plus, selon les allégations de la plaignante, même si Accusearch était une société située aux États-Unis, ses activités contrevenaient à la LPRPDE canadienne.

Le Commissariat à la protection de la vie privée du Canada a d’abord refusé d’enquêter sur la plainte parce qu’il estimait ne pas être l’instance appropriée. Toutefois, dans le cadre d’un contrôle judiciaire, la Cour fédérale du Canada a confirmé que le Commissariat avait le pouvoir d’enquêter sur la plainte concernant Accusearch, Inc., même si la société était située aux États-Unis et qu’il pouvait par conséquent être difficile de mener une enquête efficace.

D’après la Cour, la commissaire avait l’autorité de mener enquête dans cette affaire parce qu’il y avait des liens réels et substantiels entre l’organisation et le Canada. Cette décision nous a servi de fondement pour établir notre compétence dans d’autres cas semblables.

Le Commissariat a donc procédé à sa propre enquête sur Accusearch et son site Web Abika.com, enquête fondée en grande partie sur les renseignements fournis par la Federal Trade Commission des États-Unis.

Au terme de l’enquête, le Commissariat a conclu qu’Accusearch avait transgressé des dispositions importantes de la LPRPDE dans sa manière de recueillir, d’utiliser et de communiquer les renseignements personnels de résidents canadiens.

Le Commissariat a conclu que la société communiquait à des tiers les renseignements personnels de Canadiennes et de Canadiens à leur insu et sans leur consentement.

En outre, le Commissariat a constaté qu’Abika.com acceptait couramment des demandes d’obtention de renseignements personnels et y répondait sans égard à leur caractère approprié ou non. Parmi les documents que la FTC nous a remis, on retrouvait un document qui contenait les noms et coordonnées des demandeurs, les dates et l’état des demandes, ainsi qu’une colonne intitulée « notes » où l’on pouvait lire certains détails au sujet des demandes.

Certains des commentaires consignés dans la colonne « notes » donnent une idée du genre de renseignements qu’Abika.com acceptait d’obtenir au nom de leurs clients.

Dans un premier cas, on pouvait lire : J’espère que cela va fonctionner. La nouvelle copine de mon ex-petit ami a volé mon adresse de courriel et ne cesse de me harceler. J’ai besoin d’aide!
Dans un deuxième cas, on pouvait lire : Mon petit ami affirme qu’il travaille à Oaxaca, au Mexique. Toutefois, je crois qu’il est plutôt retourné à Madrid, en Espagne, car lorsque j’ai répondu à son courriel, j’ai remarqué qu’il y avait une différence de six heures entre l’heure à laquelle il m’avait envoyé son courriel et l’heure à laquelle je l’avais reçu... il s’agit du décalage horaire entre Toronto, au Canada, et Madrid, en Espagne, et non pas avec Oaxaca, au Mexique; je veux seulement connaître la vérité.

Bien que la plupart des demandes semblaient provenir de particuliers, certaines étaient faites par des entreprises. Le Commissariat est parvenu à communiquer avec l’une d’entre elles, à savoir un cabinet de parajuristes. Selon la feuille de calcul, les services d’Abika avaient satisfait six demandes du cabinet au cours de 2004 et de 2005. Pendant une entrevue avec le Commissariat, le cabinet s’est montré très coopératif en répondant à toutes les questions posées sans aucune hésitation.

Le Commissariat a déterminé que, dans certains cas, la société avait sciemment communiqué des renseignements personnels à des fins qu’une personne raisonnable estimerait totalement inacceptables. La commissaire adjointe a recommandé qu’Abika.com cesse de recueillir, d’utiliser et de communiquer les renseignements personnels de personnes vivant au Canada à leur insu et sans leur consentement.

Parallèlement, la Federal Trade Commission des États-Unis a mené sa propre enquête sur les activités d’Accusearch et a intenté une poursuite contre la société devant la Cour de district du Wyoming, réussissant à mettre un frein à la vente de renseignements personnels de clients — une décision qui a été confirmée ultérieurement par la United States Court of Appeals for the Tenth Circuit.

Le dossier en appel avait pour objet le transfert de données entre les États-Unis et le Canada, la façon dont les courtiers en données recueillent, utilisent et communiquent des renseignements personnels à l’insu des personnes visées et sans obtenir leur consentement, ainsi que la façon dont l’échange en ligne de renseignements personnels touche le droit à la vie privée.

Puisque le Commissariat était visé par le litige concernant Accusearch, Inc. et que les questions soulevées portaient sur la circulation transfrontière de données, le Commissariat a obtenu la permission de présenter un mémoire d’amicus curiæ dans le cadre de l’appel d’Accusearch.

Dans le mémoire, le Commissariat expliquait la mesure dans laquelle la décision de la Cour aurait un impact direct sur le droit à la vie privée des Canadiennes et des Canadiens ainsi que sur la réputation des organisations canadiennes touchées par les activités des courtiers.

Le mémoire du Commissariat soulignait notamment que la collecte, l’utilisation et la communication non autorisées de renseignements personnels sur Internet par des courtiers en données peuvent causer des préjudices et avoir des conséquences à l’étranger.

Dans sa décision, la United States Court of Appeals for the Tenth Circuit a déterminé que la société savait que ses chercheurs obtenaient des renseignements confidentiels de manière frauduleuse ou illégale. Par conséquent, elle a considéré que la société avait sciemment tenté de convertir des renseignements à toutes fins inconnues en une denrée accessible au public.

En raison de cette décision, Abika.com fait toujours l’objet d’une injonction lui interdisant de transmettre des relevés de téléphone confidentiels et autres « renseignements personnels sur les clients » sans avoir obtenu leur consentement explicite par écrit.

La décision d’appel de la United States Court of Appeals for the Tenth Circuit reconnaît clairement l’atteinte à la vie privée causée par le commerce en ligne non autorisé de renseignements personnels. Elle marque également l’apparition d’une nouvelle protection importante tant pour les citoyens du Canada que pour ceux des États-Unis.

Je tiens à ajouter que le fait de reconnaître que les pratiques d’Accusearch sont illégales selon la loi des États-Unis a favorisé l’uniformisation de la méthode utilisée par les États‑Unis et par le Canada à l’égard de la protection de la vie privée.

Cette uniformisation guidera, à son tour, les organisations qui prévoient impartir des fonctions de traitement des données aux États-Unis et aidera à donner aux personnes la confiance dont elles ont besoin pour faire affaire sur Internet.

Somme toute, le cas d’Accusearch a marqué un pas important dans la coopération et la collaboration internationales, qui seront d’ailleurs de plus en plus nécessaires à la protection du droit à la vie privée des deux côtés de la frontière.

Parmi les leçons que nous avons tirées de l’affaire Accusearch, je retiens que les entreprises n’ont plus besoin d’avoir une présence physique dans un pays donné pour y faire affaire. Il s’ensuit que les autorités de protection des données doivent être prêtes à collaborer entre elles afin de faire respecter le droit à la vie privée des citoyens de leurs pays respectifs, même quand — inévitablement — les renseignements personnels de ces citoyens se retrouvent dans d’autres territoires de compétence.

L’affaire TJX : Ne pas se conformer aux lois, ça coûte cher

Le dernier cas que j’aborderai ce matin est celui de TJX, soit la plus grande affaire de vol de renseignements personnels à ce jour.

TJX est un géant américain du commerce de détail qui possède des magasins dans plusieurs pays, y compris au Canada. Quand des cybercriminels se sont introduits dans le système de TJX, ils ont eu accès aux renseignements personnels de consommateurs des États-Unis, mais aussi du Canada, du Royaume-Uni et de l'Irlande.

Les informations volées comprenaient des données sur des cartes de paiement ainsi que des renseignements recueillis auprès de consommateurs qui retournaient de la marchandise sans reçu – notamment des noms, adresses et numéros de permis de conduire.

Selon TJX, les malfaiteurs ont réussi au départ à s'introduire dans le système en piratant un réseau local sans fil à l'extérieur de deux magasins de Miami, en juillet 2005. Les voleurs ont capturé des données pendant un an et demi, jusqu'à ce que TJX apprenne enfin qu'un logiciel suspect avait été détecté dans une section de leur système informatique.

À la suite de l'enquête que nous avons menée conjointement avec un commissariat provincial, nous avons conclu que TJX ne s'était pas conformé à la loi.

Notre enquête a permis de révéler quelques lacunes majeures :

  • TJX recueillait trop d'information et la conservait trop longtemps;
  • TJX a omis de mettre à jour ses systèmes de sécurité en temps opportun;
  • TJX n'a pas effectué de surveillance adéquate de son système afin de déceler les intrusions.

Que pouvons-nous donc apprendre de ces défaillances relatives à la sécurité et à la protection de la vie privée?

La première leçon est fondamentale : il ne faut recueillir que les renseignements personnels qui sont strictement nécessaires. De toute évidence, on ne peut pas perdre de l'information qu'on ne possède pas.

L'enquête a mis à jour des préoccupations à l'effet que l'entreprise conservait des numéros de permis de conduire et d'autres renseignements permettant l'identification lorsque des consommateurs retournaient des marchandises sans reçu.

TJX a indiqué qu'on recueillait cette information afin de prévenir la fraude. Nous comprenons qu'il est nécessaire de détecter les retours frauduleux, mais cela suscite de sérieuses préoccupations lorsqu'il est question de consigner les numéros de permis de conduire des gens ainsi que d'autres renseignements sensibles permettant l'identification, et de les conserver indéfiniment.

En réaction à nos préoccupations, TJX a proposé un nouveau processus innovateur afin de traiter la question des retours frauduleux. Le personnel en magasin continue de demander des pièces d'identité lorsque des motifs commerciaux valables le justifient. Cependant, lorsque des renseignements tels que le numéro de permis de conduire seront entrés dans le système au point de vente, ils sont instantanément convertis selon des algorithmes en un numéro d'identification unique qui peut facilement être relié à la personne. Le nouveau système permettra à l'entreprise d'effectuer le suivi de la marchandise retournée sans reçu, sans qu'il soit nécessaire de conserver un numéro de permis de conduire dans le système.

Penchons-nous maintenant sur la question de la conservation de renseignements sur une trop longue période. Certains des renseignements volés à TJX se rapportaient à des transactions effectuées en 2002. La conservation des renseignements pour une période plus longue qu'il n'est nécessaire est contraire aux pratiques adéquates de gestion de l'information.

Deuxième leçon : lorsque les renseignements personnels ne sont plus nécessaires, il faut s'en débarrasser – de façon sécuritaire, bien entendu.

La troisième grande leçon que l’on doit retenir de cette histoire est qu’il faut utiliser des mesures de sécurité appropriées pour protéger les renseignements personnels.

Nous avons conclu que TJX n'avait pas réussi à gérer convenablement le risque d'intrusion, compte tenu de la quantité de données sur les clients qu'il recueillait. En conséquence, TJX n'a pas satisfait aux normes de l'industrie. S'il est vrai que TJX prévoyait passer à une norme de chiffrement plus efficace, le processus s’est tout de même étiré sur deux ans — au cours desquels les atteintes à la protection des données ont eu lieu.

Un quatrième message crucial est qu'il est important d'effectuer la surveillance des systèmes en cas d'intrusion. Pendant environ un an et demi, TJX ignorait que des pirates informatiques allaient et venaient à leur guise dans son système informatique.

Au cours de notre enquête, TJX répétait sans cesse « qu'ils n'avaient fait que ce que plusieurs autres détaillants faisaient ».

En effet, juste avant que l'incident chez TJX ne soit rendu public, Visa USA révélait que seul un peu plus du tiers des plus grands détaillants des États-Unis se conformaient aux normes de sécurité de l'industrie.

J'ai cru comprendre que la situation aux États-Unis et au Canada s'est améliorée. J'ai l'impression qu'il suffit d'un mot – TJX – pour que les experts de la sécurité réussissent à convaincre leurs dirigeants d'investir dans des mises à niveau.

« Nous progressons aussi lentement que les autres » n'est pas une excuse valable. Bien entendu, assurer la sécurité des données suppose un certain investissement, mais c'est beaucoup plus abordable que de réparer les pots cassés à la suite d’une grave atteinte à la protection des données.

TJX a annoncé que les coûts afférents à l’atteinte s'élevaient à plus de 200 millions de dollars. Plusieurs analystes supposent que le montant véritable est encore plus élevé.

Chez les experts en sécurité, il semble qu'on soit généralement d'accord pour dire qu'il est beaucoup moins coûteux d'instaurer des mesures de sécurités efficaces que de prendre en charge une situation qui a mal tourné.

Bref, toutes les leçons à tirer de l’affaire TJX peuvent se résumer ainsi : ne pas protéger les renseignements personnels de ses clients, ça finit par coûter très cher.

Questions administratives : Changement de culture à l’interne et nouvel auditoire

Je n’ai aucun doute que l’IFAI aura autant de leçons à partager avec la communauté internationale au 10e anniversaire de la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Pour l’instant, les membres de son personnel sont peut-être davantage préoccupés par les grands défis opérationnels qu’ils auront à relever dans les mois qui viennent.

Un des plus importants est sans doute de trouver les moyens les plus efficaces de rejoindre les responsables du traitement des données dans le secteur privé.      

Dans les premières années d’existence de la LPRPDE, nous nous sommes servis de plusieurs outils pour établir des liens avec notre nouvel auditoire du secteur privé. Nous avons utilisé principalement des brochures et guides imprimés, et offert des présentations et exposés en personne. Nous nous sommes également servis du site Web du Commissariat pour diffuser nos publications et le texte de nos allocutions, ainsi que pour publier des résumés de nos conclusions d’enquête, qui offrent des exemples concrets de l’application de la loi.

Il faut insister une fois de plus pour dire qu’en 2001, le Web n’avait pas la même importance qu’aujourd’hui. En 2001, nous avons distribué un peu plus de 34 000 publications imprimées et notre site Web a reçu près de 193 000 visites. En 2009, nous avons distribué moins de 14 000 imprimés, soit moins du tiers par rapport à 2001, mais nous avons enregistré plus de 2 millions de visites à notre site Web, soit plus de dix fois le nombre de visites en 2001.

Au cours de la première année de mise en œuvre de la loi canadienne visant le secteur privé, nous avons remarqué que les entreprises professaient haut et fort avoir adopté un code type sur la protection des renseignements personnels, pleinement conforme aux obligations légales de l’entreprise.

Or, dès la première année de mise en œuvre, les enquêtes que nous avons menées à la suite de plaintes du public ont montré que les entreprises omettaient souvent de s’assurer que leurs codes étaient effectivement respectés en pratique.

Un code type sur la protection des renseignements personnels est futile s’il n’est pas assorti de politiques et de procédures exhaustives et détaillées. En retour, ces politiques et procédures sont vaines à moins qu’elles ne soient diffusées, observées et appliquées de façon cohérente.

Les violations du droit à la vie privée qui entraînent des plaintes sont souvent imputables à des problèmes ou à des manquements dans les processus ou systèmes généraux de traitement des renseignements d’une organisation. Dans les premières années, certains problèmes découlaient d’une adhésion aveugle aux pratiques traditionnelles, qui pouvaient ne plus être acceptables compte tenu de la nouvelle loi.

Par exemple, de l’information était conservée soit trop longtemps, soit pas assez. Les données personnelles n’étaient pas protégées par des mesures de sécurité adéquates. Certaines entreprises n’avaient pas de procédure pour les plaintes et les demandes d’accès aux renseignements personnels — ou encore, ces procédures n’étaient pas connues ou respectées au sein de l’entreprise. D’autres entreprises continuaient de recueillir des renseignements sans préciser les fins de la collecte, ou recueillaient sans raison des renseignements sensibles, comme  le numéro d’assurance sociale, un identifiant utilisé par le gouvernement du Canada.

Nous nous sommes donc efforcés au cours des premières années à soutenir les entreprises dans leurs démarches pour se conformer à la loi — tout en faisant valoir les avantages commerciaux qu’elles en tireraient.

Conclusion

Pour conclure, j’aimerais résumer les grandes leçons que nous avons tirées des dix premières années d’application de la LPRPDE, qui ont fait l’objet de mon exposé d’aujourd’hui.

  • Aucune entreprise, même un géant multinational, n’est au dessus de la loi et ne doit échapper aux autorités d’exécution de la loi.
  • La collaboration internationale est essentielle dans le contexte du transfert international de données personnelles.
  • L’ubiquité des technologies de l’information exigent le ressourcement, dans les autorités de protection, d’une grande capacité technologique.
  • Les technologies de l’information dépassent généralement les connaissances de la population en général, ce qui rend essentielle l’éducation continue du grand public.
  • La protection des renseignements personnels est un avantage économique, et sa violation est une vulnérabilité économique.

En terminant, je tiens à saluer les membres de l’IFAI. Ils auront à guider des entreprises de tout genre et de toute taille dans un des changements de culture les plus importants de leur histoire récente, au moment même où leur propre organisation vit un changement tout aussi important en prenant en charge de ce nouveau mandat.

Je leur souhaite bon courage et je tiens à leur rappeler la grande importance du travail qu’ils accomplissent. Je tiens à les remercier et à les assurer de notre appui.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :