Faire respecter le droit à la vie privée en ligne

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion du dîner-causerie de l'Association de droit Lord Reading

Le 10 novembre 2010
Montréal (Québec)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je reviens tout juste d’un séjour très inspirant en Israël, qui accueillait cette année la Conférence internationale des commissaires à la protection des données et de la vie privée. Cette rencontre représentait une excellente occasion de discuter de la façon dont la foi juive reconnaît le respect de la vie privée comme étant un droit fondamental depuis de nombreux siècles déjà.

Vous connaissez sans doute le verset « Qu’elles sont belles tes tentes, ô Jacob; tes demeures, ô Israël », qui réfère au fait que les tentes des Israélites étaient disposées dos à dos de manière à garantir un minimum de vie privée.

La loi juive insiste beaucoup sur le concept de hezzek re’iyyah. L’Encyclopédie talmudique le définit comme suit : « Même la plus petite intrusion d’un regard importun dans l’espace privé est préjudiciable, car la blessure qui découle du fait d’être vu ne peut être mesurée. »

Comme l’observait le célèbre universitaire américain Jeffrey Rosen, la loi juive a compris très tôt que le doute d’être observé nous oblige à des existences circonscrites et brime notre liberté de parole et d’action dans l’espace privé.

Le phénomène était vrai il y a des centaines d’années, dans les villages de tentes situés en plein désert, et il demeure vrai encore aujourd’hui, au 21e siècle, alors qu’Internet occupe une place de plus en plus importante dans notre vie quotidienne. 

J’ai été approchée pour parler avec vous des enjeux liés au respect de la vie privée en ligne. Il s’agit bien sûr d’un domaine des plus intéressants pour le Commissariat qui monopolise une partie croissante de nos ressources et de notre attention.  

Au cours de la dernière année, nous avons constaté une augmentation significative des questions et des enquêtes liées aux nouvelles technologies, et plus particulièrement à l’univers en ligne. Je ne crois pas que cette situation changera de sitôt.

Si nous voulons continuer d’être utiles en tant que gardiens de la vie privée des Canadiennes et des Canadiens, nous devons nous concentrer sur le monde en ligne. 

Les enjeux liés au respect de la vie privée et à l’univers en ligne soulèvent aussi de nouvelles questions intéressantes et représentent des défis sur le plan juridique. Est‑ce que les lois conçues pour le monde physique sont en mesure de protéger la vie privée en ligne? Devons-nous adopter de nouvelles lois? Comment pouvons-nous gérer les questions relatives aux instances responsables et à l’application de la loi lorsqu’il est question d’entreprises internationales en ligne? 

Voici certaines des idées que je souhaite examiner avec vous aujourd’hui.

Contexte

Commençons par une brève mise en contexte…. 

La vitesse à laquelle le monde en ligne change est absolument stupéfiante. Lorsque je suis entrée en fonctions comme commissaire à la protection de la vie privée — il y a de cela sept ans —, Facebook n’existait pas. Il n’y avait pas non plus de Twitter, de Flickr, de YouTube, de Google Street View, de Foursquare ou d’iPods. 

Vous savez sans doute que le Commissariat a enquêté sur un certain nombre de plaintes entourant Facebook. Ce n'est pas le seul site en ligne que nous examinons en ce moment; nous enquêtons aussi sur trois autres sites de réseautage, dont un site de rencontre en ligne. 

Il arrive de plus en plus souvent que des entreprises pour lesquelles nous recevons des plaintes n’aient pas, ou à peu près pas, de présence physique au Canada.

Pour nous, il est clair que, dans certains cas, ces entreprises n’ont pas correctement examiné les exigences des lois canadiennes en matière de protection des renseignements personnels avant de lancer leurs produits dans notre pays. L’univers en ligne demeure quelque peu anarchique en ce qui concerne la protection de la vie privée. Il faut que la situation change et je crois qu’elle commence à changer, mais pas assez rapidement!

De toute évidence, le cadre réglementant le droit des Canadiennes et des Canadiens à la vie privée et à la protection de leurs renseignements personnels est actuellement mis à l’épreuve — pour répondre aux défis d’aujourd’hui et de demain, nous devrons nous assurer qu’il est constamment mis à jour.

Nous devons également travailler au-delà des frontières. Le Canada ne peut s’attaquer seul à toutes les inquiétudes que soulève le Web relativement au respect de la vie privée.

Renforcer la loi canadienne en ligne

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est encore assez récente, mais déjà, nous avons eu l’occasion de l’appliquer dans le monde virtuel.

  • Abika.com

L’enquête que nous avons menée il y a quelques années sur Abika.com, un courtier en données américain en ligne, est peu connue, mais elle a créé le précédent voulant que la LPRPDE puisse s’appliquer dans l’univers virtuel, et ce, même pour des organismes établis à l’extérieur du Canada.

Abika.com fournissait une gamme de services de recherche au sujet de personnes en retenant les services de chercheurs tiers qui recueillaient des renseignements personnels au sujet de personnes à partir d’un éventail de dossiers et de banques de données publiques et privées. Fondée en grande partie sur des données que nous avait fournies la Federal Trade Commission (FTC) des États‑Unis, l’enquête a déterminé que l’entreprise américaine communiquait à des tiers les renseignements personnels de Canadiennes et de Canadiens, à leur insu et sans leur consentement.

Nous avons donc recommandé qu’Abika.com cesse de recueillir, d'utiliser et de communiquer les renseignements personnels de personnes vivant au Canada à leur insu et sans leur consentement. L’entreprise n’a pas répondu de manière substantielle aux recommandations dans les délais établis.

Le soutien que nous avons reçu de la FTC est inestimable. En effet, celle-ci a accusé l’entreprise d’avoir enfreint la loi fédérale en vendant des relevés téléphoniques confidentiels à des tiers à l’insu des consommateurs et sans leur consentement.

La District Court du Wyoming a prononcé un jugement sommaire pour la FTC en 2009, qui interdisait cette activité illégale et qui imposait aussi un jugement pécuniaire. Dans le cadre d’un appel de cette décision, le Commissariat a déposé un mémoire d’amicus curiae (ami de la cour), faisant valoir que la décision de la Cour aurait une incidence directe sur le droit à la vie privée des Canadiennes et des Canadiens et la réputation des organismes canadiens touchés par les activités des courtiers en données.

Il s’agit d’un jalon important dans la coopération et la collaboration internationales, qui s’avéreront de plus en plus nécessaires pour protéger adéquatement le droit à la vie privée des deux côtés de la frontière dans les années à venir.

Et c’est ainsi que nous avons honoré pour la première fois notre engagement à appliquer de façon plus assurée la loi canadienne lorsque de nouveaux produits et de nouveaux services ont une incidence sur le droit des Canadiennes et des Canadiens à la vie privée.

À ce jour, notre compétence dans ce domaine particulier n’a pas été contestée.

  • Facebook

Le dossier Facebook constitue certainement notre enquête la plus connue.

En fin de compte, nous sommes parvenus à amener les secteurs sur lesquels nous enquêtions à se conformer à notre loi — j’avoue par contre qu’il a fallu beaucoup de temps à l’entreprise californienne pour prendre le Commissariat au sérieux.

Les choses se sont améliorées lorsqu’ils ont recruté des avocats canadiens.

Comme vous le savez peut‑être, nous avons récemment terminé le suivi de notre enquête et conclu que les préoccupations soulevées dans la plainte déposée par un groupe de défense de l’intérêt public avaient été résolues de façon satisfaisante.

L’enquête a entraîné de nombreux changements importants. Facebook a mis en place des mesures afin de limiter la communication de renseignements personnels à des tiers développeurs d’applications et fournit aujourd’hui à ses utilisateurs une information claire à propos de ses pratiques de protection de la vie privée.

Le chemin a été long avant d’y arriver. Les changements ont été le fruit de discussions approfondies et, bien honnêtement, souvent intenses avec Facebook. Le processus entier était compliqué par le fait que nous négociions avec un site qui en continuelle transformation — une caractéristique commune du monde virtuel.

Notre travail avec Facebook n’est pas terminé. Nous entamons maintenant l’examen de questions qui ne faisaient pas partie de notre première enquête et qui ont fait l’objet de plusieurs plaintes.

  • Collecte de données sur des réseaux Wi-Fi par Google

J’aimerais également mentionner une troisième enquête que nous avons récemment rendue publique, à savoir notre enquête sur la collecte de renseignements personnels par Google par l’entremise de réseaux sans fil non sécurisés dans certains quartiers du Canada.

Nous avons lancé notre enquête à la suite d’une déclaration de Google, selon laquelle ses véhicules — qui photographiaient les quartiers du Canada pour son service Street View — avaient involontairement recueilli des données transmises sur des réseaux sans fil.

En réponse aux questions que lui avaient posées des organismes de réglementation européens, Google avait prétendu que même si ses véhicules Street View recueillaient bel et bien de l’information pour détecter les réseaux sans fil, ils ne recueillaient pas les renseignements communiqués par les utilisateurs sur des réseaux non protégés.

Après quelques vérifications, Google s’est rendu compte que c’était faux. 

À l’époque, Google a semblé minimiser l’importance de l’information recueillie, tenant les propos suivants dans un billet de blogue : « En fin de compte, nous n’aurons recueilli que des fragments de données utiles, puisque nos voitures étaient en mouvement, qu’il aurait fallu qu’une personne soit en train d’utiliser un réseau sans fil au moment même où notre voiture circulait dans son voisinage et que l’équipement sans fil de nos véhicules change de canaux plusieurs fois par seconde. » [traduction]

Toutefois, notre enquête a permis de déterminer que parmi les renseignements personnels recueillis comptaient des courriels entiers, des adresses de courriel, des codes d’utilisateurs et des mots de passe, des noms ainsi que des adresses et des numéros de téléphone résidentiels. Certains des renseignements saisis étaient de nature très délicate; on a retrouvé par exemple une liste de noms de personnes atteintes de certains troubles médicaux, ainsi que leurs adresses et numéros de téléphone.

Alan Eustace, un vice-président directeur de Google, a depuis reconnu que Google recueillait bel et bien des courriels entiers, des adresses URL et des mots de passe. Pour reprendre ses propres mots, il a dit que l’entreprise était « morte de honte », mais qu’elle était confiante que les changements apportés aux processus et à la structure amélioreraient considérablement ses pratiques internes en matière de sécurité et de protection des renseignements personnels, ce qui profiterait à tous ses utilisateurs.

À la lumière de nos découvertes, nous avons recommandé à Google d’adopter un modèle de gouvernance qui lui permette de se conformer aux lois en matière de respect de la vie privée. Le modèle choisi devrait comprendre des mesures de contrôle afin de s’assurer que les procédures nécessaires à la protection de la vie privée soient rigoureusement respectées avant le lancement de nouveaux produits.

Nous avons également demandé à Google d’améliorer la formation qu’elle offre à ses employés sur le respect de la vie privée et de désigner une ou plusieurs personnes responsables des questions relatives à la vie privée et de la conformité de la société à ses obligations en la matière.

Nous avons déjà constaté certains changements qui découlent de notre enquête. Nous considérerons la question résolue lorsque nous aurons la confirmation que Google a appliqué nos recommandations; l’entreprise a jusqu’au 1er février 2011 pour le faire.

Google a maintenant un bureau à Ottawa.  

Les négociations entreprises avec Google à propos de Street View remontent à 2007, c’est-à-dire au moment où nous avons exprimé d’importantes préoccupations relatives au respect de la vie privée entourant la mise en place de son service au Canada. À la suite de discussions approfondies, Google a finalement accepté de mettre en œuvre un certain nombre de changements visant une meilleure protection de la vie privée. Malheureusement, d’après les dires de mes homologues européens, il semble que Google n’ait pas instauré les mêmes mesures de protection de la vie privée dans les autres pays. Les préoccupations de ces derniers relatives au service de Google demeurent.

Pouvoirs d’application de la loi

Lorsque je tourne mon regard vers l’avenir, je constate de plus en plus à quel point nous devons accroître nos pouvoirs d’application de la loi pour nous porter efficacement à la défense du droit des Canadiennes et des Canadiens à la vie privée, autant dans le monde réel que dans le monde virtuel. 

Le Commissariat procède actuellement à l’examen de sa propre structure et de son rôle en tant qu’autorité responsable de la protection des renseignements personnels. Par exemple, nous nous posons la question suivante : devrions-nous continuer sur la même voie, qui met l’accent sur ma fonction d’ombudsman, ou devrions-nous plutôt suggérer au Parlement de renforcer notre pouvoir d’appliquer la loi et de rendre des ordonnances?

L’an dernier, nous avons recruté deux universitaires reconnus — Lorne Sossin, doyen de l’école de droit Osgoode Hall, et France Houle, de l’Université de Montréal — afin qu’ils comparent le contexte économique, juridique et politique général dans lequel la LPRPDE a été édictée avec l’environnement actuel.

Plus précisément, ils devaient évaluer l’efficacité du modèle d’ombudsman pour la protection des renseignements personnels dans le secteur privé, particulièrement à la lumière des changements qui se sont opérés sur le plan technologique, économique et juridique depuis l’entrée en vigueur de la LPRPDE.

L’analyse de ces deux intervenants révèle le succès mitigé du modèle actuel.

Commençons sur une note positive. Les auteurs estiment que le Commissariat a su atteindre des objectifs majeurs en matière de conformité en collaborant avec de vastes secteurs de l’industrie comme les banques et les assurances, en gagnant la confiance du secteur privé, en facilitant l'interprétation et l'application de la LPRPDE, en donnant suite aux plaintes, aux demandes de renseignements et aux préoccupations, en exposant la pertinence de la LPRPDE et en rehaussant de manière générale la visibilité des enjeux liés à la protection de la vie privée.

Les analystes déplorent toutefois l'efficacité discutable du modèle d'ombudsman pour favoriser la conformité à la loi des petites et moyennes entreprises. 

Ainsi, ils proposent comme solution d'octroyer au Commissariat l'autorité précise et limitée de rendre des ordonnances, y compris d'imposer des pénalités telles que des amendes.

Les professeurs proposent également d’ajouter le pouvoir explicite d’émettre des directives pour soutenir la mise en place équitable et transparente de pouvoirs exécutoires.

Le Commissariat travaille présentement à évaluer cette analyse, en l’intégrant à son expérience concernant la LPRPDE à ce jour, et en la comparant à sa propre appréciation des avantages et de l’efficacité du modèle d’ombudsman.

Quoi qu’il en soit, cette étude est appelée à alimenter considérablement le discours public sur l’évolution de la LPRPDE.

Afin de nous préparer à relever d’éventuels défis en matière de protection de la vie privée, nous avons également mener des consultations publiques sur deux grands thèmes — les enjeux de protection de la vie privée relatifs au suivi, au profilage et au ciblage en ligne des consommateurs par des spécialistes du marketing et d’autres entreprises ainsi que ceux relatifs à l’informatique dans les nuages.

Le travail du Commissariat dans le cadre du prochain examen de la LPRPDE prévu en 2011 reposera en partie sur l'analyse des professeurs Sossin et Houle ainsi que sur le résultat des consultations.

Convergence et collaboration avec d’autres organismes de réglementation

La tendance à une plus grande collaboration entre les organismes de réglementation est importante compte tenu des répercussions sur la vie privée de l’abondance actuelle de l’information publiée sur le Web. 

Durant mon séjour en Israël, j’ai eu l’occasion de discuter à huis clos de cette question avec mes homologues internationaux.

Ici, au Canada, nous observons également quelques préoccupations réglementaires convergentes. Voici quelques exemples :

En 2009, le Commissariat a collaboré avec le Bureau du vérificateur général du Canada pour la vérification de quatre institutions fédérales.

Nous travaillons également plus étroitement avec le Conseil de la radiodiffusion et des télécommunications canadiennes. Le mandat du CRTC, qui vise la protection de la vie privée des utilisateurs de produits de télécommunications, vient compléter celui du Commissariat.

Nous intervenons régulièrement dans les travaux du CRTC qui portent sur des questions relatives à la protection des renseignements personnels. Récemment, nous sommes intervenus relativement à l’utilisation de l’inspection approfondie des paquets, ou IAP, par des fournisseurs de services Internet, ou FSI. De plus, nous avons mené notre propre enquête sur des plaintes concernant l’utilisation de l’IAP par des FSI. Bien que nous n’ayons pas collaboré de façon officielle, les efforts investis par l’un et l’autre des organismes ont servi à la promotion de la protection des renseignements personnels.

L’été dernier, le président du CRTC est entré en contact avec moi pour me parler d’une nouvelle forme de marketing — la publicité adressable, aussi connue sous le nom de « publicité ciblée ». Cette stratégie de marketing repose sur l’insertion de messages publicitaires ciblés dans les émissions de télévision. Ces messages publicitaires s’adressent à un foyer particulier selon les caractéristiques des personnes qui le composent — âge, genre, revenu, emplacement géographique, etc. Une boîte numérique permet également de stocker l’information relative à leurs habitudes d’écoute.

Le CRTC s’est prononcé en faveur de l’insertion de messages publicitaires adressables — à condition que les questions relatives à la protection de la vie privée puissent être débattues. J’ai aimé que le CRTC prenne l’initiative d’inclure le Commissariat dans ce dossier.

Enfin, le Commissariat travaillera avec le CRTC et le Bureau de la concurrence du Canada en vue de mettre en application les dispositions de la loi anti-pourriel actuellement débattues au Parlement. Le projet de loi vient tout juste d’être examiné par le Comité de la Chambre des communes, qui n’y a pas apporté de changement important.

Conclusion

Comme les entreprises en ligne occupent une place grandissante dans notre quotidien, nous devons absolument nous assurer que les lois du monde réel peuvent, en fait, s’appliquer au monde numérique.

À l’échelle nationale, j’espère que les modifications apportées à la LPRPDE à la suite du premier examen de la Loi entreront en vigueur dans un avenir rapproché.  L’efficacité de la LPRPDE dans l’univers en ligne sera sans aucun doute au cœur du prochain examen législatif. 

Sur la scène mondiale, les discussions que j'ai eues avec mes homologues internationaux en Israël il y a quelques semaines ont renforcé ma confiance relativement à l'émergence, au cours de la prochaine décennie, d'une démarche plus concertée, cohérente — et, en fin de compte, plus réussie — à l'égard de la protection des renseignements personnels.

À mon avis, nous serons témoins d'une plus grande collaboration, au Canada comme à l'étranger. Nous verrons le dialogue international s'intensifier et rassembler tous les acteurs autour d'une même table.

Un ensemble solide et cohérent de principes et de lignes directrices, adopté partout dans le monde, contribuera grandement à préserver et à promouvoir le droit à la vie privée des Canadiennes et des Canadiens. Je travaillerai très fort pour m’assurer que cela se produise.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :