Rapport d'évaluation des facteurs relatifs à la vie privée concernant le Web analytique

Pour la Division des Politiques de l'Information et de la Protection des Renseignements Personnels Secrétariat du Conseil du Trésor du Canada

Table des matières

Abréviations utilisés dans le présent rapport

IP
Protocole Internet
FSI
Fournisseur de service Internet
éFVP
évaluation des facteurs relatifs à la vie privée
SCT
Secrétariat du Conseil du Trésor du Canada

Vous trouverez un glossaire à l'annexe.

Sommaire

Le Secrétariat du Conseil du Trésor du Canada (SCT) a fait faire une évaluation des facteurs relatifs à la vie privée (éFVP) concernant l'utilisation du Web analytique par les institutions du gouvernement fédéral.Voir la note en bas de page 1 Le rapport d'éFVP avait pour but de déterminer les risques d'atteinte à la vie privée liés à l'utilisation du Web analytique et, le cas échéant, de formuler des recommandations pour les atténuer ou les éliminer. Le présent rapport d'éFVP formule cinq recommandations (ci-dessous), lesquelles ont toutes été acceptées par le SCT.

Liste des recommandations

Recommandation 1 : Inclure une explication claire concernant l'utilisation du Web analytique dans l'énoncé de confidentialité du site Web de l'institution, sous « Avis importants ». La Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor, devrait élaborer une version révisée de l'avis de confidentialité que les institutions pourraient utiliser ou modifier à leur convenance.

Recommandation 2 : Pour le SCT, ce pourrait être un bon moment de passer en revue ses conseils stratégiques sur l'utilisation des témoins.

Recommandation 3 : Le SCT doit interdire, au moyen d'une politique, le profilage des usages individuels du Web au sein d'une institution ou entre les institutions aux fins du Web analytique.

Recommandation 4 : La Division des politiques de l'information et de la protection des renseignements personnels, Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor, devrait élaborer une politique précisant les exigences auxquelles les institutions devraient satisfaire pour assurer la protection de la vie privée, tant pour l'hébergement du Web analytique sur les serveurs de l'institution que sur les serveurs tiers. Il y aurait lieu de conclure un contrat ou une entente avec les tiers fournisseurs de services du Web analytique du gouvernement du Canada. S'il n'y a ni contrat ni entente, le SCT devrait conseiller aux institutions dont les outils du Web analytique sont hébergés sur serveur tiers d'activer la fonction d'anonymisation de manière à dépersonnaliser l'adresse IP.

Recommandation 5 : La Division des politiques et de la protection des renseignements personnels, Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor devrait conseiller les institutions quant à la durée de conservation de l'adresse IP et des renseignements personnels connexes dans le cadre du Web analytique. La période recommandée de conservation des renseignements recueillis et utilisés est de 18 mois lorsque les outils du Web analytique sont hébergés à l'interne et de 6 mois lorsque les renseignements sont communiqués à un tiers et que le Web analytique est hébergé à l'externe.

1. Introduction

Aux fins du présent rapport d'évaluation des facteurs relatifs à la vie privée (ci-après « rapport d'éFVP »), le Web analytique est la collecte, l'analyse et la mesure des données, et l'établissement de rapports connexes, sur l'achalandage et les comportements des visiteurs dans le cadre du Web afin d'en comprendre et d'en optimiser l'usageVoir la note en bas de page 2 La collecte, l'utilisation, la communication, la conservation et l'élimination de renseignements personnels par une institution du gouvernement du Canada doivent satisfaire aux exigences de la Loi sur la protection des renseignements personnels.

Le présent rapport d'éFVP est rédigé conformément à la Directive sur l'évaluation des facteurs relatifs à la vie privée du gouvernement du Canada à l'intention des institutions fédérales qui souhaitent déployer le Web analytique dans le cadre de leurs sites Web. Il est aussi rédigé à l'intention du SCT dans le cadre de son examen du Web. Le présent rapport porte sur la collecte (par l'entremise d'Internet), l'utilisation, la communication, la conservation et l'élimination des renseignements personnels par les institutions aux fins du Web analytique, mais non sur la collecte d'adresses IP à d'autres fins, telles que la sécurité. Il ne porte pas non plus sur l'utilisation du Web analytique dans des sites de médias sociaux tels que Facebook ou Twitter.

L’institution du gouvernement du Canada peut tirer profit des pratiques ayant été établies dans le rapport sur l’ÉFVP dans la mesure où les pratiques ou les présomptions ayant été formulées dans le cadre du présent rapport sur l’ÉFVP s’harmonisent avec la mise en œuvre et le déploiement actuel de l’analytique Web au sein de cette institution.

2. Web analytique

2.1 Contexte

Le Web analytique est une activité qui consiste à recueillir et analyser les données relatives à l'expérience des visiteurs de sites Web. Cela comprend l'adresse IP de l'utilisateur et d'autres renseignements, tels que : 

  • le type de navigateur utilisé;
  • les pages visitées;
  • la date et l'heure;
  • le temps passé sur chaque page; et
  • les visites subséquentes au cours d'une période déterminée.

La plupart des outils du Web analytique utilisent des marqueurs numériques, notamment des témoins installés au navigateur de l'utilisateur pour suivre, par exemple, le nombre de visites et les visites uniques dans un ou plusieurs sites Web.

Parmi les institutions qui ont des sites Web, beaucoup utiliseront un logiciel pour analyser les données relatives à l'usage dans le but d'améliorer leurs sites et ainsi mieux répondre aux besoins des utilisateurs et offrir les meilleurs services possibles en ligne.

Deux variétés du Web analytique sont couramment utilisées : l'analyse syntaxique des fichiers journaux et le marquage des pages.

Analyse syntaxique des fichiers journaux

Les serveurs Web collectent les données, comme celles susmentionnées concernant les visites d'un site Web, dans des fichiers journaux appelés « journaux de serveur Web ». Chaque fois qu'un visiteur accède à un site Web, une entrée est faite au fichier journal. Il en va de même chaque fois que l'on clique sur un hyperlien. Le journal du serveur Web conserve l'historique de chaque clic effectué dans le site.

Le fichier journal est essentiellement un gros fichier texte. Le logiciel du Web analytique découpe le fichier journal en tranches distinctes de renseignements cohérents et les stocke dans une base de données. Cela fait, le logiciel est alors en mesure d'analyser les données pour déterminer les tendances et établir des rapports. Le processus de découpage d'un fichier journal en blocs de renseignements cohérents est appelé « analyse syntaxique ». Grâce à ces éléments d'information, le logiciel du Web analytique peut calculer le nombre de visiteurs d'un site Web et déterminer la nature de leurs activités dans le cadre de celui-ci.

Marquage des pages

Le marquage de pages permet à une institution d'identifier toutes les actions à mesurer dans un site Web. L'institution installe ensuite un codet ou petit code de programmation (habituellement Java Script) sur chaque page où ces actions se produisent afin de suivre l'usage du site Web par le visiteur. C'est ce que l'on appelle le « marquage de pages ». Lorsqu'une action connue survient, le marqueur transmet un message au logiciel du Web analytique pour qu'il consigne l'action dans une base de données. Comme l'analyse syntaxique du fichier journal, les renseignements stockés dans la base de données sont ensuite analysés afin de établir un rapport sur les mesures principales du site.

Il y a beaucoup de fournisseurs de logiciels et de services du Web analytique. Des institutions peuvent aussi mettre en place des services maison du Web analytique. Voici des exemples d'applications logicielles du Web analytique :

  • Google Analytics est une solution logicielle hébergée du Web analytique où les données sur l'usage sont recueillies à même le navigateur de l'utilisateur et stockées sur un serveur tiers appartenant à Google et gérées par Google. Ces serveurs sont surtout situés aux états-Unis.
  • Weblog, Webtrends, AWStats et les progiciels d'analyse des institutions peuvent être utilisés par les services internes ou par l'entremise d'un tiers.
  • Le Web analytique de Twitter et des autres applications similaires est spécialement conçu pour mesurer les médias sociaux. Ce genre de Web analytique est hors de la portée du présent rapport d'éFVP.

Les institutions se servent du Web analytique à des fins multiples, entre autres pour :

  • déterminer les mesures de l'achalandage de leur site Web;
  • connaître l'usage et la pertinence du contenu;
  • générer des données pour réduire le contenu redondant, périmé et superflu, et faciliter la mise en œuvre de la Norme sur l'accessibilité des sites Web du SCT;
  • déterminer quels sites Web et quelles applications en ligne nécessitent un investissement supplémentaire et savoir si on peut réduire les coûts en retirant du contenu et en rationalisant les opérations; et
  • mesurer l'accès aux produits de l'institution, tels que les publications et les données statistiques.

Afin de se servir efficacement du Web analytique, il faut recueillir l'adresse IP. Le Commissariat à la protection de la vie privée a déterminé que cette adresse peut être considérée comme un renseignement personnel au sens de l'article 3 de la Loi sur la protection des renseignements personnels lorsqu'elle peut être associée à un individu identifiable. Par exemple, voici l'une des conclusionsVoir la note en bas de page 3 à laquelle le Commissariat est par suite d'une plainte : certaines des adresses IP recueillies par un fournisseur de service Internet constituent des renseignements personnels du fait même que le fournisseur est en mesure de lier les adresses IP à ses clients au moyen de leur numéro d'abonné.

étant donné que l'adresse IP peut être liée à un visiteur identifiable dans certaines circonstances, et plus particulièrement lorsqu'elle est conjuguée à d'autres données recueillies lors de ses interactions dans un site Web, le gouvernement du Canada devrait faire preuve de prudence et adopter des mesures de protection de la vie privée relatives aux adresses IP conformes aux exigences de la Loi sur la protection des renseignements personnels.

2.2 Processus relatif au flux de données

Les institutions fédérales mettent en place des outils du Web analytique de deux façons : hébergement interne sur des serveurs du gouvernement du Canada et hébergement externe sur des serveurs tiers. Le processus relatif au flux de données varie selon la nature de l'installation. 

Outils du Web analytique mis en place par une institution

Certaines institutions fédérales mettent en place des outils du Web analytique sur leurs serveurs, sans qu'aucune donnée ne soit communiquée ou transmise à l'extérieur du pare-feu du gouvernement du Canada.

Quoique les particularités puissent varier selon l'outil utilisé, voici un aperçu général du processus du Web analytique :

  • Un visiteur demande la page Web d'une institution à partir de son ordinateur. Comme tous les autres visiteurs, il se sert d'un navigateur Web tel que Safari ou Internet Explorer pour demander accès à une page hébergée sur un serveur Web du gouvernement du Canada et ce dernier répond en lui envoyant la page demandée.
  • Lorsque le visiteur accède à une page Web, des renseignements sont transmis au serveur de l'institution, tels que l'adresse IP, le type de navigateur ainsi que la date et l'heure de téléchargement de la page.
  • Certaines institutions utilisent des marqueurs numériques tels que des témoins (petits fichiers textes envoyés au navigateur Web du visiteur). Les paramètres de ces témoins sont installés par défaut au navigateur du visiteur pour obtenir des renseignements sur la séance qui a suivi la demande de page Web.
  • Les données recueillies dans le cadre du Web analytique sont stockées sur les serveurs de l'institution et sont analysées par un logiciel qui établit un rapport.
  • Il n'y a actuellement aucune période fixe de conservation de ces données.

Certaines institutions effectuent l'analyse au moyen de données provenant des fichiers journaux des serveurs Web et d'autres le font par le marquage des pages, ou un mélange des deux types d'analyse. Quelle que soit la technique utilisée, les données en question sont conservées sur des serveurs du gouvernement du Canada et ne sont pas communiquées à l'extérieur du pare-feu du gouvernement du Canada.

Les institutions fédérales ne lient pas les adresses IP à l'identité des visiteurs de leurs sites Web, sauf par mesure de sécurité pour protéger un site en particulier.

Outils du Web analytique situés à l'extérieur du pare-feu du gouvernement du Canada

Un grand nombre d'institutions mettent en place des outils du Web analytique dans un environnement situé à l'extérieur du gouvernement du Canada. Des données sont communiquées à un tiers fournisseur de services qui recueille et stocke les données sur son propre serveur. Un logiciel tiers est ensuite utilisé pour effectuer l'analyse et établir des rapports à l'intention de l'institution. Voici un aperçu du processus quand ces outils sont en place.Voir la note en bas de page 4

  • étape 1. L'institution fédérale insère le code Java Script (JS) transmis par le fournisseur de services sur chacune des pages Web qu'elle veut suivre.
  • étape 2. Lorsque le navigateur d'un visiteur demande une page Web comportant ce code de suivi, un renvoi est fait à un fichier Java Script qui exécute le suivi aux fins de l'analyse. Parmi les données automatiquement communiquées au tiers au moyen de ce processus, il y a l'adresse IP, qui détermine le lieu géographique, le type de navigateur utilisé par le visiteur ainsi que la date et l'heure de téléchargement de la page.
  • étape 3. Un grand nombre de tiers installent un témoin dans le navigateur Web du visiteur pour obtenir des renseignements sur la séance à partir de la demande de page Web.
  • étape 4. Les données sont recueillies et envoyées au serveur du tiers pour y être stockées et traitées aux fins du Web analytique.

Certains tiers fournisseurs de services qui hébergent le Web analytique sur leurs serveurs ont une fonction d'anonymisation que le propriétaire du site Web (le gouvernement du Canada dans le cas présent) peut activer. Lorsque cette fonction est activée dans Google Analytics, par exemple, Google dépersonnalise l'adresse IP avant le stockage. Dans le cas d'IPv4, utilisé actuellement par le gouvernement du Canada, le dernier octet de l'adresse IP est réglé à 0 et, dans le cas d'IPv6 qui remplacera éventuellement la version actuelle de l'adresse IP, les derniers 80 bits des adresses IP seront réglés à 0.Voir la note en bas de page 5

3. Analyse des facteurs relatifs à la vie privée

L'analyse des facteurs relatifs à la vie privée, ci-après, est fondée sur les dix principes énoncés par l'Association canadienne de normalisation (CSA) dans son Code type sur la protection des renseignements personnels.

3.1 Législation

La Loi sur la protection des renseignements personnels exige des institutions fédérales qu'elles obtiennent une autorisation parlementaire pour toute activité ou tout programme avant la collecte de tout renseignement personnel Voir la note en bas de page 6. Toutes les institutions doivent être autorisées à gérer les programmes ou services qu'elles créent. Cette autorisation doit provenir, par exemple, de la loi ministérielle, de lettres patentes ou d'autres actes constitutifs, ou de crédits parlementaires.

3.2 Principe 1 : Responsabilité à l'égard des renseignements personnels

Principe : Une institution fédérale est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou plusieurs personnes chargées de faire respecter les exigences des lois et des politiques relatives à la vie privée. L'institution est également responsable des renseignements personnels transférés à un tiers dont elle a la gestion.

Aux termes de l'alinéa 71(1) d) de la Loi sur la protection des renseignements personnels, le président Conseil du Trésor a le pouvoir de rédiger des directives à l'intention des institutions fédérales concernant l'application de la Loi et de ses règlements. Le Secrétariat du Conseil du Trésor a élaboré un ensemble de politiques, aux termes de la Loi, définissant les rôles et responsabilités des dirigeants des institutions fédérales ou de leurs délégués. Cet ensemble de politiques comprend la Politique sur la protection de la vie privée et la Directive sur les pratiques relatives à la protection de la vie privée.

Il est important de retenir que l'adresse IP d'un visiteur d'un site Web ne servira pas à une fin administrative.Voir la note en bas de page 7 La période de conservation devrait donc être plus courte que les deux années prescrites à des « fins administratives » ou, à tout le moins, ne dépasserait pas deux ans. étant donné que les risques d'atteinte à la vie privée sont plus grands lorsque l'on communique l'adresse IP et d'autres renseignements à un tiers, il faudrait envisager une période de conservation plus courte pour les tiers dont le Web analytique est hébergé à l'externe.

Il est important de retenir que l'adresse IP ne pourrait être réutilisée plus tard à des fins administratives.

La Politique sur la protection de la vie privée du SCTexige ce qui suit des responsables des institutions fédérales ou de leurs délégués :

6.2.15 – établir un protocole de protection des renseignements personnels au sein de l'institution fédérale pour la collecte, utilisation et la communication de renseignements personnels à des fins non administratives, notamment à des fins de recherche, de statistique, de vérification et d'évaluation.

On s'attend à ce que les institutions aient mis en place des protocoles de protection de la vie privée pour tout usage non administratif des renseignements personnels. Le Protocole régirait la collecte d'adresses IP et les autres éléments de données aux fins de l'analyse du Web. Les institutions peuvent aussi effectuer une évaluation des facteurs relatifs à la vie privée, en vertu de la Directive sur l'évaluation des facteurs relatifs à la vie privée, au lieu de se fier uniquement à leur protocole de protection de la vie privée.

En ce qui a trait à la responsabilité, aucun problème n'a été constaté concernant la protection de la vie privée.

3.3 Principe 2 : Détermination des fins de la collecte des renseignements personnels

Principe : Les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'institution fédérale avant ou au moment de la collecte et doivent être rendues publiques. Cela peut se faire par l'entremise d'Info Source ou au moyen d'un avis de confidentialité dans le site Web de l'institution.

La Directive sur les pratiques relatives à la protection de la vie privée du SCT stipule ce qui suit concernant l'avis de confidentialité :

6.2.9 Aviser l'individu, dont les renseignements personnels font l'objet d'une collecte directe des éléments suivants :

  • la raison d'être de la collecte et l'autorisation obtenue pour la collecte;
  • toute utilisation ou divulgation conforme à la raison d'être originale;
  • toute utilisation ou divulgation non conforme à la raison d'être originale;
  • toute conséquence administrative ou légale découlant d'un refus de fournir les renseignements personnels; et
  • le droit d'accéder à ses renseignements personnels et de demander des corrections, et le droit de les protéger aux termes de la Loi sur la protection des renseignements personnels.

6.2.10 Adapter l'avis de confidentialité, au moment de la collecte, aux fins de communication écrite ou orale. Les avis de confidentialités écrits doivent inclure une référence au fichier de renseignements personnels décrit dans Info Source.

Aux fins du Web analytique, il faut mentionner l'utilisation du Web analytique dans l'énoncé de confidentialité figurant sous Avis importants dans le site Web de l'institution.

Recommandation 1 : Inclure une explication claire concernant l'utilisation du Web analytique dans l'énoncé de confidentialité, sous « Avis importants ». La Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor, devrait élaborer une version révisée de l'avis de confidentialité que les institutions pourraient utiliser ou modifier à leur convenance.

Le SCT accepte cette recommandation. 

3.4 Principe 3 : Consentement  

Principe : Le consentement est un grand principe, fondamental à la protection de la vie privée, qui s'applique aux communications effectuées aux termes de la Loi sur la protection des renseignements personnels. Cela dit, les institutions du gouvernement du Canada, en règle générale, sont autorisées par la Loi à recueillir des renseignements personnels à des fins multiples liées à leur mandat respectif, entre autres l'amélioration de la prestation de services et l'accès à l'information à partir de leurs sites Web. Les institutions peuvent ensuite divulguer les renseignements personnels sans obtenir de consentement au préalable, conformément à l'alinéa 8(2)a) de la Loi sur la protection des renseignements personnels pour les fins auxquelles ils ont été obtenus ou compilés par l'institution ou pour être utilisés à des fins qui sont conformes à ces buts.

Le SCT, en collaboration avec le Groupe des nouveaux médias du Bureau du Conseil privé, s'est penché sur « l'option de retrait » si c'était une option viable pour la mise en place d'outils du Web analytique. On en est arrivé à la conclusion que ce n'était pas réalisable compte tenu du fonctionnement d'Internet et des outils du Web analytique. Lorsqu'un visiteur accède à des sites Web, le serveur Web collecte automatiquement des données relatives à la visite, notamment l'adresse IP du visiteur. Lorsque l'institution communique l'adresse IP et d'autres renseignements à un tiers fournisseur de services du Web analytique, cela se fait automatiquement si la page du site Web renferme, par exemple, le marquage Java Script. Si l'option retrait est accordée, les visiteurs qui ne consentent pas à la communication des renseignements qui les concernent à un tiers devront pouvoir accéder à toute l'information comprise dans le site Web par un autre moyen qu'Internet, ce qui est irréaliste.

Quoi qu'il en soit, pour ce qui est du Web analytique, la communication de renseignements personnels est faite aux fins auxquelles ils ont été recueillis ou pour les usages qui sont compatibles avec ces fins, conformément à l'alinéa 8(2)a) de la Loi sur la protection des renseignements personnels et le consentement n'est pas requis.

En ce qui a trait au consentement, aucun problème n'a été constaté concernant la protection de la vie privée.

3.5 Principe 4 : Limitation de la collecte de renseignements personnels

Principe : L'institution ne peut recueillir que les données personnelles nécessaires aux fins déterminées à son usage et doit procéder de façon honnête et licite.

L'adresse IP est recueillie, tout comme d'autres données, comme les sites du gouvernement du Canada visités et le temps passé par le visiteur d'un site Web. Tel qu'il est indiqué dans présent rapport, des témoins et d'autres marqueurs numériques peuvent être utilisés pour suivre le nombre de visites et les visiteurs qui ne viennent qu'une fois dans un site Web. L'utilisation de témoins tiers peut notamment porter atteinte à la vie privée puisque les tiers impliqués aux opérations sont généralement des inconnus et que cela se fait à l'insu de l'utilisateur du site. Les préoccupations liées à la protection de la vie privée peuvent être fondées sur les actions suivantes :

  • communication de l'information recueillie d'un témoin à partir d'un site Web dans le site Web d'une tierce partie au moyen de témoins tiersVoir la note en bas de page 8;
  • identification des visiteurs anonymes en utilisant les données d'un témoin tiers qui a saisi des renseignements personnels ou en remplaçant les données d'une visite antérieure lorsque le visiteur, par la suite, crée un compte ou fait un achat; et
  • suivi des visiteurs même s'ils ont établi par défaut les paramètres de leur navigateur de manière à bloquer les témoins de suivi et protéger leur vie privée.

Pour ce qui est des exigences contractuelles des tiers fournisseurs de services du Web analytique, le paragraphe 3.6 du présent rapport d'éFVP recommande de limiter l'usage que les institutions font des témoins aux seuls témoins de première partie.

Recommandation 2 : Pour le SCT, ce pourrait être un bon moment de passer en revue ses conseils stratégiques sur l'utilisation des témoins.

Le SCT accepte cette recommandation et mettra sa directive à jour sur l'usage des témoins.

3.6 Principe 5 : Limitation de l'utilisation, de la communication et de la conservation renseignements personnels

Principe : Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles pour lesquelles ils ont été recueillis ou pour des usages à cette fin, à moins que la personne concernée n'y consente ou que la loi ne l'exige.  

Utilisation

Il n'y a qu'un seul usage à la collecte d'adresses IP et des autres données dans le contexte du Web analytique : établir les mesures du rendement et mesurer l'efficacité des sites Web du gouvernement du Canada dans le cadre des efforts déployés pour rendre ces sites plus accessibles et améliorer la prestation des services offerts aux Canadiens. Tel que mentionné dans le présent rapport d'éFVP, l'usage qu'on en fait est communiqué au public par divers moyens, tels que la publication d'Info Source et les avis de confidentialité dans les sites Web des institutions fédérales.

Le profilage du comportement en ligne d'un individu est un risque auquel on s'expose par la collecte des adresses IP et des autres données.

Recommandation 3 : Le SCT doit interdire, au moyen d'une politique, le profilage des usages individuels du Web au sein d'une institution ou entre les institutions aux fins du Web analytique.

Le SCT accepte cette recommandation et précise que le profilage est clairement interdit dans ses instruments de politique.

Communication

Les renseignements personnels recueillis aux fins du Web analytique sont seulement communiqués lorsque la mise en place du Web analytique relève d'un tiers fournisseur de services. Tel qu'il est mentionné le présent Rapport éFVP, l'alinéa 8(2)a) de la Loi sur la protection des renseignements personnels stipule qu'ils « peuvent être communiqués aux fins auxquelles ils ont été recueillis ou préparés par l'institution ou pour les usages qui sont compatibles avec ces fins. ».

Le tiers fournisseur devrait assurer les services du Web analytique auprès de l'institution aux termes d'un contrat ou d'une entente comportant un libellé strict sur la protection de la vie privée qui a pour effet de réduire considérablement les risques. Le contrat ou l'entente devrait préciser, par exemple, que l'adresse IP doit être anonymisée au moment ou immédiatement après sa communication à un tiers fournisseur de services aux fins du Web analytique. Le contrat doit aussi stipuler que l'adresse IP d'origine est irrévocablement détruite par le tiers fournisseur. Par exemple, le risque d'être exposé au Patriot Act des états-Unis serait négligeable du point de vue de la protection de la vie privée étant donné que le tiers fournisseur ne conserverait que des renseignements ne comportant aucun caractère identifiable. Autrement dit, seule une adresse IP anonymisée existerait.

Une institution fédérale est responsable des renseignements personnels dont elle a la gestion et qui sont transférés à un tiers aux fins de traitement. L'institution conclut une entente ou un contrat avec un tiers dans lequel sont précisées les exigences à satisfaire pour protéger la vie privée, conformément au paragraphe 6.2.10 de la Politique sur la protection de la vie privée du SCT. Les institutions devraient aussi se laisser guider par un document d'orientation du SCT intitulé Prise en compte de la protection des renseignements personnels avant de conclure un marché. Elles ont aussi la possibilité de faire appel aux services d'un tiers pour le Web analytique. Il faut passer des contrats de service pour le Web analytique où seront incluses les dispositions suivantes en ce qui a trait aux renseignements personnels communiqués au tiers :

  • définition claire de « renseignement personnel », au sens de l'article 3 de la Loi sur la protection des renseignements personnels;
  • coordonnées d'un tiers aux fins des exigences en matière de protection de la vie privée;
  • exigence que le tiers dépersonnalise complètement l'adresse IP avant de la stocker. Cela doit être fait par la troncature irrévocable du dernier octet de l'adresse IP ou par toute autre méthode ou technique de dépersonnalisation approuvée par le gouvernement du Canada;
  • exigence d'informer les employés et les agents contractuels du tiers de leurs obligations en matière de protection de la vie privée lorsqu'ils traitent les données de l'institution;
  • exigence que le tiers ne lie pas ou n'essaie pas de lier l'adresse IP complète ou ce qu'il en reste, ou tout autre identificateur unique qui y est associé, à l'identité de l'utilisateur d'un ordinateur personnel, par exemple, au moyen de témoins;
  • exigence que tout renseignement personnel transmis au tiers soit utilisé pour le travail à faire aux termes du contrat et ne serve pas ultérieurement à des fins autres que celles permises, sauf avec l'autorisation de l'institution;
  • exigence que le tiers ne communique ni ne transfère quelque renseignement personnel que ce soit, y compris l'adresse IP, sauf :
    • pour exécuter les travaux prévus au contrat avec l'approbation écrite préalable de l'institution;
    • si la loi l'exige.
  • stipulation de la période de conservation des renseignements personnels et des autres données et d'une méthode sécurisée d'élimination des données, y compris des copies de sauvegarde; 
  • exigence en matière de vérification aux termes de laquelle l'institution peut exercer cette option de manière facultative pour déterminer si les exigences contractuelles relatives à la protection de la vie privée ont été respectées;
  • exigence que le tiers adopte des mesures de sécurité pour la protection des renseignements personnels et autres données qui soient à la hauteur des mesures prévues par la Politique sur la sécurité du gouvernement du Canada;
  • exigence que les renseignements personnels ne serviront pas au profilage des individus entre les institutions; et
  • exigence que le tiers utilise seulement des témoins de première partie.

Si l'institution n'a pas conclu de contrat, une mesure d'atténuation du risque consisterait à exiger qu'elle active la fonction d'anonymisation qui dépersonnalise l'adresse IP avant qu'elle soit stockée par le tiers.

De plus, lorsque l'institution fait appel à un tiers fournisseur de services pour le Web analytique, elle devrait examiner de près la politique du tiers en matière de protection de la vie privée pour connaître les lacunes auxquelles il faudra remédier lors de la passation du contrat.

Recommandation 4 : La Division des politiques de l'information et de la protection des renseignements personnels, Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor, devrait élaborer une politique précisant les exigences auxquelles les institutions devraient satisfaire pour assurer la protection de la vie privée, tant pour l'hébergement du Web analytique sur les serveurs de l'institution que sur les serveurs tiers. Il y aurait lieu de conclure un contrat ou une entente avec les tiers fournisseurs de services du Web analytique du gouvernement du Canada.
S'il n'y a ni contrat ni entente, le SCT devrait conseiller aux institutions dont les outils du Web analytique sont hébergés sur un serveur tiers d'activer la fonction d'anonymisation de manière à dépersonnaliser l'adresse IP.

Le SCT accepte cette recommandation et envisage la possibilité d'adopter une norme sur la protection de la vie privée et le Web analytique. Le SCT a déjà donné instruction aux institutions qui utilisent des outils du Web analytique hébergés sur des serveurs tiers d'activer la fonction d'anonymization.

Conservation et élimination

L'article 4 du Règlement sur la protection des renseignements personnels stipule que les renseignements personnels utilisés à des fins administratives doivent être conservés pendant deux ans (ou plus lorsque la demande d'accès est présentée par un individu). Dans un tel cas, comme il est mentionné dans le présent rapport d'éFVP, il n'est pas nécessaire de conserver les données recueillies aux fins du Web analytique pendant deux ans, car ces renseignements personnels ne servent pas à des fins administratives. Autrement dit, l'institution ne prend pas de décision qui touche, directement ou indirectement, l'individu concerné. Il n'est donc pas nécessaire de conserver ou d'éliminer ces renseignements personnels selon les dispositions du paragraphe 6(3) de la Loi sur la protection des renseignements personnels et de l'article 4 du Règlement sur la protection des renseignements personnels.

Cependant, s'il faut conserver l'adresse IP, le SCT devrait élaborer une directive sur la période de conservation et d'élimination, en collaboration avec Bibliothèque et Archives du Canada.

Recommandation 5 : La Division des politiques et de la protection des renseignements personnels, Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor devrait conseiller les institutions quant à la durée de conservation de l'adresse IP et des renseignements personnels connexes dans le cadre du Web analytique. La période recommandée de conservation des renseignements recueillis et utilisés est de 18 mois lorsque les outils du Web analytique sont hébergés à l'interne et de 6 mois lorsque les renseignements sont communiqués à un tiers et que le Web analytique est hébergé à l'externe. 

Le SCT accepte cette recommandation et la Norme qui sera adoptée concernant la protection de la vie privée et le Web analytique établira les périodes de conservation recommandées tant pour l'utilisation de l'adresse IP derrière le pare‑feu du gouvernement du Canada que pour sa communication à des tiers.

3.7 Principe 6 : Exactitude des renseignements personnels

Principe : Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont utilisés.

L'exigence d'exactitude au paragraphe 6(2) de la Loi sur la protection des renseignements personnels s'applique aux renseignements utilisés à des fins administratives. Comme les adresses IP et les marqueurs numériques aux fins du Web analytique n'ont pas de fins administratives, cette exigence ne s'applique pas.

En ce qui a trait à l'exactitude, aucun problème n'a été constaté concernant la protection de la vie privée.

3.8 Principe 7 : Mesures de protection des renseignements personnels

Principe : Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

L'adresse IP et d'autres renseignements recueillis dans le cadre du Web analytique peuvent être de nature délicate et devraient être protégés en conséquence.

3.9 Principe 8 : Transparence de la gestion des renseignements personnels

Principe : Les institutions doivent mettre à la disposition de toute personne des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels, et doivent faire preuve de transparence.

Aux fins du Web analytique, il faudrait communiquer les renseignements aux termes de la section Avis importants du site Web de l'institution, conformément aux dispositions du paragraphe 3.3 du présent rapport d'éFVP.

Pour le principe de transparence, aucun problème n'a été constaté concernant la protection de la vie privée.

3.10 Principe 9 : Accès aux renseignements personnels et modifications

Principe : Toute personne qui en fait la demande doit être informée de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter.

La Loi sur la protection des renseignements personnels accorde à la personne le droit d'avoir accès aux renseignements qui la concernent détenus par les institutions et de les modifier s'il y a lieu. Dans les sites Web des institutions et dans Info Source, on trouve de l'information sur le type de renseignements personnels recueillis et à quelles fins, et sur la façon de procéder pour demander accès aux renseignements qui nous concernent.

En ce qui a trait à l'accès des renseignements personnels et aux modifications, aucun problème n'a été constaté concernant la protection de la vie privée.

3.11 Principe 10 : Plaintes relatives au traitement des renseignements personnels

Principe : Toute personne doit être en mesure de se plaindre auprès d'un responsable de l'institution sur les pratiques de gestion en matière de protection de la vie privée.

Dans Info Source et dans les sites Web des institutions, on peut trouver de l'information sur la façon de procéder pour contester leurs pratiques de gestion relatives à la protection des renseignements personnels.

En ce qui a trait aux plaintes, aucun problème n'a été constaté concernant la protection de la vie privée.

4. Vision à long terme

Comme solution, le gouvernement du Canada envisage la possibilité d'adopter un outil du Web analytique à l'échelle pangouvernementale. Il faut toutefois s'assurer qu'un tel outil est conforme aux exigences des politiques relatives à la protection des renseignements personnels et au Web analytique.

5. Sommaire de l'évaluation des facteurs relatifs à la vie privée et conclusion

Les Canadiens vivent dans un monde de données. Beaucoup n'ont pas idée de la quantité de renseignements personnels recueillis par les sites Web et considérés comme un actif par les entreprises. Les institutions du gouvernement du Canada sont assujetties à la Loi sur la protection des renseignements personnels et ont des comptes à rendre quant à la collecte, l'utilisation, la communication et la gestion de ces données, y compris les renseignements personnels recueillis pour le Web analytique.

Le présent rapport d'éFVP porte sur la collecte, l'utilisation, la communication, la conservation et l'élimination de renseignements personnels recueillis par les institutions pour le Web analytique. Les cinq recommandations énoncées dans le Sommaire sont formulées pour atténuer les risques possibles liés à l'utilisation d'adresses IP et à d'autres marqueurs numériques porteurs de renseignements. Ces recommandations, qui ont été acceptées par le SCT, portent sur des critères de protection des renseignements personnels dans le cadre du Web analytique que les institutions du gouvernement du Canada pourraient adopter et qui leur seraient utiles pour remplir leurs obligations aux termes de la Loi sur la protection des renseignements personnels.

Annexe A : Glossaire

Témoin :
Un témoin est un fichier texte informatique transmis au navigateur Web (logiciel d'accès à Internet) d'un visiteur par un serveur Web (ordinateur hôte du site Web) pour mémoriser certains éléments d'information. Voir la note en bas de page 9
Marqueurs numériques :
Mécanismes, tels que les témoins, utilisés pour mémoriser les interactions en ligne d'un visiteur d'un site ou plusieurs sites Web. Selon leur utilisation, ces mécanismes peuvent enregistrer les interactions au cours d'une séance en ligne ou d'une visite, ou enregistrer les interactions d'un visiteur au cours de plusieurs visites ou séances en ligne.
Témoin de première partie :
Témoins réglés sur le même domaine (ou sous-domaine) dans la barre d'adresses du navigateur.
Adresse de protocole Internet (IP) :
étiquette numérique attribuée à chaque appareil (p. ex., ordinateur et imprimante) participant à un réseau informatique utilisant le IP comme moyen de communication.
Fournisseur de service Internet :
Organisation donnant accès à Internet.
Témoin persistant :
Un témoin qui stocke les données dans le disque dur du navigateur et qui reste en place jusqu'à sa date d'expiration.
Protocole de protection des renseignements personnels à des fins non administratives :
Exigence de la Politique sur la protection de la vie privée du SCT. Les institutions gouvernementale sont tenues d'établir un protocole de protection des renseignements personnels pour la collecte, l'utilisation ou la communication de ces données à des fins non administratives, telles que la recherche, la statistique, la vérification ou l'évaluation.
Témoin volatil :
Témoin qui stocke seulement les données pendant la période où le navigateur est branché aux site Web.
Témoin tiers :
Témoins réglés sur des domaines différents de celui affiché dans la barre d'adresses.
Web analytique :
La collecte, l'analyse et la mesure des données, et les rapports connexes, sur l'achalandage Web et les comportements des utilisateurs pour comprendre le Web et en optimiser l'usage.

Détails de la page

Date de modification :