Centre des médias

La LPRPDÉ et son incidence sur le commerce et l'économie électroniques

Symposium sur la sécurité des technologies de l'information et la protection des renseignements personnels organisé par Transend Business Services

Le 25 août 2004
Ottawa (Ontario)

Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Introduction

Bonjour et bienvenue à Ottawa. C'est un plaisir d'être ici aujourd'hui pour prendre la parole devant un aussi grand nombre de spécialistes de première ligne du milieu des TI. Je suis heureuse de voir que le secteur aborde les questions et les préoccupations de protection de la vie privée et intervient pour atténuer les risques menaçant la vie privée au moyen de solutions novatrices et créatives en gestion de l'information et sécurité.

La plupart d'entre vous voyez les technologies de l'information et de la gestion de l'information de l'intérieur. Vous êtes probablement en charge des bases de données d'information de grandes entreprises ou de ministères du gouvernement. Vous fournissez les logiciels ou créez les programmes servant à gérer, à extraire, à trier et à stocker l'information. Vous êtes peut-être à la fine pointe de la conception des systèmes de sécurité de réseaux visant à contrer les menaces croissantes d'intrusion de pirates, des logiciels d'espionnage, du pourriel, des virus, des vers et de codes malicieux. Vous participez peut-être à des projets du Gouvernement en direct et travaillez activement à l'intégration des bases de données de renseignements que possèdent les ministères et les institutions gouvernementales. À ce titre, vous êtes sans doute au courant de la promesse de la technologie de révolutionner les services des entreprises et du gouvernement. Vous êtes aussi bien renseignés sur les plus récentes menaces pour la sécurité des données et la vie privée.

Ce n'est pas du tout la même chose pour le public en général qui utilise l'Internet. Tous les jours, le Commissariat reçoit des appels de Canadiennes et de Canadiens qui sont frustrés d'être bombardés quotidiennement sur leur propre ordinateur par des menus éclair (pop-ups) dont ils ne veulent pas, des bandeaux publicitaires devant lesquels ils tiquent, des courriels explicites qu'ils ne veulent vraiment pas laisser voir à leurs enfants et des offres trompeuses de « logiciels gratuits » qui envahissent leurs ordinateurs et piratent leurs modems. Ils sont déconcertés par la série de pièces, de filtres et de coupe-feu qu'on leur offre comme protection. Et ils sont préoccupés par l'augmentation des vols d'identité, des fraudes et des escroqueries sur l'Internet.

Voilà certaines des inquiétudes exprimées au Commissariat par les Canadiens moyens ayant peur que les entreprises n'utilisent mal les renseignements personnels donnés au cours des transactions en ligne. C'est une préoccupation qui empêche les gens de faire davantage des affaires en ligne.

D'après un sondage de Léger Marketing effectué en 2002, les questions de sécurité et de protection des renseignements personnels demeurent le principal obstacle aux achats en ligne par la population canadienne. Ces craintes sont alimentées par les prévisions selon lesquelles le problème du vol d'identité prend rapidement des proportions hors de contrôle — qui aboutiront à des pertes mondiales représentant 2 billions de dollars à la fin de 2005.

Les Canadiennes et les Canadiens craignent également que les renseignements personnels, donnés aux institutions gouvernementales de bonne foi ou en vertu de la loi, ne soient combinés aux bases de données des banques, des magasins, des sociétés d'assurance, des clubs vidéos et des pharmacies. Ils craignent que le dossier personnel complet ainsi obtenu ne soit utilisé par les gouvernements pour prendre des décisions concernant leur vie et par des organismes d'application de la loi ici ou à l'étranger.

Voudriez-vous qu'on entre dans une base de données globale du gouvernement ou du secteur commercial les détails relatifs à vos achats, à vos destinations de voyages, à l'église ou aux clubs ou aux partis politiques auxquels vous adhérer, aux livres que vous lisez ou aux ordonnances que vous utiliser?

Cette idée fait peur à bien des gens. À bien des égards, l'efficacité et l'intégration mêmes de l'information que le secteur des TI cherche à atteindre peuvent être perçues comme une menace à la vie privée. Vous y voyez probablement une occasion pour votre société de profiter de l'extraction des données, mais votre voisin y voit peut-être une invasion inadmissible de la vie privée.

Le Commissariat à la protection de la vie privée du Canada intervient de plusieurs façons. Nous collaborons étroitement avec Industrie Canada sur les questions de pourriel, de logiciel d'espionnage, de fraude sur Internet et autres risques virtuels menaçant la vie privée. Nous collaborons avec le Groupe de travail spécial sur le pourriel d'Industrie Canada afin de vérifier si les organisations canadiennes qui recueillent et utilisent les adresses de courriel — lesquelles peuvent être considérées comme renseignements personnels en vertu de la Loi — se conforment à la loi. Nous travaillerons avec Industrie Canada pour prendre des mesures correctives, s'il y a lieu.

Quant à la question de combiner dans des bases de donnés communes les renseignements personnels recueillis dans les commerces aux renseignements personnels détenus par le gouvernement, nous nous objectons fermement à cette approche dans le projet de loi C-7, la Loi sur la sécurité publique . Notre objection vise en particulier la récupération par les organismes du secteur privé qui recueillent des renseignements aux fins d'application de la loi.

Sur une question connexe qui, à mon avis, intéresse grandement le milieu des TI, le document de consultation du ministère de la Justice sur l'accès légal au courrier électronique et aux données de l'Internet propose une norme de protection inférieure pour les communications par courriel et autres messages électroniques à la norme applicable aux appels téléphoniques, aux lettres, ou autre type de communication privée en vertu du Code criminel . Le type d'accès qui est proposé soulève des sérieuses questions en matière de finances, de logistique et d'éthique pour les fournisseurs IP aussi. Le type d'accès proposé est comparé au gouvernement qui demanderait à Postes Canada de photocopier l'adresse de chaque enveloppe envoyée par un citoyen canadien.

Le Commissariat a exprimé une série d'objections à des propositions précises du document de consultation. Nous poursuivons les discussions avec Justice Canada. Nous ne croyons pas que les Canadiennes et les Canadiens qui utilisent les nouvelles technologies des communications méritent d'être surveiller plus étroitement ou soumis à un examen plus approfondi que les autres citoyens. Ils sont vos clients et se méfient déjà du commerce électronique.

Quant à la question de la protection des droits à la vie privée des Canadiennes et des Canadiens lorsque les renseignements personnels traversent les frontières — et des incidences de la USA PATRIOT ACT — le Commissariat s'efforce effectivement de protéger les droits à la vie privée. Il s'agit d'une question qui se situe au coeur de la position du Canada en tant que chef de file des normes internationales de protection de la vie privée.

Ainsi, votre secteur, le gouvernement et la société canadienne en général doivent prendre des mesures audacieuses et équilibrées, ce qui ne leur facilite pas la tâche. Comment aller de l'avant pour saisir les occasions et les avantages des nouvelles technologies de l'information tout en conservant la confiance des clients et du public canadien? C'est dans ce contexte que j'aimerais aborder la loi canadienne sur la protection des renseignements personnels et ses effets sur les technologies de l'information et le commerce électronique.

Qui nous sommes et ce que nous faisons

À titre de commissaire à la vie privée, mon travail est assez simple. Je défends les droits à la protection de la vie privée des Canadiennes et des Canadiens. Je suis une Agente indépendante du Parlement, qui rend des comptes directement à la Chambre des communes et au Sénat. Le Commissariat est chargé de la surveillance de deux importantes lois sur la protection des consommateurs. Nous surveillons la conformité et examinons les plaintes relatives aux renseignements personnels détenus par les institutions fédérales visées par la Loi sur la protection des renseignements personnels . Nous sommes également chargés de la surveillance de la Loi sur la protection des renseignements personnels et les documents électronique - LPRPDÉ — et c'est principalement à ce titre que je m'adresse à vous aujourd'hui.

La LPRPDÉ constitue la contribution du Canada à un vaste mouvement international visant à s'assurer que les particuliers maîtrisent davantage leurs renseignements personnels. L'Union européenne est un chef de file mondiale à cet égard. La Directive sur la protection des données de l'EU permet le transfert de données contenant des renseignements personnels de ses nations membres uniquement aux entreprises des pays qui offrent un niveau similaire de protection des renseignements personnels. La  LPRPDÉ permet au Canada d'être sur cette liste et de participer à l'économie de l'information internationale.

Comme vous le savez, le commerce électronique ne connaît pas de frontière. Les politiques reconnues internationalement en matière de protection des renseignements personnels sont essentielles pour augmenter votre chiffre d'affaires et profiter des avantages des marchés nouveaux. C'est particulièrement important pour l'impartition. La  LPRPDÉ oblige les entreprises à s'assurer que les renseignements personnels envoyés à l'extérieur aux fins de traitement sont protégés en vertu d'un contrat contre l'utilisation ou la communication inopportunes, tout comme s'ils étaient traités à l'interne.

La LPRPDÉ n'est pas un empêchement au commerce électronique ni aux boutiques électroniques. La définition de la loi est très claire : «  Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels ... » Nous n'avons pas l'intention d'aller à l'encontre de vos projets, mais de vous aider à donner à vos clients l'assurance que vous protégez leurs renseignements personnels de manière adéquate. La Loi a été instituée pour permettre au commerce électronique de prospérer. Sans l'assurance que les renseignements personnels et le droit à la protection de la vie privée seront protégés, le commerce électronique ne réalisera pas son potentiel de multimilliards de dollars. Les bonnes pratiques de protection de la vie privée contribueront à la croissance de votre entreprise et à la prévention de la perte de clients en raison d'un manque de confiance, ou d'un manque de connaissance de vos politiques.

Comme le sondage de Léger Marketing le souligne, la confiance est une question de la plus haute importance pour les acheteurs en ligne. Il se peut que le prix soit juste, que les acheteurs soient attirés par la commodité de l'achat en ligne, mais s'ils croient que leurs renseignements personnels ne sont pas protégés, ils n'achèteront pas. Selon un sondage Ipsos-Reid mené en 2000, 84 pour cent des utilisateurs canadiens de l'Internet craignent de donner des renseignements personnels, comme leur numéro de carte de crédit, sur un site Web. C'est l'obstacle le plus important à la hausse des achats en ligne. Un sondage de la même société, mené en 2003, indique que les Canadiennes et les Canadiens sont davantage préoccupés par la sécurité de l'Internet qu'ils ne l'étaient l'année précédente.

Les entreprises sont tenues d'obtenir le consentement préable à tous les usages des renseignements qu'elles recueillent; la collecte de renseignements doit être effectuée dans un but raisonnable; les renseignements doivent être exacts et faciles à corriger par le client et ils doivent être conservés et détruits de manière sécuritaire.

Sécurité et vie privée

J'aimerais prendre un moment pour parler de la différence entre sécurité, confidentialité et vie privée. La vie privée, selon notre définition, signifie maîtriser la collecte, l'utilisation et la communication des renseignements personnels. La sécurité, quant à elle, fait référence à la manière de protéger les renseignements à l'aide d'obstacles physiques ou de systèmes techniques pendant la collecte, la conservation, l'utilisation ou la destruction. La confidentialité renvoie à l'obligation de respecter la nature personnelle des renseignements qui vous sont confiés et de veiller à ce qu'ils ne soient pas utilisés à des fins abusives.

Toutes ces valeurs sont essentielles au succès du commerce électronique, mais elles sont différentes. Supposons qu'une organisation — une société d'assurance par exemple — obtient d'une autre source des renseignements personnels sur un particulier et, sans le consentement de celui-ci, utilise ces renseignements pour prendre des décisions ayant une incidence sur sa vie.

Peu importe les mesures de sécurité — que les renseignements se trouvent dans un classeur verrouillé ou soient protégés par un coupe-feu. Peu importe le degré de confidentialité des renseignements. Votre vie privée a été envahie. Le tableau change lorsque le consentement est donné ou que les renseignements personnels sont recueillis en vertu de la loi — par exemple, les renseignements fiscaux recueillis par l'ADRC ou les renseignements recueillis en vertu de règlements aux fins d'enquête criminelle. C'est alors que l'attention est portée davantage sur la confidentialité et la sécurité du système qui contient les renseignements.

Nous sommes parfois obligés de fournir à des organismes des renseignements très personnels, de nature délicate afin d'obtenir des services. Ces renseignements constituent un produit de base pour les spécialistes du marketing, qui en extraient de précieuses pépites d'or démographique. Ils constituent aussi un outil puissant que les organismes d'application de la loi et les gouvernements pourraient éventuellement utiliser pour établir le profil de larges segments de la population aux fins d'évaluation des risques en matière de sécurité.

Les concepteurs et les vendeurs de logiciel de gestion de données pourraient être tentés de croire qu'ils sont simplement des fournisseurs de service ou de produit et qu'il appartient au client d'utiliser le logiciel de manière responsable à l'égard de la vie privée. Je vous propose cependant de voir plus loin pendant un moment; le nom et la réputation de votre société sont liés à votre produit. Si les consommateurs jugent que le produit brise le droit de regard individuel sur les renseignements personnels, ils pourraient avoir une opinion négative de votre société.

La technologie que vous créez et dont vous faites la promotion n'est ni bonne ni mauvaise et elle peut servir à de multiples usages avantageux pour rendre votre entreprise plus efficace, accroître la profitabilité, offrir un meilleur service à la clientèle et des programmes gouvernementaux mieux adaptés. Mais elle peut aussi être mal utilisée. Je crois que nous avons tous la responsabilité générale et sociale de faire tout ce que nous pouvons pour nous assurer que les produits des technologies de l'information sont utilisés de manière à respecter le droit à la protection des renseignements personnels des consommateurs.

Transferts de données transfrontaliers

Comme je l'ai déjà mentionné, on s'inquiète des effets de la USA PATRIOT Act sur les renseignements personnels des citoyens canadiens dont le traitement ou l'entreposage est confié en sous-traitance à des entreprises affiliées installées aux États-Unis. Le Commissariat est très préoccupé par cette question et a demandé un dialogue ouvert et transparent avec le secteur privé et nos autres partenaires gouvernementaux. J'aimerais décrire certaines des mesures que nous prenons présentement pour clarifier la question.

Le transfert transfrontalier de données est une réalité de la vie moderne. La mondialisation crée des liens entre les économies de partout dans le monde, y compris l'économie de l'information, de manière avantageuse pour nous tous. Cependant, les Canadiennes et les Canadiens s'attendent à une norme raisonnable de protection de leurs renseignements personnels et y ont droit. Ils ne veulent pas que cette protection s'évapore lorsque les renseignements personnels sont communiqués outre frontière, à des fins de sécurité ou de commerce.

Les sociétés visées par la LPRPDÉ ou par une loi provinciale similaire doivent se conformer à la loi. La Loi exige que les renseignements personnels soient protégés par des garanties de sécurité adéquates à la nature délicate des renseignements, notamment lorsqu'ils sont communiqués par-delà des frontières. Le Commissariat participe a de nombreuses initiatives qui contribueront, nous l'espérons, à éclaircir cette question. Nous planifions une vérification, en 2004-2005, de la circulation transfrontalière des renseignements donnés par les Canadiennes et les Canadiens à leur gouvernement. Nous participons aux discussions en cours avec Sécurité publique et Protection civile Canada sur la manière de traiter les renseignements personnels dans le contexte des préoccupations de sécurité. Nous collaborerons également avec le comité parlementaire chargé de la sécurité, afin de nous assurer que la protection transfrontalière des renseignements personnels canadiens est une priorité politique. Et cette question sera aussi prioritaire dans l'examen législatif de la LPRPDÉ prévu en 2006.

Le Commissariat poursuivra ses initiatives de sensibilisation auprès des dirigeants du secteur et des associations professionnelles pour s'assurer qu'ils comprennent leurs obligations en vertu de la LPRPDÉ lorsqu'il s'agit de circulation transfrontalière des renseignements. Nous espérons que la Commission d'enquête sur les actions des responsables canadiens relativement à Maher Arar jettera un regard sur le transfert transfrontalier des renseignements personnels de citoyens canadiens dans un contexte de sécurité nationale. Le Commissariat croit que d'autres ministères du gouvernement doivent aussi examiner leurs propres politiques et leurs propres procédures en matière de transfert transfrontalier des renseignements personnels.

J'aimerais aussi attirer votre attention sur les dispositions de protection des dénonciateurs de la LPRPDÉ s'appliquant aux employés qui avertissent le Commissariat lorsqu'une société s'apprête à transférer des renseignements à l'étranger en contrevenant à la Loi. La LPRPDÉ protège plus particulièrement les employés contre les représailles des employeurs, y compris le harcèlement, la révocation, ou la rétrogradation.

Conclusion

En conclusion, j'aimerais prendre quelques instants pour mentionner le Programme des contributions du Commissariat à la protection de la vie privée du Canada. En juin, nous avons annoncé le coup d'envoi d'un nouveau programme de recherche dans le domaine de la protection de la vie privée, financé en grande partie par le Commissariat. Nous exigeons des projets axés sur l'intersection de la technologie et de la vie privée, et des projets faisant la promotion des bonnes pratiques de protection de la vie privée conformément à la LPRPDÉ en tant qu'élément clé des pratiques commerciales responsables.

Je me réjouis de la réponse enthousiaste que nous avons reçue. Je pense qu'il est extrêmement important d'accroître la capacité de recherche nationale du Canada en matière de protection de la vie privée et le Programme des contributions constitue une étape positive dans cette direction.

À titre de spécialistes des TI, vous savez que les innovations technologiques suscitent de profonds changements dans la société et que ces changements s'étendent à notre perception de la vie privée. Les innovations comme les téléphones caméra, les systèmes de localisation mondiaux et les boîtes noires dans les automobiles, influencent nos opinions sur la vie privée et sur ce qui est acceptable. Les téléphones caméra ont été interdits dans certains endroits, en raison des préoccupations particulières en matière de vie privée. Est-ce que votre automobile est un lieu privé? Les boîtes noires qui servent à recueillir des renseignements sur nos habitudes de conduite automobile et les appareils photo reliés aux feux rouges pour attraper les contrevenants suscitent des débats sur les limites acceptables de la vie privée — mais nos tribunaux ont accepté que les renseignements provenant des boîtes noires soient utilisés pour déterminer la responsabilité civile.

Les impératifs de sécurité nationale et les mesures jugées nécessaires pour combattre le crime organisé mettent à l'épreuve aussi les frontières des limites de notre société entre la vie privée personnelle et les intérêts du public.

Cependant, tandis qu'évolue notre perception de la vie privée dans une société de l'information, la vie privée demeure une valeur très chère à la société canadienne. Reconnaissant que la valeur sociale et le respect le droit à la protection de la vie privée des consommateurs et des clients favorisent la confiance et la loyauté en affaires électroniques.

La confiance et la loyauté du consommateur sont reconnus comme les facteurs clés de la croissance et de la survie du commerce électronique. Votre secteur industriel est un secteur qui pousse continuellement l'enveloppe technologique et les idées sociales en matière d'information et de connectivité. La responsabilité du Commissariat est de soulever les incidences éventuelles de cette technologie sur la vie privée et de travailler avec vous pour vous aider à donner aux Canadiennes et aux Canadiens l'assurance que leurs renseignements personnels sont protégés. J'espère que le Commissariat et votre secteur pourront s'associer pour garantir une approche équilibrée de la protection des renseignements personnels.