Mémoire reçu dans le cadre de la consultation sur le consentement en vertu de la LPRPDE (CRTC)

Conseil de la radiodiffusion et des télécommunications canadiennes

Octobre 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada.

Sommaire

La dirigeante principale de la consommation du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), Barbara Motzney, est heureuse de déposer un mémoire auprès du Commissariat à la protection de la vie privée du Canada (CPVP) dans le cadre de la consultation sur le modèle de consentement.

Le CRTC est l'organe fédéral chargé de réglementer et de surveiller les systèmes de communication canadiens dans l'intérêt du public. Le CRTC joue un rôle dans la protection des consommateurs canadiens de services de radiodiffusion et de télécommunication et a pris des mesures réglementaires au besoin en vue de l'atteinte de cet objectif. Le CRTC a également un rôle d’exécution aux termes de la Loi canadienne anti-pourriel (LCAP).

Le CRTC a reconnu que les entreprises de communications doivent disposer de la liberté d'innover et qu'il existe pour les entreprises des raisons légitimes de recueillir et d'utiliser les renseignements sur les consommateurs. Toutefois, le CRTC a aussi établi qu’il est justifié d'imposer des mesures réglementaires de protection de la vie privée et des renseignements personnels des consommateurs.

L'approche du CRTC envers la protection de la vie privée et du consentement est fondée, en partie, sur la notion que les consommateurs doivent être informés. Le CRTC a pris des mesures pour s’assurer que les fournisseurs de services communiquent leurs politiques en matière de protection des renseignements personnels ainsi que de l’information sur la protection de la vie privée.

Le CRTC n'exige pas que les fournisseurs de services obtiennent le consentement pour la collecte et l'utilisation (à l'interne) de renseignements personnels, car ces entreprises recueillent régulièrement des renseignements à diverses fins légitimes lorsque les consommateurs s'abonnent à des services ou les utilisent. Le CRTC a néanmoins imposé des mesures qui limitent la divulgation et l’utilisation à d’autres fins des renseignements personnels des consommateurs :

Le CRTC interdit aux fournisseurs de services de télécommunications (FST) de divulguer les renseignements confidentiels sur leurs clients, à l’exception du nom, de l’adresse et du numéro de téléphone inscrit dans l’annuaire, sans le consentement exprès du client, sauf dans des circonstances précises.^{Note de bas de page 1} Selon le CRTC, cette mesure réglementaire s’imposait compte tenu de l’arrivée des nouvelles technologies et du commerce électronique qui permettent de traiter, de réorganiser et d'échanger facilement de l'information.
Les règlements du CRTC sur les pratiques de gestion du trafic Internet limitent l’utilisation des renseignements personnels recueillis par les fournisseurs de services Internet et les fournisseurs de services de données sans fil aux fins des pratiques de gestion du trafic Internet. Comme ces renseignements pourraient être recueillis et transmis à l’insu des consommateurs et sans leur consentement, il est interdit de les utiliser à d’autres fins et aussi de les divulguer. Le CRTC reconnaît que les fournisseurs de services utilisent des données regroupées aux fins de la planification et de l'architecture des réseaux^{Note de bas de page 2}.
Le CRTC a reconnu que le déploiement de boîtiers décodeurs qui permettent aux ménages abonnés à des services de télévision d'être identifiés individuellement soulève des inquiétudes à l'égard de la protection de la vie privée, et a encouragé l'industrie de la radiodiffusion à s'autoréglementer et à intégrer des mesures de protection des renseignements personnels dans le système de mesure de l'auditoire fondé sur les boîtiers décodeurs.
Le CRTC s'attend que les fournisseurs de services de communication qui facturent la prestation de services obtiennent le consentement exprès des consommateurs avant d'utiliser leurs renseignements à des fins de publicité ciblée. Pour que ce consentement soit jugé valable, il devra être étayé d’une explication détaillée qui permet au consommateur de bien saisir l’étendue complète des renseignements que pourrait utiliser l’entreprise pour le cibler à des fins de publicité^{Note de bas de page 3}.

Le CRTC dispose d’autres règlements visant à protéger la vie privée des consommateurs, comme les obligations imposées aux FST selon lesquels ceux-ci doivent offrir des services conçus pour protéger les renseignements personnels des consommateurs ainsi que les règlements imposés aux entreprises qui exercent des activités de télémarketing.

Les réponses du CRTC aux questions spécifiques posées dans le document de discussion reflètent les pratiques et approches adoptées par celui-ci à l'égard de la protection des renseignements personnels des abonnés des services de communication. Il est possible que ces pratiques et approches ne soient pas appropriées dans d'autres secteurs de l'économie.

Mémoire complète:

Introduction

Le CRTC est l'organe fédéral chargé de réglementer et de surveiller les systèmes de communication canadiens dans l'intérêt du public et, à ce titre, il a préparé le présent mémoire. Le CRTC joue un rôle dans la protection des consommateurs canadiens de services de radiodiffusion et de télécommunication et a pris des mesures réglementaires au besoin en vue de l'atteinte de cet objectif. Le CRTC a également un rôle d’exécution aux termes de la Loi canadienne anti-pourriel (LCAP).

La réponse du CRTC à cette consultation vise le secteur des télécommunications et de la radiodiffusion.

Le personnel qui a été chargé de préparer la réponse du CRTC a lu et compris les procédures de consultation du CPVP.

Mandat du CRTC

Le mandat du CRTC vise principalement les objectifs en matière de politique établis dans la Loi sur la radiodiffusion, la Loi sur les télécommunications et la Loi canadienne anti-pourriel (LCAP).

Le CRTC reconnaît l'importance des services de communication pour les Canadiens et il s’emploie à faire en sorte que les besoins et les intérêts de la population canadienne soient au centre du système qui offre ces services. Les activités du CRTC veillant à ce que les Canadiens aient accès à un système de communication de classe mondiale sont catégorisées selon les trois piliers suivants :

Créer. Ce pilier vise avant tout à garantir une richesse en matière de contenu canadien créé et offert à l'ensemble des Canadiens sur diverses plateformes.
Brancher. Ce pilier vise avant tout à garantir que les Canadiens ont accès à un choix de services de communication de qualité et novateurs à des prix abordables.
Protéger. Ce pilier vise avant tout à garantir que les Canadiens ont accès à des informations et des services qui améliorent leur sécurité.

Les règles et règlements du CRTC qui renforcent la protection de la vie privée des Canadiens sont englobés dans le pilier Protéger.

Le cadre législatif du CRTC et la vie privée

La responsabilité du CRTC à l'égard de la protection de la vie privée dans les télécommunications est clairement énoncée dans l'objectif 7(i) de la Loi sur les télécommunications, soit « contribuer à la protection de la vie privée des personnes. » Pour appliquer cette disposition, le CRTC a imposé des exigences visant à protéger les renseignements personnels des individus au moyen de règles et d'autres mesures, lesquelles sont décrites ci-dessous.

La Loi sur la radiodiffusion ne contient aucune disposition sur la protection de la vie privée. Par le passé, la protection de la vie privée n'avait jamais constitué un problème dans le secteur de la radiodiffusion classique, car le mode de transmission point à multipoints de ces services empêchait la collecte de renseignements personnels. La situation a toutefois changé depuis l'adoption étendue des téléviseurs branchés à Internet, des boîtiers décodeurs intelligents, et des services et applications de radiodiffusion en ligne. Grâce à cette évolution, l'industrie de la radiodiffusion est en mesure de recueillir des données sur les habitudes d'écoute, les goûts et les préférences des consommateurs, notamment à des fins de publicité ciblée.

La Loi visant à promouvoir l’efficacité et la capacité d’adaptation de l’économie canadienne par la réglementation de certaines pratiques qui découragent l’exercice des activités commerciales par voie électronique et modifiant la Loi sur le Conseil de la radiodiffusion et des télécommunications canadiennes, la Loi sur la concurrence, la Loi sur la protection des renseignements personnels et les documents électroniques et la Loi sur les télécommunications, communément désignée la Loi canadienne anti-pourriel (LCAP), confère au CRTC le pouvoir de réglementer certaines formes d’échanges électroniques, soit l’envoi de messages électroniques commerciaux, la modification des données de transmission dans les messages électroniques, et l’installation de programmes d’ordinateur dans l’ordinateur d’une autre personne, dans le cadre d’une activité commerciale. L'un des objectifs de la LCAP, comme il est énoncé dans la Loi, est la réglementation « des pratiques commerciales qui découragent l’exercice des activités commerciales par voie électronique, car ces pratiques compromettent la protection de la vie privée et la sécurité des renseignements confidentiels. »

Les rôles complémentaires du CRTC et du CPVP

Le CRTC et le CPVP jouent des rôles complémentaires en matière de protection de la vie privée. La majorité des règles en matière de protection de la vie privée et des mesures de protection de la vie privée relèvent du CPVP et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Les entreprises de communications doivent se conformer à la LPRPDE, et les enquêtes sur les plaintes liées à la collecte et à l'utilisation des renseignements sur les abonnés par les entreprises de communications relèvent de la compétence du CPVP.

Le CRTC dispose du pouvoir de créer des règlements sur la vie privée qui s'appliquent aux services de communication. En exerçant le pouvoir que lui confère la Loi sur les télécommunications, le CRTC peut appliquer des normes de protection de la vie privée plus strictes que celles prévues par la LPRPDE. À titre d'exemple, selon le CRTC, le consentement exprès des consommateurs est nécessaire pour que les fournisseurs de services de télécommunication (FST)^{Note de bas de page 4} puissent divulguer des renseignements confidentiels à leur égard, tandis que le consentement implicite peut suffire dans certains cas en vertu de la LPRPDE^{Note de bas de page 5}. En outre, le CRTC dispose d'un plus grand pouvoir d'application de la loi que le CPVP.

Le CRTC et le CPVP, ainsi que le Bureau de la concurrence, travaillent de concert dans le cadre des activités d'application de la LCAP.

Les règlements du CRTC relatifs à la vie privée

La majorité des règlements du CRTC relatifs à la vie privée ont été imposés aux entités du secteur des télécommunications. Ces règlements sont principalement axés sur la protection des renseignements sur les consommateurs, mais il en existe aussi qui visent à protéger la vie privée des consommateurs en général. Le CRTC a reconnu qu'il existe pour les entreprises des raisons légitimes de recueillir et d'utiliser les renseignements sur les consommateurs, notamment pour la facturation et la planification des réseaux, mais qu’il y a également des situations où la divulgation sans consentement exprès est justifiée.

Le CRTC a imposé des mesures réglementaires ou autres en vue de protéger les renseignements confidentiels des consommateurs et d'assurer la protection de la vie privée dans les cas suivants :

la divulgation des renseignements confidentiels des consommateurs par les FST;
les données recueillies aux fins des pratiques de gestion du trafic Internet;
la communication de renseignements et de politiques sur la vie privée aux consommateurs;
les données sur les consommateurs recueillies par les FST au moyen de boîtiers décodeurs;
l'utilisation de l'information sur les consommateurs à des fins de publicité ciblée;
les services de protection de la vie privée des consommateurs.

La divulgation des renseignements confidentiels des clients par les FST

En 1986, le CRTC a interdit aux FST de divulguer sans le consentement exprès du consommateur les renseignements confidentiels^{Note de bas de page 6} autres que le nom, l’adresse et le numéro de téléphone inscrits dans l’annuaire, sauf dans certaines situations précises^{Note de bas de page 7}. Selon le CRTC, cette mesure réglementaire s’imposait compte tenu de l’arrivée des nouvelles technologies et du commerce électronique qui permettent de traiter, de réorganiser et d'échanger facilement de l'information. De plus, le CRTC estimait que les forces du marché ne suffiraient peut-être pas à protéger la vie privée des consommateurs.

Les renseignements confidentiels sur le consommateur peuvent être divulgués sans consentement :

au client;
à une personne qui, de l'avis raisonnable de l’entreprise, cherche à obtenir les renseignements en qualité de mandataire;
à une autre compagnie de téléphone, sous réserve que les renseignements soient requis aux fins de la prestation efficace et rentable du service téléphonique, que la divulgation se fasse à titre confidentiel et que les renseignements ne soient utilisés qu'à cette fin;
à une entreprise qui s'occupe de fournir au consommateur des services liés aux services téléphoniques ou aux annuaires téléphoniques, sous réserve que les renseignements soient requis à cette fin, que la divulgation se fasse à titre confidentiel et que les renseignements ne soient utilisés qu'à cette fin;
à un mandataire de l’entreprise dont les services ont été retenus en vue d'obtenir le règlement de l'état de compte du client, sous réserve que les renseignements soient requis et ne soient utilisés qu'à cette fin;
à une autorité publique ou son mandataire, aux fins des alertes publiques d'urgence, si l'autorité publique a établi qu’il y a présence d'un danger imminent ou sur le point de se produire qui menace la vie, la santé ou la sécurité de tout individu et que le danger pourrait être évité ou minimisé par la divulgation de l'information;
à une affiliée qui fournit des services de télécommunication et/ou de radiodiffusion au client, sous réserve que les renseignements soient requis à cette fin, que la divulgation se fasse à titre confidentiel et que les renseignements ne soient utilisés qu'à cette fin.

Selon les obligations qu’impose le CRTC en matière de confidentialité, le « consentement exprès » est défini comme étant :

un consentement écrit;
une confirmation verbale vérifiée par un tiers indépendant;
une confirmation électronique au moyen d'un numéro sans frais d'interurbain;
une confirmation électronique par Internet;
un consentement verbal, lorsqu'un enregistrement audio du consentement est conservé par le FST;
un consentement obtenu par d'autres méthodes, pourvu qu'une preuve documentaire soit créée de manière objective par le client ou par un tiers indépendant.

Les données recueillies aux fins des pratiques de gestion du trafic Internet

Les fournisseurs de services Internet et les fournisseurs de services de données sans fil ne peuvent utiliser à d'autres fins les données recueillies aux fins des pratiques de gestion du trafic Internet et ne peuvent pas divulguer ces renseignements. Le CRTC reconnaît que les fournisseurs de services se servent des données regroupées aux fins de la planification des réseaux et des travaux techniques connexes; il croit d’ailleurs qu’ils continueront d’utiliser des données regroupées dans le cadre de telles activités^{Note de bas de page 8}. Dans sa politique réglementaire 2009-657, le Conseil a noté que certaines pratiques de gestion du trafic Internet (PGTI) ont soulevé des préoccupations à l'égard de la protection de la vie privée puisque certaines technologies utilisées pour mettre en œuvre ces pratiques, comme les inspections approfondies des paquets, permettent de recueillir et d'utiliser des renseignements personnels et que l'information ainsi obtenue peut provenir du trafic du réseau, sans que le consommateur en ait connaissance ou y donne son consentement.

La communication de renseignements et de politiques sur la vie privée aux consommateurs

Le CRTC a pris des mesures pour veiller à ce que les consommateurs soient informés des politiques sur la protection de la vie privée et sur la façon dont les fournisseurs de services gèrent leurs renseignements personnels. Elles se résument comme suit :

Les entreprises de services locaux sont tenues de fournir sur demande à leurs clients les renseignements sur la protection de la vie privée, y compris les responsabilités de l'entreprise à l'égard de la protection de la confidentialité des dossiers des consommateurs. ^{Note de bas de page 9}
Aux termes du Code sur les services sans fil et du Code des fournisseurs de services de télévision (FSTV), le CRTC exige que les contrats et les documents connexes, notamment les politiques de protection de la vie privée, utilisent un langage simple et présentent les renseignements de façon claire et facile à lire et à comprendre. Les consommateurs doivent recevoir une copie permanente de ces documents après avoir conclu un contrat^{Note de bas de page 10}. Les fournisseurs de services sans fil et les FSTV doivent aviser leurs clients de toute modification apportée à leurs politiques de protection de la vie privée au moins 30 jours avant que les modifications entrent en vigueur, et ce, en utilisant un langage simple qui est clair et facile à comprendre.

Les données sur les consommateurs recueillies par les FST au moyen de boîtiers décodeurs

Même si la Loi sur la radiodiffusion ne prévoit aucune disposition sur la protection de la vie privée, le CRTC a pris des mesures pour protéger la vie privée des consommateurs qui souscrivent des services de télévision, au moyen de l'autoréglementation de l'industrie et de groupes de travail. En 1993, le CRTC a reconnu que le déploiement de technologies, comme les boîtiers décodeurs qui permettent aux ménages abonnés à des services de télévision d'être servis et identifiés individuellement, offrirait un choix et des services de personnalisation plus vastes, procurant ainsi aux consommateurs certains avantages et aux fournisseurs de service de télévision certaines possibilités. Le CRTC a toutefois reconnu que le déploiement de technologies dans l'industrie de la télévision par câble qui permettent de recueillir des renseignements de valeur sur les habitudes d'écoute et les préférences des abonnés soulèvent des inquiétudes à l'égard de la protection de la vie privée des abonnés. Le CRTC a encouragé l'industrie de la télévision par câble à s'autoréglementer à l’égard de la protection de la vie privée en adoptant des principes semblables aux Principes sur la protection de la vie privée en télécommunications (en anglais) mis au point par le ministère des Communications du Canada en 1992^{Note de bas de page 11}. En réponse, l'Association canadienne de télévision par câble (ACTC) a volontairement élaboré ses propres codes et normes à l'égard de questions comme la protection de la vie privée, le service à la clientèle et d'autres enjeux touchant l'industrie de la télévision par câble. L'ACTC a toutefois cessé ses activités en 2006.

En 2015, dans sa décision Parlons télé — Aller de l'avant^{Note de bas de page 12}, le CRTC a reconnu le besoin de l'industrie de la radiodiffusion d'avoir accès aux renseignements sur les auditoires, dans la mesure où la protection de la vie privée de ces téléspectateurs est protégée, puisque la réussite future de l'industrie de la radiodiffusion dépend de sa capacité à personnaliser le contenu des forfaits de programmation ainsi que la programmation elle-même en fonction des besoins et des intérêts des Canadiens. À cette fin, le CRTC a exigé que l'industrie mette sur pied un groupe de travail en vue d'élaborer un système de mesure de l'auditoire en utilisant les boîtiers décodeurs, système qui prévoit, entre autres, des mesures de protection de la vie privée. Le groupe de travail était chargé de faire rapport au CRTC sur les données devant être recueillies, sur la structure de gouvernance et sur les protocoles de protection de la vie privée, y compris sur la question de savoir si le regroupement des données permet d'assurer la protection de la vie privée. Un rapport d'étape a été remis au CRTC le 10 juin 2015 et est en cours d'examen par le personnel du CRTC. Si le CRTC n'est pas satisfait des progrès réalisés par le groupe de travail ou s’il estime que les divers objectifs et principes, y compris ceux liés à la protection de la vie privée des personnes, ne sont pas abordés adéquatement, il pourra décider d'intervenir et de formuler des directives précises.

L'utilisation de l'information sur les consommateurs à des fins de publicité ciblée

Même si le CRTC n'a imposé aucune réglementation précise concernant l'utilisation des renseignements sur les consommateurs à des fins de publicité ciblée, il a indiqué qu'il s'attendait à ce que les fournisseurs de services de communication qui facturent la prestation de services obtiennent le consentement exprès des consommateurs avant d'utiliser leurs renseignements à des fins de publicité ciblée. Pour que ce consentement soit jugé valable, il devra être étayé d’une explication détaillée qui permet au consommateur de bien saisir l’étendue complète des renseignements que pourrait utiliser l’entreprise pour le cibler à des fins de publicité^{Note de bas de page 13}. Cette attente est conforme à la conclusion antérieure du CPVP selon laquelle les consommateurs dont les renseignements personnels ont été recueillis aux fins de la prestation de services de télécommunication et de distribution de radiodiffusion payants s’attendent raisonnablement à pouvoir déterminer de manière explicite si ces renseignements peuvent être utilisés à des fins de publicité ciblée les visant^{Note de bas de page 14}.

Les services de protection de la vie privée des consommateurs

Le CRTC a mis en place un certain nombre d'autres règles et services visant à protéger la vie privée des consommateurs, notamment :

Les entreprises de télécommunication dans les marchés faisant l'objet d'une abstention de la réglementation comme celles dans les marchés réglementés sont tenues d'offrir des services conçus pour protéger la vie privée des consommateurs, p. ex. le service d'omission de l'inscription à l'annuaire, l'affichage des appels, le blocage de l'affichage des appels, l'interdiction de la fonction de mémorisation dans le cas d'un numéro bloqué et la fonction de dépistage des appels^{Note de bas de page 15}.
Les règles du CRTC permettent la publication du nom, de l'adresse et du numéro de téléphone des abonnés dans les annuaires publics suivant le consentement implicite, mais les abonnés peuvent demander d'obtenir un numéro non inscrit.
Conformément aux modifications apportées à la Loi sur les télécommunications apportées en 2006, qui conféraient au CRTC les pouvoirs nécessaires pour établir une liste nationale de numéros de télécommunication exclus (LNNTE), le CRTC a établi des exigences à l'égard des entreprises qui exercent des activités de télémarketing^{Note de bas de page 16} (c.-à-d. le cadre applicable aux Règles sur les télécommunications non sollicitées et la Liste nationale de numéros de télécommunication exclus). Ces règles visaient à établir un équilibre entre le besoin de protection de la vie privée des personnes et les utilisations commerciales légitimes du télémarketing. La LNNTE utilise un modèle de consentement implicite dans le cadre duquel les télévendeurs peuvent communiquer avec le consommateur sauf si le numéro de téléphone de celui-ci est inscrit sur la LNNTE ou sur une liste d'exclusion interne du télévendeur. Cela diffère de la LCAP qui exige que les entreprises obtiennent le consentement exprès des consommateurs pour leur envoyer des messages électroniques commerciaux (MEC)^{Note de bas de page 17}. L’exigence de la LCAP concernant l’obtention du consentement exprès s’applique à l’installation de programmes informatiques^{Note de bas de page 18} et à la modification des données de transmission.

Conclusion

Le CRTC a reconnu que les entreprises doivent disposer de la liberté d'innover, mais qu'elles doivent s'assurer de demeurer transparentes en ce qui a trait à la collecte et à l'utilisation des données, et d'obtenir le consentement lorsque la situation l'exige. Les consommateurs doivent avoir de l'information afin d’être au fait des répercussions sur leur vie privée qu'ont les services de communication qu'ils utilisent et des compromis qu'ils doivent faire au regard de leurs données personnelles, et afin de pouvoir prendre des décisions éclairées. Les consommateurs de services de communication par abonnement s’attendent logiquement à ce que leur vie privée et la confidentialité de leurs renseignements soient protégées vu la quantité considérable de données qui sont transmises, les types de données en cause dans l’utilisation de ces services et le manque de connaissances des consommateurs dans certaines situations où les données sont recueillies. Le CRTC a établi qu’il convenait d'imposer des mesures réglementaires pour protéger la vie privée et les renseignements des consommateurs.

Plus particulièrement, le CRTC a toujours déterminé que les renseignements confidentiels des consommateurs ne peuvent être divulgués sans leur consentement exprès et que l'utilisation des renseignements sur les consommateurs à des fins autres que celles prévues lors de la collecte initiale doit être limitée.

Enfin, selon son plan triennal 2016-2019, le CRTC mènera une étude sur les enjeux relatifs à la protection de la vie privée en ce qui concerne les services de communication fournis sur Internet ou des réseaux mobiles. D'après les résultats de l'étude, le CRTC pourrait entreprendre une consultation publique sur l'efficacité de son approche réglementaire actuelle relative à la protection de la vie privée.

Réponses aux questions posées dans le document de discussion

Les réponses du CRTC aux questions posées dans le document de discussion reflètent les pratiques et approches adoptées par celui-ci à l'égard de la protection des renseignements personnels des abonnés des services de communication. Il est possible que ces pratiques et approches ne soient pas appropriées dans d'autres secteurs de l'économie.

Amélioration du consentement

Quelles mesures pourrait-on adopter pour renforcer le consentement? Comment devrait-on promouvoir l’élaboration de ces mesures?

L'approche du CRTC envers la protection de la vie privée et du consentement est fondée, en partie, sur la notion que les consommateurs doivent être informés, conformément aux règles établies dans le Code sur les services sans fil et le Code des FSTV. Exiger que les consommateurs de services de communication aient accès à des renseignements et politiques sur la protection de la vie privée qui sont clairs et faciles à comprendre ne constitue pas une amélioration du modèle de consentement, mais plutôt un élément fondamental de la protection de leur vie privée.

Quelles mesures devrait-on mettre en place pour inciter les organisations à accroître la transparence et à mettre en œuvre des mécanismes axés sur les préférences concernant la protection de la vie privée pour renforcer la capacité des gens à donner leur consentement?

Le CRTC se fie aux forces du marché dans la mesure où elles permettent de protéger les intérêts des consommateurs. Dans les situations où les forces du marché ne suffisent pas ou ne protègent pas les intérêts des consommateurs ou en présence de problèmes systémiques, le CRTC prendra les mesures appropriées, comme l'imposition de mesures réglementaires ou la collaboration avec l'industrie afin d'élaborer des codes de conduite. Certaines entreprises de communication seront incitées à exercer une plus grande transparence et à mettre en œuvre des mécanismes axés sur les préférences afin d'éviter que le CRTC n'intervienne. Les entreprises de communication seront également motivées à respecter les règles du CRTC ayant trait à la protection de la vie privée afin d'éviter la prise de mesures visant à assurer la conformité et l'application.

Comment devrait-on traiter la protection de la vie privée dès la conception dans le contexte des lois canadiennes sur la protection des renseignements personnels? Devrait-on se contenter de promouvoir ce principe comme étant souhaitable dans un régime axé sur la responsabilisation? Devrait-on plutôt en faire une exigence prévue par la loi comme ce sera bientôt le cas en Europe?

Compte tenu de la nature des réseaux de communication sur lesquels de grandes quantités d'information sont transmises et du fait que les fournisseurs de services peuvent recueillir et extraire des renseignements sur les abonnés, y compris des renseignements sur des personnes identifiables et des renseignements de nature délicate, le CRTC s'attendrait à ce que ces réseaux de communication et leurs services connexes ainsi que les diverses fonctions de soutien des organisations des fournisseurs de services intègrent par défaut la protection de la vie privée, tant sur le plan du processus technique qu’organisationnel.

Quels sont les critères d’évaluation et de classement des risques de réidentification?

Le CRTC ne dispose d'aucune politique réglementaire visant la collecte, l'utilisation et la divulgation des données réidentifiées. L'une des questions sur laquelle le groupe de travail examinant les boîtiers décodeurs s'est penché est de savoir si le regroupement des données pallie les problèmes en matière de protection de la vie privée associés à la mesure de l'auditoire utilisant des boîtiers décodeurs. Les travaux se poursuivent et le CRTC n'a formulé aucune conclusion dans le cadre de cette initiative.

Le consentement devrait-il être exigé pour la collecte, l’utilisation et la communication de données désidentifiées? Dans l’affirmative, dans quelles conditions?

Existe-t-il une approche pragmatique axée sur le risque qui pourrait faire varier le niveau de l’exigence en matière de consentement en fonction du risque de réidentification des données?

Le CRTC ne dispose d'aucune politique réglementaire visant la collecte, l'utilisation et la divulgation des données réidentifiées.

Quel rôle les filets de sécurité contractuels devraient-ils jouer? Y a-t-il d’autres moyens de protéger les données désidentifiées?

Le CRTC ne dispose d'aucune politique réglementaire visant la collecte, l'utilisation et la divulgation des données réidentifiées.

Solutions de remplacement du consentement

Si le paragraphe 5(3) de la LPDPRE (p. ex. une organisation peut recueillir, utiliser et communiquer les renseignements personnels seulement à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances) pouvait offrir la possibilité d’imposer de véritables interdictions, en quoi devraient-elles consister?

Le cadre réglementaire du CRTC visant les PGTI interdit l'utilisation des renseignements qui peuvent être extraits ou recueillis dans le cadre des PGTI à des fins autres que la gestion du trafic puisque ces renseignements peuvent être recueillis à l'insu de l'abonné.

Le paragraphe 5(3) est-il suffisant ou avons-nous besoin d’autres règles concernant les « zones d’interdiction » pour la collecte, l’utilisation et la communication, comme celles portant sur les pratiques qui pourraient être discriminatoires ou les cas où il s’agit d’enfants?

Le CRTC ne dispose d'aucune politique réglementaire visant les « zones d'interdiction » pour la collecte, l'utilisation et la divulgation. Toutefois, le CRTC a estimé qu’il convenait d'imposer des règles dans d'autres domaines touchant les enfants, notamment des règles destinées à protéger les enfants des effets néfastes de la violence à la télévision^{Note de bas de page 19}.

En vertu de la LPRPDE, le contexte et la sensibilité aident à déterminer si l’on peut s’appuyer sur un consentement exprès ou implicite. Devrait-on adopter d’autres règles s’appliquant à certains types de renseignements ou d’utilisations?

Comme il a été mentionné précédemment, les consommateurs s'attendent raisonnablement à ce que leurs renseignements ne soient pas monétisés par leur fournisseur de services (p. ex. à des fins de publicité ciblée) puisqu'ils s'acquittent des frais de leurs abonnements. C'est pourquoi le consentement exprès doit être requis pour que ces renseignements puissent servir à cette fin.

Intérêts commerciaux légitimes

En l’absence de consentement, quels motifs de traitement licite pourraient justifier l’autorisation de la collecte, de l’utilisation et de la communication de renseignements personnels?

Le CRTC n'exige pas que les fournisseurs de services obtiennent le consentement pour la collecte et l'utilisation (à l'interne) de renseignements personnels, car ces entreprises recueillent régulièrement des renseignements à diverses fins lorsque les consommateurs s'abonnent à des services ou les utilisent. Les fins autorisées constituent la facturation ainsi que la planification, l'approvisionnement et la gestion des réseaux. Les renseignements sur les habitudes de consommation peuvent aider les fournisseurs de services de communication à comprendre les habitudes de leurs abonnés dans le but de concevoir leurs services, de les assembler et de les commercialiser.

Le CRTC a établi que le consentement exprès n’est pas requis pour la divulgation des renseignements confidentiels sur les consommateurs lorsque ces renseignements sont fournis :

au client;
à une personne qui, de l'avis raisonnable de l’entreprise, cherche à obtenir les renseignements en qualité de mandataire;
à une autre compagnie de téléphone, sous réserve que les renseignements soient requis aux fins de la prestation efficace et rentable du service téléphonique, que la divulgation se fasse à titre confidentiel et que les renseignements ne soient utilisés qu'à cette fin;
à une entreprise qui s'occupe de fournir au consommateur des services liés aux services téléphoniques ou aux annuaires téléphoniques, sous réserve que les renseignements soient requis à cette fin, que la divulgation se fasse à titre confidentiel et que les renseignements ne soient utilisés qu'à cette fin;
à un mandataire de l’entreprise dont les services ont été retenus en vue d'obtenir le règlement de l'état de compte du client, sous réserve que les renseignements soient requis et ne soient utilisés qu'à cette fin;
à une autorité publique ou son mandataire, aux fins des alertes publiques d'urgence, si l'autorité publique a établi qu’il y a présence d'un danger imminent ou sur le point de se produire qui menace la vie, la santé ou la sécurité de tout individu et que le danger pourrait être évité ou minimisé par la divulgation de l'information;
à une affiliée qui fournit des services de télécommunication et/ou de radiodiffusion au client, sous réserve que les renseignements soient requis à cette fin, que la divulgation se fasse à titre confidentiel et que les renseignements ne soient utilisés qu'à cette fin.

Comment peut-on s’assurer que les organisations évaluent de façon équitable et éthique les motifs de traitement licite dans le but d’atteindre un juste équilibre?

Les règlements du CRTC relatifs à la protection de la vie privée, y compris les règles concernant les situations dans lesquelles les renseignements peuvent être divulgués sans consentement, ont été imposés à la suite d'une instance publique comme c'est le cas pour tous les règlements imposés par le CRTC. Les parties intéressées, y compris les entreprises de communication, les groupes de défense des consommateurs et de l’intérêt public, et les personnes peuvent intervenir et exprimer leur point de vue par rapport aux enjeux ou encore soumettre des éléments de preuve. Ces renseignements éclairent le processus décisionnel du CRTC.

Quel serait le rôle des organismes de réglementation dans l’évaluation des motifs de traitement licite?

Les organismes de réglementation peuvent cerner les types de renseignements que les entreprises doivent collecter et traiter pour pouvoir exercer leurs activités de manière satisfaisante dans les marchés. Ils peuvent également cerner les situations dans lesquelles la collecte et le traitement de ces renseignements doivent se faire.

Gouvernance – Codes de pratiques

Des codes de pratiques sectoriels pourraient-ils renforcer efficacement le consentement ou la protection de la vie privée?

Le Code sur les services sans fil et le Code des FSTV imposés par le CRTC constituent des codes de conduite obligatoires pour l'industrie, afin que les abonnés des services sans fil et des services de télévision soient informés des politiques de protection de la vie privée de leur fournisseur de services dans un langage clair et qu'ils soient avisés de tout changement au préalable.

Comment ces codes de pratiques devraient-ils être appliqués?

Le Code sur les services sans fil et le Code des FSTV sont administrés par une agence indépendante de protection des consommateurs, soit le Commissaire aux plaintes relatives aux services de télécommunication (CPRST). Le CPRST travaille de concert avec les consommateurs et leurs fournisseurs de services afin de régler les différends relatifs aux services de communication, y compris les cas de non-conformité au Code sur les services sans fil et au Code des FSTV. Le CPRST assure la surveillance des tendances en matière de non-conformité aux codes et fait rapport de ces renseignements. Le CRTC applique les codes en réglant les problèmes de non-conformité systématiques.

Qui devrait participer à l’élaboration des codes de pratiques sectoriels? Qui devrait être chargé de surveiller la conformité à ces codes?

Le CRTC a mené des instances publiques pour élaborer le Code sur les services sans fil et le Code des FSTV, ce qui a permis à toutes les parties intéressées, y compris l'industrie, les groupes de défense des consommateurs et les personnes, de participer à l'élaboration des codes. Par le passé, le CRTC a également encouragé l'industrie, notamment les entreprises de télévision par câble, à établir leurs propres principes de protection de la vie privée. Tel qu’il est mentionné à la question précédente, la conformité au Code sur les services sans fil et au Code des FSTV est gérée conjointement par le CPRST et le CRTC.

Gouvernance – Marques de confiance garantissant la protection de la vie privée

Dans quelles circonstances les marques de confiance constituent-elles un outil adaptable et fiable pour protéger la vie privée des consommateurs dans l’environnement numérique en pleine évolution?

Le CRTC ne dispose d’aucune politique réglementaire relative aux marques de confiance.

Comment un programme de sceaux de garantie fonctionnerait-il en parallèle avec la LPRPDE?

Le CRTC ne dispose d’aucune politique réglementaire relative aux sceaux garantissant la protection de la vie privée.

Évaluations éthiques

Dans quelle mesure les mesures proposées par le CIPL, le FPF et l’IAF sont-elles utiles et réalistes pour évaluer sur le plan éthique les utilisations des données?

Le CRTC ne dispose d’aucune expertise concernant cette question.

Dans quelle mesure peut-on s’attendre à ce que les entreprises s’autoréglementent d’une manière qui protège la vie privée des individus en cette nouvelle ère numérique?

Le CRTC a conclu qu'il était nécessaire d'imposer des règlements visant les renseignements confidentiels des consommateurs (plutôt que de s’en remettre à l'autoréglementation), car il estime que les forces du marché à elles seules ne suffiront peut-être pas à protéger la vie privée des consommateurs, mais aussi compte tenu de l'arrivée des nouvelles technologies et du commerce électronique qui permettent de traiter, de réorganiser et d'échanger facilement de l'information.

Comment devrait-on créer et financer ces comités d’éthique et en déterminer la composition? De qui devraient-ils relever et quel devrait être leur pouvoir décisionnel?

Bien que le CRTC ne possède aucune expertise en matière de création ou de financement de comités d'éthique, il dispose néanmoins d'une certaine expérience de surveillance dans le cas de la création d'une agence indépendante de protection des consommateurs, soit le Commissaire aux plaintes relatives aux services de télécommunication (CPRST). Le CPRST a été mis sur pied par l'industrie des télécommunications en réponse à une directive du gouvernement du Canada énoncée dans le Décret demandant au CRTC de faire rapport au gouverneur en conseil concernant les plaintes de consommateurs^{Note de bas de page 20} et est financé par l’industrie. Sa structure et son mandat sont approuvés par le CRTC et il doit rendre des comptes au CRTC. Le CPRST fait l’objet d’un examen par le CRTC de façon périodique. Le CPRST est dirigé par un conseil d'administration composé de quatre directeurs indépendants, dont deux sont nommés par des groupes de consommateurs, et de trois directeurs de l'industrie.

Modèles d’application

Quels pouvoirs supplémentaires, le cas échéant, devrait-on conférer au CPVP en matière de surveillance de la conformité et d’application de règles nouvelles ou renforcées régissant le consentement?

L'approche du CRTC à l'égard de la conformité et de l'application comprend la promotion de la conformité, la surveillance de la conformité et la réalisation d'activités d'application.

Le CRTC pourrait entreprendre un éventail d'activités pour promouvoir la conformité et sensibiliser les Canadiens au sujet de la non-conformité, y compris des activités d'éducation et de sensibilisation. De telles activités aident les personnes et les entités à se familiariser avec leurs obligations, ce qui les incite à agir volontairement pour se conformer à la loi, réduisant ainsi le besoin d'intervention de la part du CRTC. En outre, de telles activités amènent les consommateurs à reconnaître plus facilement les comportements non conformes, à les éviter et à les signaler. Le CRTC réagit à la non-conformité en utilisant, parmi les outils dont il dispose, celui ou ceux qui sont les mieux indiqués.

Le CRTC dispose d'un éventail d'outils qu'il peut utiliser pour assurer la conformité ou pour appliquer les règles. Dans chaque cas, le choix de l’outil adéquat dépendra du contexte factuel. Dans certains cas, le CRTC peut tenter de régler le problème de non-conformité en avisant la partie intéressée que certaines de ses activités risquent de donner lieu à une situation de non‑conformité, permettant ainsi à l'entreprise de prendre elle-même des mesures pour corriger la situation sans que le CRTC n’ait à prendre de mesures d'application supplémentaires.

Selon le contexte, une intervention plus sévère peut être de mise afin de forcer une entreprise à se conformer aux règles, de dissuader toute récidive et de prévenir tout préjudice. Dans ces cas, le CRTC peut opter pour d'autres mesures d'application, notamment envoyer une lettre d'avertissement, prendre une ordonnance, rendre le fait public (p. ex. « nommer et dénoncer ») ou intenter une poursuite. Le CRTC peut aussi recourir à des sanctions administratives pécuniaires (SAP) afin de promouvoir la conformité à ses règlements en matière de télécommunications, aux Règles sur les télécommunications non sollicitées, à la Liste de numéros de télécommunication exclus et à la LCAP. Même si la plupart des violations de ces règles peuvent faire l'objet d'une SAP, une telle pénalité ne sera pas imposée dans tous les cas. Dans le cas des règlements touchant la radiodiffusion, le CRTC peut brandir la menace de révoquer la licence comme outil de conformité et d'application.

Pour les cas de non-conformité, le CRTC peut assurer une surveillance continue de la conformité pour veiller à ce que l'entreprise se conforme et maintienne sa conformité aux règlements du CRTC.

Questions globales

Parmi les solutions proposées dans le présent rapport, lesquelles présentent selon vous le plus d’avantages? Veuillez expliquer pourquoi.
Avez-vous d’autres solutions à proposer pour relever les défis associés au consentement? Veuillez expliquer.
Quels rôles, responsabilités et pouvoirs devrait-on attribuer aux parties chargées de promouvoir l’élaboration et l’adoption de solutions pour mettre en place le système le plus efficace possible?
Le cas échéant, quelles modifications devrait-on apporter à la législation?

Le CRTC n’a pas d’opinion au sujet des questions globales.

Date de modification :: 2016-10-05

Sélection de la langue

Recherche et menus

Recherche