Vers une protection proactive de la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion du 1er Congrès annuel sur la vie privée et la sécurité de l'information 2010 organisé par Reboot Communications

Le 15 novembre 2010
Ottawa (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je suis très heureuse de donner le coup d’envoi de ce premier congrès sur la vie privée et la sécurité de l’information ici, à Ottawa. Si nous nous fions aux onze dernières conférences annuelles de Reboot Communications sur la vie privée et la sécurité tenues à Victoria, nous pouvons espérer un programme bien rempli, stimulant et inspirant au cours des deux prochains jours.

En effet, si je me fie au programme, je peux voir un peu de tout; il sera question de biométrie, d’infonuagique, d’exploitation des enfants, de gestion de l’identité, de dossiers de santé électroniques et de cybercriminalité. Ce sont là des sujets et des enjeux diversifiés il va sans dire.

Le point commun de tous ces sujets est qu’ils dénotent une modification considérable de la situation, même au cours des dix dernières années. Avec ces changements sont apparus des obstacles tout aussi considérables en matière de protection de la vie privée et de sécurité des données.

Les défis sont d’une telle portée et d’une telle importance qu’il est peu probable que nous les relevions au cours des deux prochains jours… des deux prochaines années… ou peut-être jamais.

À tout le moins, j’espère qu’à la fin de cette conférence, nous serons en mesure de mieux comprendre les problèmes et le rôle que chacun d’entre nous doit jouer pour les aborder.

Évolution du paysage de la protection de la vie privée

Lorsque j’ai accepté le rôle de commissaire à la protection de la vie privée il y a sept ans, Facebook n’existait pas, « googler » n’était pas un verbe et les gens se donnaient rendez-vous dans les bars, pas en ligne.

Pour sa part, le Parlement tentait de conclure le débat autour de la Loi sur la sécurité publique, qui faisait partie d’une série d’interventions visant à faire face à ce nouvel environnement marqué par la peur découlant des événements du 11 septembre 2001.

Les pressions sur la sécurité nationale, l’évolution des normes sociales évolutives et le rythme de changement rapide des technologies de l’information demeurent trois des plus grands défis pour la protection de la vie privée.

Par exemple, regardez à quel point les comportements et les attentes des gens ont changé. Ils publient des messages, bloguent et microbloguent, font des appels sur Skype, effectuent des transactions bancaires, magasinent et jouent à des jeux en ligne. Ils paient leurs impôts et demandent des services gouvernementaux en ligne pour ensuite faire une tournée virtuelle de Paris. Ils ont des fonctions GPS intégrées à leurs téléphones intelligents, leurs voitures et même leur sac de golf.

Les Canadiennes et les Canadiens d’aujourd’hui souhaitent avoir le monde au bout de leurs doigts quand bon leur semble : partout, en tout temps, sur n’importe quel appareil intégré multifonctionnel.

Cette nouvelle situation entraîne notamment une explosion de données faciles à partager dans toute la ville ou dans le monde entier. Elle fait aussi en sorte que nos mouvements et nos comportements, autant dans le monde réel que virtuel, sont plus susceptibles d’être surveillés et suivis.

Récompenses et risques

Pour les entreprises, toutes ces activités représentent des possibilités très alléchantes.

Le gouvernement aussi suit la révolution numérique, au sein de son effectif, dans ses relations avec les Canadiennes et les Canadiens et comme outil pour maintenir la sécurité publique.

Toutefois, l’envers de la médaille de tous ces changements technologiques et sociétaux est qu’ils représentent des risques pour la vie privée et les renseignements personnels.

Bien entendu, nous nous méfions des escrocs, des voleurs d’identité et d’autres menaces pour la sécurité — comment pourrait-il en être autrement?

Mais il en va de bien plus.

Le volume stupéfiant de renseignements personnels recueillis, traités et partagés, souvent sans que les personnes concernées soient au courant, soulève des questions troublantes relativement à la capacité des gens à contrôler leur propre identité et à vivre de façon libre et anonyme.

Défis réglementaires

Face à ces défis, comment devraient réagir les organismes de réglementation en matière de protection de la vie privée?

Nous pouvons utiliser les outils à notre disposition, et nous continuerons de le faire; des outils comme les enquêtes et les vérifications à la suite de plaintes et les recours, lorsqu’il y en a, aux tribunaux afin de faire respecter les lois.

Ces outils sont généralement très efficaces pour mener à bien notre mandat et je vous rappellerai quelques-unes de nos réussites dans un moment.

Toutefois, le temps est peut-être venu d’élargir nos horizons.

Nous devons considérer la protection de la vie privée comme étant la responsabilité de tous et mobiliser dès le départ les organismes des secteurs public et privé.

Nous devons agir de façon plus prévoyante et proactive afin de maximiser l’impact de nos efforts en matière de conformité.

Permettez-moi de vous donner quelques exemples pour illustrer comment je vois cette évolution :

Facebook

Une de nos réalisations les plus importantes au cours des dernières années a été de conjuguer « réseau social » et « protection de la vie privée ».

Lorsque nous avons ouvert notre enquête sur les politiques et les pratiques de Facebook en 2008, les sceptiques se posaient des questions sur la place de la vie privée dans un réseau social. Après tout, le but précis de l’exercice n’était-il pas de « tout révéler »?

Malgré tout, nous sommes allés de l’avant avec notre enquête. Nous avons publié un rapport et fait un suivi auprès de Facebook. Nous avons mené une autre enquête, puis il y a eu d’autres discussions.

Où en sommes-nous aujourd’hui?

Facebook, que ce soit au Canada ou n’importe où ailleurs dans le monde, est désormais une plateforme où la vie privée a un certain sens. Les paramètres de confidentialité sont plus faciles à comprendre. Les utilisateurs parlent du respect de la vie privée — en fait, ils sont nombreux à s’impliquer lorsque le site propose d’apporter des changements à la collecte, à l’utilisation ou à la communication des renseignements personnels.

Est-ce que tout est réglé maintenant? J’en doute.

Cependant, nous pouvons dire que nous avons contribué à réorienter le discours. Nous avons montré que la protection de la vie privée est bel et bien importante, même en ligne.

Et que les utilisateurs sont une partie essentielle de l’équation. Ils ne se limitent pas seulement à vouloir protéger leurs renseignements personnels, ils l’exigent.

Google et les réseaux Wi-Fi

Après ce résultat encourageant, nous avons de nouveau fait des vagues le mois dernier avec la publication de notre rapport d’enquête préliminaire sur la collecte de données Wi-Fi réalisée par Google à l’aide de ses voitures-caméras Street View.

Notre enquête a permis d’établir que Google avait sans doute recueilli des données sur des milliers de Canadiennes et de Canadiens, et la plupart étant de nature très délicate. Dans un seul échantillon, nous avons trouvé des courriels complets, des noms d’utilisateur et des mots de passe ainsi qu’une liste de personnes souffrant de certains problèmes médicaux comprenant leur numéro de téléphone et leur adresse. 

Notre découverte était sans précédent et a forcé Google à admettre que l’entreprise n’avait pas recueilli que des données fragmentaires.

Même si l’origine de cette collecte est attribuable à la négligence, nous avons conclu que Google avait enfreint les dispositions de la LPRPDE, la Loi sur la protection des renseignements personnels et les documents électroniques.

Nous avons demandé à l’entreprise de modifier certaines politiques et procédures internes et de détruire immédiatement toutes les données utiles non requises dans le cadre du litige. Google a jusqu’au 1er février prochain pour mettre en application toutes nos recommandations.

Anciens Combattants

En ce qui concerne le secteur public, nos enquêtes en vertu de la Loi sur la protection des renseignements personnels ont aussi favorisé le respect du droit à la protection de la vie privée des Canadiennes et des Canadiens.

Vous vous souvenez peut-être des conclusions que nous avons publiées le mois passé concernant une enquête auprès du ministère des Anciens Combattants sur la communication inappropriée de renseignements médicaux et personnels confidentiels d’un ancien combattant de la guerre du Golfe qui était aussi un critique volubile du Ministère.

Notre enquête a démontré que les renseignements personnels et médicaux confidentiels de l’ancien combattant ont été partagés, apparemment sans aucun contrôle, entre des fonctionnaires du Ministère qui n’avaient aucune raison légitime de les voir.

Ces informations se sont ensuite retrouvées dans une note de breffage sur les activités partisanes de la personne, ce que j'ai jugé totalement inapproprié.

Vérifications

En fait, ces observations étaient si inquiétantes que nous allons entamer une vérification plus vaste des politiques et des pratiques du Ministère en matière de protection des renseignements personnels.

Le mois dernier, nous avons aussi publié les conclusions de deux vérifications menées dans le secteur public.

L'une d’elles dévoile des lacunes importantes concernant la manière dont les institutions fédérales se débarrassent des ordinateurs excédentaires, qui, dans bien des cas, contiennent encore des données de nature délicate. Nous avons de plus découvert que des documents étaient détruits par des entrepreneurs privés sans la surveillance nécessaire du gouvernement.

La deuxième, qui portait sur l’utilisation des technologies sans fil par cinq ministères ou organismes fédéraux, a permis de découvrir de nombreuses lacunes relativement aux politiques et aux pratiques qui pourraient représenter un danger pour la protection des renseignements personnels des Canadiennes et des Canadiens.

En juin, nous avons en même temps publié les résultats d'une vérification que nous avons effectuée du côté du secteur privé. Celle-ci a été déclenchée par une série de graves atteintes à la protection des données parmi les courtiers immobiliers de l'Ontario qui a compromis les renseignements personnels de milliers de Canadiennes et de Canadiens.

Cette vérification a soulevé des préoccupations sur la sécurité des données, le stockage désordonné des documents qui renferment des renseignements personnels, le consentement inadéquat des clients et une absence de responsabilité générale en ce qui a trait aux questions touchant à la protection des renseignements personnels.

Protection active de la vie privée

Au cours de la dernière période de référence pour chacune de nos deux lois, nous avons fermé 1 741 dossiers de plainte et réalisé trois vérifications exhaustives.

Toutefois, à mesure que le concept de respect de la vie privée évolue et que de nouvelles menaces apparaissent, il devient de plus en plus évident qu’il nous est impossible de faire la lumière sur chaque situation à l’aide d’une enquête ou d’une vérification en bonne et due forme.

La protection de la vie privée ne devrait pas non plus dépendre uniquement des organismes de réglementation qui utilisent tantôt la carotte ou le bâton et qui montrent du doigt les fautifs.

Il faut plutôt commencer par les organismes que nous réglementons. Il faut que les organismes des secteurs public et privé s’impliquent. Ils doivent penser à ce qu’ils font, comment ils le font et ce qu’ils prévoient faire ensuite. Plus important encore, ils doivent se demander comment y intégrer la protection de la vie privée.

S’il s’agit d’une approche plus pratique pour nous, elle est certainement avantageuse aussi pour les organismes que nous réglementons. Je peux vous dire que le Commissariat emprunte déjà cette voie plus inclusive, systématique et proactive vers le respect de la vie privée.

Par exemple, dans un mémoire dans le cadre de la consultation relative à la Stratégie sur l’économie numérique du gouvernement du Canada en juillet dernier, nous avons appuyé un point de vue holistique favorisant une culture de protection de la vie privée, autant pour les entreprises que pour le gouvernement, de l’étape de conception d’une initiative jusqu’à sa mise en œuvre.

De plus, pendant une rencontre internationale des responsables de la protection des données à Jérusalem il y a quelques semaines, j’ai coparrainé une résolution mise de l’avant par ma collègue ontarienne Ann Cavoukian. Cette résolution appelle les organismes à intégrer par défaut le souci de respecter la vie privée à même la conception, de l’exploitation et de la gestion des technologies et systèmes de l’information.

Google Buzz

L’intégration par défaut des mesures de protection de la vie privée, c’était aussi le message que les représentants de neuf autorités responsables de la protection des données d’un peu partout dans le monde et moi-même avons envoyé à Google et à d’autres chefs de file en matière de technologies dans une lettre ouverte en avril dernier.

L’objectif de cette lettre était de condamner ce que nous considérions comme une attitude cavalière de Google envers le respect de la vie privée lors du lancement de son site de réseau social Buzz.

Mais le message à retenir était plus large. La lettre pressait les entreprises du domaine des technologies de penser à la protection de la vie privée avant de lancer un nouveau produit ou service, plutôt que de laisser les avocats réparer les pots cassés après coup.

Je tiens à souligner qu’aucune de ces mesures ne viendrait mettre un frein à l’innovation.

Au contraire : plus les gens feront confiance à une entreprise pour protéger leurs renseignements personnels, plus le succès de l’entreprise sera grand.

Critère en quatre parties

Cet intérêt accordé à la protection de la vie privée est essentiel dans le secteur public aussi, puisque de plus en plus de renseignements gouvernementaux, de services et d’activités sont offerts en ligne.

Voilà pourquoi, par l’entremise notamment de notre processus d'évaluation des facteurs relatifs à la vie privée, nous mettons au point un processus permettant d’analyser et de justifier de nouvelles mesures à l’étape de la gestation.

Nous demandons aux institutions qui envisagent de mettre en place une initiative nécessitant la collecte de renseignements personnels d’expliquer — à nous et au grand public — pourquoi elles croient que l’initiative est nécessaire et comment elle peut atteindre les objectifs fixés de façon efficace.

Nous leur demandons aussi de démontrer que toute atteinte à la vie privée est proportionnelle aux avantages qui en découlent, et qu’il n’existe pas d’autres options moins envahissantes sur le plan de la protection de la vie privée.

Documents d’orientation

Le critère en quatre parties occupe maintenant une place importante dans la série de documents d’orientation que le Commissariat conçoit en ce moment dans quatre domaines stratégiques prioritaires — le premier étant la sécurité nationale. Les autres domaines sont les technologies génétiques, les technologies de l’information et la protection de l’identité personnelle.

Encore une fois, l’idée est d’intégrer les considérations en matière de protection de la vie privée directement au cœur d’une initiative.

Les documents aideront les décideurs à comprendre que le respect de la vie privée est un droit fondamental qui doit coexister avec d’autres droits et priorités. Une méthode normalisée établira ensuite les étapes à suivre pour créer une initiative sensible à la protection des renseignements personnels.

La commissaire adjointe Chantal Bernier aura beaucoup d’autres choses à vous dire concernant notre document inaugural et le processus qui nous y a menés lorsqu’elle prendra la parole demain matin.

Mesures à venir

Alors qu’il se tourne vers l’avenir, le Commissariat continuera de prendre les devants.

Par exemple, nous avons publié récemment un document provisoire résumant ce que nous avons entendu dans le cadre de nos grandes consultations sur l’impact des nouvelles technologies et pratiques opérationnelles sur la vie privée des consommateurs.

Plus tôt cette année, à Toronto, Montréal et Calgary, nous étions à l’écoute alors qu’un large éventail de porte-paroles et de particuliers se sont penchés sur des sujets comme l’infonuagique, la vie privée des enfants en ligne, et le suivi, le profilage et le ciblage en ligne des consommateurs par des spécialistes du marketing et d’autres entreprises.

Le but était de mieux comprendre le paysage changeant de la protection de la vie privée et d’envisager ce que les organismes peuvent faire pour intégrer des mesures de protection à leurs activités.

En ce moment, nous recueillons des commentaires au sujet de notre document provisoire. Je vous encourage à le consulter sur notre site Web pendant cette période qui prendra fin le 26 novembre. D’autres activités de recherche et de sensibilisation du public, davantage de documents d’orientation et des travaux continus avec les intervenants suivront.

Nous avons aussi ouvert officiellement un bureau à Toronto le mois dernier. Il est encourageant de constater la réponse enthousiaste que cette initiative de décentralisation a générée dans les milieux universitaires et juridiques ainsi que dans le monde des affaires.

Avec cette nouvelle présence au cœur du centre des affaires du Canada, nous augmentons les interactions avec les industries réglementées pour faire comprendre l’importance de la protection de la vie privée et des renseignements personnels.

Conclusion

En résumé, nous traversons une zone de turbulence qui entraîne des pressions extraordinaires sur la protection de la vie privée. Les obstacles sont énormes, complexes et en constante évolution.

En outre, les conséquences ne sont pas toujours prévisibles.

Nous devons donc être à l’affût pour ne pas manquer le virage. Que ce soit au sein du gouvernement ou du secteur privé, à titre de consommateurs ou de citoyens, nous devons nous poser les questions suivantes : 

Pourquoi cette information personnelle doit-elle être recueillie? Qui l’utilise? Est-elle partagée, échangée ou vendue? Qui veut l’obtenir et pour combien de temps?

Nous devons tous poser ces questions et y répondre.

Car malgré les turbulences, il y a aussi des moments stimulants porteurs de promesses et de possibilités.

Pourtant, nous ne pourrons profiter de tous les avantages que si nous travaillons ensemble, en tant que société, pour maintenir le droit des personnes à la vie privée.

Sur ce, je vous souhaite bonne conférence.

Merci.

Date de modification :