26 mai 2013

Canada: pour une réforme de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ)

[Publié le 26 mai 2013 - Mis à jour le 30 mai 2013]

Le 23 mai 2013, dans le cadre du Symposium sur la protection de la vie privée 2013 organisé par l'International Association of Privacy Professionals (IAPP), Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, a présenté les recommandations mises de l'avant dans le document publié le même jour par le Commissariat et intitulé Arguments en faveur de la réforme de la Loi sur la protection des renseignements personnels et les documents électroniques

Avant de présenter les arguments mis de l'avant par le Commissariat à la protection de la vie privée du Canada (CPVPC), il convient de rappeler que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) a été adoptée en avril 2000, notamment pour répondre aux exigences de l'Union européenne et de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (voir la décision 2002/2/CE constatant le niveau de protection adéquat de la LPRPDÉ à la D95/46/CE)

La LPRPDÉ a pour objet 
"de fixer, dans une ère où la technologie facilite de plus en plus la circulation et l’échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l’égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances" (art. 3)
Les principes de protection des renseignements personnels reconnus dans la LPRPDÉ s'appliquent aux entreprises fédérales. Ils s'appliquent également dans le cadre de communications interprovinciales et internationales de renseignements personnels. Ils s'appliquent aussi aux organisations qui collectent, utilisent ou communiquent des renseignements personnels dans le cadre de leurs activités commerciales dans des provinces/territoires qui n'ont pas de loi essentiellement similaire. La LPRPDÉ ne s'applique donc pas en Alberta, en Colombie-Britannique et au Québec, le gouverneur en conseil ayant reconnu, par décret, que les lois de ces provinces sur la protection des renseignements personnels dans le secteur privé offrent un niveau de protection essentiellement similaire à la LPRPDÉ (Il en est de même pour l'Ontario, le Nouveau-Brunswick et Terre-Neuve-et-Labrador pour ce qui est des renseignements personnels sur la santé).

Depuis l'entrée en vigueur de la LPRPDÉ (soit par étape de janvier 2001 à janvier 2004), force est de constater comme l'indique la commissaire Stoddart que beaucoup de choses ont changé: 
"Facebook, Twitter et l'application Street View de Google n'existaient pas. Les téléphone n'étaient pas intelligents. Le "nuage" ne faisait que bouleverser nos projets de pique-nique. Et l'analyse prédictive relevait en grande partie du domaine du tarot".
(Source: Discours J. Stoddart, 23 mai 2013)
"Nous vivons à l'époque des "mégadonnées". [...] Les renseignements personnels sont au coeur de l'économie numérique mondiale. [...] Les risques en matière de protection de la vie privée croissent avec l'évolution de l'environnement. Les organisations utilisent les renseignements personnels de façons antérieurement inimaginables. Même si bon nombre de ces nouvelles utilisations pourraient profiter aux personnes et à la société, le risque que les renseignements personnels puissent être utilisés de façons extrêmement intrusives et qui heurtent notre sentiment de vie privée est réel. Même si les renseignements ne sont pas utilisés à mauvais escient, ils pourraient être perdus, consultés sans autorisation ou volés par des pirates informatiques expérimentés".
(Source: CPVPC, Arguments en faveur de la réforme de la LPRPDÉ, mai 2013, p. 4-5)
Partant la commissaire Stoddart met de l'avant des pistes de réflexion / points de pression pour moderniser la LPRPDÉ "afin de permettre de s'attaquer plus efficacement aux problèmes actuels et futurs dans le domaine" de la protection des renseignements personnels. (Source: CPVPC, Communiqué, 23 mai 2013) 

Ces points contenus dans le document intitulé Arguments en faveur de la réforme de la LPRPDÉ sont les suivants:

1. Renforcer l'application de la LPRPDÉ et encourager une plus grande conformité à celle-ci

Actuellement, la commissaire a le pouvoir de mener des enquêtes (de sa propre initiative ou à la suite d'une plainte) et de procéder à la vérification des pratiques d'une organisation en matière de gestion des renseignements personnels. Elle "peut chercher à régler une plainte par le biais de la négociation, de la persuasion et de la médiation" (p. 6), ce qu'elle fait régulièrement ... mais "elle n'a aucun pouvoir exécutoire direct" (p. 6)

Dans ces circonstances, la commissaire estime que 
"les recommandations "douces" assorties de peu de conséquences en cas de manquement à la loi ne sont plus efficaces dans un environnement qui évolue rapidement et où les risques pour la vie privée sont à la hausse. Il est temps de mettre en place des mesures incitatives financières pour veiller à ce que les organisations assument de plus grandes responsabilités en ce qui à trait à l'adoption, dès le départ, de mesures de protection adéquates, et de prévoir des sanctions pour les organisations qui ne le font pas. En l'absence de telles mesures, [elle] aura une capacité limitée pour ce qui est de s'assurer que les organisations protègent les renseignements personnels adéquatement à l'ère des mégadonnées" (p. 7).
Et, en considérant ce qui se fait ailleurs - États-Unis (rôle de la FTC), Europe (rôle des autorités de contrôle et modernisation de la Directive 95/46/CE), Australie -, la commissaire indique que "le Canada ne peut se permettre d'accuser de retard et de ne pouvoir imposer que des conséquences minimales aux organisations qui ne respectent par les lois fédérales sur la protection des renseignements personnels" (p. 9)

Elle recommande donc 
  • de "conférer à un tribunal le pouvoir d'ordonner des dommages-intérêts dans le cas de certaines infractions", étant entendu que ces dommages-intérêts légaux sont "appropriés dans les cas où il est difficile ou impossible pour le plaignant de prouver une perte quantifiable en raison de la violation de la loi". Et, "une fourchette de dommages-intérêts pourrait être établie, et des montants minimum et maximum pourraient être prévus" ce qui profiterait aux plaignants mais aussi aux organisations "car elles sauraient ce à quoi elles peuvent s'exposer et seraient mieux à même d'évaluer les risques et de prévoir les résultats" (p. 9)
  • de lui reconnaître le pouvoir de rendre des ordonnances de faire ou de ne pas faire comme en Alberta, en Colombie-Britannique et au Québec. Ainsi, "dans le cas où une ordonnance ne serait pas respectée, le plaignant ou la commissaire pourrait enregistrer l'ordonnance auprès de la Cour fédérale et veiller à ce qu'elle soit exécutée comme une ordonnance de la Cour, conformément aux pouvoirs liés à la sanction d'un outrage de la Cour. Pour sa part, l'organisation pourrait demander un contrôle judiciaire" (p. 10);  
  • de lui reconnaître le pouvoir d'imposer des sanctions administratives pécuniaires en cas de non-conformité à la loi (p. 11)
2. Mettre en lumière les atteintes à la sécurité des données

Au regard des différentes atteintes qui ont fait la une des journaux ces dernières années (par ex. Ressources humaines et Développement des compétences Canada (RHDCC) (billet), Sony au Royaume-Uni (billet), Facebook (billet)), de l'entrée en vigueur de l'obligation de déclaration obligatoire de ces atteintes en Alberta, dans la majorité des États américains ou encore en Europe (billet concernant la transposition en France et au Luxembourg par ex.), la commissaire considère que "l'adoption de dispositions rendant obligatoire le signalement des atteintes mettrait donc la LPRPDÉ au diapason des lois de nombreuses autres juridictions" (p. 14).

Il convient de rappeler que la recommandation visant à "obliger les organisations à signaler les atteintes à la sécurité des renseignements personnels à la commissaire et à aviser les personnes concernées, s'il y a lieu, afin que les mesures d'atténuation appropriées puissent être prises en temps opportun" (p. 13) trouve écho dans deux projets de lois, à savoir le Projet de loi C-12 (déposé à la Chambre des communes le 29 septembre 2011) et le Projet de loi C-475 (déposé à la Chambre des communes le 26 février 2013). 

3. Lever le voile sur les communications autorisées 

Devant les inquiétudes exprimées "au sujet de l'accès sans mandat aux renseignements personnels par les organismes chargés de l'application de la loi" (notamment eu égard à l'art. 7(3)c.1 de la LPRPDÉ qui autorise la communication de renseignements personnels sans le consentement des personnes concernées pour des raisons liées à la sécurité nationale, à la défense du Canada, à la conduite des affaires internationales ou à des fins de contrôle d’application du droit canadien, provincial ou étranger), la commissaire estime que "les organisations devraient, à tout le moins, être obligées de tenir un registre des données de base se rapportant à ces communications, et elles devraient être tenus de rendre public le nombre de communications qu'elles effectuent chaque trimestre. Cette information pourrait être affichée sur le site Web des organisations" (p. 16) 

4. Faire preuve de responsabilité ou encore joindre le geste à la parole

Se basant sur le document produit en partenariat avec l'Alberta et la Colombie-Britannique en avril 2012, la commissaire recommande de renforcer le principe de responsabilité notamment 
  • en exigeant "des organisations qu'elles démontrent, [à sa demande] qu'elle ont mis en place un programme de protection de la vie privée" (p. 19)
  • en intégrant "le concept d'"ententes exécutoires", qui ferait en sorte qu'une organisation, au terme d'une enquête, accepterait de se conformer aux recommandations de la commissaire et de démontrer qu'elle s'y est conformée dans un laps de temps déterminé" (p. 20)
  • en veillant "à ce que certaines dispositions relatives à la responsabilité puissent être soumises à un contrôle judiciaire par une cour fédérale" (Source: Discours Stoddart)
En conclusion, il est mis l'accent sur le fait que "compte tenu des changements remarquables dans la façon dont les renseignements personnels sont recueillis, utilisés et communiqués par les organisations, ainsi que de la dimension mondiale de l'économie numérique d'aujourd'hui, il faut renforcer la loi fédérale de protection des renseignements personnels dans le secteur privé pour la rendre semblable aux lois sur la protection des renseignements personnels qui ont été adoptées ailleurs au Canada et dans le monde" (p. 21)

Et dans son discours, la commissaire, tout en reconnaissant que "la perspective d'un modèle d'application plus stricte peut susciter un certain inconfort dans les milieux d'affaires", insiste sur le fait que "toutes ces mesures aideront à doter le Canada d'un cadre de protection de la vie privée moderne et équilibré. Des mesures de protection plus vigoureuses renforceraient la confiance des consommateurs à l'égard de l'économie numérique et stimuleraient la croissance économique du pays. Et elles ne freineraient pas l'innovation. Loin de là."

Reste à voir la suite qui sera donnée à ces pistes de réflexion ... à suivre donc. 

Pour aller plus loin, voir notamment: 

20 mai 2013

Google: le Congrès américain s'interroge sur les enjeux des Google Glass sur la vie privée

Alors que se termine la conférence annuelle Google I/O, huit membres du Congrès américain s'interrogent sur les enjeux des lunettes à réalité augmentée de l'entreprise (Google Glass) sur la vie privée. 

Le 16 mai 2013, ils ont envoyé une lettre à Larry Page, président de Google pour lui demander certaines précisions. La lettre se lit comme suit:  
"[...] As members of the Congressional Bi-Partisan Privacy Caucus, we are curious whether this new technology could infringe on the privacy of the average American. Because Google Glass has not yet been released and we are uncertain of Google's plans to incorporate privacy protections int the device, there are still a number of unanswered questions that we share. Accordingly, we would appreciate the answers to the questions that follow: 
1. In 2010, it was discovered that Google was collecting information across the globe from unencrypted wireless networks. This pratice caused multiple investigations into the company along with consumers left perplexed. Google just recently agreed to pay $7 million to settle charges with 38 states for the collection of data from unprotected Wi-Fi networks without permission. Google also admitted that they did not adequately protect the privacy of consumers and "tightened up" their systems to address the issue. While we are thankful that Google acknowledged that there was an issue and took responsible measures to addrss it, we would like to know how Google plans to prevent Google Glass from unintentionally collecting data about the user/non-user without consent ?
2. What proactive steps is Google taking to protect the privacy of non-users when Google Glass is in use ? Are product lifecycle guidelines and frameworks, such as Privacy by Design, being implemented in connection with its product design and commercialization ?For example, if a Google Glass customer/user decides to resell or to dispose of their Google Glass product, would there be any product capabilities incorporated into the device to ensure that one's personal information remains private and secure ?
3. When using Google Glass, is it true that this product would be able to use Facial Recognition Technology to unveil personal information about whomever and even some inanimate objects that the user is viewing ? Would a user be able to request such information ? Can a non-user or human subject opt out of this collection of personal data ? If so, how ? If not, why not ?
4. In Google's privacy policy, it states that the company "may reject requests that are unreasonably repetitive, require disproportionate technical effort ... risk the privacy of others, or would be extremely impractical." Please provide examples of when Google would reject requests on Goggle Glass that would risk the privacy of others ? Would Google place limits on the technology and what type of information it can reveal about another person ? If so, please explain. If not, why not ?
5. Given Google Glass's sensory and processing capabilities, has Google considered making any additions or refinements to its privacy policy ?  If so, please explain. If not, why not ?
6. In Google's privacy policy, it states that the company "may collect device-specific information (such as your hardware model, operating system version, unique device identifiers, and mobile network information including phone number)"
a. Would this information be collected from users operating Google Glass ? If so, what specific information is Google intending to collect ?
b. Would Google Glass collect any data about the user without the user's knowledge and consent ? If so, why ? If not, please explain.
7. It was recently revealed that the New York Times was the first to release an app for Google Glass. To what extent was privacy considered in approving this app ? Is Google planning to make privacy a priority for future app developers ? If not, why not ? If so, please explain. 
8. Will Google Glass have the capacity to store any data on the device itself ? If so, will Google Glass implement some sort of user authentication system to safeguard stored data ? If not, why not ? If so, please explain. [...]"
Le président de Google a jusqu'au 14 juin 2013 pour répondre aux questions. À suivre donc ...
  • CONGRESS OF THE UNITED STATES, BI-PARTISAN PRIVACY CAUCUS, Letter, May 16, 2013.

12 mai 2013

GPEN: action commune visant les politiques de confidentialité

En vertu des lois visant à encadrer la protection des renseignements personnels, une entreprise - ou encore un organisme public - qui entend collecter, utiliser ou communiquer des renseignements personnels doit informer préalablement la personne concernée sur certains points. Ainsi, devront entre autres être précisé quels sont les renseignements qui seront collectés, quel est l'usage qui en sera fait, qui y aura accès, quelles sont les mesures de sécurité prises pour en assurer la confidentialité, comment la personne concernée pourra exercer son droit d'accès ou de rectification et, le cas échéant porter plainte en cas de manquement.

Dans les environnements électroniques, cette information sera le plus souvent contenue dans les politiques de confidentialité qui indiquent les engagements des entreprises - et des organismes publics - quant à la collecte, à l'utilisation ou encore à la sécurité des renseignements personnels. 

Ces politiques sont souvent décriées en ce qui concerne leur accessibilité, leur clarté et leur compréhension. Plusieurs appellent ou envisagent des mécanismes visant à leur simplification ... comme, par exemple, les Commissaires à la protection des données et de la vie privée dans la Résolution de Sydney de 2003, le Groupe de l'article 29 dans l'avis 10/2004, la Commission d'accès à l'information du Québec dans son Rapport quinquennal de 2011, la Federal Trade Commission dans un rapport de mars 2012 ou encore un groupe d'étudiants de l'Université de Yale (Privacy Simplified). 

Dans cette optique de simplification et, "afin de sensibiliser les acteurs d'internet sur l'importance des mentions d'information qui doivent être présentes sur leurs sites web et les internautes sur le respect de leurs droits en ligne" (Source: CNIL, 6 mai 2013), plusieurs autorités de protection des renseignements personnels, membres du Global Privacy Enforcement Network (GPEN), ont participé à une action commune. 
"Une vingtaine d'autorités vont, simultanément, analyser les mentions d'information présentes sur les principaux sites web à l'occasion de l'Internet Sweep Day. [...]
Cette année, les autorités membres ont décidé de mettre en place, le même jour, une opération conjointe, appelée l'Internet Sweep Day. Cette opération est destinée à apprécier, sur une large échelle, l'information des internautes proposée par les principaux sites internet. 
Le 6 mai 2013, la CNIL examine 250 sites internet parmi les plus importants afin de vérifier si les internautes sont correctement informés des points suivants :
- quelles données les concernant sont collectées ?
- pour quoi faire ?
- leurs données sont-elles transmises à des tiers ?
- peuvent-ils s'opposer à cette transmission à des tiers ?
La CNIL regardera également si les mentions d'information sont claires et compréhensibles." 
(Source: CNIL, 6 mai 2013) 
"Au cours de la semaine [du 6 au 12 mai], les autorités participantes désigneront des personnes au sein de leur organisation qui ratisseront Internet dans un effort coordonné pour évaluer les enjeux liés à la protection de la vie privée relativement à un thème commun.
Le thème retenu pour le premier ratissage d’Internet pour la protection de la vie privée est la transparence des pratiques en matière de confidentialité. [...]
Voici certaines des questions dont le Commissariat à la protection de la vie privée du Canada tiendra compte lorsqu’il examinera quelques centaines de sites Web dans le cadre du ratissage d’Internet pour la protection de la vie privée :
- Est-ce qu’une politique de confidentialité figure sur le site?
- Est-il difficile de trouver de l’information sur les pratiques de l’entité en matière de confidentialité?
- Les coordonnées d’une personne-ressource à qui poser des questions et faire part de préoccupations concernant la protection des renseignements personnels sont-elles faciles à trouver?
- Les renseignements concernant les pratiques en matière de confidentialité sont-ils faciles à comprendre?" 
(Source: CPVPC, 6 mai 2013)

Les résultats de cette action commune seront publiés dans quelques mois, à suivre donc ...

Pour aller plus loin, voir notamment le site de certaines autorités de protection: 
-----
NB: Dans le cadre d'une recherche sur les mécanismes de production de la confiance dans les environnements électroniques, je me suis intéressée aux politiques de confidentialité et ai publié un Guide pour l'élaboration d'une politique de confidentialité.

7 mai 2013

Pologne: 35° conférence internationale des commissaires à la protection des données et de la vie privée 2013

Du 23 au 26 septembre prochain, l'autorité polonaise de protection des données personnelles (Generalny Inspektor Ochrony Danych Osobowych (GIODO)) sera l'hôte de la 35° conférence internationale des commissaires à la protection des données et de la vie privée. 

On peut lire sur la page d'accueil du site de la conférence, le message suivant du président de l'autorité polonaise, Wojciech Rafał Wiewiórowski
I am proud and honoured to invite you to the 35th International Conference of Data Protection and Privacy Commissioners -  'Privacy: A Compass in Turbulent World'.
I am happy to inform you that this year's Conference will be held in Poland, in Warsaw on 23 – 26 September, at the Hilton Warsaw Hotel & Convention Centre.
I am deeply convinced that this meeting will present a great opportunity to discuss the most important issues regarding data protection and privacy in the modern, turbulent world.
The Conference will also provide an occasion for becoming familiar with the extensive history of Warsaw and Poland.
I kindly invite you to read the details of the meeting and to participate in the Conference.
I look forward to welcoming you. 
Kind regards, 
Wojciech Rafał Wiewiórowski
Inspector General for Personal Data Protection

Le programme détaillé et le nom des conférenciers seront accessibles sur le site de la conférence: https://privacyconference2013.org

À suivre donc. 

5 mai 2013

APPA: Infographie sur l'évolution de la technologie et des risques en matière de protection des renseignements personnels

Les autorités de protection de la vie privée de la zone Asie-Pacifique proposent, dans le cadre de la Semaine de sensibilisation à la protection de la vie privée (Privacy Awareness Week), une infographie qui permet de se questionner sur ce que nous faisons pour protéger nos renseignements personnels compte tenu de l'évolution de la technologie et des risques inhérents.