Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Demande en vertu de la partie 1 du Centre pour la défense de l’intérêt public (CDIP)

Mémoire du Commissariat à la protection de la vie privée du Canada au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC)

Le vendredi 27 novembre 2020

Monsieur Claude Doucet
Secrétaire général
Conseil de la radiodiffusion et
des télécommunications canadiennes
Ottawa (Ontario) K1A 0N2

Objet : Demande en vertu de la partie 1 2020-0576-98665-P8-202005769 – Centre pour la défense de l’intérêt public – Demande concernant l’application Alerte COVID, l’application ABTraceTogether et autres questions connexes

Monsieur,

Introduction

  1. Le Commissariat vous écrit pour commenter la demande en vertu de la partie 1 du Centre pour la défense de l’intérêt public (CDIP) « demandant que le Conseil établisse à l’avance des règles pour les fournisseurs de services de télécommunication (FST) concernant la divulgation possible de renseignements sur les abonnés ou d’autres données sur les abonnés relatives soit aux adresses IP, soit aux numéros de téléphone mobile »Note de bas de page 1.
  2. Dans sa demande, le CDIP affirme craindre que les règles en place concernant les renseignements confidentiels sur les clients soient insuffisantes pour traiter les demandes des autorités gouvernementales visant à établir un lien entre, d’une part, l’adresse IP et le numéro de téléphone mobile et, d’autre part, les renseignements sur l’abonné détenus par les FST. Il s’agit d’une préoccupation particulière dans le contexte des applications de notification d’exposition comme Alerte COVID du gouvernement du Canada et ABTraceTogether du gouvernement de l’Alberta.
  3. Le Commissariat formule ces observations en tant que partie intéressée à la consultation, conformément à son mandat législatif de protéger le droit à la vie privée des personnes et de promouvoir les mesures de protection de la vie privée offertes aux CanadiensNote de bas de page 2.
  4. Les observations formulées ci-après mettent l’accent sur la portée des renseignements confidentiels sur les clients. Elles visent à faire en sorte que les mesures de protection s’appliquent de façon générale à tous les types de renseignements personnels sur les clients, y compris leur adresse IP et leur numéro de téléphone mobile. Le Commissariat a fait un travail important au cours des dernières années sur les adresses IP et les renseignements personnels. Les observations formulées s’en inspirent largement.
  5. Nos observations reposent également sur notre évaluation de l’application Alerte COVIDNote de bas de page 3, sur la déclaration commune des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée intitulée Appuyer la santé publique et bâtir la confiance des Canadiens : principes de protection de la vie privée et des renseignements personnels pour les applications de traçage des contacts et autres applications similairesNote de bas de page 4 ainsi que sur notre Cadre pour l’évaluation par le gouvernement du Canada des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée (« le Cadre »)Note de bas de page 5. Dans le Cadre, nous recommandons aux institutions fédérales qui envisagent de nouvelles mesures pour répondre à des besoins en matière de santé publique de s’assurer que ces mesures sont nécessaires et proportionnelles, c’est-à-dire qu’elles sont essentiellement fondées sur des données probantes, qu’elles sont nécessaires pour la fin particulière déterminée et qu’elles n’ont pas une portée excessive.
  6. Nos observations portent sur les sujets suivants :
    1. le rôle des FST dans le traitement des renseignements confidentiels sur les clients;
    2. les renseignements qui devraient être considérés comme des renseignements confidentiels sur les clients;
    3. les mesures supplémentaires qui devraient ou non s’appliquer à la collecte, à l’utilisation et à la communication de renseignements sur les abonnés par le FST au moyen d’applications de notification d’exposition.

Rôle des FST dans le traitement des renseignements confidentiels sur les clients

  1. Les Canadiens confient de grandes quantités de renseignements personnels sensibles aux FST pour avoir accès à Internet, aux communications sans fil et téléphoniques ainsi qu’aux autres services de télécommunications au Canada. Non seulement les renseignements personnels ont une grande valeur commerciale, mais ils présentent aussi un intérêt considérable pour les organismes d’application de la loi, du renseignement et de sécurité. Le droit à la vie privée des Canadiens doit demeurer une priorité dans ce contexteNote de bas de page 6.
  2. En 2014, la décision de la Cour suprême dans l’affaire R. c. Spencer représente un progrès important pour la protection de la vie privée. Par sa décision unanime, la Cour suprême a jugé qu’il y a une attente raisonnable en matière de protection de la vie privée en ce qui concerne les renseignements de base sur les abonnés aux services de télécommunications. La Cour suprême a convenu que ces renseignements, jumelés à d’autres informations telles que l’adresse IP, pouvaient révéler les données d’utilisation d’Internet et que, sans circonstances contraignantes ou en l’absence d’une loi raisonnable, les responsables de l’application de la loi doivent détenir au préalable une autorisation judiciaire, donc un mandat, pour obtenir de telles données de la part des compagnies de télécommunicationsNote de bas de page 7.
  3. Étant donné la sensibilité accrue que les consommateurs ont manifestée à l’égard des renseignements personnels recueillis par les entreprises de télécommunications, nous soutenons que les garanties en matière de protection de la vie privée devraient être plus rigoureuses et plus claires, et souhaitons mettre en garde contre le fait de considérer les renseignements personnels détenus à des fins commerciales comme un autre simple « ensemble de données » à exploiterNote de bas de page 8. La protection de la vie privée est un droit fondamental de la personne, et sans doute le droit duquel plusieurs autres importantes libertés sont issues : l’autonomie et la prise de décision individuelles, la liberté d’expression, la liberté d’association et la liberté de pensée. Les sanctions du Code criminel, jointes aux exigences des lois en matière de protection des renseignements personnels, ont imposé de sévères restrictions aux mesures gouvernementales et aux pratiques du secteur privé en ce qui concerne l’accès aux renseignements privésNote de bas de page 9.
  4. Les partisans d’un plus grand accès aux données détenues par les FST par les organismes d’application de la loi ont décrit ces renseignements sur les abonnés comme étant de nature similaire à ceux contenus dans un « annuaire téléphonique ». Une analyse technique réalisée par le Commissariat permet de conclure que, contrairement aux simples données contenues dans un annuaire téléphonique, les renseignements des abonnés peuvent, lorsque liés à d’autres informations, servir à dresser un profil très détaillé d’une personne, de même que révéler ses activités, ses goûts, ses penchants et son style de vieNote de bas de page 10.
  5. Le nom et l’adresse d’un individu, lorsque reliés à une adresse IP par exemple, peuvent être le lien essentiel à une vaste quantité de renseignements des plus personnels. Même si, à première vue, les renseignements sur l’abonné révèlent déjà certaines données concernant la personne (notamment une adresse peut indiquer l’endroit où réside une personne, les personnes avec qui elle demeure et leur statut socio-économique), les policiers ne cherchent pas à obtenir de tels renseignements uniquement pour leur valeur intrinsèque. Ces renseignements leur permettent plutôt d’associer un individu identifiable à une gamme d’autres renseignements personnels ou privés, souvent de nature très sensible, au sujet de cette personneNote de bas de page 11.
  6. Le nom et l’adresse d’une personne entre les mains d’un FST ne sont pas simplement deux données isolées; tout renseignement peut être davantage réduit en de petits éléments distincts qui, par eux-mêmes, ne révèlent peu ou pas de données biographiques de base. Toutefois, des éléments de données qui sembleraient anodins par eux-mêmes peuvent, une fois perçus dans leur totalité avec d’autres renseignements disponibles, servir à dresser un tableau assez juste et complet des activités, des opinions et du mode de vie d’une personneNote de bas de page 12.

Renseignements qui devraient être considérés comme des renseignements confidentiels sur les clients

  1. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fournit d’importantes mesures de protection pour les renseignements personnels traités par les FST dans le cadre de la prestation de services de télécommunications aux clients. La LPRPDE exige des FST qu’ils obtiennent le consentement des personnes en ce qui concerne la collecte, l’utilisation et la communication de leurs renseignements personnels, sous réserve d’exemptions particulières. La LPRPDE offre aussi aux personnes le droit d’accès à leurs renseignements personnels et un mécanisme de plainte pour les violations présumées de la LoiNote de bas de page 13.
  2. Le CRTC, grâce à ses pouvoirs réglementaires, peut établir des exigences supérieures à celles de la LPRPDE si, selon son opinion d’expert, les exigences proposées sont conformes aux intérêts du public et à la politique canadienne sur les télécommunications, tels qu’ils sont établis en vertu de la Loi sur les télécommunications. En effet, les présentations passées du Commissariat au CRTC ont souligné « l’urgent besoin pour le CRTC de maintenir les mesures réglementaires pour protéger la vie privée des clients »Note de bas de page 14.
  3. À ce sujet, les règles du CRTC concernant la communication de renseignements confidentiels sur les clients fournissent une importante couche de protection supplémentaire pour la vie privée des clients dans l’industrie des télécommunications.
  4. En vertu des règles du CRTC, il est interdit aux FST de communiquer des renseignements confidentiels sur leurs clients sans leur consentement exprès, sauf dans des circonstances précises. Nous savons que l’expression « renseignements confidentiels sur les clients » s’entend de « tous les renseignements que la compagnie détient au sujet d’un client, à l’exception du nom, de l’adresse et du numéro de téléphone »Note de bas de page 15. Les renseignements confidentiels sur les clients peuvent donc inclure les numéros de téléphone non inscrits dans l’annuaire et les renseignements sur les abonnés à des services de télécommunicationsNote de bas de page 16. Nous savons aussi que l’expression « fournisseur de services de télécommunications » (FST) s’entend dans un sens large et que les règles du CRTC concernant les renseignements confidentiels sur les clients s’appliquent à tous les types de FST, entre autres les fournisseurs de services sans filNote de bas de page 17.
  5. À notre avis, la définition actuelle de l’expression « renseignements confidentiels sur les clients » semblerait assez large pour englober les adresses IP et les numéros de téléphone mobile, généralement non inscrits dans l’annuaire. De plus, les règles du CRTC en vigueur concernant les renseignements confidentiels sur les clients s’appliqueraient à une autorité gouvernementale demandant à un FST de lui fournir le nom et l’adresse d’un abonné associés à une adresse IP ou à un numéro de téléphone mobile en particulier – à savoir le scénario présenté dans la demande du CDIP. Le nom et l’adresse d’un client ne sont peut-être pas confidentiels en soi, mais l’établissement d’un lien entre ces renseignements et une adresse IP ou un numéro de téléphone mobile révèlerait des renseignements confidentielsNote de bas de page 18.
  6. Cela dit, en cas d’ambiguïté sur ce point, le CRTC devrait à notre avis préciser que les renseignements confidentiels sur les clients incluent l’adresse IP et le numéro de téléphone mobile. De même, en cas de doute quant à l’application des règles en vigueur aux fournisseurs de services sans fil, nous l’exhorterions à préciser ce qu’il en est ou à élargir la portée des règles de sorte qu’elles s’appliquent à tous les FST.

Mesures supplémentaires qui devraient ou non s’appliquer à la collecte, à l’utilisation et à la communication de renseignements sur les abonnés par le FST dans le contexte des applications de notification d’exposition

  1. Dans sa demande, le CDIP invite le CRTC à créer une exception particulière autorisant la communication, sans consentement, des renseignements sur les abonnés qui utilisent une application de notification d’exposition à la COVID-19 à des fins de santé publiqueNote de bas de page 19.
  2. Nous contestons la nécessité et le bien-fondé de créer une exception particulière pour accéder aux renseignements sur les abonnés détenus par le FST dans ces circonstances. Entre autres, le gouvernement du Canada a conçu l’application Alerte COVID pour qu’elle fonctionne de façon anonyme. Il s’est de plus expressément engagé à ne pas tenter de réidentifier les utilisateurs de l’application sauf lorsqu’il s’agit d’une question de sécurité ou lorsque la loi l’exigeNote de bas de page 20. En effet, cet engagement constitue une fonctionnalité importante de l’application Alerte COVID. Il s’agit aussi d’une mesure de sécurité cruciale visant à encourager les Canadiens à adopter l’application en grand nombre, ce qui améliore les chances qu’elle soit efficace. Selon la conception de l’application ABTraceTogether de l’Alberta, les autorités de la santé publique peuvent communiquer directement avec l’utilisateur au moyen du numéro de téléphone mobile qu’il a fourni sans avoir à demander à un FST l’identité de l’abonnéNote de bas de page 21.
  3. Si aucun motif de santé publique ne nécessite l’obtention auprès d’un FST, sans consentement, de renseignements sur les abonnés qui utilisent une application de notification d’exposition, nous ne voyons pas de raison légitime de créer une nouvelle exception aux mesures de protection cruciales prévues par les règles du CRTC en vigueur concernant les renseignements confidentiels sur les clients. En outre, la création de ce type d’exception irait directement à l’encontre des attentes des utilisateurs et des engagements pris envers eux par les autorités gouvernementales. Nous sommes d’avis que si un motif de santé publique nécessite l’accès à l’identité des utilisateurs à des fins de traçage des contacts ou autres, alors il faudrait en tenir compte dans la conception de l’application, selon les Principes de protection de la vie privée et des renseignements personnels pour les applications de traçage des contacts et autres applications similairesNote de bas de page 22.

Conclusion

  1. Comme il ressort de notre recherche sur les métadonnées et sur ce qu’une adresse IP peut révéler au sujet d’un individu (voir les points ci-dessus), l’accès aux renseignements de base sur les abonnés peut révéler, entre autres, les sites Web qu’ils ont visités, leurs affiliations organisationnelles, les endroits où ils sont allés ainsi que les services en ligne auxquels ils sont abonnés. Ces renseignements vont bien au-delà d’une simple adresse résidentielleNote de bas de page 23.
  2. Compte tenu de ces importants enjeux liés au droit à la vie privée, les règles du CRTC concernant les renseignements confidentiels sur les clients procurent aux Canadiens une mesure de protection cruciale. Nous estimons que la définition de l’expression « renseignements confidentiels sur les clients » actuellement retenue par le CRTC est assez large pour englober les adresses IP et les numéros de téléphone mobile et que les règles de l’organisme s’appliquent à pratiquement tous les FST. Toutefois, en cas de doute, le CRTC devrait à notre avis préciser la portée de ses règles de sorte qu’elles visent de façon générale tous les types de renseignements sur les clients et qu’elles s’appliquent à tous les FST. En revanche, nous ne sommes pas en faveur de la création d’une nouvelle exception pour l’accès, sans consentement, aux renseignements sur les abonnés qui utilisent une application de notification d’exposition en l’absence de motifs de santé publique clairs nécessitant leur communicationNote de bas de page 24.
  3. Nous vous remercions à l’avance de l’attention que vous porterez à nos observations.

Cordialement,

Sous-commissaire, Secteur des politiques et de la promotion
Commissariat à la protection de la vie privée du Canada

(Document original signé par)

Gregory Smolynec

Date de modification :