Blogue officiel du Commissariat à la protection de la vie privée du Canada

Notre façon d’interagir avec nos appareils numériques a évolué au fil du temps : nous sommes passés de l’envoi de commandes données par une interface de ligne de commande à une interface graphique, puis aux interfaces tactiles. Les assistants virtuels sont la prochaine étape de cette évolution et ils présentent de nouveaux défis en matière de protection de la vie privée. Les assistants tels que Siri (Apple), Alexa (Amazon), Cortana (Microsoft) ou tout simplement « Google » sont conçus pour répondre aux questions orales ou écrites des utilisateurs et agir en conséquence. Certaines commandes vous permettent d’effectuer des appels, commander un service de transport, ajouter un rendez-vous au calendrier, jouer de la musique ou faire des achats.

L’utilisation de ces assistants est à la hausse : une étude de Gartner réalisée en 2015 a conclu que 38 % des Américains avaient utilisé un assistant virtuel en 2015 et que les deux tiers des consommateurs des marchés développés les utiliseraient quotidiennement en 2016. Les assistants virtuels les plus courants utilisent la voix; cependant, une grande partie de l’information présentée s’applique également aux assistants virtuels en mode texte.

Le vendredi 10 mars 2017, le groupe Behavioural Economics in Action at Rotman (BEAR) de l’Université de Toronto réunira des représentants du milieu universitaire et de celui de la recherche, des organismes de réglementation, de l’industrie et des groupes de consommateurs pour relever les défis en matière de protection de la vie privée dans le monde en ligne.

Patricia Kosseim, avocate générale principale, CPVP

Le groupe BEAR bénéficie du financement du Programme des contributions du Commissariat à la protection de la vie privée du Canada. Il sera l’hôte du symposium, qui mettra l’accent sur les défis liés à la vie privée auxquels les consommateurs se heurtent quotidiennement sur Internet.

Le thème de la journée sera « La protection de la vie privée en ligne : L’approche centrée sur la personne ». En plus de présenter les recherches récentes financées par le Programme des contributions du Commissariat, le symposium explorera les principaux facteurs – cognitifs, contextuels et sociaux – qui poussent les consommateurs à décider de communiquer ou non leurs renseignements personnels en ligne.

Autrefois, seuls les médecins qui avaient des raisons légitimes de soupçonner qu’un patient avait une prédisposition génétique à une maladie pouvaient demander que soient exécutés des tests génétiques. Aujourd’hui, grâce aux progrès technologiques, quiconque dispose de quelques centaines de dollars peut y avoir accès en quelques clics.

La tentation est grande, et à juste titre, car les tests génétiques peuvent permettre aux gens de déceler des problèmes de santé futurs, de s’y préparer et peut-être même de les prévenir. Le fait de savoir quels gènes risquent d’être transmis à sa descendance pourrait avoir une incidence sur la planification familiale. Les tests génétiques peuvent même révéler une sensibilité à certains aliments ou percer les mystères de l’ascendance d’une personne.

Cependant, avant de vous tourner vers le marché en pleine croissance des tests génétiques offerts directement aux consommateurs, il est important de savoir que l’accès aux secrets bien gardés dans votre ADN ne va pas sans risques.

Les réseaux privés virtuels (RPV) vous permettent d’établir un canal de communication sécurisé entre votre appareil informatique et un serveur. Après vous être connecté au serveur, vous pouvez accéder à un réseau privé qui héberge des fichiers de travail ou des applications ou bien utiliser le serveur comme relais vers du contenu Internet lorsque vous naviguez à partir d’un réseau public.

Il y a plusieurs raisons d’utiliser un RPV que ce soit pour accéder à distance à des renseignements stockés sur des serveurs d’entreprises pendant un déplacement ou lorsqu’on travaille à la maison; pour des raisons de méfiance des réseaux sans fil non sécurisés qu’on utilise; pour accéder à du contenu en ligne bloqué sur le réseau auquel on est connecté, mais qui est accessible ailleurs. Parfois, une entreprise exigera qu’on utilise un RPV, ce qui signifie que l’entreprise dictera le niveau de sécurité et le type de RPV utilisé (par exemple, celui de l’employeur). Alors qu’en tant que consommateur, vous seul décidez d’utiliser un RPV.

Dans la foulée des révélations d’Edward Snowden, un grand nombre de services de RPV offerts aux consommateurs ont surgi et les experts en sécurité suggèrent maintenant régulièrement l’utilisation d’un RPV pour accéder à Internet à partir d’un réseau non sécurisé (p. ex. un café, une bibliothèque publique ou tout autre point d’accès sans fil). Le présent article vous aidera à mieux comprendre les éléments à surveiller lors de la sélection d’un service de RPV.

Le temps des impôts approche et bon nombre d’entreprises préparent des envois postaux massifs à l’intention de leurs clients. Les renseignements que renferment ces envois postaux sont probablement de nature plutôt délicate : des noms, des adresses, des numéros d’assurance sociale et des détails financiers. Vous ne voulez pas qu’ils tombent entre de mauvaises mains!

Chaque année, des Canadiens communiquent avec le Commissariat pour se plaindre qu’ils ont reçu des renseignements financiers sensibles qui ne leur appartiennent pas. Un certain nombre d’entreprises communiquent aussi avec le Commissariat pour signaler des atteintes connexes.

Vous pouvez prendre des précautions pour éviter les erreurs d’impression ou d’envoi postal qui peuvent coûter cher à vos clients et ternir votre réputation de bonne gestion des renseignements personnels :

Traditionnellement, nous nous sommes toujours connectés aux systèmes en ligne à l’aide d’un nom d’utilisateur et d’un mot de passe. Cependant, ces justificatifs d’identité sont souvent compromis lorsque quelqu’un accède de manière illicite aux bases de données qui les contiennent ou lorsque nous sommes invités par la ruse à fournir de l’information à des fraudeurs ou des sites Web frauduleux (souvent par hameçonnage ou d’autres formes d’attaque d’ingénierie sociale). Une fois que ces justificatifs d’identité sont compromis, les fraudeurs peuvent les utiliser pour se connecter à des services en ligne connexes. Pire encore, les pirates peuvent accéder à plusieurs services lorsque les gens réutilisent les mêmes noms d’utilisateur et mots de passe.

Afin de mieux vérifier votre identité lorsque vous soumettez votre nom d’utilisateur et votre mot de passe, les organismes se tournent vers l’authentification à facteurs multiples (AFM). L’AFM vous oblige à présenter plusieurs types de justificatifs d’identité, comme un nom d’utilisateur et un mot de passe ainsi qu’un code unique affiché sur un jeton ou un téléphone intelligent. L’AFM peut contrecarrer les tentatives de connexion à un service de ceux qui devinent votre mot de passe ou utilisent des noms d’utilisateur et des mots de passe volés. Une technique connexe, mais moins efficace, consiste à effectuer une vérification en deux étapes qui nécessite deux éléments d’information du même type de facteur, comme deux éléments d’information que vous connaissez, tandis que l’AFM vous oblige à présenter plusieurs types de justificatifs d’identité.

Les appareils mobiles des Canadiens comportent plusieurs applications qui recueillent des renseignements personnels, y compris des identifiants intégrés à différentes composantes des appareils. Mais, quels sont précisément ces identifiants et comment sont-ils utilisés?

Un identifiant est un élément d’information (habituellement une suite de caractères) qui sert à conférer une identité unique à un appareil, à un utilisateur ou à une série de comportements repérés sur l’appareil. Les identifiants des appareils mobiles sont des applications de technologies qui ont une incidence sur la protection des renseignements personnels, étant donné qu’ils peuvent être utilisés pour mettre en corrélation les différentes activités d’une personne qui se sert d’un téléphone, d’une tablette ou de tout autre appareil branché, en plus d’établir un lien entre des appareils et des personnes réelles.

Nos appareils mobiles comportent plusieurs identifiants qui distinguent différentes composantes et caractérisent précisément des comportements. Les radios et d’autres appareils ainsi que les systèmes d’exploitation, les applications et même les navigateurs Web sont tous munis d’identifiants qui peuvent identifier précisément l’appareil, la personne qui l’utilise ou les comportements de l’utilisateur. Même si ces identifiants sont conçus habituellement à des fins utiles, l’utilisateur ignore souvent l’existence de ces identifiants et la façon dont ils sont recueillis ou utilisés. Nous allons décrire plusieurs des identifiants les plus importants, associés aux appareils mobiles, et leur importance en ce qui concerne la protection des renseignements personnels.

Le rançongiciel est un type de logiciel malveillant (maliciel) qui, une fois installé sur un appareil ou un système, bloque l’accès à l’appareil ou au système ou encore à son contenu ou à ses applications. Vous n’avez alors d’autre choix que de verser une rançon pour rétablir toutes les fonctions de l’appareil. Des pirates informatiques ciblent des renseignements personnels ou sensibles au moyen d’un rançongiciel ou y ont accès en fouinant dans les ordinateurs ou les réseaux d’une organisation. Divers appareils sont touchés, notamment ceux utilisant une plateforme Windows, OS X ou Android. Des pirates ont ainsi attaqué des fournisseurs de soins de santé, des services de police, des écoles publiques, des universités et divers types d’entreprises ainsi que des internautes. Et le problème ne cesse de prendre de l’ampleur : selon les estimations de Symantec, les Canadiens ont été victimes de plus de 1 600 attaques par rançongiciel chaque jour en 2015.

Téléviseurs intelligents . . . moniteurs d’activité physique . . . thermostats automatisés . . . véhicules autonomes . . .

L’Internet des objets repousse les frontières de la technologie numérique, ce qui explique pourquoi le Global Privacy Enforcement Network (GPEN) a consacré son ratissage pour la protection de la vie privée de 2016 à ce marché en plein essor. Les ratisseurs se sont intéressés tout particulièrement à la façon dont les entreprises font connaître leurs pratiques en matière de traitement des renseignements personnels.

Compte tenu de la nature sensible de l’information que peuvent recueillir les appareils liés à la santé et les appareils de suivi de la condition physique ainsi que les applications et les sites Web connexes, le Commissariat à la protection de la vie privée du Canada s’est concentré sur 21 appareils – pèse-personnes intelligents, dispositifs mesurant la pression artérielle, moniteurs d’activité physique, dispositifs de surveillance du sommeil et moniteurs de fréquence cardiaque, un alcootest intelligent et une camisole de sport connectée à Internet.

Le choix des appareils concorde avec l’une des quatre priorités stratégiques liées à la vie privée – le corps comme source d’information – établies par le Commissariat au cours d’un exercice qui a pris fin en mai 2015. Le corps comme source d’information renvoie aux préoccupations croissantes que suscite pour la protection de la vie privée l’utilisation, à diverses fins nouvelles, de renseignements sur la santé ainsi que de renseignements génétiques et biométriques très sensibles par des organisations et des organismes gouvernementaux.

Au cours du ratissage, les ratisseurs – des employés du Commissariat – ont utilisé les appareils pour voir par eux-mêmes les renseignements demandés et vérifier si leur expérience correspondait aux énoncés de l’entreprise sur la protection de la vie privée. Dans certains cas, ils ont effectué un suivi auprès des entreprises visées en posant des questions précises liées à la protection de la vie privée.

On trouvera ci-après une brève évaluation des résultats obtenus pour les appareils évalués.

Vous vous demandez ce qu’il est advenu du ratissage pour la protection de la vie privée des enfants?

Avant d’examiner en détail les résultats du ratissage de 2016 portant sur l’Internet des objets – qui seront publiés sous peu – nous avons jugé utile de vous présenter les résultats des discussions que nous avons tenues avec les concepteurs d’applications mobiles (applis) et de sites Web à propos desquels nous avions exprimé des préoccupations dans un billet de blogue ou dans des lettres l’automne dernier.