La protection de la vie privée comme outil de promotion : un cadre éthique pour le marketing dans le monde numérique

Commentaires dans le cadre de la conférence Comprendre la protection de la vie privée 2013

Le 28 février 2013
Toronto (Ontario)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction

Pour mettre en contexte ma présentation d’aujourd’hui, j’aimerais vous rappeler comment L.L. Bean a lancé son entreprise de marketing direct. En 1912, lorsque Leon Leonwood Bean a eu l’idée de vendre par commande postale les bottes – ou les chaussures de chasse – qui allaient devenir son produit phare, il s’est rendu au bureau d’enregistrement et a obtenu une liste des noms et adresses des titulaires de permis de chasse qui n’habitaient pas dans le Maine.

M. Bean savait que ces gens s’adonnaient à la chasse puisqu’ils détenaient un permis. Il savait aussi qu’il pouvait les joindre par la poste. La seule chose qui lui manquait, c’était leur adresse. Et il s’est procuré cette information auprès du bureau d’enregistrement.

C’était il y a 100 ans. Et, à mon avis, cette anecdote illustre ce que l’Association canadienne du marketing m’a appris à appeler « la publicité axée sur les intérêts ».

C’est pourquoi, malgré tout l’enthousiasme collectif que peuvent susciter le monde numérique, les appareils mobiles, les applications et tout ce qui s’ensuit, les spécialistes du marketing d’aujourd’hui se posent les mêmes questions que L.L. Bean se posait il y a un siècle : qui sont mes clients, que veulent-ils et comment puis-je leur transmettre mon message?

Les principes de base du marketing n’ont pas vraiment changé depuis le siècle dernier – et les principes de base de la protection de la vie privée non plus.

Il n’en reste pas moins que nous devons tous apprendre à vivre et à faire des affaires à l’ère numérique en mettant ces principes en pratique dans un contexte entièrement nouveau.

Dans cette optique, pour surmonter nos difficultés actuelles et futures, je pense que nous devons prendre du recul pour prendre nos repères. Dans mon allocution, j’aborderai donc différents sujets :

  • les principes de base de la protection de la vie privée;
  • la forme qu’ils prennent dans le monde numérique;
  • comment nous nous y prenons pour élaborer des outils pertinents et appuyer l’évolution des lois dans ce nouveau contexte.

J’espère ainsi montrer comment la protection de la vie privée devient un argument de poids pour se démarquer de la concurrence dans la nouvelle économie numérique. Aujourd’hui, les clients insistent de plus en plus sur l’aspect inquiétant et les géants de l’économie numérique s’efforcent de montrer qu’ils sont moins louches que leurs concurrents.

La première étape consiste peut-être à rappeler ce que nous entendons par l’expression « droit à la vie privée ».

Le droit à la vie privée, c’est le droit d’être maître de ses renseignements personnels

Essentiellement, le droit à la vie privée consiste à avoir la maîtrise de nos renseignements personnels.

Nous éprouvons un besoin viscéral d’avoir la maîtrise de nos renseignements personnels parce que nous protégeons ainsi notre espace personnel, notre intégrité, notre réputation et nos biens, voire dans certains cas notre sécurité personnelle. C’est une condition préalable à l’intimité et à l’exercice des libertés fondamentales. Et comme il s’agit d’un droit fondamental, l’importance du droit à la vie privée transcende la distinction entre les différents types de dépositaires de données et les fins auxquelles les données sont utilisées. Même s’il existe, dans le contexte du secteur privé, un cadre juridique d’équité contractuelle plutôt qu’un régime fondé sur les droits de la personne, le droit à la vie privée ne peut être restreint à une simple question d’équité contractuelle. Loin de là.

D’après moi, ce principe détermine le cadre éthique du droit à la vie privée dans un contexte commercial et le place au-dessus des autres aspects de l’équité contractuelle. Cela étant dit, pour en revenir à l’essentiel, en quoi consistent les renseignements personnels?

Les renseignements personnels sont les renseignements qui peuvent être associés à un individu identifiable

L’article 2 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) définit un « renseignement personnel » comme étant « tout renseignement concernant un individu identifiable ».

Selon la Cour fédérale, les renseignements personnels concernent un individu identifiable dans les cas où il y a une forte possibilité que ces renseignements permettent de l’identifier, qu’ils soient pris seuls ou combinés avec d’autres renseignements connus. (Gordon c. Canada [Santé Canada], 2008 CF 258)

Les renseignements personnels sont un bien dont nous faisons le commerce à des fins précises

Le commerce de certains renseignements personnels pour obtenir quelque chose en contrepartie n’est pas un phénomène nouveau.

  • Nous transmettons des renseignements personnels à l’État en échange de la gouvernance.
  • Nous transmettons des renseignements personnels à des entités commerciales pour obtenir des biens et des services qui seront livrés à domicile.
  • Nous permettons à d’autres de s’introduire dans notre sphère privée en échange de relations personnelles.

Dans chacun de ces cas, nous exerçons notre droit à la vie privée en choisissant quels sont les renseignements personnels que nous échangeons et à quelles fins.

Les transactions liées à la vie privée sont régies par des principes éthiques

Les transactions impliquant la vie privée sont régies par les principes éthiques, à savoir :

  • le consentement éclairé;
  • le rendement proportionné;
  • la transparence de la finalité;
  • la sécurité des renseignements.

Nous utilisons généralement l’expression « principes relatifs à l'équité dans le traitement des renseignements » pour désigner ces principes. Et je sais que vous penserez peut-être que personne ne peut être contre la vertu.

Mais la révolution des technologies de l’information (TI) ébranle la notion même de ces principes en créant un contexte sans précédent pour leur application. J’aborderai huit conséquences précises d’Internet. D’après nos enquêtes et nos recherches, ces conséquences nous obligent à redéfinir la notion de conformité aux principes relatifs à l’équité dans le traitement des renseignements.

Nouveaux modèles d’affaires

La première conséquence découle des nouveaux modèles d’affaires. Au lieu d’acheter un gadget de l’entreprise A, le consommateur fait partie d’un écosystème où il reçoit un contenu gratuit en échange duquel l’entreprise A vend des annonces publicitaires de l’entreprise B à l’entreprise C, souvent avec l’aide de l’entreprise D.

Pour les spécialistes du marketing, la possibilité d’obtenir de l’information sur l’opinion et la réaction des consommateurs est tout à fait formidable. Combiner l’utilisation d’Internet et de la puissance analytique revient à transformer l’art du marketing en une véritable science. Il est impossible de l’ignorer depuis que la nouvelle de l’algorithme de prédiction de grossesse mis au point par un grand magasin a défrayé les manchettes à la fin de l’année dernière.

Pourtant, malgré tous les avantages découlant de l’analyse, nous devons établir des paramètres pour régir son utilisation afin d’avoir l’assurance qu’aucun renseignement n’est recueilli, utilisé ou communiqué à des fins autres que celles visées par l’analyse.

Ce constat m’amène à la deuxième conséquence à prendre en compte pour protéger la vie privée à l’ère numérique – les attentes des consommateurs.

Attentes des consommateurs en matière de vie privée

Les consommateurs parlent de plus en plus du « caractère inquiétant » pour exprimer leur opposition viscérale au fait qu’une organisation ne traite pas leurs renseignements personnels de façon équitable et éthique. Et les consommateurs évitent généralement de faire affaire avec les organisations dont les pratiques leurs semblent inquiétantes – ce n’est pas nouveau.

Tous les deux ans, le Commissariat mène un sondage d’opinion auprès des Canadiens, précisément pour mesurer l’importance qu’ils accordent au droit à la vie privée et leurs préoccupations à cet égard. Or, notre plus récent sondage (dont tous les résultats seront rendus public d’ici la fin du mois), indique notamment ce qui suit :  

  • 66 % des répondants se sont dits très préoccupés par la protection de leur vie privée;
  • 71 % ont affirmé que la protection des renseignements personnels serait l’un des plus importants enjeux auquel le Canada devrait faire face au cours de la prochaine décennie, comparativement à 62 % il y a seulement quatre ans.

Une recherche plus approfondie montre qu’il existe un lien direct entre la performance des entreprises au chapitre de la protection de la vie privée et la fidélité de leur clientèle. Par exemple, selon une étude réalisée plus tôt cette année par la multinationale de relations publiques Edelman :

  • 46 % des répondants cessent ou évitent de faire affaire avec les entreprises responsables d’une atteinte à la sécurité des renseignements personnels;
  • 39 % des répondants qui ont été victimes d’une atteinte à la sécurité de leurs renseignements personnels ont parlé de cet incident à des amis, tandis que 29 % ont fait part de leur expérience en ligne;
  • seulement 32 % des répondants estiment que les pratiques commerciales actuelles protègent bien leur vie privée;
  • 85 % des répondants considèrent que les entreprises doivent prendre plus au sérieux la sécurité des renseignements personnels.

De toute évidence, la protection de la vie privée des consommateurs doit faire partie intégrante du service à la clientèle, peu importe la nature de l’entreprise. À l’ère d’Internet, cela signifie que les entreprises prennent des mesures appropriées pour assurer la sécurité des technologies de l’information et encadrer l’utilisation et la communication des renseignements en ligne.

Définition de ce qu’est un renseignement personnel

Une troisième conséquence découle de l’émergence de nouvelles formes de renseignements personnels qui remettent en question la définition de ces derniers.

Il suffit d’observer le débat qui a fait rage au cours de la dernière année autour du projet de loi C-30, communément appelé « projet de loi sur la surveillance d’Internet ». Une adresse IP constitue-t-elle un renseignement personnel? Et qu’en est-il d’une adresse MAC, de l’identificateur unique d’un téléphone intelligent ou des empreintes numériques?

Dans trois enquêtes distinctes portant sur les pratiques de deux fournisseurs de services Internet et d’un fournisseur de services de courriel, le Commissariat a jugé que l’adresse IP d’un client constitue un renseignement personnel si elle permet de l’identifier.

La technologie permet d’effectuer des recherches beaucoup plus approfondies et de saisir de grandes quantités d’information à partir des données transmises par téléphone cellulaire ou des enregistrements de recherches dans Internet. C’est pourquoi nous devons appliquer les principes relatifs à la protection de la vie privée en tenant compte des défis particuliers associés à la nouvelle technologie.

Un consentement éclairé en ligne

La quatrième conséquence d’Internet tient à l’assurance qu’un consentement valable a été obtenu dans un environnement en ligne complexe.

Le texte de l’annexe 1 de la LPRPDE est clair : « Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. » Et les organisations doivent faire l’effort de s’assurer que ce consentement est valable en énonçant clairement les fins auxquelles les renseignements seront utilisés ou communiqués.

Comme l’ont montré nos enquêtes, Internet comporte son lot de difficultés particulières en ce qui a trait au consentement valable.

Permettez-moi de m’expliquer en reprenant l’analogie utilisée par Alessandro Acquisti, spécialiste de l’économie comportementale et de l’économie du droit à la vie privée à l’Université Carnegie Mellon.

M. Acquisti a recours à ce qu’il appelle « l’abstraction d’Internet » pour expliquer la difficulté de transposer le consentement valable du monde réel au monde en ligne.

Il donne l’exemple d’une personne qui se trouve dans une chambre d’hôtel et se prépare à aller au lit. Si elle est debout devant une fenêtre, elle aura le réflexe de fermer les stores parce que ses sens peuvent percevoir le degré d’exposition.

En revanche, si elle est assise dans une pièce fermée, seule devant un écran d’ordinateur, ses sens lui donnent une fausse impression d’intimité alors que son degré d’exposition peut être un million de fois plus élevé que devant la fenêtre d’une chambre d’hôtel. Elle est seule et ne voit personne, donc elle croit que personne ne la voit.

En fait, nous n’avons pas encore pleinement conscience de notre degré d’exposition en ligne et cela amoindrit la validité de notre consentement en ce qui a trait à la communication de renseignements sur Internet.

Mentionnons à titre d’exemple l’affaire de la ligne de temps de Facebook qui a fait les manchettes l’automne dernier. Au moment où l’on faisait passer les utilisateurs du mur à la ligne de temps, certains anciens messages affichés sur le mur ont refait surface.

Certaines personnes ont été choquées de lire ces anciens messages et plusieurs d’entre elles étaient incapables d’accepter qu’elles avaient affiché ce contenu sur leur page d’accueil au lieu de le communiquer au moyen d’un message personnel. Le niveau d’exposition était le même, mais il nous sautait davantage aux yeux en 2012.

Le consentement comme condition d’obtention d’un service

Cela m’amène à la cinquième conséquence – qu’en est-il de la règle interdisant d’exiger qu’une personne donne son consentement en contrepartie d’un service lorsque le service est gratuit et financé par la publicité faite sur la base de renseignements personnels?

Depuis notre toute première déclaration concernant la publicité en ligne, qui s’inscrivait dans le cadre de notre enquête sur Facebook en 2009, nous avons indiqué clairement qu’il fallait juger de la légitimité de cette pratique dans le contexte d’un service gratuit pouvant être financé uniquement par la publicité, et que le consommateur devait s’y attendre.

Mais nous n’approuvons pas :

  1. la communication de renseignements personnels à des annonceurs sans le consentement de l’intéressé;
  2. le suivi de consommateurs partout sur le Web à des fins de publicité, et l’imposition de ce suivi pour l’obtention d’un service. C’est l’un des principaux points de la position de principe et de l’orientation du Commissariat en ce qui concerne la publicité comportementale en ligne. Il est d’ailleurs ressorti dans des enquêtes très médiatisées.

En vertu du principe 4.3.3 de l’annexe I de la LPRPDE, une organisation ne peut pas, pour le motif qu’elle fournit un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et expressément indiquées.

Nous avons rendus publics, l’année dernière, les résultats d’une enquête que nous avons réalisée au sujet du site de réseautage social pour les jeunes Nexopia. Dans le cadre de cette enquête, nous avons jugé acceptable que le site utilise les renseignements personnels à des fins publicitaires et qu’il fasse de la publicité axée sur les intérêts comme condition d’obtention d’un service, pourvu que les utilisateurs soient parfaitement au courant des tenants et aboutissants de cette pratique.

Mais Nexopia permettait aussi à de tiers, par exemple des réseaux publicitaires, de placer des fichiers témoins dans le navigateur des internautes qui utilisaient ou visitaient son site dans le but de recueillir des renseignements à leur sujet. Or, la politique de confidentialité du site n’en faisait pas état et les utilisateurs n’avaient pas la possibilité de s’y soustraire.

Nous avons recommandé que Nexopia renseigne mieux les utilisateurs sur cette pratique et leur permette de s’y soustraire. Les responsables du site ont accepté de mettre en œuvre ces recommandations.

J’en arrive maintenant à la sixième conséquence – les jeunes en tant que consommateurs directs et la difficulté particulière de veiller à ce qu’ils donnent leur consentement éclairé.

Le consentement éclairé et les jeunes

Dans le cadre de notre enquête sur le site Web Nexopia, nous avons aussi examiné le consentement sous l’angle du public ciblé – les adolescents.

Dans cette affaire, le plaignant alléguait que le langage utilisé dans la politique de confidentialité de Nexopia devait être facile à comprendre et adapté aux jeunes pour que l’on puisse parler d’un consentement valable.

Et nous étions d’accord. En fait, nous avons fait valoir que la notion de consentement valable doit être interprétée par rapport au public ciblé pour être mise en œuvre de façon appropriée.

Nous avons recommandé que Nexopia :

  • remanie sa politique de confidentialité et les autres documents affichés sur son site Web afin de les présenter dans une langue et un format adaptés à ses principaux utilisateurs;
  • conçoive des façons d’informer les utilisateurs de ses pratiques de traitement des renseignements personnels qui tiennent compte de leur âge, et qu’elle  exige, au moment de l’inscription, une action de leur part indiquant qu’ils consentent expressément à ces fins.

Le septième concept que j’aborderai est celui de la transparence, plus précisément dans le contexte de la publicité en ligne.

La transparence et les tiers

Ceux d’entre vous qui connaissent bien l’annexe I de la LPRPDE savent que la transparence est l’un de ses dix principes. D’après la clause 4.8, « une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne ».

Comment cette exigence se traduit-elle dans les modèles d’affaires où l’on confie à des tiers – et souvent à plusieurs niveaux de tiers – les renseignements personnels d’utilisateurs à des fins publicitaires?

Le Commissariat a eu l’occasion de se pencher sur la question récemment dans le cadre de son étude sur les fuites de renseignements personnels sur des sites Web canadiens populaires.

Nos tests ont montré que certains sites communiquaient à plusieurs entreprises d’analyse et de marketing des renseignements, par exemple les adresses de courriel, les noms d’utilisateur et l’emplacement. Dans certains cas, ils contrevenaient même aux déclarations qui figuraient dans leur propre politique de confidentialité.

Essentiellement, il s’agissait ni plus ni moins d’une question de transparence : dans quelle mesure l’entreprise indiquait-elle clairement au consommateur qu’elle communiquerait ses renseignements personnels à des annonceurs tiers?

Dans l’affirmative et si l’entreprise a obtenu un consentement valable de la part de la personne visée, nous voulons bien croire que cette communication puisse bénéficier au consommateur. Mais si l’entreprise n’a pas indiqué expressément que des renseignements personnels seraient communiqués, nous considérons qu’elle a communiqué les renseignements personnels sans consentement valable et enfreint la LPRPDE.

Mesures de sécurité

Enfin, le passage au monde numérique a des répercussions sur la notion de mesures de sécurité. En vertu de la LPRPDE,lesrenseignements personnels doivent être protégés au moyen de mesures de sécurité qui correspondent à leur degré de sensibilité. De plus, les organisations doivent mettre en place des mesures de sécurité qui les protègent contre la perte ou le vol et empêchent que les renseignements soient consultés, communiqués, copiés, utilisés ou modifiés sans autorisation.

La sécurité de la transmission est l’un des aspects sur lesquels nous nous sommes penchés dans le cadre de l’enquête sur WhatsApp, que nous avons récemment menée en collaboration avec l’Autorité de protection des données des Pays-Bas. Nous avons examiné des rapports publics selon lesquels les messages de confirmation de l’ouverture de compte de WhatApps étaient envoyés au moyen de ports ordinaires pour le trafic Web et, semble-t-il, sans chiffrement ni mesures de sécurité. Notre enquête a confirmé qu’après s’être rendue compte du risque d'atteinte à la sécurité lors de l’inscription, et avant même que nous ayons commencé notre enquête, WhatsApp avait pris des mesures pour régler le problème.

Les mesures de sécurité présentent aussi un intérêt particulier pour les atteintes majeures à la protection des renseignements personnels révélées à une fréquence alarmante. En discutant avec nos technologues tout de suite après un incident survenu au début de 2011 (la première année dite « l’année de l’atteinte »…), il m’est apparu clairement que la sécurité des renseignements est une obligation de moyens et non de résultats. Comme l’a affirmé Robert SMueller, directeur du FBI, « il n’y a que deux types d’entreprises – celles qui ont été victimes de piratage informatique et celles qui le seront ».

Mais il est possible, dans une certaine mesure, d’éviter les atteintes à la sécurité des renseignements personnels et la réaction d’une organisation le cas échéant témoigne de sa détermination à protéger la vie privée.

LinkedIn nous a montré qu’une organisation doit s’efforcer de toujours mettre en place les mesures de sécurité les plus efficaces possible, et nous a donné un bon exemple de la réaction d’une organisation responsable à une atteinte à la vie privée.

Dès que l’incident s’est produit, nous avons engagé un dialogue avec les responsables de LinkedIn et cerné les aspects pour lesquels des mesures de sécurité plus efficaces auraient pû être en place. L’entreprise a immédiatement rectifié le tir.

Les responsables de Linkedln nous ont tenus au courant de leurs interventions au fur et à mesure, de façon confidentielle mais transparente, en nous montrant comment ils s’y prenaient pour remédier à la situation et renforcer les mesures de sécurité.

Nous pourrions dire que les faibles répercussions de cet incident montrent que l’importance accordée par les organisations à la protection des renseignements personnels ne se limite pas au respect des lois régissant le droit à la vie privée. Il s’agit également d’une bonne pratique commerciale. En règle générale, les clients font davantage confiance à une organisation soucieuse de protéger leur vie privée et cette organisation bénéficie donc d’un avantage concurrentiel.

En fait, c’est exactement le principe à la base de la LPRPDE qui est énoncé à l’article 3 : trouver un équilibre entre le droit des individus à la vie privée et le besoin des organisations de recueillir des renseignements personnels à des fins légitimes.

Je voudrais maintenant faire quelques observations concernant le cadre réglementaire.

Le cadre réglementaire

L’obligation de promouvoir le commerce électronique fait partie intégrante du titre officiel de la LPRPDE. Nous ne perdons jamais de vue cet objectif.

Nous nous efforçons de comprendre les nouveaux modèles d’affaires :

  • pour donner aux entreprises une orientation utile;
  • pour donner au Parlement des avis pertinents.

À terme, le résultat stratégique est un marché qui est équitable à la fois pour les entreprises et les consommateurs, et où la protection de la vie privée confère un avantage concurrentiel indéniable.

Dans la troisième partie de mon exposé, je dirai quelques mots à propos des lignes directrices que nous avons récemment publiées sur la publicité comportementale en ligne et le développement d’applications. Cette information pourra vous être utile personnellement ainsi qu’à vos clients. Je ferai aussi le point sur la mise en œuvre de la Loi canadienne anti-pourriel et de possibles modifications à la LPRPDE.

Publicité comportementale en ligne

En juin 2012, le Commissariat a publié une position de principe et des lignes directrices sur la publicité comportementale en ligne pour aider les entreprises à s’assurer que leurs pratiques sont équitables, transparentes et qu’elles respectent la LPRPDE.

Le choix de l’utilisateur :

  • les fins pour lesquelles les renseignements sont recueillis doivent être expliquées de manière claire et transparente;
  • la collecte doit se faire au su et avec le consentement des utilisateurs;
  • la renonciation pourra être considérée comme raisonnable dans certaines circonstances.

Restrictions :

  • les technologies que l’individu ne peut contrôler (p. ex. les programmes malveillants transformant les ordinateurs en zombies ou les supertémoins);
  • le suivi des jeunes – Il est important de reconnaître que l’Association canadienne du marketing a rapidement pris position avec vigueur contre le suivi des enfants.

Bonnes pratiques de protection de la vie privée pour le développement d’applications mobiles

En octobre 2012, le Commissariat à la protection de la vie privée du Canada et les commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique ont publié conjointement le document d’orientation intitulé Une occasion à saisir : Développer des applis mobiles dans le respect du droit à la vie privée.

Nous avons publié ce document pour aider les concepteurs d’applications au Canada à tenir compte des caractéristiques uniques de l’environnement mobile qui, selon nous, comporte son propre lot de difficultés inhabituelles pour la protection de la vie privée.

Les appareils mobiles présentent des difficultés particulières, par exemple :

  1. le risque de surveillance intégrale des individus;
  2. le fait que la communication d’information pertinente sur les choix en matière de protection des renseignements personnels, qui ne constitue pas un exercice simple dans un environnement de bureautique, se complique dans l’espace mobile où l’écran est petit et l’attention de l’utilisateur intermittente;
  3. le développement des applications, qui se fait à la vitesse de l’éclair, et la possibilité d’atteindre des centaines de milliers d’utilisateurs dans un laps de temps très court.

Notre document d’orientation propose cinq grands principes que les concepteurs d’applications mobiles doivent respecter pour protéger les renseignements personnels :

  1. Vous êtes responsable de votre conduite et de votre code.
  2. Soyez ouvert et transparent à propos de vos pratiques en matière de protection des renseignements personnels.
  3. Ne recueillez et ne conservez que les renseignements dont votre application a besoin pour fonctionner et protégez-les.
  4. Obtenez un consentement éclairé malgré le défi lié au petit écran – en organisant l’information en couches, en offrant un tableau de bord pour la protection des renseignements personnels ou en utilisant des éléments graphiques.
  5. Envoyez les avis aux utilisateurs et obtenez leur consentement au moment opportun – lorsqu’ils téléchargent l’application et qu’ils l’utilisent, autrement dit, à l’avance et en temps réel.

Loi canadienne anti-pourriel

Passons maintenant à l’instrument le plus récent du cadre juridique qui régit la protection de la vie privée, soit la Loi canadienne anti-pourriel.

Je sais que les annonceurs, les spécialistes du marketing et les professionnels des relations publiques ont suivi de près la progression de la Loi canadienne anti-pourriel et de son règlement d’application. Par conséquent, vous savez sans doute que le CRTC, le Bureau de la concurrence et le Commissariat se partageront les responsabilités liées à l’application de la Loi.

Notre domaine de responsabilité au chapitre de l’application de la Loi se limitera aux questions liées à la collecte d’adresses de courriel et à l’utilisation de logiciels espions. Mais, en qualité de protecteurs du droit des Canadiens à la vie privée, nous sommes en faveur de l’élimination des pourriels. Cela va de soi. Une loi anti-pourriel est essentielle pour lutter contre l’activité criminelle et protéger les points vulnérables. Pour qu’une telle loi soit efficace, son application doit faire la distinction entre une utilisation légitime et une utilisation injustifiée des communications électroniques.

Certes, nous convenons que des exceptions sont nécessaires pour faire cette distinction. Mais nous ne pouvons être d’accord avec des exceptions particulières qui nuiraient à la finalité fondamentale de la législation anti-pourriel, c’est-à-dire répondre à la demande des Canadiens qui réclament à juste titre une protection contre ce fléau.

Modifications possibles à la LPRPDE

Nous en sommes maintenant au dernier point de ma présentation. Je ferai le point sur l’examen de la LPRPDE.

Le projet de loi C-12, qui est actuellement à l’étude au Parlement, rendrait obligatoire le signalement des atteintes à la sécurité des données partout au Canada. Mais les recommandations au Parlement qui sont à l’origine des modifications proposées remontent à 2006. Lorsque le gouvernement a pour la première fois proposé ces mesures, le Commissariat a jugé qu’il s’agissait d’un premier pas dans la bonne direction. Mais la situation a beaucoup évolué depuis – et les mesures proposées dans le projet de loi concernant le signalement des atteintes à la sécurité des données sont en retard sur notre époque.

Ces dernières années, nous avons été témoins d’atteintes à la sécurité des données très graves et à grande échelle. Et ce n’est pas fini. Le projet de loi C-12 pourrait donc ne plus être suffisant pour créer le type d’incitatifs nécessaires pour que les organisations prennent plus au sérieux la sécurité des données.

Compte tenu de cette réalité, il faudrait envisager sérieusement de donner plus de mordant aux propositions actuelles. Et c’est pourquoi nous encourageons le gouvernement fédéral à explorer des options permettant une l’application véritable de la loi afin d’adopter des mesures propres à inciter davantage les organisations à protéger comme il se doit les renseignements personnels.

La protection de la vie privée, un avantage concurrentiel

J’espère vous avoir aidés à mieux comprendre les attentes du Commissariat en ce qui concerne votre industrie. En terminant, j’aimerais parler de l’avantage concurrentiel associé à la protection de la vie privée. Microsoft mène la campagne « GMail Man » en ligne dans le seul but de convaincre les gens qu’elle se soucie davantage de la protection de la vie privée de ses clients que les autres géants. Ce genre de chose me conforte dans mon opinion que la protection de la vie privée constitue un argument de poids. C’est ce que je pense depuis longtemps. Réfléchissez à l’évolution considérable du discours public de Facebook concernant la protection de la vie privée des utilisateurs au cours de ses quelques années d’existence. Pensez à la façon dont le plus grand réseau social du monde fait valoir cet argument.

L’évolution constante de l’économie numérique a eu une grande incidence sur l’importance qui est accordée à la vie privée dans le monde d’aujourd’hui. L’interdépendance de nos relations avec les clients et la société font en sorte que les individus ont de plus en plus de difficulté à conserver la maîtrise de leurs renseignements personnels. De plus en plus, les renseignements deviennent un bien et sont considérés comme un atout clé dans de nombreux modèles d’affaires contemporains. Il y a un postulat économique selon lequel la rareté d’un bien en augmente la valeur et c’est ce que l’on observe dans le cas de la protection de la vie privée. Les Canadiens et les entreprises attachent plus d’importance que jamais aux renseignements personnels, que ce soit au niveau individuel ou collectif.

Les Canadiens se soucient donc plus que jamais de la protection de leur vie privée. Au moment de décider avec qui ils feront affaire et où ils dépenseront leur argent, les Canadiens se préoccupent particulièrement de la manière dont les entreprises traitent les renseignements personnels ainsi que de leur diligence et de leur transparence à cet égard. La protection des renseignements personnels ne doit pas être perçue comme un fardeau mais bien comme un atout par les entreprises.

Les organisations rigoureuses lors de la collecte, de l’utilisation et de la communication des renseignements personnels bénéficieront d’un avantage concurrentiel par rapport aux autres.

Date de modification :