Passer au contenu
;

ETHI Rapport du Comité

Si vous avez des questions ou commentaires concernant l'accessibilité à cette publication, veuillez communiquer avec nous à accessible@parl.gc.ca.

PDF

ANNEXE B

Lettre de conclusions préliminaire

Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

  1. Après avoir appris que les voitures de Google Street View avaient recueilli des données utiles transmises par des réseaux Wi-Fi non cryptés dans le cadre de la collecte de signaux Wi-Fi publics (des renseignements sur les identificateurs d’ensemble de services et des adresses MAC), le Commissariat à la protection de la vie privée du Canada a déposé trois plaintes contre Google inc. (Google) le 31 mai 2010, conformément au paragraphe 11(2) de la Loi.
  2. Les trois plaintes sont les suivantes:
    1. Google aurait recueilli, utilisé ou communiqué des données utiles sans avis et consentement préalable ;
    2. Google aurait recueilli des données utiles sans déterminer les fins de la collecte de renseignements personnels au préalable ;
    3. Google aurait recueilli des données utiles au-delà de ce qui est nécessaire aux fins déterminées.

Résumé de l’enquête

  1. Après que l’autorité allemande de protection des données à Hambourg a demandé de soumettre à une vérification les données Wi-Fi recueillies par les voitures de Google Street View au cours d’un projet fondé sur la localisation, Google a découvert en mai 2010 qu’elle avait recueilli des données utiles transmises sur des réseaux sans fil non protégés dans le cadre de ses activités de collecte de données Wi-Fi. Selon l’entreprise elle-même, cette collecte accidentelle semble avoir été causée par l’intégration d’un code élaboré en 2006 au logiciel utilisé pour capter les signaux Wi-Fi. Devant cette situation, Google a immobilisé ses voitures Street View, arrêté de recueillir des données sur les réseaux Wi-Fi le 7 mai 2010, et isolé et stocké toutes les données déjà recueillies.
  2. Le 1er juin 2010, le Commissariat a écrit à Google pour aviser l’entreprise qu’il lançait une enquête concernant cette collecte de données utiles. Google a répondu le 29 juin 2010.
  3. Le 28 juin 2010, conformément au paragraphe 11(2) de la Loi, le Commissariat a demandé de visiter les locaux de Google à Mountain View (Californie). La visite sur place avait un double objectif : 1) examiner les données utiles recueillies par Google et 2) poser des questions précises aux représentants de l’entreprise, par exemple sur les circonstances de l’incident, l’isolement et le stockage des données utiles et les mesures d’atténuation et de prévention que Google prévoit mettre en œuvre.
  4. Google a accepté une visite sur les lieux. Deux représentants spécialisés du Commissariat se sont ensuite rendus dans les locaux de Mountain View, le 19 juillet 2010. Bien que nos spécialistes aient passé en revue les données utiles, aucun représentant de Google n’était disponible pour répondre à nos questions à Mountain View. Google a plutôt répondu à nos questions générales en remplissant un questionnaire que nous lui avons transmis le 12 juillet 2010.
  5. Le 18 août 2010, une téléconférence a eu lieu entre un avocat de Google et le Commissariat pour répondre à des questions supplémentaires.
  6. Les résultats de notre enquête sur les trois plaintes déposées contre Google sont résumés dans les sections suivantes:
    1. La participation du conseiller juridique en matière de produits de Google à l’examen des produits;
    2. Les circonstances entourant la collecte de données utiles et les essais techniques;
    3. La collecte de renseignements personnels;
    4. L’isolement et le stockage des données utiles;
    5. Les plans d’avenir de Google concernant ses services géodépendants;
    6. Les répercussions des plans d’avenir sur la vie privée et les mesures d’atténuation et de prévention que Google prévoit prendre pour éviter une récidive.

A. La participation du conseiller juridique en matière de produits de Google à l’examen des produits

  1. Google a expliqué qu’elle dispose d’un processus d’examen officiel pour chaque lancement de produit externe (c’est-à-dire un produit offert aux consommateurs). Ce processus prévoit qu’un conseiller juridique en matière de produits doit évaluer notamment les répercussions du produit sur la vie privée.
  2. Google considère que le code qui a finalement servi à relever toutes les catégories de données Wi-Fi publiques n’est pas un produit externe. Le processus d’examen officiel ne s’est donc pas appliqué.
  3. Cependant, notre enquête a dévoilé que la procédure d’élaboration de code de Google comprend un modèle et un processus selon lesquels le conseiller juridique en matière de produits doit examiner le code avant que celui-ci ne soit utilisé ou intégré à un autre produit de Google. Le modèle — un document qui explique la méthodologie — est pour ainsi dire obligatoire et constitue la première étape de la procédure d’élaboration d’un code.
  4. L’enquête a aussi révélé que, dans le document établissant la procédure d’élaboration du code qui allait servir à capter les signaux Wi-Fi, l’ingénieur a cerné une ou plusieurs préoccupations relatives à la collecte. Ces préoccupations étaient liées au fait que Google pourrait obtenir suffisamment de données pour trianguler avec précision l’emplacement d’un utilisateur à un certain moment.
  5. L’ingénieur a affirmé que ses préoccupations avaient des répercussions superficielles sur la vie privée. Il n’a pas envoyé ses documents sur l’élaboration du code au conseiller juridique en matière de produits aux fins d’examen - ce qui contrevient à la procédure de l’entreprise. Les facteurs relatifs à la vie privée du code n’ont donc jamais été évalués.
  6. Nous avons aussi appris que les membres du service juridique en matière de produits de Google étaient des avocats qui avaient des antécédents professionnels dans divers secteurs du droit. Google soutient que ces juristes ont généralement une certaine expérience des questions liées à la protection des renseignements personnels dans le secteur privé.
  7. Selon Google, les membres du service juridique en matière de produits assistent à la même séance de formation de base que tous les nouveaux employés de l’entreprise. En outre, ils participent à des réunions hebdomadaires sur des enjeux liés à la protection de la vie privée et à la sécurité.  Google affirme également que la formation juridique continue obligatoire pour les conseillers juridiques de Google comprend la protection de la vie privée

B. Les circonstances entourant la collecte de données utiles et les essais techniques

  1. Google permet à ses ingénieurs de consacrer 20 % de leur temps à des projets qui les intéressent. En 2006, un des ingénieurs a consacré ce temps à la création d’un code visant à prélever des échantillons de toutes les catégories de données Wi-Fi publiques.
  2. L’ingénieur en question a ajouté des lignes de code permettant de recueillir des données utiles. Il a pensé que cela pourrait éventuellement servir à Google et qu’une telle collecte serait appropriée.
  3. Google a utilisé ce code lorsqu’elle a décidé de lancer un certain service géodépendant qui se basait sur divers signaux (comme les GPS et l’emplacement de stations de base et de points d’accès Wi-Fi) pour indiquer un endroit à un utilisateur. Elle a installé des antennes et les logiciels requis (dont Kismet, une application libre) à bord de ses voitures Street View afin de capter les signaux Wi-Fi publics à portée de ces véhicules pendant que ceux-ci circulent dans un quartier. Les signaux étaient ensuite traités pour identifier les réseaux Wi-Fi (à l’aide de leur adresse MAC) et cerner leur emplacement approximatif (à l’aide des coordonnées fournies par le GPS au moment où le signal était reçu). Les renseignements sur l’identité des réseaux Wi-Fi et leur emplacement approximatif alimentent ensuite la base de données des services géodépendants de Google.
  4. Dans ses observations présentées au Commissariat, Google a fourni des renseignements techniques sur sa façon d’utiliser les données transmises par les réseaux Wi-Fi pour les services géodépendants. Elle a mentionné que son logiciel n’enregistre pas les données utiles transmises par des réseaux cryptés, mais que les données utiles diffusées sur des réseaux Wi-Fi non cryptés sont recueillies et enregistrées sur un disque en format brut.
  5. Toutefois, selon Google, les renseignements ainsi recueillis seraient fragmentés puisque les voitures sont en mouvement au moment de la collecte et que l’équipement servant à recueillir les signaux Wi-Fi automatiquement change de fréquence cinq fois par seconde.
  6. Au cours de notre enquête, Google a reconnu avoir erré en insérant un code permettant de recueillir des données utiles dans le logiciel de collecte de renseignement sur les réseaux Wi-Fi. Elle soutient que le code a surtout été conçu pour un logiciel de collecte de données, et que cet objectif avait préséance sur son utilisation ultime dans le cadre de la collecte de renseignements sur les réseaux Wi-Fi pour des services géodépendants. Google affirme qu’elle n’était pas consciente de la présence de ce code lorsqu’elle a commencé à utiliser le logiciel pour son projet de géolocalisation.
  7. Selon Google, quand l’entreprise a décidé d’utiliser le logiciel pour recueillir des renseignements publics sur les réseaux Wi-Fi, le code a été examiné pour découvrir les bogues, puis validé par un deuxième ingénieur avant d’être installé à bord des voitures Street View. Cette opération visait à s’assurer que le code ne nuirait pas aux opérations habituelles de Street View. Aucune vérification approfondie n’a été effectuée pour vérifier le genre de données obtenues au moyen de la réception de signaux publics sur des réseaux Wi-Fi.
  8. Google a admis que, puisqu’elle n’avait pas l’intention de recueillir des données utiles et qu’elle n’a jamais voulu inclure de telles données dans l’un ou l’autre de ses produits, elle ne pouvait ni indiquer la fin de la collecte ni obtenir le consentement des personnes touchées. Elle a également avoué qu’elle n’avait pas avisé les personnes concernées par la collecte de données utiles puisque les employés n’étaient pas conscients qu’ils en avaient recueillies avant mai 2010. 
  9. Google a invoqué trois raisons expliquant pourquoi la collecte de données utiles n’a pas été découverte plus tôt:
    1. Hormis l’ingénieur qui a élaboré le code, aucun employé n’était intéressé à examiner ce programme : personne ne croyait que les données utiles pourraient servir et personne n’avait l’intention d’utiliser ces données.
    2. Étant donné que les données utiles formaient une infime partie de l’ensemble des données recueillies, leur collecte n’était guère préoccupante et il n’y avait aucune raison de les examiner.
    3. L’ingénieur n’a pas anticipé les conséquences de l’inclusion de ce code et n’a donc pas abordé la question avec son gestionnaire.
                                     
  1. Google a aussi affirmé que, puisque la collecte de données utiles ne présente aucun intérêt, rien ne justifie de les conserver. Par conséquent, Google prévoit les détruire de façon sécuritaire aussitôt que possible, et elle demande l’autorisation du Commissariat pour s’exécuter.
  2. Notre enquête a révélé que Google a recueilli des données Wi-Fi au Canada du 30 mars 2009 au 7 mai 2010 et que les voitures Street View ont sillonné la plupart des régions urbaines et des routes principales.
  3. Google souligne qu’elle ne peut distinguer précisément les réseaux Wi-Fi des appareils sans fil. Elle peut toutefois cerner le numéro unique des identificateurs d’ensemble de services de base (IDESB), qui identifient généralement un point d’accès Wi-Fi unique. Les IDESB permettent d’identifier un point d’accès, mais ils n’indiquent pas combien d’appareils ou de réseaux s’y connectent.
  4. Google estime avoir recueilli plus de 6 millions d’IDESB pendant que ses voitures Street View parcouraient le Canada.

C. La collecte de renseignements personnels

  1. Les deux spécialistes du Commissariat ont visité les bureaux de Google à Mountain View (Californie) les 19 et 20 juillet 2010. L’objectif de cette visite était d’examiner les données recueillies pour les services géodépendants par les voitures de Google Street View afin d’en déterminer la nature et la quantité. L’examen visait principalement à trouver des exemples de renseignements personnels dans les données utiles tirées des réseaux Wi-Fi du Canada.
  2. Nos spécialistes ont effectué des recherches dans les données utiles pour trouver tout ce qui pourrait constituer un renseignement personnel (p. ex. des courriels, des noms d’utilisateur, des mots de passe et des numéros de téléphone). Ils ont fait un décompte approximatif des renseignements personnels au moyen d’une recherche automatisée. Pour donner un ordre de grandeur, le décompte comprenait 787 en-têtes de courriel et 678 numéros de téléphone. Cependant, ces recherches peuvent comprendre des résultats non pertinents ou passer outre certains éléments.
  3. Pour compléter la recherche automatisée, nos spécialistes ont vérifié manuellement cinq occurrences de chaque type de renseignement personnel. L’objectif était de prouver l’existence de chacun de ces types de données sans envahir indûment la vie privée des personnes concernées.
  4. Nos spécialistes ont découvert au moins cinq courriels dont ils ont vu les adresses, les en-têtes complets, les adresses IP, les noms d’hôte des appareils et le contenu des messages. Les cinq messages étaient tronqués, mais les spécialistes ont trouvé des courriels complets en vérifiant manuellement d’autres éléments (comme des numéros de téléphone).
  5. Cinq noms d’utilisateur ont aussi été découverts. Ils se trouvaient dans les témoins de connexion, les messages transmis par MSN et les séances de clavardage. Les spécialistes ont aussi trouvé un cas où un mot de passe et un mot d’utilisateur étaient compris dans un courriel destiné à expliquer à des gens comment se connecter à un serveur.
  6. Nos spécialistes ont aussi trouvé cinq noms de personnes véritables, cinq adresses résidentielles et cinq autres adresses d’entreprises. Ils ont remarqué que, contrairement aux adresses résidentielles, les adresses d’entreprises étaient très répandues.
  7. Ils ont aussi trouvé cinq messages instantanés et cinq numéros de téléphone -tant d’entreprises et que de résidences. Tout comme les adresses, les numéros de téléphone des entreprises étaient plus faciles à trouver que les numéros personnels.
  8. Les recherches de numéros à 9 ou à 16 chiffres, qui auraient pu être des numéros d’assurance sociale (NAS) ou de carte de crédit, n’ont donné aucun résultat puisqu’il y avait trop de numéros non pertinents ou semblables dans l’ensemble des données. Par conséquent, bien que nous n’ayons pas trouvé la preuve que des numéros d’assurance sociale ou de carte de crédit étaient recueillis, la possibilité ne peut être exclue.
  9. Nos spécialistes ont aussi découvert des éléments sensibles, comme une liste de noms, de numéros de téléphone, d’adresses et de problèmes de santé liés à des personnes précises. Ils ont aussi trouvé une allusion à une personne arrêtée pour excès de vitesse, avec son adresse.
  10. Les spécialistes ont vu de nombreux témoins transmis par des ordinateurs clients à des serveurs Web. Ces témoins n’étaient pas cryptés et certains d’entre eux comprenaient des renseignements personnels comme des adresses IP, des noms d’utilisateur et des adresses postales. Les enquêteurs ont été surpris du nombre de témoins non cryptés qui comprenaient des renseignements personnels.
  11. Bref, nos spécialistes ont trouvé de nombreux renseignements personnels dans l’échantillon prélevé des données utiles recueillies au Canada par Google.

D. L’isolement et le stockage des données utiles

  1. Les données Wi-Fi ont été captées au moyen d’antennes installées sur le toit des voitures Street View. Cette antenne recevait passivement les signaux radio publics à portée de la voiture à l’aide du logiciel libre Kismet. Les données étaient ensuite transmises à l’application « gStumbler », créée par Google, et à son programme exécutable « gslite », qui traitait les données en vue du stockage. Les données étaient ensuite enregistrées sur des disques durs physiques placés dans chaque voiture Street View, puis transférées sur les serveurs de Google.
  2. Google affirme avoir interrompu les activités de ses voitures Street View et isolé les données utiles dans une zone d’accès restreint de son réseau dès qu’elle a pris conscience que l’application gStumbler recueillait les données utiles des réseaux Wi-Fi non cryptés.
  3. Par la suite, un administrateur système de Google a copié sur un total de quatre disques les fichiers comprenant les données utiles recueillies dans tous les pays touchés. Cette opération s’est déroulée du 9 au 13 mai 2010. Les disques contenaient deux copies des données : la première a été obtenue après le classement par catégorie et l’étiquetage des dossiers de données par pays, et la seconde, avant le classement des données.
  4. Le 15 mai 2010, l’administrateur système a réuni les données utiles sur un disque dur crypté et les a divisées par pays. Une copie de sauvegarde du disque dur crypté a été enregistrée. Les quatre premiers disques ont été détruits dans un outil de déformation physique.
  5. Un employé de Google a livré en main propre un disque dur crypté à un autre bureau de l’entreprise aux fins de sauvegarde; l’administrateur système a conservé l’autre disque en lieu sûr. Lorsque l’employé de Google est arrivé à destination, l’administrateur système a détruit définitivement le disque dur crypté de sauvegarde. Les données américaines ont été isolées sur un disque crypté distinct alors que les données du reste du monde sont demeurées sur le disque crypté d’origine.

E. Les plans d’avenir de Google concernant ses services géodépendants

  1. Google a toujours l’intention d’offrir des services géodépendants, mais ne prévoit pas reprendre la collecte de données Wi-Fi au moyen de voitures Street View. Cette collecte est interrompue et Google ne prévoit pas la reprendre.
  2. Google n’a pas l’intention d’impartir à une tierce partie la cueillette des données Wi-Fi.
  3. L’entreprise pense plutôt se servir des appareils portables de ses utilisateurs pour recueillir les renseignements sur l’emplacement des réseaux Wi-Fi dont elle a besoin pour sa base de données sur les services géodépendants.  L’amélioration des téléphones intelligents au cours des dernières années a permis à Google de recueillir les données requises à cette fin à partir des appareils portables eux-mêmes.
  4. Bien qu’elle ne dispose d’aucun outil pour faire le suivi des déplacements d’un consommateur (et elle n’a pas l’intention d’en créer un), Google convient qu’elle doit examiner les problèmes que pourrait poser cette méthode de collecte relativement à la vie privée.

F. Les répercussions des plans d’avenir sur la protection de la vie privée et les mesures d’atténuation et de prévention

  1. Google fait valoir qu’elle tente d’intégrer des mesures de protection des renseignements personnels dans tous ses produits et services. Elle affirme que ses employés reçoivent une séance de formation initiale et une formation sur le code de déontologie qui comprennent une partie sur la protection des renseignements personnels et la sécurité des données. Cependant, la responsabilité d’harmoniser tous les projets de Google avec les principes et les politiques de l’entreprise en matière de protection de la vie privée incombe à toutes les équipes de production et de conception.
  2. Google soutient également que, lorsque les produits sont approuvés ou que les ressources et le personnel leur sont attribués, ils sont confiés à un conseiller juridique en matière de produits de l’entreprise. Il a une responsabilité de premier niveau pour ce qui est de cerner les préoccupations liées à la protection de la vie privée liées à un produit.
  3. Pour éviter qu’un autre produit ait des répercussions néfastes sur la vie privée, Google dit examiner ses procédures liées au lancement de produits et à l’examen de code, ainsi que sa politique qui consiste à laisser ses employés décider de 20 % de leur emploi du temps.  Ces mesures feraient en sorte que les contrôles internes seraient suffisamment efficaces pour aborder adéquatement les futurs enjeux. Au moment de la diffusion du présent rapport, l’examen de Google sur ses politiques et procédures n’était pas encore terminé.

Application

  1. Pour en arriver à nos conclusions, nous avons appliqué les principes 4.1.1 et 4.1.2 de la Loi sur la protection des renseignements personnels et les documents électroniques. Selon le principe 4.1.1, il incombe à la ou aux personnes désignées de s’assurer que l’organisation respecte les principes, même si d’autres membres de l’organisation peuvent être chargés de la collecte et du traitement quotidien des renseignements personnels. D’autres membres de l’organisation peuvent aussi être délégués pour agir au nom de la ou des personnes désignées. Selon le principe 4.1.2, il doit être possible de connaître sur demande l’identité des personnes que l’organisation a désignées pour s’assurer que les principes sont respectés.
  2. Nous avons également appliqué le principe 4.2, qui précise que les fins pour lesquelles les renseignements personnels sont recueillis doivent être établies par l’organisation avant ou pendant la collecte.
  3. Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
  4. Enfin, le principe 4.4 indique que l’organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées par l’organisation.

Conclusions

  1. Le 15 septembre 2010, j’ai transmis à Google une version préalable du présent rapport et invité l’organisme à formuler une réponse. J’ai révisé la présente lettre de conclusions préliminaire en tenant compte de la réponse de Google. Les paragraphes qui suivent sont un résumé de nos conclusions et de nos recommandations.

Collecte de renseignements personnels

  1. Au cours de leur visite sur les lieux, nos spécialistes ont découvert une quantité substantielle de renseignements personnels sous la forme de contenu de courriels (p. ex des adresses courriel, IP et postales) parmi les données utiles recueillies par Google au Canada.
  2. Google a avoué au Commissariat qu’elle avait recueilli des données utiles, mais sans avoir l’intention de les utiliser dans l’un ou l’autre de ses produits. Elle affirme avoir tout simplement recueilli les données par erreur et n’a pas demandé le consentement des personnes touchées. Le principe 4.3 de la Loi exige que la personne concernée consente à la collecte, à l’utilisation et à la communication de renseignements personnels.
  3. Google déclare aussi que la collecte de données utiles n’avait aucun objectif. Or, le principe 4.2 stipule que l’objectif doit être établi avant la collecte ou au moment de celle-ci. En outre, le principe 4.4 précise que seuls les renseignements personnels nécessaires aux fins déterminées doivent être recueillis. Étant donné qu’aucune fin n’a été établie, la collecte de données ne pouvait évidemment pas être limitée par un objectif précis, ce qui est contraire au principe 4.4.

La participation du conseiller juridique en matière de produits de Google à l’examen des produits

  1. Puisque l’ingénieur a omis de transférer son document de conception au conseiller juridique en matière de produits, ce dernier n’a pas pu évaluer les répercussions sur la vie privée du code visant à recueillir les données Wi-Fi. Je considère que cette négligence est très grave puisque l’examen des documents de conception par un conseiller juridique en matière de produits (et l’utilisation d’un modèle) est manifestement une étape obligatoire prévue dans la procédure d’élaboration de code de Google.
  2. Le code non étudié a plus tard servi à recueillir des données comprenant des renseignements personnels. Si le conseiller juridique en matière de produits avait été mis à contribution comme il aurait dû l’être, Google aurait peut-être découvert le risque d’une collecte excessive et remédié à la situation avant que des données ne soient recueillies. Les répercussions négatives sur la vie privée des citoyens et sur la réputation de Google auraient facilement pu être évitées.
  3. Google a indiqué au Commissariat qu’il incombe aux équipes de l’ingénierie et de l’élaboration de produits de respecter les politiques et les principes en matière de protection de la vie privée de l’entreprise. Google a ensuite déclaré qu’elle déploie des efforts en vue d’améliorer les processus d’examen des codes et des produits, ainsi que les mécanismes de responsabilisation, que doivent suivre le personnel de l’ingénierie et de la gestion de produits afin de les sensibiliser davantage aux enjeux de vie privée à toutes les étapes d’élaboration de produits et de codes. Une équipe juridique travaille avec les directeurs de l’ingénierie pour s’assurer qu’un examen exhaustif des codes est effectué afin de déterminer si ces derniers pourraient soulever des questions liées à la vie privée. Google estime que l’examen des politiques et des procédures qu’elle a entrepris fera en sorte que la situation ne se reproduira plus. Google a déclaré qu’elle tiendra le Commissariat au courant de la progression de l’examen.

Examen et essai du code

  1. Google soutient que l’ingénieur qui a élaboré les lignes de code ne se doutait pas que leur utilisation aboutirait à la collecte d’une vaste gamme de données transmises par des réseaux sans fil. Notre enquête n’a pas permis de déterminer s’il s’agissait d’une erreur ponctuelle d’une seule personne ou si c’était le signe que les employés en général ne sont pas suffisamment sensibilisés aux répercussions des nouveaux produits sur la vie privée. Chez Google, ces conséquences devraient être bien comprises par les conseillers juridiques en matière de produits, mais aussi par les professionnels qui mettent au point ces produits.
  2. Dans le présent cas, l’examen et l’essai du produit contenant le code n’ont pas permis d’évaluer l’incidence sur la vie privée. Il semble que l’examen visait seulement à s’assurer que le produit ne nuirait pas à une deuxième application — celle qui a servi à prendre des images des rues où circulaient les véhicules Street View. 
  3. Notre enquête a démontré que l’examen n’a pas suffi à évaluer toutes les capacités du produit — y compris celle de recueillir des données qui ne sont pas nécessaires au projet de géolocalisation.

Mesures prises pour protéger les données utiles

  1. Lorsque Google a remarqué que ses voitures Street View recueillaient plus de données transmises par les réseaux sans fil que prévu, elle a exprimé du regret quant à la collecte par inadvertance des données diffusées publiquement. Elle a immédiatement immobilisé ses véhicules et pris des mesures pour protéger les données utiles et les isoler par pays d’origine.
  2. La démarche de Google était justifiée, appropriée et suffisante pour protéger les données utiles recueillies au Canada.  Je crois que l’entreprise a respecté les clauses pertinentes de la Loi.
  3. Pour ce qui est des données que Google a recueillies, l’entreprise a affirmé qu’elle n’avait aucunement l’intention d’utiliser les données utiles canadiennes de quelque façon que ce soit, et qu’elle continuera de garder les données en toute sécurité et d’en restreindre activement l’accès d’ici à ce que ces données soient supprimées.
  4. Je tiens à ajouter ici que l’on doit tenir compte non seulement des lois sur la protection des renseignements personnels, mais aussi d’autres lois canadiennes et américaines, y compris les règles de droit sur la preuve, afin de déterminer le moment opportun pour supprimer les données utiles canadiennes recueillies.

Plans d’avenir

  1. Le fait que Google n’a pas l’intention de reprendre la collecte de données Wi-Fi à l’aide de ses voitures Street View élimine le risque d’une nouvelle collecte de renseignements personnels inappropriée au moyen de l’outil conçu par l’ingénieur.
  2. Cependant, Google prévoit recueillir des renseignements à partir des appareils portables des utilisateurs pour alimenter sa base de données sur les services géodépendants. Cette nouvelle méthode pourrait aussi mener à la collecte et à la conservation inappropriées de renseignements personnels si Google ne prenait pas les mesures de protection qui s’imposent.

Recommandations

  1. Je partage l’objectif de Google visant à éviter que des atteintes similaires à la vie privée des personnes se reproduisent. Bien que je sois heureuse de constater que Google a entrepris l’examen des processus et des procédures pouvant avoir une incidence sur la protection de la vie privée, je souhaite néanmoins que l’organisation complète ces mesures de contrôle par un modèle de gouvernance global qui tient compte de toutes les questions liées à la protection de la vie privée associées à la conception de produits et de services internes et externes. J’aimerais également que Google respecte des échéanciers raisonnables pour la mise en œuvre tant du modèle de gouvernance que des procédures et des processus révisés. C’est dans cette optique et à la lumière des renseignements supplémentaires que Google a présentés au Commissariat que j’émets les recommandations suivantes :
    1. Que Google réexamine et améliore la formation offerte à tous les employés au sujet du respect de la vie privée, dans le but d’améliorer la conscientisation et la connaissance des employés quant aux obligations de Google en vertu des lois sur la protection des renseignements personnels.
    2. Que Google instaure un modèle de gouvernance qui comprenne :
      • des mesures de contrôle efficaces visant à faire en sorte que toutes les procédures nécessaires au respect de la vie privée ont bel et bien été suivies avant le lancement de tout produit;
      • la désignation et l’identification claires de personnes responsables du respect des obligations de Google en vertu des lois sur la protection des renseignements personnels.
    3. Que Google supprime les données utiles canadiennes recueillies, dans la mesure où elle est habilitée à le faire aux termes des lois canadiennes et américaines. Si les données utiles canadiennes ne pouvaient pas être supprimes sur le champ, elles devraient être conservées de manière sécuritaire et l’accès à ces données devrait être restreint.
  2. À l’heure actuelle, j’estime que la plainte est fondée et demeure non résolue. Le Commissariat ne considérera l’affaire résolue que si Google lui remet au plus tard le 1er février 2011 la confirmation que les recommandations formulées ci-dessus ont été mises en œuvre; j’émettrai à ce moment mes conclusions et mon rapport finaux.
Page précédente Table des matières Page suivante