Le Commissariat à la protection de la vie privée estime que Google a contrevenu à la loi en recueillant des renseignements personnels sur des réseaux sans fil non sécurisés lors du passage des voitures du service Street View au Canada. La situation découle de l’imprudence d’un ingénieur et d’un vice de procédure interne. Constats et recommandations.
Le Commissariat à la protection de la vie privée du Canada, qui est dirigé par Jennifer Stoddart, conclut que l’incident impliquant l’entreprise américaine Google émane d’une « faute d’imprudence commise par un ingénieur » et d’un « manque de mesures de contrôle » visant à confirmer le suivi de procédures d’assurance du respect de la vie privée des citoyens.
La commissaire Stoddart estime que Google a enfreint la Loi canadienne sur la protection des renseignements personnels et les documents électroniques en recueillant « de manière inappropriée » des renseignements personnels d’individus, comme des noms d’utilisateur, des mots de passe, des adresses civiques, des numéros de téléphone et des adresses de courriels, au cours de la détection de réseaux informatiques sans fil non protégés, lors du passage des véhicules du service d’imagerie Street View dans les rues au Canada.
Violation de droits
Notamment, le Commissariat à la protection de la vie privée du Canada indique que Google a recueilli des renseignements « de nature très délicate », en donnant l’exemple d’une liste de noms et de coordonnées de personnes ayant des troubles médicaux.
« Notre enquête a révélé que Google avait effectivement saisi des renseignements personnels – et dans certains cas, des renseignements de nature très sensible, tels que des courriels entiers. L’incident représente une violation sérieuse du droit des Canadiennes et des Canadiens à la vie privée », déclare Mme Stoddart dans un communiqué.
Le Commissariat précise que des membres de son personnel se sont rendus au cours des derniers mois aux bureaux de Google, à Mountain View en Californie, pour procéder à une recherche manuelle et à un examen des données qui avaient été recueilles par Google.
Toutefois, afin de préserver la vie des personnes dont les renseignements ont été prélevés, le personnel du commissariat n’a examiné qu’un échantillon « très restreint » des données obtenues par Google à l’aide de l’équipement utilisé pour l’obtention des images nécessaires au service Street View.
En conséquence, l’organisme fédéral ne peut déterminer avec précision le nombre de personnes dont les renseignements personnels ont été recueillis.
« Selon toute probabilité, l’incident a touché des milliers de Canadiennes et de Canadiens », indique Mme Stoddart.
Recommandations
Au terme de son enquête, le Commissariat a recommandé à Google d’adapter son modèle de gouvernance afin qu’il soit conformes aux dispositions légales canadiennes qui ont trait à la protection des renseignements personnels.
L’organisme recommande que ce modèle intègre la considération de tous les enjeux liés à la conception de produits et services internes et externes, l’inclusion de mesures de contrôle du respect des procédures relatives à la protection de la vie privée, l’amélioration de la formation du personnel et la nomination de personnes responsables des mesures de contrôle.
Également, la commissaire Stoddart a demandé à Google de supprimer les « données utiles » qui ont été recueilles en sol canadien, tout en respectant certaines obligations en suspend qui ont trait à des lois canadiennes et américaines.
Google a jusqu’au 1er février 2011 pour confirmer auprès du Commissariat que ces recommandations ont été mises en oeuvre.
Le Commissariat à la vie privée a précisé le contexte qui a mené à la présence de code informatique aux fonctions inappropriées au sein de l’équipement des véhicules dédiés au service Street View de Google.
LIRE: Google Street View et vie privée : du code fautif aux « répercussions superficielles »
Rappel
En juin 2010, le Commissariat à la protection de la vie privée du Canada avait amorcé une enquête à l’égard du service Street View de Google.
Cette enquête avait été amorcée après que l’entreprise américaine ait révélé que des données personnelles avaient été recueillies automatiquement à partir de réseaux Wi-Fi non protégés lors du passage de véhicules dédiés au service Street View dans des municipalités. Cette cueillette de données avait eu lieu de nombreux pays, et ce durant plusieurs années.
LIRE: Street View et réseaux Wi-Fi : la commissaire Stoddart enquête sur Google
Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.
