Le paysage de la protection de la vie privée en 2013

Commentaire dans le cadre d’une rencontre avec la Section du droit de la vie privée et de l’accès à l’information de l’Association du Barreau canadien

Le 17 janvier 2013
Halifax (Nouvelle-Écosse)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Mon programme pour aujourd’hui consiste :

  1. à souligner les principales questions juridiques liées à l’évolution rapide du paysage de la protection de la vie privée;
  2. à décrire notre approche à l’égard de ces questions;
  3. à vous faire part de nos stratégies pour demeurer efficaces dans ce contexte.

I. Principales questions juridiques

J’aimerais tout d’abord vous présenter les principales questions juridiques liées à l’évolution du paysage de la protection de la vie privée que nos enquêtes et nos études nous ont permis de dégager.

Au risque d’énoncer une évidence, je peux affirmer que ces questions découlent d’un changement fondamental : le passage à l’ère numérique.

Je mettrai l’accent sur six principes inhérents à la protection de la vie privée sur lesquels influe particulièrement ce changement.

1. La transparence et le consentement dans la nouvelle réalité numérique des applications mobiles, des téléphones intelligents et de la publicité comportementale en ligne

La complexité technologique des communications en ligne exerce une pression sans précédent sur les principes de la protection de la vie privée et de la transparence. Il était autrefois facile de montrer aux clients que l’on conservait leurs renseignements à l’abri dans un coffre-fort, mais les entreprises ont maintenant de la difficulté à expliquer comment elles s’y prennent pour recueillir, utiliser et protéger les renseignements personnels dans un monde virtuel. Par conséquent, il est tout aussi difficile d’obtenir un consentement valable puisque cette notion repose sur la compréhension des modalités de collecte, d’utilisation et de protection.

  • La question est ressortie, par exemple, dans l’une de nos enquêtes sur Facebook concernant les suggestions d’amis. Nous n’avons pas établi que Facebook recueillait ou utilisait de façon illégale des renseignements concernant des non-utilisateurs pour leur suggérer des amis. Cependant, nous avons déterminé que le mécanisme utilisé pour ce faire n’était pas décrit assez clairement. À la suite de nos recommandations, Facebook indique maintenant de façon claire et adéquate qu’elle utilise les adresses de courriel pour suggérer des amis. L’entreprise fournit aussi aux non-utilisateurs une façon pratique et conviviale de se soustraire à ces suggestions.
  • Voyons un autre exemple. Dans le cadre d’une enquête, nous avons recommandé à l’exploitant du site Nexopia d’apporter des modifications à sa politique de confidentialité. Mais, comme ce site de réseautage social s’adresse aux jeunes, nous lui avons aussi recommandé d’utiliser un langage et des formules adaptés à sa clientèle dans la politique de confidentialité et ailleurs dans son site, afin de veiller à ce que les utilisateurs comprennent comment leurs renseignements sont recueillis, utilisés et communiqués à des tiers, et ainsi de suite. La transparence signifie que les paramètres de confidentialité doivent être clairs et, pour être clairs, ils doivent être adaptés aux utilisateurs.

2. Communication

Le deuxième principe sur lequel influe l’évolution du paysage de la vie privée est celui de la communication. Cela est particulièrement pertinent compte tenu de l’augmentation du nombre croissant de situation où le gouvernement a accès à des données détenues par le secteur privé.

Cette question a été mise en évidence dans plusieurs dossiers récents.

  • Dans le cadre des programmes Information préalable sur les voyageurs (IPV) et Dossier du passager (DP), les transporteurs aériens fournissent de l’information de nature « biographique » sur les passagers (IPV) et des renseignements sur leurs déplacements (DP). Tous ces renseignements sont recueillis par les transporteurs aériens commerciaux et transmis à divers gouvernements au moyen de différents canaux électroniques.
  • Le Centre d'analyse des opérations et déclarations financières du Canada (CANAFE) est l’organisme indépendant chargé, entre autres choses, de recevoir les déclarations d’opérations financières en application de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. Tous les deux ans, le CANAFE fait l’objet d’une vérification obligatoire menée par le Commissariat à la protection de la vie privée du Canada. Le rapport de notre dernière vérification a été publié à l’automne 2009. Il fait état de cas où les institutions financières ont transmis au CANAFE des renseignements excessifs – le Centre recevait des renseignements personnels dont il n’avait pas besoin, qu’il n’utilisait pas ou qu’il n’était pas autorisé à recevoir en vertu de la loi.
  • Le projet de loi C-12 modifierait la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en ajoutant deux situations dans lesquelles les autorités chargées de l’application de la loi pourraient demander des renseignements à une organisation, à savoir pour communiquer avec le plus proche parent d’une personne et pour « exercer des fonctions de police ».
  • Le projet de loi C-30 sur l’accès légal permettrait d’obtenir sans mandat des renseignements sur les clients à partir d’une adresse IP.

Ces dossiers nous obligent à nous pencher sur la relation qui existe entre le droit individuel à la vie privée et le droit collectif à la sécurité publique ou à un régime fiscal efficace et, par le fait même, à définir ce que l’on entend par une communication légale dans l’intérêt public.

3. Mesures de sécurité à l’ère numérique

Le troisième principe sur lequel j’aimerais insister dans ce contexte en pleine évolution est celui des mesures de sécurité.

J’ai récemment été frappée par des propos formulés par le directeur du FBI, Robert Mueller. D’après lui, il n’existe que deux types d’entreprises – celles qui ont déjà été victimes de piratage informatique et celles qui le seront à l’avenir.

Sur le plan juridique, cela nous amène à nous demander si la cybersécurité constitue une obligation de moyens ou de résultats.

D’après nous, il s’agit d’une obligation de moyens. Il s’ensuit que les organisations doivent mettre en place des mesures de sécurité adaptées au niveau de risque créé par l’adoption des plateformes électroniques.

Et pourtant, les entreprises canadiennes font preuve d’une insouciance alarmante à cet égard. Sondage après sondage, nous constatons un manque de sensibilisation, de notre point de vue, en particulier chez les petites et moyennes entreprises, à la virulence et à la fréquence des cyberattaques et aux points faibles des infrastructures technologiques.

En 2011, Verizon a présenté une étude portant sur 855 atteintes à la sécurité des renseignements personnels dans 36 pays. Les résultats de cette étude sont très similaires à la situation observée au Canada. Certains constats sont particulièrement intéressants :

  • La plupart des atteintes à la sécurité des renseignements personnels peuvent être évitées, car 95 % des cyberattaques ne sont pas sophistiquées.
  • Quatre-vingt-seize pour cent (96 %) des entreprises étudiées ne se conformaient pas aux normes de sécurité sur les données de l’industrie des cartes de paiement.
  • Quatre-vingt-douze pour cent (92 %) des incidents ont été découverts par un tiers – et non par l’entreprise elle-même.
  • Dans l’ensemble, l’étude confirme que nous passons aux services sur Internet sans avoir analysé pleinement les risques et les menaces. C’est d’ailleurs l’impression que nous avions de la situation à la lumière du nombre d’incidents observés l’an dernier et de leur gravité.

Il y a aussi les incidents à répétition de perte de portables et de clés USB renfermant des données non chiffrées, qui montrent que le personnel n’est pas très conscient des risques et des mesures de sécurité à prendre pour les atténuer.

L’établissement d’une culture de responsabilité s’impose à l’ère des cyberattaques. Le fait que la cybersécurité constitue une obligation de moyens et non de résultats ne réduit en rien les responsabilités des organisations. En cas d’atteinte à la vie privée par communication accidentelle, perte ou piratage, ce qui est inéluctable, l’organisation doit montrer qu’elle a fait preuve de diligence. Après l’incident, elle doit rectifier le tir le mieux possible pour éviter que le problème se répète.

C’est ce qu’a fait LinkedIn en juin 2012 lorsque près de 6,5 millions de mots de passe d’utilisateurs ont été volés et affichés en ligne. Certes, cette atteinte à la vie privée a mis au jour certains points faibles dans ses mesures de protection de l’information, mais le site de réseautage d’affaires est intervenu sans tarder. Il a collaboré avec le Commissariat et ses homologues de la Colombie-Britannique, de l’Alberta et du Québec pour favoriser une meilleure compréhension de la situation. LinkedIn est rapidement passé à l’action pour cerner les points faibles et y remédier. Il s’est montré à la hauteur de ses responsabilités.

De toute évidence, la détermination de LinkedIn à résoudre le problème est venue du niveau le plus élevé, puisque les membres de la haute direction ont autorisé une intervention « Code rouge ». Par ce geste, ils ont accordé à l’incident une priorité absolue et déclenché le déploiement immédiat de ressources en vue de sa résolution. Une fois l’intervention Code rouge terminée, LinkedIn a assuré un suivi en examinant les efforts déployés, en évaluant les leçons apprises et en améliorant les mesures de sécurité de l’information.

À une époque où les cyberattaques sont devenues monnaie courante, LinkedIn aurait-il pu se doter de meilleures mesures de sécurité?

Bien entendu. Nous lui avons d’ailleurs recommandé de prendre certaines mesures, qui lui ont permis de renforcer la protection des renseignements personnels.

Cela dit, en nous penchant sur les mesures de sécurité mises en place par LinkedIn et sur son intervention immédiate en réaction à l’atteinte à la vie privée, nous avons constaté que le site avait fait preuve de la diligence requise dans un contexte de cybersécurité où les attaques sont inévitables.

4. Questions de compétence

L’économie numérique s’accompagne de la réalité de la circulation transfrontière des renseignements en raison des multinationales et de l’infonuagique, ce qui soulève la question de la compétence territoriale.

Comme vous le savez, le Commissariat possède la compétence voulue pour mener enquête sur les entreprises étrangères qui recueillent, utilisent et communiquent les renseignements personnels de Canadiens dans le cadre d’activités commerciales. Les affaires TJX et Accusearch (Abika) et, naturellement, les enquêtes très médiatisées portant sur Facebook et Google, l’ont établi hors de tout doute au fil des ans.

Les entreprises canadiennes qui externalisent à l’étranger le traitement ou le stockage de renseignements sur les consommateurs, que ce soit par courriel ou au moyen de l’infonuagique, sont quant à elles assujetties aux exigences de l’annexe I de la LPRPDE concernant la responsabilité, le consentement en toute connaissance de cause ainsi que les mesures de sécurité.

Nous avons publié, en 2009, des lignes directrices sur le traitement transfrontière des renseignements personnels, et en juin dernier, un document d’information sur l’infonuagique à l’intention des petites et moyennes entreprises.

5. Définition de « renseignements personnels »

Définition et interprétation

Comme je l’ai mentionné plus tôt, le passage aux communications numériques crée de nouvelles formes de renseignements personnels et de nouveaux supports pour les stocker, si bien qu’il faut se pencher à nouveau sur la définition de renseignements personnels.

Selon le principe directeur à cet égard, les renseignements personnels sont ceux qui se rapportent à un individu identifiable.

Mais les nouvelles applications et la jurisprudence récente remettent en question ce principe.

Par exemple, dans le débat portant sur l’accès légal, la jurisprudence est contradictoire quant à savoir si une adresse IP constitue un renseignement personnel. Or, la position du Commissariat est claire : une adresse IP est un renseignement personnel parce qu’elle se rapporte à un individu identifiable.

En ce qui a trait aux plaques d’immatriculation, la Cour d’appel de l’Alberta a exprimé un point de vue réducteur en rendant sa décision dans l’affaire de la chaîne de magasins d’ameublement Leon’s. Elle a statué qu’un numéro de plaque d’immatriculation ne constitue pas un renseignement personnel parce qu’il se rapporte à un objet et non à un individu.

Le Commissariat, ainsi que les autres organismes de protection et défenseurs de la vie privée, espéraient que la Cour suprême du Canada entende un appel sur cet enjeu important, mais elle en a décidé autrement.

La Cour suprême devra de nouveau se pencher sur la définition des renseignements personnels lorsqu’elle examinera une autre décision rendue par la Cour d’appel de l’Alberta, cette fois-ci dans l’affaire de l’Union internationale des travailleurs et travailleuses unis de l'alimentation et du commerce.

Comme nombre d’entre vous le savent, cette affaire soulève le problème de l’équilibre entre la liberté d’expression et la protection des renseignements personnels dans l’espace public. Permettez-moi de vous rafraîchir la mémoire : en 2006, des travailleurs de ce syndicat étaient en grève au Palace Casino. Le syndicat et l’employeur ont filmé et photographié la ligne de piquetage et la zone environnante, y compris des personnes qui entraient dans le casino ou en sortaient à pied.

Le syndicat a installé des affiches indiquant que les images des personnes qui franchiraient la ligne de piquetage seraient diffusées sur son site Web. D’ailleurs, il y a diffusé par la suite des documents comportant des images accompagnées de légendes « humoristiques » du vice-président du casino et de deux autres personnes, qu’il avait ou pouvait avoir photographiées et filmées. Ces trois personnes ont alors porté plainte contre le syndicat auprès du commissaire à la protection de la vie privée de l’Alberta.

Il s’agit de déterminer si la notion de renseignements personnels a une portée tellement générale qu’elle ne peut être fonctionnelle.

Le commissaire à l’information et à la protection de la vie privée de l’Alberta a demandé l’autorisation d’interjeter appel devant la Cour suprême, une demande que nous avons appuyée. La Cour n’a pas encore pris sa décision à cet égard.

On ne saurait trop insister sur l’importance de cette affaire.

La commissaire Stoddart a présenté un affidavit en faveur de la demande d’appel du commissariat de l’Alberta dans l’affaire de l’Union internationale. Elle y a affirmé qu’une limitation indue de l’application de la LPRPDE pourrait mettre en péril le statut du Canada en tant que pays doté de mesures adéquates à l’appui des finalités de la législation en matière de protection des renseignements personnels de l’Union européenne, ce qui pourrait avoir des répercussions sur le commerce international.

6. Évolution des lois sur la protection de la vie privée au sein de l’Union européenne

Enfin, j’aimerais porter à votre attention le projet de règlement sur la protection des renseignements personnels de l’Union européenne, qui a été présenté le 25 janvier 2012. Ce règlement n’a pas encore été soumis au vote du Parlement européen, mais s’il est adopté, toutes les entreprises canadiennes qui font affaire en Europe seront touchées.

II. APPROCHE LÉGISLATIVE

Vous vous demandez peut-être comment le Commissariat traite ces enjeux juridiques dans un contexte qui évolue rapidement.

Comme vous le savez, le législateur souhaitait que la LPRPDE soit interprétée à la lumière d’un examen pragmatique du contexte commercial.

Concrètement, il s’agit de tenir compte de différents éléments dans nos enquêtes, nos documents d’orientation et nos avis au Parlement. Voici ce qu’il en est.

  • Les nouveaux modèles d’affaires, que nous avons pris en compte dans notre approche à l’égard de la publicité en ligne. Comme on peut consulter gratuitement la plupart des sites Web, les utilisateurs devraient s’attendre à ce qu’il y ait de la publicité. Nous fixons cependant des limites : la publicité ne peut être ciblée sur la base de renseignements se rapportant à un individu. Vous pouvez consulter nos lignes directrices sur la publicité comportementale en ligne sur notre site Web.
  • Les nouvelles formes d’interactions sociales, que nous avons prises en compte dans notre enquête sur le site de réseautage Nexopia s’adressant aux jeunes. Dans ce dossier, nous avons reconnu que les interactions sociales tournent essentiellement autour de la diffusion de renseignements personnels. Nous avons fixé des limites exclusivement pour que les utilisateurs puissent conserver la maîtrise de leurs renseignements personnels.
  • Les nouvelles réalités technologiques, que nous avons prises en compte dans le cas de l’atteinte à la sécurité des renseignements personnels sur le réseau LinkedIn – Nous avons tenu compte des points faibles de la technologie de l’information et exigé la mise en place de mesures de sécurité technologiques s’inspirant des normes généralement acceptées dans l’industrie, par exemple pour ce qui est du chiffrement des mots de passe.

Un examen pragmatique du contexte commercial signifie aussi que l’on prend en considération un nouvel équilibre entre les consommateurs et les entreprises. Comme je l’ai déjà mentionné, cet équilibre est défini par un nouveau contexte marqué par la complexité de la technologie, les répercussions des atteintes à la vie privée et les grandes multinationales.

Cette démarche implique que les organismes de réglementation comme le Commissariat doivent adopter une attitude plus ferme pour faire respecter de façon efficace le droit des Canadiens à la vie privée dans un contexte où le risque évolue constamment. Nous ne pouvons tout simplement pas compter sur les consommateurs pour se protéger ou pour manifester leur mécontentement par des gestes concrets.

III. Stratégies concrètes

Pour mieux protéger les Canadiennes et Canadiens, le Commissariat a l’intention de faire un plus grand usage des pouvoirs dont il dispose et d’en réclamer de nouveaux. Je vous explique.

a) Exercer notre pouvoir de nommer les entreprises

Ces dernières années, le Commissariat a utilisé davantage son pouvoir de nommer les entreprises. Pour clarifier notre interprétation de ce pouvoir, qui nous est conféré en vertu du paragraphe 20(2) de la Loi, j’aimerais vous expliquer notre raisonnement pour chacune des entreprises que nous avons choisi de nommer dans notre dernier rapport annuel sur la LPRPDE.

  • Google et Facebook, sans surprise – Le grand nombre d’utilisateurs fait en sorte que l’incidence de toute question relative à la vie privée devient d’intérêt public. Dans le cas de Google et des réseaux Wi-Fi, certains éléments supplémentaires nous ont incités à nommer l’entreprise :
    1) l’incidence considérable des activités;
    2) la nature délicate des renseignements personnels recueillis et conservés illégalement;
    3) l’ampleur des lacunes systémiques révélées par les enquêtes.
  • Comme vous le savez, nous avons constaté chez Google un manque de mécanismes de contrôle de base pour la protection de la vie privée. Et c’est le constat auquel en sont arrivés tous les organismes de réglementation qui ont aussi fait enquête sur cette entreprise, plus récemment la Commission fédérale des communications des États-Unis.
  • KLM – Là encore, nous estimions l’enjeu systémique, à savoir la faiblesse de la politique de confidentialité d’une grande compagnie aérienne internationale exerçant des activités au Canada, était d’intérêt public.
  • Sobeys – Dans ce cas, nous avons divulgué le nom de l’entreprise en raison de la grande incidence des activités en cause et de l’ampleur de l’enjeu systémique : les enregistrements de vidéosurveillance. La grande envergure de Sobeys et l’utilisation abondante de la vidéosurveillance dans ses magasins, même si elle n’est pas la seule entreprise à avoir adopté cette pratique, ont dicté notre décision d’informer le public de ses politiques et de ses pratiques de gestion des renseignements personnels, de même que de sa position dans le domaine.
  • Nexopia – Nous avons choisi de nommer l’entreprise parce que Nexopia s’adresse à un groupe vulnérable, c’est-à-dire les jeunes. De fait, ce site de réseautage social a été associé à plusieurs affaires criminelles de leurre, de vol et de cyberintimidation. De plus, les paramètres de confidentialité permettaient aux non-utilisateurs d’avoir accès au profil des utilisateurs en faisant des recherches sur Internet. Nexopia n’avait pas non plus adopté de politique sur la conservation des renseignements et n’offrait pas la possibilité de supprimer l’information. Ces lacunes systémiques étaient tellement préoccupantes que nous avons jugé bon d’alerter le public. L’affaire a été portée devant les tribunaux et Nexopia met actuellement en œuvre toutes nos recommandations.
  • Enfin, Job Success – En donnant l’impression qu’elle interviewait des candidats afin de leur trouver un emploi, cette entreprise recueillait des renseignements personnels. En réalité, elle n’était pas en mesure de recruter ces gens ni de leur trouver un emploi. Nous avons jugé qu’il y avait là une tromperie monumentale en infraction à la LPRPDE et que la conjoncture économique actuelle pouvait rendre bien des personnes vulnérables à ce type de pratique trompeuse. C’est pourquoi nous avons décidé de mettre le public en garde contre l’entreprise elle-même et non seulement contre le problème en question.

Toutefois, malgré les critiques des défenseurs de la vie privée, nous n’avons nommé aucune des entreprises visées par notre étude concernant les fuites sur le Web.

Je vous rappelle ce qu’il en est. Nous avons mené une recherche interne sur des sites Web canadiens de premier plan qui communiquaient des renseignements personnels à des tiers.

D’après notre recherche, qui portait sur un échantillon relativement petit, environ un site testé sur quatre communiquait des renseignements personnels appartenant à ses utilisateurs à des tiers, apparemment à l’insu et sans le consentement des intéressés. Le nom, l’adresse de courriel et le code postal des utilisateurs figuraient parmi les renseignements communiqués à des tiers, dont des entreprises de publicité.

Nous avons publié notre rapport de recherche à ce sujet en septembre 2012 et nous sommes encore en discussion avec les entreprises concernant les modifications à apporter à leurs sites Web respectifs.

Différentes raisons nous ont incités à ne pas faire connaître le nom de ces entreprises. Premièrement, nous ne savons pas si le petit échantillon de notre étude est représentatif de l’industrie dans son ensemble.

Deuxièmement, jusqu’à maintenant, toutes ces entreprises ont donné suite à nos recommandations.

Troisièmement, à notre avis, les approches antagonistes ne sont pas efficaces. Pour favoriser la conformité, nous privilégions une approche fondée sur le partenariat.

Le critère le plus important, au moment de décider s’il faut ou non nommer une entreprise, consiste à déterminer s’il est dans l’intérêt du public de connaître le nom de l’entreprise. Notre but est de protéger les membres du public, et non de punir les entreprises fautives.

De plus, nous sommes très conscients des conséquences d’une réputation entachée. C’est pourquoi nous utilisons avec circonspection notre pouvoir de nommer.

b) Exiger une vérification par un tiers

Il y a une autre nouvelle mesure que nous appliquons. Nous exigeons un rapport de vérification par un tiers pour prouver que nos recommandations ont été mises en œuvre.

Nous avions formulé des recommandations à l’issue de notre enquête sur l’utilisation des réseaux sans fil par Google. Dans ce cas, l’entreprise nous a transmis un rapport de vérification par un tiers pour confirmer qu'elle avait suivi nos recommandations. Nous lui avions imposé cette condition pour clore notre enquête.

Nous avons demandé la même chose à Bureau en gros à la suite de la vérification menée en 2011. Nous avions alors constaté que l’entreprise revendait des disques durs renfermant encore des renseignements personnels des propriétaires précédents.

c) Préciser les conclusions découlant des enquêtes

Nous avons également précisé le libellé des conclusions de nos enquêtes. Deux changements sont dignes de mention.

  1. Lorsqu’une organisation prise en défaut a réglé le problème au cours de l’enquête, nous indiquons que la plainte est « fondée et résolue » et non simplement « résolue ». Nous reconnaissons ainsi que la LPRPDE a été enfreinte.
  2. Lorsqu’une organisation qui s’était engagée à mettre en œuvre nos recommandations n’a pas eu la possibilité de le faire avant la fin de l’enquête, nous indiquons que la plainte est « fondée et conditionnellement résolue ».

d) Mettre en œuvre de nouveaux pouvoirs de refuser de faire enquête ou de mettre fin à une enquête

La Loi canadienne anti-pourriel nous a conféré un nouveau pouvoir, qui n’a rien à voir avec les pourriels à proprement parler, soit celui de refuser de faire enquête lorsqu’un autre mécanisme serait plus efficace ou que la plainte nous semble futile ou vexatoire.

Depuis que ces nouveaux pouvoirs sont entrés en vigueur, le 1er avril 2011, nous avons refusé de faire enquête sur deux plaintes. Dans un cas, nous ne voulions pas interférer avec une instance judiciaire provinciale. Dans l’autre, nous estimions qu’une instance judiciaire provinciale constituait le moyen le plus approprié de résoudre le problème.

Nous avons par ailleurs mis fin à 17 enquêtes pour divers motifs. Dans six cas, le plaignant s’était désisté. Trois enquêtes ont été abandonnées, trois autres ont été interrompues parce que le Commissariat estimait que le dossier convenait mieux à une autre instance, trois autres encore parce que l’enjeu visé avait déjà fait l’objet d’un rapport du Commissariat, une autre parce que l’organisation avait pris des mesures équitables et raisonnables pour donner satisfaction au plaignant et une dernière parce que le dossier était ou avait été pris en charge par une autre instance.

e) Justifier l’octroi de nouveaux pouvoirs

Pourtant, nous avons l’impression que ces pouvoirs ne font pas le poids face aux géants d’Internet et aux autres multinationales. Nous souhaitons des modifications législatives pour obtenir de nouveaux pouvoirs. Comme vous le savez peut-être, nous avons pris nos distances par rapport au projet de loi C-12, particulièrement pour ce qui est de la notification des atteintes à la vie privée. Dans ce domaine, nous aimerions que la loi prévoie de nouvelles sanctions. Nous avons d’ailleurs réclamé des modifications à la LPRPDE afin d’obtenir des pouvoirs d’application de la loi.

Le 11 décembre 2012, la commissaire Stoddart a comparu devant le Comité permanent de l'accès à l'information, de la protection des renseignements personnels et de l'éthique de la Chambre des communes. Elle a alors réitéré l’importance, compte tenu du marché actuel, de disposer de véritables pouvoirs d’application de la loi et d’obliger les organisations à signaler toute atteinte à la vie privée.

Ces mesures mettraient le Canada à égalité avec d’autres pays, comme le Royaume-Uni. Nous estimons que la confiance des consommateurs sera ébranlée si nous sommes à la traîne dans le domaine. Or, cette confiance est nécessaire pour permettre à l’économie numérique de prospérer.

En outre, ces mesures renforceraient la responsabilité, et des sanctions fourniraient des incitations financières à mieux protéger les renseignements personnels de la population canadienne.

À cet égard, j’aimerais beaucoup connaître votre opinion. Vos commentaires nous aideraient à comprendre les difficultés auxquelles vous devez faire face et à mieux en tenir compte.

f) Promouvoir la responsabilité

Pour aider les entreprises, en particulier les petites et moyennes entreprises, nous avons élaboré des lignes directrices intitulées Un programme de gestion de la protection de la vie privée : la clé de la responsabilité. Ce guide indique les différentes étapes de la mise en œuvre du principe 4.1 de l’annexe 1 de la LPRPDE. Il aide les organisations à se doter d’une structure de gouvernance appropriée pour assurer la conformité et en faire la preuve. Ce document, qui est le fruit d’un effort concerté des employés du Commissariat et de leurs collègues de la Colombie-Britannique et de l’Alberta,  est affiché sur notre site Web.

En ce qui a trait aux géants d’Internet, nous formulons souvent des recommandations visant à améliorer la transparence et le consentement.

IV. Qu’allons-nous faire maintenant?

Alors, quel est le reste de notre programme pour maintenir, voire améliorer notre efficacité compte tenu du contexte financier, social et technologique?

Pour commencer, permettez-moi de présenter brièvement le contexte dans lequel nous exerçons nos activités :

  • les gens vivent maintenant leur vie en ligne;
  • une poignée d’entreprises ont le monopole de l’activité sur Internet;
  • les enjeux relatifs à la vie privée ont pris une dimension mondiale.

1. Quelles sont les répercussions de « la vie en ligne »?

Les principes relatifs à l’équité dans le traitement de l’information, qui forment la base de l’annexe 1 de la LPRPDE, ont toujours leur place en ligne.

D’ailleurs, c’est sur ces principes que reposent les lignes directrices récemment publiées par le Commissariat sur la publicité comportementale en ligne, les applications mobiles et l’infonuagique.

De plus, pour nous tenir au courant des développements récents et nous aider à orienter notre travail dans le domaine de la politique, des communications, des enquêtes et de la vérification, nous avons créé, au sein du Commissariat, la Direction de l'analyse des technologies, qui mène ses travaux dans un laboratoire informatique interne conçu expressément à cette fin.

2. Quelles sont les répercussions des monopoles sur Internet?

Pour aborder la question des monopoles sur Internet, nous avons adopté trois stratégies :

  • Nous exerçons notre pouvoir de nommer les entreprises fautives dans l’intérêt public.
  • Nous menons des campagnes d’information pour renseigner les Canadiens sur les risques d’atteinte à la vie privée en ligne et leur donner des outils pour se protéger.
  • Nous continuons de réclamer un renforcement de nos pouvoirs d’application de la loi pour nous hisser au niveau des organismes étrangers de protection de la vie privée.

3. Comment faisons-nous face à la mondialisation des enjeux relatifs à la vie privée?

Deux grandes stratégies se dégagent concernant la mondialisation des enjeux relatifs à la vie privée :

  1. La consolidation des cadres normatifs internationaux – Cette consolidation pourrait passer par l’élaboration d’un puissant nouveau régime européen de protection des renseignements, dont le projet de règlement constitue la pierre angulaire. Elle pourrait aussi reposer sur les travaux du groupe de travail formé de volontaires et présidé par la commissaire Stoddart qui est chargé de proposer des mises à jour aux lignes directrices de l’OCDE.
  2. Une collaboration internationale sans précédent entre les organismes de protection de la vie privée.

Les participants à la Conférence internationale des commissaires à la protection des données et de la vie privée, qui a eu lieu à Mexico, ont adopté une résolution sur la coordination, au niveau international, de l'application des lois en matière de protection de la vie privée. Quelques mesures concrètes ont été prises dans la foulée de cette résolution :

  • Nous avons conclu des protocoles d’entente avec quatre autres organismes de protection de la vie privée pour échanger de l’information et travailler en collaboration. D’autres organismes nous ont aussi contactés.
  • En fait, nous sommes sur le point de rendre publics les résultats d’enquêtes menées conjointement par le Commissariat et un organisme européen de protection de la vie privée au sujet d’une entreprise américaine. Les deux organismes ont appliqué leur propre législation, mais ils travaillent de concert.
  • Un groupe de travail temporaire composé d’organismes responsables de la protection de la vie privée a été mis sur pied en application de la résolution de Mexico. Il s’est réuni à Montréal en mai 2012, sous la coprésidence du Commissariat et de l’organisme britannique de protection de la vie privée, pour jeter les bases d’une coordination renforcée.
  • Nous progressons dans nos efforts auprès des organismes étrangers de protection de la vie privée en ce qui a trait au renforcement de la collaboration sur les enjeux qui touchent aussi le secteur public.
Date de modification :