Vie privée et Internet | Les énoncés sur la protection de la vie privée qui accompagnent les appareils connectés à Internet sont généralement médiocres et n’indiquent pas aux utilisateurs exactement quels renseignements personnels sont recueillis ni l’utilisation qui en sera faite, selon les résultats d’un ratissage international qui viennent d’être publiés.
Les résultats du quatrième ratissage annuel pour la protection de la vie privée, effectué sous l’égide du Global Privacy Enforcement Network (GPEN), nous montrent que bon nombre d’entreprises omettent d’expliquer comment l’information qu’elles recueillent est stockée et protégée ou comment un utilisateur peut supprimer les renseignements personnels le concernant.
Nombre des appareils ratissés peuvent recueillir de grandes quantités de données souvent sensibles, y compris des données sur la santé et des données financières, mais les énoncés sur la protection de la vie privée étaient souvent de nature générale et les entreprises ayant adopté de bonnes pratiques de communication n’étaient qu’une minorité.
Ratissage international
Vingt-cinq autorités chargées de l’application des lois portant sur la vie privée ont participé au ratissage de cette année, qui s’est déroulé du 11 au 15 avril 2016.
Les ratisseurs ont examiné au cours de la semaine les énoncés et les pratiques en matière de protection de la vie privée des fabricants de 314 appareils connectés à Internet, en se concentrant principalement sur la façon dont les entreprises font connaître leurs pratiques en matière de traitement des renseignements personnels.
Chaque autorité pouvait choisir une catégorie de produits différente et adopter la méthode de ratissage qui lui convenait.
Appareils examinés
Ainsi, certaines ont examiné des jouets connectés, des appareils liés à la santé et des appareils ménagers intelligents, tandis que d’autres se sont penchées sur des produits très précis, comme des compteurs intelligents, des véhicules connectés et des téléviseurs intelligents.
Les autorités pouvaient aussi examiner les énoncés sur la protection de la vie privée qui accompagnaient l’appareil à l’achat et/ou ceux affichés sur le site du fabriquant.
Elles pouvaient aussi choisir d’utiliser le produit pour évaluer dans quelle mesure les énoncés sur la protection de la vie privée correspondent à l’expérience de l’utilisateur, et/ou communiquer directement avec l’entreprise pour lui poser des questions de suivi sur la protection de la vie privée.
Sensibilisation
Le ratissage international visait notamment à sensibiliser davantage le public et les entreprises aux droits, aux responsabilités et aux pratiques exemplaires en matière de protection de la vie privée, à encourager la conformité aux lois sur la protection de la vie privée et à renforcer la coopération entre les autorités chargées de l’application de ces lois.
Le ratissage ne constituait pas une enquête et il ne visait pas à mettre au jour de façon concluante des problèmes de conformité ou d’éventuelles infractions aux lois sur la protection des renseignements personnels.
Il ne s’agissait pas non plus d’évaluer les pratiques des organisations en matière de protection de la vie privée en général ni d’analyser en profondeur la conception et le développement des appareils examinés.
L’exercice, qui consistait à utiliser brièvement les appareils, visait à recréer l’expérience des consommateurs.
À terme, les ratisseurs cherchaient à examiner les énoncés sur la protection de la vie privée en consacrant du temps à évaluer chaque appareil en fonction d’un ensemble d’indicateurs communs.
Les efforts de ratissage du GPEN se poursuivent.
Comme par les années passées, les préoccupations soulevées au cours du ratissage pourraient donner lieu à des mesures de suivi, par exemple des activités de sensibilisation auprès des organisations ou des mesures pour faire appliquer les lois.
En complément :
- Dans le cadre du ratissage, le Commissariat à la protection de la vie privée du Canada a utilisé toutes ces méthodes.
- Au total, les ratisseurs du Commissariat ont évalué 21 appareils liés à la santé jugés populaires auprès des Canadiens selon nos recherches – entre autres des moniteurs d’activité physique, des montres intelligentes, des pèse-personnes intelligents, des dispositifs mesurant la pression artérielle et toute une gamme d’appareils connectés qui peuvent relever toutes sortes de données, par exemple les habitudes de sommeil et le taux d’alcoolémie.
- Le GPEN a été créé en 2010 à la suite d’une recommandation de l’Organisation de coopération et de développement économiques (OCDE).
- Son objectif est de favoriser une coopération transnationale entre les organismes de réglementation en matière de protection de la vie privée dans un marché de plus en plus mondialisé où les activités de commerce et de consommation reposent sur la circulation continue des renseignements personnels par-delà les frontières.
- Ses membres veulent unir leurs efforts pour mieux protéger les renseignements personnels dans ce contexte mondial.
- Le Parlement a confié au commissaire à la protection de la vie privée du Canada le mandat d’agir à titre d’ombudsman et de gardien du droit à la vie privée au Canada.
- Le commissaire est responsable de l’application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques, qui s’applique aux organisations du secteur privé au Canada.
Ce qu’ils ont dit :
« Dans l’ensemble, il y a beaucoup d’améliorations à apporter en ce qui concerne les énoncés sur la protection de la vie privée qui accompagnent les appareils connectés à Internet ayant fait l’objet du ratissage. Avec l’essor de l’Internet des objets, les activités, comportements et préférences des individus sont mesurés, enregistrés et analysés de plus en plus régulièrement. Cette technologie prend de l’expansion et il faut absolument que les entreprises expliquent mieux leurs pratiques en matière de traitement des renseignements personnels. Le ratissage témoigne de l’engagement soutenu des autorités chargées de l’application des lois à travailler ensemble pour promouvoir la protection de la vie privée partout dans le monde. Les ratissages antérieurs nous ont montré que l’éducation et la sensibilisation peuvent souvent contribuer grandement à des changements positifs pour la protection de la vie privée. »
Daniel Therrien, commissaire à la protection de la vie privée du Canada
Aussi sur ce blogue :