J'ai lu chaque décision d'application du CPVP des 5 dernières années. Voici la tendance.
Le CPVP publie ses conclusions d'enquête. Cinq années de lecture en révèlent des tendances constantes — les mêmes manquements qui reviennent d'un secteur, d'une taille d'organisation et d'un type de plainte à l'autre.
Pourquoi les conclusions valent la peine d'être lues
Le Commissariat à la protection de la vie privée publie des résumés de ses enquêtes au titre de la LPRPDE. Pas toutes — le CPVP a un pouvoir discrétionnaire quant aux dossiers qu'il publie — mais suffisamment pour que des tendances émergent au fil des années de décisions. Ce ne sont pas des statistiques anonymisées. Ce sont des conclusions précises sur ce que les organisations ont mal fait, sur ce que le CPVP a considéré et sur ce qui était requis pour la résolution.
Les lire est utile d'une façon que lire la LPRPDE elle-même ne l'est pas. La loi vous dit ce qu'elle exige dans l'abstrait. Les décisions d'application vous disent ce que la loi exige dans les contextes précis où de véritables organisations ont commis de véritables erreurs. L'écart entre les deux est l'endroit où vit la majeure partie du risque de conformité réel.
Voici ce que montrent cinq années de ces décisions.
Tendance 1 : Les manquements au consentement sont la conclusion la plus fréquente
Les conclusions liées au consentement apparaissent dans environ 40 % des résumés d'application du CPVP. Les variations sont nombreuses, mais le manquement sous-jacent est constant : les organisations ont utilisé des renseignements personnels à une fin allant au-delà de ce que les individus attendaient raisonnablement lorsqu'ils les ont fournis.
La forme la plus courante est l'utilisation secondaire à des fins de marketing. Une organisation recueille l'adresse courriel d'un client aux fins de confirmation de commande. Sans obtenir de consentement additionnel, elle ajoute cette adresse à une liste de marketing. Le client reçoit des courriels promotionnels, dépose une plainte, et le CPVP conclut à un manquement au consentement.
La forme plus subtile est le traitement par plateforme partagée. Une organisation utilise une plateforme tierce qui combine ses données avec celles d'autres clients pour entraîner des systèmes de recommandation ou améliorer les fonctionnalités de la plateforme. Les individus dont les données ont été fournies n'avaient aucune conscience qu'elles seraient utilisées à ces fins. Le CPVP a conclu que des conditions d'utilisation de plateforme autorisant cela — enfouies dans des accords standards de type clic — ne constituent pas un consentement valable pour des fins que les individus ne pouvaient raisonnablement anticiper.
La conclusion dans ces dossiers est presque toujours la même : l'organisation a omis d'obtenir un consentement valable pour une utilisation secondaire. Le remède est de cesser l'utilisation secondaire ou d'obtenir un consentement adéquat. Dans les cas de récidive ou impliquant un grand nombre de personnes touchées, le CPVP a renvoyé des affaires devant la Cour fédérale.
Tendance 2 : Les manquements dans la réponse à une atteinte aggravent l'incident initial
Les règlements du CPVP sur l'avis d'atteinte sont entrés en vigueur en 2018. Depuis, les conclusions liées aux atteintes sont devenues une catégorie distincte, et ce que le CPVP examine porte souvent autant sur la réponse que sur l'incident lui-même.
Les organisations qui découvrent une atteinte et réagissent rapidement, évaluent le risque de préjudice avec exactitude, avisent le CPVP et les personnes touchées promptement et prennent des mesures correctives sérieuses ressortent généralement des enquêtes du CPVP avec des conclusions qui, bien que sérieuses, sont résolues par des engagements plutôt que par une escalade.
Les organisations qui tardent à déclarer, mènent des évaluations de préjudice superficielles (concluant que le risque est faible sans documenter le fondement de cette conclusion), avisent les personnes touchées avec un langage vague qui ne leur dit pas ce qui s'est produit ni quoi faire, ou omettent de mettre en œuvre des mesures correctives post-atteinte, écopent de conclusions nettement plus dommageables.
La tendance dans les cas de déclaration tardive est frappante : le retard est presque toujours attribué à une confusion organisationnelle quant à savoir qui était responsable de prendre la décision de déclarer. L'atteinte est survenue. Elle a été découverte. Elle a été discutée à l'interne. Personne n'a déclenché l'avis au CPVP parce que personne ne possédait clairement cette décision. Le temps que l'avis soit envoyé, le CPVP examinait à la fois l'atteinte et le retard comme manquements à la conformité.
Tendance 3 : Les conclusions sur les mesures de sécurité impliquent souvent des défaillances organisationnelles, non techniques
Lorsque le CPVP conclut qu'une organisation a omis de mettre en œuvre des mesures de sécurité appropriées, le manquement sous-jacent est rarement une attaque technique sophistiquée qu'une organisation n'aurait raisonnablement pu prévenir. Il s'agit généralement de quelque chose de procédural : des employés ayant un accès plus large que ne l'exigeaient leurs rôles, aucun chiffrement sur un ordinateur portable contenant des données sensibles, une configuration de partage de fichiers qui rendait des renseignements personnels accessibles à des utilisateurs internes non autorisés, aucune formation sur la façon de traiter les renseignements personnels.
L'approche du CPVP envers les enquêtes sur les mesures de sécurité est d'examiner si les mesures étaient « adaptées au degré de sensibilité des renseignements ». Pour les NAS, les renseignements de santé et les détails de comptes financiers — les catégories les plus sensibles — la norme est élevée. Pour les catégories moins sensibles, la norme s'ajuste.
Ce que le CPVP juge constamment inadéquat : s'appuyer sur une formation verbale sans documentation, ne tenir aucun journal d'accès pour les systèmes sensibles, chiffrer les données en transit mais non au repos et traiter la manipulation de documents physiques comme étant hors de la portée d'un programme de mesures de cybersécurité.
Ce que le CPVP traite constamment comme démontrant des mesures de sécurité adéquates : des politiques écrites avec des registres de formation documentés, des contrôles d'accès avec journalisation d'audit, le chiffrement au repos des données sensibles et un plan d'intervention en cas d'atteinte documenté qui a réellement été suivi.
Tendance 4 : Les manquements à la limitation de la collecte augmentent
Le CPVP s'est de plus en plus concentré sur les organisations qui recueillent plus de renseignements personnels que leurs fins ne l'exigent. Cela reflète une attention réglementaire plus large à la minimisation des données — le principe selon lequel vous devriez recueillir le minimum nécessaire, et non le maximum possible.
Tendances précises : des programmes de fidélité qui recueillent bien plus de données démographiques et comportementales que ne l'exige leur structure de récompenses, des applications mobiles qui demandent des autorisations d'appareil sans rapport avec leur fonctionnalité déclarée, des processus d'intégration qui recueillent des NAS « à des fins de vérification d'identité » alors que la fin de vérification n'exige pas réellement de NAS, et des systèmes de marketing qui bâtissent des profils individuels détaillés à partir de données recueillies à des fins non reliées.
L'analyse de limitation de la collecte du CPVP examine si la fin déclarée de la collecte exigeait réellement les renseignements précis recueillis. C'est une question de proportionnalité, et le CPVP a montré sa volonté de conclure que des organisations y avaient manqué même lorsque les données recueillies étaient utilisées légitimement — parce que la fin n'exigeait pas l'ampleur de la collecte.
Tendance 5 : Les enjeux de transfert à des tiers sont rarement détectés avant une plainte
La tendance des conclusions sur les manquements aux transferts à des tiers montre que les organisations n'identifient et ne corrigent presque jamais ces enjeux de façon proactive — ils sont découverts après le dépôt d'une plainte, souvent par la personne dont les renseignements personnels ont été transférés.
Le scénario courant : une organisation partage des renseignements personnels avec un fournisseur d'analytique de marketing ou un courtier de données dans le cadre d'une entente d'affaires. Les individus dont les renseignements ont été partagés n'avaient aucune conscience du transfert et avaient fourni leurs renseignements à une fin différente. Le CPVP conclut que le transfert n'était pas autorisé par le consentement obtenu et qu'aucun mécanisme contractuel n'était en place pour assurer une protection équivalente.
La relation avec le fournisseur est bien établie au moment où la plainte arrive. L'organisation croyait fonctionner dans le cadre de ses contrats avec les fournisseurs. Le CPVP conclut que les conditions d'utilisation ou l'entente de partage de données ne constituaient pas une protection contractuelle adéquate et que l'utilisation des données par le tiers dépassait la portée du consentement initial.
C'est la tendance d'application que la plupart des organisations ne voient pas venir — parce que la communication s'est faite sans incident, du point de vue de l'organisation, jusqu'à ce que la personne dont les renseignements ont été partagés l'apprenne et porte plainte.
Tendance 6 : La mauvaise gestion des demandes d'accès est un manquement à la conformité, non une question administrative
Le CPVP reçoit un nombre important de plaintes de personnes qui ont demandé accès à leurs renseignements personnels et reçu une réponse inadéquate — ou aucune réponse. Ces plaintes sont entièrement évitables. Elles découlent du fait que des organisations traitent les demandes d'accès comme des désagréments administratifs plutôt que comme des obligations légales.
Les manquements précis que le CPVP relève :
Aucune réponse dans les 30 jours. La LPRPDE est explicite : 30 jours, ou un avis écrit de prolongation dans les 30 jours. Les organisations qui reçoivent une demande d'accès et l'acheminent vers une boîte de réception générale où elle se perd, ou qui en accusent réception puis ne font rien, génèrent une plainte au CPVP dès qu'elles ratent le délai.
Réponses qui ne fournissent pas réellement les renseignements. Une réponse à une demande d'accès doit fournir les renseignements personnels que l'organisation détient sur l'individu, expliquer comment ils sont utilisés et identifier avec qui ils ont été partagés. « Nous prenons votre vie privée au sérieux et examinerons la question » n'est pas une réponse. « Nous avons examiné votre demande et constaté que vos renseignements sont en sécurité » non plus. Aucune ne satisfait à l'obligation.
Usage incorrect des exceptions. La LPRPDE permet aux organisations de retenir certains renseignements — des renseignements qui révéleraient des données sur un tiers, des renseignements privilégiés, des renseignements liés à une enquête en cours. Ces exceptions sont utilisées plus largement qu'elles ne devraient l'être dans les conclusions du CPVP. Lorsque la rétention est appropriée, elle doit être documentée et l'individu doit être informé que des renseignements ont été retenus et de la raison générale.
Tendance 7 : L'IA et la prise de décision automatisée sont une source croissante de plaintes
Le CPVP a identifié les systèmes d'IA comme une priorité d'application actuelle, et les plaintes liées à la prise de décision automatisée et au traitement de données par l'IA ont augmenté ces dernières années. Cette tendance est plus récente que les autres, mais croissante.
Les préoccupations précises : des organisations utilisant des outils d'IA qui traitent des renseignements personnels sans l'avoir indiqué dans leurs politiques de confidentialité, sans avoir obtenu de consentement pour le traitement par l'IA, ou sans comprendre si les pratiques de traitement des données du fournisseur d'IA satisfont aux exigences de la LPRPDE.
Le problème du consentement est particulièrement aigu pour les outils de productivité d'IA. Lorsqu'un employé utilise un assistant d'IA polyvalent pour résumer un document contenant des renseignements de clients, il traite les renseignements personnels de ce client au moyen d'un système tiers qui n'a été divulgué dans aucun mécanisme de consentement que le client a rencontré. L'individu a consenti à ce que ses renseignements soient utilisés pour lui fournir un service — non à ce qu'ils soient traités par un système d'IA dont il n'a jamais entendu parler.
Le CPVP n'a pas encore rendu de décisions d'application majeures ciblant précisément l'usage des outils d'IA, mais le Commissaire a publié des directives claires : le traitement de renseignements personnels par l'IA exige le même consentement, la même limitation des fins et les mêmes mesures de sécurité que tout autre traitement. Les organisations qui n'ont pas examiné leur parc d'outils d'IA sous l'angle de la LPRPDE accumulent une exposition.
Tendance 8 : Les manquements à la limitation de la collecte sont en hausse
Sur la période de cinq ans, les conclusions de limitation de la collecte sont passées d'une catégorie relativement mineure à une catégorie importante. Cela reflète à la fois une attention accrue du CPVP au principe et des pratiques de collecte de données croissantes chez les organisations canadiennes.
La tendance : des organisations recueillant plus de renseignements personnels que leur fin déclarée ou identifiable ne l'exige. Des programmes de fidélité avec une collecte de données démographiques disproportionnée par rapport à leurs fonctions de récompenses. Des applications mobiles demandant des autorisations — localisation, contacts, caméra — que la fonction déclarée de l'application n'exige pas. Des applications connexes aux soins de santé recueillant des renseignements de santé détaillés alors que leur fin n'exige que des données de santé de base. Des systèmes de RH recueillant des renseignements sur les employés au-delà de ce que la relation d'emploi exige.
Ce qui rend les conclusions de limitation de la collecte particulièrement importantes du point de vue des mesures correctives, c'est qu'elles exigent souvent des changements à l'architecture de collecte des données, et non seulement aux politiques. Cesser la collecte de renseignements que vous recueillez depuis des années signifie modifier des formulaires, des API et des configurations de système — pas seulement mettre à jour un document de politique.
Ce que le CPVP juge adéquat (et non seulement inadéquat)
Les résumés d'application vous disent ce qui a mal tourné. Les lire attentivement révèle aussi ce que le CPVP juge suffisant lorsque les organisations font les choses correctement. La tendance dans les cas où le CPVP tire des conclusions favorables — ou où la réponse de l'organisation mène à une résolution rapide de la plainte — est constante :
Documentation contemporaine. Les organisations qui peuvent produire des registres montrant ce qu'elles ont fait et quand — registres de consentement horodatés, registres de formation datés, journaux d'incidents avec chronologie — s'en tirent constamment mieux dans les enquêtes. La documentation n'a pas besoin d'être sophistiquée. Elle doit exister et être exacte.
Réponse prompte et transparente. Lorsqu'une plainte ou une enquête s'ouvre, les organisations qui répondent rapidement, fournissent des renseignements complets et reconnaissent là où les pratiques étaient déficientes reçoivent constamment un meilleur traitement que les organisations lentes à répondre, qui fournissent des renseignements partiels ou contestent des conclusions manifestement justes.
Véritables mesures correctives. Le CPVP distingue entre les organisations qui mettent en œuvre des correctifs cosmétiques — mettre à jour une politique sans changer les pratiques — et les organisations qui apportent de véritables changements. Les engagements dans les conclusions du CPVP exigent des mesures correctives précises et vérifiables assorties d'échéanciers. Les organisations qui mettent réellement en œuvre ces changements, et peuvent le démontrer, closent les enquêtes plus rapidement et avec moins de dommage réputationnel.
Des programmes de protection de la vie privée, non des politiques. Le CPVP a constamment salué les organisations qui démontrent un programme de gestion de la protection de la vie privée fonctionnel — responsabilité désignée, politiques écrites qui correspondent aux pratiques, formation des employés, préparation aux atteintes — par rapport aux organisations dont la conformité se résume à un document de politique. La présence d'un véritable programme change la façon dont le CPVP aborde une enquête.
La répartition par secteur
Les conclusions publiées du CPVP sur la période de cinq ans sont réparties entre les industries d'une façon qui reflète à la fois où les renseignements personnels sont concentrés et où la culture de conformité tend à être la plus faible.
Les services financiers génèrent une part importante des plaintes, portée par le volume de données financières sensibles et la fréquence du partage de données avec des tiers, dont les agences de crédit, les compagnies d'assurance et les agences de recouvrement. Le CPVP a relevé des manquements dans ce secteur pour utilisation secondaire, transfert transfrontalier sans mesures de sécurité adéquates et manquements dans la réponse aux atteintes.
Les télécommunications et la technologie génèrent des plaintes liées au consentement pour l'utilisation secondaire (en particulier le marketing et l'analytique), à la conservation des données et au traitement lié à l'IA. Le volume de données détenues par les fournisseurs de télécommunications et l'opacité de leurs pratiques de données pour les consommateurs en font un secteur à fort taux de plaintes.
Le commerce de détail et le commerce électronique génèrent des plaintes impliquant fréquemment les programmes de fidélité, l'utilisation des données d'achat à des fins de marketing et le partage de données avec des plateformes d'analytique de marketing dont les consommateurs n'étaient pas au courant.
Les entreprises connexes aux soins de santé — technologies de la santé, plateformes de conditionnement physique, applications de mieux-être — génèrent des plaintes liées aux mesures de sécurité des renseignements de santé et au consentement pour les données sensibles. Ces organisations sous-estiment souvent leurs obligations LPRPDE parce qu'elles ne sont pas des dépositaires de renseignements de santé réglementés en vertu de la LPRPS, mais manipulent tout de même des renseignements que le CPVP traite comme hautement sensibles.
Les services professionnels — comptabilité, droit, conseil — génèrent des plaintes liées au traitement des données des clients, en particulier le partage de données avec des sous-traitants et l'usage d'outils d'IA. La combinaison des obligations LPRPDE et des règles de conduite professionnelle crée une obligation de conformité à plusieurs couches que bien des cabinets n'ont pas pleinement traitée.
Ce que la tendance vous dit du risque
Lire cinq années de décisions d'application du CPVP produit un portrait clair de l'endroit où vit le risque de conformité pour les organisations canadiennes. Les organisations qui évitent les conclusions dommageables partagent des caractéristiques précises : elles maintiennent une documentation exacte de leurs pratiques de traitement des données, elles obtiennent un consentement valable avant les utilisations secondaires, elles réagissent aux atteintes rapidement et de façon transparente, elles mettent en œuvre des mesures de sécurité organisationnelles en plus des mesures techniques et elles prennent au sérieux la responsabilité qu'elles assument pour les renseignements personnels entre les mains de leurs fournisseurs.
Les organisations qui génèrent des conclusions d'application ne sont pas, pour l'essentiel, des organisations qui ont sciemment enfreint la LPRPDE. Ce sont des organisations qui n'ont pas pris la loi assez au sérieux pour bâtir les pratiques qu'elle exige — qui ont traité la conformité comme un document plutôt que comme un programme, qui ont découvert leurs lacunes à l'arrivée d'une plainte et qui ont ensuite dû bâtir ce qu'elles auraient dû bâtir des années plus tôt, sous le regard d'une enquête du CPVP.
Le coût de bâtir un véritable programme de conformité de façon proactive est une fraction du coût de le bâtir de façon réactive. Les conclusions publiées du CPVP sont, en ce sens, une feuille de route : elles vous disent exactement à quoi ressemble la voie réactive et ce qu'elle coûte. La voie proactive est offerte à toute organisation disposée à les lire attentivement et à agir sur ce qu'elles disent.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra