


Vidéoconférences : le Commissariat à la protection de la vie privée émet des recommandations
Vidéoconférences : le Commissariat à la protection de la vie privée émet des recommandations
En juillet 2020, le Commissariat à la protection de la vie privée du Canada (le « Commissariat »), concurremment avec ses homologues internationaux, a adressé une lettre à cinq grandes entreprises de vidéoconférence pour les inviter à faire état de la façon dont elles s’attaquent aux risques de confidentialité.
Se fondant sur leurs réponses, le Commissariat a récemment publié quelques pratiques exemplaires et pistes d’amélioration.
Sécurité
Le Commissariat recommande aux entreprises de vidéoconférence d’adopter une combinaison de mesures d’évaluation des vulnérabilités, dont :
- des programmes de « primes à la faille détectée », soit des récompenses aux utilisateurs qui dénichent et signalent une faille de sécurité;
- la vérification indépendante des mesures de sécurité et de confidentialité;
- la tenue de cyberattaques simulées.
Les entreprises de vidéoconférence sont également encouragées à effectuer des vérifications préalables à l’embauche (sous réserve des lois applicables en matière de travail et de vie privée), à former leur personnel et à mettre en place des procédures de vérification et de validation quant aux sous-traitants qui traitent leurs données en vue de garantir leur satisfaction des obligations de protection des données qui leur incombent.
Protection de la vie privée à dessein et par défaut
Les entreprises de vidéoconférence sont invitées à réfléchir aux conséquences en matière de vie privée de nouvelles fonctionnalités dès l’étape de la conception. Le Commissariat leur recommande en outre de définir les paramètres de leurs services pour qu’ils protègent les données des utilisateurs de manière optimale par défaut, par exemple en protégeant d’office par mot de passe les salles d’attente et de réunion ou en désactivant par défaut les micros et les caméras.
Connaître son public
Reconnaissant l’essor que connaît la vidéoconférence dans des contextes particulièrement sensibles, comme l’éducation et les soins de santé, le Commissariat a recensé les pratiques exemplaires propres à ces secteurs, par exemple l’octroi aux enseignants du contrôle des accès aux réunions scolaires et la sécurisation des partages d’écran visant des documents relatifs à la santé.
Le Commissariat recommande également que les entreprises de vidéoconférence fournissent, à certains groupes d’utilisateurs ou dans des cas particuliers, des directives sur les fonctionnalités de protection de la vie privée de leurs plateformes afin d’aider les utilisateurs à choisir les configurations et fonctionnalités les plus adaptées.
Transparence
Le Commissariat recommande l’emploi d’une approche multicouche pour aviser les utilisateurs de la collecte et de l’utilisation de leurs renseignements personnels, par exemple par la transmission de notifications tant avant que pendant les appels vidéo.
Il souligne également l’importance de la transparence lorsque les renseignements d’utilisateurs sont transmis à des tiers, et exige que les utilisateurs soient avisés des renseignements qui sont communiqués et de la raison. Pour ce faire, les entreprises pourraient par exemple diffuser un avis de confidentialité actualisé faisant état de cette information ou observer un délai de préavis avant de recourir à un nouveau sous-traitant.
Contrôle exercé par l’utilisateur final
Le Commissariat recommande que les entreprises mettent en place des fonctionnalités permettant aux utilisateurs finaux de contrôler la collecte et l’utilisation de leurs renseignements personnels, notamment en leur permettant d’utiliser des arrière-plans virtuels ou flous, en rendant nécessaire le consentement à l’activation de leur micro ou caméra et en leur permettant de signaler le comportement inapproprié d’autrui lors d’un appel.
Chiffrement
Le Commissariat recommande que les entreprises de vidéoconférence :
- offrent le chiffrement de bout en bout comme option à tous les utilisateurs;
- communiquent clairement aux utilisateurs la différence entre les chiffrements « standard » et de bout en bout;
- présentent clairement les outils de contrôle des réunions permettant aux utilisateurs de voir et de changer le type de chiffrement utilisé;
- fassent du chiffrement de bout en bout le réglage par défaut dans les contextes sensibles, par exemple dans le domaine de la télésanté.
Utilisation secondaire des renseignements personnels
Si des renseignements personnels sont utilisés à d’autres fins que le fonctionnement d’un service de vidéoconférence, le Commissariat recommande que les entreprises de vidéoconférence l’indiquent par des messages directs en langage clair faisant état des renseignements personnels qui seront utilisés à des fins secondaires et des raisons derrière cette utilisation.
Si ces fins secondaires comprennent de la publicité ciblée ou l’utilisation de témoins, le Commissariat recommande que les entreprises de vidéoconférence ne se livrent à ces activités que dans la mesure où les utilisateurs y ont expressément consenti.
Conservation de renseignements personnels
Le Commissariat recommande que les entreprises de vidéoconférence indiquent clairement aux utilisateurs où leurs renseignements personnels seront conservés et, dans la mesure du possible, leur laissent choisir cet emplacement. Dans tous les cas, les entreprises devraient prendre les mesures nécessaires pour assurer la protection des renseignements personnels, où qu’ils se trouvent.
Conséquences pour les entreprises de vidéoconférence
Le message du Commissariat est clair : à défaut de donner suite à ses recommandations, les entreprises de vidéoconférence risquent de recevoir des conclusions défavorables advenant une plainte ou une enquête en matière de vie privée.
Notons toutefois que plusieurs des points soulevés par le Commissariat font écho à des obligations légales et à des orientations réglementaires en vigueur, ainsi qu’à des constats d’enquêtes passées visant diverses entités qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d’activités commerciales. Ses instructions sont donc un bon rappel pour les entreprises de vidéoconférence de tenir compte des lois sur la protection de la vie privée dès la conception d’un nouveau produit ou service, et d’être à l’affut de pistes d’amélioration des pratiques de protection des données et de la vie privée tout au long du cycle de vie du produit ou du service.
Par ailleurs, les organisations régies par les lois canadiennes sur la protection de la vie privée devraient garder à l’esprit qu’elles sont généralement responsables du traitement que font leurs fournisseurs de services de renseignements personnels. Cela suppose qu’elles effectuent les vérifications diligentes qui s’imposent pour évaluer les pratiques de traitement des données de ces fournisseurs, de même que leur respect du droit canadien. Les entreprises qui utilisent les plateformes de vidéoconférence ont intérêt à examiner attentivement leurs pratiques et fonctionnalités liées à la vie privée, notamment quant aux points soulevés par le Commissariat. Il leur est aussi conseillé de mettre en place des politiques et de former le personnel qui utilise ces plateformes dans le cadre de leurs fonctions afin d’éviter les fuites de données et d’autres incidents relatifs à la vie privée.
par Kristen Pennington et Kamal Azmy (stagiaire en droit)
Mise en garde
Le présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas s’y fier uniquement pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.
© McMillan S.E.N.C.R.L., s.r.l. 2021
Perspectives (5 Posts)Voir Plus
Loi sur la lutte contre le travail forcé et le travail des enfants dans les chaines d’approvisionnement du Canada : perspectives pour les entreprises
Joignez-vous aux experts de McMillan et de Pillar Two pour un webinaire d’une heure, réservé aux entreprises.
Mettez toutes les chances de votre côté : nouvelles exigences concernant la preuve pour les appels en matière de marques de commerce
Discussion sur les modifications apportées à la Loi sur les marques de commerce du Canada qui ont un impact sur le délai de présentation des preuves devant la Commission des oppositions des marques de commerce ou, plus tard, devant les cours fédérales.
Conséquences fiscales de la conversion d’immeubles locatifs
Commentaire de jurisprudence sur une décision judiciaire récente et potentiellement préoccupante concernant les conséquences fiscales de la conversion d’un immeuble locatif à logements multiples en condominiums.
Codification des cryptoactifs : Modification du Règlement 81-102 concernant les placements dans les cryptoactifs
Modification du Règlement 81-102 concernant les placements dans les cryptoactifs
Projet de loi 96 : où en sommes-nous après quatre ans et perspectives
Joignez-vous à Enda Wong, Droit des affaires, Shari Munk-Manel, Emploi et relations de travail, et Émile Catimel-Marchand, Services financiers et réglementation, pour discuter du projet de loi 96 et de ses répercussions sur les activités quotidiennes des entreprises qui font des affaires au Québec, notamment en matière d’emploi, de contrats, de conception de produits, d’étiquetage et de publicité.
Recevez des mises à jour directement dans votre boîte de réception. Vous pouvez vous désabonner en tout temps.