Le « citoyen professionnel » en matière de protection de la vie privée dans un monde en rapide évolution

Commentaires devant des étudiants du programme de maîtrise en administration publique de l’École des études sur les politiques publiques de l’Université Queen’s

Le 12 janvier 2012
Kingston, Ontario

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)

---

Introduction

Bonjour. Je suis fort heureuse d’être ici aujourd’hui. Le Commissariat entretient depuis longtemps une relation avec l’Université Queen’s et le Centre d’études sur la surveillance.

Nous avons été très impressionnés par les recherches novatrices effectuées à l’Université Queen’s dans des domaines comme la protection de la vie privée et la sécurité nationale, la vidéosurveillance et les technologies de localisation. Depuis 2004, le Commissariat a versé plus de 200 000 $ à des chercheurs de l’Université Queen’s dans le cadre du Programme des contributions.

Je sais que l’un des objectifs du professeur Elder est de faire en sorte qu’à la fin de leurs études, les diplômés du programme de maîtrise en administration publique savent comment être des « citoyens professionnels ». C’est un but très noble, particulièrement pertinent pour ceux qui travailleront en administration publique.

Dans cette optique, j’ai pensé qu’il serait approprié de vous entretenir cet après‑midi de la notion de « citoyen professionnel » dans le domaine de la protection des renseignements personnels.

Pour moi, un « citoyen professionnel » est une personne qui connaît ses droits et ses responsabilités en tant que citoyen. Dans le contexte de la vie privée, c’est une personne qui comprend comment les lois soutiennent ses droits, mais également comment il peut faire preuve de vigilance dans la protection de sa vie privée.

Pour traiter d’une question aussi vaste, je dois rappeler brièvement certains faits : le mandat et le rôle du Commissariat et son travail dans le cyberespace. En ce qui concerne le monde numérique, je mettrai l’accent sur la « saga » de Facebook, ainsi que sur un sujet probablement très pertinent pour l’auditoire, le réseautage social et le milieu de travail.

Contrôle de l’information

Il est peu probable qu’il y en ait parmi vous qui vouliez vraiment être invisibles, ou que vous vous attendiez à l’être à l’ère de l’information, mais il est fort probable que vous chérissez tous votre vie privée. En particulier, vous tenez à avoir le contrôle sur vos renseignements personnels.

Les Canadiennes et les Canadiens comprennent que la protection de la vie privée est un droit auquel ils peuvent choisir de renoncer. Ils peuvent — et c’est souvent le cas — décider de révéler des renseignements personnels les concernant, notamment sur les sites de réseautage social comme Facebook. (Il s’agit parfois de renseignements qu’ils regrettent après coup d’avoir révélés!)

Mais ils n’aiment pas que les organisations utilisent tout simplement leurs renseignements, et ce, à leur insu et sans leur consentement.

En résumé, le droit à la vie privée est le droit de contrôler la communication et l’utilisation de nos renseignements personnels. Et personne — même celles qui choisissent de partager des détails de leur vie intime sur Internet — ne veut renoncer à ce contrôle.

Le contrôle sur nos renseignements personnels nous protège des atteintes à notre personne. Il sauvegarde notre intimité et favorise la liberté d’expression et de pensée. Il protège notre réputation. Bref, il nous permet de conserver notre place et notre identité dans notre environnement social.

Au fond, la protection de la vie privée est la sphère dont nous avons besoin pour faire valoir nos autres libertés et droits civils.

Rôle du Commissariat à la protection de la vie privée

Alors, comment tout cela fonctionne-t-il dans la pratique?

Le Parlement a confié au Commissariat la mission de protéger et de promouvoir le droit à la vie privée des Canadiennes et des Canadiens. Notre mandat officiel consiste à appliquer les deux lois canadiennes sur la protection des renseignements personnels :

• la Loi sur la protection des renseignements personnels, qui impose des obligations à quelque 250 ministères et organismes fédéraux;
• la Loi sur la protection des renseignements personnels et les documents électroniques — ou la LPRPDE —, qui vise le secteur privé.

Il s’agit là d’un défi énorme, mais stimulant, compte tenu de la rapidité avec laquelle le paysage de la protection de la vie privée a évolué au cours des dernières années. Je suis commissaire depuis huit ans et les changements qui se sont produits au cours de cette courte période sont énormes.

Dans le secteur public, les motifs de sécurité nationale ont été invoqués — au Canada et ailleurs dans le monde — pour justifier une phénoménale augmentation de la quantité de renseignements personnels recueillis, analysés et communiqués.

Dans le secteur privé, les renseignements personnels sont devenus une marchandise de plus en plus en vogue pour de nombreuses organisations qui s’en servent pour mousser leurs ventes de services et de produits.

En raison du rôle central que joue maintenant le cyberespace dans notre vie de tous les jours, les préoccupations relatives à la protection de la vie privée sont devenues, dans ce contexte, beaucoup plus importantes.

On crée de plus en plus de données personnelles qui circulent à l’échelle de la planète — et toutes ces données doivent être protégées!

Le Commissariat dispose d’un certain nombre d’outils qui l’aident à remplir sa mission visant à garantir le droit à la vie privée des Canadiennes et des Canadiens. Ce sont notamment les enquêtes, les tribunaux, les vérifications et les examens des évaluations des facteurs relatifs à la vie privée.

Le « citoyen professionnel » doit connaître ces outils.

Enquêtes

Une enquête peut être entreprise à la suite d’une plainte, ou je peux déposer moi‑même une plainte. Si, après enquête, nous constatons que la loi n’a pas été respectée, nous formulons des recommandations.

Depuis le 1er janvier, nous avons mis en place une nouvelle approche pour la présentation des conclusions relatives à nos enquêtes sur les plaintes déposées en vertu de la LPRPDE.

À ce jour, quand nous en venions à la conclusion qu’une entreprise n’avait pas respecté la LPRPDE, nous pouvions classer une plainte comme « résolue » si l’entreprise s’engageait à prendre des mesures correctives.

Nous faisions confiance à l’organisation qui déclarait vouloir régler les problèmes de non‑conformité cernés en mettant en œuvre nos recommandations, et nous faisions alors un suivi proactif auprès d’elle pour nous assurer qu’elle respectait la Loi.

Toutefois, donner au Commissariat la responsabilité d’assurer un suivi auprès des organisations et d’obtenir la preuve de conformité constitue un lourd fardeau sur le plan administratif, tout en étant incompatible avec la responsabilité d’une organisation de rendre des comptes de façon indépendante sur la question de la conformité à la Loi.

En raison de notre engagement d’exiger des organisations qu’elles fassent preuve de responsabilité en matière de respect de la Loi, nous ne jugerons plus comme suffisant leur engagement à corriger un problème pour conclure que ce dernier est résolu.

À l’égard des organisations déterminées à se conformer à la Loi, mais qui ne peuvent y arriver avant la publication de nos conclusions, nous adopterons une nouvelle catégorie de conclusions qui indiqueront clairement les problèmes à régler. Dans ces cas, la plainte sera qualifiée de « résolue sous conditions ».

Nous demanderons alors aux entreprises de confirmer si elles se sont conformées à nos recommandations. À cette fin, elles devront faire réaliser à leurs frais par une tierce partie une vérification en respectant un échéancier précis.

Lorsqu’une organisation n’a pas démontré au Commissariat qu’elle a assuré le suivi au sujet de ses engagements dans le délai autorisé, nous envisagerons d’autres mesures d’application, notamment des poursuites en justice ou la communication d’information sur la question dans l’intérêt du public.

Vérifications

Le Commissariat a également le pouvoir de mener des vérifications afin de s’assurer que les organisations respectent les deux lois.

Dans l’administration fédérale, ces vérifications varient beaucoup. Elles peuvent porter aussi bien sur la liste des personnes interdites de vol (le Programme de protection des passagers) que sur les conséquences pour la protection de la vie privée de l’utilisation des BlackBerry et autres appareils sans fil par le gouvernement.

À la fin de l’année dernière, nous avons publié les conclusions d’une vérification des politiques et des pratiques en matière de protection de la vie privée de l’Administration canadienne de la sûreté du transport aérien (ACSTA), qui est responsable de la sécurité dans les aéroports.

Selon la vérification, l’ACSTA recueillait trop de renseignements sur certains passagers aériens et elle ne protégeait pas toujours adéquatement ces données.

Plus particulièrement, l’ACSTA outrepassait son mandat en établissant des rapports de sécurité sur des incidents non liés à la sûreté aérienne. C’était le cas, même pour les incidents relatifs à des activités légales.

Par exemple, l’ACSTA recueillait des renseignements sur les passagers transportant de grosses sommes d’argent à bord de vols intérieurs — et elle faisait alors intervenir la police. Nous avons recommandé que l’ACSTA cesse immédiatement cette pratique, ce qu’elle a heureusement accepté de faire.

Au cours de leurs visites sur place, nos vérificateurs ont aussi été surpris de trouver des documents contenant des renseignements personnels sensibles, laissés sur des tablettes à la vue de tous dans une pièce où se déroulait parfois le contrôle de sûreté de passagers.

Évaluations des facteurs relatifs à la vie privée

Les évaluations des facteurs relatifs à la vie privée sont un autre outil central. Elles servent à déceler les risques potentiels d’atteinte à la vie privée que posent les programmes ou les services fédéraux nouveaux ou remaniés. Elles aident aussi à éliminer ou à réduire ces risques.

Bien réalisée, une évaluation des facteurs relatifs à la vie privée est l’occasion de veiller à l’intégration dès le début de mesures appropriées pour la protection de la vie privée. S’il s’agit simplement d’une liste de contrôle utilisée à la fin d’une initiative, et que personne ne la lit, l’évaluation n’a pas été effectuée correctement.

Les ministères gouvernementaux sont tenus de présenter au Commissariat les rapports d’évaluation des facteurs relatifs à la vie privée lorsqu’ils conçoivent des programmes ou des services nécessitant la collecte, l’utilisation ou la communication de renseignements personnels. Si nous le désirons, nous pouvons formuler des commentaires et des recommandations. Toutefois, la décision finale concernant la mise en œuvre de nos recommandations revient aux ministères.

J’ai parlé plus tôt de la sécurité dans les aéroports. Grâce au processus d’évaluation des facteurs relatifs à la vie privée, le Commissariat a été en mesure de rassurer les Canadiennes et les Canadiens en leur montrant que des mesures de protection de la vie privée ont été adoptées en vue de l’utilisation des scanneurs à ondes millimétriques.

Orientation

Un autre moyen important qu’emploie le Commissariat pour aider les organisations à s’acquitter de leurs obligations relatives à la protection de la vie privée consiste à publier des documents d’orientation sur le traitement des questions posant un défi à la protection de la vie privée.

Par exemple, tout juste le mois dernier, nous avons diffusé de nouvelles lignes directrices sur la publicité comportementale en ligne.

Le recours à ce type de publicité a explosé, et nous craignons que le droit de la population canadienne à la vie privée ne soit pas toujours respecté. Le problème est en grande partie attribuable au fait que les personnes ne savent pas qu’elles sont surveillées parce que, trop souvent, l’information sur l’utilisation prévue de leurs renseignements personnels se trouve à la toute fin d’une politique de confidentialité difficile à lire.

À la suite du lancement des lignes directrices, certains observateurs se sont demandé comment le Commissariat serait en mesure de les appliquer.

Je peux vous dire que la publicité comportementale en ligne sera l’une des priorités du Commissariat si nous recevons des plaintes ou constatons des pratiques douteuses.

Au cours de la dernière année, depuis le renouvellement de mon mandat, nous nous efforçons de donner au Commissariat de nouveaux outils qui lui permettront de mieux servir la population canadienne. L’un des outils dont je suis le plus fière est notre nouveau laboratoire de technologie, qui nous offre le savoir‑faire technique pour comprendre ce qui se passe derrière l’écran. Par exemple, nous pouvons analyser les techniques de suivi utilisées par diverses entreprises de publicité comportementale en ligne ou, encore, l’efficacité des contrôles de protection de la vie privée sur les sites de réseautage social.

La saga de Facebook

Je vais maintenant m’attarder à un exemple d’intervention bien connu du Commissariat dans le secteur privé et qui va probablement intéresser bon nombre d’entre vous ici aujourd’hui. La moitié des Canadiennes et des Canadiens — et une proportion plus élevée de jeunes Canadiens — ont un compte Facebook.

À la suite de l’enquête menée par le Commissariat en 2009, Facebook a mis en œuvre des changements relatifs à la protection de la vie privée à l’échelle de la planète. À la fin de 2010, nous étions en mesure de nous déclarer satisfaits des changements apportés.

Comme certains d’entre vous s’en souviennent peut‑être, nous étions surtout préoccupés par le fait que Facebook n’avait pas de mesures de sécurité techniques pour restreindre efficacement l’accès des tiers développeurs d’applications — les personnes qui créent des jeux et des jeux‑questionnaires appelés applications — aux renseignements personnels des utilisateurs de Facebook et de leurs amis.

Grâce à notre enquête, Facebook a modifié sa plateforme pour que les développeurs d’applications ne puissent avoir accès aux renseignements personnels sans l’obtention du consentement explicite de l’utilisateur pour chaque catégorie de renseignements personnels à laquelle ils désirent avoir accès.

Un autre sujet de préoccupation examiné pendant l’enquête était que, dans certains cas, Facebook n’était pas suffisamment transparente à l’égard de ses pratiques de traitement des renseignements personnels. Nous nous sommes réjouis que l’entreprise accepte d’apporter les changements nécessaires pour informer clairement les utilisateurs.

Un important message qui passe souvent inaperçu lorsqu’on parle de l’enquête est que les utilisateurs de Facebook ont aussi un rôle à jouer : celui d’être des « citoyens professionnels ».

Les utilisateurs de Facebook — et en fait tous les internautes — doivent savoir comment leurs renseignements personnels seront utilisés et communiqués.

L’enquête sur Facebook a permis de diffuser davantage d’information sur la protection des renseignements personnels et d’améliorer les outils dans ce domaine — mais il faudrait que les utilisateurs tirent profit de ces changements.

Nous n’avons pas terminé notre travail avec Facebook. Bientôt, nous rendrons publiques les conclusions de nos autres enquêtes liées au système d’invitation à se joindre au réseau social, ainsi qu’aux boutons « J’aime » que d’autres sites peuvent ajouter à leur propre site.

De plus, nous annoncerons à très court terme les conclusions d’une enquête sur un autre site de réseautage social qui cible les jeunes.

Je tiens aussi à signaler que d’autres autorités internationales de protection des données effectuent actuellement des travaux de premier plan dans le domaine.

Par exemple, en novembre dernier, la Federal Trade Commission des États‑Unis a conclu une entente avec Facebook obligeant l’entreprise à effectuer régulièrement des vérifications relatives à la protection de la vie privée au cours des vingt prochaines années.

Pendant ce temps, mon homologue irlandais a terminé, le mois dernier, une vérification de Facebook et a demandé un ensemble d’améliorations visant les mesures de protection de la vie privée et les pratiques de traitement des données.

Il va de soi qu’il y aura d’autres enjeux de taille liés à la protection des renseignements personnels dans les médias sociaux au cours des prochaines années. Par exemple, Facebook a lancé une technologie de reconnaissance faciale controversée dans d’autres pays — mais pas au Canada pour l’instant.

Les autorités responsables de la protection des données à l’étranger s’intéressent particulièrement à cette technologie.

Les utilisations possibles de la reconnaissance faciale — dans les réseaux sociaux ou les contextes de marketing, par exemple — laissent place à l’imagination. (Combien d’entre vous ont vu Rapport minoritaire?)

Par conséquent, les services de protection des données partout dans le monde suivent de près les faits nouveaux dans ce domaine.

En effet, l’automne dernier, j’ai tenu une réunion avec un certain nombre de collègues internationaux afin de discuter des incidences croissantes de cette technologie sur la protection de la vie privée. La Federal Trade Commission des États‑Unis a organisé un atelier sur la reconnaissance faciale auquel j’ai assisté en décembre dernier.

Le rôle de la personne dans la protection de ses renseignements personnels

Un autre enjeu auquel commencent à s’intéresser les organismes de réglementation partout dans le monde est l’importance grandissante que joue la personne en tant que fournisseur de contenu dans le monde en ligne.

Le Commissariat encourage certainement les gens à être conscients de la vie privée des autres lorsqu’ils affichent de l’information en ligne.

Mais la LPRPDE — comme la plupart des lois sur la protection de la vie privée à l’échelle mondiale — ne s’applique pas aux utilisations domestiques des renseignements personnels. Nous ne disposons pas de cadre juridique ni de sanctions dans ce domaine.

Quelle est la responsabilité de la personne? Comment les plateformes de réseautage social et les utilisateurs devraient‑ils se partager la responsabilité du contenu affiché en ligne?

Les experts qui ont examiné les lignes directrices de l’OCDE sur la protection de la vie privée — dont c’était le 30e anniversaire l’an dernier — ont indiqué que la capacité des personnes à créer et à communiquer de l’information constitue l’un des principaux changements ayant eu des répercussions sur la protection de la vie privée au cours des récentes années.

Je crois que les individus, tout comme les organisations, doivent assumer la responsabilité de l’utilisation des renseignements personnels. Je suis d’avis que nos lois doivent évoluer afin d’en tenir compte.

Certains de ces enjeux pourraient être examinés dans le cadre d’un recours juridique devant la Cour suprême du Canada.

Connue sous le nom de A.B. c. Bragg Communications, l’affaire concerne une jeune fille de quinze ans qui s’est rendu compte qu’une personne avait créé un faux profil en son nom sur Facebook. C’était un cas de cyberintimidation sexuelle.

Elle a demandé l’émission d’une ordonnance enjoignant à Bragg Communications de révéler l’identité des personnes qui avaient utilisé une certaine adresse IP, ce que lui a accordé la Cour suprême de la Nouvelle‑Écosse.

L’adolescente a aussi demandé une ordonnance qui lui permettrait de fonctionner sous un pseudonyme, ainsi qu’une interdiction de publication partielle afin d’empêcher le public de connaître les mots exacts employés dans le faux profil Facebook.

Comme on pouvait s’y attendre, un journal et une chaîne de télévision s’y sont opposés. Cette mesure réparatoire additionnelle a été refusée. La Cour d’appel de la Nouvelle‑Écosse a confirmé cette décision.

Le Commissariat demandera l’autorisation d’intervenir devant la Cour suprême du Canada s’il estime que sa contribution peut être utile à la Cour.

Conclusion

Nous venons de faire un tour d’horizon rapide.

Je vous ai donné une petite idée du travail du Commissariat et des risques nouveaux relatifs à la protection de la vie privée que nous cherchons à atténuer. J’espère vous avoir stimulés à examiner comment vous, de votre côté, pouvez contribuer à protéger le droit fondamental à la vie privée.

Les Canadiennes et les Canadiens connaissent bien le monde en ligne. Nous devons maintenant travailler à parfaire leurs connaissances en matière de protection de la vie privée.

Un grand nombre d’utilisateurs ne pensent pas aux traces numériques qu’ils laissent quand ils naviguent sur le Web et se déplacent d’un site à l’autre. Ils ne pensent pas à comment ces traces peuvent être sauvegardées, analysées et consultées. Et combien d’entre nous lisent vraiment les longues politiques de confidentialité?

Le monde en ligne est un univers incroyablement complexe, et les gens doivent être bien renseignés afin de mieux comprendre la façon dont on utilise leurs renseignements personnels.

Je suis ravie de constater que les Canadiennes et les Canadiens demandent de plus en plus d’information sur les pratiques des entreprises en matière de protection des renseignements personnels — et qu’ils ne se gênent pas pour exprimer leur mécontentement lorsqu’ils n’aiment pas ce qu’ils voient.

Quand je m’adresse à des auditoires comme le vôtre partout au pays, je suis toujours encouragée de rencontrer autant de personnes qui se soucient profondément de la protection de la vie privée — et qui sont des « citoyens professionnels » quand il s’agit de faire preuve de vigilance à l’égard de la protection de leur droit à la vie privée.

Merci de votre attention. J’ai bien hâte de connaître votre opinion et de répondre à vos questions.