Document d’orientation sur la protection de la vie privée à l’intention des fabricants d’appareils de l’Internet des objets
Aperçu
En tant que fabricant d’appareils de l’Internet des objets (IdO), vous êtes responsable des renseignements personnels que vous détenez. Vous êtes aussi tenu, en vertu des lois canadiennes sur la protection des renseignements personnels, de mettre en œuvre des mesures efficaces de protection de la vie privée.
Le présent document d’orientation porte sur la manière de se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada. Il a été élaboré à la lumière des résultats de plusieurs enquêtes du Commissariat à la protection de la vie privée du Canada (Commissariat) et a été validé par des experts en la matière.
Sur cette page
- Introduction
- La LPRPDE s’applique-t-elle à vous?
- Les principes de la LPRPDE en matière de protection de la vie privée et leur application
- Complément d’information sur la conformité à la LPRPDE
- Liste de vérification de ce que vous devez faire en vertu de la Loi et des pratiques exemplaires que vous devriez adopter
- Références choisies
Introduction
En tant que fabricant d’appareils de l’IdO, vous faites partie d’un écosystème de l’IdO complexe dans lequel de nombreux composants et acteurs − comme les plateformes de médias sociaux, les applications tierces et les fournisseurs de services − sont susceptibles de recueillir, d’utiliser et de communiquer des renseignements personnels.
Le présent document d’orientation vise à vous fournir de l’information pratique qui vous aidera à faire en sorte que vos pratiques commerciales et les appareils que vous fabriquez respectent la vie privée et soient conformes à la LPRPDE. Bien que ce document mette l’accent sur les principes de protection de la vie privée énoncés à l’Annexe 1 de la LPRPDE, c’est l’ensemble de la Loi qui s’applique. Pour en savoir plus sur le respect de la LPRPDE de façon générale, veuillez consulter notre Guide sur la protection de la vie privée à l'intention des entreprises.
Vous trouverez également dans ce document des exemples de pratiques exemplaires qui renforceront davantage votre programme de gestion de la protection de la vie privée.
Dans les prochaines sections, ce sont les responsabilités qui incombent aux fabricants d’appareils de l’IdO dans le contexte de la LPRPDE qui sont mises en évidence. Vous veillerez toutefois à être au fait des autres obligations juridiques qui s’appliquent à vos activités, notamment celles qui sont relatives à la Loi canadienne sur la sécurité des produits de consommation.
Qui devrait lire ce document d’orientation?
Ce document d’orientation s’adresse à vous si vous concevez ou fabriquez des appareils dotés de capteurs intégrés qui recueillent des renseignements personnels (comme des lumières, des sonnettes de porte, des serrures, des détecteurs de fumée, des alarmes, des téléviseurs, des caméras, des haut-parleurs, des appareils électroménagers, des véhicules connectés, des jouets, des vêtements, des montres ou des dispositifs de suivi de santé), ou si vous êtes chargé d’assurer la conformité juridiques de tels appareils. Il s’adresse également aux responsables du développement de villes intelligentes, où les appareils de l’IdO sont de plus en plus présents dans les infrastructures des centres urbains et sur les routes.
La LPRPDE s’applique-t-elle à vous?
Les appareils de l’IdO que vous fabriquez recueilleront, utiliseront ou communiqueront sans doute des renseignements personnels dans le cadre d’une activité commerciale. Si c’est le cas, vous êtes assujetti à la LPRPDE ou aux lois provinciales essentiellement similaires sur la protection de la vie privée en vigueur. Notez que si votre entreprise est située dans plusieurs provinces canadiennes, vous pourriez être assujetti à plus d’une loi sur la protection des renseignements personnels dans le secteur privé. En outre, si votre entreprise utilise les renseignements personnels de Canadiens sans être basée au Canada, la LPRPDE peut quand même s’appliquer s’il existe un lien réel et substantiel avec le Canada.
Aux termes de la LPRPDE, un renseignement personnel est un « renseignement concernant un individu identifiable ». Les types de renseignements personnels que les appareils de l’IdO recueillent peuvent être de nature plus ou moins sensible. Ils peuvent concerner :
- le rythme cardiaque, la température et les mouvements du corps;
- la température ou la consommation d’énergie dans un logement;
- des enregistrements de la voix et du visage;
- des données de géolocalisation;
- des types de comportements.
Plus précisément, dans l’affaire Gordon c. Canada, la Cour fédérale a conclu que les renseignements concernent un individu identifiable lorsqu’il y a de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources.
Notre aperçu technique et juridique des métadonnées et de la protection de la vie privée explique plus en détail comment le fait de combiner des « informations sur les informations » (métadonnées) apparemment anodines peut révéler des renseignements détaillés sur un individu et devenir des renseignements personnels.
Pour en savoir plus :
- Gordon c. Canada (Santé), 2008 CF 258
- Métadonnées et vie privée : Un aperçu technique et juridique
- Renseignements personnels
- Questions et réponses concernant l’application de la LPRPDE et les lois de l’Alberta et de la Colombie-Britannique en matière de protection des renseignements personnels dans le secteur privé
- Rapport de conclusions en vertu de la LPRPDE (septembre 2014) : « Après une atteinte importante à la protection des données conservées par Adobe, un client met en doute les mesures de sécurité de l’entreprise et les réponses qu’elle a fournies quant aux répercussions sur ses renseignements personnels »
Comment les données recueillies par les appareils de l’IdO peuvent-elles révéler des renseignements personnels (développer pour en savoir plus)
Dans de nombreux cas, les données recueillies par un seul appareil de l’IdO peuvent ne pas sembler être des renseignements personnels. En réalité, ces données, si elles sont combinées avec des données provenant d’autres appareils de l’IdO, peuvent bel et bien révéler des renseignements personnels.
Nous pouvons imaginer de nombreuses circonstances où il est nécessaire de combiner les données de plusieurs appareils de l’IdO pour fournir un meilleur service. Pensons notamment aux thermostats intelligents de la maison qui communiquent avec d’autres capteurs situés à proximité afin de réguler la température intérieure. Cette interconnexion, ainsi que la possibilité d’apprendre et de fonctionner comme un tout, est en fait une des principales caractéristiques de l’IdO.
Cependant, grâce aux capteurs qu’ils contiennent, ces dispositifs interconnectés peuvent également révéler des détails intimes sur la vie des gens. Ce qui revêt une importance cruciale dans ce cas-ci, c’est de déterminer si les données recueillies par un capteur sont, prises individuellement ou en combinaison avec d’autres données provenant d’appareils de l’IdO ou d’autres sources, des renseignements personnels.
Pour en savoir plus :
- Internet des objets : il ne faut pas négliger la protection de la vie privée
- Norme internationale sur les technologies de l’information — Techniques de sécurité — Cadre privé
Les principes de la LPRPDE en matière de protection de la vie privée et leur application
Si votre appareil de l’IdO recueille, utilise ou communique des données personnelles dans le cadre d’une activité commerciale, vous êtes assujetti à la LPRPDE et devez suivre les principes énoncés à l’Annexe 1 de la LPRPDE. Ces principes, détaillés ci-dessous, sont ancrés dans les normes internationales de protection des données et suivent le Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation.
Responsabilisation
Vous devez faire preuve de responsabilité en mettant en place un programme soutenu de gestion de la protection de la vie privée pour les données que vous recueillez et contrôlez, et y adhérer. Un tel programme permet aux organisations de démontrer qu’elles respectent, au minimum, les lois applicables sur la protection des renseignements personnels.
Vous devez aussi nommer une personne responsable de la conformité à la protection de la vie privée au sein de votre organisation et mettre en œuvre des politiques et des pratiques à cet égard pour veiller à vous conformer aux principes de la LPRPDE. Entre autres exigences, celles-ci doivent prévoir des procédures pour protéger les renseignements personnels et pour recevoir et régler des plaintes.
Un bon programme de gestion de la protection de la vie privée vous permet d’harmoniser vos pratiques globales de gestion des données avec les obligations juridiques en constante évolution, telles que la déclaration obligatoire des atteintes aux mesures de sécurité.
Il est important d’avoir présent à l’esprit que votre responsabilité en tant que fabricant d’appareils de l’IdO peut s’étendre bien après l’achat de l’appareil par les consommateurs si vous continuez à recueillir, utiliser, communiquer ou conserver de toute autre manière des renseignements personnels. Dans notre document Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, on explique comment élaborer un programme exhaustif de protection de la vie privée.
Pour en savoir plus :
Protection de la vie privée dès la conception : Réaliser une évaluation des facteurs relatifs à la vie privée
Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant de rendre votre produit opérationnel est une pratique exemplaire à adopter. Les EFVP permettent d’assurer la conformité aux obligations juridiques et de favoriser les pratiques exemplaires pour repérer et atténuer d’autres risques pour la vie privée.
Détermination des fins, limitation de la collecte, consentement et ouverture
Avant de recueillir des renseignements personnels, vous devez :
- préciser et documenter les raisons pour lesquelles vous avez besoin de ces renseignements avant ou au moment de leur collecte;
- veiller à ce que les renseignements personnels recueillis ne servent pas à d’autres fins que celles pour lesquelles ils ont été recueillis;
- veiller à ce que les fins pour lesquelles vous recueillez les renseignements se limitent à ce à quoi une personne raisonnable pourrait s’attendre dans les circonstances;
- être conscient que certaines fins peuvent ne pas être autorisées même avec le consentement du consommateur (pour de plus amples renseignements, voir la section sur le consentement ci-dessous).
Vous devez également faire preuve d’ouverture quant à vos pratiques de traitement des renseignements personnels, ce qui signifie que vous êtes tenu de dire aux personnes concernées :
- quels renseignements personnels sont recueillis;
- avec qui ces renseignements personnels sont partagés;
- les fins auxquelles les renseignements personnels seront recueillis, utilisés ou communiqués;
- les risques de préjudice et les autres conséquences;
- la personne avec laquelle elles peuvent communiquer si elles ont des questions, si elles souhaitent accéder à leurs renseignements ou si elles veulent déposer une plainte.
Si vous avez l’intention d’utiliser des renseignements personnels à une fin qui n’a pas encore été déterminée, vous devez préciser cette nouvelle fin et obtenir le consentement de la personne avant de les utiliser (pour de plus amples renseignements, voir la section sur le consentement ci-dessous). Bien qu’il soit légitime que certaines fins soient nécessaires au fonctionnement du produit ou service concerné (p. ex., pour protéger les systèmes de réseau et assurer la sécurité des appareils), les consommateurs doivent quand même être informés.
Pour en savoir plus :
- Deuxième principe relatif à l’équité dans le traitement de l’information de la LPRPDE — Détermination des fins de la collecte de renseignements
- Huitième principe relatif à l’équité dans le traitement de l’information de la LPRPDE – Transparence
- Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3)
- Lignes directrices pour l’obtention d’un consentement valable
Comment améliorer vos communications avec les consommateurs (développer pour en savoir plus)
Utilisez un langage simple et expliquez clairement vos pratiques de gestion des données. Il est prouvé qu’il existe des écarts importants entre la manière dont les consommateurs pensent que les appareils traitent leurs renseignements personnels et la manière dont ces derniers interagissent réellement avec l’ensemble de l’écosystème de l’IdO. Dans vos communications avec les individus, il est important d’utiliser un langage simple et d’expliquer clairement vos pratiques de gestion des données. Cela est d’autant plus important que, généralement, ces appareils sont conçus pour se fondre dans leur environnement.
Pour en savoir plus :
- Le ratissage international portant sur l’Internet des objets conclut que les appareils connectés ne répondent pas aux attentes sur le plan de la protection de la vie privée (2016)
Créez une politique de confidentialité à la fois évidente et adaptée à chaque appareil. Dans nos conseils aux développeurs d’applications mobiles, nous donnons quelques recommandations sur les moyens d’améliorer leurs communications avec les consommateurs malgré le défi que représente un petit écran. L’environnement de l’IdO complique encore plus la tâche, car il arrive parfois qu’il n’y ait pas d’écran pour communiquer l’information. Dans ce cas, vous devez penser à des solutions créatives pour respecter l’obligation juridique d’informer l’utilisateur de vos pratiques en matière de protection de la vie privée, par exemple en incluant votre politique de confidentialité dans l’emballage de votre appareil et en veillant à ce que cette politique soit bien visible sur votre site Web.
Si une partie de la configuration de l’appareil est effectuée sur un téléphone, une tablette ou un ordinateur, vous devez informer activement l’utilisateur de la politique de confidentialité liée à l’appareil et lui fournir des liens permettant de la repérer facilement. Nous vous encourageons à créer une politique de confidentialité adaptée à chaque appareil afin d’accroître la transparence de vos pratiques de gestion des données. Vous pouvez par exemple inclure une liste des capteurs d’appareils dans la section de votre politique relative aux communications. La politique devrait également préciser clairement la durée pendant laquelle ces dispositifs recevront des mises à jour de sécurité et informer le consommateur si des mises à jour seront apportées pour protéger ses renseignements en permanence.
Pour en savoir plus :
Précisez quand l’appareil recueille des données. En tant que fabricant d’appareils de l’IdO, vous êtes invité à développer des solutions créatives pour faire connaître vos pratiques de gestion des données. Par exemple, dans le cas des appareils de l’IdO dotés de microphones, vous pourriez utiliser des voyants lumineux distincts et non modifiables par logiciel pour indiquer quand le micro est allumé et quand l’appareil enregistre. Un « interrupteur » qui permet de suspendre la collecte de données (p. ex., un bouton de mise en sourdine ou un basculement de logiciel) peut également aider les consommateurs à contrôler les données recueillies à leur sujet. Les fabricants peuvent également envisager d’informer périodiquement les utilisateurs (p. ex., sur l’application de leur téléphone intelligent) qu’un appareil est en train de recueillir des données en arrière-plan.
Consentement
En vertu de la LPRPDE, les organisations sont tenues d’obtenir un consentement valable pour pouvoir recueillir, utiliser et communiquer des renseignements personnels (à moins qu’une exception à l’obligation générale de consentement ne s’applique). Pour que son consentement soit valable, une personne doit comprendre ce à quoi elle consent. Le consentement d’une personne n’est valable que s’il est raisonnable de s’attendre à ce que la personne visée comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles elle a consenti.
Il est important de savoir que même avec le consentement d’une personne, une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. La collecte, l’utilisation ou la communication de renseignements qui autrement serait illégale, ou qui cause — ou serait susceptible de causer — un préjudice grave à la personne sont des exemples de fins inacceptables.
Dans certains cas, le consentement valable peut être implicite plutôt qu’obtenu directement. Toutefois, si vous recueillez, utilisez ou communiquez des renseignements personnels considérés comme sensibles, vous devez obtenir un consentement direct (« explicite ») de la personne. Généralement, les organisations doivent obtenir un tel consentement explicite si :
- les renseignements recueillis, utilisés ou communiqués sont sensibles;
- la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de la personne;
- la collecte, l’utilisation ou la communication crée un risque résiduel significatif de préjudice grave.
Dans les cas où la collecte, l’utilisation ou la communication des renseignements personnels n’est pas une condition essentielle du service, on doit expliquer clairement aux consommateurs qu’ils peuvent accepter ou refuser, et ces explications doivent être facilement accessibles.
En vertu de la Loi, une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. Vous avez également l’obligation juridique d’informer la personne des conséquences liées au retrait de son consentement.
Nous avons rédigé des lignes directrices afin de clarifier la procédure à suivre pour obtenir un consentement valable, ainsi que des conseils sur ce qui serait généralement considéré comme des pratiques inacceptables en matière de données (voir les documents ci-dessous).
Pour en savoir plus :
Dois-je obtenir un consentement pour pouvoir utiliser les renseignements personnels d’enfants? Les enfants de moins de 13 ans ne sont pas nécessairement en mesure de comprendre pleinement les conséquences de leurs choix en matière de confidentialité. C’est pourquoi, excepté dans des circonstances exceptionnelles, ils ne peuvent pas consentir de manière valable à la collecte, à l’utilisation et à la communication de leurs renseignements personnels.
Le Commissariat estime que pour pouvoir recueillir, utiliser et communiquer des renseignements personnels d’enfants, vous devez au moins obtenir le consentement de leurs parents ou tuteurs. De plus, nous vous recommandons vivement de limiter la collecte, l’utilisation, la communication ou la conservation de renseignements personnels d’enfants. Cette question se pose souvent dans le contexte des jouets intelligents, des produits éducatifs et des plateformes d’apprentissage en ligne.
Pour en savoir plus :
- Consultez la section Consentement et enfants des Lignes directrices pour l’obtention d’un consentement valable
- Vous recueillez des renseignements auprès des enfants? Voici dix conseils sur les services destinés aux enfants et aux jeunes
- Un manufacturier de jouets connectés améliore les mesures de sécurité pour protéger adéquatement les renseignements d’enfants
- Enquête sur les pratiques de traitement des renseignements personnels de Ganz Inc.
Limiter la collecte, l’utilisation, la communication et la conservation des renseignements
Si vous recueillez des renseignements personnels, vous êtes tenu par la LPRPDE de limiter votre collecte à ce qui est nécessaire pour les fins que vous avez indiquées. Vous devez également être en mesure de justifier la raison pour laquelle chaque renseignement est recueilli. Documentez ces décisions et informez les personnes de vos pratiques.
Tel qu’il est indiqué précédemment, puisque les métadonnées peuvent révéler des renseignements personnels, vous devez également limiter leur collecte. Par exemple, les données relatives aux heures de la journée, à la durée ou à l’emplacement des enregistrements audio, qu’elles soient recueillies seules ou jumelées à d’autres données, peuvent révéler des renseignements sensibles et détaillés sur les personnes.
L’utilisation ou la communication des renseignements personnels doit se limiter aux fins pour lesquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la Loi ne l’exige.
Vous devez également connaître la durée pendant laquelle vous avez besoin des renseignements personnels des utilisateurs pour la fin que vous avez définie et savoir ce que vous devrez faire lorsque vous n’aurez plus besoin de les conserver. La LPRPDE stipule également qu’on ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. Définir exactement les fins pour lesquelles les renseignements sont recueillis permet donc de déterminer clairement pendant combien de temps ils devront être conservés, et devrait servir de base pour élaborer une politique de conservation appropriée. Il n’existe pas de période de conservation « unique » et il faut justifier clairement la conservation des renseignements en fonction de chaque situation.
Notez que les renseignements personnels servant à prendre une décision au sujet d’une personne doivent être conservés suffisamment longtemps pour permettre à la personne concernée d’exercer son droit d’accès à l’information après que la décision a été prise.
Pour en savoir plus :
Il est fortement recommandé de concevoir votre appareil de manière à limiter la collecte de données. Par exemple, lors de la collecte de données audio, la manière dont vous concevez la méthode d’activation est importante. Cette activation est-elle :
- manuelle, exigeant que l’on appuie sur un bouton?
- toujours prête, activée par une phrase comme « Bonjour Siri »?
- toujours activée, c’est-à-dire que les données sont transmises en permanence sans que les utilisateurs interviennent?
Les consommateurs doivent être informés de la méthode d’activation que vous utilisez, dans le cadre de votre politique de confidentialité. Toute collecte de données autres que celles nécessaires au fonctionnement du dispositif devrait être expliquée aux consommateurs. De plus, leur consentement devrait être obtenu avant que ces données soient recueillies, dans la mesure où les fins de cette collecte sont raisonnables, conformément à nos directives concernant le paragraphe 5(3) de la LPRPDE.
En outre, nous vous encourageons à offrir aux consommateurs des options conviviales leur permettant de supprimer définitivement les renseignements que vous détenez à leur sujet, et à les informer de la marche à suivre pour ce faire. Par exemple, indiquez-leur qu’ils peuvent supprimer leurs renseignements en ligne ou en communiquant avec le service à la clientèle.
Pour en savoir plus :
Accès individuel, exactitude des renseignements et contestation de la conformité
Les consommateurs ont le droit d’accéder à leurs renseignements personnels, ainsi qu’à toute conclusion que l’organisation a tirée à leur sujet à partir de renseignements personnels déjà recueillis ou en cours de collecte, comme les habitudes d’utilisation ou le comportement des consommateurs. Ils ont également le droit de s’assurer que leurs renseignements sont exacts et de les corriger ou de les modifier. Tel qu’il est indiqué précédemment, vous devez informer vos clients de ces droits et leur fournir un moyen de contester et de corriger, au besoin, les renseignements que vous détenez à leur sujet.
Pour en savoir plus :
Mesures de sécurité
En vertu de la LPRPDE, tous les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Cette exigence s’applique aux renseignements qu’un fabricant de l’IdO ou ses partenaires recueillent et stockent pour le compte des utilisateurs, de même qu’aux renseignements en circulation.
Les éventuels risques pour la sécurité associés aux appareils de l’IdO sont importants et vous êtes tenu de prendre les mesures matérielles, organisationnelles et technologiques nécessaires pour garantir que vos appareils peuvent être utilisés en toute sécurité et ne sont pas facilement compromis.
Certains gouvernements, comme l’État de Californie, ont adopté des lois propres à l’IdO exigeant la mise en place de mesures de sécurité et de protection de la vie privée pour les appareils de l’IdO. L’importance des enjeux en cas de faille de sécurité, comme le piratage ou l’utilisation abusive, devient de plus en plus évidente. Par exemple, le piratage d’une pompe à insuline [anglais seulement] peut compromettre la sécurité et le bien-être d’une personne. Les appareils domestiques intelligents tels que les thermostats, les serrures et les lumières sont des outils numériques qui peuvent servir − et qui ont déjà servi [anglais seulement] – en situation de violence familiale [anglais seulement].
Au Canada, la Loi canadienne sur la sécurité des produits de consommation reconnaît que les fournisseurs de produits de consommation, y compris les fabricants, ont un rôle essentiel à jouer pour prévenir les dangers pour la santé ou la sécurité humaine que peuvent poser les produits de consommation actuellement sur le marché mondial.
Pour en savoir plus :
- Mesures de sécurité
- Projet de loi du Sénat de Californie n° 327 — SB-327 Information Privacy : Connected Devices (2018) [anglais seulement]
- Guide de consultation rapide de la Loi canadienne sur la sécurité des produits de consommation
- Respecter les exigences de la Loi canadienne sur la sécurité des produits de consommation
- Loi canadienne sur la sécurité des produits de consommation (L.C. 2010, ch. 21)
Aperçu technique : Conseils pour protéger les renseignements personnels (développer pour en savoir plus)
Effectuer une évaluation des risques pour la sécurité. Chaque appareil intelligent est exposé à des menaces et à des vulnérabilités différentes, et les organisations doivent adapter les mesures de sécurité applicables à leurs appareils en fonction de la nature de leur produit, du type de données recueillies et d’autres facteurs. Il est bon d’entreprendre une évaluation des risques de sécurité qui vous aidera à déterminer les menaces et à atténuer les risques. Le Centre de la sécurité des télécommunications (CST) et la Gendarmerie royale du Canada (GRC) ont élaboré conjointement des lignes directrices sur l’évaluation des menaces et des risques.
Pour en savoir plus :
Concevoir les appareils de manière à limiter les risques d’atteinte à la sécurité. Les fabricants doivent concevoir les appareils de l’IdO de manière à limiter les risques d’atteinte à la sécurité. Certains éléments de conception peuvent grandement améliorer la sécurité des appareils. Par exemple :
- limiter la sensibilité et la portée du microphone;
- permettre un contrôle de la mise en sourdine (sous tension/hors tension) lié au matériel;
- filtrer les données audio inutiles au point de collecte;
- pouvoir désactiver temporairement ou définitivement une caméra pour éviter qu’elle ne soit activée accidentellement.
Dans la mesure du possible, donnez à l’utilisateur la possibilité de transformer un appareil de l’IdO en un appareil « non intelligent » en le déconnectant complètement d’Internet et des réseaux de l’IdO. Les utilisateurs devraient avoir la possibilité de se dissocier facilement d’un appareil (p. ex., « cette personne ne vit plus à cette adresse et n’utilise plus la télévision intelligente ») et de supprimer facilement les renseignements personnels qu’ils souhaitent.
Pour en savoir plus :
- Article de TechRepublic « Big data vs. smart data: Dun & Bradstreet chief data scientist breaks it down » (7 avril 2016) [anglais seulement]
Chiffrer les renseignements personnels. Protégez les renseignements personnels en les chiffrant. Par exemple, chiffrez les données des appareils qui stockent des renseignements personnels, les paramètres de configuration ou les données relatives au contrôle de l’accès à l’appareil (comme les mots de passe et les clés cryptographiques). Veillez à incorporer le matériel et le logiciel de chiffrement dans l’appareil. Il est moins sûr de n’utiliser que le chiffrement par logiciel.
Évaluer régulièrement les risques pour la sécurité. Les risques pour la sécurité évoluent avec le temps, surtout dans l’environnement de l’IdO où la durée de vie d’un appareil dépasse largement la durée de vie typique des logiciels et des micrologiciels qu’il contient. Il est nécessaire d’évaluer régulièrement les risques potentiels posés notamment par les évolutions technologiques et les nouvelles menaces malveillantes afin de comprendre puis d’atténuer les risques liés à votre appareil.
Pour en savoir plus :
- What’s the security shelf-life of IoT? [anglais seulement]
Mots de passe et clés d’association. Les fabricants devraient concevoir leurs produits de manière à exiger que les mots de passe soient changés avant que l’appareil ne soit connecté à Internet. Tout comme les mots de passe, les connexions Bluetooth ne devraient pas utiliser de codes d’association par défaut. Enfin, le consommateur devrait être invité à configurer de longs mots de passe et des clés d’association qui sont très difficiles à déchiffrer ou à deviner.
Effacer des données de l’appareil. Le logiciel ou le micrologiciel devrait permettre d’effacer le système de fichiers ou de réinitialiser l’appareil aux valeurs par défaut si l’utilisateur décide de se débarrasser de l’appareil ou de le vendre. Laisser des données dans l’appareil pourrait augmenter le risque d’atteinte à la sécurité.
Appliquer des correctifs et des mises à jour au micrologiciel. Des problèmes de sécurité sont constatés dans presque tous les codes de logiciels après la phase d’essai. Veillez à ce que l’utilisateur final puisse corriger ou mettre à jour le micrologiciel de l’appareil. Prévoyez un moyen d’informer l’utilisateur qu’une mise à jour est disponible. Si l’appareil comporte un écran, un message peut être affiché pour indiquer que des mises à jour sont disponibles et permettre à l’utilisateur de lancer celles ci. S’il n’y a pas d’écran, un voyant DEL clignotant peut être utilisé pour avertir l’utilisateur de la disponibilité d’une mise à jour. Il peut également être possible que l’appareil se connecte à une adresse URL qui répertorie les fichiers de micrologiciels, ou que l’utilisateur s’abonne à un service de mise à jour qui lui envoie un avis par courrier électronique.
Sélectionner des composants de dispositifs sécurisés. La sélection des composants peut grandement contribuer à la sécurité d’un appareil. Il est toujours prudent de s’assurer que la source est fiable et qu’elle a fait ses preuves en matière de composants sécurisés. Si vous retenez les services d’un fournisseur nouveau ou moins expérimenté, nous vous recommandons de vous procurer le code source de l’appareil auprès de ce fournisseur. Cela vous permettra de vérifier si le logiciel et le micrologiciel de l’appareil présentent des risques pour les renseignements personnels avant de les utiliser. N’oubliez pas que si vous confiez la fabrication de composants à des sous-traitants, vous restez responsable des renseignements qui sont transmis à un tiers.
Complément d’information sur la conformité à la LPRPDE
Nous avons plusieurs ressources qui contiennent de l’information détaillée sur la conformité à la LPRPDE. En voici quelques-unes :
- Application de la LPRPDE
- Refus d’enquêter et mettre fin à l’examen
- Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité
Liste de vérification de ce que vous devez faire en vertu de la Loi et des pratiques exemplaires que vous devriez adopter
Voici ce que vous devez faire pour vous acquitter de vos responsabilités au titre de la LPRPDE :
- faites preuve de responsabilité en instaurant des pratiques qui protègent les renseignements personnels qui sont sous le contrôle de votre organisation;
- avant de recueillir des renseignements personnels, précisez les fins pour lesquelles ils sont recueillis;
- obtenez le consentement éclairé et valable de la personne dont les renseignements personnels sont recueillis, utilisés ou communiqués;
- concevez vos appareils de manière à limiter la collecte de renseignements à ce qui est nécessaire aux fins prévues;
- utilisez et communiquez des renseignements personnels seulement aux fins pour lesquelles ils ont été recueillis;
- veillez à ce que les renseignements personnels soient aussi exacts, à jour et complets que l’exigent les fins auxquelles ils sont destinés, en particulier lorsqu’il s’agit de prendre une décision concernant des personnes ou de partager ces renseignements avec des tiers;
- veillez à ce que les renseignements personnels dont vous êtes responsable soient bien protégés;
- informez les personnes de vos politiques et pratiques en matière de gestion de l’information;
- donnez aux personnes la possibilité d’accéder à leurs renseignements et de les corriger;
- prévoyez des recours pour les consommateurs en mettant en place des procédures relatives aux plaintes;
- limitez les renseignements que vous recueillez, utilisez, partagez et conservez sur vos clients, y compris les enfants;
- protégez les renseignements personnels au moyen de mesures de sécurité technologiques, telles que le chiffrement et la protection par mot de passe.
Voici ce que vous devriez faire en complément des responsabilités qui vous incombent en vertu de la Loi :
- créez des politiques en matière de protection de la vie privée adaptées à chaque appareil afin d’accroître la transparence de vos pratiques en matière d’information; par exemple, fournissez la liste de tous les capteurs qu’un appareil possède, dans la section de votre politique relative aux communications, et indiquez la durée minimale pendant laquelle ces appareils recevront des mises à jour de sécurité;
- envisagez d’informer régulièrement les utilisateurs lorsque l’appareil recueille des données et accordez aux consommateurs plus de contrôle pour limiter cette collecte;
- réalisez des évaluations des facteurs relatifs à la vie privée et des risques de sécurité afin de déterminer et d’atténuer les risques associés à l’appareil et à vos pratiques de traitement des renseignements personnels;
- concevez vos appareils de manière à ce que les consommateurs utilisent des mots de passe complexes et uniques;
- offrez aux consommateurs des options conviviales leur permettant de supprimer définitivement les renseignements que vous détenez à leur sujet et informez-les de la marche à suivre pour ce faire;
- veillez à ce que l’utilisateur final puisse corriger ou mettre à jour le micrologiciel de l’appareil.
Références choisies
Publications du Commissariat
- Rapport de recherche, L’Internet des objets (2016)
- Rapport de conclusions, Enquête sur les pratiques de traitement des renseignements personnels de Ganz Inc. (2014)
- Rapport de conclusions, Un manufacturier de jouets connectés améliore les mesures de sécurité pour protéger adéquatement les renseignements d’enfants (2018)
- Un programme de gestion de la protection de la vie privée : la clé de la responsabilité (2012) et un Outil d’autoévaluation – LPRPDE (2008)
- Une occasion à saisir : Développer des applis mobiles dans le respect du droit à la vie privée (2012) et Dix conseils pour faire connaître les pratiques en matière de protection de la vie privée aux utilisateurs de votre application (2014)
- Lignes directrices pour l’obtention d’un consentement valable (2018)
- Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3) (2018)
- Principes relatifs à l’équité dans le traitement de l’information de la LPRPDE (2018)
- Les accessoires intelligents - Défis et possibilités pour la protection de la vie privée (2014)
- Vous recueillez des renseignements auprès des enfants? Dix conseils sur les services destinés aux enfants et aux jeunes (2015)
Loi
Gouvernements et autorités chargées de la protection des données
- Lettre conjointe du Commissariat à l’information du Royaume-Uni et du Commissariat à la protection de la vie privée du Canada, Lettre aux 10 fabricants de caméras Web au Canada et aux États-Unis (2015)
- Gouvernement du Royaume-Uni, Department for Digital, Culture, Media & Sport Code of Practice for Consumer IoT Security (2018) [anglais seulement]
- Gouvernement du Royaume-Uni, Department for Digital, Culture, Media & Sport Mapping of IoT Security Recommendations, Guidance and Standards to the UK's Code of Practice for Consumer IoT Security (2018) [anglais seulement]
- Rapport du personnel de la Federal Trade Commission des États-Unis, Internet of Things: Privacy and Security in a Connected World (2015) [anglais seulement]
- Federal Trade Commission des États-Unis, What’s the Security Shelf-life of IoT? (2015) [anglais seulement]
- Department of Commerce des États-Unis, National Institute of Standards and Technology (NIST), Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks (2018) [anglais seulement]
- Department of Commerce des États-Unis, National Institute of Standards and Technology (NIST), De-Identification of Personal Information (2015) [anglais seulement]
- Commission Nationale de l’Informatique et des Libertés de la France, Objets connectés : n’oubliez pas de les sécuriser!
International
- Conférence internationale des commissaires à la protection de la vie privée et des données personnelles, Mauritius Declaration on the Internet of Things [anglais et espagnol] (2014)
- Résultats du ratissage de 2016 du Global Privacy Enforcement Network (2016); Le ratissage international portant sur l’Internet des objets conclut que les appareils connectés ne répondent pas aux attentes sur le plan de la protection de la vie privée (2016) et 2016 GPEN Privacy Sweep, Internet of Things: Participating Authorities' Press Releases [anglais seulement].
- Groupe de travail Article 29 sur la protection des données Opinion 8/2014 on the Recent Developments on the Internet of Things [anglais seulement], Commission européenne (2014)
- Organisation internationale de normalisation, Norme internationale sur les technologies de l’information — Techniques de sécurité — Cadre privé, ISO 29100 (2011) (voir le tableau 2 à la page 14)
Autres
- Internet of Things Privacy Forum, Clearly Opaque: Privacy Risks of the Internet of Things (2018) [anglais seulement]
- Future of Privacy Forum, Microphones and the Internet of Things [anglais seulement] (2017)
- Ian Kerr, The Devil is in the Defaults (2017) [anglais seulement] (voir les pages 98-99)
- Vishai Salvi, 6 Steps to a More Secure IoT (2019) [anglais seulement]
- Broadband Internet Technical Advisory Group (BITAG), Internet of Things Security and Privacy Recommendations (2016) [anglais seulement]
- Scott Peppet, Regulating the Internet of Things: First Steps Toward Managing Discrimination, Privacy, Security & Consent (2014) [anglais seulement]
- Center for Democracy & Technology, Towards Privacy-Aware Research and Development in Wearable Health (2016) [anglais seulement]
- Center for Digital Democracy, Health Wearable Devices in the Big Data Era: Ensuring Privacy, Security, and Consumer Protection (2017) [anglais seulement]
- Florian Schaub, et coll., A Design Space for Effective Privacy Notices (2015) [anglais seulement]
- ACLU, Jay Stanley, The Privacy Threat from Always-on Microphones like the Amazon Echo (2017) [anglais seulement]
- Date de modification :