ARCHIVÉE — Compte rendu

La Table ronde du Canada sur l'avenir de l'économie Internet
Ottawa, le 2 octobre 2007

---

Instaurer la confiance : sécurité, protection de la vie privée et habilitation des consommateurs

Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Nancy Hughes Anthony
Présidente et chef de la direction
Association des banquiers canadiens

Brian O'Higgins
Directeur technique
Third Brigade

Tom Copeland
Président
Association canadienne des fournisseurs Internet

Michael Geist
Chaire de recherche du Canada en droit d'Internet et du commerce électronique
Faculté de droit
Université d'Ottawa

---

Questions à aborder :

• Quelles mesures faut-il prendre pour renforcer la confiance des entreprises et des consommateurs à l’égard de l’économie Internet, en ce qui concerne la protection des renseignements personnels, la lutte contre des menaces telles que le pourriel, les logiciels espions et d’autres formes de maliciel (logiciels malveillants), et la protection de la sécurité des systèmes d’information et du cyberéseautage.
• Quels outils sont nécessaires pour créer et maintenir des moyens efficaces de gestion d’identité en ligne fiables qui établiraient des relations de confiance dans l’économie Internet sans sacrifier la protection des renseignements personnels?
• Comment la coopération internationale dans les secteurs public et privé peut-elle aider à rehausser la confiance des entreprises et des consommateurs à l’égard du marché mondial en ligne?

Jennifer Stoddart a félicité Michael Geist, un membre du Comité consultatif externe du Commissariat à la protection de la vie privée du Canada, de l'excellence du document de consultation qu'il a préparé. Elle a affirmé que, en raison de la circulation mondiale de l'information, il est de plus en plus nécessaire d'assurer l'interopérabilité des normes de protection de la vie privée et de sécurité. L'information est envoyée et mise en mémoire à l'extérieur du Canada, et Mme Stoddart a affirmé qu'elle consacre beaucoup de temps à renforcer les normes actuelles. Elle a également fait part de commentaires formulés lors d'une précédente rencontre avec l'OCDE, à l'effet qu'Internet est en train de devenir le mode préféré de communication pour diffuser de l'information, ainsi que pour les banques et les gouvernements et, il est à espérer, pour les « achats en ligne ». « Il faut aborder les questions de sécurité, de protection de la vie privée et de confiance », a-t-elle dit.

Le Canada doit mettre de l'ordre dans ses propres affaires, a déclaré Mme Stoddart. Elle a mentionné à titre d'exemple le fait que rien n'a été fait depuis la rencontre du Groupe de travail sur le pourriel il y a quelques années. Il sera impossible d'éradiquer complètement le pourriel, mais le Canada a besoin d'un pouvoir législatif clair pour agir. Mme Stoddart a dit espérer que les audiences du comité parlementaire de juin 2007 sur le vol d'identité reprendront cet automne. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est de bien des manières une loi formidable, a-t-elle précisé. Si le commentaire formulé auparavant par un participant à l'effet que « les produits technologiques mangent leurs petits à tous les six mois » s'avère exact, a-t-elle ajouté, et puisque les lois sont vieilles de quelques décennies, la Loi entrave ceux qui doivent travailler à l'intérieur de la lettre et de l'esprit de la loi. Elle a affirmé que les mesures comme les avis obligatoires de brèche à la sécurité des renseignements personnels sont d'une importance clé pour inspirer confiance aux consommateurs.

Nancy Hughes Anthony a déclaré qu'Internet a radicalement changé l'industrie bancaire. Lors de récents sondages, 27 p. 100 des clients ont affirmé utiliser surtout les services bancaires en ligne. Cela a facilité l'entrée dans le secteur bancaire de concurrents, les banques virtuelles entièrement en ligne. « La commodité et la confiance sont d'une importance vitale pour ce type de fonctions. » Bien que les banques mettent tout en œuvre pour garder une longueur d'avance sur l'activité criminelle en ligne, celle-ci demeure une menace. Les banques dépensent beaucoup d'argent pour disposer de la technologie dont elles ont besoin pour se protéger et pour contrer les tentatives de criminels qui cherchent à avoir illégalement accès aux données de leurs clients. Les banques mettent également en garde leurs clients contre l'hameçonnage et d'autres stratagèmes illégaux, et leur demandent de les aviser de toute occurrence à cet effet.

Mme Hughes Anthony a laissé entendre que de rendre le vol d'identité une infraction criminelle et de créer une loi contre le pourriel contribueraient à accroître la confiance du public. Le Canada est le seul pays du G8 à ne pas avoir de définition de vol d'identité dans son Code criminel et se laisse distancer par le reste du monde en ce qui concerne le pourriel. « Nous devons être sérieux à ce sujet avant la conférence en Corée du Sud », a-t-elle dit. Les consommateurs et les détaillants doivent être au courant des nouvelles technologies de paiement et en mesure de les utiliser facilement. Mme Hughes Anthony était d'accord avec un commentaire formulé précédemment à l'effet qu'il faut consulter les utilisateurs avant de mettre la dernière main au rapport sur cette rencontre.

Brian O'Higgins a affirmé que l'industrie de la sécurité de la technologie de l'information (TI) diffère des autres secteurs des TI parce qu'elle « est sous le joug des méchants gars, et non pas des bons gars ». Pour chaque solution trouvée, les criminels trouvent un nouveau moyen d'entrer par effraction et de créer de nouvelles menaces. À son avis, le pourriel n'est que la partie émergée de l'iceberg. Il y a des activités plus malicieuses, comme de se tapir dans un site Web pour recueillir lentement des renseignements personnels. Il est plus facile d'entrer par infraction. Le principe de dépenser de l'argent pour protéger le périmètre en ligne est désuet, a-t-il dit. Certaines applications traversent les frontières d'un coupe-feu et ne sont pas opérationnelles avant d'être en place. Les applications lancées rapidement sur le marché ont souvent des défaillances de fonctionnalité, de sorte qu'il est plus facile d'y faire une brèche. M. O'Higgins a déclaré qu'il est important que les gouvernements prêchent d'exemple — la position adoptée par le Canada aux tout débuts de la cryptographie, alors « qu'elle n'était pas une solution fournie par les Américains ». Les questions de droit d'auteur risquent d'entraver de la sécurité, comme c'était le cas du rootkit de Sony, où un logiciel mal fabriqué pouvait aider les « mauvais gars ». Le Canada peut faire en sorte que la politique de l'OCDE tienne compte de ces questions. Aux dires de M. O'Higgins, en raison de la timidité du Canada, il est difficile d'apporter les solutions requises pour surmonter les nouvelles menaces et les nouveaux maliciels. Les solutions d'hier ne sont pas utiles, a-t-il dit, en faisant remarquer qu'il y a d'excellentes occasions de franchir les limites des secteurs de compétence.

Tom Copeland a affirmé que son travail auprès des utilisateurs d'Internet l'a amené à conclure qu'ils sont largement inconscients des questions de sécurité. Ils embrassent et utilisent avidement la technologie sans comprendre leur rôle en matière de sécurité et de protection de la vie privée. À son avis, les questions de droits d'auteur sont surtout générationnelles — les plus jeunes utilisateurs sont dans l'incertitude en ce qui a trait aux lois et à ce que présupposent de fait le droit d'auteur et la protection de la vie privée. M. Copeland a dit que les Canadiens doivent savoir en quoi consiste leur responsabilité en ligne, et que cela devrait être au programme d'étude à l'école élémentaire. « N'attendez pas qu'ils aient 10 ans et qu'ils aient pris racine dans Facebook, passez à l'action alors qu'il est encore possible de les influencer. »

Le code de vérification de carte (CVC) est un autre domaine où il faut sensibiliser les gens. M. Copeland a précisé que 20 p. 100 des gens refusent au départ de fournir leur numéro de sécurité pour les achats en ligne, même s'ils fournissent d'emblée leur nom et numéro de carte de crédit.

« Nous n'investissons pas dans les réseaux à large bande comme nous avons investi dans d'autres types d'infrastructures au cours du siècle dernier, et cela doit changer, a affirmé M. Copeland. En moins d'un an, le Groupe de travail sur le pourriel a préparé un rapport dont les recommandations ont été adoptées dans d'autres pays, mais non pas au Canada. M. Copeland a affirmé que cette situation doit changer si l'on veut que les consommateurs aient davantage confiance. « Nous ne pouvons pas être des chefs de file et ne pas joindre le geste à la parole. »

Un participant a affirmé que l'harmonisation des normes relatives à la protection de la vie privée entre les organisations est la clé de l'avantage concurrentiel soutenu du Canada. Les exigences des institutions financières, par où passent souvent les transactions d'affaires, ont fourni la norme implicite. Il a ajouté qu'il y avait une occasion d'aller de l'avant en créant un processus de gestion d'identité mobile.

Un autre participant était d'accord, précisant que le scandale T J X a érodé la confiance des consommateurs. Les enjeux relatifs à la protection de la vie privée ont trait de fait à la gouvernance, aux processus et aux pratiques exemplaires dans le domaine des TI, a-t-il dit. Les professionnels agréés du secteur des TI, qui adoptent les pratiques exemplaires et se conforment aux processus, sont davantage en mesure de fournir des services dans le domaine. Microsoft a adhéré dernièrement au code international de conduite professionnelle (I3P) mis au point par un groupe de travail de la Fédération internationale pour le traitement de l'information (IFIP). Le participant a affirmé que ce code fournirait des points repères pour évaluer les compétences des professionnels du secteur des TI qui soumettent une demande afin de s'établir au Canada.

Faisant référence à des commentaires formulés auparavant, une participante a dit qu'il est encore nécessaire de défendre les périmètres. Elle a signalé que l'écrémage électronique frappe à peine une minime fraction des 10 millions de transactions quotidiennes par carte de débit. « Je voulais juste défendre ceux qui défendent le périmètre. »

Utilisant à titre d'exemple les lignes directrices 9000 de l'Organisation internationale de normalisation (ISO), un autre participant a affirmé que le contexte réglementaire doit suivre le rythme du changement pour demeurer pertinent. Lorsque l'ISO ne pouvait pas suivre le rythme de l'évolution de la technologie, elle a créé un réseau social en vue d'organiser des réunions pour modifier la politique, dont le Canada était l'hôte et faisant appel à la technologie canadienne. Il faut se réunir, voter et garder le contenu en ligne pour suivre le rythme du changement.

Un participant a affirmé que les jeunes internautes diffèrent des internautes adultes quant à leur évaluation des risques et en matière de protection de la vie privée. Certains n'en sont pas suffisamment conscients, alors que d'autres sont pleinement conscients des conséquences lorsqu'ils diffusent de l'information en ligne. Il a ajouté que ces différentes perspectives pourraient avoir une profonde influence sur la politique publique.

Une participante est d'avis qu'il est tout aussi important de s'assurer sur le marché que les autorités responsables de l'application de la loi disposent des outils leur permettant de dépister les contrevenants et de leur imposer des sanctions. Elle a dit qu'il y aurait peut-être lieu d'explorer les méthodes et la durée de mise en mémoire de données d'un réseau IP de même que l'échange d'information avec les organismes de sécurité et d'application de la loi dans le monde. Peut-être, a-t-elle précisé, que l'OCDE devrait recommander des pratiques, puisque le marché électronique est réellement mondial. Elle a suggéré de se tourner vers les pratiques exemplaires publiques-privées mondiales pour lutter contre l'activité criminelle en ligne.

Selon un participant, le premier sujet de discussion accorde trop d'importance aux questions de cybersécurité. « À ma connaissance, l'industrie de la collecte des ordures et du recyclage n'ont jamais tenu de conférences pour discuter du vol d'identité. Le secteur des TI en parle toujours. » Internet est à l'origine de moins de 5 p. 100 des cas de vol d'identité. Nourrir ce problème fictif donne au consommateur l'impression que le problème est plus grave qu'il ne l'est en réalité. « Pourquoi mettons-nous l'accent sur un problème qui n'est pas le notre? », a-t-il demandé. En ce qui concerne le troisième sujet de discussion, il déclare qu'il rêve d'une approche mondiale à l'égard d'Internet, sur le modèle du droit de la mer, prévoyant un traité international pour régir le territoire en ligne.

En ce qui a trait au troisième sujet de discussion, un participant a affirmé que le vol d'identité est le problème numéro un qui ébranle la confiance du public, suivi du pourriel et du hameçonnage. Il a recommandé d'établir un seuil au-delà duquel on passerait à l'action en cas de brèche de sécurité. On éviterait ainsi de bombarder les consommateurs d'avis superflus à cet effet, pour éviter de les alarmer inutilement ou encore qu'ils ignorent les avis. À son avis, la question de secteur de compétence juridique met un frein à la croissance de l'économie Internet. Il n'est pas clairement établi si les lois régissant le vendeur ou l'acheteur doivent régir une transaction.

Un participant a affirmé qu'on se trompe en assimilant la sécurité et la protection de la vie privée. Malgré les éléments qui leur sont communs, il s'agit de questions distinctes. Selon lui, il faut davantage protéger ceux qui sont moins bien informés dans ces domaines. Une participante a réitéré qu'il faut légiférer pour contrer le pourriel, les maliciels et les logiciels espions et a fait référence à d'autres enjeux soulevés dans le rapport du Groupe de travail sur le pourriel. Elle a affirmé qu'il faut renforcer les lois sur la protection de la vie privée et sensibiliser davantage les consommateurs et les entreprises. Les lois doivent être renforcées en ce qui a trait au consentement, aux avis de brèches à la sécurité des renseignements personnels et aux données diffusées à l'extérieur du Canada. Pour accroître la confiance des consommateurs à l'égard du commerce en ligne, elle a recommandé une solide stratégie portant sur le vol d'identité, les contrats et la responsabilité dans le cas de transactions non autorisées, et éventuellement de mettre l'accent sur une norme en matière de cybercommerce. Elle a ajouté qu'il devrait y avoir une collaboration étroite entre les autorités responsables de la protection des données et de la vie privée.

Un autre participant a affirmé que le fait que le gouvernement n'ait pas donné suite aux 22 recommandations du Groupe de travail sur le pourriel « jetait celui-ci dans l'embarras ». Il a fait appel aux personnes d'influence pour faire pression auprès du gouvernement afin qu'il le fasse.

Il faut prendre des mesures, sinon la confiance des consommateurs s'érodera, a dit une participante. Elle était d'accord que la protection de la vie privée et la sécurité sont d'importants enjeux, en soulignant que le pourriel sert de véhicule pour une grande part des fraudes — une autre raison pour donner suite aux recommandations du Groupe de travail sur le pourriel. Accabler l'utilisateur de trop de responsabilités et d'obligations, lorsque les brèches sont attribuables de fait aux faiblesses du système, est le principal problème, a-t-elle dit. « Nous ne devons pas agir en nous faisant croire que les consommateurs comprennent les risques. » Elle a précisé que la recherche indique que les enfants et les jeunes accordent de la valeur à la protection de la vie privée, « mais n'empêche que ce sont des enfants. Ils sont futés sur le plan technologique, mais non pas en matière de protection de la vie privée. » Elle a demandé que davantage de mesures soient prises pour assurer l'application de la loi dans les cas de fraude transfrontalière et l'efficacité des mécanismes de recours des consommateurs.

Un participant a affirmé que la confiance est d'une grande importance dans le domaine des affaires et que le groupe devrait mettre l'accent sur le travail déjà accompli suite aux recommandations pour aller de l'avant. Il faudra des lois, et ainsi des définitions, pour aborder les questions de vol d'identité et de protection de la vie privée.

Un participant qui travaille au sein d'un organisme, dont les employés ont surtout entre 20 et 30 ans, affirme que les membres de ce groupe d'âge ne sont pas naïfs, mais qu'ils ont une perspective différente de la protection de la vie privée. Il affirme que les employeurs qui recrutent en ligne, mais qui ne permettent pas aux employés d'avoir accès aux sites de réseautage social durant les heures de bureau, sont considérés comme des « dinosaures paternalistes ». Il a illustré le débat entre la protection de la vie privée et la sécurité par l'exemple d'ajouter un ami à une page Facebook, par opposition à permettre à quelqu'un d'utiliser un numéro de carte de crédit.

Une participante a affirmé que le scandale T J X était une question de gestion, puisqu'il semble que l'entreprise ne se soit pas conformée aux normes de son propre secteur en matière de cryptographie. Le nombre d'entreprises prêtes à investir dans une nouvelle technologie et la cryptographie est directement relié à de telles atteintes à la vie privée. La participante a fait remarquer que les enfants diffusent de l'information destinée à leurs amis, et considèrent qu'il s'agit d'un manquement à l'éthique même si c'est seulement leur mère qui en prend connaissance. Elle a mentionné qu'un employé de l'OCDE qui travaille au dossier de la protection de la vie privée a été agréé à titre de conseiller auprès de l'Organisation de coopération économique Asie-Pacifique (APEC).

Il faut sensibiliser la population aux questions de sécurité, a dit un participant. Les jeunes ont différentes attentes et préoccupations relativement à la protection de la vie privée et à l'accès. L'information en ligne est l'avenir des soins de santé, a-t-il dit. « Il est possible d'assurer une plus grande sécurité de l'information dans le Web et c'est à nous d'y voir. » Le Groupe de travail sur le pourriel a précisé que les consommateurs et les entreprises doivent faire leur part pour résoudre le problème du pourriel.

Une participante a fait écho à cette affirmation, en précisant qu'elle est d'avis que tant les entreprises que les particuliers ont une grande responsabilité. La surréglementation serait impopulaire auprès des groupes de consommateurs.

Un autre participant a affirmé que des stimulants intéressants, plutôt que la réglementation et la législation, encourageraient les gens à se renseigner sur les conséquences de certaines actions. Il a fait mention du mélange européen de coréglementation et d'autoréglementation, qui fournit un « genre de seau de bonne tenue de l'établissement » pour indiquer les normes auxquelles il se conforme.

Un membre du Groupe de travail sur le pourriel a dit : « Nous avons mis notre cœur et notre âme dans ce projet », et l'absence de mesures prises par la suite le préoccupait personnellement. Il a ajouté : « Les fournisseurs ne sont pas dans nos bureaux à nous demander davantage de largeur de bande. »

Un participant a abordé la question des soins de santé en ligne, affirmant qu'ils en sont déjà à leurs débuts sous forme de dossiers électroniques des patients et de système téléphonique provincial fournissant de l'information sur la santé et dirigeant les patients vers l'hôpital le plus près. Il a ajouté que les électeurs exigeraient une solution en cas de sérieuse atteinte à la protection de la vie privée mise en lumière dans les médias. Il serait intéressant de prendre connaissance des politiques et des processus des pays qui sont déjà allés de l'avant dans ces domaines.

Un autre participant a formulé des commentaires sur les paramètres relatifs à la protection de la vie privée sur les sites de réseautage social, sur la question de fournir ou non sa date de naissance, sur l'accès par invitation seulement et sur les enjeux juridictionnels pertinents. Il a ajouté que l'OCDE devrait se pencher sur le fait qu'il n'y a pas de lignes directrices homogènes pour parvenir à un équilibre entre la protection de la vie privée et la sécurité en ligne.

Les consommateurs doivent assumer la responsabilité de leurs propres actions et être conscients des risques, un grand nombre d'entre eux pouvant être évités si les consommateurs sont rapidement avisés d'une brèche, a-t-il dit. Il appuyait la démarche en faveur de lignes directrices et recommandait la prudence lorsqu'on cherche à parvenir à un équilibre entre les besoins des consommateurs et ceux des entreprises.

Un autre participant a fait part d'une citation qu'il avait entendue dernièrement : « Les gouvernements ne créent pas des emplois, les entreprises ne créent pas des emplois, ce sont les consommateurs qui créent des emplois. » Il a affirmé que les clients de demain, qui sont actuellement en cinquième au primaire, sont ceux qui seront touchés par ces règles. En se fondant sur son travail en milieu scolaire, il a affirmé que l'avenir ne réserve pas de clients, et par conséquent de nouveaux emplois, si les règlements n'ont rien à voir avec les élèves de cinquième d'aujourd'hui.

Un participant convenait qu'il fallait des lois, mais que l'action des consommateurs a « tout à voir avec les stimulants ». Passer d'une ambiance « y'a pas de souci à y avoir » à un climat de mises en garde risque d'inciter un grand nombre de consommateurs à « se débrancher ».

Le pourriel pose toujours problème du point de vue du réseau, a dit un autre participant. Il affirme qu'à son avis le gouvernement ne fait pas partie de la solution. C'est d'une mise en application, plutôt que de lois, dont nous avons besoin. « Nous devons reconnaître que, à bien des égards, nous sommes laissés à nous-mêmes. »

Un participant a précisé que le pourriel était au programme de l'OCDE il y a une dizaine d'années, et qu'un grand nombre des mêmes gens ici présents prenaient part à ces discussions. Certains des enjeux ont acquis suffisamment d'importance pour mettre de l'avant une entente sur le besoin de passer à l'action. Il a affirmé que, même si la question de la sensibilisation — sous forme de renseignements transmis aux jeunes, de formation des professionnels des TI et d'avis de brèches à la protection de renseignements personnels — ne fait actuellement pas l'objet d'un consensus, la population voudra que le gouvernement agisse en la matière dans une dizaine d'années. Il a souligné l'ironie du fait que le Canada aspire à être un chef de file dans les domaines où d'autres pays ont légiféré, mais non pas le Canada.

Un autre participant a dit qu'il existe un consensus et souligné qu'une approche pragmatique est préférable à une solution simpliste.

Un participant a réitéré qu'il n'est pas opposé aux avis de brèches en soi, mais qu'il estime qu'ils devraient être assujettis à certains seuils.