Annonce

Les autorités de protection de la vie privée du monde entier adoptent des résolutions sur la cybersécurité et la reconnaissance faciale

Le 28 octobre 2022

De hauts fonctionnaires du Commissariat à la protection de la vie privée du Canada se sont joints cette semaine à des autorités de réglementation et à des intervenants du monde entier à l’occasion de la 44e conférence de l’Assemblée mondiale pour la protection de la vie privée (AMVP) à Istanbul, en Türkiye, pour discuter de l’incidence de la technologie sur la vie privée.

Le thème de la partie publique de cette conférence de quatre jours était « Une question d’équilibre – La protection de la vie privée à l’ère des progrès technologiques rapides » [traduction]. Les participants ont discuté de sujets d’intérêt qui sont une source de préoccupations à l’échelle internationale sur le plan de la vie privée, notamment la technologie de reconnaissance faciale, l’intelligence artificielle, les mégadonnées, la surveillance de masse sur le Web, la chaîne de blocs et le métavers, ainsi que les transferts transfrontaliers de données.

« Les répercussions que peuvent avoir les nouvelles technologies sur la vie privée sont préoccupantes, et le Canada n’est pas le seul pays à s’y pencher, a déclaré le commissaire Philippe Dufresne. Les autorités de réglementation du monde entier sont aux prises avec les mêmes enjeux. »

« À une époque où les flux de données transcendent les frontières, la collaboration entre les pays et les autorités de réglementation n’a jamais été aussi importante, ajoute-t-il. En travaillant ensemble, nous pouvons rationaliser nos processus d’enquête, favoriser une plus grande harmonie dans l’application des lois, renforcer notre capacité d’exécuter les lois et accentuer les retombées de ces mesures sur la conformité. »

« L’AMVP est une tribune formidable où nous pouvons établir ces liens essentiels, qui sont indispensables pour protéger les renseignements personnels et le droit à la vie privée des Canadiens, où qu’ils soient et peu importe où se trouvent leurs données. »

Résolutions adoptées par l’AMVP

Au cours de la conférence, le Commissariat et plus de 120 autorités de protection des données du Canada, d’Europe et d’ailleurs ont adopté une résolution sur l’utilisation appropriée des renseignements personnels dans la technologie de reconnaissance faciale. Dans cette résolution, les autorités ont énoncé six principes et attentes à l’intention des organisations qui souhaitent utiliser cette technologie :

• Fondement juridique : Les organisations utilisant la reconnaissance faciale devraient prévoir un fondement juridique clair pour la collecte et l’utilisation des données biométriques;
• Caractère raisonnable, nécessité et proportionnalité : Les organisations devraient établir, et être en mesure de démontrer, le caractère raisonnable, la nécessité et la proportionnalité de leur utilisation de la technologie de reconnaissance faciale;
• Protection des droits de la personne : Les organisations devraient particulièrement protéger le droit à la vie privée et les autres droits de la personne contre toute ingérence illégale ou arbitraire, et mener des évaluations en ce sens;
• Transparence : L’utilisation de la reconnaissance faciale devrait être transparente pour les personnes et les groupes concernés;
• Responsabilité : L’utilisation de la reconnaissance faciale devrait être assortie de mécanismes clairs et efficaces pour garantir la responsabilité;
• Principes de protection des données : L’utilisation de la reconnaissance faciale devrait respecter tous les principes de protection des données, y compris ceux indiqués ci-dessus.

Les autorités se sont engagées à travailler ensemble pour promouvoir ces principes auprès de groupes d’intervenants externes, en évaluer l’application par les développeurs et les utilisateurs dans des situations réelles, et rendre compte de l’avancement de leurs travaux.

Une deuxième résolution adoptée par les membres de l’AMVP, dont le Commissariat, prend la forme d’un engagement visant à être mieux en mesure d’améliorer la réglementation en matière de cybersécurité et à approfondir leur compréhension commune des préjudices pouvant découler d’un cyberincident.

Par ailleurs, les autorités ont décidé d’étudier les possibilités de coopération internationale et de mise en commun des connaissances et des renseignements, notamment en ce qui concerne l’expertise technique et les pratiques exemplaires. Cela permettra d’éviter les chevauchements dans les enquêtes et les activités de réglementation portant sur les questions de cybersécurité et les approches en la matière pour protéger les données et la vie privée.

Prix de l’AMVP

Lors de la conférence de l’AMVP, le Commissariat a également remporté un prix de l’innovation pour un outil qu’il a conçu afin d’offrir aux organisations une solution automatisée permettant d’évaluer si une atteinte à la vie privée présente un risque réel de préjudice grave (RRPG) pour les personnes concernées.

« De nombreuses atteintes ne sont pas déclarées parce que les organisations ne savent pas si elles satisfont au seuil de déclaration établi par la loi, a déclaré le commissaire Dufresne. Cet outil les aidera à établir la gravité de l’atteinte avec plus de précision. »

« J’ai été frappé par l’esprit d’innovation qui règne au Commissariat, ajoute-t-il. L’outil de RRPG en est un bel exemple. Je suivrai avec intérêt son évolution. »

Selon la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, les organisations sont tenues de déclarer les atteintes aux mesures de sécurité à l’autorité de réglementation et d’aviser les personnes touchées s’il est raisonnable de croire, dans les circonstances, que l’atteinte a créé un risque réel de préjudice grave pour ces personnes. Parmi les facteurs à prendre en compte, soulignons le degré de sensibilité des renseignements personnels en cause et la probabilité que ces renseignements aient été ou soient mal utilisés, ou encore qu’ils soient sur le point de l’être.