30 avril 2014

Canada: télécoms, autorités gouvernementales et protection des renseignements personnels

On peut lire sur le site du Commissariat à la protection de la vie privée du Canada (CPVPC) une déclaration de la commissaire par intérim "concernant l’information demandée par le [CPVPC] aux entreprises de télécommunications et à d’autres entreprises en ligne sur les demandes de renseignements émanant des autorités gouvernementales" et qui se lit comme suit: 
"En 2011, le Commissariat à la protection de la vie privée du Canada a examiné les enjeux associés au suivi en ligne et à l’infonuagique en prévision de l’examen parlementaire de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous nous préparions également à comparaître devant le Parlement pour donner notre point de vue sur diverses initiatives législatives touchant des dispositions sur l’accès licite. Dans le cadre de nos recherches, nous avons fait parvenir des lettres à 13 entreprises de télécommunications et autres entreprises en ligne pour les prier de fournir au Commissariat de l’information générale sur les demandes de renseignements qu’elles reçoivent des autorités gouvernementales.
En décembre 2011, le Commissariat a reçu une réponse du conseiller indépendant de l’Association canadienne des télécommunications sans fil [disponible en anglais seulement], renfermant des données regroupées fournies par neuf entreprises. Le rapport n’attribuait pas les réponses à un fournisseur en particulier, mais on y retrouvait les pratiques représentatives de l’industrie au Canada. Depuis, nous avons utilisé cette information pour étayer nos réflexions et nos recommandations à l’intention tant du Parlement que du gouvernement.
La LPRPDE n’oblige pas les entreprises à rendre public le type de renseignements qu’elles communiquent en réponse aux demandes des autorités gouvernementales. Le Commissariat a toutefois demandé plus de transparence dans ce domaine.
Dans son récent rapport spécial au Parlement intitulé Mesures de vérification et de contrôle, le Commissariat a formulé plusieurs recommandations visant à améliorer la transparence des organismes de sécurité nationale sans mettre en péril les objectifs de sécurité publique. En particulier, la recommandation no 6 préconise la présentation de rapports publics sur les statistiques quant au recours à diverses dispositions de la LPRPDE dans les cas où des entités du secteur privé telles des télécommunicateurs remettent des renseignements personnels à des organismes de sécurité nationale sans la supervision du tribunal.
De même, l’exposé de principes sur la réforme de la LPRPDE publié l’an dernier prône aussi une transparence accrue. La recommandation no 3, « Lever le voile sur les communications autorisées », est particulièrement pertinente à cet égard. Elle préconise que l’on oblige les organisations à rendre public le nombre de communications aux fins d’application de la loi effectuées en vertu de l’alinéa 7(3)c.1), à l’insu de l’intéressé et sans son consentement, et sans mandat, afin de faire la lumière sur la fréquence à laquelle on invoque cette exception et sur l’utilisation qui en est faite.
Nous espérons toujours que nos recommandations seront mises en œuvre.
La commissaire à la protection de la vie privée du Canada par intérim,
Chantal Bernier"
À suivre ... 

Pour aller plus loin: 

26 avril 2014

CPVPC: Perte d'un disque dur contenant des renseignements personnels d'employés

[Publié le 26 avril 2014 à 4:00 - Ajout le 26 avril 2014 à 11:00]

On peut lire sur le site de Radio-Canada que le Commissariat à la protection de la vie privée du Canada (CPVPC) "a égaré un disque dur [non crypté] contenant des renseignements personnels [nom, salaire, numéro des employés depuis 2002] sur quelque 800 employés et ex-employés". 

Pour aller plus loin, 

[Ajout] Voir également: 

20 avril 2014

Canada: projets de lois (C-580 et S-4) visant notamment les déclarations d'incidents

Comme l'illustre notamment le cas Heartbleed, le risque "zéro" n'existe pas et peu avoir des répercussions sur la protection des renseignements personnels. 

Les organismes publics ou les entreprises qui font l'objet de pareils incidents doivent agir rapidement pour circonscrire et réparer la faille. Il leur revient également d'aviser les personnes concerner pour que celles-ci puissent prendre les mesures nécessaires auprès de leurs institutions financières ou agences de crédit, par exemple.

Si certains pays ou provinces (i.e. l'Alberta) ont légiféré afin que de tels incidents soient déclarés auprès des autorités de protection des renseignements personnels, tel n'est pas le cas du législateur canadien.

En effet, ni la Loi sur la protection des renseignements personnels (visant le secteur public), ni la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ - visant le secteur privé) ne contiennent une telle obligation. La déclaration de ces incidents se fait donc sur une base volontaire au Commissariat à la protection de la vie privée du Canada (CPVPC).

Deux projets de lois viennent d'être déposé au Parlement du Canada afin d'introduire dans ces deux lois une telle obligation.   
Le Projet C-580 a été déposé le 25 mars 2014. Il a pour objet d'obliger toute institution fédérale à aviser le CPVPC "de tout incident ayant entraîné la perte ou la communication non autorisée de renseignements personnels ou l’accès non autorisé à ceux-ci, lorsqu’une personne raisonnable conclurait à l’existence d’un risque de préjudice pour l’individu concerné par cette perte, cette communication ou cet accès" (art. 11.1(2) neau). Pour évaluer le risque de préjudice, les éléments suivants devront être pris en considération: "a) le degré de sensibilité des renseignements personnels en cause; b) le nombre d'individus dont les renseignements personnels ont été touchés" (art. 11.1(3) neau). 
Ce projet vise les institutions fédérales, qui aux termes de l'art. 3 de la Loi sur la protection des renseignements personnels, s'entend comme étant: "a) tout ministère ou département d'État relevant du gouvernement du Canada, ou tout organisme, figurant à l'annexe [de la Loi]; b) toute société d'État mère ou filiale à cent pour cent dune telle société, au sens de l'article 83 de la Loi sur la gestion des finances publiques".
Il convient de remarquer que ce projet fait écho au Projet C-475 visant à modifier la LPRPDÉ et rejeté par la Chambre des communes en janvier dernier (billet)
Le projet S-4 a été déposé le 8 avril 2014. Il a pour objet, entre autres, d'obliger une organisation à déclarer au CPVPC "toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s'il est raisonnable de croire, dans les circonstances, que l'atteinte présente un risque réel de préjudice grave à l'endroit d'un individu" (art. 10.1(1) neau). Par "préjudice grave", il convient d'entendre "notamment la lésion corporelle, l'humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d'identité, l'effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d'emploi ou d'occasions d'affaires ou d'activités professionnelles" (art. 10.1(7) neau). Et afin d'évaluer si une telle atteinte "présente un risque réel de préjudice grave à l'endroit de l'intéressé", il conviendra de prendre en considération "notamment le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements aient été mal utilisés ou soient en train ou sur le point de l'être et tout autre élément prévu par règlement" (art. 10.1(8) neau). 
Ce projet vise les organisation, qui aux termes de l'art. 2 de la LPRPDÉ, "s'entend notamment des associations, sociétés de personnes, personnes et organisations syndicales".
Il convient de remarquer que les dispositions relatives aux atteintes aux mesures de sécurité et à l'obligation de déclaration au CPVPC prévues par ce projet de loi, ainsi que plusieurs autres, font écho à celles contenues au Projet C-12 mort au feuilleton lors de la prorogation du Parlement en septembre 2013 (billet).


Il conviendra de s'intéresser aux différentes étapes entourant les projets C-580 et S-4. À suivre donc ...

12 avril 2014

Europe: avis sur la surveillance des citoyens

Le 10 avril dernier, le Groupe institué par l'article 29 de la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (G29) a publié un avis sur la surveillance des citoyens européens.

On peut lire sur le site de la Commission nationale de l'informatique et des libertés (CNIL) que:
"Dans son avis, le G29 souligne l'illégalité de la surveillance massive, systématique et sans distinction des citoyens européens, qui ne saurait être justifiée par la seule lutte contre le terrorisme ou d'autres considérations de sécurité publique. Il rappelle que de telles restrictions aux droits fondamentaux des citoyens européens ne sont pas acceptables dans une société démocratique.

En conséquence, le G29 recommande notamment que :
- Les Etats Membres de l'Union doivent garantir plus de contrôle et de transparence dans les activités de surveillance de leurs services de renseignement. Les individus doivent être informés et bénéficier de garanties adéquates de protection de leurs données lorsque celles-ci sont collectées et transférées. À cette fin, le G29 souhaite organiser à l’automne un débat sur le thème de la surveillance afin de mieux informer et conseiller les citoyens. Cet événement sera ouvert à toutes les parties prenantes;
- Afin que les abus des programmes de surveillance ne se répètent pas, un contrôle effectif et indépendant des services de renseignement est nécessaire, contrôle dans lequel les autorités de protection des données doivent jouer un rôle ;
- Les institutions de l'UE doivent finaliser les négociations sur la réforme de la protection des données personnelles et, en particulier, retenir la proposition faite par le Parlement européen d'un nouvel article 43a, dans le futur règlement, prévoyant l'obligation d'informer les individus lorsqu'il a été donné accès à leurs données à une autorité publique au cours des douze derniers mois ;
- Un traité intergouvernemental contraignant devrait être adopté afin de donner aux citoyens des garanties fortes en matière d’activité de renseignement.
Le G29 rappelle par ailleurs que le cadre légal européen actuel doit être pleinement respecté. Si tel n’est pas le cas, les responsables de traitement soumis à la juridiction de l'UE peuvent être sanctionnés et les flux de données suspendus par les autorités de protection des données.

L'adoption de cet avis du G29 prend une importance particulière du fait de la publication au même moment d’un arrêt de la Cour de justice de l'UE du 8 avril 2014, dans lequel celle-ci déclare la directive 2006/24/CE relative à la rétention des données contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l'UE. Cet arrêt repose sur le constat que la directive, en autorisant la surveillance d'ensemble des données de communications par les États, ne limite pas l'impact sur les droits fondamentaux à ce qui est strictement nécessaire".

Pour aller plus loin, voir notamment: