Votre vie privée est-elle bien protégée?

La protection des renseignements personnels cause de plus en plus de maux de tête aux entreprises canadiennes. Le Commissariat à la protection de la vie privée du Canada est là pour les aider.

par John Cooper

À une époque où les échanges électroniques d’information se comptent quotidiennement par milliards, la protection de la vie privée peut devenir un véritable casse-tête. La protection des renseignements personnels de millions de Canadiens — et de milliers d’entreprises canadiennes — est une tâche colossale; et c’est le lot quotidien du Commissariat à la protection de la vie privée du Canada (CPVP).

Le CPVP a pour mission de protéger et de promouvoir le droit des Canadiens à la vie privée. Cet organisme autonome relève directement de la Chambre des communes et du Sénat. Il veille à l’application de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ).

Le CPVP a été créé le 1er juillet 1983 par la Loi sur la protection des renseignements personnels, qui augmentait la protection auparavant accordée par la Loi canadienne sur les droits de la personne. Les responsabilités du Commissariat se sont ensuite considérablement élargies avec l’entrée en vigueur de la LPRPDÉ, dont la mise en application s’est déroulée en trois temps entre 2001 et 2004.

La LPRPDÉ impose aux organisations du secteur privé qui recueillent des renseignements personnels — de l’information sur leurs clients, par exemple — l’obligation de les protéger. La Loi sur la protection des renseignements personnels, elle, s’applique aux renseignements personnels détenus par l’administration fédérale.

À la fin de l’exercice 1983, 198 personnes s’étaient plaintes auprès du commissaire à la protection de la vie privée que des organismes gouvernementaux ne se conformaient pas à la Loi sur la protection des renseignements personnels. Le Commissariat a reçu quelque 1 030 plaintes en vertu de cette Loi au cours l’exercice 2005-2006 et environ 400 en vertu de la LPRPDÉ en 2005.

Un défi de taille

Le CPVP enquête sur les plaintes et effectue des vérifications aux termes de ces deux lois, publie de l’information sur le traitement des renseignements personnels, effectue des recherches et sensibilise la population aux problèmes de protection de la vie privée.

La protection des renseignements personnels n’a jamais été aussi cruciale. Le vol d’identité, par exemple, est très préoccupant. Il peut s’agir d’un vol d’information provenant de vos comptes de cartes de crédit ou de débit, de fraude cellulaire, bref de tout ce qui permet à un fraudeur de recueillir suffisamment d’information pour se créer une nouvelle « identité » grâce à laquelle il pourra ouvrir des comptes, emprunter ou acheter à crédit.

Une étude de la BC Freedom of Information and Privacy Association a révélé qu’en 2003, PhoneBusters — centre d’appels exploité par la GRC et voué à la lutte contre la fraude au Canada — avait reçu 13 359 appels portant sur des vols d’identité; les pertes déclarées atteignaient 21,5 millions de dollars, comparativement à 11,7 millions l’année précédente. L’an dernier, ce centre a reçu 7 778 plaintes du genre, qui représentaient 16,5 millions de dollars de pertes.

À l’évidence, une plus grande vigilance s’impose à l’égard du partage de l’information. Au cours des deux dernières années, Justice Canada a procédé à des consultations en vue de modifier le Code criminel pour imposer des peines plus sévères aux fraudeurs trouvés en possession de documents liés au vol d’identité. Chez nos voisins du Sud, les législateurs se sont penchés sur les brèches de sécurité et la vente d’information aux organisations impliquées dans le vol d’identité.

Lignes directrices sur l’IRF

La commissaire à la protection de la vie privée, Jennifer Stoddart, soutient que son bureau a dû s’adapter à de nouvelles réalités ces dernières années.

« Les nouvelles technologies et les préoccupations croissantes que suscite la sécurité ont radicalement transformé la protection de la vie privée au Canada et ailleurs dans le monde, explique Jennifer Stoddart. Beaucoup de technologies émergentes posent des risques importants. Par exemple, les dispositifs d’identification par radiofréquence (IRF) soulèvent de plus en plus de questions. Ces étiquettes minuscules permettant de repérer un objet ont été à l’origine conçues pour suivre le déplacement des marchandises. On commence toutefois à les utiliser pour surveiller les allées et venues des travailleurs [par injection dans le bras], et l’IRF pourrait servir à suivre des individus de près dans d’autres contextes.

« L’IRF fait peser un certain nombre de menaces sur la vie privée, notamment la collecte subreptice de données, le suivi des déplacements de personnes et l’utilisation secondaire de l’information recueillie, ajoute Jennifer Stoddard. Le Commissariat s’emploie à définir des lignes directrices sur l’IRF en vue d’aider les organisations à tenir compte de la protection des droits à la vie privée quand elles envisagent d’adopter cette technologie et en évaluent les répercussions. » Le CPVP est également en train d’élaborer un outil commun d’application de la législation à la circulation internationale des données.

Formation des détaillants

Selon Darren Jones, CMA, les entreprises ont des responsabilités qui ne cessent de croître à l’égard de la protection des renseignements personnels de leurs clients.

Directeur national des risques technologiques à Protiviti (cabinet conseil en risques technologiques et d’affaires), Darren Jones croit que la protection des renseignements personnels pose de gros problèmes aux entreprises — de plus en plus gros, en fait. « La protection des renseignements personnels revêt de toute évidence une importance croissante. Il existe maintenant des outils pour prévenir les “fuites” — des outils permettant de vérifier les courriels pour s’assurer que les données de l’entreprise ne franchissent pas ses murs. Ils sont vraiment utiles pour protéger les renseignements personnels. »

Darren Jones suggère aux entreprises de réaliser une étude d’impact. Elles devraient toujours s’assurer qu’elles respectent les règles concernant l’obtention du consentement avant d’utiliser des renseignements personnels. Il leur recommande d’appuyer leur étude sur les normes de protection des renseignements personnels de l’Association canadienne de normalisation (www.csa.ca/standards/privacy/code).

Jennifer Stoddart est d’avis que la LPRPDÉ oblige les entreprises à protéger les données personnelles de leurs clients. Le CPVP effectue actuellement une enquête pour déterminer dans quelle mesure elles se conforment à la LPRPDÉ. Pour les détaillants, il a en outre préparé un module de formation interactive en ligne qui est accessible à partir du site Web du Commissariat.

Élaboré en collaboration avec le Conseil canadien du commerce de détail, qui représente 40 000 entreprises de vente au détail de toutes tailles, ce module de formation aide les détaillants à comprendre leurs droits et leurs responsabilités. La formation dure 30 minutes. On y invite les détaillants à indiquer quels types de renseignements personnels ils recueillent et quelle utilisation ils en font. Le programme leur fournit ensuite des conseils adaptés aux questions qu’ils doivent prendre en compte.

Cette séance permet aux détaillants de faire une vérification de leurs pratiques de traitement de l’information, leur précise quelles dispositions sur le consentement s’appliquent à leur commerce, leur propose un programme de sécurité, leur fournit une brochure sur la protection des renseignements personnels à l’intention de leur clientèle et évalue leurs besoins de formation.

Le CPVP distribue en outre 3 000 trousses d’information aux membres du Conseil canadien du commerce de détail. Cette trousse inclut un guide sur la protection des renseignements personnels destiné aux détaillants ainsi qu’un DVD de formation.

« La LPRPDÉ est une loi relativement récente; elle s’applique aux détaillants depuis le 1^er janvier 2004 seulement, explique Jennifer Stoddart. Les petites entreprises n’ont pas toujours les moyens d’embaucher des spécialistes de la protection des renseignements personnels ou des avocats pour les aider à se conformer à la LPRDÉ. Toutefois, rien n’oblige les entreprises à investir beaucoup de temps et d’argent pour ce faire. Notre formation en ligne en est la preuve. »

Derek Nighbor, vice-président aux affaires nationales du Conseil canadien du commerce de détail, abonde dans le même sens.

« Les grandes chaînes nationales sont dotées de logiciels complexes pour la gestion des relations avec la clientèle, affirme Derek Nighbor. À l’autre extrême, des petits détaillants traitent encore les transactions manuellement. Notre travail consiste à nous montrer proactifs et à collaborer avec le Commissariat pour que nos membres sachent comment protéger leurs clients. Un de nos défis est de les aider à la fois à se conformer aux règles sur la protection des renseignements personnels et à se prémunir contre les fraudeurs bien organisés. Nous évoluons dans un marché concurrentiel où les consommateurs ont beaucoup de pouvoirs. Bien des détaillants ont dû apporter des changements contraignants [exiger des preuves d’identité supplémentaires, par exemple à leurs politiques parce qu’il y a de plus en plus de fraudes. »

S’attaquer aux problèmes

Le CPVP et le groupe de droit et technologie de l’Université d’Ottawa ont récemment été les hôtes d’un symposium sur la protection de la vie privée sur Internet. Des chercheurs ont pu partager de l’information sur différents sujets, comme l’industrie du courtage de données, la protection de la vie privée des enfants et la protection des renseignements personnels en ligne.

Ce symposium a permis de dégager un certain nombre de problèmes courants, dont les suivants :

• failles dans la sécurité des données (ordinateurs portables qui disparaissent et dossiers électroniques qui ne sont pas chiffrés);
• divulgation de plus en plus courante de renseignements personnels par des particuliers;
• prolifération des renseignements personnels sur le Web et
• défaut d’aviser les clients en cas de brèches dans la protection de leurs renseignements personnels. Les entreprises doivent aviser leurs clients si la protection de leurs renseignements a été compromise. Jennifer Stoddart signale d’ailleurs que le CPVP s’emploie à rendre une telle notification obligatoire.

Le non-respect des lois résulte souvent d’erreurs humaines. Il est fréquent que des employés ne connaissent pas les politiques de leur entreprise en matière de protection des renseignements personnels ou qu’ils se montrent « trop serviables » et donnent de l’information à des fraudeurs qui usent de faux prétextes. D’autres ne prennent tout simplement pas de mesures suffisantes pour vérifier l’identité de leur interlocuteur.

« Il est alors facile de se faire passer pour quelqu’un d’autre et de soutirer des renseignements personnels, explique Jennifer Stoddart. De bonnes mesures de confirmation d’identité pourraient éviter ce genre de problèmes et aideraient les Canadiens à contrer le vol d’identité. »

Vous trouverez des lignes directrices en matière d’identification et d’authentification (ainsi que de l’information sur les responsabilités des entreprises relatives à la protection des renseignements personnels) sur le site du CPVP au www.privcom.gc.ca/information/guide/index_f.asp. 

John Cooper est un rédacteur-pigiste de Whitby (Ontario).

Haut