Pour une vision holistique de la boîte à outils

Commentaire au panel « Innovative Supervising » dans le cadre du Latin American Congress for Santa Clara

Le 6 juin 2013
Santa Marta (Colombie)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)

Versión en español


Introduction

On nous demande aujourd’hui de discuter des stratégies adoptées par les autorités de protection des données pour appliquer la loi de manière plus efficace, et des moyens créatifs que nous utilisons dans nos activités de surveillance pour atteindre de meilleurs résultats.

Je suis très fière de ce que nous avons accompli en ce sens au Commissariat à la protection de la vie privée du Canada (CPVP) depuis quelques années. Mon objectif aujourd’hui est donc de vous faire part de notre expérience en termes pratiques. J’ai bon espoir qu’elle vous servira à vous aussi à en faire plus avec moins.

J’organiserai mon propos en trois temps :

  • D’abord, je vous dirai quelques mots sur le mandat du CPVP.
  • Ensuite, je vous expliquerai le point de vue particulier que nous avons adopté afin d’appréhender tout le spectre d’actions à notre disposition.
  • Finalement, je vous donnerai l’inventaire des outils à notre disposition, illustré d’exemples concrets.

I. Au sujet du CPVP

Afin de mettre mes propos en contexte, je vous décrirai d’abord brièvement le mandat du CPVP.

Nous sommes chargés de surveiller le respect de deux lois fédérales, la Loi sur la protection des renseignements personnels (LPRP), qui vise le traitement des renseignements personnels par quelque 250 institutions fédérales, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui vise l’utilisation de renseignements personnels dans les activités commerciales de ressort fédéral.

Ces deux lois ont été adoptées à vingt ans d’intervalle et nous octroient essentiellement deux pouvoirs, soit :

  • le pouvoir de faire enquête, au sujet de plaintes reçues du public ou de notre propre chef;
  • le pouvoir de procéder à des vérifications d’une organisation à notre discrétion, à l’égard du secteur public, et à partir de motifs raisonnables de croire qu’il y a violation de la loi, à l’égard du secteur privé.

Dans les deux cas, la commissaire émet en bout de ligne un rapport qui contient des recommandations précises à l’intention de l’organisation concernée.

Un point déterminant : nous n’avons aucun pouvoir de sanction, d’ordonnance ou d’imposer des amendes.

Nous n’avons que :

  • le pouvoir de nommer publiquement, dans tous les cas à l’égard du secteur public, mais seulement lorsque l’intérêt public le justifie à l’égard du secteur privé;
  • le pouvoir de recours aux tribunaux dans certains cas.

Cette limite à nos pouvoirs d’exécution, ainsi que la variété de risques et de violations à la vie privée sont les deux facteurs déterminants de notre démarche.

II. Adopter un point de vue holistique sur les mesures d’exécution

Il serait facile de restreindre nos interventions à ces étroits sillons, mais une telle attitude serait trop réductrice devant l’éventail de circonstances et de défis, en constante évolution politique, technologique et économique, face à la protection des données personnelles.

Le mandat que nous avons reçu du Parlement canadien, ce n’est pas de faire des enquêtes et des vérifications. Le mandat qui nous a été confié, c’est de protéger le droit à la vie privée au Canada — les enquêtes et les vérifications ne sont que deux outils. L’éventail de risques exige que nous en développions davantage, et qu’ils soient adaptés à chaque circonstance.

En adoptant ce changement de perspective, l’éventail d’outils apparaît beaucoup plus large.

III. La boîte à outils du Commissariat à la protection de la vie privée du Canada — avec des exemples concrets

Dans cette troisième partie de mon intervention, je décrirai l’éventail d’outils que nous avons développé pour réaliser notre mandat de protéger le droit à la vie privée au Canada.

Notre éventail d’intervention est composé de ce qui suit, du plus souple au plus contraignant :

  • D’abord, l’intervention « en amont », celle que nous utilisons en l’absence d’un soupçon particularisé de violation de la loi :
    1. L’éducation du public et des entreprises, soit par l’entremise d’activités de sensibilisation, soit en favorisant la conformité par le partenariat.
    2. Un examen des évaluations des facteurs relatifs à la vie privée (EFVP) renforcé.
  • Ensuite, l’intervention « en aval », celle que nous utilisons lorsqu’il y a soupçon de violation :
    1. La surveillance
    2. Le dialogue structuré
    3. La résolution rapide
    4. L’enquête
    5. La vérification

Je décrirai maintenant chacun des outils dont nous nous servons « en aval » et les illustrerai par des cas concrets.

a) La surveillance

Lorsque nous soupçonnons qu’il y a violation à l’une ou l’autre des lois (que ce soit, par exemple, à la lecture de recherche effectuée par des tiers, de rapports médiatiques, ou parce que nous avons été alertés par nos technologues ou une autre autorité de protection des données), la première chose que nous faisons est très simple : nous effectuons une surveillance. Nous observons ce qui nous entoure et nous tenons prêts à intervenir.

Cette intervention « souple » représente parfois le premier pas vers une intervention plus soutenue, et se résume à une cueillette d’information et à une analyse du risque fondée sur l’information disponible à ce moment précis.

Un exemple très concret : lorsque Sony a révélé en 2011 qu’elle avait été victime de piratage informatique et que les renseignements personnels de millions d’utilisateurs avaient été saisis, nous avons tourné notre attention sur la question pour voir s’il y avait lieu d’intervenir.

Nous avons rassemblé une petite équipe qui comprenait des technologues, des avocats et des enquêteurs et sommes partis à la recherche d’information : Que s’est-il produit? Les mesures de sécurité en place étaient-elles appropriées? Y a-t-il des motifs raisonnables de croire qu’il y a eu infraction à la Loi?

Les technologues ont consulté les sources d’information accessibles au public, y compris le blogue de Sony, et sont entrés en contact avec leurs collègues d’autres APD. Ils ont appris que Sony menait déjà une enquête interne, que les forces de l’ordre menaient également enquête, qu’il n’y avait aucun indice laissant croire que des renseignements personnels aient été affichés publiquement, et que les numéros de cartes de crédit obtenus par les pirates n’étaient pas cryptés mais étaient néanmoins protégés par un algorithme de hachage.

Au terme de notre évaluation de la gestion du risque effectuée par Sony — parce que la cybersécurité est une obligation de moyens et non de résultats—, nous avons choisi de ne pas intervenir. Comme on le sait, nos homologues britanniques ont choisi quant à eux de mener enquête et ont conclu qu’il y avait eu entrave à leur loi. Toutefois, nous restons confiants que nous avons pris la bonne décision d’après l’information dont nous disposions au moment où l’atteinte a été rendue publique.

C’est dans le même esprit que nous émettons des lignes directrices sur des enjeux technologiques émergents — par exemple, après avoir lu assez d’articles laissant entendre un certain laissez-faire du côté des développeurs d’applis mobiles, nous avons émis un guide à leur intention afin de les aider à voir le respect de la vie privée comme un avantage concurrentiel plutôt qu’une entrave à l’innovation.

b) Le dialogue structuré

Le degré suivant dans notre échelle d’intervention est le dialogue structuré.

Lorsque nous soupçonnons que les pratiques de gestion des renseignements personnels d’une organisation ou d’un secteur ne sont pas conformes à la Loi, mais que nous avons bon espoir de régler la situation en-dehors d’une enquête formelle du chef de la commissaire, nous entamons un dialogue avec l’organisation ou les organisations en cause.

Deux exemples tirés de nos dossiers de la dernière année : l’atteinte chez LinkedIn et la question des fuites de renseignements personnels sur des sites Web.

D’abord, LinkedIn. Vous vous souviendrez que ce site de réseautage professionnel a été victime de piratage informatique en juin 2012, alors que près de 6,5 millions de mots de passe ont été dérobés puis affichés en ligne. Comme nous l’avions fait pour l’affaire Sony, nous avons réuni une équipe multidisciplinaire pour faire une analyse préliminaire fondée sur l’information disponible au public. Cette fois-ci, en comparant ce que nous savions de l’atteinte avec ce que nous savions des normes de l’industrie, nous avons conclu que l’atteinte pourrait trahir certaines faiblesses sur le plan des mesures de sécurité informatique de la part de LinkedIn.

De concert avec nos homologues des trois provinces dotées de lois essentiellement similaires à la LPRPDE, nous nous sommes engagés dans un dialogue structuré avec l’entreprise, au cours duquel nous avons obtenu davantage d’information (sous le sceau de la confidentialité), et formulé des recommandations qui ont été mises en œuvre par l’entreprise.

Au bout du compte, la vie privée des utilisateurs de LinkedIn du Canada comme d’ailleurs au monde est désormais mieux protégée, à l’issue d’une intervention plus rapide et moins coûteuse qu’une enquête en bonne et due forme.

Les fuites de renseignements personnels sur des sites Web est un autre dossier dans lequel nous avons eu recours au dialogue structuré.

À la lecture d’une étude réalisée par une université américaine (Worcester Polytechnic Institute), nous avons pris connaissance d’un phénomène par lequel les renseignements personnels fournis par les utilisateurs de sites Web pouvaient être retransmis à des organisations tierces à l’insu et sans le consentement des utilisateurs. Il y aurait donc une fuite de renseignements personnels vers ces sites tiers.

Puisqu’il s’agirait là d’une entrave à la LPRPDE, nous avons décidé de voir si la même chose se produisait sur des sites canadiens populaires.

Nous avons donc constitué un échantillon plus ou moins aléatoire d’une demi-douzaine de sites Web d’organisations canadiennes, provenant en grande majorité du secteur privé. Nous technologues ont ensuite reproduit l’expérience effectuée par l’université américaine

Nos technologues ont établi qu’un suivi était nécessaire auprès de neuf des organisations parmi l’échantillon. La commissaire a correspondu individuellement et confidentiellement avec chacune d’entre elles pour leur expliquer notre méthodologie et ce que nous avons observé sur leurs sites, et leur demander de modifier leurs pratiques afin de se conformer à la loi.

La commissaire a poursuivi sa correspondance avec les entreprises en cause tout au long du processus pour leur faire part de leurs progrès quant aux recommandations précises à leur endroit. En parallèle, des analystes du CPVP communiquaient directement avec les personnes responsables des sites Web des organisations en cause afin de répondre à leurs questions techniques et les guider au besoin dans leurs activités de mise à niveau de leurs sites.

Au bout du compte, les organisations visées par cette activité ont mis en œuvre l’ensemble de nos recommandations, pour le bien de tous les Canadiens et Canadiennes qui se servent de leurs sites Web, encore une fois plus rapidement et à moins de frais qu’au terme d’une intervention plus formelle.

c) Le règlement rapide

Lorsque nous recevons des plaintes qui nous semblent susceptibles d’être réglées rapidement, plutôt que d’entamer une enquête en bonne et due forme, nous référons le dossier à un agent membre d’une équipe dédiée au règlement rapide. Il s’agit entre autres de plaintes sur des sujets ayant déjà fait l’objet de conclusions de la part du Commissariat, les plaintes qui concernent des organisations ayant déjà répondu aux allégations de façon satisfaisante à nos yeux, et les cas où il semble possible de régler rapidement les allégations.

Un exemple, tiré de nos dossiers de règlement rapide de l’an dernier : une personne a fait en ligne une demande à une entreprise de services publics.

Sur le formulaire de demande, les champs destinés au NAS, au numéro de permis de conduire et aux renseignements au sujet de l’employeur étaient obligatoires. La personne a fait part de ses préoccupations à l’entreprise, qui lui a répondu que ces renseignements étaient nécessaires pour authentifier les clients.

Non satisfaite de cette réponse, la personne en question a présenté une plainte au CPVP, et cette plainte a été acheminée à un agent de règlement rapide. L’agent de règlement rapide a communiqué avec l’entreprise pour leur expliquer à la fois les circonstances très précises où l’on peut exiger un NAS ou un numéro de permis de conduire, et sur les risques qu’entraîne la collecte excessive de renseignements personnels. L’agent a également fourni à l’entreprise des documents d’orientation produits par le CPVP à ce sujet.

L’entreprise a dès lors cessé de recueillir des NAS et des numéros de permis de conduire, et a cessé d’exiger la production de renseignements au sujet de l’employeur. Ces pratiques ont été remplacées par l’utilisation de questions de sécurité.

Au bout du compte, l’entreprise a apprécié que le CPVP lui fournisse de l’information, et le plaignant s’est dit satisfait des mesures adoptées par l’entreprise en réponse à ses préoccupations.

Depuis que nous avons commencé à nous servir du processus de règlement rapide, il y a trois ans, nous avons pu régler plus rapidement et à moindre frais quelque 590 dossiers en vertu de la LPRP et 311 dossiers en vertu de la LPRPDE. Le pourcentage de plaintes qui font l’objet d’un règlement rapide augmente chaque année, ayant passé de 13 % en 2010-2011 à 33 % en 2012-2013 pour le secteur public et de 24 % en 2010 à 44 % en 2012 pour le secteur privé.

d) L’enquête

Nous en arrivons donc à la première des deux interventions explicitement nommées dans nos lois habilitantes, soit le pouvoir de mener des enquêtes.

Je ne m’attarderai pas sur l’enquête ordinaire, puisque j’ai l’impression qu’à peu près tout le monde ici en a effectué ou subi au moins une : nous recevons une plainte d’un particulier, nous la confions à un enquêteur, l’enquêteur établit les faits, les analyse, rédige un rapport d’enquête et la commissaire émet une conclusion, à savoir que la plainte est fondée ou qu’elle ne l’est pas.

Dans le cas de plaintes fondées, nous avons élargi à partir de 2011 la liste des conclusions que nous émettons.

  • - Dans les cas où l’organisation a agi en contravention à la loi, mais a résolu l’enjeu en cours d’enquête, nous émettons la conclusion « fondée et résolue » plutôt que « résolue », afin que la contravention à la loi soit reconnue.
  • - Dans les cas où l’organisation fautive s’engage à rectifier la situation mais n’a pas le temps de mettre en œuvre toutes nos recommandations avant la fin de l’enquête, nous émettons la conclusion « fondée et conditionnellement résolue ».

Ce qui m’amène à donner un exemple d’une plainte où nous avons émis cette conclusion et exigé un suivi de la part de l’organisation en cause. Il s’agit de notre enquête au sujet de Google Wi-Fi, dont les résultats ont été publiés en octobre 2010.

Cette enquête à l’initiative de la commissaire a été lancée après que Google a annoncé que ses voitures — qui sillonnaient alors les rues canadiennes pour le service de cartographie Street View — avaient recueilli par inadvertance des données transmises sur des réseaux sans fil non sécurisés.

À la lumière de son enquête, la commissaire a recommandé que Google fasse en sorte que son modèle de gouvernance lui permette de se conformer aux lois sur la protection des renseignements personnels. En outre, la commissaire a recommandé que Google améliore la formation qu’elle offre au sujet de la protection des renseignements personnels, ainsi que de nommer une ou des personnes responsables des questions de vie privée et du respect des obligations de l’entreprise en la matière — une obligation aux termes de la loi canadienne en matière de protection des renseignements personnels.

De plus, la commissaire a demandé à Google de supprimer les données utiles canadiennes recueillies, dans la mesure où cela ne nuirait pas au respect d’obligations en suspens aux termes des lois canadiennes et américaines, telles que la conservation de preuves liées à des procédures judiciaires. Si les données utiles canadiennes ne pouvaient pas être supprimées sur le champ, elles devraient être conservées de manière sécuritaire et l’accès à ces données devrait être restreint.

Eu égard à l’ampleur de l’infraction, au nombre de personnes touchées et à la portée des recommandations auxquelles l’entreprise devait donner suite, la commissaire a exigé une confirmation que Google aurait effectivement répondu à tous ses engagements. Elle a donc exigé que Google lui remette dans un délai prescrit un rapport de vérification par un tiers attestant que toutes les recommandations formulées au terme de l’enquête aient bel et bien été mises en œuvre.

En plus des mesures de suivi de la mise en œuvre de nos recommandations, l’exemple de Google Wi-Fi illustre également un autre outil dont nous nous prévalons de plus en plus afin que nos interventions profitent le plus possible aux Canadiennes et Canadiens : nous avons rendu public à la fois le rapport d’enquête et le nom de l’entreprise.

La plupart des organisations qui font l’objet de nos enquêtes se conforment à toutes nos recommandations, souvent même avant que l’enquête ne soit terminée. Toutefois, il arrive que nous devions prendre les grands moyens pour faire exécuter nos recommandations, soit en saisissant la Cour fédérale.

C’est ce qui s’est produit au terme d’une enquête sur Nexopia, un site de réseautage social destiné aux jeunes. L’enquête réalisée à la suite d’une plainte déposée par le Centre pour la défense de l’intérêt public a permis d’établir que Nexopia contrevenait à plusieurs aspects de la LPRPDE. Au total, 24 recommandations ont été formulées au terme de l’enquête.

Nexopia a répondu 20 d’entre elles à la satisfaction de la commissaire. Toutefois, le CPVP et l’entreprise en cause n’ont pas réussi à s’entendre sur le moyen de résoudre quatre enjeux concernant la conservation des renseignements personnels des utilisateurs par Nexopia.

La commissaire à la protection de la vie privée du Canada s’est donc tournée vers la Cour fédérale pour lui demander de rendre une ordonnance obligeant Nexopia à cesser de conserver des renseignements personnels pendant une période indéterminée et à créer à cette fin une fonction de suppression. Nexopia a changé de main après le dépôt de la requête. Le nouveau propriétaire s'est engagé à donner suite à toutes les recommandations formulées dans le Rapport de conclusions. Le dossier est toujours à l’étude devant la Cour fédérale.

Nous pouvons rendre publique toute information liée aux pratiques de gestion d’une organisation si nous sommes d’avis qu’il est dans l’intérêt public de le faire. Afin de déterminer si le seuil de l’intérêt public a été atteint dans un cas particulier, nous fondons notre analyse sur bon nombre de facteurs. En général, nous appliquons les critères suivants :

  • La décision de nommer doit être appuyée par des faits et une analyse qui démontrent l’intérêt public en cause;
  • La décision doit être prise au cas-par-cas, et non sur la base d’une politique englobante favorisant l’utilisation universelle du pouvoir de nommer;
  • L’utilisation du pouvoir de nommer doit faire avancer les objectifs de la loi—la décision de nommer doit être liée de manière rationnelle aux raisons pour lesquelles ce pouvoir a été accordé au départ;
  • La décision doit tenir compte du juste équilibre entre la divulgation et la confidentialité, puisque les deux sont dans l’intérêt du public ; et
  • L’étendue de la divulgation doit être restreinte à l’information nécessaire pour atteindre l’objectif visé.

e) La vérification

Le cinquième et dernier mécanisme d’intervention dans l’éventail du CPVP est la vérification, soit une revue des pratiques de gestion des renseignements personnels d’une organisation ou d’un secteur donné, dont nous nous servons pour confronter des enjeux systémiques.

Il arrive que l’existence d’enjeux systémiques donnant lieu à une vérification se révèle à nous en cours d’enquête. C’est ce qui s’est produit au cours d’une enquête au sujet du ministère des Anciens Combattants conclue en octobre 2010, alors que nous avons déterminé que les contrôles en place au Ministère ne protégeaient pas adéquatement les renseignements personnels en sa possession aux termes de la Loi sur la protection des renseignements personnels.

Plus particulièrement, l’enquête a révélé que des renseignements médicaux délicats d’un ancien combattant avaient été communiqués à des fonctionnaires n’ayant aucun besoin légitime de les voir. Certains renseignements médicaux se sont même retrouvés dans des notes d’information ministérielles décrivant des activités de défense des droits menées par cet ancien combattant.

L’atteinte à la vie privée en cause était d’une gravité telle qu’il y avait lieu de croire à l’existence d’enjeux systémiques. Nous avons donc entamé une vérification des pratiques de gestion des renseignements personnels ayant cours au ministère en cause.

C’est sur la base d’un raisonnement semblable que nous avons entrepris une vérification de Staples, un détaillant canadien de fournitures de bureau. Dans le cas de Staples, nous avions mené deux enquêtes entre 2004 et 2008, au sujet de deux plaintes distinctes, à l’effet que l’entreprise ne supprimait pas toutes les données de clients se trouvant dans des dispositifs de stockage retournés au magasin, tels des ordinateurs portatifs et des disques durs externes, avant de les remettre sur les tablettes.

Au terme des deux enquêtes, l’entreprise s’était engagée à prendre les mesures correctives nécessaires. À la lumière de reportages médiatiques en 2009 à l’effet que Staples revendait toujours des dispositifs électroniques retournés sans en avoir effacé les données personnelles du propriétaire précédent, nous avons effectué une vérification.

Puisque notre vérification a démontré que les enjeux systémiques relatifs à la gestion des dispositifs de stockage des données retournés n’avaient toujours pas été réglés complètement, nous avons exigé que l’entreprise nous fournisse dans l’année suivant la vérification un rapport rédigé par un tiers indépendant précisant de quelle manière l’entreprise s’était conformée à nos recommandations.

Conclusion

En conclusion, j’espère vous avoir laissé certaines idées maîtresses.

Premièrement, la variété de risques à la protection de la vie privée exige d’adopter une vision holistique des mesures d’intervention qui s’offrent aux APD. Cette vision globale est cruciale afin d’adopter les moyens créatifs et stratégiques qui s’imposent pour faire face à des dossiers de plus en plus complexes avec des ressources qui sont malheureusement, pour beaucoup d’entre nous, de plus en plus limitées.

Deuxièmement, nous devons tenir compte de la réalité afin de demeurer non seulement efficaces, mais pertinents face aux nouveaux modèles commerciaux et aux nouvelles réalités technologiques qui ont une si grande influence sur la réalisation de nos mandats, soit de protéger le droit à la vie privée dans nos territoires de compétence respectifs. Ceci exige une souplesse d’intervention qui permette d’appliquer l’intervention juste, selon les circonstances.

Troisièmement, notre plus grand pouvoir est celui de la mobilisation des citoyens, et il faut donc ancrer nos interventions dans le cadre des attentes, des droits et des besoins des citoyens.

Je cède maintenant la parole à mes éminents collègues et je me réjouis à l’idée de poursuivre la conversation avec vous tous.

Date de modification :