Les données au point de non-retour : La gestion et l'atténuation du risque associé à la repersonnalisation

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion de la 6e cours sur la gestion de documents et de dossiers électroniques organisé par les Publications FP

Le 25 janvier 2011
Ottawa (Ontario)

Allocution prononcée par Patricia Kosseim
Avocate générale, Commissariat à la protection de la vie privée du Canada

(La version prononcée fait foi)


Mot d’ouverture

Au nom du Commissariat à la protection de la vie privée du Canada, j'aimerais remercier les Publications FP de m’avoir invitée à venir discuter aujourd'hui de l'incidence de la dépersonnalisation et de la repersonnalisation des données avec mon collègue M. Khaled El Emam. C’est un sujet très important qui tombe à point et qui suscite énormément d'intérêt.

Les lois visant à protéger la vie privée sont fondées sur le concept de « renseignements personnels ». Les deux lois canadiennes en la matière définissent ce concept un peu différemment, mais dans les deux cas, la notion de « renseignements personnels » est un concept circonscrit et distinct. Si vous recueillez, utilisez ou communiquez des renseignements personnels, ces lois s'appliquent; sinon, elles ne s'appliquent pas.

Toutefois, cette vision simpliste est mise à l’épreuve sur au moins deux plans.

Tout d'abord, cette approche du « tout-ou-rien » pour la protection des renseignements personnels est peut-être devenue désuète. Il y a certains types de renseignements qui ne sont pas toujours liés à des personnes et qui ne correspondent pas nécessairement à une définition stricte de « renseignements personnels », mais qui mériteraient un certain degré de protection par la prise de mesures adéquates. La plupart des renseignements que nous produisons lorsque nous naviguons dans Internet — nos habitudes de recherche, notre « historique de navigation » en ligne et notre emplacement géospatial — en sont des exemples.

Deuxièmement, la croyance qu'il est possible de dépersonnaliser des renseignements personnels pour ensuite les utiliser librement est de plus en plus remise en cause. Dans un récent article, Paul Ohm soutenait la thèse percutante selon laquelle les données pouvaient être soit utiles, soit complètement anonymes, mais jamais les deux à la fois. M. Ohm croit que l'anonymisation des données est une fausse promesse et affirme que nous ne pouvons plus nous y fier pour protéger les données. La position de M. Ohm représente un des points de vue véhiculés dans le cadre d'un débat houleux qui a cours, et mon collègue Khaled en est un des intervenants importants.

Aujourd'hui, j'aimerais attirer votre attention sur les risques associés à la repersonnalisation potentielle des données et vous présenter certaines de nos réflexions sur le « point de non-retour » à partir duquel les données ne seraient plus dépersonnalisées. Pour vous donner un peu de contexte, je vais vous parler de plaintes et de vérifications récentes du Commissariat qui soulèvent des préoccupations potentielles liées à l'identifiabilité. Je vous présenterai ensuite quelques approches recommandées pour les organisations, y compris ce que je pourrais appeler des « stratégies d'atténuation ». Enfin, je vais vous décrire ce que le Commissariat fait, à titre d'organisation fédérale de réglementation en matière de protection de la vie privée, pour conserver une longueur d'avance par rapport aux défis changeants que pose la technologie de repersonnalisation

Risques pour la protection de la vie privée associés à la repersonnalisation

Internet et les nouveaux modèles d'affaires ont favorisé la collecte et la diffusion massive de l'information, ce qui peut être utile, voire essentielle, à l'efficacité des activités des entreprises et du gouvernement. Toutefois, des renseignements qui, à première vue, semblent « inoffensifs » ou dépersonnalisés peuvent parfois être combinés à des renseignements tirés d'autres sources, puis manipulés à l'aide de bases de données puissantes en vue de produire des données pouvant être à nouveau associées à des personnes identifiables.

Nous laissons tous des pistes de données, que ce soit dans des sources accessibles au public, des réseaux sociaux ou dans divers fichiers qui répertorient nos achats en ligne ou nos loisirs. Certaines de ces données, prises isolément, pourraient être considérées comme des renseignements permettant d’identifier une personne. Les organisations pourraient donc penser qu'elles ne sont pas visées par les lois sur la protection des données. Mais selon le type de renseignements et la façon dont elles sont utilisées ou combinées à d'autres données, cela n'est peut-être pas toujours le cas. La technologie permet maintenant de dresser le portrait d'une personne grâce à ces données de plus en plus fragmentaires, et le spectre d'une repersonnalisation potentielle des données rend cet enjeu d'autant plus important pour ce qui est des répercussions sur la protection de la vie privée.

Grâce à ses enquêtes et à ses activités de vérification et d'élaboration de politiques, le CPVP a acquis une expérience appréciable des risques associés à la repersonnalisation des données. Cet enjeu a fait surface dans le cadre de notre travail à des questions aussi diverses que la technologie d'Internet et les appareils électroniques, les dossiers de santé électroniques, l'incidence de l'information géospatiale sur la protection de la vie privée, les données statistiques et démographiques, et le couplage de données.

Inspection approfondie des paquets

L'inspection approfondie des paquets en est un bon exemple. L'inspection approfondie des paquets (IAP) est une technologie utilisée par les fournisseurs de services Internet pour gérer le trafic sur de petits et grands réseaux de télécommunications. Les gestionnaires de réseaux affirment que l'inspection approfondie des paquets est un outil parmi bien d'autres qui les aide à s'assurer que les réseaux peuvent soutenir la demande variée en bande passante de leurs utilisateurs. Elle peut servir à chercher des virus, des pourriels ou des applications poste à poste afin de garantir l'intégrité du réseau, un trafic optimal et la qualité du service.

Toutefois, les défenseurs de la protection de la vie privée s'inquiètent que les fournisseurs puissent aussi utiliser la technologie d'IAP pour examiner les paquets et rassembler des fragments de renseignements autres que les données de transmission afin de vérifier le contenu produit par les utilisateurs ou les « données utiles » qui circulent sur les réseaux — que ce soit des fichiers mp3, des courriels personnels ou des documents commerciaux. Lorsqu’elle est configurée et déployée de cette façon, la technologie d'IAP peut être d'un énorme intérêt pour les spécialistes en marketing qui veulent cibler davantage les publicités à l'aide de « vraies » données.

Dans l’environnement en ligne, nous entendons souvent que les adresses de protocole Internet (IP) ne sont pas des renseignements personnels. Dans le cadre d'une plainte récente déposée au Commissariat, il a fallu déterminer si les adresses IP de l'expéditeur et du destinataire recueillies par l'intermédiaire de la technologie d'inspection approfondie des paquets déployée par Bell Canada pour gérer ses réseaux pouvaient être considérées comme des renseignements personnels aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques — la LPRPDE.

Notre enquête a révélé que Bell attribue une adresse IP dynamique à chaque abonné du service Sympatico chaque fois qu'il ouvre une session sur le réseau. Toutefois, étant donné que chaque adresse IP dynamique est liée à un code d'identification de l'abonné invariable, Bell pourrait utiliser cette adresse pour retrouver un abonné de Sympatico à un moment donné. Le CPVP a déjà conclu qu'une adresse IP peut constituer un renseignement personnel s'il est possible de l'associer à une personne identifiable. Du moins en ce qui concerne ses abonnés, Bell pourrait déterminer qui parmi ces derniers est associé à une adresse IP dynamique à un moment précis. Dans un tel contexte, les adresses IP constituaient donc des renseignements personnels.

Dans cette affaire, la commissaire adjointe a recommandé à Bell de fournir à ses clients des renseignements clairs sur l'inspection approfondie des paquets ainsi que sur l'incidence des pratiques de gestion du trafic de l'entreprise sur la protection des renseignements personnels des abonnés. Elle a également souligné que si Bell souhaitait utiliser la technologie d'inspection approfondie des paquets pour la collecte, l'utilisation ou la communication de renseignements personnels à des fins autres que celles nécessaires pour la gestion du trafic du réseau, l'entreprise devait obtenir de nouveau un consentement valable et éclairé des utilisateurs.

En résumé, la question de savoir si une adresse IP peut être considérée comme un renseignement personnel aux termes de la LPRPDE dépend largement du contexte et, en partie, de la capacité de l'organisation à associer une adresse IP à une personne selon les circonstances. Des faits nouveaux, dont l'adoption progressive d'adresses IP statiques ainsi que la capacité de favoriser l'établissement de liens entre une adresse IP et l'intérêt des fournisseurs à le faire, pourraient faire en sorte que les adresses IP seront considérées, la plupart du temps, comme des renseignements personnels.

Imagerie à l'échelle de la rue

La plupart d'entre vous connaissent Google Street View, l'application de cartographie et d'imagerie à l'échelle de la rue de l'entreprise.

Le Commissariat a commencé à s’intéresser à cet enjeu en 2007, lorsque nous avons appris que Google photographiait les rues de certaines villes canadiennes en vue du lancement de l’application Street View au Canada. Le Commissariat se préoccupait du fait qu'un grand nombre de ces images avaient une résolution suffisante et étaient prises d'assez près pour permettre l'identification des personnes et savoir ce qu'elles faisaient et où elles se trouvaient. Ces images étaient prises à l'insu et sans le consentement des personnes, ce qui contrevenait potentiellement à la LPRPDE.

À la suite de nombreuses discussions avec Google et l’entreprise canadienne Canpages, qui offre des services similaires, les deux entreprises ont convenu de brouiller les visages des personnes et de leur offrir un moyen facile, transparent et rapide de supprimer les images qui les concernent. Les deux entreprises ont également accepté de ne pas conserver d’images non brouillées (ou du moins, de les supprimer dans un délai raisonnable), de protéger ces images et de les éliminer de façon sécuritaire. Elles ont également promis d'informer les personnes de leurs activités avant l'envoi de leurs voitures dans les rues des quartiers. Nous comprenons que la technologie permettant de brouiller les images comporte des lacunes, mais les entreprises continuent à chercher des moyens de la parfaire.

Vous avez peut-être aussi entendu parler d'une enquête connexe menée par le Commissariat auprès de Google après que l'entreprise ait découvert qu'elle avait recueilli par inadvertance des données utiles sur des réseaux sans fil non sécurisés dans le cadre d'une collecte d'information sur les points d'accès de réseaux Wi-Fi afin d'améliorer ses services de localisation. Plusieurs gouvernements, dont celui du Canada, ont entrepris des enquêtes parallèles en la matière. Une des questions examinées par plusieurs autorités chargées de la protection de données visait à déterminer si les adresses de contrôle d’accès au support (MAC) (des codes attribués par le fabricant qui permettent aux appareils de communiquer entre eux), seules ou combinées à d’autres renseignements, constituent des renseignements personnels. Le CPVP n’a pas eu l’occasion d’examiner la question puisqu’il a trouvé des exemples clairs de renseignements personnels recueillis parmi les données utiles, dont des courriels entiers, des noms d’utilisateur et des mots de passe, et même l’état de santé de personnes identifiables. Toutefois, comme dans le cas des adresses IP, la question de savoir si les adresses MAC constituent des renseignements personnels dépend beaucoup du contexte et doit être examinée avec les autres renseignements auxquels ont accès divers utilisateurs dans différents contextes.

Couplage de données publiques à des fins de marketing

Dans le cadre d’une autre enquête, le CPVP cherchait à déterminer dans quelle mesure le regroupement de bases de données publiques pouvait créer de nouveaux renseignements personnels. Cette affaire impliquait une organisation qui fournissait des listes de données sur les consommateurs à des entreprises à des fins de marketing direct. Les plaignants alléguaient que l’organisation créait des renseignements personnels démographiques en associant des renseignements des pages blanches aux données démographiques du recensement de Statistique Canada, et que l’utilisation et la communication de ces nouveaux « renseignements personnels » nécessitaient le consentement des personnes concernées.

À la suite de notre enquête, nous avons conclu que le processus utilisé par l’organisation pour associer des données sociodémographiques agrégées à des consommateurs habitant dans une région commune du recensement ne changeait pas nécessairement la nature des renseignements du bottin téléphonique. Le simple classement des noms et des adresses des consommateurs en fonction des données sociodémographiques du recensement ne transformait pas des données publiques en renseignements personnels selon la définition de la LPRPDE.

Nous avons donc conclu que les listes combinées constituaient des renseignements sur les quartiers, et non sur des personnes identifiables. Par conséquent, nous avons déterminé que la plainte liée au consentement n’était pas fondée. Néanmoins, c’est un exemple de la façon dont le Commissariat doit se pencher sur les conséquences du couplage de deux ensembles de données. L’affaire a notamment soulevé des questions légitimes sur la mesure dans laquelle les données peuvent atteindre un « point de non retour », surtout dans les quartiers homogènes où la probabilité que les caractéristiques du groupe représentent également les caractéristiques des personnes est probablement plus élevée.

Registres de santé publique

Une plainte relative à l’accès à l’information qui a été portée devant les tribunaux nous donne un autre exemple de défis en matière de protection de la vie privée associés à la repersonnalisation potentielle. L’affaire Gordon c. Canada, dont la Cour fédérale a été saisie en 2008 et dans laquelle le Commissariat est intervenue, concernait un journaliste de Radio-Canada qui souhaitait accéder aux renseignements contenus dans le Système canadien d’information sur les effets indésirables des médicaments de Santé Canada. À la suite du dépôt d’une plainte auprès du commissaire à l’information, Santé Canada a accepté de rendre publics plus de 80 champs d’information, mais a refusé de divulguer les 12 champs restants, sous prétexte que l’information contenue dans ces champs, combinée avec d’autres données, deviendrait des renseignements personnels identifiables et qu’un point de non-retour serait franchi. Plus précisément, la Cour devait déterminer si le contenu du champ « province » — soit le nom de la province ayant produit un rapport sur des effets indésirables provoqués par un médicament — devait être dévoilé. 

Le juge Gibson a estimé que les éléments de preuve montraient que la communication du champ « province » pourrait créer « une possibilité sérieuse qu'un individu puisse être identifié au moyen du renseignement, que ce renseignement soit pris seul ou en combinaison avec d'autres renseignements disponibles ». À l’heure actuelle, le critère de possibilité sérieuse est la norme servant à évaluer le risque de repersonnalisation des données et, au bout du compte, à définir ce en quoi consistent les « renseignements personnels » aux termes de la Loi sur la protection des renseignements personnels et de la LPRPDE. Devant le juge Gibson, le Commissariat a soutenu que l’expression « possibilité sérieuse » désigne une possibilité qui n'est pas frivole, sans toutefois être une probabilité statistique.

Stratégies d’atténuation

L’une des meilleures stratégies pour atténuer les risques en matière de protection de la vie privée associés à une repersonnalisation inappropriée ou involontaire consiste à utiliser une approche aujourd’hui bien connue sous le nom de « protection de la vie privée dès la conception ». La protection de la vie privée doit faire partie intégrante des projets, des programmes et des initiatives dès le début, c’est-à-dire à l’étape de la conception, soit bien avant le lancement. Google WiFi est un exemple de ce qui se produit lorsqu’on ne le fait pas. Dans cette affaire, l'ingénieur qui a élaboré le code en vue d'échantillonner des catégories de données Wi-Fi diffusées publiquement a aussi inclus un code permettant la collecte de données utiles, croyant que ce type de renseignement pourrait servir ultérieurement à Google. L'ingénieur avait cerné ce qui, à son avis, était des préoccupations « superficielles » en matière de vie privée, mais contrairement à la procédure de l’entreprise, il a omis de porter ces préoccupations à l'attention du conseiller juridique en matière de produits de Google, dont la responsabilité aurait été de les traiter et de les résoudre avant l’élaboration du produit. Autrement dit, le projet n’a jamais fait l’objet d’une évaluation préalable des répercussions possibles sur la vie privée.

La protection de la vie privée dès la conception vise avant tout à empêcher de telles atteintes à la protection de la vie privée de se produire, et repose sur les principes suivants :

  • être proactif et non réactif (prévenir plutôt que guérir);
  • faire de la protection de la vie privée un élément par défaut;
  • prévoir la protection de la vie privée à l’étape de la conception du système ou de la technologie;
  • s’efforcer de faire de la fonctionnalité du produit et de la protection de la vie privée une situation positive sur toute la ligne et non une situation où tout le monde y perd;
  • assurer la protection de la vie privée d’un bout à l’autre du cycle de vie de l’information;
  • assurer la visibilité et la transparence des systèmes et des technologies en cours de planification et de mise en œuvre;
  • assurer le respect de la vie privée de l’utilisateur.

En octobre dernier, à l’occasion de la Conférence internationale des commissaires à la protection des données et de la vie privée à Jérusalem, la commissaire à la protection de la vie privée et ses homologues du monde entier ont adopté une résolution internationale — défendue par la commissaire à l’information et à la protection de la vie privée de l’Ontario, Mme Ann Cavoukian — reconnaissant et soutenant le concept de la protection de la vie privée dès la conception.

Maintenir une longueur d’avance

Afin de maintenir une longueur d’avance, les autorités responsables de la protection des données telles que le Commissariat doivent comprendre la nature et le potentiel des nouvelles technologies, et rester conscients des risques et des répercussions en matière de vie privée que celles-ci entraînent. 

Pour ce faire, le Commissariat a notamment lancé un processus de consultation publique en 2010; des intervenants de partout au pays ont été consultés sur des questions relatives au suivi, au profilage et au ciblage en ligne, de même qu’à l’infonuagique, dans le contexte de la protection de la vie privée. Un rapport provisoire sur les consultations a été affiché sur le site Web du Commissariat dans le but d’obtenir des commentaires; le rapport définitif sera publié au printemps.

Ces consultations avaient pour but de mettre en lumière les tendances sur le plan technologique et de faire participer les intervenants à une discussion sur l’incidence du monde en ligne sur la protection de la vie privée et sur les mesures qui sont prises ou devraient être prises pour protéger la vie privée dans cet univers en évolution. À cette fin, nous avons élaboré des scénarios axés sur des activités quotidiennes réellement exercées par les Canadiennes et Canadiens afin de rendre plus concrets des concepts autrement abstraits comme le suivi en ligne, le ciblage comportemental et l’infonuagique. La question de savoir ce qui constitue des renseignements personnels, la manière dont les renseignements peuvent être compilés pour dresser un profil individuel et à quoi ces renseignements peuvent servir ont occupé une place prédominante dans la discussion.

Le Commissariat essaie aussi de maintenir une longueur d’avance grâce à son programme des contributions pour la recherche, qui incite les universitaires et d’autres intervenants à nous aider à comprendre les répercussions de ces technologies. Quelques-unes des études financées récemment par le Commissariat portent directement sur la dépersonnalisation et la repersonnalisation des données, y compris l’étude réalisée par le Dr Khaled et ses collègues de l’Institut de recherche du Centre hospitalier pour enfants de l’est de l’Ontario sur l’élaboration de directives sur la dépersonnalisation des renseignements personnels sur la santé pour l’ensemble du Canada, ainsi qu’une étude du Centre pour la défense de l’intérêt public sur les risques liés à l’anonymisation et à l’agrégation des données des consommateurs sous l’angle de la protection des renseignements personnels.

Le Commissariat s’efforce aussi de rester informé de l’incidence des nouvelles percées technologiques sur la vie privée en mettant fortement et délibérément l’accent sur des priorités stratégiques. Deux des quatre priorités stratégiques du Commissariat sont la gestion et la protection de l’identité, de même que les nouvelles technologies de l’information.

Enfin, la commissaire à la protection de la vie privée disposera bientôt de nouveaux outils législatifs, promulgués en décembre en vertu de la nouvelle loi antipourrieldu Canada. Grâce à ces récentes modifications, la commissaire à la protection de la vie privée peut maintenant échanger des renseignements avec ses homologues internationaux et collaborer aux efforts d’enquête transfrontaliers visant à faire respecter les lois canadiennes en matière de protection de la vie privée. Vu les défis planétaires que pose actuellement la réglementation des technologies en ligne transfrontalières, il est essentiel de présenter un front commun et uni. 

Conclusion

Loin d’être purement intellectuel, le défi de situer les données en fonction de leur identifiabilité et d’évaluer à quel point on s’approche du « point de non-retour » en ce qui a trait aux renseignements personnels constitue l’un des plus grands défis concrets que doit relever le Commissariat à l’heure actuelle. Outre l’énorme incitatif sur le plan commercial que représente la repersonnalisation des données en vue de les associer à des consommateurs précis, les enjeux ne feront qu’augmenter lorsque le gouvernement voudra légalement accéder à certaines de ces données par le biais de nouvelles mesures législatives. Notons par exemple les projets de loi C‑50, 51 et 52, qui obligeraient les fournisseurs de services Internet à divulguer les adresses IP des utilisateurs aux fins d’application de la loi.

Bref, le Commissariat reste au fait des risques associés à la repersonnalisation des données et souhaite poursuivre la discussion avec les intervenants sur la façon d’encourager l’innovation technologique tout en protégeant les renseignements personnels des consommateurs et en maintenant la confiance du public à l’égard des marchés et des gouvernements. À ce sujet, je vous invite à consulter le site Web du Commissariat au cours de la semaine, alors que nous nous apprêtons à souligner la Journée de la protection des données le vendredi 28 janvier et à échanger avec les Canadiennes et Canadiens sur certains de ces sujets.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :