ARCHIVÉE — Promouvoir le programme d'instauration de la confiance : Protection de la vie privée et sécurité

du commerce électronique à la cyber-économie :
Stratégies pour le 21^e siècle
Industrie Canada
27 et 28 septembre 2004
Ottawa, Ontario

---

John Gustavson
Président-directeur général, Association canadienne du marketing
Animateur

La sécurité et la confiance sont des composantes de base essentielles pour les commerçants canadiens. L'Association canadienne du marketing (ACM) prend ces questions très au sérieux, déclare John Gustavson. En 1995, l'ACM a d'ailleurs été la première association de gens d'affaires à demander au gouvernement de promulguer une législation relative à la protection de la vie privée. Les entreprises éthiques doivent assumer un rôle de meneur, dit-il. Par exemple, l'ACM a adopté des règlements visant à limiter les activités de commercialisation de ses membres auprès des enfants et des adolescents.

Peu importe si ces idées sont excellentes, les entreprises canadiennes doivent un jour transformer les technologies en façon de procéder tous les jours. Cette tâche peut être particulièrement ardue pour les petites et moyennes entreprises, souligne M. Gustavson.

Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Industrie Canada a joué un rôle important dans le règlement des enjeux auxquels les Canadiens sont confrontés en matière de protection de la vie privée, affirme Jennifer Stoddart. À l'heure actuelle, la protection de la vie privée soulève plusieurs enjeux au Canada, notamment la nécessité de criminaliser les atteintes à la vie privée, tels l'usurpation d'identité et le pourriel, domaines qui impliquent des réseaux criminels internationaux. La méfiance des Canadiens à l'égard du traitement de leurs renseignements personnels par le gouvernement et les entreprises pose un autre enjeu. Enfin, et c'est peut être l'enjeu le plus important, un grand nombre de membres du milieu des affaires et de représentants gouvernementaux considèrent la protection de la vie privée et des renseignements personnels comme une entrave au commerce au lieu d'une composante nécessaire.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est intéressante à plusieurs points de vue, notamment la façon dont elle a été élaborée. Pour former la loi, on a codifié divers règlements en matière de vie privée puis on a enchâssé le code dans une loi. C'est une façon différente de rédiger une loi, de dire Mme Stoddart. La LPRPDE mérite un examen approfondi parce qu'elle offre énormément de souplesse et que ses dispositions concernant la protection des renseignements personnels peuvent être appliquées dans de nombreux contextes.

Les entreprises devraient adopter des principes relatifs à la protection de la vie privée dans le cadre de leur code de déontologie, dit-elle. Le Bureau du commissaire à la protection de la vie privée peut apporter une aide à cet égard et constituer une ressource utile pour la sensibilisation des clients et des employés.

Un examen de la loi, en cours à l'heure actuelle, permettra de déterminer si elle constitue un outil de lutte antipourriel efficace ou s'il faut adopter une loi spéciale. Le Bureau du commissaire à la protection de la vie privée travaille avec des partenaires internationaux dans le cadre de cette initiative. Mme Stoddart a encouragé les participants à proposer une loi ou des modèles susceptibles d'aider les entreprises canadiennes à intégrer la protection de la vie privée à leurs pratiques de tous les jours.

Michael Geist
Chaire de recherche du Canada en droit d'Internet et du commerce électronique, Université d'Ottawa

Michael Geist déclare qu'il a été encouragé d'entendre de si nombreux conférenciers mentionner la nécessité de faire ressortir le rôle de l'éducation. D'un autre côté, il a été découragé d'apprendre qu'un comité de Patrimoine Canada a proposé de forcer les établissements d'enseignement à verser des droits de permis pour obtenir des services auxquels ils ont présentement accès gratuitement. Il importe que les fournisseurs de services à large bande se joignent au milieu de l'enseignement pour s'opposer à cette proposition, dit-il.

Un grand nombre de conférenciers ont mentionné qu'Internet peut éliminer les obstacles à la recherche. C'est vrai, et M. Geist demande instamment au gouvernement canadien de ne pas imiter les États-Unis qui ont adopté récemment plusieurs mesures visant à créer des obstacles sur Internet.

L'utilité d'Internet repose sur la transmission du meilleur contenu possible au plus grand nombre de gens possible, dit il. Il faut absolument réfléchir de façon créative à la façon d'assurer l'accès au plus grand nombre de Canadiens.

Le Canada a besoin de règlements intelligents, poursuit M. Geist. Le pourriel a créé un énorme problème pour Internet parce que les gens ne peuvent plus compter sur le système comme ils le faisaient il y a à peine un an. La solution du problème relève de mesures d'ordre technologique, éducationnel et juridique (lois et exécution). M. Geist mentionne aux participants que Amazon et Microsoft intenteront bientôt des poursuites contre des polluposteurs canadiens. Cette action exige présentement le recours à une loi américaine.

Les politiques doivent focaliser les gens, les valeurs et les règlements intelligents. Le Canada doit impérativement assurer la diffusion de la recherche, générer la confiance à l'égard des réseaux et protéger « l'autre IP », la propriété intellectuelle, conclut il.

Michael Coady
Vice-président, pratiques de sécurité, Computer Associates International

Michael Coady a consacré la majorité de sa carrière au côté judiciaire de la technologie, particulièrement au piratage. Il mentionne qu'il s'occupe maintenant aussi de pertes physiques (i.e. entrées par infraction dans les bureaux, vols) menant à l'usurpation d'identité et à la fraude. L'an dernier, 33 de ses 112 causes ont été portées devant les tribunaux.

Le principal problème, dit-il, est la ségrégation de la vie privée et de la sécurité, ajoutant que l'élaboration d'un cadre de conformité totale contribuerait à le régler. Computer Associates International fournit aux entreprises les outils dont elles ont besoin pour examiner la question du point de vue de la conformité. Le mode de transmission ascendante de l'information au sein des entreprises est une question fondamentale.

Au Royaume-Uni, les criminels ciblent maintenant les fournisseurs de services Internet aux familles. Récemment, 23 ordinateurs familiaux ont été reliés à l'insu des propriétaires pour former un « super serveur » à partir duquel les criminels pouvaient envoyer des pourriels à travers le monde. C'est un nouveau genre de menace, dit-il.

Il existe des outils de réseau légaux abordables pour protéger les entreprises et les particuliers. M. Coady demande instamment aux participants de ne pas oublier de protéger leurs ordinateurs familiaux. « Les logiciels antivirus ne suffisent plus », conclut il. « Les 'chapeaux noirs' deviennent très efficaces dans leur façon d'agir.»

Discussion

John Gustavson demande au groupe d'experts s'il serait pratique d'abroger la disposition relative à la protection des renseignements personnels de la LPRPDE et de la remplacer par une loi plus simple.

Jennifer Stoddart encourage les participants à envisager toutes les solutions possibles. Il pourrait être nécessaire de renforcer les principes sous-jacents à la loi et de la rendre plus souple. Si l'élaboration d'une nouvelle loi est la meilleure façon d'atteindre cette finalité, il ne faut pas l'ignorer, dit-elle. L'objectif ultime est de faire en sorte que la loi soit facile à comprendre et appropriée aux circonstances actuelles.

Michael Geist ajoute qu'il pourrait être utile de « monter la barre » en ce qui concerne l'exécution de la loi. Répondant à une question sur la diffamation sur Internet, M. Geist déclare que le droit de la diffamation canadien s'applique aussi bien en ligne que hors ligne. La diffamation en ligne pose toutefois un enjeu sur le plan de la compétence et celle-ci soulève des questions complexes. Un autre enjeu consiste à trouver la personne responsable des énoncés diffamatoires.

Michael Coady décrit une cause aux États-Unis dans laquelle le PDG d'une société a été diffamé dans un bavardoir Internet. Les tribunaux ont émis une assignation à comparaître à Yahoo pour découvrir qui participait au bavardoir au moment où les déclarations ont été faites. En vertu d'une nouvelle loi américaine, les entreprises ont entre 30 et 60 jours pour divulguer ce genre de renseignement.

Un participant demande comment les entreprises peuvent aider les praticiens en matière de vie privée à connaître les besoins de nouvelles technologies des entreprises et à mieux équilibrer les droits des particuliers et des entreprises. Mme Stoddart admet que bon nombre de nouvelles technologies sont considérées envahissantes en fonction de la conception traditionnelle de l'espace privé. Il est peut-être temps de redéfinir le terme vie privée, dit-elle. Les décisions des tribunaux - notamment une décision récente portant sur la surveillance vidéo - peuvent être utilisées pour trouver des solutions qui répondent aux besoins des entreprises et des particuliers.

M. Coady répond à une question concernant la surveillance du comportement en ligne des employés. Bien que la technologie existe, affirme-t-il, il appartient à l'entreprise de déterminer quel usage de la technologie respecte sa culture interne. Certaines entreprises utilisent ce genre de logiciel de surveillance en permanence, tandis que d'autres l'allument seulement périodiquement lorsqu'elles soupçonnent une atteinte à la sécurité des ordinateurs. Il incombe à l'entreprise de déterminer la meilleure façon d'équilibrer la nécessité de protéger les droits de l'individu et la nécessité de se protéger contre une perte potentielle.

M. Geist mentionne un rapport suggérant que les Canadiens sont en voie d'abandonner une attente raisonnable de respect de la vie privée au profit d'une attente raisonnable de surveillance. Il importe que les sociétés utilisent toutes les mesures moins invasives avant d'adopter celles qui envahissent la vie privée de leurs employés, dit-il. Elles ont une gamme de réponses à leur disposition pour résoudre leur problème.

L'exécution de la politique est une question importante non résolue, affirme Mme Stoddart. Son bureau s'attache à élaborer une politique en matière d'exécution et s'apprête à réviser sa fonction de vérification.

Un participant suggère un modèle d'exécution éventuel en faisant référence au marché croissant des codes abrégés utilisés dans les systèmes de messagerie. Les codes abrégés sont vendus à une société seulement si elle certifie qu'elle n'utilisera jamais les messages entrants comme sources de courrier non sollicité. Si une société est jugée avoir enfreint l'entente, ses codes abrégés sont révoqués.

Bien qu'il s'agisse d'un excellent programme, il n'y a aucune solution unique permettant de résoudre tous les problèmes, de dire M. Geist.

La LPRPDE est la bonne façon de procéder et, qui plus est, elle est reconnue par la communauté internationale, déclare une participante. Elle se demande pourquoi on envisagerait de l'abroger. Le Canada n'est pas reconnu comme un pays qui s'empresse d'adopter de nouvelles lois, affirme-t-elle.

Une autre participante mentionne que le gouvernement recrute des entreprises pour participer à la lutte contre le crime et la terreur. Elle se demande où il faut établir la distinction et quelles politiques les entreprises devraient adopter pour pouvoir agir comme des agents de l'État. M. Gustavson répond que les entreprises peuvent aider le gouvernement sans recevoir de demande préalable.

Ce problème est devenu courant depuis quatre ans, ajoute Mme Stoddart. On a demandé à plusieurs reprises au gouvernement de démontrer au public canadien pourquoi des réformes s'imposent et comment elles rehausseront la sécurité des canadiens sans nuire à la démocratie. Ces questions méritent souvent un « silence assourdissant » ou une explication voulant que « des démarches plus nombreuses valent nécessairement mieux », dit-elle, ajoutant qu'elle ne trouve pas cet argument convaincant. Elle affirme qu'elle continuera de soulever ce genre de question, particulièrement lorsque la loi contre le terrorisme fera l'objet d'un examen.

Mme Stoddart encourage les corporations à réfléchir sérieusement à ces questions et à faire preuve de discrétion, car bien que les renseignements qu'elles communiquent pourraient servir à l'intérêt commun, ils pourraient également être utilisés à des fins discriminatoires. « Les corporations ont un pouvoir énorme et elles devraient tenter de l'utiliser sagement.»

M. Geist fait remarque que cette question est semblable à celle qui portait sur la diffamation. Les intermédiaires appelés à appliquer les lois ont un rôle approprié à jouer. Cependant, il souligne l'importance d'une surveillance efficace et demande instamment aux entreprises de ne pas agir sans obtenir une ordonnance du tribunal.

M. Coady demande au gouvernement de garantir qu'il protège adéquatement les renseignements personnels qu'il emmagasine.