Déclaration commune sur l’extraction de données et la protection des renseignements personnels

Le 24 août 2023

---

Introduction

1. Par extraction de données, on entend généralement l’extraction automatisée de données à partir de sites Web. Les autorités de protection des données constatent une augmentation du nombre d’incidents liés à l’extraction de données, en particulier à partir des médias sociaux et d’autres sites Web qui hébergent des données accessibles au public.
2. Les technologies d’extraction de données ont la capacité de recueillir de très grandes quantités de renseignements personnels sur Internet et de traiter celles-ci, ce qui soulève d’importantes préoccupations concernant la protection de la vie privée, même lorsque les renseignements extraits sont accessibles au public.
3. Dans la plupart des juridictions, les renseignements personnels qui sont « publics », « accessibles au public » ou « de nature publique » sur Internet sont assujettis aux lois sur la protection des données et des renseignements personnels. Les individus et les entreprises qui recueillent de tels renseignements personnels sont donc tenus de s’assurer qu’ils respectent ces lois et toute autre loi applicable. Toutefois, les entreprises de médias sociaux et les exploitants d’autres sites Web qui hébergent des renseignements personnels accessibles au public (EMS et autres sites Web) ont également des obligations en matière de protection des données en ce qui concerne l’extraction de renseignements par des tiers à partir de leurs sites. Ces obligations s’appliquent généralement aux renseignements personnels, qu’ils soient accessibles au public ou non. Dans de nombreuses juridictions, l’extraction massive de renseignements personnels peut constituer une atteinte à la sécurité des données qui doit être signalée aux autorités.
4. Les renseignements personnels qui sont extraits peuvent être utilisés à diverses fins, par exemple, en vue d’en tirer des profits en les réutilisant sur des sites Web tiers, en les vendant à des auteurs malveillants ou en les destinant à l’analyse privée et à la collecte de renseignements, ce qui expose les individus à des risques graves, comme nous l’expliquons plus loin.
5. Les EMS et autres sites Web devraient examiner attentivement la légalité des différents types d’extraction de données dans les juridictions dont ils relèvent et mettre en œuvre des mesures de protection contre l’extraction illégale de données.
6. Le but de la présente déclaration commune est :
   • d’exposer les principaux risques pour la vie privée que pose l’extraction de données;
   • d’établir la manière dont les EMS et les autres sites Web devraient protéger les renseignements personnels des individus contre l’extraction illégale de données afin de répondre aux attentes réglementaires;
   • de définir les mesures que les individus peuvent prendre pour minimiser les risques d’atteinte à la vie privée que présente l’extraction de données.
7. Nous avons publié la présente déclaration commune à l’intention des EMS et autres sites Web, ainsi que des individus qui utilisent et publient des renseignements personnels sur ces sites Web. La déclaration a également été envoyée directement à Alphabet Inc. (YouTube), ByteDance Ltd (TikTok), Meta Platforms, Inc. (Instagram, Facebook et Threads), Microsoft Corporation (LinkedIn), Sina Corp. (Weibo) et X Corp. (X, auparavant Twitter).
8. Les pratiques décrites dans la présente déclaration commune reflètent les pratiques et les principes communs en matière de protection des données à l’échelle mondiale. Elles visent à prévenir l’extraction de renseignements personnels et à atténuer les répercussions de celle-ci sur la vie privée. Bien que les attentes soient formulées sous forme de recommandations (utilisation du terme « devrait »), nombre d’entre elles sont en fait des exigences légales explicites dans certaines juridictions ou peuvent être interprétées comme telles par les tribunaux et les autorités de protection des données.
9. Nous reconnaissons que certaines EMS ont mis en place des mesures de contrôle pour lutter contre l’extraction de données pour ce qui est des renseignements personnels accessibles au public, par exemple en s’adressant aux tribunaux ou en mettant sur pied des initiatives de gouvernance. Les principes et les attentes énoncés dans la présente lettre ouverte s’appuient sur ces mesures et s’en inspirent.

Risques pour la vie privée

10. Depuis quelques années, de nombreuses autorités de protection des données ont constaté un nombre élevé de rapports relatifs à l’extraction massive de données des EMS et d’autres sites Web. Ces rapports soulèvent un certain nombre de préoccupations liées à la protection des renseignements personnels, notamment l’utilisation des données extraites aux fins suivantes :
    • Cyberattaques ciblées – par exemple, les renseignements sur l’identité et les coordonnées extraits des « forums de piratage » peuvent être utilisés par des auteurs malveillants pour lancer des attaques ciblées de piratage psychologique ou d’hameçonnage.
    • Usurpation d’identité – les données extraites peuvent être utilisées pour présenter des demandes frauduleuses de prêt ou de carte de crédit, ou pour usurper l’identité d’une personne en créant de faux comptes sur les médias sociaux.
    • Contrôle, profilage et surveillance des individus – les données extraites peuvent être utilisées pour alimenter des bases de données de reconnaissance faciale et donner un accès non autorisé aux autorités.
    • Utilisation non autorisée à des fins politiques ou de collecte de renseignements – les données extraites peuvent être utilisées par des gouvernements étrangers ou des agences de renseignements à des fins non autorisées.
    • Marketing direct non sollicité ou pourriels – les données extraites peuvent comprendre des coordonnées qui peuvent être utilisées pour envoyer en masse des messages de marketing non sollicités.
11. De manière plus générale, les individus perdent le contrôle de leurs renseignements personnels lorsque ceux-ci sont extraits à leur insu et contre leur gré. Par exemple, les extracteurs de données pourraient regrouper et combiner les données extraites d’un site avec d’autres renseignements personnels, et les utiliser à des fins non prévues. Cela peut avoir comme effet de miner la confiance des individus à l’égard des EMS ou des autres sites Web et possiblement entraîner des répercussions néfastes sur l’économie numérique. En outre, même si les individus décident de supprimer leurs renseignements d’un compte de médias sociaux, les extracteurs de données continueront probablement à les utiliser et à les communiquer, limitant ainsi le contrôle que peuvent exercer ces individus sur leur présence et leur réputation en ligne.

Les EMS et autres sites Web devraient protéger les renseignements personnels contre l’extraction illégale de données

12. Les EMS et autres sites Web sont responsables de protéger les renseignements personnels des individus contre l’extraction illégale de données.
13. De nouvelles techniques permettant d’extraire de la valeur des données accessibles au public voient constamment le jour et sont en constante évolution. La sécurité des données est une responsabilité de chaque instant et la vigilance est primordiale.
14. Puisqu’aucune mesure de protection ne peut à elle seule assurer une protection adéquate contre toutes les atteintes potentielles à la vie privée que pourrait engendrer l’extraction des données, les EMS et les autres sites Web devraient mettre en œuvre des mesures de contrôle à couches multiples sur les plans technique et procédural afin d’atténuer les risques. Il conviendrait d’utiliser une combinaison de ces mesures qui est proportionnelle à la sensibilité des renseignements en cause. Voici quelques mesures de contrôle qui pourraient être mises en place :
    • Affecter une équipe de l’organisation à la surveillance des activités d’extraction, ou définir des fonctions précises (rôles) à cet égard, en vue de cerner et de mettre en œuvre des mesures de contrôle pour protéger l’organisation contre l’extraction de données et y réagir le cas échéant.
    • Limiter le nombre de visites par heure ou par jour d’un compte à d’autres profils de compte, et en limiter l’accès si une activité inhabituelle est détectée.
    • Surveiller la rapidité et l’intensité avec lesquelles un nouveau compte commence à rechercher d’autres utilisateurs. Si une activité anormalement élevée est détectée, cela peut indiquer un usage inacceptable.
    • Prendre des mesures pour détecter les extracteurs en observant les tendances dans l’activité des robots^{Note de bas de page 1}. Par exemple, un groupe d’adresses IP suspectes peut être détecté en surveillant l’endroit d’où l’on accède à une plateforme en utilisant les mêmes identifiants à partir de plusieurs endroits. Cela serait suspect si de tels accès se produisaient dans un court laps de temps.
    • Prendre des mesures pour détecter les robots, par exemple en procédant à des tests CAPTCHA^{Note de bas de page 2}, et en bloquant l’adresse IP lorsqu’une activité d’extraction de données est détectée.
    • Si une extraction de données est soupçonnée ou confirmée, prendre les mesures juridiques qui s’imposent, comme envoyer des mises en demeure exigeant que l’extracteur cesse ses activités d’extraction et supprime tous les renseignements extraits, obtenir la confirmation que les renseignements ont été supprimés et s’adresser aux tribunaux pour faire respecter les modalités qui interdisent ce type d’extraction.
    • Dans les juridictions où l’extraction de données peut constituer une atteinte à la protection des données, il pourrait être nécessaire d’aviser les individus concernés et les autorités de protection de la vie privée, le cas échéant.
15. Non seulement les EMS et autres sites Web doivent mettre en place des contrôles de sécurité comme ceux qui sont susmentionnés, mais ils doivent aussi permettre aux utilisateurs d’utiliser leurs services tout en protégeant leur vie privée. À cette fin, les EMS et autres sites Web devraient épauler leurs utilisateurs de façon proactive afin qu’ils puissent prendre des décisions éclairées sur la manière dont ils utilisent la plateforme et sur les renseignements personnels qu’ils y publient. Cette démarche devrait aussi permettre aux utilisateurs de mieux connaître et comprendre les paramètres de confidentialité qu’ils peuvent utiliser, comme nous le verrons plus loin.
16. Si les mesures de contrôle mises en œuvre pour prévenir l’extraction de données portent sur le traitement de données à caractère personnel, les EMS et autres sites Web devraient s’assurer que ce traitement est conforme aux exigences des lois applicables en matière de protection des données ou des renseignements personnels. Par souci de pratiques exemplaires et de transparence, ces entités devraient également informer leurs utilisateurs des mesures qu’elles ont prises pour les protéger contre l’extraction de données.
17. Compte tenu de la nature dynamique des menaces liées à l’extraction des données, les EMS et autres sites Web devraient surveiller en permanence les nouveaux risques et les nouvelles menaces qui guettent les renseignements sur leur plateforme, que font peser des auteurs malveillants ou non autorisés, et y réagir habilement. Les mesures de contrôle établies devraient régulièrement faire l’objet de tests de simulation d’atteinte et être mises à jour afin de s’assurer qu’elles demeurent efficaces et qu’elles s’adaptent à l’évolution de la technologie. Les EMS et autres sites Web devraient également recueillir et analyser les données sur les incidents d’extraction afin de cerner ce qu’il faut améliorer dans leur cadre de contrôle de la sécurité.

Mesures que peuvent prendre les individus pour réduire au minimum les risques d’atteinte à la vie privée liés à l’extraction de données

18. Bien que les contrôles de sécurité décrits ci-dessus puissent atténuer les risques liés à l’extraction de données, aucune mesure de protection n’est efficace à 100 %, et les individus doivent donc être conscients que les renseignements personnels qu’ils publient en ligne pourraient être compromis.
19. Même si la présente déclaration commune met l’accent sur les mesures que les EMS et autres sites Web peuvent mettre en œuvre pour atténuer le risque d’extraction de données, les individus peuvent également prendre des mesures pour se donner les moyens de mieux protéger leurs renseignements personnels, notamment :
    • Lire les renseignements fournis par les EMS ou autres sites Web sur la façon dont ils communiquent les renseignements personnels, dont la politique de confidentialité. – Se pencher tout particulièrement sur les politiques du site Web en matière de publication et de communication permettra aux individus de prendre une décision éclairée au sujet des renseignements qu’ils choisissent de communiquer, et de comprendre les risques qui en découlent pour la vie privée.
    • Réfléchir à la quantité et à la catégorie de renseignements communiqués. – Les individus devraient envisager de limiter la quantité de renseignements qu’ils publient en ligne. En particulier, ils doivent veiller à restreindre la quantité de renseignements sensibles qu’ils communiquent et se demander si la communication de certains renseignements (comme des données personnelles, des numéros de compte ou des numéros d’identification) pourrait les exposer à un risque d’atteinte à leur réputation, de discrimination, de harcèlement, d’usurpation d’identité ou de vol.
    • Comprendre et gérer les paramètres de confidentialité. – Bien que les paramètres de confidentialité de chaque utilisateur ne suffisent pas à eux seuls à protéger la vie privée, ces paramètres peuvent et doivent permettre aux individus d’accroître le contrôle qu’ils exercent sur la façon dont leurs renseignements personnels sont communiqués en ligne. Par conséquent, les utilisateurs de sites Web devraient envisager d’utiliser ces paramètres pour limiter les renseignements qu’ils rendent accessibles au public.
20. Enfin, nous incitons les individus à réfléchir aux conséquences à long terme. Que pensera une personne, des années plus tard, des renseignements qu’elle communique aujourd’hui? Même si les EMS et autres sites Web peuvent offrir des outils permettant de supprimer ou de cacher des renseignements, ces mêmes renseignements peuvent demeurer accessibles éternellement sur le Web s’ils ont été indexés ou extraits et communiqués par la suite.
21. Lorsque des individus craignent que leurs données aient été extraites de façon illégale ou inappropriée, ils peuvent communiquer avec l’EMS ou le site Web. S’ils ne sont pas satisfaits de la réponse, ils peuvent déposer une plainte à l’autorité compétente en matière de protection des données. Ils peuvent également vouloir passer en revue leurs paramètres de confidentialité et les renseignements qu’ils communiquent en ligne, afin d’apporter des modifications et de supprimer des renseignements personnels, au besoin.

Conclusion

22. Les attentes formulées dans la présente déclaration commune permettent de dégager les principaux domaines sur lesquels les EMS et autres sites Web doivent se pencher pour s’assurer qu’ils protègent les renseignements personnels accessibles sur leurs sites Web contre l’extraction de données, en particulier pour qu’ils respectent les lois sur la protection des données et des renseignements personnels dans le monde entier. Le fait de se protéger contre l’extraction de données permettra aussi aux EMS et autres sites Web de renforcer la confiance de leurs utilisateurs.
23. Les EMS et autres sites Web peuvent protéger davantage les renseignements de leurs utilisateurs et renforcer la confiance de ces derniers en les informant activement des mesures qu’ils peuvent prendre pour protéger leurs renseignements personnels, comme celles décrites ci-dessus.
24. Nous invitons les EMS à nous indiquer, au plus tard 1 mois à compter de la date de publication de la présente déclaration, comment elles respectent les attentes énoncées dans la présente déclaration commune. Toutes les réponses seront communiquées aux signataires et pourraient être publiées.

La présente déclaration est émise par les membres suivants du Groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée.

   

Elizabeth Hampton Sous-commissaire Commissariat à l’information de l’Australie Australie	Philippe Dufresne Commissaire Commissariat à la protection de la vie privée du Canada Canada
Stephen Bonner Sous-commissaire – Supervision réglementaire Commissariat à l’information Royaume-Uni	Ada Chung Lai-ling Commissaire à la protection de la vie privée Commissariat à la protection de la vie privée et des données personnelles Hong Kong Chine
Adrian Lobsiger Commissaire Préposé fédéral à la protection des données et à la transparence Suisse	Tobias Judin Responsable de la Section internationale Datatilsynet Norvège
Michael Webster Commissaire Commissariat à la protection de la vie privée Nouvelle-Zélande	Cielo Angela Peña Rodriguez Surintendante adjointe pour la protection des données personnelles de Colombie Superintendencia de Industria y Comercio (Surintendance de l’industrie et du commerce) Colombie
Paul Vane Commissaire à l'information Bureau du commissaire à l'information de Jersey Jersey	Omar Seghrouchni Président Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel Maroc
Beatriz de Anchorena Directrice AAIP (Agence pour l'accès à l'information publique) Argentine	Josefina Román Vergara Commissaire Institut national pour la transparence, l'accès à l'information et la protection des données personnelles (INAI) Mexique