La protection de la vie privée dans le contexte de la révolution de l'information et des communications

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre de la Conférence Canada 3.0, organisée par Canadian Digital Media Network

Le 4 mai 2011
Stratford (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Ce matin, j’aimerais axer mes propos sur les répercussions de la révolution de l’information et des communications des deux dernières décennies sur la protection de la vie privée.

Au cours des vingt dernières années, l’évolution des technologies de l’information et des communications a permis de recueillir, de créer, de partager, de traiter et de stocker de l’information à un rythme de plus en plus élevé et à un coût de plus en plus bas.

Cela a déclenché une explosion de données : selon les experts, le volume de données produites dans le monde entier doublerait tous les deux ans.

Dans cette multitude de données se trouvent de nombreux renseignements personnels.

Ce n’est pas seulement le volume des données qui crée des problèmes inédits du point de vue de la protection de la vie privée; la facilité avec laquelle il est possible de diffuser à grande échelle d’énormes quantités de renseignements entraîne également des risques importants à cet égard.

Le partage des données comporte bien des avantages, mais il me semble que nous — et par « nous », j’entends les personnes, les gouvernements et les entreprises — ne savons pas vraiment comment mettre en place des filtres et des mesures de sécurité pour garantir la protection et le respect de la vie privée.

Transparence et Wikileaks

Wikileaks est un exemple typique. Wikileaks n’existe que parce que 1) les ministères gouvernementaux possèdent énormément d’information sous forme numérique et 2) il est très difficile de protéger l’ensemble de ces données.

Je suis très préoccupée au sujet du style de transparence de Wikileaks. En déversant de grandes quantités de renseignements sur Internet, on ne tient pas compte de la protection de la vie privée —  ni d’autres motifs très légitimes de protéger le secret de l’information.

La publication de données en bloc entraîne un risque important de faire du tort et de porter atteinte au droit à la vie privée.

Je me permets d’ajouter que de se faire le défenseur de la protection de la vie privée, ne veut pas dire que l’on soit partisan d’un climat de secret au gouvernement.

En fait, je suis très favorable à l’idée d’un gouvernement transparent. Je l’ai défendue lorsque je dirigeais la Commission d’accès à l’information du Québec et, à la dernière réunion avec mes homologues provinciaux et territoriaux, j’ai appuyé une résolution exhortant les gouvernements à adopter les principes de la transparence gouvernementale en appui d’une plus grande transparence et d’une meilleure reddition des comptes.

La transparence permet de tisser des liens de confiance entre les citoyens et leur gouvernement, et c’est un élément crucial de toute société démocratique.

Innovation, profits et renseignements personnels

Les technologies de l’information ont fait apparaître de nouvelles catégories de risque pour la protection des renseignements personnels.

J’aimerais aujourd’hui vous parler de quelques-uns de ces risques.

L’innovation technologique fait en sorte que de plus en plus de renseignements personnels soient recueillis et utilisés. Or, les utilisateurs n’ont pas toujours été correctement informés des conséquences sur leur vie privée de ces avancées technologiques.

Le suivi, le profilage et le ciblage en ligne sont un exemple typique. Beaucoup de Canadiennes et de Canadiens ne savent pas ce qui se passe derrière leur écran d’ordinateur. Les enfants — qui naviguent sur Internet de plus en plus jeunes — sont encore moins susceptibles de comprendre. C’est une des questions que nous avons examinées au cours des consultations publiques qui se sont déroulées l’année dernière. Notre rapport final sur les consultations sera affiché sur notre site Web vers la fin de la semaine.

Il me semble que la vie privée est de plus en plus menacée par la course aux profits — que l’on désigne parfois à l’aide de l’euphémisme « innovation ».

Les renseignements personnels sont maintenant considérés comme une marchandise — envers laquelle on témoigne souvent fort peu de respect.

La recherche de moyens pour monétiser les renseignements personnels est maintenant une activité commerciale.

Peu de gens saisissent les tenants et aboutissants liés à l’utilisation, à l’analyse et à la collecte de ces renseignements. La notion de consentement éclairé — qui est un principe fondamental de la protection de la vie privée — ne peut exister dans ce contexte.

Ici, au Canada, je dirais que — pour la plupart — les grandes entreprises du monde « réel » se préoccupent de leurs obligations en matière de protection de la vie privée lorsqu’elles créent de nouveaux produits et services.

Malheureusement, ce n’est pas toujoursle cas dans le monde virtuel, et il y a eu des situations catastrophiques pour le prouver. Nous voyons trop fréquemment des entreprises, dont le siège se trouve souvent à l’étranger, lancer des produits et services en ligne en faisant fi du respect de nos lois sur la protection de la vie privée.

Certaines organisations se contentent de laisser les innovateurs innover et demandent aux avocats de nettoyer les dégâts après coup. Cette façon de faire est, en quelque sorte, de l’innovation « à la charge du client ». Cela doit changer.

Depuis plus de dix ans maintenant, certains de mes collègues commissaires insistent auprès des entreprises pour qu’elles intègrent systématiquement les principes de la protection de la vie privée dès l’étape de conception des nouveaux produits et services. Toutefois, cette pratique est loin d’être adoptée à grande échelle.

Google Buzz

Dans la désormais célèbre affaire Google Buzz, nous avons vu le genre de catastrophe qui peut survenir lorsque la protection de la vie privée n’est pas prise en compte dès l’étape de la conception.

Google avait créé ce réseau social à partir de son service de messagerie Gmail — un service de courriel par Internet, à caractère privé et individuel — en attribuant automatiquement aux utilisateurs un réseau d’« amis » composé de gens avec lesquels ils correspondaient le plus assidûment par l’entremise de Gmail. Dans plusieurs cas, la liste d’amis avait été rendue publique.

Bien entendu, les gens ont été scandalisés. La mise en place d’un produit aux lacunes aussi flagrantes sur le plan de la protection de la vie privée trahissait un mépris des normes et des lois fondamentales en la matière.

Cette affaire a causé la stupéfaction des autorités chargées de la protection des données du monde entier. Dix d’entre nous avons adressé un message commun à Google pour lui rappeler la nécessité de respecter les lois des pays où l’entreprise lance ses produits.

À la décharge de Google, il faut dire que l’entreprise a rapidement présenté ses excuses et qu’elle a procédé à des changements pour endiguer le flot de critiques.

Mais il demeure que toute cette débâcle aurait pu être évitée si la question de la protection de la vie privée avait été traitée d’entrée de jeu.

Dans notre lettre commune, nous avons invité toutes les organisations à qui des renseignements personnels sont confiés à intégrer les principes fondamentaux de la protection de la vie privée dès la conception de leurs nouveaux services en ligne.

Ces entreprises devraient à tout le moins procéder comme suit :

  • recueillir et traiter seulement les renseignements personnels nécessaires à l’atteinte des fins visées par le produit ou le service;
  • fournir de l’information claire et sans équivoque sur l’utilisation des renseignements personnels, afin que les utilisateurs puissent donner un consentement éclairé;
  • créer des paramètres automatiques de protection de la vie privée;
  • veiller à ce que les paramètres de protection de la vie privée soient bien visibles et faciles à utiliser;
  • veiller à ce que tous les renseignements personnels soient correctement protégés;
  • prévoir des procédures simples permettant aux gens de supprimer leur compte et donner suite rapidement à leur demande.

Ces principes ne sont pas particulièrement difficiles à appliquer. Ce sont des moyens raisonnables et respectueux de traiter les renseignements personnels.

J’ai été intriguée par l’entente conclue entre la Federal Trade Commission et Google dans le cadre de l’affaire Google Buzz. Aux termes de cette entente, Google est tenu de mettre en œuvre un programme de protection de la vie privée et de se plier à des vérifications indépendantes pendant les vingt prochaines années.

Heureusement, ces mesures vont inciter à repenser de façon globale les mécanismes d’intégration de la protection de la vie privée dans le processus de développement de produits chez Google. On verra également le principe de responsabilité au sein de l’organisation gagner en importance.

Le Commissariat est d’avis que des vérifications indépendantes des mécanismes de protection de la vie privée pourraient aider les organisations à prouver qu’elles respectent leurs obligations en matière de protection des données.

Mais je ne veux pas peindre un tableau trop sombre de la situation.

Quelques compagnies ont mis sur pied des processus internes très rigoureux en ce qui a trait à la conformité. À titre d’exemple, j’ai été impressionnée par Hewlett Packard, qui a réalisé un modèle de reddition de compte incitant les employés à prendre en compte les répercussions sur la vie privée de programmes spécifiques pour veiller à ce que ceux-ci répondent aux attentes des utilisateurs, qu’ils soient transparents et qu’ils respectent les principes fondamentaux de la protection de la vie privée. Ce modèle se fonde sur les mêmes principes relatifs à l’équité dans le traitement des renseignements de la loi sur la vie privée applicable au secteur privé.

La protection de la vie privée n’entrave pas la véritable innovation. En fait, les gens seraient plus enclins à choisir certains produits et services s’ils avaient la certitude que leurs renseignements personnels sont protégés et respectés.

Risques liés au piratage

J’aimerais aussi vous parler d’un péril d’une autre nature, qui suscite de plus en plus d’inquiétude au Commissariat : le danger croissant pour les renseignements personnels que constitue le piratage.

C’est un risque qui touche autant les organisations du secteur public que celles du secteur privé.

Au début de l’année, par exemple, le ministère des Finances et le Conseil du Trésor ont fait l’objet d’une cyberattaque associée à des adresses IP chinoises. D’autres ministères ont aussi été la cible des pirates.

Entre-temps, du côté du secteur privé, nous constatons une tendance alarmante à la multiplication des atteintes importantes à la sécurité des données.

La semaine dernière, Sony a révélé qu’elle avait, elle aussi, été la cible de pirates qui avaient réussi à obtenir des noms, des adresses civiques, des adresses de courriel, des dates de naissance, des noms d’utilisateur, des mots de passe, des codes d’ouverture de session d’ordinateur, des questions de sécurité, et ce que Sony décrit comme étant des données de cartes de crédit cryptées, provenant de 77 millions de comptes du réseau PlayStation. L’incident a touché des gens du monde entier, dont des milliers de Canadiennes et de Canadiens.

J’ai été très déçue que Sony n’ait pas informé le Commissariat de cet incident.

Toutefois, depuis que nous avons communiqué avec elle, l’entreprise a collaboré et a pris des mesures proactives : les systèmes ont été arrêtés pour limiter les dommages, une vérification judiciaire a été entamée et les utilisateurs ont été mis au courant de la situation.   

Je demeure néanmoins profondément troublée par le grand nombre d’atteintes majeures à la sécurité des données. Trop souvent, les compagnies recueillent des renseignements en trop grande quantité, au-delà du volume de données qu’elles sont capables de protéger.

Que devons-nous faire pour corriger cette fâcheuse situation?

Il est temps, à mon avis, de commencer à imposer des amendes aux compagnies — des amendes élevées qui auraient un grand pouvoir dissuasif — lorsque des pratiques désuètes en matière de protection des renseignements personnels entraînent des atteintes à la sécurité des données.

J’en suis venue à la conclusion que la mise en place de ces amendes serait le seul moyen de faire en sorte que certaines entreprises respectent leurs obligations en matière de protection de la vie privée.

Nous savons que d’autres pays ont déjà adopté cette mesure.

Au Royaume-Uni, par exemple, mon collègue, le commissaire à l’information Christopher Graham, a utilisé son pouvoir d’imposer des sanctions monétaires pour envoyer un message clair au sujet des violations de la Data Protection Act.

Un conseil de comté a, par exemple, imposé une amende de 100 000 livres — environ 157 000 dollars canadiens — à la suite de deux incidents graves : deux employés du conseil avaient envoyé par télécopieur des renseignements personnels de nature délicate aux mauvais destinataires.

Notre homologue français a imposé une amende record de 100 000 euros (plus de 140 000 dollars canadiens) à Google à la suite de l’affaire Wi-Fi.

Avant la campagne électorale fédérale, le Parlement canadien envisageait d’adopter des mesures législatives en vertu desquelles les organisations du secteur privé seraient tenues de déclarer les atteintes importantes à la sécurité des données au Commissariat et aux personnes concernées.

Les élections maintenant terminées, l’une des mes priorités est d’écrire à Industrie Canada pour recommander d’étoffer les dispositions législatives sur l’atteinte à la sécurité des données en ajoutant des amendes applicables dans certains cas.

Conclusion

Avant de terminer, j’aimerais mentionner rapidement que le Commissariat, de concert avec les commissaires à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique, lance aujourd’hui même un nouvel outil en ligne qui aidera les entreprises à mieux protéger les renseignements personnels de leurs clients et de leurs employés.

Cet instrument, qui sera disponible sur notre site Web, comprend un questionnaire détaillé et un outil d’analyse en ligne grâce auxquels les organisations pourront évaluer l’efficacité de leurs mesures de protection des renseignements personnels conformément à la loi applicable au secteur privé.

Comme vous pouvez le constater, la révolution ayant cours dans le monde de l’information et des communications nous donne matière à réflexion dans la mesure où le Canada veut conserver son leadership dans le domaine de la protection de la vie privée.

Les années à venir promettent d’être vraiment palpitantes.

Merci — je suis maintenant prête à avoir un dialogue stimulant sur ces enjeux.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :