La collecte de données Wi-Fi par Google Inc.
Rapport des conclusions en vertu de la LPRPDE no 2011-001
Table des matières
Sommaire
Plainte déposée par la commissaire
L'enquête sur Google Inc. (Google ou la défenderesse) menée par le Commissariat à la protection de la vie privée du Canada (CPVP ou le Commissariat) porte sur trois allégations concernant la collecte de renseignements personnels à partir de réseaux Wi-Fi canadiens non chiffrés. Selon ces allégations :
- la collecte de renseignements personnels par Google ne se limitait pas aux renseignements nécessaires aux fins déterminées par l'organisation;
- Google a recueilli des renseignements personnels sans déterminer et communiquer au préalable les fins auxquelles ces renseignements devaient être recueillis;
- Google a recueilli des renseignements personnels à l'insu et sans le consentement des personnes concernées.
Questions en litige
L'enquête portait principalement sur la collecte illégale de renseignements personnels. En mai 2010, Google a réalisé qu'elle avait recueilli des données utiles depuis des réseaux sans fil non sécurisés en divers pays, y compris au Canada, au cours d'opérations de collecte de données pour ses services de commerce mobile. « Données utiles » s'entend des renseignements de fond contenus dans une unité de transmission (ou paquet) et transmis dans Internet. Ces données sont susceptibles, selon la nature de la communication, de comprendre des renseignements personnels. Le Commissariat s'est donc efforcé, dans le cadre de son enquête, d'établir dans quelle mesure les données utiles recueillies par Google contenaient des renseignements personnels de citoyens canadiens.
Nous avons également examiné dans quelle mesure Google avait déterminé et communiqué avant la collecte à quelles fins elle recueillait des renseignements personnels à partir de réseaux Wi-Fi. À cet égard, nous avons voulu vérifier si les personnes dont les renseignements personnels ont été recueillis avaient fourni un consentement valable à l'égard de cette collecte. Bien que la plainte n'ait pas expressément soulevé de questions de sécurité, nous avons attaché une grande importance, dans notre enquête, à la nécessité de protéger adéquatement les renseignements personnels recueillis.
Constatations et conclusions
Le Commissariat a constaté qu'à l'égard de chacune des trois allégations — limitation de la collecte, détermination des fins de la collecte et consentement —, Google contrevenait à la Loi sur la protection des renseignements personnels et les documents électroniques; il a en outre conclu que les plaintes déposées par la commissaire étaient fondées. Google a accepté de suivre toutes les recommandations du Commissariat et s'est déjà engagée à mettre en place les mesures et mécanismes de contrôle requis en matière de protection de renseignements personnels pour éviter qu'un tel incident ne se reproduise. Au regard des allégations fondées et censées être réglées, nous avons fait part à Google de notre intention de demander une vérification indépendante des mesures correctives qui auraient été apportées dans l'année suivant la date du présent rapport.
Rapport de conclusions
Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
1. Le Commissariat avait des motifs raisonnables de croire que l'entreprise avait recueilli des renseignements personnels à partir de données utiles provenant de réseaux Wi-Fi canadiens non chiffrés. Le 31 mai 2010, il a donc déposé trois plaintes contre Google Inc. en vertu du paragraphe 11(2) de la Loi.
2. Les trois plaintes étaient les suivantes :
- la collecte de renseignements personnels par Google ne se limitait pas aux renseignements nécessaires aux fins déterminées par l'organisation (6100-010142);
- Google a recueilli des renseignements personnels sans déterminer et communiquer au préalable les fins auxquelles ces renseignements devaient être recueillis (6100-010141);
- Google a recueilli les renseignements personnels à l'insu et sans le consentement des personnes concernées (6100-010134).
3. Google a reçu avis de ces plaintes le 1er juin 2010. Le Commissariat a reçu les observations initiales de l'entreprise le 29 juin 2010.
4. Le 19 juillet 2010, le Commissariat a visité les installations de Google à Mountain View afin de : a) examiner les données utiles recueillies par Google à partir de réseaux Wi-Fi canadiens; b) s'informer des circonstances entourant l'incident de collecte de données; c) veiller à ce que les données utiles canadiennes soient isolées et stockées de façon sécuritaire; d) discuter des mesures en voie d'être mises en oeuvre pour atténuer le risque d'atteinte à la vie privée. Le Commissariat et les avocats de Google ont tenu des réunions supplémentaires par téléphone et par vidéoconférence en août et en septembre 2010.
5. Le 15 octobre 2010, le Commissariat a transmis un rapport préliminaire à Google. Nous avons fait part, dans ce rapport, de nos nombreuses préoccupations et nous avons formulé plusieurs recommandations. Le 1er février 2011, à la suite de réunions avec des représentants et avocats de Google, l'entreprise a présenté des observations écrites en réponse à nos recommandations. Le présent rapport des conclusions constitue l'aboutissement de nos enquêtes et de nos consultations avec l'entreprise.
Introduction
6. En mai 2010, à la suite d'une demande de vérification provenant de l'autorité de la protection des données de Hambourg, en Allemagne, Google a découvert qu'elle recueillait des données utiles à partir de réseaux sans fil non sécurisés dans le cadre de sa collecte de données Wi-Fi. Il semble que la collecte ait eu lieu dans le cadre d'opérations de collectes de données pour les services de commerce mobile de Google (au moyen des voitures Street View de l'entreprise).
7. Google soutient que les données utiles ont été recueillies par inadvertance. L'entreprise entendait, certes, recueillir de l'information du SSID diffusée publiquement et des adresses MAC (c'est-à-dire l'information provenant de réseaux Wi-Fi et les numéros uniques attribués aux routeurs Wi-Fi, respectivement), mais elle n'avait pas l'intention de recueillir des données utiles (c'est-à-dire le contenu des communications transmises au moyen de ces réseaux). Dans les faits, cependant, Google recueillait depuis plusieurs années des échantillons de données utiles transmises sur des réseaux Wi-Fi ouverts (non protégés par un mot de passe et non chiffrés) partout au Canada et en d'autres pays.
8. Selon Google, au début de 2006, un ingénieur de l'entreprise qui travaillait sur un projet Wi-Fi expérimental a mis au point un code capable de créer un échantillonnage de catégories de données Wi-Fi diffusées publiquement. En 2007, au moment du lancement du lecteur mobile de Google et de la collecte de données de base du réseau Wi-Fi pour les services de géolocalisation de Google, ce code a été incorporé dans le logiciel dont étaient équipées les voitures Street View. Google continue d'affirmer que la haute direction (ainsi que les chefs d'équipe du projet Street View) n'ont jamais prévu ni eu l'intention d'utiliser activement les données utiles.
9. Il faut préciser que l'entreprise a eu le mérite, après avoir appris qu'elle recueillait des renseignements personnels, d'avoir remisé ses voitures Street View, cessé la collecte de données de réseaux Wi-Fi (à partir du 7 mai 2010), isolé et stocké en mémoire toutes les données recueillies et informé de l'incident les autorités gouvernementales et les organismes responsables de l'application de la loi (ces mesures ayant pour but de supprimer les données en cause afin de réduire ou d'éliminer d'autres risques d'entrave à la vie privée).
10. Malgré ce qui précède, Google reconnaît que « les idées et les produits sur lesquels [elle travaille] repoussent souvent les limites de la technologie »Note de bas de page 1. Par conséquent, et compte tenu de sa situation de chef de file dans les domaines de la recherche, de l'application et de l'organisation de l'information, l'entreprise est peut-être investie d'une responsabilité envers ceux dont elle utilise les renseignements personnels : celle de mettre en place, en contrepartie de ses innovations, des mesures de protection appropriées relativement à la confidentialité des renseignements personnels.
11. Notre rôle, à titre d'organisme de réglementation, est essentiel. La Loi a pour objet d'établir un juste équilibre entre la nécessité pour une organisation de recueillir, d'utiliser et de communiquer des renseignements personnels à des fins appropriées, et le droit à la confidentialité des renseignements personnels qui est reconnu à chacun. Notre mission, à titre de défenseur du droit à la vie privée et responsable de la sensibilisation à cet égard, est néanmoins tout aussi importante. La collecte de communications privées effectuée par Google à partir de voitures circulant dans les rues des villes illustre à quel point les communications Wi-Fi non sécurisées peuvent être vulnérables et à quel point les renseignements personnels peuvent être accessibles lorsqu'ils empruntent ces voies.
12. S'il incombe à chacun de s'assurer d'être bien informé des risques liés à l'adoption de nouvelles technologies et d'utiliser les outils de contrôle de la confidentialité disponibles et appropriés, les organisations sont responsables de faire en sorte que les répercussions de nouveaux programmes et services sur la vie privée aient été dûment étudiées avant que ces programmes et services ne soient présentés au public. Bien entendu, des cas comme celui qui nous occupe aident à tracer la ligne de partage entre la responsabilité personnelle et la responsabilité des entreprises et à mettre au point de nouvelles règles d'engagement entre les deux parties. Le présent rapport, comme les rapports précédents, est un exemple de notre contribution à l'élaboration de ces règles.
Limitation de la collecte
Allégation
13. Sur la foi de l'information obtenue avant son enquête, le Commissariat avait des motifs raisonnables de croire que Google recueillait des renseignements personnels autres que ceux nécessaires aux fins déterminées par l'organisation, contrevenant ainsi au principe 4.4.1.Note de bas de page 2
Résumé de l'enquête
14. Afin de vérifier la nature et l'étendue des renseignements personnels recueillis par Google, le Commissariat a envoyé des experts techniques aux bureaux de Google à Mountain View pour examiner des échantillons des ensembles de données recueillies par l'entreprise dans le cadre de sa saisie Wi-Fi. L'examen a porté plus particulièrement sur le repérage des renseignements personnels compris dans les données utiles saisies durant la période s'échelonnant du 30 mars 2009 au 7 mai 2010, période au cours de laquelle les voitures Street View de Google s'affairaient à effectuer le relevé des routes canadiennes.
15. Selon la plupart des estimations, Google aurait recueilli environ 600 gigaoctets de données au cours des deux années où elle a utilisé les voitures Street View — ce qui équivaut approximativement, en termes d'information, à six étages d'une bibliothèque universitaire. Toutefois, on ne devrait pas considérer toutes ces données comme des renseignements personnels.
16. De manière générale, des renseignements deviennent personnels lorsqu'ils peuvent servir à identifier une personne. Comme les voitures Street View de Google étaient le plus souvent en mouvement pendant la collecte de données Wi-Fi, et étant donné que l'équipement Wi-Fi de l'entreprise intégré à la voiture changeait régulièrement et automatiquement de voie de transmission durant la collecte de données, l'entreprise ne pouvait recueillir que des bribes de données utiles. Dans certains cas, les bribes recueillies ne pouvaient pas être associées à une personne identifiable; l'information ainsi recueillie n'était donc pas des « renseignements personnels » aux termes de la Loi, même si celle-ci aurait pu ne pas être anodine.
17. Par ailleurs, nous avons également constaté que Google avait bel et bien recueilli des renseignements personnels. L'échantillonnage examiné révélait notamment des noms, des numéros de téléphones et des adresses d'un grand nombre de Canadiens. Nous avons aussi trouvé des messages électroniques complets, avec l'en-tête, des adresses IP, le nom d'hôte d'ordinateurs et le contenu de témoins, de messages instantanés et de sessions d'échanges en ligne.
18. Bien que nos vérifications aient eu pour but de réduire au minimum l'éventualité de nouvelles atteintes à la vie privée, nous avons été troublés de trouver, dans certains cas, des renseignements particulièrement sensibles, notamment des justificatifs d'identité informatique (c'est-à-dire le nom d'usager et le mot de passe), les détails concernant des infractions à la loi et certaines listes médicales. Même si les données brutes recueillies par Google ne permettaient pas toujours une identification parfaite, les renseignements recueillis étaient suffisants pour pouvoir être associés à des personnes au moyen de comparaisons ou d'agrégations de données.
Application et conclusion
19. Pour rendre décision sur cette question, nous avons appliqué le principe 4.4.1 et le paragraphe 5(3) de la Loi.
20. Le principe 4.4.1 interdit aux organisations de recueillir des renseignements personnels de façon arbitraire. La loi prévoit que la collecte de renseignements personnels doit aux renseignements nécessaires à la réalisation des fins déterminées par l'organisation. En outre, le paragraphe 5(3) précise que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
21. De par la nature même de ses activités — une collecte secrète et très étendue de données transmises dans des réseaux Wi-Fi ouverts partout au Canada — Google a contrevenu à l'exigence de limitation de la collecte de renseignements personnels aux fins déterminées par l'organisation. Malgré le fait que les renseignements personnels provenaient de réseaux non sécurisés (et étaient fragmentaires dans certains cas), il est impossible de concevoir qu'une personne raisonnable eût jugé cette collecte acceptable dans les circonstances.
22. Attendu que notre enquête a révélé qu'il y a eu collecte arbitraire de renseignements personnels — fait que l'entreprise ne conteste pas — nous concluons que Google a contrevenu aux principes énoncés ci-dessus, et plus particulièrement au principe 4.4.1.
Détermination des fins de la collecte
Allégation
23. Sur la foi de l'information obtenue avant l'enquête, le Commissariat avait des motifs raisonnables de croire que Google avait recueilli des renseignements personnels sans avoir auparavant déterminé et communiqué les fins auxquelles ces renseignements personnels devaient être recueillis, en violation des principes 4.2, 4.2.1 et 4.2.2.
Résumé de l'enquête
24. Aux termes de ses propres principes de confidentialitéNote de bas de page 3, Google s'efforce de recueillir les renseignements personnels de manière transparente. L'objectif de transparence à l'égard des renseignements que Google en a sa possession, et le fait de communiquer comment elle utilise ces renseignements pour la prestation de ses services, sont effectivement fort louables. À plusieurs égards, ces lignes de conduite se font l'écho du principe 4.8, selon lequel toute organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.
25. Malheureusement, malgré l'ouverture dont elle a fait preuve en dévoilant l'incident au public et aux autorités gouvernementales, Google n'a pas respecté ses propres normes de transparence. Pendant notre enquête, nous avons tenté de découvrir comment cela s'est produit.
26. Il semble que la collecte inopportune de renseignements aurait pu être évitée. Compte tenu de la nature de ses activités — « organiser les informations à l'échelle mondiale »Note de bas de page 4— des immenses ressources et de la masse d'expertise dont elle dispose, nous nous serions attendus à ce que Google dispose d'un programme de protection de la vie privée plus complet et, naturellement, des mesures de contrôle suffisantes pour garantir le respect des lois canadiennes sur la protection des renseignements personnels.
27. Google exerce un certain contrôle et une certaine surveillance de la confidentialité dans ses activités, particulièrement à l'égard de nouveaux projets comportant la collecte, l'utilisation et le stockage de renseignements personnels. Toutefois, ces processus n'ont pas fonctionné comme prévu dans le cas qui nous occupe.
28. Au moment de notre enquête, Google disposait d'une procédure d'examen officielle pour tous les lancements de produits externes. Les produits « externes » comprennent tous les projets destinés à la consommation publique ou à un service public. La procédure d'examen exige notamment qu'un conseiller en produits indépendant évalue les incidences de tout nouveau programme sur la protection des renseignements personnels. Non seulement cette procédure est-elle obligatoire, elle constitue également une première étape dans le processus complexe de conception des codes chez Google. Selon l'entreprise, les conseillers en produits sont des avocats en exercice, dont la plupart ont une certaine expérience dans la gestion de l'information et des renseignements personnels.
29. Comme elle l'a déjà mentionné, Google a mis au point en 2006 le code à l'origine de la collecte de données utiles dans le but de créer un échantillonnage de certaines catégories de données Wi-Fi diffusées publiquement. À cette époque, l'ingénieur responsable du codage croyait que ces données pourraient s'avérer utiles dans l'élaboration des futurs services de commerce mobile de Google.
30. En plus de reconnaître le potentiel opérationnel du code, l'ingénieur de Google a décelé, grâce au processus même de conception de codes de Google, plusieurs points préoccupants concernant la protection des renseignements personnels, notamment le fait qu'avec le code en question, Google serait en mesure de recueillir suffisamment de données pour déterminer avec précision la position d'une personne. Malheureusement, l'ingénieur a qualifié ces préoccupations [traduction] « d'incidences superficielles sur la confidentialité », de sorte qu'elles n'ont pas été communiquées pour examen aux conseillers en produits, contrairement au protocole de l'entreprise.
31. Bien qu'au moment de son élaboration, ses incidences sur la protection des renseignements personnels du code en question n'aient pas été dûment étudiées, il peut être surprenant de constater que ce code a échappé à tout examen ultérieur à cet égard, même au moment de son inclusion dans d'autres programmes de Google. Même si un examen par les conseillers en produits est exigé dans tous les cas où des produits « internes » doivent être utilisés ou intégrés dans des offres « externes », le code en question n'a jamais été contrôlé, au moment où il devait devenir opérationnel, pour en évaluer les répercussions en matière de confidentialité. Il a certes été analysé au regard de bogues techniques et de problèmes d'intégration, mais jamais dans le but de circonscrire ou d'examiner le genre de renseignements susceptibles d'être recueillis par suite de son inclusion dans les voitures Street View.
32. En exposant les raisons pour lesquelles la collecte de données utiles n'a pas été découverte avant 2010, Google a expliqué que nul (sauf peut-être l'ingénieur qui a créé le code) ne croyait que des données de cette nature pourraient avoir une utilité dans les activités de l'entreprise liées aux technologies de géolocalisation. L'ingénieur en cause n'ayant pas correctement anticipé les répercussions de son travail sur la confidentialité des renseignements personnels, aucun examen n'a été effectué à cet égard. Google soutient aussi que les données utiles recueillies représentaient une si petite partie de l'ensemble des données recueillies que la situation n'avait pas suscité suffisamment d'inquiétude pour justifier un examen plus attentif.
33. Nous estimons toutefois que le problème ne se résume pas à un simple oubli. L'insouciance à l'égard des questions de confidentialité soulevées par le code de l'ingénieur, et les examens superficiels effectués à ce chapitre par les gestionnaires dans les processus d'acceptation et d'intégration du code, sont signe à notre avis d'un problème beaucoup plus grave chez Google. Malgré les principes de base de Google en matière de confidentialité, cet incident donne à penser que ses employés ne sont pas suffisamment formés ni sensibilisés à cet égard. Peut-être l'entreprise ne dispose-t-elle pas des structures de gestion nécessaires pour s'acquitter de sa responsabilité relativement à la protection de la vie privée.
Application et conclusion
34. Pour rendre décision sur cette question, nous avons appliqué les principes 4.2, 4.2.1 et 4.2.2.
35. Le principe 4.2 prévoit que les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci. Le principe 4.2.1 exige que ces fins soient dûment documentées et communiquées.
36. Étant donné que Google n'a jamais eu l'intention de recueillir des données utiles, ni d'utiliser ces données dans ses produits, elle n'était pas en mesure de déterminer adéquatement les fins auxquelles elle recueillait ces renseignements, et elle ne pouvait pas non plus solliciter le consentement des personnes concernées. Par contre, au regard du principe 4.2.2, l'entreprise était en mesure d'examiner et d'étudier le genre de renseignements dont elle avait besoin et d'établir des recoupements entre ces besoins et le genre de renseignements qu'elle était susceptible de recueillir eu égard au code créé. Si elle avait procédé ainsi, elle aurait probablement recueilli uniquement les renseignements nécessaires aux fins qu'elle avait déterminées.
37. Attendu qu'elle a omis de déterminer et de documenter adéquatement les fins pour lesquelles elle avait besoin des renseignements personnels avant leur collecte, nous concluons que Google a contrevenu aux principes susmentionnés, et plus particulièrement au principe 4.2.2.
Consentement et mesures de sécurité
Allégation
38. Sur la foi de l'information obtenue avant l'enquête, le Commissariat avait des motifs raisonnables de croire que Google avait recueilli des renseignements personnels à l'insu et sans le consentement des personnes concernées, en violation du principe 4.3. Résumé de l'enquête
39. Google affirme que les renseignements personnels de Canadiens que contenaient les données utiles provenant de réseaux Wi-Fi ouverts ont été recueillis sans qu'elle en ait connaissance. Ainsi, au moment de la collecte, l'entreprise n'a pas demandé le consentement des personnes concernées.
40. Il faut souligner que Google a eu le mérite, dès qu'elle a réalisé qu'elle recueillait des renseignements personnels sans y avoir été autorisée, d'avoir remisé ses voitures Street View, cessé la collecte de données de réseaux Wi-Fi, isolé et stocké en mémoire toutes les données recueillies et informé de l'incident les autorités gouvernementales et les organismes responsables de l'application de la loi. Les données sauvegardées dans les lecteurs de disque dur installés dans les voitures du parc automobile Street View ont ensuite été transférées aux serveurs de Google.
41. Le 15 mai 2010, Google a regroupé les données utiles canadiennes dans un lecteur de disque dur chiffré. Une seconde copie du lecteur de disque dur chiffré a été faite à des fins de sécurité au moment du transport, mais a été détruite depuis. Au fil de notre enquête, Google nous a assuré que le support sur lequel les données canadiennes avaient été recueillies initialement avait aussi été détruit.
42. Le lecteur chiffré contenant les données utiles canadiennes est actuellement conservé dans un local sécuritaire de l'entreprise.
Application et conclusion
43. Pour rendre décision sur cette question, nous avons appliqué le principe 4.3. Selon ce principe, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
44. Nous avons aussi tenu compte du principe 4.5, qui prévoit que les renseignements personnels ne doivent être conservés qu'aussi longtemps que nécessaire pour la réalisation des fins déterminées.
45. Nous avons également pris en considération le principe 4.7, qui prescrit que les renseignements personnels dont une organisation a la gestion soient protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
46. Enfin, nous avons tenu compte du principe 4.1, selon lequel une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s'assurer du respect des principes énoncés ensuite. Nous nous sommes penchés plus particulièrement sur le principe 4.1.4, qui exige des organisations qu'elles assurent la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris la mise en œuvre des procédures pour protéger les renseignements personnels.
47. Attendu que Google a recueilli des renseignements personnels à l'insu des personnes concernées et sans leur consentement, nous concluons que Google a contrevenu au principe 4.3.
48. Quant aux mesures de sécurité prises à l'égard des renseignements, aucun élément de preuve de notre enquête ne donne à penser que Google n'a pas protégé adéquatement les données utiles canadiennes. Nous estimons que les mesures prises par Google après avoir découvert qu'elle recueillait des données utiles concernant des Canadiens, étaient justifiées, appropriées et suffisantes pour protéger les renseignements personnels recueillis au Canada. En conséquence, nous concluons que Google s'est conformée aux dispositions de la Loi en matière de sécurité.
49. L'avocat de Google a affirmé que les données utiles canadiennes seront gardées en sécurité jusqu'à ce qu'elles soient supprimées et que toutes les demandes de consultation de ces données provenant de tiers seront repoussées dans toute la mesure permise par la loi. À ce stade, nous ferons remarquer que divers lois et juridictions entrent en jeu — y compris les lois relatives à la preuve — et que celles-ci doivent entrer en ligne de compte pour déterminer le moment doit se faire la suppression des données utiles canadiennes.
Conclusion
Le 20 mai 2011
50. Le 15 octobre 2010, le Commissariat a transmis les conclusions préliminaires de son enquête à Google et a invité l'entreprise à y répondre. À la lumière de la réponse de Google, nous avons révisé notre lettre préliminaire de conclusions. Voici un résumé de nos dernières conclusions et recommandations.
51. Google, chef de file reconnu dans la gestion de l'information, est une entreprise qui, de son propre aveu, repousse parfois les limites des normes sociales et de la technologie. Elle possède également des ressources et une expertise immenses. À titre de leader de l'industrie, elle a une responsabilité particulière envers ceux dont elle utilise les renseignements personnels à des fins commerciales : celle de mettre en place, en contrepartie des innovations qu'elle propose, des niveaux de protection de la vie privée appropriés.
52. Dans le cas présent, Google n'a pas respecté ses propres normes de transparence dans la collecte de renseignements personnels. Les résultats de notre enquête indiquent que la collecte de données utiles aurait pu être entièrement évitée. Si les mesures de contrôle et d'observation de la loi mises en place par l'entreprise avaient fonctionné comme elles le devaient, et si cette dernière s'était dotée d'un cadre de gestion plus rigoureux du respect de la vie privée, cet incident ne serait probablement pas survenu. Les renseignements personnels recueillis concernant des Canadiens n'auraient probablement pas été exposés, et la réputation de Google en matière de respect de la vie privée n'aurait pas été si gravement affectée.
53. Tout en faisant part de nos conclusion selon lesquelles Google avait contrevenu à la Loi, nous souhaitons néanmoins reconnaître et saluer la façon dont l'entreprise a réagi suite à cet incident. Sans les mesures qu'elle a prises pour isoler et sécuriser les données utiles recueillies au Canada, les conséquences de cet incident auraient pu être beaucoup plus graves.
54. Grâce à toutes ces mesures, les renseignements personnels recueillis à partir de réseaux Wi-Fi canadiens semblent avoir été adéquatement sécurisés et attendent maintenant d'être détruits.
55. Google assure qu'elle continue de concevoir des mesures de protection de la confidentialité dans tous ses produits et services. Elle affirme également que ses employés continueront de recevoir une formation initiale et une formation sur le code de conduite, dont une partie porte sur la protection des renseignements personnels et la sécurité des données. Pour éviter qu'un incident de la sorte ne se reproduise, Google s'est aussi engagée à revoir sa procédure de lancement de produits, sa procédure d'examen des codes et les autres processus internes pertinents pour assurer une surveillance adéquate des questions afférentes au respect de la vie privée.
56. À la date de la transmission du présent rapport, la révision par Google de ses procédures et politiques en matière de respect de la vie privée était bien avancée.
Recommandations
57. Le Commissariat à la protection de la vie privée du Canada partage l'objectif que s'est donné Google qui est d'éviter qu'un tel incident se répète. À cet égard, nous sommes heureux de constater que Google a accepté de suivre nos recommandations pour que soit réduit au minimum tout risque futur d'une telle violation de la vie privée.
58. À cette fin, nous avons encouragé l'organisation à veiller à ce que tous les contrôles opérationnels soient complétés par un modèle de gouvernance global qui incorpore les principes de protection des renseignements personnels prévus dans la Loi. Nous avons également demandé à Google de voir à ce que la mise en œuvre du modèle de gouvernance pour la protection des renseignements personnels et celle des processus et procédures révisés soit réalisées dans un délai raisonnable.
59. Après avoir examiné l'information additionnelle transmise par Google au Commissariat le 1er février 2011, nous avons recommandé ce qui suit :
- Que Google réexamine et améliore la formation qu'elle dispense à tous ses employés en matière de confidentialité, dans le but d'accroître la sensibilisation et la compréhension du personnel quant aux obligations qui incombent à Google en vertu de la législation canadienne et internationale sur la protection de la vie privée.
- Que Google adopte un modèle de gouvernance en matière de protection de la vie privée qui :
- assure la mise en place et le fonctionnement efficaces de contrôles garantissant que les répercussions des programmes, produits et services sur la vie privée seront pris en compte avant leur lancement;
- prévoit que des employés compétents en matière de confidentialité soient désignés et affectés à la procédure d'examen et d'approbation des produits de Google
- fait en sorte que la direction assume la responsabilité du respect des obligations qui incombent à Google en vertu des lois relatives à la protection de la vie privée.
- Que Google détruise les données utiles canadiennes recueillies, dans la mesure où elle y est autorisée par les lois du Canada et des États-Unis. Si les données utiles recueillies au Canada ne peuvent pas être détruites immédiatement, elles doivent continuer d'être dûment sécurisées, et l'accès à ces données doit être strictement limité.
Réponse
60. En réponse à notre recommandation concernant la formation en matière de confidentialité, Google a déclaré qu'elle augmentera de manière substantielle la formation sur la confidentialité et la sécurité qu'elle dispense à tous ses employés, aussi bien les nouveaux employés que le personnel actuel. Le programme de formation, qui a débuté en décembre 2010, s'étendra à tous les postes au sein de l'organisation et met un accent renouvelé sur les Principes applicables à la confidentialité de Google (ainsi que sur les obligations qui incombent aux employés en vertu du code de conduite de l'entreprise).
61. Aux termes du Code de conduite de Google, les employés ont la responsabilité de comprendre leur obligation de [traduction] « respecter et protéger la confidentialité » des renseignements personnels des utilisateurs. Cette obligation comporte l'exigence pour tous les employés de prendre part à une formation sur le Code de conduite. La participation à cette formation est obligatoire au moment de l'entrée en fonction chez Google, puis à tous les deux ans.
62. En plus de la formation susmentionnée, Google a commencé à mettre en place de nouveaux modules de formation en ligne pour tous ses employés. Certains d'entre eux portent plus particulièrement sur la sécurité et la confidentialité des données. La version de présérie du module sur la sécurité des données a été introduite en décembre 2010, et on procède apparemment à sa révision finale en vue de sa mise en œuvre complète. La participation de tous les employés à ces modules de formation sera obligatoire, et cette participation sera contrôlée au moyen des outils de vérification internes de Google.
63. Enfin, Google offrira cinq programmes de formation additionnels conçus tout spécialement pour traiter des questions de confidentialité dans les contextes de l'ingénierie, de la gestion des produits, des ressources humaines, de la vente, et des services juridiques de l'entreprise. Google a mentionné que depuis la fin de 2010, une équipe interfonctionnelle (regroupant des membres des équipes de l'ingénierie, de la gestion des produits, des activités commerciales, des conseillers en matière de confidentialité et des conseillers en produits de Google) anime des séances de formation pour les nouveaux employés qui se joignent à l'équipe d'ingénierie ou à l'équipe de gestion des produits de Google. Une fois lancées, ces séances de formation seront dispensées par des ingénieurs et des gestionnaires de produits qui ont fait preuve de leadership en matière de confidentialité. Des modules de formation semblables seront créés à l'intention d'autres employés de Google qui traitent des données personnelles ou qui prennent part aux efforts de Google pour assurer la protection de la vie privée, y compris les services juridiques de l'entreprise.
64. En réponse à notre recommandation concernant la gouvernance en matière de respect de la confidentialité, Google dit travailler à la mise en place d'un système permettant d'exercer un suivi sur tous les projets nécessitant la collecte, l'utilisation ou le stockage de renseignements personnels et d'exiger des ingénieurs et gestionnaires responsables de ces projets qu'ils rendent des comptes au sujet de la confidentialité.
65. En novembre 2010, Google a instauré l'obligation, pour les chefs de projets d'ingénierie (les [traduction] « chefs techniques ») de rédiger, de conserver, de présenter et de tenir à jour des documents portant sur « la protection de la vie privée dès l'étape de la conception » pour chacun des projets dont ils sont responsables. Si le projet fonctionne comme prévu, il permettra de disposer d'une documentation obligatoire sur la confidentialité en ce qui touche les produits axés sur les utilisateurs, les projets expérimentaux, et les services internes de Google. Ces documents devraient contribuer de façon substantielle à faire en sorte que les équipes techniques et les équipes travaillant sur les produits évaluent les répercussions de leurs produits et services sur la protection de la vie privée, depuis leur conception jusqu'à leur lancement. Plus précisément, les chefs techniques de Google devront, dans les documents sur la protection de la vie privée dès la conception, décrire le genre de données recueillies, manipulées ou traitées dans le cadre de leurs projets ainsi que la façon de protéger ces données. Les documents devront être régulièrement révisés par les gestionnaires et il en sera tenu compte dans les examens périodiques d'évaluation du rendement des employés. Google prévoit que le premier ensemble de révisions des gestionnaires aura lieu en 2011.
66. Pour compléter les documents susmentionnés, Google s'appuiera sur un certain nombre de processus destinés à valider l'information fournie par les chefs techniques, ce qui garantira le respect de pratiques exemplaires en matière de protection de la vie privée. Ces processus sont concentrés autour du travail de l'équipe d'examen de la confidentialité, des conseillers en produits, des conseillers en matière de confidentialité et de l'équipe de vérification interne de Google. L'équipe de vérification interne procédera à des contrôles périodiques pour s'assurer que des documents de définition de la confidentialité sélectionnés ont bien été préparés et qu'ils ont été révisés par les gestionnaires compétents. Elle procédera également à des vérifications trimestrielles de certains produits pour certifier la conformité des pratiques de confidentialité afférentes à ces produits par rapport à des procédures de contrôle déterminées.
67. En ce qui touche plus précisément ses services de commerce mobile, Google expérimente une procédure d'examen interfonctionnelle en vertu de laquelle des membres de l'équipe technique en matière de confidentialité, de l'équipe de conseillers en produits et de celle des conseillers en matière de confidentialité étudient des propositions faisant appel à la géolocalisation pour des activités de collecte et examinent les programmes logiciels qui doivent être utilisés pour la collecte de données.
68. Enfin, pour ce qui est de la suppression des renseignements personnels, Google a déclaré avoir commencé à supprimer les données utiles désignées comme des données recueillies au Canada. Comme prévu, la myriade de règles et de règlements auxquels l'entreprise doit se conformer en vertu des lois canadiennes et américaines a compliqué ce processus. Alors que le processus de suppression se poursuit, Google a assuré au Commissariat que nul, à part les enquêteurs du CPVP et les personnes qui ont facilité leur enquête, n'a eu accès aux données utiles canadiennes (désignées comme telles). Jusqu'à ce que les données puissent être entièrement détruites, elles demeureront isolées et sécurisées, et personne ne les utilisera.
Suivi
69. En somme, le Commissariat considère qu'une fois pleinement mises en œuvre, les mesures correctives proposées par Google et expliquées ci-dessus résoudront les problèmes de confidentialité qui sous-tendent nos recommandations.
70. Cela dit, le Commissariat demeure profondément préoccupé par cet incident. Nous estimons que les violations de la Loi, dans le cadre de cet incident, résultent en grande partie du fait que Google n'avait pas mis en place les politiques et procédures pour protéger les renseignements personnels. En effet, sur le plan de la responsabilité, non seulement Google est-elle garante des renseignements personnels dont elle assume la gestion, mais elle doit aussi, en vertu de la Loi, se doter des politiques et des pratiques nécessaires pour être conforme aux principes prévus dans celle-ci. Sans l'assurance que les organisations régies par la Loi appliquent aussi les pratiques adéquates pour protéger les renseignements personnels, le principe de la responsabilité ne représenterait guère plus qu'un vœu pieux.
71. L'obligation pour les organisations de se doter des pratiques voulues concorde avec cette opinion de plus en plus partagée à l'échelle internationale selon laquelle la protection des renseignements personnels exige la mise en place de mesures réelles et efficaces. Le Commissariat est d'avis que les organisations doivent se munir de mesures appropriées et efficaces pour pouvoir appliquer les principes et obligations édictés dans la Loi, et notamment de programmes de conformité et de formation efficaces, une mesure essentielle pour que les organisations soient tenus de rendre des comptes au sujet des renseignements personnels qu'elles recueillent, utilisent ou communiquent.
72. Compte tenu de l'importance de pouvoir disposer de procédures et politiques pour la mise en œuvre des mesures de protection des renseignements personnels prévues dans la Loi, et considérant que celles-ci ne sont pas infaillibles, comme l'illustre clairement le cas présent, nous demandons également à Google de se prêter à une vérification indépendant de ses programmes de protection de la vie privée et d'en partager les résultats avec nous, dans un délai d'un an à compter de la date du présent rapport. Nous estimons que cette vérification permettra d'évaluer l'efficacité des mesures proposées par Google au regard de l'ensemble du programme de l'entreprise en matière de respect de la vie privée.
73. Le Commissariat est conscient que la mise en œuvre complète de ses recommandations est susceptible de prendre un certain temps, le Commissariat donnera un an à Google pour ce faire. Le Commissariat continuera à manifester un intérêt continu envers la mise en œuvre, par Google, des mécanismes lui permettant de se conformer à la Loi. Ainsi, nous surveillerons de près, au cours des douze prochains mois, la mise en œuvre de nos recommandations.
74. Toujours déterminés à suivre ce dossier, nous communiquerons avec Google l'année prochaine pour vérifier si nos recommandations ont été appliquées dans leur intégralité. Nous déciderons alors de la meilleure approche pour donner suite à cette affaire, le cas échéant, en conformité avec les pouvoirs que nous confère la Loi.
Notes
- Date de modification :