Sélection de la langue

Recherche

Examen des répercussions sur la vie privée de l’application Alerte COVID

Le 11 juin 2020, le gouvernement fédéral a informé le Commissariat à la protection de la vie privée du Canada (le Commissariat) qu’il avait l’intention de mettre à la disposition des Canadiens une application de notification des expositions à la COVID-19 qui repose sur la technologie de Google et d’Apple.

Cela a été suivi le 19 juin par une évaluation sur le plan de la vie privée produite par Santé Canada de la conception de l’application en fonction des principes énoncés dans Appuyer la santé publique et bâtir la confiance des Canadiens : principes de protection de la vie privée et des renseignements personnels pour les applications de traçage des contacts et autres applications similaires, soit la déclaration publiée le 7 mai 2020 par les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée.

Après avoir reçu les résultats de cette évaluation, le Commissariat a eu plusieurs communications, de vive voix et par écrit, avec des représentants du gouvernement fédéral.

Le 10 juillet, nous avons fait des recommandations préliminaires au gouvernement du Canada, qui en a accepté un certain nombre. Lorsque ce sera pertinent, nous traiterons dans les pages suivantes de la réponse du gouvernement à ces recommandations préliminaires. Puisque l’application est présentée en tant qu’initiative nationale, le Commissariat a aussi communiqué avec les commissaires provinciaux et territoriaux.

Le gouvernement de l’Ontario a affirmé qu’il encouragerait le recours à l’application sur son territoire. C’est pourquoi le Commissariat a travaillé en étroite collaboration avec le commissariat à l’information et à la protection de la vie privée de cette province pour formuler des recommandations qui cadrent les unes avec les autres.

Le texte qui suit porte sur notre examen des répercussions sur la vie privée de l’application de notification des expositions. Cet examen a pris en compte les commentaires et les points de vue exprimés par les commissaires d’autres provinces et territoires.

Signalons que nous avons examiné l’application en nous appuyant sur l’information reçue à ce jour et sous réserve des plaintes que nous pourrions recevoir concernant le fonctionnement de l’application. Toute modification apportée aux fonctionnalités de l’application devra aussi faire l’objet d’une analyse supplémentaire.

Notre examen repose sur les principes énoncés dans la déclaration fédérale-provinciale-territoriale (FPT).

Éléments essentiels

Selon un principe clé de cette déclaration FPT, le gouvernement doit faire la preuve que la mesure en question est nécessaire et proportionnelle, ce qui exige notamment de démontrer que l’application est efficace.

Il faut évaluer le respect de ce principe en fonction du contexte. Dans le cas présent, le contexte est celui de la COVID-19, un coronavirus nouveau et mortel qui affecte des millions de personnes dans le monde entier. En outre, la technologie proposée, qui vise à accroître la capacité des gouvernements à surveiller manuellement la propagation de ce virus, est également nouvelle.

La technologie n’a pas encore été testée, et de nombreux observateurs soulignent que son efficacité reste incertaine en raison de différents facteurs, dont le faible taux d’adoption enregistré à l’étranger. Cela est peut-être vrai. Toutefois, à l’instar de l’Organisation mondiale de la santéNote de bas de page 1 et de plusieurs autorités en matière de protection des données dans le mondeNote de bas de page 2, nous considérons qu’une application de notification des expositions comme celle proposée par le gouvernement du Canada, lorsqu’elle s’inscrit dans une série de mesures, dont le traçage de contacts manuel, pourrait contribuer à freiner la propagation du virus. Cela se ferait, entre autres, en alertant les individus de leur proximité possible avec une personne ayant reçu un diagnostic de COVID-19 et en les encourageant à subir un test de dépistage.

Nous avons demandé à Santé Canada de nous indiquer le fondement scientifique de l’application. Le Ministère nous a confirmé qu’à son avis, l’application devrait vraisemblablement permettre de réaliser efficacement les fins visées. Toutefois, compte tenu de l’incertitude à cet égard, nous avons recommandé au gouvernement de surveiller de près et d’évaluer l’efficacité de l’application après son déploiement et de la mettre hors service si son efficacité ne peut être démontrée.

En réponse à ces recommandations préliminaires, le gouvernement a indiqué qu’il prend note des expériences vécues à travers le monde dans l’utilisation de mesures et de technologies semblables. Il fera preuve de transparence envers les Canadiens quant au fonctionnement de l’application. Les mesures suivantes seront adoptées :

  • Un conseil consultatif externe fournira des conseils d’experts dans la mise en œuvre de l’application aux sous-ministres fédéraux, provinciaux et territoriaux concernés.
  • Le gouvernement du Canada prendra sérieusement en considération tout avis qu’il recevra du conseil consultatif sur la mise hors service de l’application.
  • Santé Canada a commencé à entreprendre des démarches pour créer un cadre qui permettra de définir et de mesurer l’efficacité de l’application et d’établir des balises qui permettront une analyse continue du respect du principe de nécessité et de proportionnalité.
  • Santé Canada invitera le Commissariat à prendre part à une vérification conjointe de l’application, qui commencera au cours du quatrième trimestre de 2020; une analyse continue de l’efficacité de l’application fera partie du mandat.

Selon un autre principe important énoncé dans la déclaration fédérale-provinciale-territoriale, les gouvernements devraient, dans la mesure du possible, utiliser des données désidentifiées. Un principe connexe est celui de l’adoption de mesures de protection juridiques et techniques appropriées pour empêcher tout accès non autorisé aux renseignements personnels.

Sur ce point, nous estimons que le gouvernement a pris des mesures exceptionnellement vigoureuses pour protéger l’identité des utilisateurs et empêcher que cette information soit communiquée au gouvernement du Canada. Les spécialistes s’entendent généralement sur le fait qu’il existe toujours un risque de réidentification des données désidentifiées. Ce risque est cependant très faible dans le cas présent grâce aux mesures de sécurité et aux autres mesures de protection mises en œuvre.

Signalons que les provinces participantes devront attribuer un code d’accès unique aux utilisateurs de l’application qui auront reçu un résultat positif à un test de dépistage. Ce code servira à aviser d’autres utilisateurs en leur communiquant de façon désidentifiée l’information stockée dans l’application au sujet de l’exposition. Ainsi, certaines personnes au gouvernement provincial sauront qu’un individu a reçu un résultat positif, mais nous comprenons qu’elles n’auront pas accès à l’information de notification.

Nous en arrivons maintenant au principe de transparence. Le gouvernement a demandé aux parties intéressées de se reporter à des documents publiés par Google, Apple et Shopify, particulièrement des codes sources, pour les aider à comprendre le mode de fonctionnement de l’application. Ces documents sont utiles à ceux qui possèdent des connaissances approfondies en informatique, mais hermétiques pour d’autres.

Par ailleurs, Santé Canada nous a expliqué en détail les mesures de sécurité et les autres mécanismes visant à protéger l’identité et la vie privée des utilisateurs. Cette information figure désormais dans un avis de confidentialité mis à jour reçu le 22 juillet et dans une version révisée de l’évaluation sur le plan de la vie privée reçue le 27 juillet.

Selon nous, Santé Canada et le gouvernement du Canada ont pris des mesures significatives qui sont conformes au principe de transparence.

Fait important, la déclaration fédérale-provinciale-territoriale énonce le principe selon lequel l’utilisation de l’application doit être volontaire pour bâtir la confiance du public. Il faut donc qu’elle s’appuie sur un consentement valable.

Pour éclairer le consentement, on affichera un avis de confidentialité et des indications au cours du processus d’inscription. Lorsque les utilisateurs téléchargeront l’application Alerte COVID, on leur donnera une vue d’ensemble du mode de fonctionnement de l’application. Cette information est formulée en termes clairs et compréhensibles. Toutefois, dans le contexte de notre implication et comme nous l’expliquons ci-après, nous avons recommandé des changements à une partie du texte qui, selon nous, était inexacte, si bien qu’il n’aurait pas été possible pour les utilisateurs d’accorder un consentement valable. Santé Canada et le gouvernement du Canada ont accepté notre recommandation. Par conséquent, nous sommes maintenant d’avis que l’information fournie aux utilisateurs leur permettra de donner un consentement valable.

Pour bâtir la confiance et avoir l’assurance que l’utilisation est volontaire, il est également important que l’application serve exclusivement à permettre aux utilisateurs de déterminer s’ils ont été exposés au virus et, s’il y a lieu, de prendre les mesures appropriées pour freiner davantage la propagation, comme l’indique l’évaluation sur le plan de la vie privée.

D’autres pays ont pris des mesures pour empêcher que quiconque soit contraint d’utiliser une application de traçage de contacts ou de notification des expositions. En Australie, la loi interdit aux organisations et aux organismes gouvernementaux d’obliger les individus à télécharger ou à utiliser l’applicationNote de bas de page 3. En France, l’utilisation de l’application doit être volontaire et les responsables de la santé nationaux sont tenus légalement d’assurer la confidentialité des renseignements médicauxNote de bas de page 4. Enfin, en vertu de la loi adoptée en Suisse comme fondement juridique pour l’application, la participation doit demeurer volontaire et les personnes qui choisissent de ne pas utiliser l’application ne peuvent subir de désavantage de la part des autorités, des entreprises ou des particuliersNote de bas de page 5.

Au Canada, la loi n’interdit pas clairement aux organisations d’exiger comme condition de service l’accès aux renseignements stockés dans l’application, notamment à savoir si l’utilisateur a été informé d’une exposition. D’après nous, l’absence de mesures juridiques claires entourant le caractère volontaire et la finalité de l’application, mesures qui seraient comparables à celles mises en œuvre dans d’autres pays, constitue une autre faille de notre législation actuelle.

Lorsque nous lui avons demandé ce qu’il ferait pour empêcher les organisations de contourner la nature volontaire de l’utilisation, le gouvernement du Canada s’est engagé à fournir des énoncés qui stipuleront que les individus ne devraient pas être obligés d’utiliser l’application ou de divulguer des informations sur son utilisation. Il a aussi répondu qu’il travaillera en collaboration avec le secteur privé afin de donner une orientation sur des mesures économiques nationales dans la période de relance de l’économie pendant la pandémie. Nous accueillons favorablement ces mesures, qui permettront de réduire les risques relatifs au caractère volontaire et au principe de finalité. Cependant, elles n’élimineront pas entièrement ces risques. Le caractère volontaire et le principe de finalité sont malgré tout respectés, en ce qui concerne les deux gouvernements.

Enfin, la déclaration fédérale-provinciale-territoriale demande que les gouvernements fassent preuve de responsabilité, en particulier en rendant public leur plan continu de suivi de l’efficacité de l’initiative et en autorisant un tiers indépendant, par exemple les commissaires à la protection de la vie privée, à examiner la mise en œuvre de l’application.

Le gouvernement du Canada a maintenant pris un engagement conforme au principe de responsabilité énoncé dans la déclaration fédérale-provinciale-territoriale. Au sujet de la surveillance indépendante, en réponse à notre recommandation de permettre au Commissariat d’exercer un rôle de surveillance en fonction des principes FPT, Santé Canada a affirmé qu’elle accueillait favorablement la possibilité de mener une vérification conjointement avec le Commissariat. Cet exercice permettra, tel qu’il sera précisé dans son mandat, de réaliser une analyse continue du principe de nécessité et de proportionnalité, et d’évaluer le respect des principes FPT au cours des phases de conception et de mise en œuvre de l’application. Le Commissariat conclut donc qu’en prenant ces mesures, le gouvernement du Canada respecte le principe de responsabilité énoncé dans la déclaration.

Sommaire de l’initiative

Le gouvernement du Canada lance Alerte COVID, une application nationale de notification des expositions à la COVID-19. Cette application s’inscrit dans les efforts déployés pour freiner la propagation de la COVID-19 et relancer l’économie. Elle est conçue de manière à fonctionner dans l’ensemble des provinces et des territoires. Jusqu’à présent, seul l’Ontario s’est engagé publiquement à déployer cette application, mais on nous informe que le gouvernement fédéral et les gouvernements provinciaux et territoriaux poursuivent leurs discussions.

Le rapport d’évaluation sur le plan de la vie privée qui sera publié par Santé Canada explique la conception et les fonctionnalités de l’application Alerte COVID. Celle-ci comporte plusieurs caractéristiques essentielles. Par exemple, les renseignements communiqués entre les téléphones et les serveurs prennent la forme d’une série de chiffres qui, à eux seuls, n’identifient pas les utilisateurs. De plus, le risque de réidentification est très faible grâce aux vigoureuses mesures prévues pour protéger l’identité des utilisateurs. L’application se connecte à un serveur fédéral, qui doit interagir à son tour avec les systèmes provinciaux ou territoriaux. Nous comprenons qu’à cette étape-ci, l’application n’interagira qu’avec une seule interface provinciale, soit l’outil de visualisation des tests de laboratoire de l’Ontario, mais que d’autres interfaces pourraient s’y ajouter à l’avenir. Le composant fédéral pourrait interagir avec plus d’un système provincial ou territorial, selon la manière dont les provinces et territoires transmettent les résultats de tests et les codes à usage unique aux utilisateurs. Toutefois, Santé Canada affirme que ces interactions seraient identiques sur le plan technologique, assorties des mêmes mesures de sécurité.

Principes de protection de la vie privée

Consentement et confiance

Dans leur déclaration commune, les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée précisent que l’utilisation de l’application doit être volontaire pour bâtir la confiance du public. Le consentement valable est essentiel au caractère volontaire.

Comme il a été mentionné, pour éclairer ce consentement, on affichera un avis de confidentialité et des indications au cours du processus d’inscription. Lorsque l’utilisateur téléchargera Alerte COVID, le système affichera ces indications et donnera une vue d’ensemble du mode de fonctionnement de l’application. Cette information est formulée en termes clairs et compréhensibles. Cependant, au cours de notre examen, nous avons remarqué qu’un élément dans l’avis de confidentialité et dans les indications était inexact, selon nous, si bien qu’il n’aurait pas été possible pour les utilisateurs de donner un consentement valable. On y attestait que les données recueillies par l’application étaient « confidentielles et anonymes ». Cette affirmation passe sous silence le fait qu’il existe un risque de réidentification, même s’il est très faible. Le véritable anonymat, techniquement parlant, exigerait l’impossibilité totale et permanente d’inverser les processus relatifs aux données concernées, ce qui rendrait impossible de déceler la source des renseignements personnels et donc de réidentifier les individusNote de bas de page 6. Autrement dit, pour rendre les données véritablement anonymes, elles doivent être dépouillées de tout élément qui pourrait les relier à un individuNote de bas de page 7.

Notre compréhension est que bien que l’identification des utilisateurs soit très improbable, elle n’est pas impossible. Par conséquent, l’utilisation de l’application ne devrait pas être décrite comme étant totalement anonyme. Les données personnelles sont désidentifiées à certaines étapes et les utilisateurs ont des identités pseudonymes à d’autres étapes, mais de telles techniques dans le système ne devraient pas être décrites comme offrant l’anonymat.

Nous avons recommandé que toutes les références à l’anonymat soient retirées de l’avis de confidentialité et des indications au cours du processus d’inscription. Santé Canada et le gouvernement du Canada ont accepté notre recommandation et retiré ces références.

Autorité légale

Selon Santé Canada, l’article 4 de la Loi sur le ministère de la Santé lui confère l’autorité d’exploiter l’application. Nous convenons que cet article constitue un fondement juridique suffisant pour l’initiative.

Selon l’évaluation sur le plan de la vie privée, l’application Alerte COVID ne recueille aucun renseignement personnel, ce qui suppose qu’elle ne serait pas visée par la Loi sur la protection des renseignements personnels. En effet, d’après le gouvernement du Canada, cette application fait appel à des codes aléatoires et il n’y a pas de « sérieuse possibilité» que l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources, permette d’identifier un individuNote de bas de page 8.

Ce point mérite que l’on s’y attarde. Pour les besoins de notre examen, nous n’avons pas à nous prononcer sur la validité de l’affirmation du gouvernement du Canada, qui peut être fondée en droit. Il y a toutefois lieu de prendre note que le gouvernement estime que ses lois en matière de vie privée ne s’appliquent pas à une application considérée dans le monde entier comme ayant une incidence considérable sur la vie privée et qui soulève des préoccupations raisonnables quant à l’avenir des valeurs démocratiques. Ici encore, nous faisons face à l’évidence que nos lois doivent être modernisées pour protéger de manière efficace les citoyens canadiens. Bien que la conception de l’application prévoie des mesures de protection de la vie privée, cela signifie-t-il que l’application ne devrait pas être assujettie à la loi? Quels recours judiciaires les citoyens auraient-ils si une application bien conçue était mise en œuvre de façon inappropriée?

Nous notons que dans les documents de consultation sur une possible modernisation de la Loi sur la protection des renseignements personnels, le ministère de la Justice a indiqué ce qui suit au sujet de l’information désidentifiée :

« L’approche actuelle d’accepter ou de refuser la divulgation des renseignements personnels ne tient pas compte des règles plus nuancées qui peuvent être organisées en fonction de différents niveaux de risque et favoriser la conformité. La définition de renseignements désidentifiés, anonymisés et pseudonymisés pourrait appuyer l’élaboration de nouvelles mesures d’incitation à la conformité, permettre une application plus ciblée et plus nuancée de certaines règles et aider à atténuer certaines des difficultés d’application pratique que pose l’approche actuelle.Note de bas de page 9 »

Nous appuyons cette approche plus nuancée et avons fait les recommandations suivantes au ministère de la Justice :

  • La Loi devrait reconnaître que la réidentification des renseignements personnels est toujours une possibilité, selon le contexte.
  • La Loi devrait définir les renseignements désidentifiés afin de permettre une application plus ciblée et nuancée de certaines règles. Par exemple, bien que certains renseignements désidentifiés puissent être exemptés de certaines dispositions de la Loi sur la protection des renseignements personnels ou que leur application puisse être nuancée, d’autres dispositions continueraient de s’appliquer. L’information désidentifiée ne devrait pas être complètement exclue.

Recommandation : Ces recommandations sont pertinentes dans le présent contexte et nous suggérons que des modifications similaires soient apportées à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

En outre, d’après l’évaluation sur le plan de la vie privée, même si les autorités, contrairement à l’opinion du gouvernement, déterminaient que certaines données pourraient être considérées comme des renseignements personnels, il n’en resterait pas moins que toutes les exigences imposées par la Loi sur la protection des renseignements personnels et les politiques du Secrétariat du Conseil du Trésor du Canada (SCT) sont respectées afin de protéger la vie privée de l’utilisateur. Le gouvernement affirme donc que, même si à son avis la Loi sur la protection des renseignements personnels ne s’applique pas, il agira comme si elle s’appliquait et en respectera toutes les exigences. Toutefois, lorsque nous avons demandé à Santé Canada si certains droits particuliers conférés par la Loi sur la protection des renseignements personnels s’appliqueraient, tels l’accès et la protection contre la communication non autorisée, le Ministère a répondu par la négative en faisant valoir que l’initiative ne prévoit pas la collecte de renseignements personnels. Comme nous n’avons pas la confirmation que toutes les exigences de la Loi sur la protection des renseignements personnels et les exigences de la politique du SCT sont respectées, nous estimons que cette affirmation pourrait porter à confusion et donner aux Canadiens un faux sentiment de sécurité.

Recommandation : Santé Canada devrait éliminer de l’évaluation sur le plan de la vie privée et de toute autre documentation les énoncés selon lesquels le gouvernement du Canada respecte la Loi sur la protection des renseignements personnels et les politiques du Secrétariat du Conseil du Trésor en matière de protection de la vie privée.

Le gouvernement fédéral est responsable de la prestation de soins de santé à plusieurs groupes, dont les membres des Premières Nations qui vivent dans les réserves, les Inuits, les membres des Forces armées canadiennes en service et les anciens combattants admissibles, ainsi que certains demandeurs du statut de réfugié. Nous comprenons que le gouvernement n’a pas encore déterminé comment faire participer ces groupes à l’initiative. De plus, Santé Canada a cerné les populations vulnérables qui pourraient bénéficier de stratégies de sensibilisation ou de soutien ciblées, notamment les personnes âgées, les personnes marginalisées, celles n’ayant pas accès aux services cellulaires ainsi que les membres des Premières Nations, les Inuits et les Métis. Cependant, bien que le gouvernement du Canada se soit engagé à mener davantage d’analyse sur le plan de la vie privée et à impliquer le Commissariat, nous n’avons pas reçu d’autres précisions sur l’approche préconisée par le gouvernement du Canada à cet égard.

Recommandation : Le gouvernement du Canada devrait préciser comment il prévoit élargir l’utilisation de l’application pour englober les groupes auxquels il dispense des soins de santé. Il devrait aussi adopter des mesures pour inclure les communautés vulnérables et mettre à jour son évaluation sur le plan de la vie privée pour y apporter ces précisions.

Nécessité et proportionnalité

Dans l’évaluation sur le plan de la vie privée et les analyses subséquentes, Santé Canada explique que l’offre d’une application de notification des expositions à la COVID-19 aux Canadiens s’inscrit dans le cadre plus vaste des efforts de lutte contre le coronavirus menés par le gouvernement du Canada. Utilisée conjointement avec d’autres mesures de prévention, l’application Alerte COVID vise à freiner la propagation du virus en informant les Canadiens d’une exposition possible et en les incitant à prendre les mesures appropriées (p. ex. subir un test de dépistage ou adapter leur comportement). Lorsque nous lui avons demandé de confirmer le fondement scientifique pour offrir Alerte COVID aux Canadiens, Santé Canada a répondu qu’à son avis, l’application devrait vraisemblablement permettre de réaliser efficacement les fins déterminées. Selon l’Organisation mondiale de la santé, dans la lutte contre la COVID-19, les applications de traçage de contacts ne peuvent être efficaces au chapitre de la collecte de données que si elles sont pleinement intégrées à un système de santé publique et à une réponse nationale à la pandémie déjà en place. Le système en question devrait aussi mettre à contribution le personnel des services de santé, les services de dépistage et l’infrastructure de suivi manuel des contactsNote de bas de page 10. En outre, même s’il demeure difficile de prédire le nombre d’utilisateurs de l’application, une étude menée par des épidémiologistes de l’Université d’Oxford conclut que toute utilisation pourrait avoir une incidence positive. De fait, d’après la simulation effectuée par les chercheurs, une infection sera évitée pour une ou deux personnes qui utiliseront l’applicationNote de bas de page 11.

Comme nous l’avons indiqué dans la section Éléments essentiels, il faut évaluer en contexte le principe de nécessité et de proportionnalité. Les applications de notification des expositions sont récentes et n’ont pas été testées. Toutefois, dans le contexte actuel, nous croyons que les gouvernements du Canada et de l’Ontario ont suffisamment démontré que l’application Alerte COVID sera vraisemblablement efficace pour freiner la propagation du virus, dans le cadre d’un ensemble plus vaste de mesures et sous réserve d’une surveillance étroite de son efficacité une fois l’application déployée. Le contexte pertinent est marqué par la nouveauté de la COVID-19, par les centaines de milliers de morts enregistrées partout dans le monde et donc, que de nouvelles mesures d’atténuation ayant des chances raisonnables de succès doivent être envisagées.

D’après l’évaluation sur le plan de la vie privée, l’efficacité de l’application fera l’objet d’une évaluation et d’un suivi rigoureux, et le gouvernement du Canada réglera, de concert avec un conseil consultatif, tout problème qui pourrait se poser au chapitre des résultats pour la santé publique, de la technologie, de l’accessibilité et du respect de la vie privée. Bien que la version revue par le Commissariat des attributions du conseil consultatif ne renvoie pas explicitement à l’efficacité, le gouvernement a confirmé que ce conseil évaluera l’efficacité de l’application. Le gouvernement maintiendra des échanges réguliers avec le Commissariat sur les travaux et les avis du conseil consultatif. Par ailleurs, le Commissariat a recommandé, conformément à la déclaration FPT, que le gouvernement du Canada mette l’application hors service si son efficacité ne peut être démontrée. Le gouvernement du Canada a répondu à cet égard qu’il prendra sérieusement en considération tout avis qu’il recevra du conseil consultatif sur la mise en opération et la mise hors service de l’application.

Le gouvernement du Canada s’est aussi engagé à établir un autre mécanisme, qui comprendra une vérification de l’application conjointement avec le Commissariat, ce qui ajoute ainsi une forme de surveillance indépendante. Cette vérification conjointe comprendra, dans son mandat, une analyse continue du principe de nécessité et de proportionnalité, en fonction d’un cadre et de balises qui seront développés par Santé Canada en suivant les conseils d’experts en santé publique spécialisés en épidémiologie. La vérification conjointe, qui commencera au cours du quatrième trimestre de 2020, permettra également d’évaluer si les principes FPT ont été respectés dans les phases de conception et de mise en œuvre de l’application.

Santé Canada affirme également que tous les Canadiens pourront bénéficier de l’application, que leur province ou territoire participe ou non à l’initiative. Quand nous lui avons demandé quels seraient les avantages de l’application pour un résident d’une province ou d’un territoire dont le gouvernement n’a pas adopté la technologie, le gouvernement du Canada a expliqué que l’application pourrait contribuer à assurer la sécurité des déplacements entre les provinces et les territoires, qui augmenteront lorsque l’économie du Canada rouvrira. Par exemple, si un habitant d’une province ou d’un territoire participant à l’initiative se rend dans une province ou un territoire qui n’y participe pas encore et qu’il reçoit par la suite un résultat positif à un test de dépistage, les utilisateurs de la province ou du territoire en question pourront tout de même être avisés du risque d’exposition.

Enfin, nous avons remarqué que le gouvernement du Canada a fait un effort conscient au cours de l’élaboration de l’application afin de réduire le plus possible l’information requise pour en assurer le fonctionnement.

Recommandation : Santé Canada devrait s’engager à ce que l’application soit mise hors service dans l’éventualité où elle se révélerait inefficace.

Principe de finalité

Santé Canada a défini une finalité claire et restreinte pour l’application Alerte COVID : freiner la propagation du virus en informant les individus qu’ils ont peut-être été exposés au virus afin de leur permettre de prendre les mesures appropriées.

Cela dit, l’évaluation sur le plan de la vie privée fait ressortir la possibilité de nouvelles utilisations ou communications de données, tel l’ajout de données diagnostiques anonymes afin de mesurer le taux d’adoption de l’application, sous réserve du consentement des utilisateurs. En réponse à nos questions, le gouvernement nous a informés qu’il ne cherche pas activement à l’heure actuelle de nouvelles utilisations pour les données produites par l’application. En outre, le gouvernement du Canada s’est engagé à consulter le Commissariat à la protection de la vie privée du Canada avant de mettre en œuvre toute nouvelle utilisation ou communication de données.

Nous estimons que le principe de finalité est respecté en ce qui concerne le gouvernement du Canada et celui de l’Ontario, mais qu’il y a un risque que des tiers, entre autres des entreprises du secteur privé, cherchent à contraindre des individus à utiliser l’application ou à fournir des renseignements stockés dans l’application à d’autres fins que celles de les informer d’une possible exposition. Dans nos recommandations préliminaires, nous avions indiqué que le gouvernement du Canada devrait vigoureusement décourager de telles pratiques. Le gouvernement du Canada et la province de l’Ontario ont alors modifié leur protocole d’entente afin d’y inclure un engagement selon lequel, dans ses champs de compétence, le Canada fournira des énoncés qui stipuleront que les individus ne devraient pas être obligés d’utiliser l’application ou de divulguer des informations sur son utilisation. Nous notons cependant qu’au moment de présenter notre rapport d’examen à Santé Canada, le protocole d’entente n’a toujours pas été signé.

Un tel engagement permettra de diminuer les risques relatifs au caractère volontaire et au principe de finalité, mais pas de les éliminer. Selon nous, décourager des tiers de contourner ces principes est une condition minimale. Nous soulignons aussi que d’autres pays ont légiféré dans le but d’interdire de telles pratiques. Ultimement, la loi devrait être modifiée pour rendre ces principes opposables aux tiers.

De même, plusieurs entités commerciales seront en mesure de déterminer si des individus ont téléchargé et utilisent l’application ou non. Ces entités ne devraient pas être autorisées à surveiller l’utilisation de l’application Alerte COVID par leurs clients.

Recommandation : Dans le cadre de la modernisation de la LPRPDE annoncée par le gouvernement dans les lettres de mandat du premier ministre, la loi fédérale devrait être modifiée pour rendre opposables aux tierces parties le caractère volontaire et le principe de finalité.

Désidentification

Selon l’évaluation sur le plan la vie privée et la liste de données de l’application Alerte COVID comprise à l’annexe A, le gouvernement du Canada a pris des mesures robustes pour éviter que l’identité des utilisateurs soit révélée à d’autres utilisateurs, aux gouvernements fédéral, provinciaux et territoriaux ainsi qu’à des pirates informatiques. Au cours de notre examen, nous avons posé de nombreuses questions au gouvernement concernant les mesures de protection en place pour limiter le risque de réidentification. Selon nos observations, l’application prévoit des mesures importantes et vigoureuses pour protéger l’identité des utilisateurs. Par exemple, l’application ne recueille ni ne communique des renseignements qui permettraient d’identifier directement l’utilisateur. Des techniques de chiffrement et des fonctions de hachage cryptographique exceptionnellement vigoureuses protègent toutes les données utilisées et inactives. En outre, l’appariement des contacts se fait sur le téléphone même et aucune donnée personnelle ne quitte l’appareil à quelque moment que ce soit.

Il demeure toutefois des situations où les risques sont plus élevés, quoiqu’encore faibles grâce aux mesures de protection robustes. Par exemple, l’adresse IP est saisie lorsque l’utilisateur tente de vérifier les codes à usage unique donnant accès au serveur. Si le code à usage unique n’est pas valide, le serveur conserve l’adresse IP de l’utilisateur pendant 60 minutes; ce temps de rétention permet de prévenir l’utilisation frauduleuse des codes à usage unique. De plus, en temps normal, l’adresse IP de l’utilisateur est conservée jusqu’à trois mois dans les journaux d’enregistrement du système chaque fois qu’une demande est faite au serveur (vérification du code à usage unique, versement d’une clé de diagnostic, etc.). S’il y a des activités suspectes, le système conservera l’adresse IP de l’utilisateur jusqu’à deux ans. Dans ce cas, nous comprenons qu’il est possible que les journaux visés du système soient partagés avec des organismes d’application de la loi dans le cadre d’une enquête. Ces caractéristiques de sécurité posent un risque de réidentification, car, jumelée à d’autres informations, l’adresse IP peut permettre d’identifier des individus. Toutefois, grâce à l’adoption de mesures de protection rigoureuses, nous estimons que le risque de réidentification demeure faible. Le gouvernement du Canada a indiqué au Commissariat que l’accès à ces journaux d’enregistrement sera limité à des utilisateurs autorisés liés par des obligations de sécurité à protéger l’information et à ne pas y accéder ou à l’utiliser à des fins déshonorables.

Durée limitée des mesures

Lorsqu’elle est utilisée, l’application limite la durée de conservation des renseignements. En effet, les clés d’exposition temporaire sont supprimées de l’appareil après 14 jours.

Par ailleurs, Santé Canada a défini des paramètres pour la période de déploiement de l’application. Le Ministère s’est engagé à mettre l’application hors service – ce qui supprimera les numéros aléatoires échangés entre les téléphones des utilisateurs et toutes les données stockées dans les serveurs du gouvernement du Canada – dans les 30 jours suivant la fin déclarée de la pandémie. Bien qu’il soit possible que la pandémie perdure, Santé Canada a déterminé des périodes compréhensibles et claires pour le déploiement de l’application et la conservation des données recueillies.

Transparence

Santé Canada et le gouvernement fédéral ont pris des mesures importantes pour se conformer au principe de transparence. Ils ont convenu de publier la version intégrale du rapport d’évaluation sur la vie privée. Ils ont aussi déployé des efforts réels et sincères pour nous fournir la documentation et les analyses nécessaires à la réalisation de notre examen. De plus, la version révisée du rapport d’évaluation qui nous a été transmise le 7 juillet renferme l’information supplémentaire demandée par le Commissariat au cours de nos échanges. Enfin, le gouvernement a mis certains renseignements techniques à la disposition du public par l’intermédiaire de GitHub et, comme nous l’avons indiqué plus tôt, a invité les parties intéressées à consulter les documents publiés par Google, Apple et Shopify.

En plus de vérifier le développement de l’application et comment elle interagit avec les serveurs fédéraux, nous avons analysé l’information publique à propos de l’interface de programmation d’application (IPA) développée par Google et Apple. Toutefois, nous n’avons pas été en mesure d’analyser complètement le code de l’IPA, qui n’est pas public. Une évaluation complète de tout l’écosystème technique dans lequel opérera l’application est au-delà de la portée de cet examen. À ce sujet, nous sommes conscients que l’incertitude au sujet de l’environnement dans lequel l’application et l’IPA interagiront a soulevé des inquiétudes chez certains analystes.

Recommandation : En ce qui touche Alerte COVID, le gouvernement du Canada devrait surveiller et évaluer les risques potentiels relatifs au système d’exploitation de Google et d’Apple de manière continue. Afin de conserver le même degré de transparence, le gouvernement du Canada devrait communiquer au public tout nouveau risque potentiel relatif à la vie privée associé à ce composant de l’application Alerte COVID.

Responsabilité

Le principe de responsabilité énoncé dans la déclaration fédérale-provinciale-territoriale souligne l’importance d’une surveillance exercée par un tiers indépendant afin de renforcer la confiance du public. D’autres pays, dont l’AustralieNote de bas de page 12, ont adopté cette approche. De même, d’après le groupe consultatif d’experts Société, technologie et éthique en cas de pandémie de l’Institut canadien de recherches avancées, mis sur pied à la demande de la conseillère scientifique en chef du Canada, la confiance du public sera renforcée par un cadre législatif s’appliquant à la pandémie et des mécanismes de surveillance indépendants qui permettront de rendre compte publiquement et en temps réel de l’efficacité et des répercussions de la technologie. Le groupe d’experts a également recommandé que les commissaires à la protection de la vie privée soient habilités à surveiller et à vérifier le déploiement des initiatives de traçage de contacts numérique.

Le Commissariat a offert d’exercer ce rôle de surveillance en effectuant une vérification un mois après le lancement de l’application et, par la suite, à des intervalles réguliers et prédéterminés. Santé Canada a tout d’abord répondu à notre recommandation préliminaire que le Commissariat sera invité à prendre part à des discussions sur les options possibles pour renforcer la surveillance indépendante de l’initiative, mais qu’il faudra tenir compte des besoins et des intérêts des collaborateurs provinciaux et territoriaux et des institutions de surveillance des renseignements personnels. Par la suite, Santé Canada a confirmé qu’il accueillait favorablement la possibilité de mener une vérification conjointement avec le Commissariat, laquelle commencera au cours du quatrième trimestre de 2020. Cet exercice permettra, tel qu’il sera précisé dans son mandat, d’évaluer le respect des principes FPT au cours des phases de conception et de mise en œuvre de l’application, et de réaliser une analyse continue de l’efficacité de l’application en fonction du principe de nécessité et de proportionnalité. Santé Canada a aussi offert de fournir régulièrement au Commissariat des rapports portant sur le niveau d’utilisation, la rétroaction reçue et la fonctionnalité de l’application, ainsi que sur les travaux du conseil consultatif.

Le principe de responsabilité de la déclaration conjointe fédérale-provinciale-territoriale inclut l’idée que les gouvernements devraient développer et rendre public un plan de surveillance et d’évaluation de l’efficacité de ces initiatives et s’engager à publier le rapport d’évaluation dans un échéancier précis. Pour ce qui est de l’application Alerte COVID, le gouvernement du Canada a souligné qu’il sera soutenu et conseillé par un conseil consultatif. En réponse à nos recommandations préliminaires, Santé Canada a précisé que le conseil consultatif fournira régulièrement des rapports aux sous-ministres fédéraux, provinciaux et territoriaux concernés. À l’exception des questions relatives à la sécurité de l’application en tant que telle, le conseil consultatif travaillera en toute transparence. Santé Canada a confirmé par la suite que les travaux du conseil consultatif seront rendus publics.

Garanties

À la lumière de l’examen de la documentation qui nous a été fournie, nous sommes d’avis que l’application Alerte COVID est dotée de mesures de protection très robustes. Par exemple, les données inactives et en transit sont chiffrées grâce à des méthodes de chiffrement avancées. Le processus de code à usage unique repose sur une fonction de hachage cryptographique parmi les plus avancées et contribue à un mécanisme antipourriel pour empêcher que de fausses clés de diagnostic ne soient téléchargées par accident ou à des fins malveillantes. De plus, l’accès aux données sur le serveur du Service numérique canadien est limité au personnel selon le principe du « besoin de savoir ».

Au cours de notre examen, nous avons reçu une grande quantité d’information et de précisions quant à l’interaction entre le composant fédéral et le système provincial. Nous avons analysé des versions préliminaires du protocole d’entente entre les gouvernements du Canada et de l’Ontario. Nous notons que le protocole d’entente comprend des dispositions rigoureuses sur la protection de la vie privée, y compris que le gouvernement du Canada fera de la protection des renseignements personnels une priorité, que l’application ne recueillera pas ou n’utilisera pas de données de géolocalisation et que l’information transmise par l’application est conçue de façon à protéger l’identité de l’utilisateur et sa localisation. Le gouvernement du Canada s’engage aussi dans l’accord à ne pas utiliser les données recueillies pour identifier ou tenter d’identifier des utilisateurs, à moins que ce soit à des fins de sécurité ou que la loi l’exige, et à veiller à ce que ses fournisseurs de service fassent de même. Le protocole d’entente obligera la province à protéger les codes à usage unique, à limiter leur durée de conservation et à les éliminer après leur transmission aux utilisateurs de l’application. De plus, toujours en vertu du protocole d’entente, l’Ontario devra mettre en place des mesures de sécurité afin de réduire la vulnérabilité potentielle du processus d’attribution d’un code à usage unique aux utilisateurs par suite d’un résultat positif au test de dépistage de la COVID-19. Finalement, le protocole d’entente souligne que l’application sera mise hors services dans les 30 jours suivant la déclaration officielle de la fin de la pandémie par l’administratrice en chef de la santé publique du Canada et que toutes les données seront supprimées du serveur du Canada, à l’exception de celles relatives à des enquêtes en cours sur des incidents de sécurité pendant cette période.

Recommandation : Le gouvernement du Canada devrait s’assurer que son protocole d’entente avec le gouvernement de l’Ontario énonce les mesures de sécurité nécessaires qui doivent être mises en place par les deux gouvernements afin de protéger la vie privée des utilisateurs et la sécurité de l’information dans l’ensemble de l’écosystème de l’application.

Selon l’évaluation sur le plan de la vie privée, les Services Web Amazon fourniront l’infrastructure d’infonuagique sous-jacente qui hébergera le serveur. Cette entreprise a été retenue par l’intermédiaire d’une entente sur l’infonuagique déjà conclue par Services partagés Canada. D’après notre analyse préliminaire de cette entente, des mesures protègent l’information stockée sur le serveur. Toutefois, compte tenu de la complexité de l’entente et du temps limité dont nous disposions, nous nous réservons le droit de l’examiner à nouveau dans le cadre plus général de la stratégie d’adoption de « l’informatique en nuage d’abord » mise en place par le gouvernement du Canada.

Conclusion

Après examen des documents fournis par le gouvernement du Canada jusqu’à présent, nous pouvons affirmer que l’application de notification d’exposition Alerte COVID est conforme à tous les principes de protection de la vie privée énoncés dans la déclaration conjointe fédérale-provinciale-territoriale.

Nous croyons, dans le contexte actuel, que les gouvernements du Canada et de l’Ontario ont suffisamment démontré que l’application Alerte COVID sera vraisemblablement efficace pour freiner la propagation du virus, dans le cadre d’un ensemble plus vaste de mesures et sous réserve d’une surveillance étroite de son efficacité une fois l’application déployée.

En ce qui concerne la surveillance indépendante selon le principe de responsabilité, le gouvernement du Canada travaille présentement à créer un cadre et des balises pour mesurer l’efficacité de l’application. Ce cadre et ces balises feront partie du mandat de la vérification conjointe à laquelle le Commissariat est invité à prendre part. La vérification permettra aussi d’évaluer à quel point les principes énoncés dans la déclaration FPT ont été respectés au cours des phases de conception et de mise en œuvre de l’application.

Bien que l’utilisation de l’application soit volontaire et que le principe de finalité soit respecté en ce qui concerne les gouvernements du Canada et de l’Ontario, il est possible que des tierces parties cherchent à contraindre des individus à utiliser l’application ou à fournir des renseignements stockés dans l’application comme condition de service ou d’emploi. Nous saluons le fait que les gouvernements décourageront des tierces parties de contourner le caractère volontaire de l’application et son objectif unique, mais nous sommes d’avis qu’il s’agit là d’un minimum pour renforcer ces éléments essentiels de l’application. Ultimement, la loi devrait être modifiée pour rendre ces principes exécutoires.

Cela dit, les Canadiens qui choisissent d’utiliser l’application peuvent le faire sachant qu’elle comprend des protections très avancées en matière de protection de la vie privée. Bien que le risque zéro de réidentification de données désidentifiées n’existe pas selon les experts, nous sommes d’avis que des mesures de sécurité techniques exceptionnellement fortes ont été mises en place.

Selon nous, le gouvernement du Canada a pris des mesures importantes en matière de transparence. Les utilisateurs doivent donner un consentement valable, ce qui est un élément essentiel pour assurer la confiance envers l’application. À cet égard, le gouvernement a incorporé nos recommandations à l’avis de confidentialité et aux indications du processus d’inscription.

Afin de renforcer encore plus la protection de la vie privée des Canadiens qui utiliseront l’application de notification d’exposition, nous encourageons le gouvernement à adopter nos recommandations contenues dans cet examen.

Date de modification :