Le rapport «Garder les utilisateurs d’Internet informés ou dans le noir» de Andrew Clément de l’Université de Toronto et Jonathan Obar de l’Institut universitaire de technologie de l’Ontario publié par La Presse fais le buzz.
En effet leur rapport dénonce que 25% du trafic des utilisateurs canadiens se rendant à des sites Internet canadiens transite par un pays étranger sans qu’ils en soient informés. Leur groupe de recherche a évalué 43 fournisseurs Internet sur des critères de protection des renseignements personnels dont notamment l’information que le fournisseur transmet à ses clients sur les demandes de renseignements formulées par des tiers et les lieux de stockage des données personnelles. Les auteurs soulignent qu’aucune des 43 entreprises n’a obtenu de bons résultats.
On peut lire que des entreprises populaires au Canada, comme Shaw et Vidéotron, ont obtenus la pire note du classement avec 2/10 . La meilleure note fut attribuée à Cogeco et TekSavvy malgré que cette dernière n’atteigne seulement 6/10 en raison du fait qu’elles privilégient le recours a des intermédiaires canadiens.
De nombreux renseignements personnels sont donc accessibles en ligne à des entreprises et organismes étrangers qui n’ont pas le consentement des usagers et qui ne se conforment pas à la législation canadienne. Ces informations peuvent donc être utilisées par ces tiers à des fins commerciales ou servir aux programmes de surveillance des autorités étrangères, plus particulièrement aux autorités américaines, puisque les lois en place ne sont pas les mêmes qu’ici.
Les experts souhaitent donc que les entreprises rendre public leurs pratiques en matière de protection des renseignements privés puisque la Loi sur la protection des renseignements personnels dans le secteur privé stipule à son article 10 que
Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
Un autre des critères pris en compte est le lieu de stockage. Le rapport remet en question la sécurité physique de ces informations or la sécurité doit être maximale pour ce genre de données. Les entreprises doivent respecter un certain nombre de lois concernant la protection des données, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui explique à son article 4.7.1 qu’il faut protéger ces données :
Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
Pour ce faire, quelques méthodes de protection sont prévues tel que celles que l’on retrouve à l’article 7.4.3 de la LPRPDE :
Les méthodes de protection devraient comprendre :
- a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux;
- b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et
- c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
Les experts recommandent également que les fournisseurs d’internet informent leurs clients lorsque des données sont réclamées par des tiers. Rappelons que les intermédiaires doivent être capable de donner un libre accès aux autorités qui le souhaitent tel que mentionné à l’article 27 de la LCCJTI :
[…] Toutefois, il ne doit prendre aucun moyen pour empêcher la personne responsable de l’accès aux documents d’exercer ses fonctions, notamment en ce qui a trait à la confidentialité, ou pour empêcher les autorités responsables d’exercer leurs fonctions, conformément à la loi, relativement à la sécurité publique ou à la prévention, à la détection, à la preuve ou à la poursuite d’infractions.
Ce problème de transparence s’apparente à une fuite de sécurité de nos informations personnelles et dont les usagers ne sont pas informée. Dans un premier temps le législateur québécois devrait imposer une obligation de divulgation aux fournisseurs Internet qui transitent par des sites étrangers puisqu’il leur est impossible de garantir la sécurité des renseignements. De ce fait, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) pourrait, tel que recommandé dans le rapport, s’assurer que les fournisseurs Internet respectent la Loi sur la protection des renseignements personnels.
Dans un second temps, il serait important que les fournisseurs Internet soient complètement transparents et avertissent les utilisateurs lorsqu’ils divulguent toutes informations personnelles même si elles sont réclamées par les autorités.
Les fournisseurs d’Internet sont ils les vrais coupables?
Nos informations personnelles sont effectivement vulnérables lorsque nous nous connectons à Internet. Particulièrement par l’utilisation des cookies, c’est-à-dire un fichier stocké sur le disque dur de l’utilisateur, qui permet au serveur web de le reconnaître d’une page web à l’autre. Ce va-et-vient entre un navigateur et un site web se retrouve donc au milieu du flux de données, qui, si une personne mal intentionnée,permettraient à des informations sensibles d’être interceptées.
Autres menace potentielle sont les serveurs situés à l’étranger. Un site canadien peut être hébergé à l’étranger. Les lois étant différentes, il est difficile de garantir à l’utilisateur que ses informations personnelles ne seront utilisées contre son gré ou revendues à des fins commerciales.
Quant aux fournisseurs d’Internet, il est vrai qu’ils ne peuvent garantir la sécurité de nos informations personnelles. Ils ne peuvent également contrôler ce que font tous leurs utilisateurs et quand ils mettent leurs données personnelles en péril, d’où l’importance de la transparence envers le utilisateurs qui pourront alors faire des choix éclairés selon les pratiques en place du service qu’ils utilisent.