Exercer une influence sur les décisions en matière de protection de la vie privée : les multinationales face aux enjeux actuels liés à la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre de la Rencontre de l’Association des Chefs de Contentieux du Canada :
Fêtes du 50e anniversaire

Le 27 mai 2011
Ottawa, Ontario

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je vous remercie de votre aimable présentation. C’est avec joie que je célèbre avec vous les fêtes du cinquantième anniversaire. Je profite aussi de l’occasion pour vous faire part de mon point de vue sur certaines questions liées à la protection des renseignements personnels touchant les multinationales dont les activités se déroulent au Canada.

Mais d’abord, permettez-moi de féliciter votre association pour avoir reconnu l’importance de protéger les renseignements personnels. J’ai été ravie de constater que mon invitation comportait un lien vers le site Web d’IBM Canada sur la sensibilisation en ligne en matière de respect de la vie privée. Je sais que bon nombre des cabinets de vos membres se situent à l’avant-garde de la défense de la protection de la vie privée.

Contexte

Je suis la première à reconnaître que la protection des renseignements personnels des Canadiennes et des Canadiens représente un défi, dans un monde où les innovations surgissent à la vitesse de la lumière.

Quand la Loi sur la protection des renseignements personnels et les documents électroniques a été adoptée, en 2001, seuls les oiseaux « gazouillaient » et on associait le réseautage social aux rencontres dans les bars. Les téléphones portables servaient en général à… téléphoner.

Or, dans la foulée de la révolution Internet, les renseignements personnels sont devenus des marchandises fort convoitées. L’industrie le sait. Les gouvernements, y compris les organismes de réglementation, le savent. Les voleurs et les fraudeurs le savent aussi.

Les gens ordinaires, toutefois, n’ont pas encore de vue d’ensemble du phénomène.

Ils croient en général que les renseignements personnels qu’ils choisissent de fournir en ligne demeurent confidentiels. Ils ne s’attendent pas à ce que quiconque les recueille, les collige, les analyse et les vende au plus offrant.

Ils ne savent pas non plus que jusqu’à 90% des données numériques qui existent à leur sujet ne sont pas composées de renseignements qu’ils rendent eux-mêmes publics, mais de ce que l’on pourrait appeler leur ombre numérique, l’énorme nuage de bits et d’octets qui prend forme à partir de leur historique de recherches, des opérations qu’ils effectuent au moyen de leurs cartes de crédit, et ainsi de suite.

Nombreux sont les Canadiennes et les Canadiens qui ne savent pas ce qui se passe derrière l’écran de leur ordinateur ou de leur téléphone portable, et dans ce contexte, que dire de leur consentement à cet égard. C’est pourquoi il n’est pas étonnant qu’ils tombent des nues quand quelque chose d’aussi simple qu’un jeu vidéo menace leurs renseignements personnels.

Consultations

Comme vous le savez probablement, nous avons mené l’année dernière des consultations publiques sans précédent sur les technologies émergentes et les modèles de gestion qui auront les répercussions les plus importantes sur le respect de la vie privée des Canadiennes et des Canadiens.

Nous nous sommes penchés sur le suivi, le profilage et le ciblage en ligne, ainsi que sur l’infonuagique. Le brouillage des frontières entre les sphères publique et privée, et ses répercussions sur la réputation des personnes, constitue le problème qui a été soulevé le plus souvent.

Les gens ont fait part de leurs inquiétudes en ce qui a trait aux enfants utilisateurs d’Internet. Les enfants de tous âges sont de plus en plus actifs sur Internet, et leurs renseignements personnels doivent être protégés. On nous a dit que les questions liées au respect de la vie privée devaient faire partie des stratégies en matière de culture numérique ou de citoyenneté numérique.

Néanmoins, on ne peut s’attendre à ce que les personnes de tous âges comprennent les répercussions sur leur vie privée des produits ou des services qu’ils se procurent sur Internet. Leur consentement à cet égard n’a réellement de valeur que s’ils ont une solide base de connaissances sur la protection des renseignements personnels.

C’est pourquoi les organisations qui suivent les activités en ligne des Canadiennes et des Canadiens doivent être plus transparentes.

Ces organisations ne devraient recueillir de renseignements personnels qu’à des fins raisonnables et acceptables, et avec le consentement des personnes concernées. Elles devraient également limiter l’utilisation de ces données aux objectifs énoncés et mettre au point des mesures techniques visant à empêcher le stockage des renseignements personnels pour une période indéfinie.

On a beaucoup parlé, lors des consultations, des difficultés auxquelles les gens sont confrontés quand les données en ligne à leur sujet sont conservées en permanence. C’est pour cette raison que les Européens examinent le « droit de se faire oublier » — c’est-à-dire le droit d’exiger que les données soient entièrement supprimées quand elles ne sont plus nécessaires à l’atteinte des objectifs pour lesquels elles ont été recueillies.

Le fait que nous composions avec des modèles opérationnels en ligne entièrement nouveaux ajoute un autre élément de complexité à la protection de la vie privée.

Dans ce contexte, au terme du processus de consultation, nous avons conclu qu’il convient de mettre en place des normes solides pour assurer la sécurité des renseignements personnels qui sont stockés dans les serveurs infonuagiques, ou qui sont utilisés par ces serveurs, étant donné que ces entreprises mènent souvent leurs activités dans de nombreux pays qui disposent de niveaux variables de sécurité des renseignements.

À la limite de la légalité

Tel est donc le contexte dans lequel nous travaillons. Les renseignements personnels sont devenus une marchandise. Et trouver des moyens de monétiser nos renseignements constitue désormais un gros secteur d’activité.

À titre de responsable d’un organisme de réglementation, je dirais que de façon générale, la plupart des grandes entreprises au Canada se sont engagées à respecter leurs obligations en vertu des lois sur la protection des renseignements personnels.

Et pourtant, je dois reconnaître que je suis préoccupée par la façon dont certaines d’entre elles mènent leurs activités dans cet univers de communications sans frontières.

En parlant de ces entreprises, Marty Abrams, du Centre for Information Policy Leadership, a utilisé l’expression « comportement limite » (« edge rider ») pour désigner…

«… une entreprise qui opère continuellement à la limite de la légalité et de l’éthique. Cette entreprise ne fait rien qui puisse à proprement parler déclencher une contestation en vertu d’une réglementation, mais elle déploie ses activités dans une zone suffisamment grise pour changer la nature du marché. Elle force d’autres entreprises à transformer les paramètres selon lesquels nous gérons nos activités opérationnelles. »

Trop souvent à notre goût, nous avons vu des entreprises importantes d’envergure internationale lancer des produits et des services en ligne sans se soucier suffisamment de nos lois en matière de protection des renseignements personnels. Certaines entreprises semblent toute disposées à laisser les innovateurs innover et à laisser les avocats réparer les pots cassés.

Mais cela ne suffit pas.

Les entreprises doivent redoubler d’efforts. Elles doivent répondre de leurs pratiques en matière de protection de la vie privée et en ce qui a trait à leurs modes de collecte, d’utilisation, de communication et de conservation des renseignements personnels.

Reddition de comptes

Pour une organisation, la notion de reddition de comptes signifie d’aller au-delà de la simple conformité aux exigences légales. L’organisation doit assumer la responsabilité de protéger les renseignements personnels que ses clients lui confient de bonne foi. Elle doit démontrer que les considérations de confidentialité s’inscrivent au cœur même des décisions opérationnelles et qu’elle respecte les droits des gens en matière de respect de la vie privée.

La reddition de comptes se situe au cœur même du principe qui sous-tend la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), et qui fait du Canada un pionnier dans ce domaine. De plus en plus, d’autres pays emboîtent le pas.

Le Contrôleur européen de la protection des données, par exemple, a demandé explicitement l’adoption d’un principe de responsabilité dans le cadre juridique de l’Union européenne, et on assiste au même phénomène en Nouvelle-Zélande.

Aux États-Unis, le livre vert sur la protection des renseignements personnels sur Internet du département du Commerce, publié en décembre dernier, contient de nombreuses références à la reddition de comptes, notamment l’élaboration de programmes d’évaluation et de reddition de comptes vérifiables.

Le principe de reddition de comptes comporte dans son sillage un ensemble de possibilités — des processus d’auto-évaluation aux vérifications internes, en passant par les évaluations et les processus de validation appliqués par des tiers.

Pratiques de gestion saines

À mon avis, il est tout à fait dans l’intérêt du monde des affaires d’élaborer des processus internes solides pour le respect de la réglementation en matière de protection des renseignements personnels.

Avoir un dossier sans taches à cet égard accroît la confiance du public à l’égard des produits et services d’une entreprise. Cela peut se traduire en retour par un avantage concurrentiel.

Qui plus est, le fait d’inscrire la protection des renseignements personnels dans une procédure opérationnelle coûte beaucoup moins cher que l’autre solution.

Prenons par exemple un cas d’atteinte à la sécurité des renseignements personnels qui s’est produit il y a quelques années : celui des cartes de paiement du géant de la vente au détail TJX, propriétaire des magasins Winners et HomeSense au Canada. Cette infraction aurait coûté à l’entreprise des dizaines de millions de dollars si on additionne les amendes, les frais juridiques, les droits de déclaration et les dommages à la marque.

Plus récemment, on peut mentionner le cas d’une infraction concernant le réseau PlayStation de Sony, où les comptes de centaines de milliers de Canadiennes et de Canadiens, et de plus de 100 millions d’usagers partout dans le monde, ont été piratés. Dans les jours qui ont suivi l’incident, les actions de Sony — et bien entendu, d’autres sociétés qui se spécialisent dans l’infonuagique — en ont subi les contrecoups.

Avis d’infraction

Même si la société Sony s’est montrée proactive en ce qui a trait à l’atténuation des dommages qui ont découlé de cette infraction, j’ai été très déçue de constater que l’entreprise n’avait pas informé diligemment le Commissariat.

Comme vous le savez peut-être, avant la campagne électorale fédérale, le Parlement envisageait d’adopter une loi visant à exiger des organisations du secteur privé qu’elles rendent compte au Commissariat et aux personnes concernées de toute infraction grave.

Maintenant que les élections sont terminées, je suis en train d’écrire une lettre au ministre de l’Industrie, Christian Paradis, pour demander la mise en œuvre prioritaire d’une obligation d’avis d’incident lié à la protection des renseignements personnels. Je voudrais également qu’on renforce cette obligation en ajoutant des sanctions monétaires substantielles qui seraient infligées aux organisations qui ne remplissent par leurs obligations légales.

Mais ce n’est pas tout.

À titre de responsable d’un organisme de réglementation, j’ai pu observer la fréquence et l’ampleur de certaines de ces atteintes à la sécurité des données au cours des dernières années, et j’en suis venue à la conclusion que trop d’entreprises recueillent plus de renseignements personnels que ce qu’elles sont en mesure de protéger efficacement.

Et j’en ai donc conclu, là encore, que nous devons mettre en place d'autres mécanismes pour que les entreprises prennent la situation au sérieux.

Rendre publique l’identité des contrevenants

Une mesure proposée par les défenseurs de la protection des renseignements personnels pour inciter les entreprises à respecter la réglementation consisterait à rendre public le nom des entreprises qui font l’objet d’une enquête de notre part.

Comme vous le savez, la LPRPDE permet de communiquer le nom des organisations quand il y va de l’intérêt public. Peu après l’adoption de la législation, nous avons opté pour une approche conservatrice en ce qui a trait au dévoilement de l’identité des entreprises au nom de l’intérêt public, afin de respecter le processus confidentiel d’ombudsman et d’accorder aux organisations et au Commissariat suffisamment de temps pour apprendre par l’expérience les modalités de l’interprétation et de l’application de la loi.

Une décennie s’est écoulée depuis l’adoption de la loi et la lune de miel est terminée.

À l’heure actuelle, les organisations devraient bien connaître leurs responsabilités et leurs obligations découlant de la LPRPDE, ainsi que le rôle du Commissariat.

Les Canadiennes et les Canadiens s’attendent à faire des choix éclairés quant aux opérations commerciales qu’ils effectuent, et ils le méritent. Nous vivons dans un monde complexe et les gens doivent être bien renseignés sur les répercussions des technologies de l’information émergentes, afin de mieux comprendre la façon dont on utilise leurs renseignements personnels.

La population a tout intérêt à voir naître un marché au sein duquel les organisations rendent des comptes sur leurs pratiques en matière de protection des renseignements personnels et où les gens comprennent les répercussions de leurs choix.

Le moment est venu pour nous d’être plus ouverts et plus transparents en ce qui concerne les pratiques des entreprises et les leçons retenues en matière de protection des renseignements personnels – quand l’intérêt du public le justifie.

Il est grand temps de faire preuve de plus de transparence et d’ouverture quant aux pratiques des organisations et aux leçons apprises en matière de protection de la vie privée, lorsque cela est nécessaire au nom de l’intérêt public.

Assurer le suivi

La responsabilité relative à la vie privée incombe à ceux qui en font usage : les organisations qui recueillent — et tirent avantage — des renseignements personnels. Or, les organismes de réglementation mettent de l’avant des solutions intéressantes pour que les bonnes intentions se transforment en actes concrets et en résultats palpables.

Par exemple, j’ai été intriguée par l’entente récente entre la U.S. Federal Trade Commission et Google, qui exige que l’entreprise fasse régulièrement l’objet de vérifications indépendantes en ce qui a trait à la protection des renseignements personnels, soit tous les deux ans, et ce, pour les 20 prochaines années.

Cette approche renvoie au principe de responsabilité des entreprises. D’un point de vue pratique, cela va de pair avec la complexité croissante des systèmes de gestion des renseignements personnels des organisations. Compte tenu de la portée et de la nature des défis actuels concernant la vie privée, il devient impensable pour les organismes de réglementation de recourir à une expertise spécialisée, à des ressources importantes, et à des mesures de surveillance visant à garantir le respect de la loi.

Nous avons jusqu’à présent eu tendance à croire sur parole les organisations surprises en flagrant délit de violation de la loi sur la protection de la vie privée, croyant qu’elles allaient prendre les mesures correctives appropriées.

Même si les conclusions de notre enquête démontraient qu’une plainte était fondée, nous acceptions en général les engagements de l’entreprise, et nous considérions le dossier comme « clos ».

Pourtant, certaines préoccupations commençaient à poindre. En effet, il nous est arrivé de ne plus entendre parler des organisations en question… ou pire encore, de voir les problèmes réapparaître — et ce, en dépit des promesses faites par l’entreprise.

Encore une fois : les mots ne suffisent plus; nous voulons des résultats.

Dans un avenir pas trop éloigné, vous nous verrez adopter une nouvelle approche relativement à la responsabilité dans les cas de traitement inadéquat des renseignements personnels.

Qui plus est, j’exigerai des organisations qui auront enfreint la LPRPDE non seulement qu’elles respectent entièrement mes recommandations, mais qu’elles le prouvent.

Dans certains cas, par exemple, j’exigerai de ces organisations qu’elles déposent un rapport produit par un tiers, attestant qu’elles ont dans les faits respecté leurs propres engagements – envers moi en tant que responsable de la réglementation, et envers les Canadiennes et les Canadiens dont elles auront mal utilisé les renseignements personnels.

Ce fardeau doit reposer sur les épaules des organisations. Il s’agit là d'un des principes fondamentaux de la responsabilité des entreprises.

Et ce fardeau comporte des coûts. Toute attestation de conformité livrée par un tiers crédible coûtera de l’argent, ce qui contribuera inévitablement à affûter la vigilance des dirigeants d’entreprise.

Il va de soi que si une organisation a enfreint gravement la loi qui est sous notre responsabilité, il est injuste de demander aux contribuables canadiens de payer la note, et c’est pourquoi le Commissariat se chargera de la talonner pour s’assurer qu’elle respecte la loi. Il est légitime que cette organisation investisse ses propres ressources afin de démontrer qu’elle respecte les lois sur la protection de la vie privée.

Conclusion

Pour terminer, je voudrais dire que pour le Canadien moyen, la vente, l’achat et le traitement de ses renseignements personnels constituent un univers occulte. Très peu de personnes comprennent pleinement comment leurs renseignements personnels sont devenus une marchandise cédée au plus offrant.

C’est pour cette raison que toutes les entreprises doivent emboîter le pas, afin de respecter les lois canadiennes sur la protection des renseignements personnels applicables au secteur privé, et ce, de façon transparente et responsable.

À titre de chefs de file du monde juridique, vous avez un rôle essentiel à jouer à cet égard. Étant donné que vous avez accès directement aux cadres supérieurs, vous pouvez influencer la prise de décision dans les hautes sphères.

L’industrie a besoin d’innovation pour se développer. Des pratiques saines en matière de protection des renseignements personnels sont de nature à soutenir l’innovation, parce qu’elles contribuent à raffermir la confiance des consommateurs.

Nous devons nous assurer que les Canadiennes et les Canadiens continuent de jouir de mesures de protection solides de leur vie privée tout en pouvant profiter des technologies émergentes.

Je suis impatiente d’examiner avec vous les meilleures avenues vers l’atteinte de cet objectif.

Merci.

Date de modification :