Réglementer la protection de la vie privée dans le monde numérique

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires dans le cadre du Forum canadien sur l'Internet organisé par l'Autorité canadienne pour les enregistrements Internet

Le 28 février 2013
Ottawa (Ontario)

Allocution prononcée par Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Je vous remercie de m'avoir invitée à aborder certains des principaux enjeux concernant la réglementation en matière de protection de la vie privée auxquels feront face les Canadiennes et les Canadiens dans les prochaines années.

Tout d'abord, permettez-moi de féliciter l'Autorité canadienne pour les enregistrements Internet, qui a dépassé les deux millions de noms de domaine point-ca enregistrés.

La croissance remarquable du nom de domaine point-ca va dans le sens de l'expansion exponentielle continue d'Internet à l'échelle mondiale.

Mais, outre de nombreuses possibilités extraordinaires, cette explosion de l'interconnectivité présente également de nombreux défis.

Un défi particulièrement complexe réside dans la réglementation d'Internet.

Tout le monde ici est au courant de la controverse touchant la réglementation d'Internet à la Conférence mondiale des télécommunications internationales, qui s'est tenue à Dubaï il y a quelques mois. Le débat passionné était peut-être un signe de l'importance cruciale qu'a pris Internet pour les gens du monde entier dans leur vie quotidienne, pour le monde des affaires et pour les gouvernements.

Dans ce contexte, j'aimerais vous parler de quelques-uns des principaux enjeux auxquels fait face le Commissariat à la protection de la vie privée du Canada — tout comme, d'ailleurs, bon nombre de mes homologues internationaux — lorsqu'il s'agit de réglementer la protection de la vie privée dans le monde numérique.

Je me concentrerai sur trois sujets :

  • premièrement, l'application de la loi dans une ère de technologies des communications en pleine évolution;
  • deuxièmement, le rôle des personnes dans la protection de la vie privée;
  • troisièmement, l'importance de la responsabilité des entreprises, particulièrement dans un monde où les enjeux liés à la protection de la vie privée ont une portée mondiale.

La croissance inexorable de la technologie a rendu ces trois enjeux de plus en plus préoccupants au cours de la dernière décennie, soit depuis que je suis devenue commissaire à la protection de la vie privée.

Les défis liés à l’application de la loi

De plus en plus de gens communiquent en ligne, et ce, partout dans le monde. L’accès aux renseignements transmis lors de ces communications par les responsables de l’application de la loi et les autorités nationales de la sécurité est donc devenu un enjeu.

Plus tôt ce mois-ci, le ministre de la Justice Rob Nicholson a annoncé que le Parlement ne donnerait pas suite au projet de loi C-30, la loi du gouvernement portant sur  l’accès légal.

Lorsque le projet de loi a été déposé l’an dernier, les Canadiennes et les Canadiens ont réagi vivement et ont dit craindre que celui-ci ait des conséquences négatives importantes sur leur droit fondamental à la vie privée. 

Nous sommes très heureux de constater que le gouvernement donne suite à ces préoccupations.

Le Commissariat travaille sur cette question depuis de nombreuses années. Nous avons fait état de nos inquiétudes concernant le fait que le projet de loi C-30, comme ses prédécesseurs, aurait permis aux responsables de l’application de la loi d’obtenir sans mandat l’accès aux renseignements sur les abonnés, notamment leurs adresses IP. 

Les partisans du projet de loi soutenaient qu’il s’agissait de renseignements de même nature que ceux que l’on trouve dans un annuaire téléphonique.

Or, l'information associée à une adresse IP, contrairement aux données d'un annuaire téléphonique, n'est généralement pas accessible au public et peut donner l'accès à bien d'autres renseignements sur une personne.

Les technologues du Commissariat ont examiné le degré d’atteinte à la vie privée associé aux renseignements que le projet de loi proposait de rendre accessibles aux autorités policières. Nous avons constaté qu’une adresse IP peut, en fait, être le point de départ qui permet de dresser le portrait des activités en ligne d’une personne, y compris les services en ligne auxquels la personne est abonnée, ses intérêts personnels en fonction des sites Web consultés, les organisations auxquelles elle appartient et même son emplacement physique.

La décision relative au projet de loi C-30 est une bonne nouvelle pour la protection de la vie privée au Canada. Je tiens à féliciter l’ensemble des Canadiennes et des Canadiens qui ont exprimé leurs préoccupations par rapport au projet de loi et leur grand attachement à l’égard de leur droit à la vie privée.

Le débat a aussi permis de soulever des questions au sujet des dispositions qui autorisent les responsables de l’application de la loi à accéder à des renseignements personnels sans consentement.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) autorise déjà les organismes d'application de la loi et les institutions fédérales à obtenir des renseignements sans consentement, et ce, à des fins très variées comme la sécurité nationale, l’application de lois canadiennes, provinciales ou étrangères, ainsi que les enquêtes ou la collecte de renseignements en vue de l’application de ces lois. 

Nous n’avons aucune idée (et personne d’autre non plus) de la fréquence à laquelle ces activités se produisent ou des circonstances dans lesquelles elles sont réalisées. Par contre, nous savons que les autorités policières se prévalent régulièrement de cette disposition pour obtenir des FAI des renseignements permettant d’associer des adresses IP à des noms. Je crois qu’il faut exiger une plus grande transparence et que l’on nous explique comment, pourquoi et à quelle fréquence on a recours à ce mécanisme.

Selon la LPRPDE, les organismes d’application de la loi et les institutions fédérales qui sollicitent des renseignements personnels auprès d’une organisation doivent indiquer la source de « l’autorité légitime » qui leur confère le droit de les obtenir.

L’expression « autorité légitime » n’est pas définie, ce qui cause de la confusion et de l’incertitude. Les FAI ne répondent pas tous de la même manière à ces demandes et on a soulevé, dans certaines affaires, la question de la validité constitutionnelle d’un accès sans mandat à certains types de renseignements dans des situations particulières.  

Le Parlement étudie actuellement le projet de loi C-12 qui comprend une proposition visant à modifier la LPRPDE dans le but de mieux définir ce que l’on entend par « autorité légitime ».

Dans la définition proposée, on tente d’expliquer ce qui n’est pas une autorité légitime — que celle-ci est une autorité autre qu’« une assignation, un mandat ou une ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements » ou « que des règles de procédure se rapportant à la production de documents ».

Alors si on s’évertue à nous dire ce qu’elle n’est pas, pourrait-on nous expliquer de quoi il s’agit?

Je ne saisis pas très bien comment cette approche contribuera à préciser en quoi consiste « l’autorité légitime ». On devrait plutôt s’attendre à un plus grand nombre de communications de renseignements personnels sans consentement aux institutions fédérales.

Le Commissariat accorde bien entendu une grande attention à ces questions alors qu’il se prépare à comparaître devant le Comité parlementaire pour faire valoir son point de vue sur le projet de loi C-12.

Je crois aussi qu’il s’agit d’un enjeu auquel il faudra accorder plus d’attention lors du prochain examen parlementaire de la LPRPDE, qui devrait déjà avoir eu lieu.  On semble avoir oublié, dans le calendrier parlementaire, que la LPRPDE renferme une disposition prévoyant qu’un examen de la Loi doit avoir lieu tous les cinq ans et que le dernier a commencé en 2006.

Rôle des personnes

J'aimerais maintenant me pencher sur le rôle que jouent les personnes dans la protection de la vie privée dans le monde numérique.

L’arrivée d’Internet a été accueillie avec enthousiasme — on prévoyait que cet outil redonnerait éventuellement le pouvoir aux individus et qu’il leur permettrait de diffuser facilement de l'information et des opinions, et de le faire, la plupart du temps, de manière anonyme.

Eh bien, cette époque est arrivée. 

De plus en plus, nous voyons des personnes publier du contenu, télécharger des photos et des vidéos, et créer des blogues et leurs propres sites Web.

Tout ce contenu généré par l'utilisateur représente probablement la plus grande libération des moyens de diffusion de masse depuis l'impression de la Bible de Gutenberg.

Et tandis que nous constatons les avantages énormes, voire époustouflants, d’Internet, nous avons également découvert que la possibilité de tout dire à propos de n'importe qui et à tout le monde n'est pas sans inconvénients.

De mon point de vue, elle soulève des questions préoccupantes pour la protection de la vie privée et la dignité humaine.

Comme la majorité des lois sur la protection de la vie privée dans le monde, la loi fédérale régissant le secteur privé du Canada, la LPRPDE, ne s'applique pas à l’utilisation de renseignements personnels à des fins personnelles.

La situation actuelle soulève un certain nombre de questions : Quelle est la responsabilité de l'auteur de messages sur Internet? De quelle manière la responsabilité de ce qui est publié devrait-elle être répartie entre les plateformes de réseautage social et les utilisateurs?

Nous commençons à voir les tribunaux examiner certaines de ces questions.

En septembre dernier, la Cour suprême du Canada a rendu une décision qui constituait un précédent dans l'affaire A.B. contre Bragg Communications, une affaire dans laquelle le Commissariat est intervenu.

L'affaire portait sur la cyberintimidation à caractère sexuel d'une jeune adolescente, A.B., par quelqu'un qui avait créé un faux profil Facebook en utilisant une variante de son nom ainsi que sa photo.

A.B. voulait connaître l'identité de la personne qui avait créé le faux profil Facebook. Alors que Facebook était disposé à donner à A.B. l'adresse IP de l'individu, il fallait encore que le fournisseur de services Internet lui fournisse l'identité de l'individu à qui était associée l'adresse IP.

Deux tribunaux inférieurs ont convenu qu'on devait lui fournir cette information.

Mais ils ont refusé la demande d'anonymat faite par A.B. dans le cadre de la poursuite judiciaire, invoquant son incapacité à présenter des éléments de preuve démontrant le préjudice subi pour justifier une telle demande.

La Cour suprême du Canada a renversé ces décisions et a permis à A.B. d'obtenir l'ordonnance l’autorisant à utiliser un pseudonyme. La Cour suprême a statué que le fait d'accorder l'anonymat à A.B. ne causerait qu'un préjudice minime à la liberté de presse et au principe de la publicité des débats judiciaires en comparaison des effets bénéfiques qu'aurait l'affaire sur la protection des jeunes contre le préjudice plus important de cyberintimidation en ligne et des risques d'une revictimisation au moment de la publication.

La décision signifie que les enfants et les jeunes du Canada qui ont été victimes de cyberintimidation peuvent réclamer justice sans sacrifier leur droit à la vie privée. C'est une avancée très positive. Mais elle ne répond pas à la question de savoir comment les adultes obtiennent justice dans le monde cybernétique.

Nous reconnaissons ici que l'amélioration des connaissances en matière de protection de la vie privée est une autre solution importante pour prévenir les préjudices à la vie privée qui peuvent être causés par la publication de renseignements personnels en ligne par d'autres personnes.

La culture en matière de vie privée, un élément important de la culture numérique, signifie posséder les aptitudes nécessaires pour plonger avec assurance dans le monde numérique sans mettre en péril ses renseignements personnels ou ceux des autres.

Les gens ont besoin de mieux comprendre les enjeux liés à la protection de la vie privée et leur importance.

Pourquoi insister sur ce fait alors que, de toute évidence, bon nombre de Canadiennes et de Canadiens naviguent déjà sur le Web avec beaucoup d’habileté?

Selon le Dossier documentaire 2013 de l'ACEI, les Canadiennes et Canadiens passent en moyenne 45 heures par mois en ligne, ce qui fait d'eux les plus grands utilisateurs d'Internet dans le monde. (Il y a peut-être un lien avec les hivers canadiens?)

Nous adoptons également sans hésitation les nouveautés du monde numérique. Cependant, même si les Canadiennes et Canadiens se convertissent rapidement aux nouvelles technologies, ils pourraient faire mieux lorsqu'il s'agit de culture en matière de la vie privée.

Les utilisateurs ont intérêt à avoir de bonnes connaissances en matière de protection de la vie privée pour s’engager en toute confiance dans le monde numérique. Ils pourront ainsi :

  • respecter les droits des autres, par exemple en évitant d’afficher des photos d’une autre personne — et surtout des photos embarrassantes — sans sa permission;
  • savoir comment utiliser les paramètres de confidentialité des réseaux sociaux;
  • comprendre que les renseignements personnels qu’ils affichent en ligne risquent d’être utilisés d’une façon qu’ils n’auraient jamais pu imaginer et, par exemple, entraîner leur congédiement, voire les empêcher d’obtenir une entrevue;
  • adopter des mesures de sécurité appropriées, par exemple sécuriser les réseaux sans fil à la maison, ce qui aurait pu éviter certaines des conséquences de la collecte de données WiFi par Google.

Au cours des dernières années, le Commissariat a préparé de nombreuses ressources de sensibilisation pour les jeunes et moins jeunes.

Par exemple, nous avons créé une bande dessinée romanesque, dans l'espoir que ce serait un moyen efficace de parler des enjeux de la protection de la vie privée aux jeunes adolescents. Nous avons également créé des trousses de présentation destinées aux jeunes de divers groupes d'âge dans le but de leur expliquer comment la technologie peut avoir des répercussions sur leur vie privée et comment ils peuvent se construire une identité en ligne de manière sécuritaire.

L'accroissement des connaissances du public en matière de protection de la vie privée revêt une importance capitale à une époque où les gens ont la possibilité d’afficher librement de grandes quantités d’informations sur eux-mêmes et sur les autres — une activité qui n’est pas réglementée par la LPRPDE.

Penchons-nous maintenant sur la question de la responsabilité des entreprises à l'égard de la protection de la vie privée.

Responsabilité des entreprises

Il nous paraît évident que les renseignements personnels sont souvent considérés comme de la marchandise et que trouver des moyens de faire de l’argent avec nos renseignements est maintenant très rentable.

De nombreuses entreprises — des plus grandes aux petits développeurs d’applications — considèrent Internet comme une source intarissable de renseignements personnels qu’elles peuvent utiliser pour leur propre profit.

Nous avons trop souvent vu des entreprises lancer de nouveaux produits et services en ligne sans trop se soucier du respect de nos lois sur la protection de la vie privée.  

Certaines organisations semblent se contenter de laisser les innovateurs innover et demandent aux avocats de nettoyer les dégâts après coup.

Et permettez-moi de vous dire ceci : il n’y a pas de raison pour que l’innovation entre en conflit avec la protection de la vie privée. En fait, garantir le droit à la protection de la vie privée peut être un avantage concurrentiel et contribuer à établir la confiance avec les consommateurs et les citoyens.

Le Commissariat travaille à accroître la responsabilisation des entreprises de bien des façons.

Nous rencontrons régulièrement les entreprises et les associations de l’industrie dans le cadre de nos efforts de sensibilisation. 

Nous élaborons également des lignes directrices concrètes afin d’aider les organisations à s’acquitter de leurs obligations relatives à la protection de la vie privée.

À titre d’exemple, l’an dernier, le Commissariat, de concert avec ses homologues de l’Alberta et de la Colombie-Britannique, a publié de nouvelles lignes directrices sur la responsabilisation qui expliquent ce à quoi nous nous attendons de la part d’un programme de gestion des renseignements personnels mis en place par une entreprise privée.  

Nous avons également communiqué des lignes directrices pour que les organisations qui participent au processus de publicité comportementale en ligne puissent s’assurer que leurs pratiques sont conformes à la LPRPDE. (Je mentionne ce document en particulier parce que je crois que certains d’entre vous travaillent dans les domaines des relations publiques et du marketing.)

Compte tenu de l’envergure internationale que prennent les enjeux liés à la protection des renseignements personnels, nous travaillons également à améliorer la collaboration avec nos collègues du domaine de la protection des données à l’étranger.

À titre d’exemple, le Commissariat et l’autorité néerlandaise de protection des données ont récemment travaillé ensemble dans le cadre d’une enquête portant sur la populaire plateforme de messagerie mobile de WhatsApp. Les conclusions des travaux effectués lors de cette enquête ont été rendus publics le mois dernier. 

Ce projet conjoint était une première mondiale et il a marqué une étape importante en matière de protection de la vie privée à l’échelle internationale. 

Problèmes liés à l’application de la loi

Les plaintes que reçoit le Commissariat portent de plus en plus sur des problèmes liés aux pratiques d’entreprises étrangères. 

L’approche toute en douceur de LPRPDE, qui repose sur des recommandations non contraignantes et sur un risque d’atteinte à la réputation, est en partie inefficace contre le quasi-monopole exercé par les géants de l’Internet.

Par ailleurs, compte tenu des vastes quantités de renseignements personnels détenus par les organisations sur des plateformes de plus en plus complexes, le risque lié à des atteintes importantes et à des utilisations inattendues, non souhaitées, voire même envahissantes, de ces renseignements exige la mise en place de mesures de sécurité et de conséquences financières adaptées qui ne sont pas actuellement prévues par la LPRPDE.

De nombreux pays ont pris des mesures pour imposer des amendes substantielles.

Le mois dernier, le Commissaire du Royaume-Uni a imposé à Sony une amende de 250 000 livres pour un incident survenu en 2011 au cours duquel des pirates informatiques ont volé des renseignements personnels appartenant à 77 millions d’utilisateurs de la PlayStation dans le monde. 

L’enquête a permis de conclure que Sony aurait pu prévenir cet incident au moyen d’un logiciel de sécurité à jour.

Au Canada, un comité de la Chambre des communes étudie les enjeux liés à la vie privée et aux médias sociaux. Quand je me suis présentée devant ce comité, en décembre, j’ai demandé que l’on prenne de nouvelles mesures incitatives en vertu de la LPRPDE, et que l’on apporte des changements au modèle d’application de la loi.

Je crois que ces changements s’imposent si on veut inciter les organisations à se montrer proactives, à établir des protections dès le départ et à veiller au traitement sécuritaire des renseignements personnels des individus.

Nous devrions commencer par obliger les entreprises à communiquer un avis d'atteinte à la protection des données en cas d’incident, et par imposer des sanctions pécuniaires dans les cas où des renseignements personnels ont été communiqués de façon délibérée. De plus en plus de pays adoptent des lois à cet effet.

De telles mesures renforceraient la responsabilisation des entreprises, et l’imposition de sanctions pécuniaires inciterait les entreprises à mieux protéger les renseignements personnels des Canadiennes et des Canadiens.

Conclusion

Il est essentiel d'accroître à la fois la responsabilité des entreprises à l'égard de la protection de la vie privée et la sensibilisation du public aux risques liés à la vie privée. La mise à jour de notre loi fédérale sur la protection de la vie privée l'est tout autant.

Je conclurai avec la réflexion suivante : Cet auditoire est bien conscient que la croissance rapide et l'évolution d'Internet et de la technologie mobile ont le potentiel d'améliorer notre société de manière radicale — si nous exploitons ce potentiel à bon escient.

Je répondrai avec plaisir à toutes les questions — sur les sujets que j'ai abordés ou sur tout autre sujet. 

Je crois comprendre qu’un bon nombre d’entre vous travaillent au gouvernement fédéral et pourraient avoir des questions au sujet des travaux que poursuit le Commissariat en vertu de la Loi sur la protection des renseignements personnels, laquelle traite des pratiques de traitement des renseignements personnels au sein des institutions fédérales. 

Vous savez peut-être que nous menons présentement une enquête sur Ressources humaines et Développement des compétences Canada, qui est à l’origine de la perte de renseignements personnels appartenant à des bénéficiaires du régime de prêts étudiants. Nous menons également une vérification sur l’Agence du revenu du Canada, qui fait constamment l’objet de nombreuses plaintes. 

Tout cela pour vous dire que je me réjouis de discuter avec vous. 

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :