Une enquête dévoile que Google a enfreint la loi canadienne sur la protection
des renseignements personnels

Les voitures de Google Street View ont recueilli de manière inappropriée des renseignements personnels tels que des courriels, des noms d'utilisateurs, des mots de passe, des numéros de téléphone et des adresses; la commissaire recommande le recours à des procédures plus robustes et une formation améliorée en matière de respect de la vie privée

OTTAWA, le 19 oct. /CNW/ - Google Inc. a enfreint la loi canadienne sur la protection des renseignements personnels en recueillant de manière inappropriée des renseignements personnels transmis sur des réseaux sans fil non sécurisés un peu partout au Canada, selon les conclusions d'une enquête.

Cette enquête menée par la commissaire à la protection de la vie privée a également conclu que l'incident a été causé par une faute d'imprudence commise par un ingénieur, et par un manque de mesures de contrôle visant à faire en sorte que les procédures nécessaires au respect de la vie privée étaient bel et bien suivies.

« Notre enquête a révélé que Google avait effectivement saisi des renseignements personnels — et dans certains cas, des renseignements de nature très sensible, tels que des courriels entiers. L'incident représente une violation sérieuse du droit des Canadiennes et des Canadiens à la vie privée », affirme la commissaire à la protection de la vie privée, Jennifer Stoddart.

« Les technologies en plein essor ont sans contredit des répercussions formidables sur tous les aspects de la vie moderne. Mais leur incidence sur les personnes peut être grave si leurs répercussions sur la vie privée ne sont pas prises en compte correctement au moment de la conception de ces nouvelles technologies. »

Parmi les renseignements personnels recueillis, on retrouve des courriels entiers, des adresses de courriel, des codes d'utilisateurs et des mots de passe, des noms, et des adresses et numéros de téléphone résidentiels. Certains des renseignements saisis étaient de nature très délicate; on a retrouvé par exemple une liste de noms de personnes atteintes de certains troubles médicaux, ainsi que leurs adresses et numéros de téléphone.

Selon toute probabilité, l'incident a touché des milliers de Canadiennes et de Canadiens.

Des spécialistes du Commissariat se sont rendus aux locaux de l'entreprise à Mountain View (Californie) afin d'examiner sur place les données recueillies. Les spécialistes ont effectué une recherche manuelle de données qui semblaient être des renseignements personnels.

Afin de respecter le plus possible la vie privée des personnes dont les renseignements ont été capturés, les spécialistes du Commissariat ont limité leur examen manuel à un échantillon très restreint de données relevées lors d'une recherche automatisée. Par conséquent, il est impossible de déterminer la quantité de renseignements personnels recueillie sur des réseaux sans fil non cryptés.

La commissaire a lancé une enquête en vertu de la loi fédérale assurant le respect de la vie privée dans le secteur privé, soit la Loi sur la protection des renseignements personnels et les documents électroniques ou LPRPDE, après que Google a annoncé que ses voitures — qui photographiaient alors les quartiers canadiens pour le service de cartographie Street View — avaient recueilli par inadvertance des données transmises sur des réseaux sans fil domestiques et commerciaux, au Canada et ailleurs au monde, pendant plusieurs années. Les réseaux en question n'étaient pas protégés, ni par un mot de passe, ni par chiffrement.

C'est en raison d'un code particulier qui avait été intégré au logiciel utilisé pour capter les signaux Wi-Fi que Google a recueilli des renseignements personnels. Ce code avait été développé en 2006 par un ingénieur de Google qui s'était prévalu d'une politique de l'entreprise en vertu de laquelle les employés peuvent consacrer jusqu'à 20 % de leur temps à des projets qui les intéressent. L'ingénieur avait développé un code pour échantillonner toutes les catégories de données diffusées publiquement sur des réseaux Wi-Fi, et ce code comprenait des lignes visant à recueillir les « données utiles », qui font référence au contenu des communications.

Le code s'est retrouvé sur l'équipement des voitures de Google Street View quand l'entreprise a décidé de recueillir de l'information sur l'emplacement de signaux Wi-Fi publics, afin d'alimenter sa base de données destinée aux services géodépendants.

Au moment où l'on a décidé d'utiliser le code en question, l'ingénieur qui l'avait conçu avait fait état de « répercussions superficielles sur la vie privée ». Ces répercussions n'ont jamais été évaluées par d'autres responsables de Google parce que l'ingénieur a omis de transmettre la documentation relative à la conception du code à l'avocat responsable chez Google de l'examen des conséquences juridiques du projet Wi-Fi, ce qui va à l'encontre de la politique organisationnelle.

Google affirme que lorsqu'elle a commencé à utiliser le logiciel pour son projet de géolocalisation, elle n'était aucunement consciente de la présence de ce code qui recueillait les données utiles. Bien que le code ait été passé en revue avant d'être installé sur l'équipement des voitures de Street View, cette mesure visait seulement à s'assurer que le code ne nuirait pas aux opérations de Street View.

« Cet incident est le résultat d'une d'imprudence — une erreur qui aurait facilement pu être évitée », affirme la commissaire Stoddart.

À la lumière de son enquête, la commissaire à la protection de la vie privée a recommandé que Google fasse en sorte que le modèle de gouvernance de l'entreprise permette à cette dernière de se conformer aux lois sur la protection des renseignements personnels. Le modèle de gouvernance doit englober tous les enjeux relatifs à la vie privée associés à la conception de produits et services internes et externes. Le modèle doit également inclure des mesures de contrôle pour veiller à ce que les procédures nécessaires à la protection de la vie privée soient dûment respectées à l'étape de la conception des produits et services.

En outre, la commissaire a recommandé que Google améliore la formation qu'elle offre au sujet de la protection des renseignements personnels, afin de favoriser le respect des exigences parmi l'ensemble des employés. La commissaire a également exhorté Google de nommer une ou des personnes responsables des questions de vie privée et du respect des obligations de l'entreprise en la matière — une obligation aux termes de la loi canadienne en matière de protection des renseignements personnels.

De plus, la commissaire a demandé à Google de supprimer les données utiles canadiennes recueillies, dans la mesure où cela ne nuirait pas au respect d'obligations en suspens aux termes des lois canadiennes et américaines, telles que la conservation de preuves liées à des procédures judiciaires. Si les données utiles canadiennes ne pouvaient pas être supprimées sur le champ, elles devraient être conservées de manière sécuritaire et l'accès à ces données devrait être restreint.

La commissaire à la protection de la vie privée estimera que la situation est résolue si elle reçoit d'ici le 1^er février 2011 la confirmation que Google a mis en œuvre ses recommandations.

Le Parlement a confié à la commissaire à la protection de la vie privée du Canada le mandat d'agir à titre d'ombudsman, de défenseure et de gardienne du droit des Canadiennes et Canadiens à la protection de la vie privée et des renseignements personnels.

Renseignements:

Personne-ressource (à l'intention des médias seulement) :

Commissariat à la protection de la vie privée du Canada
Anne-Marie Hayden
Tél. : 613-995-0103 
Courriel : [email protected]   

NOTA : Les journalistes sont priés de soumettre leurs demandes d'entrevues par courriel