Télécom - Lettre du Conseil adressée à John Lawford (Centre pour la défense de l’intérêt public)

Ottawa, le 17 août 2020

PAR COURRIEL

John Lawford
Directeur général et avocat général
Centre pour la défense de l’intérêt public
285, rue McLeod, bureau 200
Ottawa (Ontario) K2P 1A1
jlawford@piac.ca

Objet : Demande soumise par le Centre pour la défense de l’intérêt public concernant la recherche des contacts en cas de pandémie par les principaux fournisseurs de services de télécommunications canadiens

Monsieur,

La présente énonce les conclusions du Conseil concernant la demande du Centre pour la défense de l’intérêt public (CDIP) datée du 4 mai 2020, dans laquelle il demande au Conseil d’intervenir afin de garantir que les applications de recherche des contacts en cas de pandémie à des fins de santé publique sont développées « de la manière la plus équitable, ouverte et transparente, sans coercition et uniquement aux fins prévues ».

Le Conseil reconnait que la demande du CDIP a soulevé des enjeux importants qui sont pertinents et d’intérêt pour les Canadiens, ainsi que pour les commissaires à la protection de la vie privée fédéraux, provinciaux et territoriaux. Le Conseil est également préoccupé par la façon dont les fournisseurs de services de télécommunication (FST) utilisent et gèrent les renseignements confidentiels de leurs clients et a mis en place des cadres pour réglementer les comportements des FST à cet égard, conformément à sa compétence au titre de la Loi sur les télécommunications (laLoi) et l’objectif de la politique à l’article 7(i) de la Loi pour contribuer à la protection de la vie privée des personnes. La gestion appropriée des renseignements confidentiels des clients par les FST est primordiale et le Conseil a pris en considération la demande du CDIP dans ce contexte.

La demande du CDIP a demandé au Conseil, comme condition à l’offre de services de télécommunication (accès sans fil mobile ou Internet), selon le pouvoir conféré par les articles 7, 24, 24.1 et 47 de la Loi sur les télécommunications, d’exiger à tous les FST de :

divulguer au public et au Conseil toutes les mesures prises dans l’intérêt de tout gouvernement ou de toute partie privée pour faciliter la recherche des contacts;
examiner toutes les activités des FST liées aux applications de recherche des contacts ou à la facilitation à l’échelle d’un réseau de la localisation de consommateurs individuels ou de renseignements personnels ou de communication;
exiger que les activités des FST liées à la recherche des contacts respectent les règles du Conseil entourant les renseignements confidentiels des clients dans le domaine de la téléphonie;
interdire aux FST d’utiliser le consentement déjà accordé par les consommateurs pour les fonctions de localisation des appareils mobiles ou de fournir des données déjà recueillies au moyen de ces programmes à des entités privées ou gouvernementales pour créer, améliorer ou tester des outils de recherche liés à la COVID-19 sans consentement nouveau, exprès et préalable pour cette nouvelle utilisation ou divulgation;
nommer un enquêteur en vertu du paragraphe 70(1) de la Loi sur les télécommunications qui fera enquête et fera rapport sur la recherche des contacts et assurera la liaison avec les autorités de la santé publique, les gouvernements et les parties privées en dehors du secteur des télécommunications, s’il y a lieu;
subsidiairement, lancer un avis de consultation officiel sur la question.

Le Conseil a reçu de la correspondance connexe de la part de Rogers (7 mai 2020), de Bell (12 mai 2020), du CDIP (12 mai 2020 et 14 mai 2020), de Telus (12 mai 2020 et 15 mai 2020) et de l’Association canadienne des télécommunications sans fil (ACTS) [13 mai 2020].

Dans leurs lettres, Rogers, Bell et Telus ont indiqué que les commissaires à la protection de la vie privée fédéraux et provinciaux ont déjà été saisis de cette question, et que par conséquent, la demande devrait être refusée.

Le CDIP a conclu dans sa lettre du 12 mai 2020 que les commissaires à la protection de la vie privée ont un pouvoir limité et que le Conseil « est le seul organisme de réglementation qui a compétence pour permettre ou interdire l’utilisation de renseignements confidentiels sur les clients ». Il a en outre fait remarquer que dans la décision de télécom 2003-33, le Conseil « a confirmé avoir compétence pour mettre en application des normes de protection de la vie privée supérieures à celles établies dans la législation générale sur cette question ».

L’ACTS a indiqué qu’aucun de ses membres n’est impliqué dans les applications de recherche des contacts et que la Loi canadienne anti-pourriel (LCAP) et la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») offrent aux Canadiens des mesures de protection contre les enjeux soulignés par le CDIP.

Une lettre du personnel du Conseil a été envoyée au CDIP le 13 mai 2020, dans laquelle il indiquait que la demande ne serait pas examinée compte tenu du fait que la demande et la dernière correspondance ne semblent présenter aucun élément de preuve qui démontre que les cadres de protection de la vie privée actuels sont insuffisants ou que le lancement d’une instance publique à ce moment-ci serait avantageux pour les Canadiens. Il a reconnu que les commissaires à la protection de la vie privée fédéraux, provinciaux et territoriaux ont pris des mesures liées aux initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée.

Dans sa lettre du 14 mai 2020, le CDIP a soutenu que le Conseil a l’obligation de publier la demande et il cherchait à obtenir une décision du Conseil quant à la demande procédurale de Rogers de refuser la demande. Il a cité la déclaration de protection de la vie privée « Les données au service du bien commun » de Telus comme preuve que le Conseil doit intervenir.

Le 15 mai 2020, Telus a clarifié que cette déclaration ne porte pas sur la recherche des contacts, mais fait plutôt partie de sa plateforme Insight et a pour but de fournir aux gouvernements, aux autorités sanitaires et aux chercheurs universitaires des ensembles de données anonymes et regroupées qui peuvent être utilisés pour dégager des tendances et des modèles sans divulguer de renseignements permettant d’identifier une personne.

Les documents mentionnés dans cette lettre sont accessibles en cliquant sur le lien des documents connexes.

Comme indiqué précédemment, le Conseil a examiné la demande du CDIP dans le contexte de la gestion appropriée des renseignements confidentiels des clients par les FST.

Selon le Conseil, les éléments de preuve fournis dans la demande du CDIP, ainsi que dans les observations de l’ACTS et de divers FST, ne démontrent pas qu’une telle demande de renseignements est justifiée à l’heure actuelle. D’après les renseignements disponibles, les FST ne semblent pas participer à l’élaboration ou à la mise en œuvre d’applications de recherche de contacts au Canada, mais plutôt par des gouvernements^{Note de bas de page1}, des autorités sanitaires et des développeurs tiers dans la mesure où les applications sont en cours d’élaboration. Les applications de recherche des contacts volontaire utilisent la technologie Bluetooth pour recueillir des renseignements afin de transmettre des alertes aux Canadiens pour les aviser qu’ils ont peut-être été exposés à une personne ayant contracté la COVID-19. Les éléments de preuve disponibles indiquent que les FST ne participent pas à la collecte ni à la communication de ces données. Au lieu, les FST, en tant qu’entreprises de communication, fournissent les réseaux sur lesquels fonctionnent ces applications, tout comme les autres applications.

Comme il est établi à l’article 22 des Règles de pratique et de procédure du Conseil de la radiodiffusion et des télécommunications canadiennes (les Règles de pratique et de procédure), une demande doit, entre autres choses, « renferme[r] un énoncé clair et concis des faits pertinents et de ses motifs et de la nature [...] ». Le Conseil conclut que la demande du CDIP, tel qu’elle a été déposée, est de nature générale et ne précise pas d’activité ou de mesure en particulier des FST dans l’élaboration ou la mise en œuvre de mesures de recherche des contacts qui exigent l’intervention du Conseil pour le moment. De plus, elle ne démontre pas que les cadres et les mesures de protection existants en matière de protection de la vie privée sont insuffisants pour le moment pour aborder les enjeux qu’il a soulevés.

Le Conseil reconnait qu’une déclaration commune a été publiée le 7 mai 2020 par les commissaires à la protection de la vie privée fédéraux, provinciaux et territoriaux, dans laquelle on décrit les principes de protection de la vie privée des applications de recherche des contacts. Ces principes comprennent, entre autres choses, le consentement significatif, des limites de temps et d’utilisation, et la transparence et la responsabilité. Avant la diffusion de cette déclaration commune, le Commissariat à la protection de la vie privée du Canada (CPVP) avait publié, le 17 avril 2020, un cadre pour l’évaluation des initiatives en réponse à la COVID-19 ayant une incidence importante sur la vie privée.

En résumé, la demande ne soutient pas la proposition selon laquelle les FST participent activement ou envisagent de participer à des mesures de recherche des contacts et que les cadres actuels du Conseil en matière de protection de la vie privée qui réglementent les comportements des FST, conjointement avec d’autres exigences juridiques découlant des dispositions législatives en matière de protection des renseignements personnels, sont insuffisants pour étudier les initiatives de recherche des contacts en cours ou, plus important encore, que des mesures réglementaires supplémentaires sont nécessaires.
Par conséquent, le Conseil conclut qu’il n’est pas dans l’intérêt public, pour l’instant, de déclencher une enquête générale du type demandé par le CDIP, ni d’exiger la production des renseignements demandés. Enfin, le Conseil a examiné la demande et a déterminé qu’une enquête ne sera lancée ni par la nomination d’un enquêteur ni par la publication d’un avis de consultation.

Le Conseil continue de suivre de près la situation dans l’intérêt public. Si les circonstances factuelles devaient changer ou si des signes devaient démontrer que les FST participent, ou envisagent de participer, à des mesures de recherche des contacts, le Conseil pourrait revoir s’il doit examiner ces activités afin de déterminer quelles mesures supplémentaires devraient être prises, le cas échéant. Dans le cadre de ses efforts de surveillance, le Conseil continuera de communiquer avec le CPVP.

Veuillez agréer mes salutations distinguées.

(Original signé par)

Claude Doucet
Secrétaire général
CRTC

Notes de bas de page

Note de bas de page 1

Le gouvernement de l’Alberta a lancé ABTraceTogether le 1er mai 2020, et le 18 juin 2020, on a annoncé que le gouvernement du Canada travaillait à l’élaboration d’une application de recherche de contacts nationale volontaire. Le 31 juillet 2020, le gouvernement du Canada a publié Alerte COVID en Ontario et a indiqué qu’il travaillait avec les autres provinces et territoires pour faire participer leurs juridictions dans les semaines et les mois à venir. Le Commissariat à la protection de la vie privée du Canada (CPVP) et le Commissariat à l’information et à la protection de la vie privée de l’Ontario (IPC) ont examiné Alerte COVID et ont indiqué leur appui à l’utilisation de cette application.

Retour à la référence de la note de bas de page 1

Date de modification :: 2020-08-17

Sélection de la langue

Recherche et menus

Recherche

Télécom - Lettre du Conseil adressée à John Lawford (Centre pour la défense de l’intérêt public)