Les mondes interconnectés de la cybersécurité et de la protection de la vie privée

Allocution sur la cybersécurité - Projet national des spécialistes de la sécurité

Ottawa (Ontario)
Le 20 avril 2016

Allocution prononcée par Daniel Therrien
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Introduction

Bonjour. Je vous remercie de m'avoir offert la possibilité de vous parler de la protection de la vie privée et de la cybersécurité.

Les Canadiens attachent une très grande importance au droit à la vie privée, mais ils veulent aussi que leur gouvernement agisse en leur nom pour assurer leur sécurité.

Au cours des dernières années, le Commissariat à la protection de la vie privée du Canada a défendu énergiquement le droit à la vie privée tout en montrant, je crois, qu'il comprend bien les menaces très réelles qui pèsent sur la sécurité publique au pays — notamment sur la sécurité de nos systèmes d'information, dont bon nombre d'entre vous devez assurer la protection.

Ce qui est devenu évident, c'est que la protection de la vie privée et la cybersécurité sont étroitement liées.

D'une part, les défis associés à la cybersécurité touchent également la protection de la vie privée. Les organisations doivent demeurer à l'affût des cybermenaces les plus récentes pour protéger leurs systèmes de TI. Les responsables de la protection des renseignements personnels doivent faire de même pour protéger adéquatement l'information qui leur a été confiée par leurs clients et leurs employés.

D'autre part, les politiques en matière de cybersécurité peuvent également porter atteinte à la vie privée. Il arrive que les stratégies mises en place pour lutter contre les cybermenaces portent atteinte à la vie privée des gens, sans que ce soit pour autant un effet voulu.

Il existe donc une tension naturelle entre la protection de la vie privée et la sécurité, mais je crois qu'il est possible d'avoir les deux.

Dans cette optique, mon allocution d'aujourd'hui portera sur la manière dont les évaluations des facteurs relatifs à la vie privée et les déclarations d'atteintes à la vie privée peuvent atténuer les répercussions négatives dans le contexte de la cybersécurité.

Je parlerai aussi de façon plus générale des questions de sécurité nationale (dont le projet de loi C 51), de l'importance des rapports de transparence ainsi que des questions sensibles entourant la surveillance. Par ailleurs, comme le Parlement envisage actuellement différentes options en vue de réformer la Loi sur la protection des renseignements personnels, je mentionnerai tout au long de mon allocution certaines recommandations du Commissariat.

Évaluations des facteurs relatifs à la vie privée

Je suis certain que vous conviendrez avec moi qu'il est beaucoup plus facile et moins coûteux de régler de manière proactive les problèmes de protection de la vie privée que de réparer les dégâts après coup. Cette façon de procéder est aussi beaucoup plus efficace pour le droit à la vie privée.

C'est pourquoi les ministères et organismes doivent examiner les répercussions sur la vie privée le plus tôt possible au cours de l'élaboration de programmes ou de politiques.

En effectuant une évaluation des facteurs relatifs à la vie privée, ou EFVP, les institutions fédérales peuvent cerner les risques d'atteinte à la vie privée associés à une activité prévue, entre autres les risques pour la cybersécurité. Elles peuvent aussi expliquer à la population canadienne comment elles s'y prendront pour atténuer ces risques.

Au cours du dernier exercice, le Commissariat a reçu 88 EFVP, un nombre comparable à ceux des exercices précédents. À l'évidence, de nombreux ministères et organismes reconnaissent l'utilité de cet outil de gestion des risques. Ils comprennent que la protection des renseignements personnels est au cœur de leurs décisions et ils respectent le droit à la vie privée de chacun.

Toutefois, même si certains ministères font preuve de diligence en ce qui a trait à ces évaluations, d'autres ne nous transmettent pratiquement jamais de rapports d'évaluation.

À l'occasion, le personnel du Commissariat apprend par les médias qu'une nouvelle politique ou un nouveau programme a été adopté et il se demande pourquoi on n'a pas évalué les facteurs relatifs à la vie privée.

Dans d’autres cas, le Commissariat reçoit l’EFVP quelques jours à peine avant le lancement d’une initiative, ce qui ne lui laisse pratiquement pas le temps de l’examiner à fond et de formuler ses commentaires. Bien entendu, ce court délai ne permet pas non plus de mettre en œuvre ses recommandations.

Avant d’élaborer ou de modifier un programme, un service ou un système et de le mettre en œuvre, vous évaluez les menaces et les risques. Lorsqu’il y a des renseignements personnels en jeu, n’oubliez pas d’effectuer aussi une évaluation des facteurs relatifs à la vie privée, car la perte de renseignements personnels fait partie des menaces que vous devriez atténuer.

Il est important d'entamer les EFVP dès le début de l'élaboration ou de la modification d'une initiative, mais on doit aussi se rappeler que le processus d'EFVP ne prend pas fin au moment de la présentation du rapport final au Commissariat et au Secrétariat du Conseil du Trésor.

De manière générale, les programmes et les initiatives ne cessent d'évoluer. C'est pourquoi il est nécessaire de continuer à évaluer et à atténuer les risques d'atteinte à la vie privée durant le cycle de vie d'un programme.

Enfin, le Commissariat n'approuve pas les EFVP, ne donne pas son aval aux projets ou aux propositions et ne peut participer à la rédaction des EFVP. Mais les institutions peuvent le consulter tout au long du processus. D'ailleurs, j'encourage vos organisations à profiter de cette possibilité.

Vous trouverez sur le site Web du Commissariat des conseils et des recommandations sur la marche à suivre pour réaliser une EFVP. De plus, en collaboration avec le Secrétariat du Conseil du Trésor, nous avons conçu des ateliers de niveau débutant, intermédiaire et avancé sur les EFVP à l'intention des spécialistes de l'accès à l'information et de la protection des renseignements personnels, et des autres personnes participant à la rédaction de ces évaluations.

Ce qu'il faut se rappeler, c'est que l'EFVP est un outil essentiel pour aider les institutions à prévoir et à prévenir les atteintes à la vie privée. Cela vaut pour les nouveaux programmes gouvernementaux et les nouveaux systèmes de TI. L'EFVP est un outil important pour prévenir et atténuer les risques d'atteinte à la vie privée. C'est en ayant à l'esprit cet objectif de prévention que j'ai récemment recommandé au Parlement de faire en sorte que l'obligation de réaliser des EFVP soit désormais prévue par la Loi sur la protection des renseignements personnels et non simplement par une politique du Secrétariat du Conseil du Trésor.

Déclaration des atteintes à la vie privée et prévention

Voyons maintenant ce qu'il en est de la déclaration des atteintes à la vie privée. Nous savons qu'un grand nombre d'atteintes à la vie privée mettent en cause des cyberincidents, mais peu d'entre elles sont signalées au Commissariat.

Il va de soi que les cyberincidents ne se rapportent pas tous à la protection de la vie privée, mais le très faible nombre de cas déclarés porte à croire que le personnel responsable des technologies de l'information et de la sécurité au sein du gouvernement ne comprend peut-être pas toujours bien la déclaration de ces incidents.

Dans les faits, en mai 2014, le Conseil du Trésor a publié à l'intention des institutions fédérales une directive exigeant que toutes les atteintes substantielles à la vie privée soient déclarées au Commissariat. Il faut notamment déclarer les atteintes à la sécurité des renseignements sensibles, des renseignements pouvant être utilisés pour porter préjudice à une personne et des renseignements ayant des répercussions sur un grand nombre de personnes.

Lors de mon témoignage devant le Parlement relativement à la réforme de la Loi sur la protection des renseignements personnels, j'ai aussi recommandé d'imposer dans la loi l'obligation de déclarer les atteintes à la vie privée, tout comme celle de produire des EFVP, dont je vous ai parlé plus tôt.

Les institutions ont tout intérêt à informer le Commissariat de toute atteinte " substantielle " à la vie privée. Le plus tôt le personnel du Commissariat est avisé, le plus tôt il peut donner des conseils utiles sur la manière de limiter la portée de cette atteinte, sur la pertinence d'aviser les personnes touchées et, au besoin, sur la façon de procéder et sur les mesures à prendre pour empêcher d'autres incidents éventuels.

Il est important de mettre en place des contrôles adéquats afin de réduire le plus possible les risques d’atteinte à la vie privée : des contrôles physiques, technologiques et administratifs ainsi que des contrôles de sécurité visant le personnel. Même si une directive du Secrétariat du Conseil du Trésor oblige actuellement les institutions à prendre ce type de mesure, le Commissariat a  demandé au Parlement d’envisager d’imposer aussi cette exigence importante dans la loi.

Communication d'information en vertu du projet de loi C 51

En ce qui touche la grande question de la sécurité nationale, j'aimerais vous faire part de mes préoccupations concernant le projet de loi C 51, la Loi antiterroriste de 2015, et vous expliquer les mesures que le Commissariat prévoit de prendre pour donner suite à ces préoccupations.

Cette nouvelle loi vise à faciliter la communication d'information entre les institutions fédérales pour mieux assurer la sécurité des Canadiens — un objectif que nous partageons. Le Commissariat reconnaît que la communication accrue d'information peut aider à cerner et à éliminer certaines menaces à la sécurité. Mais nous sommes préoccupés par l'ampleur de cet échange, par la portée des nouveaux pouvoirs, par les mesures de sécurité prévues pour limiter les pertes démesurées au chapitre de la vie privée, et par l'absence de mécanismes de surveillance indépendants.

Nous revoyons actuellement la manière dont les institutions fédérales échangent de l’information aux fins de la sécurité nationale. Nous consacrerons des ressources considérables aux activités de conformité pour nous assurer que la communication autorisée en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada, qui fait partie du projet de loi C-51, respecte la Loi sur la protection des renseignements personnels.

Nous informerons aussi le Parlement et les Canadiens de nos conclusions afin d’éclairer le débat public sur les préoccupations liées à la sécurité nationale et de donner des renseignements utiles en vue des modifications qui pourraient être apportées à la loi antiterroriste, que le nouveau gouvernement s’est engagé à examiner. J’attends avec impatience les consultations sur les modifications éventuelles. D’ici là, j’invite vos organisations respectives à faire preuve d’une plus grande transparence tout en tenant compte des préoccupations de la sécurité nationale. Une transparence accrue assurerait un débat public plus éclairé sur la question.

En passant, il me semble important de mentionner que la participation du Commissariat et de vos employés responsables de l'accès à l'information et de la protection des renseignements personnels à l'étape de la conception d'une entente de communication d'information peut assurer une vérification préventive importante avant la mise en œuvre de ce type d'entente. Je vous encourage à profiter de cette possibilité.

Rapports de transparence

Le projet de loi C-51 n'est pas le seul projet de loi touchant la surveillance qui préoccupe le Commissariat. Le projet de loi C-13, Loi sur la protection des Canadiens contre la cybercriminalité, a également suscité de nombreuses questions concernant l'accès sans mandat aux renseignements détenus par les entreprises de télécommunications.

Depuis l'entrée en vigueur de cette loi en décembre 2014, nous avons collaboré avec les fournisseurs de services de télécommunications et Industrie Canada afin de fournir des renseignements utiles aux Canadiens.

Nous avons formulé des commentaires pour l'élaboration des lignes directrices sur la transparence d'Industrie Canada, qui établissent des normes régissant les rapports de transparence et de reddition de comptes présentés par les entreprises qui communiquent des renseignements personnels aux organismes d'application de la loi.

En parallèle, nous avons publié une analyse comparative des rapports de transparence publiés de façon volontaire par certaines entreprises de télécommunications. Les mécanismes de présentation des rapports comportent certaines lacunes. Mais nous avons conclu que ces rapports peuvent aider les Canadiens à prendre des décisions éclairées et à mieux comprendre quand et comment les organismes gouvernementaux ont accès aux renseignements personnels détenus par des organisations du secteur privé.

Pour l'avenir, nous espérons que les entreprises suivront les lignes directrices et que nous commencerons à constater une plus grande uniformité dans les rapports de transparence. Dans le cas contraire, nous pourrions réclamer des modifications législatives à cet égard.

Toutefois, les rapports du secteur privé ne montrent qu'une partie du tableau. Il est tout aussi important d'accroître la transparence du côté du secteur public. Après tout, c'est le secteur public qui demande et reçoit ces renseignements.

C'est pour cette raison que nous avons demandé aux institutions fédérales de tenir des registres exacts et de déclarer publiquement la nature et l'objet des demandes d'accès légal présentées aux entreprises de télécommunications ainsi que leur nombre.

Avec une approche modernisée, adaptée aux moyens de communication et de surveillance actuels, les citoyens et le Parlement comprendraient mieux la manière dont les institutions fédérales exercent leurs pouvoirs en matière d'accès légal. À cette fin, une autre de nos recommandations pour la réforme de la Loi sur la protection des renseignements personnels consiste à renforcer les exigences. Il s'agit dans ce cas des exigences en matière de présentation de rapports sur les grandes questions auxquelles font face les organisations fédérales et des exigences de transparence particulières pour les demandes d'accès légal présentées par des organismes d'application de la loi.

Surveillance exercée par le gouvernement

Comme vous le savez peut-être, la surveillance du gouvernement est l'une des quatre priorités stratégiques en matière de protection de la vie privée qui orienteront les travaux du Commissariat au cours des cinq prochaines années.

Nous avons pour objectif de contribuer à l'adoption et à la mise en œuvre de lois et d'autres mesures destinées à assurer la sécurité nationale et à protéger la vie privée.

Au cours du dernier mois, la confrontation entre Apple et le FBI au sujet du chiffrement a soulevé de nombreuses questions concernant cet équilibre délicat entre la sécurité et la vie privée.

En règle générale, je dirais que le chiffrement est d'une importance capitale pour la protection des renseignements personnels. Les entreprises qui fabriquent les appareils de télécommunications ont la responsabilité de protéger les renseignements personnels de leurs clients.

Cela dit, ces entreprises sont également soumises aux lois et aux mandats judiciaires exigeant l'accès à des renseignements personnels qui peuvent répondre à un besoin légitime lorsque la sécurité du public est en jeu.

Par ailleurs, la loi doit tenir compte des réalités associées à la technologie. Si l'on perce le chiffrement ou que l'on crée une exception à la protection offerte par la technologie, quelles seront les répercussions pour la population dans son ensemble?

La confrontation entre l'Union européenne et les États-Unis concernant les flux de données transatlantiques est une autre question qui fait les manchettes internationales et soulève d'importantes questions pour le Canada.

Comme vous le savez peut-être, l'automne dernier, la Cour européenne de justice a jugé invalide l'accord sur la sphère de sécurité qui permettait le transfert vers les États-Unis de renseignements concernant des citoyens européens. À la suite de ce jugement, les parties se sont efforcées de conclure une nouvelle entente pour assurer un flux de données continu.

La question de la protection adéquate des citoyens européens en cas de transfert de leurs renseignements personnels vers les États-Unis est au cœur de cette bataille. À terme, l'Union européenne veut s'assurer que les mesures de protection de la vie privée offertes aux citoyens européens dans les autres pays comprennent une protection contre la surveillance de masse et qu'elles sont équivalentes aux mesures de protection garanties en Europe.

En quoi cela touche-t-il le Canada? Cette situation soulève des questions concernant la capacité de nos lois sur la protection des renseignements personnels à protéger adéquatement les données des citoyens européens, en partie à la lumière du projet de loi C-51.

En plus d'améliorer la protection de la vie privée pour les Canadiens, ces mesures aideraient grandement à atténuer le risque de nuire au commerce international qui pèserait sur le Canada s'il n'était plus considéré comme un pays qui protège de façon adéquate les renseignements personnels des citoyens de l'Union européenne.

Comme je l'ai dit plus tôt, nous croyons que les dispositions de la Loi antiterroriste de 2015 régissant la communication d'information sont excessives et peu équilibrées. Nous sommes également favorables à l'adoption de seuils plus appropriés afin que les renseignements personnels soient communiqués uniquement s'ils sont " nécessaires " au mandat de l'institution destinataire ou " proportionnels " à son besoin en matière de sécurité nationale, et non pas simplement s'ils se " rapportent " à son mandat.

Nous nous préoccupons aussi du fait que 14 des 17 organisations qui reçoivent de l'information aux fins de la sécurité nationale ne font l'objet d'aucune surveillance ni d'aucun examen indépendant.

Lorsque le gouvernement modifiera la nouvelle loi, j'espère qu'il tiendra compte de nos recommandations visant à renforcer la surveillance et à rehausser les seuils pour la collecte et la communication de renseignements personnels.

Avant de terminer, j'aimerais soulever un dernier point concernant la sensibilité des métadonnées. Cette question s'est récemment posée dans le contexte de la surveillance. En janvier dernier, le commissaire Jean-Pierre Plouffe a présenté son rapport annuel au Parlement sur le Centre de la sécurité des télécommunications du Canada (CST). Il y a révélé que l'organisme de surveillance électronique avait contrevenu aux règles de protection de la vie privée et à la Loi sur la défense nationale en communiquant des métadonnées par inadvertance à ses partenaires du Groupe des cinq.

On a dit que les métadonnées renfermaient des renseignements nominatifs sur des citoyens canadiens, mais le CSTC a estimé que les répercussions sur la vie privée étaient faibles compte tenu des mesures de sécurité en place et du fait que les données ou le contexte ne permettaient pas d'identifier des personnes en particulier.

Nos recherches ont montré que les métadonnées pouvaient être très révélatrices. Elles contiennent toutes sortes de renseignements sur les appels téléphoniques, les courriels, le réseautage social et la navigation sur Internet. Elles ne contiennent peut-être pas le contenu du message, mais on y trouve les numéros de téléphone, la date et l'heure, les adresses de courriel, les adresses IP, le contenu de la ligne d'objet, les données de géolocalisation, l'information concernant l'appareil et les pages Web visitées. En regroupant ces renseignements, on peut en apprendre beaucoup sur une personne.

Par exemple, dans R. c. Spencer, la Cour suprême du Canada a statué que les policiers avaient pu identifier un abonné associé à une activité précise sur Internet simplement en établissant un lien entre son nom et son adresse et une adresse IP en particulier.

La Cour a reconnu que les personnes pouvaient s'attendre à une protection raisonnable de leur vie privée en ce qui concerne l'information établissant un lien entre leur identité et des métadonnées, par exemple une adresse IP, et que les policiers avaient contrevenu à la Charte en obtenant cette information sans mandat auprès d'un fournisseur d'accès Internet.

En résumé, les institutions gouvernementales qui recueillent ces renseignements, ou qui envisagent de le faire, ne devraient pas sous-estimer ce que les métadonnées peuvent révéler au sujet d'une personne. Cette mise en garde s'applique aussi aux organisations du secteur privé à qui on demande de communiquer ces renseignements aux institutions gouvernementales.

Étant donné l'omniprésence des métadonnées et l'information considérable que l'on peut en tirer concernant une personne en particulier, les institutions gouvernementales et les organisations du secteur privé doivent faire preuve de prudence dans leurs activités de collecte et de communication de données.

Conclusion

En terminant, j'espère que mon allocution vous aura donné une bonne idée des mesures à prendre pour atténuer les cybermenaces, de notre position quant aux questions de sécurité nationale, (y compris le projet de loi C-51,) des rapports de transparence et de la surveillance ainsi que des modifications que nous réclamons à la Loi sur la protection des renseignements personnels.

Selon moi, il serait erroné de croire que la confidentialité et la sécurité ne peuvent coexister. En effet, dans le contexte de la cybersécurité, ces deux éléments vont de pair et les mesures de protection en place dans un domaine peuvent compléter celles en place dans l'autre domaine.

Nous sommes là pour travailler avec vous lorsque vous préparerez vos EFVP et vos ententes sur la communication d'information.

À mon avis, les Canadiens ont manifestement la sécurité à cœur vu les menaces qui pèsent sur le monde à l'heure actuelle, mais ils accordent aussi une très grande importance à leur vie privée et veulent la protéger. Ils veulent s'assurer que des lois et des procédures prévoient la surveillance des institutions gouvernementales. Les Canadiens veulent aussi une transparence accrue afin que les institutions puissent gagner leur confiance.

Nous vivons dans un État de droit, un pays démocratique qui fait la promotion des droits de la personne et qui les respecte. Voilà une autre raison d'être optimiste.

Je demeure convaincu que nous pouvons nous protéger contre les menaces tout en préservant notre droit à la vie privée.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :