Nouvelles

Lettre de conclusions préliminaire

Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

  1. Apr√®s avoir appris que les voitures de Google Street View avaient recueilli des donn√©es utiles transmises par des r√©seaux Wi-Fi non crypt√©s dans le cadre de la collecte de signaux Wi-Fi publics (des renseignements sur les identificateurs d’ensemble de services et des adresses MAC), le Commissariat √† la protection de la vie priv√©e du Canada a d√©pos√© trois plaintes contre Google inc. (Google) le 31 mai 2010, conform√©ment au paragraphe 11(2) de la Loi.
  2. Les trois plaintes sont les suivantes:
    1. Google aurait recueilli, utilisé ou communiqué des données utiles sans avis et consentement préalable ;
    2. Google aurait recueilli des données utiles sans déterminer les fins de la collecte de renseignements personnels au préalable ;
    3. Google aurait recueilli des données utiles au-delà de ce qui est nécessaire aux fins déterminées.

R√©sum√© de l’enqu√™te

  1. Apr√®s que l’autorit√© allemande de protection des donn√©es √† Hambourg a demand√© de soumettre √† une v√©rification les donn√©es Wi-Fi recueillies par les voitures de Google Street View au cours d’un projet fond√© sur la localisation, Google a d√©couvert en mai 2010 qu’elle avait recueilli des donn√©es utiles transmises sur des r√©seaux sans fil non prot√©g√©s dans le cadre de ses activit√©s de collecte de donn√©es Wi-Fi. Selon l’entreprise elle-m√™me, cette collecte accidentelle semble avoir √©t√© caus√©e par l’int√©gration d’un code √©labor√© en 2006 au logiciel utilis√© pour capter les signaux Wi-Fi. Devant cette situation, Google a immobilis√© ses voitures Street View, arr√™t√© de recueillir des donn√©es sur les r√©seaux Wi-Fi le 7 mai 2010, et isol√© et stock√© toutes les donn√©es d√©j√† recueillies.
  2. Le 1er juin 2010, le Commissariat a √©crit √† Google pour aviser l’entreprise qu’il lan√ßait une enqu√™te concernant cette collecte de donn√©es utiles. Google a r√©pondu le 29 juin 2010.
  3. Le 28 juin 2010, conform√©ment au paragraphe 11(2) de la Loi, le Commissariat a demand√© de visiter les locaux de Google √† Mountain View (Californie). La visite sur place avait un double objectif : 1) examiner les donn√©es utiles recueillies par Google et 2) poser des questions pr√©cises aux repr√©sentants de l’entreprise, par exemple sur les circonstances de l’incident, l’isolement et le stockage des donn√©es utiles et les mesures d’att√©nuation et de pr√©vention que Google pr√©voit mettre en œuvre.
  4. Google a accept√© une visite sur les lieux. Deux repr√©sentants sp√©cialis√©s du Commissariat se sont ensuite rendus dans les locaux de Mountain View, le 19¬†juillet 2010. Bien que nos sp√©cialistes aient pass√© en revue les donn√©es utiles, aucun repr√©sentant de Google n’√©tait disponible pour r√©pondre √† nos questions √† Mountain View. Google a plut√īt r√©pondu √† nos questions g√©n√©rales en remplissant un questionnaire que nous lui avons transmis le 12 juillet 2010.
  5. Le 18 ao√Ľt 2010, une t√©l√©conf√©rence a eu lieu entre un avocat de Google et le Commissariat pour r√©pondre √† des questions suppl√©mentaires.
  6. Les résultats de notre enquête sur les trois plaintes déposées contre Google sont résumés dans les sections suivantes:
    1. La participation du conseiller juridique en mati√®re de produits de Google √† l’examen des produits;
    2. Les circonstances entourant la collecte de données utiles et les essais techniques;
    3. La collecte de renseignements personnels;
    4. L’isolement et le stockage des donn√©es utiles;
    5. Les plans d’avenir de Google concernant ses services g√©od√©pendants;
    6. Les r√©percussions des plans d’avenir sur la vie priv√©e et les mesures d’att√©nuation et de pr√©vention que Google pr√©voit prendre pour √©viter une r√©cidive.

A. La participation du conseiller juridique en mati√®re de produits de Google √† l’examen des produits

  1. Google a expliqu√© qu’elle dispose d’un processus d’examen officiel pour chaque lancement de produit externe (c’est-√†-dire un produit offert aux consommateurs). Ce processus pr√©voit qu’un conseiller juridique en mati√®re de produits doit √©valuer notamment les r√©percussions du produit sur la vie priv√©e.
  2. Google consid√®re que le code qui a finalement servi √† relever toutes les cat√©gories de donn√©es Wi-Fi publiques n’est pas un produit externe. Le processus d’examen officiel ne s’est donc pas appliqu√©.
  3. Cependant, notre enqu√™te a d√©voil√© que la proc√©dure d’√©laboration de code de Google comprend un mod√®le et un processus selon lesquels le conseiller juridique en mati√®re de produits doit examiner le code avant que celui-ci ne soit utilis√© ou int√©gr√© √† un autre produit de Google. Le mod√®le — un document qui explique la m√©thodologie — est pour ainsi dire obligatoire et constitue la premi√®re √©tape de la proc√©dure d’√©laboration d’un code.
  4. L’enqu√™te a aussi r√©v√©l√© que, dans le document √©tablissant la proc√©dure d’√©laboration du code qui allait servir √† capter les signaux Wi-Fi, l’ing√©nieur a cern√© une ou plusieurs pr√©occupations relatives √† la collecte. Ces pr√©occupations √©taient li√©es au fait que Google pourrait obtenir suffisamment de donn√©es pour trianguler avec pr√©cision l’emplacement d’un utilisateur √† un certain moment.
  5. L’ing√©nieur a affirm√© que ses pr√©occupations avaient des r√©percussions superficielles sur la vie priv√©e. Il n’a pas envoy√© ses documents sur l’√©laboration du code au conseiller juridique en mati√®re de produits aux fins d’examen - ce qui contrevient √† la proc√©dure de l’entreprise. Les facteurs relatifs √† la vie priv√©e du code n’ont donc jamais √©t√© √©valu√©s.
  6. Nous avons aussi appris que les membres du service juridique en matière de produits de Google étaient des avocats qui avaient des antécédents professionnels dans divers secteurs du droit. Google soutient que ces juristes ont généralement une certaine expérience des questions liées à la protection des renseignements personnels dans le secteur privé.
  7. Selon Google, les membres du service juridique en mati√®re de produits assistent √† la m√™me s√©ance de formation de base que tous les nouveaux employ√©s de l’entreprise. En outre, ils participent √† des r√©unions hebdomadaires sur des enjeux li√©s √† la protection de la vie priv√©e et √† la s√©curit√©.¬† Google affirme √©galement que la formation juridique continue obligatoire pour les conseillers juridiques de Google comprend la protection de la vie priv√©e

B. Les circonstances entourant la collecte de données utiles et les essais techniques

  1. Google permet √† ses ing√©nieurs de consacrer 20 % de leur temps √† des projets qui les int√©ressent. En 2006, un des ing√©nieurs a consacr√© ce temps √† la cr√©ation d’un code visant √† pr√©lever des √©chantillons de toutes les cat√©gories de donn√©es Wi-Fi publiques.
  2. L’ing√©nieur en question a ajout√© des lignes de code permettant de recueillir des donn√©es utiles. Il a pens√© que cela pourrait √©ventuellement servir √† Google et qu’une telle collecte serait appropri√©e.
  3. Google a utilis√© ce code lorsqu’elle a d√©cid√© de lancer un certain service g√©od√©pendant qui se basait sur divers signaux (comme les GPS et l’emplacement de stations de base et de points d’acc√®s Wi-Fi) pour indiquer un endroit √† un utilisateur. Elle a install√© des antennes et les logiciels requis (dont Kismet, une application libre) √† bord de ses voitures Street View afin de capter les signaux Wi-Fi publics √† port√©e de ces v√©hicules pendant que ceux-ci circulent dans un quartier. Les signaux √©taient ensuite trait√©s pour identifier les r√©seaux Wi-Fi (√† l’aide de leur adresse MAC) et cerner leur emplacement approximatif (√† l’aide des coordonn√©es fournies par le GPS au moment o√Ļ le signal √©tait re√ßu). Les renseignements sur l’identit√© des r√©seaux Wi-Fi et leur emplacement approximatif alimentent ensuite la base de donn√©es des services g√©od√©pendants de Google.
  4. Dans ses observations pr√©sent√©es au Commissariat, Google a fourni des renseignements techniques sur sa fa√ßon d’utiliser les donn√©es transmises par les r√©seaux Wi-Fi pour les services g√©od√©pendants. Elle a mentionn√© que son logiciel n’enregistre pas les donn√©es utiles transmises par des r√©seaux crypt√©s, mais que les donn√©es utiles diffus√©es sur des r√©seaux Wi-Fi non crypt√©s sont recueillies et enregistr√©es sur un disque en format brut.
  5. Toutefois, selon Google, les renseignements ainsi recueillis seraient fragment√©s puisque les voitures sont en mouvement au moment de la collecte et que l’√©quipement servant √† recueillir les signaux Wi-Fi automatiquement change de fr√©quence cinq fois par seconde.
  6. Au cours de notre enqu√™te, Google a reconnu avoir err√© en ins√©rant un code permettant de recueillir des donn√©es utiles dans le logiciel de collecte de renseignement sur les r√©seaux Wi-Fi. Elle soutient que le code a surtout √©t√© con√ßu pour un logiciel de collecte de donn√©es, et que cet objectif avait pr√©s√©ance sur son utilisation ultime dans le cadre de la collecte de renseignements sur les r√©seaux Wi-Fi pour des services g√©od√©pendants. Google affirme qu’elle n’√©tait pas consciente de la pr√©sence de ce code lorsqu’elle a commenc√© √† utiliser le logiciel pour son projet de g√©olocalisation.
  7. Selon Google, quand l’entreprise a d√©cid√© d’utiliser le logiciel pour recueillir des renseignements publics sur les r√©seaux Wi-Fi, le code a √©t√© examin√© pour d√©couvrir les bogues, puis valid√© par un deuxi√®me ing√©nieur avant d’√™tre install√© √† bord des voitures Street View. Cette op√©ration visait √† s’assurer que le code ne nuirait pas aux op√©rations habituelles de Street View. Aucune v√©rification approfondie n’a √©t√© effectu√©e pour v√©rifier le genre de donn√©es obtenues au moyen de la r√©ception de signaux publics sur des r√©seaux Wi-Fi.
  8. Google a admis que, puisqu’elle n’avait pas l’intention de recueillir des donn√©es utiles et qu’elle n’a jamais voulu inclure de telles donn√©es dans l’un ou l’autre de ses produits, elle ne pouvait ni indiquer la fin de la collecte ni obtenir le consentement des personnes touch√©es. Elle a √©galement avou√© qu’elle n’avait pas avis√© les personnes concern√©es par la collecte de donn√©es utiles puisque les employ√©s n’√©taient pas conscients qu’ils en avaient recueillies avant mai 2010.¬†
  9. Google a invoqu√© trois raisons expliquant pourquoi la collecte de donn√©es utiles n’a pas √©t√© d√©couverte plus t√īt:
    1. Hormis l’ing√©nieur qui a √©labor√© le code, aucun employ√© n’√©tait int√©ress√© √† examiner ce programme : personne ne croyait que les donn√©es utiles pourraient servir et personne n’avait l’intention d’utiliser ces donn√©es.
    2. √Čtant donn√© que les donn√©es utiles formaient une infime partie de l’ensemble des donn√©es recueillies, leur collecte n’√©tait gu√®re pr√©occupante et il n’y avait aucune raison de les examiner.
    3. L’ing√©nieur n’a pas anticip√© les cons√©quences de l’inclusion de ce code et n’a donc pas abord√© la question avec son gestionnaire.
  10. Google a aussi affirm√© que, puisque la collecte de donn√©es utiles ne pr√©sente aucun int√©r√™t, rien ne justifie de les conserver. Par cons√©quent, Google pr√©voit les d√©truire de fa√ßon s√©curitaire aussit√īt que possible, et elle demande l’autorisation du Commissariat pour s’ex√©cuter.
  11. Notre enquête a révélé que Google a recueilli des données Wi-Fi au Canada du 30 mars 2009 au 7 mai 2010 et que les voitures Street View ont sillonné la plupart des régions urbaines et des routes principales.
  12. Google souligne qu’elle ne peut distinguer pr√©cis√©ment les r√©seaux Wi-Fi des appareils sans fil. Elle peut toutefois cerner le num√©ro unique des identificateurs d’ensemble de services de base (IDESB), qui identifient g√©n√©ralement un point d’acc√®s Wi-Fi unique. Les IDESB permettent d’identifier un point d’acc√®s, mais ils n’indiquent pas combien d’appareils ou de r√©seaux s’y connectent.
  13. Google estime avoir recueilli plus de 6 millions d’IDESB pendant que ses voitures Street View parcouraient le Canada.

C. La collecte de renseignements personnels

  1. Les deux sp√©cialistes du Commissariat ont visit√© les bureaux de Google √† Mountain View (Californie) les 19 et 20 juillet 2010. L’objectif de cette visite √©tait d’examiner les donn√©es recueillies pour les services g√©od√©pendants par les voitures de Google Street View afin d’en d√©terminer la nature et la quantit√©. L’examen visait principalement √† trouver des exemples de renseignements personnels dans les donn√©es utiles tir√©es des r√©seaux Wi-Fi du Canada.
  2. Nos sp√©cialistes ont effectu√© des recherches dans les donn√©es utiles pour trouver tout ce qui pourrait constituer un renseignement personnel (p. ex. des courriels, des noms d’utilisateur, des mots de passe et des num√©ros de t√©l√©phone). Ils ont fait un d√©compte approximatif des renseignements personnels au moyen d’une recherche automatis√©e. Pour donner un ordre de grandeur, le d√©compte comprenait 787 en-t√™tes de courriel et 678 num√©ros de t√©l√©phone. Cependant, ces recherches peuvent comprendre des r√©sultats non pertinents ou passer outre certains √©l√©ments.
  3. Pour compl√©ter la recherche automatis√©e, nos sp√©cialistes ont v√©rifi√© manuellement cinq occurrences de chaque type de renseignement personnel. L’objectif √©tait de prouver l’existence de chacun de ces types de donn√©es sans envahir ind√Ľment la vie priv√©e des personnes concern√©es.
  4. Nos sp√©cialistes ont d√©couvert au moins cinq courriels dont ils ont vu les adresses, les en-t√™tes complets, les adresses IP, les noms d’h√īte des appareils et le contenu des messages. Les cinq messages √©taient tronqu√©s, mais les sp√©cialistes ont trouv√© des courriels complets en v√©rifiant manuellement d’autres √©l√©ments (comme des num√©ros de t√©l√©phone).
  5. Cinq noms d’utilisateur ont aussi √©t√© d√©couverts. Ils se trouvaient dans les t√©moins de connexion, les messages transmis par MSN et les s√©ances de clavardage. Les sp√©cialistes ont aussi trouv√© un cas o√Ļ un mot de passe et un mot d’utilisateur √©taient compris dans un courriel destin√© √† expliquer √† des gens comment se connecter √† un serveur.
  6. Nos sp√©cialistes ont aussi trouv√© cinq noms de personnes v√©ritables, cinq adresses r√©sidentielles et cinq autres adresses d’entreprises. Ils ont remarqu√© que, contrairement aux adresses r√©sidentielles, les adresses d’entreprises √©taient tr√®s r√©pandues.
  7. Ils ont aussi trouv√© cinq messages instantan√©s et cinq num√©ros de t√©l√©phone -tant d’entreprises et que de r√©sidences. Tout comme les adresses, les num√©ros de t√©l√©phone des entreprises √©taient plus faciles √† trouver que les num√©ros personnels.
  8. Les recherches de num√©ros √† 9 ou √† 16 chiffres, qui auraient pu √™tre des num√©ros d’assurance sociale (NAS) ou de carte de cr√©dit, n’ont donn√© aucun r√©sultat puisqu’il y avait trop de num√©ros non pertinents ou semblables dans l’ensemble des donn√©es. Par cons√©quent, bien que nous n’ayons pas trouv√© la preuve que des num√©ros d’assurance sociale ou de carte de cr√©dit √©taient recueillis, la possibilit√© ne peut √™tre exclue.
  9. Nos sp√©cialistes ont aussi d√©couvert des √©l√©ments sensibles, comme une liste de noms, de num√©ros de t√©l√©phone, d’adresses et de probl√®mes de sant√© li√©s √† des personnes pr√©cises. Ils ont aussi trouv√© une allusion √† une personne arr√™t√©e pour exc√®s de vitesse, avec son adresse.
  10. Les sp√©cialistes ont vu de nombreux t√©moins transmis par des ordinateurs clients √† des serveurs Web. Ces t√©moins n’√©taient pas crypt√©s et certains d’entre eux comprenaient des renseignements personnels comme des adresses IP, des noms d’utilisateur et des adresses postales. Les enqu√™teurs ont √©t√© surpris du nombre de t√©moins non crypt√©s qui comprenaient des renseignements personnels.
  11. Bref, nos sp√©cialistes ont trouv√© de nombreux renseignements personnels dans l’√©chantillon pr√©lev√© des donn√©es utiles recueillies au Canada par Google.

D. L’isolement et le stockage des donn√©es utiles

  1. Les donn√©es Wi-Fi ont √©t√© capt√©es au moyen d’antennes install√©es sur le toit des voitures Street View. Cette antenne recevait passivement les signaux radio publics √† port√©e de la voiture √† l’aide du logiciel libre Kismet. Les donn√©es √©taient ensuite transmises √† l’application ¬ę gStumbler ¬Ľ, cr√©√©e par Google, et √† son programme ex√©cutable ¬ę gslite ¬Ľ, qui traitait les donn√©es en vue du stockage. Les donn√©es √©taient ensuite enregistr√©es sur des disques durs physiques plac√©s dans chaque voiture Street View, puis transf√©r√©es sur les serveurs de Google.
  2. Google affirme avoir interrompu les activit√©s de ses voitures Street View et isol√© les donn√©es utiles dans une zone d’acc√®s restreint de son r√©seau d√®s qu’elle a pris conscience que l’application gStumbler recueillait les donn√©es utiles des r√©seaux Wi-Fi non crypt√©s.
  3. Par la suite, un administrateur syst√®me de Google a copi√© sur un total de quatre disques les fichiers comprenant les donn√©es utiles recueillies dans tous les pays touch√©s. Cette op√©ration s’est d√©roul√©e du 9 au 13 mai 2010. Les disques contenaient deux copies des donn√©es : la premi√®re a √©t√© obtenue apr√®s le classement par cat√©gorie et l’√©tiquetage des dossiers de donn√©es par pays, et la seconde, avant le classement des donn√©es.
  4. Le 15 mai 2010, l’administrateur syst√®me a r√©uni les donn√©es utiles sur un disque dur crypt√© et les a divis√©es par pays. Une copie de sauvegarde du disque dur crypt√© a √©t√© enregistr√©e. Les quatre premiers disques ont √©t√© d√©truits dans un outil de d√©formation physique.
  5. Un employ√© de Google a livr√© en main propre un disque dur crypt√© √† un autre bureau de l’entreprise aux fins de sauvegarde; l’administrateur syst√®me a conserv√© l’autre disque en lieu s√Ľr. Lorsque l’employ√© de Google est arriv√© √† destination, l’administrateur syst√®me a d√©truit d√©finitivement le disque dur crypt√© de sauvegarde. Les donn√©es am√©ricaines ont √©t√© isol√©es sur un disque crypt√© distinct alors que les donn√©es du reste du monde sont demeur√©es sur le disque crypt√© d’origine.

E. Les plans d’avenir de Google concernant ses services g√©od√©pendants

  1. Google a toujours l’intention d’offrir des services g√©od√©pendants, mais ne pr√©voit pas reprendre la collecte de donn√©es Wi-Fi au moyen de voitures Street View. Cette collecte est interrompue et Google ne pr√©voit pas la reprendre.
  2. Google n’a pas l’intention d’impartir √† une tierce partie la cueillette des donn√©es Wi-Fi.
  3. L’entreprise pense plut√īt se servir des appareils portables de ses utilisateurs pour recueillir les renseignements sur l’emplacement des r√©seaux Wi-Fi dont elle a besoin pour sa base de donn√©es sur les services g√©od√©pendants.¬† L’am√©lioration des t√©l√©phones intelligents au cours des derni√®res ann√©es a permis √† Google de recueillir les donn√©es requises √† cette fin √† partir des appareils portables eux-m√™mes.
  4. Bien qu’elle ne dispose d’aucun outil pour faire le suivi des d√©placements d’un consommateur (et elle n’a pas l’intention d’en cr√©er un), Google convient qu’elle doit examiner les probl√®mes que pourrait poser cette m√©thode de collecte relativement √† la vie priv√©e.

F. Les r√©percussions des plans d’avenir sur la protection de la vie priv√©e et les mesures d’att√©nuation et de pr√©vention

  1. Google fait valoir qu’elle tente d’int√©grer des mesures de protection des renseignements personnels dans tous ses produits et services. Elle affirme que ses employ√©s re√ßoivent une s√©ance de formation initiale et une formation sur le code de d√©ontologie qui comprennent une partie sur la protection des renseignements personnels et la s√©curit√© des donn√©es. Cependant, la responsabilit√© d’harmoniser tous les projets de Google avec les principes et les politiques de l’entreprise en mati√®re de protection de la vie priv√©e incombe √† toutes les √©quipes de production et de conception.
  2. Google soutient √©galement que, lorsque les produits sont approuv√©s ou que les ressources et le personnel leur sont attribu√©s, ils sont confi√©s √† un conseiller juridique en mati√®re de produits de l’entreprise. Il a une responsabilit√© de premier niveau pour ce qui est de cerner les pr√©occupations li√©es √† la protection de la vie priv√©e li√©es √† un produit.
  3. Pour √©viter qu’un autre produit ait des r√©percussions n√©fastes sur la vie priv√©e, Google dit examiner ses proc√©dures li√©es au lancement de produits et √† l’examen de code, ainsi que sa politique qui consiste √† laisser ses employ√©s d√©cider de 20 % de leur emploi du temps.¬† Ces mesures feraient en sorte que les contr√īles internes seraient suffisamment efficaces pour aborder ad√©quatement les futurs enjeux. Au moment de la diffusion du pr√©sent rapport, l’examen de Google sur ses politiques et proc√©dures n’√©tait pas encore termin√©.

Application

  1. Pour en arriver √† nos conclusions, nous avons appliqu√© les principes 4.1.1 et 4.1.2 de la Loi sur la protection des renseignements personnels et les documents √©lectroniques. Selon le principe 4.1.1, il incombe √† la ou aux personnes d√©sign√©es de s’assurer que l’organisation respecte les principes, m√™me si d’autres membres de l’organisation peuvent √™tre charg√©s de la collecte et du traitement quotidien des renseignements personnels. D’autres membres de l’organisation peuvent aussi √™tre d√©l√©gu√©s pour agir au nom de la ou des personnes d√©sign√©es. Selon le principe 4.1.2, il doit √™tre possible de conna√ģtre sur demande l’identit√© des personnes que l’organisation a d√©sign√©es pour s’assurer que les principes sont respect√©s.
  2. Nous avons √©galement appliqu√© le principe 4.2, qui pr√©cise que les fins pour lesquelles les renseignements personnels sont recueillis doivent √™tre √©tablies par l’organisation avant ou pendant la collecte.
  3. Le principe 4.3 stipule que toute personne doit √™tre inform√©e de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, √† moins qu’il ne soit pas appropri√© de le faire.
  4. Enfin, le principe 4.4 indique que l’organisation ne peut recueillir que les renseignements personnels n√©cessaires aux fins d√©termin√©es par l’organisation.

Conclusions

  1. Le 15 septembre 2010, j’ai transmis √† Google une version pr√©alable du pr√©sent rapport et invit√© l’organisme √† formuler une r√©ponse. J’ai r√©vis√© la pr√©sente lettre de conclusions pr√©liminaire en tenant compte de la r√©ponse de Google. Les paragraphes qui suivent sont un r√©sum√© de nos conclusions et de nos recommandations.

Collecte de renseignements personnels

  1. Au cours de leur visite sur les lieux, nos spécialistes ont découvert une quantité substantielle de renseignements personnels sous la forme de contenu de courriels (p. ex des adresses courriel, IP et postales) parmi les données utiles recueillies par Google au Canada.
  2. Google a avou√© au Commissariat qu’elle avait recueilli des donn√©es utiles, mais sans avoir l’intention de les utiliser dans l’un ou l’autre de ses produits. Elle affirme avoir tout simplement recueilli les donn√©es par erreur et n’a pas demand√© le consentement des personnes touch√©es. Le principe 4.3 de la Loi exige que la personne concern√©e consente √† la collecte, √† l’utilisation et √† la communication de renseignements personnels.
  3. Google d√©clare aussi que la collecte de donn√©es utiles n’avait aucun objectif. Or, le principe 4.2 stipule que l’objectif doit √™tre √©tabli avant la collecte ou au moment de celle-ci. En outre, le principe 4.4 pr√©cise que seuls les renseignements personnels n√©cessaires aux fins d√©termin√©es doivent √™tre recueillis. √Čtant donn√© qu’aucune fin n’a √©t√© √©tablie, la collecte de donn√©es ne pouvait √©videmment pas √™tre limit√©e par un objectif pr√©cis, ce qui est contraire au principe 4.4.

La participation du conseiller juridique en mati√®re de produits de Google √† l’examen des produits

  1. Puisque l’ing√©nieur a omis de transf√©rer son document de conception au conseiller juridique en mati√®re de produits, ce dernier n’a pas pu √©valuer les r√©percussions sur la vie priv√©e du code visant √† recueillir les donn√©es Wi-Fi. Je consid√®re que cette n√©gligence est tr√®s grave puisque l’examen des documents de conception par un conseiller juridique en mati√®re de produits (et l’utilisation d’un mod√®le) est manifestement une √©tape obligatoire pr√©vue dans la proc√©dure d’√©laboration de code de Google.
  2. Le code non √©tudi√© a plus tard servi √† recueillir des donn√©es comprenant des renseignements personnels. Si le conseiller juridique en mati√®re de produits avait √©t√© mis √† contribution comme il aurait d√Ľ l’√™tre, Google aurait peut-√™tre d√©couvert le risque d’une collecte excessive et rem√©di√© √† la situation avant que des donn√©es ne soient recueillies. Les r√©percussions n√©gatives sur la vie priv√©e des citoyens et sur la r√©putation de Google auraient facilement pu √™tre √©vit√©es.
  3. Google a indiqu√© au Commissariat qu’il incombe aux √©quipes de l’ing√©nierie et de l’√©laboration de produits de respecter les politiques et les principes en mati√®re de protection de la vie priv√©e de l’entreprise. Google a ensuite d√©clar√© qu’elle d√©ploie des efforts en vue d’am√©liorer les processus d’examen des codes et des produits, ainsi que les m√©canismes de responsabilisation, que doivent suivre le personnel de l’ing√©nierie et de la gestion de produits afin de les sensibiliser davantage aux enjeux de vie priv√©e √† toutes les √©tapes d’√©laboration de produits et de codes. Une √©quipe juridique travaille avec les directeurs de l’ing√©nierie pour s’assurer qu’un examen exhaustif des codes est effectu√© afin de d√©terminer si ces derniers pourraient soulever des questions li√©es √† la vie priv√©e. Google estime que l’examen des politiques et des proc√©dures qu’elle a entrepris fera en sorte que la situation ne se reproduira plus. Google a d√©clar√© qu’elle tiendra le Commissariat au courant de la progression de l’examen.

Examen et essai du code

  1. Google soutient que l’ing√©nieur qui a √©labor√© les lignes de code ne se doutait pas que leur utilisation aboutirait √† la collecte d’une vaste gamme de donn√©es transmises par des r√©seaux sans fil. Notre enqu√™te n’a pas permis de d√©terminer s’il s’agissait d’une erreur ponctuelle d’une seule personne ou si c’√©tait le signe que les employ√©s en g√©n√©ral ne sont pas suffisamment sensibilis√©s aux r√©percussions des nouveaux produits sur la vie priv√©e. Chez Google, ces cons√©quences devraient √™tre bien comprises par les conseillers juridiques en mati√®re de produits, mais aussi par les professionnels qui mettent au point ces produits.
  2. Dans le pr√©sent cas, l’examen et l’essai du produit contenant le code n’ont pas permis d’√©valuer l’incidence sur la vie priv√©e. Il semble que l’examen visait seulement √† s’assurer que le produit ne nuirait pas √† une deuxi√®me application — celle qui a servi √† prendre des images des rues o√Ļ circulaient les v√©hicules Street View.¬†
  3. Notre enqu√™te a d√©montr√© que l’examen n’a pas suffi √† √©valuer toutes les capacit√©s du produit — y compris celle de recueillir des donn√©es qui ne sont pas n√©cessaires au projet de g√©olocalisation.

Mesures prises pour protéger les données utiles

  1. Lorsque Google a remarqu√© que ses voitures Street View recueillaient plus de donn√©es transmises par les r√©seaux sans fil que pr√©vu, elle a exprim√© du regret quant √† la collecte par inadvertance des donn√©es diffus√©es publiquement. Elle a imm√©diatement immobilis√© ses v√©hicules et pris des mesures pour prot√©ger les donn√©es utiles et les isoler par pays d’origine.
  2. La d√©marche de Google √©tait justifi√©e, appropri√©e et suffisante pour prot√©ger les donn√©es utiles recueillies au Canada.¬† Je crois que l’entreprise a respect√© les clauses pertinentes de la Loi.
  3. Pour ce qui est des donn√©es que Google a recueillies, l’entreprise a affirm√© qu’elle n’avait aucunement l’intention d’utiliser les donn√©es utiles canadiennes de quelque fa√ßon que ce soit, et qu’elle continuera de garder les donn√©es en toute s√©curit√© et d’en restreindre activement l’acc√®s d’ici √† ce que ces donn√©es soient supprim√©es.
  4. Je tiens √† ajouter ici que l’on doit tenir compte non seulement des lois sur la protection des renseignements personnels, mais aussi d’autres lois canadiennes et am√©ricaines, y compris les r√®gles de droit sur la preuve, afin de d√©terminer le moment opportun pour supprimer les donn√©es utiles canadiennes recueillies.

Plans d’avenir

  1. Le fait que Google n’a pas l’intention de reprendre la collecte de donn√©es Wi-Fi √† l’aide de ses voitures Street View √©limine le risque d’une nouvelle collecte de renseignements personnels inappropri√©e au moyen de l’outil con√ßu par l’ing√©nieur.
  2. Cependant, Google pr√©voit recueillir des renseignements √† partir des appareils portables des utilisateurs pour alimenter sa base de donn√©es sur les services g√©od√©pendants. Cette nouvelle m√©thode pourrait aussi mener √† la collecte et √† la conservation inappropri√©es de renseignements personnels si Google ne prenait pas les mesures de protection qui s’imposent.

Recommandations

  1. Je partage l’objectif de Google visant √† √©viter que des atteintes similaires √† la vie priv√©e des personnes se reproduisent. Bien que je sois heureuse de constater que Google a entrepris l’examen des processus et des proc√©dures pouvant avoir une incidence sur la protection de la vie priv√©e, je souhaite n√©anmoins que l’organisation compl√®te ces mesures de contr√īle par un mod√®le de gouvernance global qui tient compte de toutes les questions li√©es √† la protection de la vie priv√©e associ√©es √† la conception de produits et de services internes et externes. J’aimerais √©galement que Google respecte des √©ch√©anciers raisonnables pour la mise en œuvre tant du mod√®le de gouvernance que des proc√©dures et des processus r√©vis√©s. C’est dans cette optique et √† la lumi√®re des renseignements suppl√©mentaires que Google a pr√©sent√©s au Commissariat que j’√©mets les recommandations suivantes¬†:
    1. Que Google r√©examine et am√©liore la formation offerte √† tous les employ√©s au sujet du respect de la vie priv√©e, dans le but d’am√©liorer la conscientisation et la connaissance des employ√©s quant aux obligations de Google en vertu des lois sur la protection des renseignements personnels.
    2. Que Google instaure un modèle de gouvernance qui comprenne :
      • des mesures de contr√īle efficaces visant √† faire en sorte que toutes les proc√©dures n√©cessaires au respect de la vie priv√©e ont bel et bien √©t√© suivies avant le lancement de tout produit;
      • la d√©signation et l’identification claires de personnes responsables du respect des obligations de Google en vertu des lois sur la protection des renseignements personnels.
    3. Que Google supprime les donn√©es utiles canadiennes recueillies, dans la mesure o√Ļ elle est habilit√©e √† le faire aux termes des lois canadiennes et am√©ricaines. Si les donn√©es utiles canadiennes ne pouvaient pas √™tre supprimes sur le champ, elles devraient √™tre conserv√©es de mani√®re s√©curitaire et l’acc√®s √† ces donn√©es devrait √™tre restreint.
  2. √Ä l’heure actuelle, j’estime que la plainte est fond√©e et demeure non r√©solue. Le Commissariat ne consid√©rera l’affaire r√©solue que si Google lui remet au plus tard le 1er f√©vrier 2011 la confirmation que les recommandations formul√©es ci-dessus ont √©t√© mises en œuvre; j’√©mettrai √† ce moment mes conclusions et mon rapport finaux.