Comparution devant le Comité sénatorial permanent des transports et des communications
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Document d'information
Le 8 décembre 2009
Ottawa (Ontario)
Introduction
Le Commissariat à la protection de la vie privée du Canada a retenu les technologies de l’information et des communications émergentes parmi ses quatre priorités stratégiques. Le présent document traite de certaines questions émergentes sur le plan de la protection de la vie privée liées au secteur du sans-fil, à savoir le marketing comportemental, les données de localisation et l’informatique dans les nuages, dans le contexte de la mondialisation et de l’évolution des attitudes à l’égard du respect de la vie privée.
Mandat du Commissariat à la protection de la vie privée du Canada (CPVP)
Le mandat du Commissariat à la protection de la vie privée du Canada (CPVP) est de surveiller la conformité à la Loi sur la protection des renseignements personnels, qui s’applique aux pratiques des ministères et organismes du gouvernement fédéral en matière de traitement des renseignements personnels, et à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi visant la protection des renseignements personnels dans le secteur privé au Canada.
La Loi sur la protection des renseignements personnels impose des obligations aux quelque 250 ministères et organismes du gouvernement fédéral en ce qui a trait au respect du droit à la vie privée, en limitant la collecte, l’utilisation ou la communication de renseignements personnels. La Loi confère aux personnes le droit d’avoir accès et le droit de demander une rectification aux renseignements personnels que détiennent ces organisations fédérales à leur sujet.
La LPRPDE s’applique de façon générale à tout renseignement personnel recueilli, utilisé ou communiqué dans le cadre d’une activité commerciale. C’est un texte de loi neutre sur le plan technologique qui n’entrave aucunement les nouvelles technologies. Au contraire, au cours des huit dernières années, la LPRPDE est apparue comme un instrument dynamique et efficace qui a contribué à renforcer le droit des Canadiennes et Canadiens à une vie privée. La LPRPDE peut répondre à la plupart des situations où l’on recueille des renseignements personnels à des fins commerciales et sert d'outil efficace pour aider à protéger la vie privée dans l’élaboration de plans pour l’accès national aux réseaux à large bande et l’accès mobile universel (UMA).
Contexte
- Appareils sans fil et accès mobile universel
La connectivité aux réseaux nationaux à large bande et l’accès mobile universel devraient progresser rapidement au Canada et ailleurs dans le monde. Dans un avenir relativement rapproché, les usagers de partout au Canada, dans les centres urbains comme dans les régions rurales éloignées et du Nord, auront un accès haute vitesse au contenu offert sur Internet à partir de leur ordinateur ou de leur appareil mobile portatif. Cette évolution aura des conséquences importantes pour la protection de la vie privée.
Les téléphones intelligents soutiennent actuellement l’expansion des médias sur le marché nord-américain. Ils conjuguent les capacités vocales et textuelles de la téléphonie mobile traditionnelle aux fonctionnalités d’Internet et de l’informatique. Ils constituent une plateforme pour faire des appels, du réseautage social, des transactions bancaires en ligne et des achats au point de vente. Une personne qui possède un téléphone intelligent de dernière génération transporte avec elle un ensemble de capteurs, notamment une caméra, un microphone et un dispositif hautement précis de localisation.
Selon une enquête menée en décembre 2008 dans le cadre du projet Pew Internet & American Life, plus des trois quarts des spécialistes de l’industrie d’Internet croient que d’ici 2020, les appareils informatiques mobiles seront la principale plateforme de communication sur Internet pour la majorité des gens dans le monde. En d’autres termes, les appareils sans fil seront le principal moyen d’accès à Internet, et l’accès mobile universel sera la norme d’accessibilité aux services mobiles sur les réseaux IP à large bande. Grâce à l’accès mobile universel, les utilisateurs auront accès n'importe où à tous leurs services mobiles — voix, données et messagerie instantanée.
- Attitudes à l’égard de la vie privée et de l’utilisation de la technologie : les Canadiennes et Canadiens s’attendent à ce que leur vie privée soit respectée
Une enquête EKOS réalisée en 2009 pour le Commissariat a révélé que si les Canadiennes et les Canadiens ne sont pas conscients de certains risques qui se posent pour la vie privée, ou s’ils acceptent consciemment de faire des compromis sur ce plan, ils n’en ont pas moins des attentes élevées en ce qui a trait à la protection de leur vie privée, y compris en ligne, et ils se préoccupent de la façon dont leurs renseignements personnels sont utilisés, notamment lorsqu’il y a des mouvements transfrontaliers de données.
Plus de six Canadiennes et Canadiens sur dix (62 %) sont d’avis que la protection des renseignements personnels sera l’une des questions les plus importantes auxquelles ils devront faire face au cours des dix prochaines années. Par ailleurs, 60 % d'entre eux estiment que leurs renseignements personnels sont moins protégés qu’il y a dix ans. Enfin, 90 % d'entre eux s’inquiètent des conséquences des nouvelles technologies.
Les personnes agées de 45 à 65 ans risquent davantage de s’inquiéter de l’impact des nouvelles technologies sur la vie privée, tandis que les personnes de moins de 25 ans sont moins susceptibles d’exprimer une grande inquiétude à cet égard. De même, les Canadiennes et Canadiens de moins de 25 ans sont moins susceptibles de se préoccuper du traitement et du stockage hors frontières de leurs renseignements personnels.
Dans l’ensemble, 98 % des Canadiennes et Canadiens croient qu’il est important d’avoir des lois rigoureuses en matière de protection des renseignements personnels.
Les utilisateurs de téléphones intelligents envoient des messages textes et des courriels, naviguent sur Internet, transmettent des photos, regardent des vidéos et utilisent des services géoréférencés. En outre, les plus jeunes utilisateurs de téléphones intelligents préfèrent massivement la messagerie texte et le réseautage social aux appels vocaux.
Alors que les moyens par lequels les personnes peuvent interagir et vaquer à leurs occupations quotidiennes augmentent en raison des appareils mobiles, Internet contribue simultanément à modifier en profondeur la dynamique sociale.
Nous avons observé un changement fondamental dans la nature et le volume des renseignements personnels que les gens acceptent de partager dans le cyberespace. À l’ère des blogues, des profils en ligne, des réseaux sociaux et de Twitter, Internet est devenu un outil précieux qui permet aux gens de demeurer en contact et de communiquer avec leurs amis, leurs parents et d’autres connaissances. Et les appareils mobiles permettent aux gens de mettre encore plus facilement à la disposition de leurs amis, des entreprises et des gouvernements une quantité sans cesse croissante de données personnelles et comportementales.
Les jeunes gens sont particulièrement enthousiastes à établir et à maintenir une identité forte et dynamique en ligne. Notre rapport annuel de 2008 concernant la Loi sur la protection des renseignements personnels et les documents électroniques souligne que bon nombre de jeunes choisissent de se révéler au grand jour d'une manière que leurs parents auraient jugée impossible et leurs grands-parents, impensable. Ils étalent leur vie sur une scène publique qu’ils ont eux-mêmes conçue dans leur quête de visibilité, de connectivité et de connaissances.
Aperçu des défis sur le plan de la protection de la vie privée dans un monde électroniquement interconnecté
Les renseignements partagés afin de rester en contact avec des amis, acheter en ligne ou échanger avec des professionnels ayant des préoccupations semblables se retrouvent souvent utilisés de manière inattendue.
Bien que les jeunes soient plus disposés à communiquer des renseignements sans connaître ou comprendre pleinement les conséquences qui peuvent en résulter, tous les segments démographiques apprennent de dure façon — en se voyant refuser un emploi, en perdant leurs prestations d’invalidité de longue durée, en se retrouvant isolés lors d’une rencontre d’amis ou en se faisant voler leur identité — que de l’information qui semble être partagée en toute sécurité avec un nombre restreint de personnes est soudainement devenue de nature très publique et accessible à un grand nombre de personnes.
Même si la technologie et les perceptions sociales du respect de la vie privée évoluent rapidement, notamment parmi la jeune génération, les mesures de protection de la vie privée et la compréhension des conséquences imprévues du partage de renseignements qui leur sont associées ne suivent pas toujours.
En outre, divers problèmes systémiques entraînent des atteintes à la sécurité des données et la communication non autorisée de renseignements personnels. Notre rapport annuel de 2008 concernant la LPRPDE faisait mention de certains de ces problèmes : systèmes n’offrant aucune sécurité ou une sécurité inadéquate; connaissances et formation insuffisantes des employés sur la protection de la vie privée; employés mécontents; mauvaises procédures administratives, y compris les procédures de suppression des renseignements et les atteintes à la sécurité des données par des fournisseurs de services tiers.
Parmi les menaces les plus fréquentes au respect de la vie privée des utilisateurs d’appareils mobiles, on retrouve l’interception des signaux à l’aide de dispositifs spécialisés, l’accès aux messages textes, l’accès aux dossiers des utilisateurs, ainsi que l’emploi de la technologie Bluetooth (bluebugging) pour faire intrusion dans un appareil et avoir accès aux renseignements qui y sont stockés.
Le Commissariat a par ailleurs défini trois préoccupations relatives à la protection de la vie privée qui devraient acquérir plus d’importance avec l’expansion de l’utilisation des appareils sans fil. Il s'agit du marketing comportemental, des données de localisation et de l’informatique dans les nuages. Le marketing comportemental et l’informatique dans les nuages sont déjà des pratiques courantes sur Internet et elles prévaudront davantage lorsque les appareils sans fil deviendront l’outil de choix pour accéder à Internet.
- Marketing comportemental : préoccupations soulevées quant à l’absence de consentement
Le marketing comportemental consiste à suivre dans le temps les activités en ligne des consommateurs afin de leur présenter des annonces publicitaires correspondant à leurs intérêts individuels présumés. Pour cibler les annonces, les spécialistes du marketing comportemental recueillent des données sur les activités en ligne des utilisateurs à l’aide de diverses technologies de suivi, telles que les cookies. Parmi les renseignements que ces technologies recueillent, il y a notamment les pages visitées (sur un site unique ou divers sites), le temps passé à consulter des pages précises, les publicités visionnées, les articles lus, les achats effectués, les termes de recherche ou d’autres renseignements entrés, les préférences de l’utilisateur comme le type et la langue du fureteur, le système d’exploitation et les données géoréférencées. Les spécialistes du marketing comportemental se servent de ces données pour établir des profils d’utilisateurs, définir les catégories d’intérêts de ces derniers et leur présenter des annonces à partir des déductions faites au sujet de leurs intérêts.
On allègue que les données produites par le marketing comportemental sont regroupées et que les utilisateurs individuels ne sont pas identifiés. Qui plus est, on affirme que les consommateurs profitent de contenu gratuit et reçoivent des annonces et des offres de rabais plus pertinentes parce qu’elles correspondent à leurs intérêts. Toutefois, le Commissariat s’inquiète des répercussions de cette pratique sur la vie privée.
Il est rare que les données soient vraiment anonymes. Dans certains cas, des personnes ont été ré-identifiées et des profils anonymes ont été jumelés à d’autres renseignements pour identifier des personnes. De plus, les publicitaires ne demandent pas aux gens de donner leur consentement à la collecte, au stockage et à l’utilisation ou au partage avec des tiers de données qui les concernent, et les gens ne savent pas quelles données sont recueillies, ce que renferme leur profil et si ce profil est exact.
- Données de localisation : nulle part où se cacher
Déjà répandue sur Internet, la publicité comportementale suscitera des inquiétudes grandissantes à mesure que croîtra l’interaction des utilisateurs avec leur environnement au moyen des appareils mobiles.
De fait, l’environnement mobile est unique en ce que l’appareil est transporté par l’utilisateur. Les appareils sans fil de troisième génération (3G) possèdent la fonctionnalité GPS, qui permet de déterminer l’endroit où se trouve l’utilisateur à divers degrés de précision, selon les techniques employées. Cela a ouvert la voie à des services tels que Loopt et Google Latitude, qui indiquent la position et fournissent des données de mappage en fonction de l’emplacement de l’utilisateur. Le suivi et la surveillance géoréférencés peuvent révéler des renseignements très personnels à propos d’un individu. Le profilage des personnes en fonction de l’endroit où ils se trouvent et la création de bases de données de localisation suscitent de sérieuses préoccupations sur le plan de la protection de la vie privée.
Comme l’a souligné la commissaire adjointe Elizabeth Denham dans une allocutionFootnote 1 devant l’industrie de la géomatique du Canada, « Une préoccupation encore plus importante relativement aux questions de protection de la vie privée se rapporte à la possibilité de lier des renseignements géospatiaux à d’autres données, ce qui donne lieu à la création de renseignements personnels. En d’autres mots, on crée des renseignements personnels lorsqu’on établit des liens entre l’information et une position précise, permettant ainsi de mettre en relation ces nouveaux renseignements et une personne en particulier. »
- Informatique dans les nuages : où vont les renseignements personnels?
L’informatique dans les nuages utilise Internet et des serveurs centraux éloignés pour stocker des données et des applications. Généralement, les utilisateurs de l’informatique dans les nuages ne possèdent pas d’infrastructure matérielle — ce qui leur permet d’éviter des dépenses en immobilisations — mais en louent l’utilisation auprès d’un fournisseur indépendant. L’informatique dans les nuages leur permet d’utiliser des applications sans les installer et d’avoir accès à leurs fichiers personnels à partir de tout ordinateur branché à Internet. Ils consomment des ressources sous forme de services et paient uniquement pour les ressources qu’ils utilisent. L’informatique dans les nuages est généralement répartie en trois segments : les « logiciels », les « plateformes » et l’« infrastructure ».
Dans un modèle de « logiciels sous forme de service », l’utilisateur paie des frais d’abonnement à un fournisseur de services en retour de l’utilisation d’applications sur Internet à partir des serveurs centralisés du fournisseur, plutôt que sur le site même de l’entreprise. Le modèle de « plateforme sous forme de service » a trait à la fourniture du matériel et des logiciels (p. ex. des bases de données) qui permettent aux utilisateurs de développer et de déployer leurs propres applications. Le troisième modèle de l’informatique dans les nuages, l’« infrastructure sous forme de service », représente pour nous une préoccupation particulière. Dans ce modèle, plutôt que de conserver des données sur leur propre réseau informatique, les utilisateurs de l’informatique dans les nuages les stockent sur les serveurs du « nuage » pour les récupérer lorsqu’ils en ont besoin.
Bien que cela puisse ressembler à un cas classique de liens de sous-traitance, où les responsabilités respectives des parties sont clairement définies, ce n’est pas le cas. Dans un environnement dans les nuages, il n’y a pas de centre de données dédié où les renseignements sont conservés. « Les données peuvent être dispersées et stockées dans plusieurs centres de données un peu partout dans le monde. En fait, le recours à une infrastructure dans les nuages peut vouloir dire que de multiples copies des données sont conservées à différents endroitsFootnote 2. » [traduction] Dans un environnement dans les nuages, il n’y a pas de relation unique entre une partie et une autre; nous avons plutôt de multiples niveaux de relations, tels une toile, où l’utilisateur A conclut une entente avec le fournisseur B, lequel peut passer une entente avec les fournisseurs C et D qui, à l’insu de l’utilisateur A, peuvent eux-mêmes conclure des ententes avec les fournisseurs E, F et G.
Le partage et les transferts de données qui ont lieu au sein du nuage et l’impossibilité de déterminer facilement où se trouvent ou se sont trouvées les données comportent des implications d’ordre juridictionnel. Les renseignements personnels de Canadiennes et Canadiens passent d’un serveur à un autre, et d’une instance qui applique de rigoureuses mesures de protection des données à une autre où les données sont peu protégées. En raison de la nature diffuse de l’informatique dans les nuages, le contrôle et la surveillance des mouvements de données sont, à toutes fins utiles, très difficiles à exercer à l’heure actuelle.
La question des mesures de sécurité soulève également des préoccupations. Dans un régime d’informatique dans les nuages, les utilisateurs se fient aux mesures de sécurité prises par chacun des participants qui traite des renseignements personnels. Certaines entreprises peuvent appliquer des contrôles de sécurité adéquats, tandis que d’autres pourraient décider que la sécurité n’est pas une priorité.
Une question connexe est celle de la conservation des données personnelles. À l’heure actuelle, le Commissariat n’a pas une idée claire de ce qui se produit lorsque plusieurs copies des données sont dispersées et entreposées à différents endroits. Les renseignements extraits d’un site sont-ils aussi extraits des autres sites? Sont-ils mis à jour automatiquement sur tous les sites, ou y a-t-il plusieurs versions de ces renseignements sur divers sites dans le cyberespace? Pendant combien de temps les copies multiples sont‑elles conservées? La personne dont les données sont stockées dans une infrastructure dans les nuages a-t-elle donné son consentement pour que ses renseignements soient désagrégés et sauvegardés en multiples copies à différents endroits?
Position du Commissariat à la protection de la vie privée du Canada
La protection de la vie privée et la sécurité de l’information n’ont pas toujours la priorité lorsqu’on élabore ou utilise de nouveaux outils. Ce n’est pas là une mise en garde contre l’emploi de nouvelles technologies ou l’intégration de nouveaux outils aux activités quotidiennes. Il s’agit plutôt d’une reconnaissance du fait que les Canadiennes et Canadiens, notamment ceux de la jeune génération, ont besoin d’aide pour commencer à adopter des pratiques adéquates de gestion de l’information et s’assurer ainsi que leurs données personnelles sont recueillies par des organisations seulement avec leur permission, distribuées seulement s’ils le désirent et utilisées seulement avec leur accord.
Le Commissariat est d’avis que technologie et protection de la vie privée peuvent aller de pair, et que la nécessité de protéger les renseignements personnels passe par la sensibilisation des Canadiennes et Canadiens, la poursuite d’un dialogue étroit avec l’industrie, ainsi que des politiques et des lois éclairées aux niveaux national et international.
Au cours de l’année qui vient, le Commissariat à la protection de la vie privée a l’intention de faire un examen approfondi des questions liées à la protection de la vie privée que soulèvent le marketing comportemental, les données de localisation et l’informatique dans les nuages. La LPRPDE fera l’objet d’un examen en 2011 et, bien que ce texte de loi soit neutre sur le plan technologique, le Commissariat veut s’assurer qu’il continuera de répondre de façon optimale à l’évolution des technologies qui façonneront notre avenir.
Eu égard au caractère de plus en plus mondial des défis lancés à la protection de la vie privée, le Commissariat estime que des solutions durables découleront aussi des efforts de collaboration internationale.
Comment le Canada se compare-t-il aux autres pays dans l’optique de la technologie et de la vie privée?
En ce qui a trait spécifiquement à la question des appareils sans fil, certains pays tels que le Japon, la Corée et les pays scandinaves sont plus avancés en termes d’utilisation des téléphones mobiles pour payer des achats de biens et services et offrir des services géodépendants liés aux appareils mobiles. Les services de ce genre, qui suscitent des inquiétudes sur le plan du respect de la vie privée, ne font que commencer à être offerts à grande échelle au Canada.
Néanmoins, la plupart des lois sur la protection de la vie privée, telles que la LPRPDE et la Loi sur la protection des renseignements personnels, sont neutres sur le plan technologique. Habituellement, elles ne renferment pas de dispositions traitant expressément de la technologie des communications. Les lois sur la protection de la vie privée au Canada ressemblent aux lois des autres instances dans la mesure où elles reposent sur le même ensemble de « principes d’information équitable » — ne recueillir que les renseignements dont on a besoin et ne les utiliser qu’aux fins pour lesquelles ils ont été recueillis.
Nonobstant le fait que la majorité des commissaires à la protection des données et de la vie privée sont généralement perçus comme ayant des pouvoirs d’application de la loi et de surveillance plus étendus que ceux dont dispose le Commissaire à la protection de la vie privée du Canada, la LPRPDE — la loi sur la protection de la vie privée dans le secteur privé au Canada — donne des résultats satisfaisants. Il est difficile de penser à un autre texte de loi qui serait clairement supérieur.
Pour l’avenir : la Résolution de Madrid
Tel qu’indiqué précédemment, le Commissariat est d’avis que les initiatives internationales jouent un rôle de premier plan en vue de protéger la vie privée à l’ère technologique. À cet égard, nous sommes tout particulièrement satisfaits des résultats de la Conférence internationale des commissaires à la protection des données et de la vie privée, qui a eu lieu le mois dernier et qui a débouché sur l’adoption, par plus de 50 pays, d’une résolution intitulée Normes internationales de protection des données personnelles et de la vie privée (aussi appelée la Résolution de Madrid).
Essentiellement, ces normes constituent une proposition de mesures minimales de protection internationale. Elles définissent une série de principes et de droits qui garantissent une protection efficace de la vie privée au niveau international et qui faciliteront le mouvement des données personnelles — essentiels dans un environnement mondialisé. Tous ces principes se trouvent dans les textes juridiques existants de divers pays, y compris la LPRPDE. Parmi ces droits, il y a ceux portant sur l’accès, la correction, la possibilité de porter plainte, ainsi que la façon dont ces droits peuvent être exercés. Des obligations y figurent également, notamment en matière de sécurité des données personnelles, par l’application des mesures jugées appropriées dans chaque cas.
En outre, des transferts internationaux de données personnelles peuvent avoir lieu lorsque le pays vers lequel les données sont transférées offre au moins le niveau de protection envisagé dans le document, ou lorsque quiconque souhaite transférer des données est en mesure de garantir que le destinataire offrira le niveau de protection requis, par exemple au moyen de clauses contractuelles appropriées.
La Résolution de Madrid préconise aussi des mesures proactives visant à encourager les États à promouvoir une meilleure conformité aux lois qui s’appliquent à la protection des données, la mise en place d’organismes de supervision, ainsi que la coopération et la coordination des activités entre les États.
Le Commissariat, qui était l’un des proposants de cette résolution, est d’avis que la Résolution de Madrid constitue une étape importante vers l’élaboration d’un instrument ayant force obligatoire à l’échelle internationale qui contribuera à mieux protéger les droits et libertés des personnes partout dans le monde.
Conclusion
Les Canadiennes et Canadiens adoptent le sans-fil, multipliant ainsi les moyens par lesquels ils entrent en interaction, communiquent et accomplissent leurs tâches quotidiennes. Les nouvelles technologies sans fil soulèvent bien sûr des préoccupations sur le plan du respect de la vie privée, et le Commissariat à la protection de la vie privée du Canada a repéré trois enjeux émergents — le marketing comportemental, les données de localisation et l’informatique dans les nuages — qui méritent un examen plus approfondi. Néanmoins, le Commissariat croit également que technologie et protection de la vie privée peuvent aller de pair. Veiller à la protection de la vie privée passe par la sensibilisation des Canadiennes et Canadiens, l’élaboration de politiques éclairées aux niveaux national et international et la poursuite d’une étroite collaboration avec l’industrie.
- Date de modification :