L'établissement d'un cadre réglementaire pour le 9-1-1 de prochaine génération au Canada
Soumission du Commissariat à la protection de la vie privée du Canada à l'intention du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC)
Le 20 mai 2016
Madame Danielle May-Cuconato
Secrétaire général
Conseil de la radiodiffusion et des télécommunications canadiennes
Ottawa (Ontario)
K1A 0N2
Objet : Avis de consultation de télécom CRTC 2016-116 — Appel aux observations sur l'établissement d'un cadre réglementaire pour le 9-1-1 de prochaine génération au Canada
Madame,
- Le 29 mars 2016, le CRTC a émis l'Avis de consultation de télécom CRTC 2016-116, qui est un appel à la soumission d'observations concernant l'établissement d'un cadre réglementaire pour les services 9-1-1 de prochaine génération (9-1-1 PG) au Canada.
- Le Commissariat à la protection de la vie privée du Canada (le Commissariat) présente les observations en vertu de son mandat législatifNote de bas de page 1 qui est de protéger le droit des personnes à la vie privée et de promouvoir les mécanismes de protection de la vie privée offerts aux Canadiens.
- Comme plusieurs questions de l'Avis de consultation de télécom CRTC 2016-116 sont liées à des sujets qui ne relèvent pas de la compétence du Commissariat, nous nous en sommes tenus aux questions qui sont dans les limites de notre mandat. En raison de l'ampleur et de la portée des renseignements personnels en cause dans les services 9-1-1 PG, nos observations prennent également en compte des considérations générales ayant trait à la vie privée.
- Nos observations sont regroupées sous les titres suivants :
- Pouvoirs et rôles complémentaires du Commissariat et du CRTC
- Commentaires antérieurs du Commissariat sur la vie privée et les services 9-1-1 PG
- Prise en compte des difficultés en matière de politique
- Les services 9-1-1 PG et la nécessité de solides mesures de protection de la vie privée
- Conclusion
I - Pouvoirs et rôles complémentaires du Commissariat et du CRTC
- Le Commissariat a pour mandat de surveiller le respect de la Loi sur la protection des renseignements personnels, qui porte sur les pratiques de gestion des renseignements personnels des ministères et organismes du gouvernement fédéral, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est la loi fédérale applicable au secteur privé. La LPRPDE s'applique aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'activités commerciales. Elle ne s'applique pas aux organisations régies par une loi provinciale jugée essentiellement similaire à la LPRPDE.
- Dans toutes les provinces, y compris celles qui ont des lois essentiellement similaires, la LPRPDE s'applique également aux entreprises qui effectuent des transactions interprovinciales ou internationales et à toutes les organisations sous réglementation fédérale (ce qui inclut les entreprises œuvrant dans le secteur des télécommunications).
- En règle générale, la LPRPDE ne devrait pas s'appliquer aux pratiques de traitement des renseignements personnels de la plupart des centres d'appel de sécurité publique (CASP), puisque ces centres n'exercent habituellement pas d'activités commerciales.
- En outre, les CASP ne sont normalement pas gérés par des ministères ou organismes du gouvernement fédéral. En vertu du cadre constitutionnel du Canada, les gouvernements provinciaux et territoriaux et les autorités locales sont les premiers à intervenir dans la grande majorité des situations d'urgence.
- Les lois provinciales et territoriales peuvent s'appliquer aux CASP. Par exemple, nous savons que le gouvernement du Manitoba a adopté la Loi sur les centres téléphoniques de sécurité publique — service d'urgence 911, qui renferme des dispositions relatives à la confidentialité, et prévoit des sanctions en cas de mauvaise utilisation des renseignements personnels reçus par un CASP.
- Le CRTC tire son pouvoir de réglementer l'industrie des télécommunications de la Loi sur les télécommunications. En vertu de l'article 7 de la Loi, les objectifs de la politique de télécommunication incluent la protection de la vie privée des personnes en matière de télécommunications. Plus particulièrement, les alinéas 7a) et 7i) de la Loi sur les télécommunications précisent les objectifs suivantsNote de bas de page 2 :
7a) favoriser le développement ordonné des télécommunications partout au Canada en un système qui contribue à sauvegarder, enrichir et renforcer la structure sociale et économique du Canada et de ses régions;
7i) contribuer à la protection de la vie privée des personnes. - Comme le Commissariat l'a signalé lors d'observations précédentes au CRTC, même si les rôles du Commissariat et du CRTC sont complémentaires, ils ne sont pas redondants, étant donné les différences quant aux fonctions et aux pouvoirsNote de bas de page 3. La LPRPDE est une loi d'application générale qui porte sur diverses industries, tandis que la Loi sur les télécommunications est une loi propre à un secteur qui permet au CRTC d'élaborer des lignes directrices et des règlements spécifiques visant des enjeux au sein de l'industrie en questionNote de bas de page 4.
II - Commentaires antérieurs du Commissariat sur la vie privée et les services 9-1-1 PG
- Le Commissariat a déjà formulé des commentaires à l'intention du CRTC concernant les services 9-1-1 PG. En 2013, nous avons présenté nos commentaires au sujet de l'Avis de consultation de télécom CRTC 2012-686 — Appel d'observations sur : les questions liées au service 9-1-1. Dans ces observations, nous faisions ressortir l'importance de prendre en compte les considérations liées à la protection de la vie privée aux stades de la planification et de l'élaboration afin de faire en sorte que les renseignements personnels soient protégés au moment de l'exploitation et de la mise en œuvre. Nous aimerions ajouter à ce propos que cet objectif requiert le recensement de toute la gamme des considérations sur l'exploitation, la mise en œuvre et les politiques.
- En ce qui concerne l'ampleur et la portée des données utilisées dans le cadre des services 9-1-1 PG, nous avons noté qu'en plus de l'information sur la voix et le lieu, il est envisagé que les services 9-1-1 PG puissent recevoir des messages textes, des images, des vidéos et même des renseignements tels que des dossiers médicaux et des plans des bâtiments. Il pourrait également être possible pour l'infrastructure des services 9-1-1 PG de recevoir des communications de capteurs à déclenchement automatique tels que les systèmes d'alerte automatique de collision automobile, les dispositifs d'alertes médicales et les systèmes de transport intelligentsNote de bas de page 5.
- Ces transmissions peuvent être effectuées par téléphone filaire, téléphone sans fil ou la communication vocale sur protocole Internet (VoIP).
- Par conséquent, les services 9-1-1 PG pourraient recevoir beaucoup plus de données, et des données de nature beaucoup plus sensible, que les appels 9-1-1 traditionnels par téléphone filaire.
- Il est vrai que les premiers intervenants et les autres organisations qui interviennent en cas d'urgence doivent souvent avoir accès aux renseignements personnels. Nous sommes également conscients que les services 9-1-1 PG pourraient offrir des avantages à certaines personnes, notamment les malentendants et les déficients visuels, pour communiquer des renseignements en cas d'urgence.
- Pour souligner l'importance qu'il accorde à ces questions, le Commissariat, de concert avec ses homologues des provinces, a élaboré une trousse d'urgence pour la protection des renseignements personnelsNote de bas de page 6 qui donne des indications sur la manière dont les renseignements personnels peuvent être communiqués en cas d'urgence en vertu des lois canadiennes sur la protection de la vie privée.
III - Prise en compte des difficultés en matière de politique
- Nous appuyons la politique de confidentialité actuelle du Conseil sur les services 9-1-1 qui établit que le nom, le lieu, le numéro de téléphone et la catégorie de service associés au numéro de téléphone sont fournis dans le seul but de répondre à l'appel au 9-1-1Note de bas de page 7. Toutefois, nous notons que les services 9-1-1 PG peuvent englober plus de renseignements que les éléments d'information susmentionnés, et à ce titre nous appuyons les efforts pour que la politique actuelle porte sur toute la gamme de renseignements associés à une transmission aux services 9-1-1 PG.
- Bien que nous soyons conscients que cette consultation se limite à des questions qui relèvent de la compétence du Conseil, nous gardons à l'esprit que les services 9-1-1 PG pourraient faire entrer en jeu divers intervenants, depuis les fournisseurs de services de télécommunications jusqu'aux gouvernements provinciaux et territoriaux, en passant par les autorités locales.
- Nous avons également pris connaissance de l'Avis de consultation de télécom CRTC 2012-686, qui annonçait la nomination d'un enquêteur pour effectuer des recherches sur les services 9-1-1 au CanadaNote de bas de page 8. Le rapport de l'enquêteur, qui portait également sur les services 9-1-1 PG, soulignait l'importance d'établir un forum multi-intervenants pour discuter de questions multilatérales qui touchent de nombreuses administrationsNote de bas de page 9.
- À la lumière de ce rapport, nous accueillons favorablement les commentaires du Conseil dans la Politique réglementaire de télécom CRTC 2014-342, où il préconise une meilleure coordination des questions concernant les services 9-1-1, y compris la possibilité que le Groupe de travail Services d'urgence (GTSU) du Comité directeur du CRTC sur l'interconnexion (CDCI) réunisse les intervenants pour élaborer des solutionsNote de bas de page 10. Le Commissariat appuie ces efforts pour les services 9-1-1 et 9-1-1 PG.
Considérations relatives à la protection des renseignements personnels
- La consultation fait état d'un certain nombre de questions à examiner, y compris celles se rapportant à la vie privée et aux considérations d'application et de mise en œuvre associées à la technologie et à l'information qui faciliteraient les communications visant les services 9-1-1 PG. Nous pensons que l'on devrait se pencher sur ces questions non pas de façon distincte, ni comme si les questions ne faisaient que se recouper, mais en les abordant comme un tout cohérent au moment de la planification et de la mise en œuvre de politiques et de procédures.
- Nous recommandons que les politiques et les procédures connexes tiennent compte de la protection de la vie privée et qu'elles soient conformes aux lois sur la protection des renseignements personnels. Ces considérations doivent être prises en compte dans toutes les exigences opérationnelles relatives aux services 9-1-1 PG et en tenant compte de l'ampleur et de la portée des renseignements visés.
- Du point de vue de la protection de la vie privée, il est impératif de se pencher sur des questions comme les limites à imposer à l'utilisation et à la communication des renseignements, les procédures de conservation et les mesures de protection de ces renseignements. Il convient de définir les rôles et les responsabilités de toutes les parties de manière à garantir la reddition de comptes et une gouvernance efficace des pratiques de gestion des renseignements personnels. On pourrait par ailleurs officialiser les rôles et les responsabilités de tous les intervenants en adoptant des normes, des codes de conduite obligatoires ou d'autres mécanismes. Il est entendu que la présente consultation ne porte que sur les questions qui relèvent de la compétence du Conseil, mais nous suggérons que des politiques et procédures de ce genre s'appliquent à tous les intervenants des services 9-1-1 PG.
- Il appert également que, selon la norme à utiliser pour les services 9-1-1 PG, les règles stratégiques autorisent plusieurs fonctions, dont l'acquisition automatique de données supplémentaires lorsque ces données sont accessiblesNote de bas de page 11. Nous insistons sur le fait qu'il faudrait imposer des limites de manière à restreindre la collecte de renseignements à ceux qui sont nécessaires aux fins des communications requises par les services 9-1-1 PG. L'utilisation de certains renseignements aux fins de gestion des réseaux peut être légitime, mais elle devrait se limiter aux renseignements nécessaires. Et même dans ce cas, il faudrait imposer des limites concernant les modalités d'accès à ces renseignements par les divers intervenants, et notamment prévoir des mesures d'identification et d'authentification ainsi que des contrôles de vérification.
- Dans son rapport, l'enquêteur indique que les renseignements recueillis pourraient servir à mesurer le rendement ou à réaliser des économies, compte tenu du nombre et de la diversité des données pouvant être associées aux services 9-1-1 PG. Nous tenons à faire une mise en garde : compte tenu du volume colossal de données associé aux services 9-1-1 PG, dont les métadonnées et les données intégrées, on ne peut ignorer les risques et les difficultés particulières liés à la dépersonnalisation et à l'anonymisation efficaces de ces données. Une fois que nous aurons des éclaircissements sur l'infrastructure des services 9-1-1 PG, d'autres questions encore pourraient se poser, notamment si l'on fait appel à des tiers fournisseurs, comme les fournisseurs de services infonuagiques.
- Il se pourrait que les services 9-1-1 PG soient conçus et mis en œuvre par étapes. Il est donc difficile de prévoir tous les problèmes de confidentialité qui pourraient survenir. L'évaluation des risques pour la vie privée doit se faire de façon continue. Au fur et à mesure que ces questions seront soulevées, à l'étape de la planification, il pourrait être utile d'en discuter avec un large éventail d'intervenants qui pourront éclairer la prise de décisions stratégiques en matière de protection de la vie privée.
- Par conséquent, nous préconisons de déterminer toutes les finalités des services 9-1-1 PG de manière à recenser toutes les considérations relatives à la protection de la vie privée qui y sont associées. Autrement, il sera difficile de déterminer quels sont les défis au chapitre de la protection de la vie privée et les solutions d'atténuation des risques pertinents.
- Par ailleurs, l'éducation du public devrait être un élément essentiel préalable à la mise en œuvre des services 9-1-1 PG. Les gens doivent être informés de l'utilisation qui sera faite de leurs renseignements personnels et savoir à qui ils seront communiqués et comment ils seront protégés.
IV - Les services 9-1-1 PG et la nécessité de solides mesures de protection de la vie privée
- Compte tenu du grand nombre de renseignements compris dans l'architecture d'information des services 9-1-1 PG, les mesures de protection auront une importance cruciale. Les gens devront avoir l'assurance que leurs renseignements seront protégés de façon adéquate. Dans le cas contraire, le manque de confiance risque de les dissuader d'utiliser ce service. Nul ne devrait avoir à choisir entre sa sécurité et son bien-être d'un côté, et la protection de ses renseignements personnels de l'autre.
- Nous sommes conscients qu'il sera probablement difficile d'établir un cadre de protection de la vie privée robuste, compte tenu du grand nombre d'entités qui pourraient être amenées à fournir des services 9-1-1 PG. Cette question fait ressortir toute l'importance d'un forum sur la politique qui se pencherait sur les questions intergouvernementales.
- Dans la Décision de télécom 2015-531, le CRTC a approuvé l'adoption de la norme d'architecture i3 de la National Emergency Number Association (NENA) pour les services 9-1-1 PGNote de bas de page 12. Cette décision découle d'une recommandation du rapport que le Groupe de travail Services d'urgence (GTSU) du Comité directeur du CRTC sur l'interconnexion (CDCI) a présenté au ConseilNote de bas de page 13. Il y est précisé que, même si d'autres autorités ont retenu des modèles divers, ces modèles s'appuient tous sur la norme i3 de la NENA.
- La norme d'architecture i3 de la NENA comporte des normes techniques liées à la protection de la vie privée et à la sécurité, et nous recommandons l'application de ces normes de manière à ce qu'elles prennent en compte : i) les obligations et les exigences des lois canadiennes sur la protection des renseignements personnels; ii) toutes les utilisations qui seront faites des renseignements personnels et toutes les formes de communication de ces renseignements; et iii) les considérations stratégiques des nombreux intervenants et des nombreuses administrations concernés.
Conclusion
- La LPRPDE ou une loi provinciale essentiellement similaire s'appliqueront à certaines des entités associées aux services 9-1-1 PG, par exemple les fournisseurs de services de télécommunication, les fabricants d'automobiles et les entreprises qui offrent des systèmes d'alarme ou de surveillance résidentiels. Toutefois, certaines de ces entités pourraient ne pas être visées par les lois fédérales, provinciales ou territoriales sur la protection des renseignements personnels.
- Les services 9-1-1 de prochaine génération soulèvent de nombreuses questions importantes et difficiles sur le plan de la protection de la vie privée. Bien que nos observations concernent les organisations visées par les lois dont nous surveillons l'application, nous pensons que les Canadiens s'attendent à ce que leurs renseignements personnels soient protégés de la manière la plus respectueuse possible de la vie privée dans l'ensemble de l'architecture de communication des services 9-1-1 PG et par toutes les parties.
Veuillez agréer, Madame, l'expression de ma considération distinguée.
Le commissaire à la protection de la vie privée du Canada,
Original signé par
Daniel Therrien
- Date de modification :