CPVPC: Rapport annuel 2012

Le 6 juin dernier, le Commissariat à la protection de la vie privée du Canada (CPVPC) a rendu public son Rapport annuel 2012 insistant sur "l'importance de contrôler sa propre réputation dans les médias sociaux" (p. 3) et sur la responsabilité des organisations au regard de l'application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ).

Ainsi, dans le chapitre Pleins feux sur les citoyens, le CPVPC revient sur certaines enquêtes (par ex. création d'un faux compte Facebook au nom d'une adolescente, divulgation des profils d'un site de rencontre sur d'autres sites de rencontre sans le consentement des personnes concernées), sur certaines ressources en matière de protection de la vie privée pour les jeunes (par ex. publication d'une bande dessinée intitulée Branchés et futés: Internet et vie privée) et pour les joueurs (par ex. fiche d'information intitulée Consoles de jeu et renseignements personnels: la vie privée en jeu). 

Le CPVPC rappelle notamment que 

"les individus ont le droit de façonner leur réputation et d'être ce qu'ils veulent en ligne. Il est toutefois essentiel que les sites Web soient transparents au sujet de leurs activités; ainsi, les personnes qui les utilisent pourront comprendre, prendre des décisions et exprimer leur consentement pour ce qui est du traitement de leurs renseignements personnels." (p. 7)

Dans le chapitre Pleins feux sur les entreprises, le CPVPC insiste sur la nécessité pour les organisations d'agir de manière responsable. À ce propos, le CPVPC fait état du guide développé en collaboration avec l'Alberta et la Colombie-Britannique et intitulé Un programme de gestion de la protection de la vie privée: la clé de la responsabilité. 

Il fait aussi mention de certaines enquêtes (par ex. utilisation de logiciel espions pour retracer des ordinateurs portables, recours aux cotes de crédit pour fixer des primes d'assurance, collecte de renseignements personnels par une société de prêts hypothécaires ... le tout sans le consentement des personnes concernées, ou encore quant à l'application WhatsApp (billet)) et actions menées au Canada (billet) et ailleurs (billets Europe, Hong Kong, États-Unis, par ex.) auprès de Google lors de l'entrée en vigueur de la nouvelle politique de confidentialité.

Le CPVPC rappelle également que

"le principe de responsabilité oblige les organisations confrontées à une atteinte à la protection des données à prendre toutes les mesures possibles pour en limiter l'incidence. À cette fin, elles doivent intervenir d'une manière rapide et globale pour mettre fin aux dommages, alerter les autorités, communiquer avec les personnes concernées et prêter assistance à celles-ci. 
Une fois la situation d'urgence passée, il faut aussi examiner les politiques et processus internes, et prendre toutes les mesures nécessaires pour assurer leur renforcement en cas d'incidents futurs. 
Le Commissariat encourage les organisations à signaler volontairement les atteintes à la protection des données qui impliquent des renseignements personnels." (p. 44)

Dans les chapitres Pleins feux sur les institutions et L'année à venir, le CPVPC réitère ce qu'il a avancé le 23 mai dernier (billet), à savoir que: 

"le Commissariat a préconisé l'octroi de pouvoirs accrus en vertu de la LPRPDÉ, notamment le signalement obligatoire des atteintes, les conséquences financières en cas de non conformité et d'autres changements au modèle d'application." (p. 74)

"[le Commissariat] est en faveur d'un renforcement des pouvoirs d'application de la loi, comme le pouvoir de prendre des ordonnances et d'imposer des sanctions financières en cas d'infraction à la Loi. Nous sommes également favorables à une obligation de signalement des atteintes, à un rapport public des divulgations à l'insu de la personne ou sans son consentement en vertu de la disposition d'"autorité légitime" et à un renforcement des obligations de responsabilité pour les organisations.
En 2013, nous continuerons de faire pression pour amener les changements nécessaires à la LPRPDÉ et aux autres lois, afin de veiller à ce que les renseignements personnels des Canadiennes et Canadiens soient protégés et que leur confiance soit assurée dans cette économie numérique complexe et en pleine expansion." (p. 90-91)

Par ailleurs, le CPVPC précise qu'il s'intéressera notamment aux enjeux inhérents aux "paiements mobiles", aux "logiciels de reconnaissance faciale", aux "meilleures façons d'obtenir le consentement pour la collecte des renseignements personnels dans un environnement en ligne" ou encore aux "sites Web de "vengeance", qui permettent aux personnes de publier des informations et des photos insultantes et humiliantes à propos d'autres personnes" (p. 92) ... à suivre donc.

Pour aller plus loin, voir

• COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA
• Vie privée et réputation. Qui façonne votre identité en ligne ? - Rapport annuel au Parlement 2012, Juin 2013.
• "La commissaire à la protection de la vie privée souligne l’importance de la réputation en ligne et de la responsabilité des entreprises à l’ère numérique", Communiqué, 6 juin 2013.