Présentation de groupe d’experts : La protection de la vie privée et des renseignements personnels : la perspective de la commissaire à la protection de la vie privée en tant qu’autorité en Amérique du Nord
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Commentaires lors de la Journée du commerce électronique 2011
Le 4 novembre 2011
Mexico, Mexique
Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
(La version prononcée fait foi)
Introduction
Bonjour. Je suis très heureuse de participer à cette Journée du commerce électronique.
On m’a demandé de parler de mon expérience au Canada et à l’étranger en tant que commissaire à la protection de la vie privée. Puisque je suis en compagnie de mes collègues des États-Unis et du Mexique, je mettrai tout naturellement l’accent sur le contexte nord‑américain.
Nos trois pays collaborent depuis longtemps dans les domaines du commerce et de la sécurité. Il est logique que nous travaillions en étroite collaboration pour protéger les renseignements personnels de nos citoyens respectifs.
Cette pratique favorise et encourage le commerce électronique en offrant aux consommateurs l’assurance que leur vie privée sera respectée, tant à l’intérieur de leur pays qu’à l’extérieur.
J’aimerais vous donner un aperçu de l’approche canadienne en matière de protection des renseignements personnels et décrire brièvement comment cette approche se compare à celle adoptée par d’autres pays, y compris les États-Unis et le Mexique.
Avant de terminer, j’établirai un lien entre ces approches et ce que j’appelle le meilleur des mondes du commerce électronique.
Approche canadienne
La loi canadienne régissant la protection des renseignements personnels dans les ministères et organismes fédéraux — la Loi sur la protection des renseignements personnels — a été créée il y a plus d’un quart de siècle.
La Loi sur la protection des renseignements personnels et les documents électroniques, mieux connue sous le nom de LPRPDE, est un peu plus jeune, étant entrée pleinement en vigueur en 2004. Elle s’appuie sur dix principes d’équité en matière de traitement de l’information qui sont conformes aux principes énoncés dans les lignes de l’OCDE sur la protection des données.
La LPRPDE s’applique aux organismes qui exercent des activités commerciales partout au Canada, bien qu’une disposition de la loi fédérale permette aux provinces d’adopter leur propre loi essentiellement similaire en matière de protection des renseignements personnels dans le secteur privé, ce que trois provinces ont d’ailleurs fait. Mais même dans ces trois provinces, la LPRPDE s’applique lorsque des renseignements personnels traversent les frontières entre provinces ou pays.
Approches différentes
L’essentiel, c’est que le Canada dispose d’une loi générale applicable au secteur privé qui traite de tous les aspects de la protection des renseignements personnels.
Nous avons évité le problème que pose, aux États‑Unis, la concurrence entre les lois fédérales et les lois des États.
Ce n’est pas le seul aspect distinctif de l’approche canadienne.
Nous n’obligeons pas les entités qui recueillent des renseignements personnels à s’inscrire auprès du Commissariat — comme le fait le Mexique aux termes de la Ley federal de protección de datos personales en posesión de los particulares.
Autre différence : de nombreux pays ont un organisme d’application des lois en matière de protection des renseignements personnels qui peut imposer des amendes — ou conclure des « règlements », selon le vocabulaire employé par la Federal Trade Commission. Au Canada, la commissaire à la protection de la vie privée n’a pas le pouvoir d’imposer des amendes ou de délivrer des ordonnances, bien que je sois de plus en plus convaincue que des pouvoirs d’application accrus encourageraient la conformité.
Je n’insinuerai jamais que l’approche du Canada — ou de tout pays — est préférable à une autre.
Nous reconnaissons, par exemple, l’utilité d’établir des pénalités précises pour les atteintes à la vie privée dans la loi du Mexique.
Et nous aimerions, tout comme vous et d’autres États, rendre obligatoire le signalement des atteintes à la sécurité des données, ce que nous avons d’ailleurs proposé dans le cadre de modifications à la loi soumises au Parlement canadien.
Je ne propose pas non plus une approche normalisée pour tous les pays en matière de protection des renseignements personnels. Ce sont les résultats, et non les moyens, qui comptent.
Collaboration
Ce dont nous avons besoin, c’est d’un niveau de protection de base pour les renseignements personnels à l’échelle mondiale. Pour pouvoir offrir ce niveau de protection, nous devons travailler ensemble aux enjeux liés à la protection des renseignements personnels et à la sécurité. Et nous faisons des progrès dans ce sens.
Exemple de collaboration bilatérale : le Commissariat a appuyé la Federal Trade Commission dans une poursuivre judiciaire intentée contre une entreprise américaine qui exploitait un site Web sur lequel elle annonçait et vendait des dossiers téléphoniques confidentiels de consommateurs sans le consentement de ces derniers.
Exemple de collaboration régionale : mes collègues panélistes et moi‑même provenons de trois « économies membres » de l’APEC, un organisme qui travaille à l’élaboration d’une norme pour les règles transfrontalières de protection de la vie privée dans une région aux cultures et aux économies variées.
Exemple de collaboration internationale : en avril dernier, les protecteurs de la vie privée de dix pays — le Canada, la France, l’Allemagne, l’Irlande, Israël, l’Italie, les Pays‑Bas, la Nouvelle‑Zélande, l’Espagne et le Royaume-Uni — ont uni leurs efforts dans une initiative de collaboration sans précédent.
Ensemble, nous avons rédigé une lettre au PDG de Google pour lui faire part de nos vives inquiétudes à l’égard des pratiques de protection des renseignements personnels de son entreprise, notamment dans le contexte du lancement de Google Buzz.
Des enjeux comme le lancement de Buzz et la longue dispute avec Facebook témoignent de la façon dont le monde de la protection de la vie privée a changé depuis l’entrée en vigueur de la LPRPDE.
Ils mettent également en évidence les défis auxquels fait actuellement face la communauté du commerce électronique.
Évolution des enjeux
Dans les premières années d’existence de la LPRPDE, notre tâche consistait principalement à traiter les plaintes déposées contre des entreprises traditionnelles, comme des banques et des compagnies d’assurance.
On croyait alors que le commerce électronique se résumerait à l’exécution de quelques opérations bancaires ou achats en ligne par des particuliers. À cette époque révolue de la protection de la vie privée, les organismes commerciaux déterminaient la quantité d’information qu’ils devaient recueillir auprès des particuliers et justifiaient les raisons de cette collecte.
Aujourd’hui, nous sommes aux prises avec un problème de taille, celui de l’échange d’information.
Si le commerce électronique signifie également gagner de l’argent au moyen de transactions Internet, le commerce électronique est alors dominé par les réseaux sociaux, les sites de partage de photos, les sites de rencontres en ligne, les regroupeurs de nouvelles, les réseaux de coupons‑rabais… et même les sites généalogiques.
La plupart de ces sites Web vendent leurs intérêts aux publicitaires. Ils effectuent également un suivi important des comportements des consommateurs en ligne.
Le modèle de commerce électronique original se trouve inversé.
Maintenant, ce sont les personnes qui décident combien de renseignements elles souhaitent communiquer et les organismes commerciaux offrent une plateforme attrayante.
La distinction entre les sphères commerciale et personnelle devient alors floue.
La question fondamentale est la suivante : la protection de la vie privée est‑elle encore possible à une époque où certaines personnes vivent presque leur vie entière en ligne, du berceau à la tombe?
Voici un exemple : j’habite et je travaille à Ottawa, la capitale du Canada.
Le mois dernier, une femme d’une banlieue d’Ottawa a diffusé en direct la naissance à domicile de son garçon au moyen d’Internet. Quelques milliers de personnes, peut‑être 2 500, ont regardé cette vidéo, d’aussi loin que l’Afghanistan.
Lorsqu’il grandira, ce garçon pourrait bien choisir sa conjointe en ligne. Selon un récent sondage, une relation sur cinq au Canada et aux États‑Unis se noue en ligne.
Et ainsi de suite…
Parallèlement, toutefois, nous avons de plus en plus de preuves que les personnes communiquent beaucoup plus d’informations en ligne qu’elles ne le pensent.
Une étude réalisée il y a quelques semaines à peine à l’Université Standford et portant sur les 185 sites Web les plus fréquentés révélait que trois de ces sites sur cinq avaient communiqué le nom ou le code d’identification personnel d’un utilisateur à un autre site. Dans bien des cas, cette pratique contrevenait directement aux politiques explicites de protection des données du site Web ayant communiqué les renseignements.
De telles constatations devraient préoccuper vivement tout intervenant du commerce électronique.
Conclusion
Les consommateurs souhaitent de plus en plus avoir l’assurance que leurs renseignements personnels sont protégés lorsqu’ils font du commerce électronique.
Bien sûr, cela concerne les formes plus traditionnelles de commerce électronique, comme l’achat de produits de consommation et de services en ligne. Mais les autres formes de commerce électronique, comme les réseaux sociaux, sont également touchées.
La solution consiste à garantir aux consommateurs que leurs renseignements personnels seront protégés tant à l’intérieur de leur pays qu’à l’étranger.
- Date de modification :