Nouvelles

Communiqué

Une enquête dévoile que Google a enfreint la loi canadienne sur la protection des renseignements personnels

Les voitures de Google Street View ont recueilli de mani√®re inappropri√©e des renseignements personnels tels que des courriels, des noms d’utilisateurs, des mots de passe, des num√©ros de t√©l√©phone et des adresses; la commissaire recommande le recours √† des proc√©dures plus robustes et une formation am√©lior√©e en mati√®re de respect de la vie priv√©e.

OTTAWA, le 19 octobre 2010 – Google Inc. a enfreint la loi canadienne sur la protection des renseignements personnels en recueillant de mani√®re inappropri√©e des renseignements personnels transmis sur des r√©seaux sans fil non s√©curis√©s un peu partout au Canada, selon les conclusions d’une enqu√™te.

Cette enqu√™te men√©e par la commissaire √† la protection de la vie priv√©e a √©galement conclu que l’incident a √©t√© caus√© par une faute d’imprudence commise par un ing√©nieur, et par un manque de mesures de contr√īle visant √† faire en sorte que les proc√©dures n√©cessaires au respect de la vie priv√©e √©taient bel et bien suivies.

¬ę¬†Notre enqu√™te a r√©v√©l√© que Google avait effectivement saisi des renseignements personnels ¬≠— et dans certains cas, des renseignements de nature tr√®s sensible, tels que des courriels entiers. L’incident repr√©sente une violation s√©rieuse du droit des Canadiennes et des Canadiens √† la vie priv√©e¬†¬Ľ, affirme la commissaire √† la protection de la vie priv√©e, Jennifer Stoddart.

¬ę¬†Les technologies en plein essor ont sans contredit des r√©percussions formidables sur tous les aspects de la vie moderne. Mais leur incidence sur les personnes peut √™tre grave si leurs r√©percussions sur la vie priv√©e ne sont pas prises en compte correctement au moment de la conception de ces nouvelles technologies.¬†¬Ľ

Parmi les renseignements personnels recueillis, on retrouve des courriels entiers, des adresses de courriel, des codes d’utilisateurs et des mots de passe, des noms, et des adresses et num√©ros de t√©l√©phone r√©sidentiels. Certains des renseignements saisis √©taient de nature tr√®s d√©licate; on a retrouv√© par exemple une liste de noms de personnes atteintes de certains troubles m√©dicaux, ainsi que leurs adresses et num√©ros de t√©l√©phone.

Selon toute probabilit√©, l’incident a touch√© des milliers de Canadiennes et de Canadiens.

Des sp√©cialistes du Commissariat se sont rendus aux locaux de l’entreprise √† Mountain View (Californie) afin d’examiner sur place les donn√©es recueillies. Les sp√©cialistes ont effectu√© une recherche manuelle de donn√©es qui semblaient √™tre des renseignements personnels.

Afin de respecter le plus possible la vie priv√©e des personnes dont les renseignements ont √©t√© captur√©s, les sp√©cialistes du Commissariat ont limit√© leur examen manuel √† un √©chantillon tr√®s restreint de donn√©es relev√©es lors d’une recherche automatis√©e. Par cons√©quent, il est impossible de d√©terminer la quantit√© de renseignements personnels recueillie sur des r√©seaux sans fil non crypt√©s.

La commissaire a lanc√© une enqu√™te en vertu de la loi f√©d√©rale assurant le respect de la vie priv√©e dans le secteur priv√©, soit la Loi sur la protection des renseignements personnels et les documents √©lectroniques ou LPRPDE, apr√®s que Google a annonc√© que ses voitures — qui photographiaient alors les quartiers canadiens pour le service de cartographie Street View — avaient recueilli par inadvertance des donn√©es transmises sur des r√©seaux sans fil domestiques et commerciaux, au Canada et ailleurs au monde, pendant plusieurs ann√©es. Les r√©seaux en question n’√©taient pas prot√©g√©s, ni par un mot de passe, ni par chiffrement.

C’est en raison d’un code particulier qui avait √©t√© int√©gr√© au logiciel utilis√© pour capter les signaux Wi-Fi que Google a recueilli des renseignements personnels. Ce code avait √©t√© d√©velopp√© en 2006 par un ing√©nieur de Google qui s’√©tait pr√©valu d’une politique de l’entreprise en vertu de laquelle les employ√©s peuvent consacrer jusqu’√† 20¬†% de leur temps √† des projets qui les int√©ressent. L’ing√©nieur avait d√©velopp√© un code pour √©chantillonner toutes les cat√©gories de donn√©es diffus√©es publiquement sur des r√©seaux Wi-Fi, et ce code comprenait des lignes visant √† recueillir les ¬ę¬†donn√©es utiles¬†¬Ľ, qui font r√©f√©rence au contenu des communications.

Le code s’est retrouv√© sur l’√©quipement des voitures de Google Street View quand l’entreprise a d√©cid√© de recueillir de l’information sur l’emplacement de signaux Wi-Fi publics, afin d’alimenter sa base de donn√©es destin√©e aux services g√©od√©pendants.

Au moment o√Ļ l’on a d√©cid√© d’utiliser le code en question, l’ing√©nieur qui l’avait con√ßu avait fait √©tat de ¬ę¬†r√©percussions superficielles sur la vie priv√©e¬†¬Ľ. Ces r√©percussions n’ont jamais √©t√© √©valu√©es par d’autres responsables de Google parce que l’ing√©nieur a omis de transmettre la documentation relative √† la conception du code √† l’avocat responsable chez Google de l’examen des cons√©quences juridiques du projet Wi-Fi, ce qui va √† l’encontre de la politique organisationnelle.

Google affirme que lorsqu’elle a commenc√© √† utiliser le logiciel pour son projet de g√©olocalisation, elle n’√©tait aucunement consciente de la pr√©sence de ce code qui recueillait les donn√©es utiles. Bien que le code ait √©t√© pass√© en revue avant d’√™tre install√© sur l’√©quipement des voitures de Street View, cette mesure visait seulement √† s’assurer que le code ne nuirait pas aux op√©rations de Street View.

¬ę¬†Cet incident est le r√©sultat d’une d’imprudence — une erreur qui aurait facilement pu √™tre √©vit√©e¬†¬Ľ, affirme la commissaire Stoddart.

√Ä la lumi√®re de son enqu√™te, la commissaire √† la protection de la vie priv√©e a recommand√© que Google fasse en sorte que le mod√®le de gouvernance de l’entreprise permette √† cette derni√®re de se ¬†conformer aux lois sur la protection des renseignements personnels. Le mod√®le de gouvernance doit englober tous les enjeux relatifs √† la vie priv√©e associ√©s √† la conception de produits et services internes et externes. Le mod√®le doit √©galement inclure des mesures de contr√īle pour veiller √† ce que les proc√©dures n√©cessaires √† la protection de la vie priv√©e soient d√Ľment respect√©es √† l’√©tape de la conception des produits et services.

En outre, la commissaire a recommand√© que Google am√©liore la formation qu’elle offre au sujet de la protection des renseignements personnels, afin de favoriser le respect des exigences parmi l’ensemble des employ√©s. La commissaire a √©galement exhort√© Google de nommer une ou des personnes responsables des questions de vie priv√©e et du respect des obligations de l’entreprise en la mati√®re — une obligation aux termes de la loi canadienne en mati√®re de protection des renseignements personnels.

De plus, la commissaire a demand√© √† Google de supprimer les donn√©es utiles canadiennes recueillies, dans la mesure o√Ļ cela ne nuirait pas au respect d’obligations en suspens aux termes des lois canadiennes et am√©ricaines, telles que la conservation de preuves li√©es √† des proc√©dures judiciaires. Si les donn√©es utiles canadiennes ne pouvaient pas √™tre supprim√©es sur le champ, elles devraient √™tre conserv√©es de mani√®re s√©curitaire et l’acc√®s √† ces donn√©es devrait √™tre restreint.

La commissaire √† la protection de la vie priv√©e estimera que la situation est r√©solue si elle re√ßoit d'ici le 1er f√©vrier 2011 la confirmation que Google a mis en œuvre ses recommandations.

Le Parlement a confi√© √† la commissaire √† la protection de la vie priv√©e du Canada le mandat d’agir √† titre d’ombudsman, de d√©fenseure et de gardienne du droit des Canadiennes et Canadiens √† la protection de la vie priv√©e et des renseignements personnels.

— 30 —

Personne-ressource (√† l’intention des m√©dias seulement)¬†:

Commissariat à la protection de la vie privée du Canada
Anne-Marie Hayden
Tél. : 613-995-0103
Courriel : Anne-Marie.Hayden@priv.gc.ca

NOTA¬†: Les journalistes sont pri√©s de soumettre leurs demandes d’entrevues par courriel.