Protéger les renseignements personnels : Une saine gestion d'affaires… et l'affaire de tout le monde

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l'occasion du SC Magazine World Congress Canada

Le 16 novembre 2010
Toronto (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je suis heureuse d'être parmi vous aujourd'hui à l'occasion de ce congrès mondial organisé par SC Magazine et qui se tient pour la première fois au Canada.

Je suis ravie de voir autant de personnes influentes des secteurs public et privé réunies dans cette salle. Ce que j'en conclus, c'est que le domaine de la vie privée et de la sécurité des données ne constitue plus uniquement un dialogue spécialisé entre les ingénieurs-systèmes et les organismes de réglementation. L'intérêt à ce sujet est maintenant vif, généralisé et, à mon sens, des mieux accueilli.

Alors, permettez-moi de profiter le plus possible de cette occasion!

Je vous propose d'observer le point de vue qui s'offre à moi, de mon bureau du troisième étage à Ottawa, concernant le domaine actuel de la protection de la vie privée, les nouveaux défis et la façon dont la réglementation relative à la protection de la vie privée évolue en conséquence.

Ce que je souhaite vous transmettre, c'est une appréciation de l'étendue des défis et du rôle que nous avons tous à exercer — vous y compris — pour sauvegarder la vie privée et les renseignements personnels des habitants du Canada, des États-Unis ou d’ailleurs.

Exemple

J'aimerais d'abord planter le décor en vous posant la question suivante : vos pensées sont-elles vraiment privées?

Bien sûr, me répondrez-vous sans hésiter. À moins qu'on ne fixe des électrodes à votre crâne pour mesurer les ondes de votre cerveau, vos pensées restent de toute évidence le dernier refuge d’une véritable intimité.

Néanmoins, un courant se dessine en vue d'envahir ce dernier bastion. Ce courant est associé à l'organe de recherche du Pentagone, la Defense Advanced Research Projects Agency, ou DARPA.

Le mois dernier, la DARPA a lancé des appels d'offresNote de bas de page 1 en vue de conclure un contrat de plusieurs millions de dollars visant à trouver une façon mathématique de passer au crible des milliards de messages textes et de courriels en vue d'y déceler des preuves d'intentions malveillantes.

Il n’est pas question ici de réels actes malveillants, mais bien d’intentions malveillantes.

Ce projet de recherche est appelé projet ADAMS, ou Anomaly Detection at Multiple Scales. L'objectif manifeste est de prévoir si un employé honnête et consciencieux peut soudainement devenir un criminel.

Le Pentagone prétend que le projet a été amorcé par suite de la fusillade survenue l'an dernier aux installations militaires de la base de Fort Hood, au Texas, qui aura fait 13 morts et 43 blessés. Le major Nidal Hasan, psychiatre de l'armée américaine, comparaît actuellement devant la cour martiale relativement à cette tragédie.

La DARPA a demandé d'obtenir les notes préliminaires faisant état de certains commentaires radicaux que le Major Hasan aurait peut-être publiés en ligne avant ce tragique événement. Voici ce qu'on a conclu :

[Traduction] « Malheureusement, cette enquête a lieu après les événements. Dans ce cas particulier, ADAMS aurait permis de détecter toute anomalie dans le comportement présumé du major Hasan et d'alerter à temps l’autorité compétente qui aurait pu intervenir avant que cette tragédie se produise. »

Il y plus de 50 ans, alors que Philip K. Dick publiait sa nouvelle « Rapport minoritaire », qui inspirera le film de Steven Spielberg en 2002, ce genre de scénario relevait encore de la science-fiction.

Mais aujourd'hui, ADAMS constitue tout simplement une version extrême du forage des données qui se produit partout et en tout temps.

Les défis en matière de protection de la vie privée

En fait, il y a déjà tellement de défis en matière de protection de la vie privée qu'il n'est pas nécessaire de scruter le futur pour se sentir interpellé.

Les réseaux sociaux, le repérage GPS, le suivi à l'aide de l'IRF, le suivi en ligne et la surveillance généralisée effectuée par les gouvernements et les entreprises nous font vite oublier la signification des mots solitude, anonymat et bien sûr, vie privée.

Selon certaines prévisions, d'ici 20 ans, c'est environ 50 milliards d'appareils comportant des microprocesseurs qui seront reliés aux divers réseaux. Chaque aspect de notre vie sera constamment surveillé et souligné par l'entremise de l'Internet des choses, une combinaison de technologies d'identification par radiofréquence (IRF), de technologies de détection et de nanotechnologies.

Il ne s'agit pas ici d'un scénario farfelu ou futuriste. En réalité, on peut déjà se procurer ce genre de technologie intelligente dans les grandes chaînes de produits de consommation, et les entreprises de services publics mettent déjà en place des compteurs intelligents.

Incidences réglementaires

Il doit être clair que les autorités responsables de la protection de la vie privée sont confrontées à des défis de taille.

Considérons, par exemple, que beaucoup de régimes de réglementation relatifs à la protection des renseignements personnels, notamment notre loi pour le secteur privé ici, au Canada, se fondent sur une série de principes équitables de gestion de l'information, soit les principes de 1950 de l’OCDE.  

Ces principes ordonnent, entre autres choses, que les organisations obtiennent le consentement pour la collecte de données personnelles, qu'elles limitent la collecte à ce qui est essentiel à des fins d'identification, qu'elles intègrent des mesures de protection et qu'elles désignent un responsable des données.

  • Mais, étant donné la présence d'étiquettes IRF qui émettent des données en silence, comment déceler l'existence d'un flot d'information qui ne s'embarrasse aucunement de concepts comme le consentement ou la fiabilité?
  • Considérant l'infonuagique et la complexité accrue de l'environnement technologique, comment parvenir à déterminer qui collecte les renseignements, qui y a accès et qui a compétence?
  • De plus, avec la propagation instantanée des données partout dans le monde, comment est-il possible de déterminer où ces données sont recueillies, emmagasinées, traitées ou partagées?

Réussites en matière de réglementation

Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, est fondée sur ces principes équitables de gestion de l'information. Conçue en vue d'être souple et neutre en matière de technologie, la Loi nous a toujours bien servis au cours des neuf dernières années qui ont suivi sa proclamation.

En fait, elle nous a permis d'affronter les principaux géants des technologies du monde.

En septembre, rappelez-vous, nous avons bouclé une enquête importante ayant débuté en 2008 au sujet de Facebook. Dans la foulée de cette enquête, associée à d'intenses et de longues discussions, le site de réseautage social a considérablement rehaussé les éléments de protection de la vie privée destinés au demi-milliard d'utilisateurs partout dans le monde.

Nous avons publié le mois dernier les résultats préliminaires d'une enquête sur la collecte par Google de données transmises sur des réseaux Wi-Fi, destinées à ses applications cartographiques.

Bien que les autorités de protection des données de plusieurs pays aient examiné la situation, je tiens à souligner que nous sommes les seuls à nous être déplacés aux bureaux de Google en Californie pour examiner les données recueillies.

En agissant ainsi, nous avons été en mesure de relever d’importantes preuves permettant de remettre en question ce que Google avait d'abord affirmé. Au départ, ils ont soutenu que toute donnée utile recueillie serait fragmentaire et sans valeur.

Toutefois, nous avons découvert des courriels entiers, des fichiers, des mots de passe, des demandes de pages Web et d'autres données qui ne peuvent en aucun cas être considérées comme étant sans valeur.

Google a invariablement maintenu que la collecte avait été effectuée par inadvertance et que personne n'avait voulu ou eu l'intention de recueillir ces données utiles. Toutefois, un examen attentif des processus techniques et opérationnels a permis de constater que, pour des motifs qu’il a gardés pour lui, l'ingénieur ayant rédigé le code avait réellement eu l'intention de recueillir les données en question, et qu'il n'en avait pas avisé ses patrons.

Les résultats de notre enquête auront permis de déterminer que, dans ce cas, on a fait preuve de négligence pour la collecte de données. Quoi qu'il en soit, c'était contraire à la LPRPDE. Nous avons recommandé à Google de détruire ces données dès que possible et avons exigé la mise en place de nos recommandations d'ici février afin que leurs pratiques soient conformes à la loi canadienne.

Bien que nous n'ayons pas encore reçu de réponse officielle, l'entreprise a annoncé publiquement la nomination d'un responsable de la protection de la vie privée et elle planifie de mettre en place d'autres contrôles et procédures internes ainsi qu'une formation s'adressant aux employés.

Selon moi, l'incident concernant les données Wi-Fi recueillies par Google démontre qu'il nous est possible d'agir rapidement, fermement et avec beaucoup d'expertise.

En vertu de la Loi sur la protection des renseignements personnels

Pendant ce temps, nous avons aussi contribué à renforcer la protection de la vie privée au sein du secteur public fédéral grâce aux pouvoirs plus limités que nous octroie la Loi sur la protection des renseignements personnels.

Par exemple, une vérification relative à la protection de la vie privée nous a permis récemment de souligner les lacunes présentes dans les politiques et les pratiques du gouvernement concernant l'utilisation de réseaux sans fil ou d'appareils mobiles comme les BlackBerry ou les téléphones intelligents.

Une deuxième vérification a permis d'attirer l'attention sur des problèmes de longue date relatifs à la façon dont le gouvernement se débarrasse du matériel informatique excédentaire ou des documents papier destinés aux rebus.

Notre processus d'évaluation des facteurs relatifs à la vie privée a également engendré beaucoup d'améliorations gratifiantes en matière de protection de la vie privée. Par exemple, à la suite de discussions considérables entre le Commissariat et l'administration de la sûreté aérienne, les scanneurs corporels que vous voyez dans les aéroports comportent maintenant de nombreuses mesures visant à mieux préserver votre vie privée et votre dignité. 

Changements au CPVP

Malgré ces réussites, nous savons que nos outils et notre cadre de réglementation ne suffiront pas à affronter les défis à venir.

Du côté du secteur public, nous continuons de préconiser la modernisation de la Loi sur la protection des renseignements personnels, promulguée en 1982; à l’époque, le Commodore 64 était lancé et E.T. tentait de « téléphoner maison ».

En attendant, nous examinons d'autres façons de satisfaire à cette partie de notre mandat. Par exemple, plus tôt aujourd'hui, ma collègue, la commissaire adjointe Chantale Bernier, a dévoilé notre tout premier document d'orientation sur la protection des renseignements personnels concernant la sécurité nationale et publique.

Destiné aux décideurs ainsi qu'au grand public avisé, ce document établit une approche rationnelle et systématique afin d’intégrer des considérations de protection de la vie privée dans les initiatives relatives à la sécurité.

Nous tâchons aussi de demeurer au courant des développements importants de la technologie et de leurs répercussions sur la protection de la vie privée.

Ainsi, nous concluons tout juste un processus approfondi de consultation des consommateurs à l'échelle nationale lié au suivi, au profilage et au ciblage des consommateurs en ligne par les spécialistes du marketing et d'autres entreprises, et ceux liés à l'infonuagique.

Pouvoirs du Commissariat

Nous avons également commandé à deux universitaires émérites l'examen des pouvoirs du Commissariat en vertu de la LPRPDE pour qu'ils fassent des suggestions en vue de garantir que les outils de réglementation dont nous disposons s'harmonisent aux besoins changeants.

Dans leur analyse, Lorne Sossin, doyen de l'Osgoode Hall Law School et France Houle, de l'Université de Montréal, ont relevé que le modèle actuel de l’ombudsman avait mieux fonctionné au sein de vastes secteurs comme les banques et les assurances qu'avec les petites et moyennes entreprises.

Une des options mise de l'avant propose d’octroyer au Commissariat l’autorité précise et limitée de se prononcer, y compris d’imposer des pénalités telles que des amendes. Les professeurs prescrivent également le pouvoir explicite d’émettre des directives pour soutenir la mise en place équitable et transparente de pouvoirs exécutoires.

Le Commissariat travaille présentement à évaluer cette analyse, en l’intégrant à son expérience concernant la LPRPDE à ce jour, et en la comparant à sa propre appréciation des avantages et de l’efficacité du modèle d’ombudsman. Le travail du Commissariat dans le cadre du prochain examen de la LPRPDE qui doit débuter l'an prochain reposera en partie sur l’analyse des professeurs Sossin et Houle.

Je tiens à souligner que certains changements sont déjà en cours concernant mes pouvoirs.

Le Parlement étudie actuellement le projet de loi C-29 qui permettrait, entre autres, de déclarer des manquements à la Loi obligatoire pour les organisations du secteur privé. 

Le projet de loi C-28, une autre mesure législative adoptée au même moment, vise d'abord et avant tout à freiner les pourriels. Ce projet de loi donnerait au Commissariat des responsabilités particulières de nature réglementaire en vue de lutter contre ce fléau pour les entreprises et les consommateurs.

Il nous accorde aussi de nouveaux pouvoirs pour contrôler les cas faisant l'objet d'une enquête.

Il nous permet aussi de partager l'information dans le but d'appliquer les lois canadiennes en matière de protection des renseignements personnels. Il s'agit d'éléments déterminants à la lumière des défis intergouvernementaux en matière de circulation de données dont nous avons parlé plus tôt.

Intervention réglementaire mondiale

En fait, la protection de la vie privée à l'ère des données massives constitue avant tout une préoccupation mondiale.

Si nous souhaitons agir efficacement au Canada à titre de responsables de la réglementation, il est essentiel de joindre un réseau d'autorités internationales de protection des données. Cela signifie que nous devons partager des renseignements avec nos partenaires internationaux.

Je suis heureuse de dire que nous assistons à de nombreux développements intéressants sur la scène mondiale.

Par exemple, à Madrid, l'an dernier, des commissaires à la protection des données de partout dans le monde se sont entendus pour travailler afin d'établir des normes internationales en matière de protection de la vie privée. L'OCDE et l'Union européenne examinent et renouvellent leurs cadres de protection de la vie privée et nous participons à ces efforts.

Récemment, le Canada a également joint le Global Privacy Enforcement Network (ou réseau mondial d'application des lois pour la protection de la vie privée) et l'Accord de coopération de l'APEC sur la protection transfrontière des données, qui sont conçus pour renforcer le respect des lois sur la protection des renseignements personnels au moyen d'une meilleure collaboration transfrontière.

Je me dois d'ajouter que certaines formes de collaboration sont moins structurées quoique tout aussi efficaces.

Par exemple, lorsque Google n'a pas pris en compte le droit à la vie privée dans son service de réseau social Google Buzz en février dernier, nous avons choisi d'inviter neuf autres autorités en matière de protection des données provenant de partout dans le monde à prendre part à une tactique nouvelle et très efficace.

Nous avons procédé à la publication conjointe d’une lettre ouverte pour enjoindre Google et d’autres titans des technologies qui conservent des renseignements personnels, à intégrer les principes fondamentaux de la protection des renseignements personnels dès la conception de nouveaux services en ligne.

La protection des données personnelles comme mode de fonctionnement par défaut

Quoi qu'il en soit, c'est le message que je tâche de transmettre chaque fois que j'en ai l'occasion. Il y a quelques semaines, lors d'une conférence internationale des commissaires à la protection des données et de la vie privée à Jérusalem, j'ai coparrainé une résolution sur la protection de la vie privée mise de l'avant par ma collègue de l'Ontario, Ann Cavoukian, visant à intégrer les considérations sur la protection des renseignements personnels à la conception, au fonctionnement et à la gestion des technologies de l'information.

Comme les commissaires à la protection des renseignements personnels de quatre continents l'ont expliqué à Eric Schmidt, président du conseil d’administration et chef de la direction de Google, dans une lettre ouverte au sujet de Google Buzz :

« Il est inacceptable de lancer un produit qui rende publics des renseignements personnels sans l'accord des intéressés, avec l'intention de régler par la suite les problèmes susceptibles de se poser. La protection de la vie privée ne doit pas être reléguée au second plan dans l’empressement de proposer de nouvelles technologies en ligne aux utilisateurs du monde entier. »

La lettre poursuivait pour rappeler à Google que la protection des données et les lois sur la protection des renseignements personnels s'appliquent autant en ligne que dans le monde réel.

En outre, nous invitons Google et toutes les entreprises développant des technologies novatrices ayant des conséquences sur les renseignements personnels des personnes à entamer le dialogue avec nous au moment même de concevoir des services qui auront une incidence significative sur la vie privée.

Cela peut certainement être fait. Les principes équitables de gestion de l'information dont j'ai parlé plus tôt offrent une orientation concrète et pratique pour quiconque souhaite les mettre en place.

Mais aujourd'hui, ce qu'il faut retenir, c'est que nous nous attendons à ce que les entreprises ne considèrent pas la vie privée comme une composante additionnelle ou un menu déroulant, mais bien par défaut.

Les technologies ne sont après tout que des outils. Elles peuvent être modifiées ou redéfinies.

Le véritable défi consiste à convaincre toutes les organisations de l'importance de la vie privée et de prendre les mesures nécessaires pour la protéger, et ce, dans tous les aspects des affaires qu'elles mènent.

Pas seulement de temps à autre, mais toujours.

Cette façon de voir les choses contribue grandement à maintenir la bonne humeur des autorités de réglementation de la protection des renseignements personnels. De plus, elle contribue à apaiser les consommateurs.  

Rappelez-vous que le lancement maladroit de Google Buzz a provoqué un tel tollé parmi les utilisateurs que Google a dû se retirer, résoudre le problème et présenter des excuses.

La collecte de données Wi-Fi par Google a occasionné tellement de poursuites en justice et de confrontations liées à la réglementation qu'un blogueur très avisé a récemment eu la géniale idée de créer une carte Google afin de les retracer toutes!

Conclusion

Pour conclure, je tiens à souligner qu'à titre d'autorité de réglementation au Canada, nous ne souhaitons pas mettre un frein à l'innovation.

Au contraire : nous la célébrons.

Nous comprenons bien les avantages apportés par la technologie et le désir de la population canadienne de participer pleinement à l'économie numérique.

Nous reconnaissons aussi les occasions exceptionnelles que la technologie offre aux entreprises qui sont les inventeurs autant que les utilisateurs des innovations électroniques.

Mais l'ensemble de cette construction repose sur de délicates fondations : la confiance des consommateurs envers l'environnement en ligne et envers les entreprises qui y mènent des affaires.

La confiance dépend de différents facteurs; certains sont rationnels et prévisibles, d'autres moins.

Toutefois, mon expérience à titre de commissaire à la protection de la vie privée au cours des sept dernières années m'a permis de renforcer cette certitude inébranlable et persistante à savoir que les renseignements personnels constituent des biens précieux qu'il faut traiter avec respect.

Ce n’est pas l’affaire d’une poignée d'organisations agissant de manière désordonnée ou incidente, mais bien celle de tout le monde qui doit agir de manière réfléchie, systématique et engagée.

La population canadienne compte sur des gens comme vous pour tracer le chemin.

Merci de votre attention.

Date de modification :