Norme sur la protection de la vie privée et le Web analytique: foire aux questions

I. Textes faisant autorité pour les instruments de politique

• Q1 : Pourquoi le Secrétariat du Conseil du Trésor (SCT) a-t-il élaboré la Norme sur la protection de la vie privée et le Web analytique?

  R1 : Le gouvernement du Canada prend très au sérieux la protection de la vie privée des Canadiens. La Norme sur la protection de la vie privée et le Web analytique (Norme) touche à tous les aspects de la protection des renseignements personnels liés à l’utilisation du Web analytique par les institutions gouvernementales et répond aux préoccupations soulevées par le Commissairiat à la protection de la vie privée du Canada. En juin 2011, la commissaire écrivait au président du Conseil du Trésor pour lui exprimer ses inquiétudes quant au manque de directives officielles du SCT sur la façon dont les institutions gouvernementales pourraient utiliser le Web analytique tout en assurant la protection des renseignements personnels. Le président du Conseil du Trésor, faisant siennes les préoccupations de la commissaire, a émis ses directives à cet égard au moyen de la Norme.

• Q2 : En vertu de quel texte de loi le président du Conseil du Trésor a-t-il émis la nouvelle Norme?

  R2 : Le président a émis la Norme aux termes de l’alinéa 71(1)d) de la Loi sur la protection des renseignements personnels et du paragraphe 3.8 de la Politique sur la protection de la vie privée.

• Q3 : Est-ce que la Norme s'applique aux sociétés d'État et à leurs filiales en propriété exclusive?

  R3 : Oui. Toutes les institutions assujetties à la Loi sur la protection des renseignements personnels sont assujetties la Norme, y compris les sociétés d’État et leurs filiales en propriété exclusive.

• Q4 : Quelle est la date d'entrée en vigueur de la Norme?

  R4 : La Norme est entrée en vigueur le 31 janvier 2013.

II. Renseignements visés par la Norme

• Q5 : Que fait la Norme?

  R5 : Le gouvernement du Canada tient à informer les Canadiens, Canadiennes et les autres personnes qui consultent ses sites Web sur ses activités en ligne. La Norme établit des exigences obligatoires, telles que les avis de confidentialité dans les sites Web institutionnels, les périodes maximales de conservation des renseignements personnels et, pour les institutions qui utilisent des outils du Web analytique provenant de tiers, la passation d’un contrat comportant un libellé strict sur la protection de la vie privée. (Voir la Q19 ci‑dessous).

• Q6 : À quels renseignements la Norme s'applique-t-elle?

  R6 : La Norme s’applique aux « renseignements personnels » qui sont recueillis, utilisés, conservés et éliminés aux fins du Web analytique. Aux termes de la Loi sur la protection des renseignements personnels, ces renseignements désignent généralement les renseignements concernant un individu identifiable, quels qu’en soient la forme et le support.  

• Q7 : Quels renseignements ne sont pas visés par la Norme?

  R7 : La Norme ne s’applique pas aux renseignements suivants :

  • Les renseignements personnels qui sont recueillis à une fin autre que les analytiques du Web, par exemple, les renseignements qu’un individu identifiable fournit volontairement à une institution pour avoir accès à un service en ligne donné, comme une demande de passeport ou l’achat de billets en ligne. 
  • Les renseignements concernant les utilisateurs qui choisissent d’interagir avec les institutions gouvernementales par l’entremise des médias sociaux.
• Q8 : Est-ce que la Norme s'applique à l'intranet?

  R8 : La Norme s'applique aux sites Web du gouvernement du Canada qui sont accessibles au public et non à l'intranet.

• Q9 : Est-ce que la Norme s'applique aux médias sociaux?

  R9 : Non, la Norme ne s'applique pas.

• Q10 : Est-ce que la Norme s'applique à d'autres outils électroniques tels que SurveyMonkey (service de sondages en ligne)?

  R10 : Non, la Norme ne s'applique pas.

• Q11 : La Norme s'applique-t-elle si une institution n'utilise pas le Web analytique?

  R11 : Non, la Norme ne s’applique pas. L’institution devrait toutefois s’assurer que son avis portant sur la confidentialité sur Internet explique que l’institution n’utilise pas le Web analytique pour évaluer le rendement du site Web. L’exemple d’avis de confidentialité qui se trouve sur le site Web du Secrétariat du Conseil du Trésor peut être utilisé et la section sur le Web analytique devrait simplement préciser que le Web analytique n’est pas utilisé. 

III. Protection de la vie privée et le Web analytique

• Q12 : Qu'est-ce que le Web analytique?

  R12 : Le Web analytique englobe la collecte, l'analyse et la mesure des données, et les rapports connexes, sur l'achalandage du Web et les visites d'utilisateurs qui veulent comprendre le Web et en optimiser l'usage.

• Q13 : Quels types d'outils du Web analytique sont utilisés à l'heure actuelle?

  R13 : Les institutions gouvernementales utilisent, à l'heure actuelle, une variété d'outils du Web analytique, certains étant hébergés à l'interne sur les serveurs de l'institution et d'autres hébergés à l'externe sur les serveurs des tiers fournisseurs. Dans certains cas, les renseignements personnels sont communiqués à des tiers de l'extérieur du gouvernement du Canada sans une protection suffisante de la vie privée. Le gouvernement du Canada attache beaucoup d'importance à cette question et les exigences prescrites par la Norme visent à procéder à la mise en œuvre des pratiques de protection de la vie privée dans le cadre de cette activité.

• Q14 : Quels sont les risques pour la vie privée associés à l'usage du Web analytique?

  R14 : Un renseignement pouvant mener à l’identification d’une personne, pris en isolation ou conjugué à d’autres renseignements de base, est considéré comme un renseignement personnel aux termes de l’article 3 de la Loi sur la protection des renseignements personnels. Dans le cas du Web analytique, les adresses du protocole Internet (IP) des visiteurs des les sites Web du gouvernement du Canada sont recueillies et, selon les circonstances, peuvent constituer des renseignements personnels au sens de la Loi sur la protection des renseignements personnels.

• Q15 : Quels renseignements recueillis aux fins du Web analytique sont considérés comme des renseignements personnels?

  R15 : Voici quelques exemples de renseignements considérés comme des renseignements personnels : l’adresse IP de l’utilisateur et d’autres renseignements sur le comportement de l’utilisateur en matière de consultation du Web obtenus grâce à un marqueur numérique comme un témoin.

• Q16 : Quelle est la gravité des risques pour la vie privée associés à l’usage du Web analytique?

  R16 : Les risques, dont ceux associés au vol d’identité ou aux atteintes à la vie privée, sont à leur plus fort lorsque l’adresse IP et d’autres renseignements sur le comportement de consultation recueillis pendant la consultation des sites Web sont communiqués à un tiers qui mène des analytiques du Web sur les serveurs de tiers, qui sont souvent situés à l’étranger.

• Q17 : Quand les renseignements concernent-ils un individu identifiable?

  R17 : En général, les renseignements concernent un individu identifiable s'il existe une possibilité sérieuse que l'individu puisse être identifié lorsque ces renseignements sont utilisés, qu'ils soient utilisés seuls ou combinés avec d'autres renseignements disponibles.

• Q18 : Comment l'adresse IP peut-elle être reliée à un individu identifiable?

  R18 : Dans les collectivités éloignées comptant peu de ménages et peu d’ordinateurs, l’adresse IP peut, à elle seule, servir à identifier un individu. Certaines adresses IP sont également statiques, en ce sens qu’elles sont attribuées à l’ordinateur d’une personne en permanence. De plus, l’adresse IP peut être liée à un individu identifiable grâce au fournisseur de services Internet, car ce dernier peut à tout moment identifier l’individu associé à l’ordinateur auquel il a attribué une adresse IP et, grâce à cette adresse, lier l’individu et son comportement de consultation du Web.

IV. Exigences aux termes de la Norme

• Q19 : Quelles sont les exigences de la Norme et quand prennent-elles effet?

  R19 : Aux termes de la Norme, il faut satisfaire aux exigences suivantes :

  • (1) Avis de confidentialité : Des avis clairs relatifs à la protection de la vie privée doivent être publiés dans les sites Web institutionnels pour informer les visiteurs que des renseignements personnels sont utilisés pour exécuter le Web analytique. Les avis doivent être affichés dès l’entrée en vigueur de la Norme.
  • (2) Périodes de conservation : La Norme prévoit des périodes maximales de conservation des renseignements personnels. La période est 18 mois pour les institutions qui hébergent des outils du Web analytique à l’interne, après quoi les renseignements personnels seront éliminés dès que le bibliothécaire et archiviste du Canada en donne l’autorisation. Puisque les renseignements personnels ne sont pas utilisées à des fins administratives, la période de conservation de deux ans pour les renseignements personnels, tel qu’énoncé à l’alinéa 4(1)(a) des Règlements sur la protection des renseignements personnels, ne s’applique pas. La période de conservation est obligatoire dès l’entrée en vigueur de la Norme.
  • (3) Contrats : Les institutions utilisant des tiers fournisseurs de service devront conclure des contrats comportant un libellé strict sur la protection de la vie privée qui satisfait aux exigences de la Norme. De plus, les tiers seront tenus de protéger les adresses IP dépersonnalisées et d’autres renseignements divulgués relatifs aux contrats et pourront les conserver pour une période maximale de six mois. Ces contrats seront requis à compter du 30 juin 2014.
• Q20 : Les institutions qui utilisent des outils du Web analytique hébergés à l'externe ont-elles d'autres exigences à satisfaire au moyen de la Norme?

  R20 : Oui. Comme mesure d’atténuation, les institutions qui utilisent des outils du Web analytique hébergés à l’externe doivent activer la fonction de dépersonnalisation ou d’anonymisation de l’outil en question. Dans l’instance ou une institution utilise un outil qui ne comporte pas cette fonction, l’institution doit désormais changer d’outil pour ainsi satisfaire aux exigences énoncées à l’annexe A au paragraphe 2.1 de de la Norme.

• Q21 : En quoi consiste la fonction de dépersonnalisation ou d’anonymisation et comment l’activer?

  R21 : La fonction de dépersonnalisation retirera le dernier octet de l’adresse IP avant qu’il soit entreposé par le tiers fournisseur de service. Ce qui reste de l’adresse IP renseigne sur les régions géographiques tout en réduisant les risques d’identifiabilité (p. ex., emplacement de la rue et du domicile). Cette fonction peut être activée différemment selon l’outil d’analyse utilisé. Dans certains cas, il faut reconfigurer les paramètres et dans d’autres insérer une bribe au code Javascript d’analyse.

• Q22 : Quelle est l'incidence sur le Web analytique et les mesures produites?

  R22 : La dépersonnalisation ne compromettra pas la capacité de l'institution de recueillir et d'agréger les données du Web analytique, mais le retrait du dernier octet pourrait avoir une incidence sur les données d'analyse propres à un lieu géographique précis.

• Q23: Puisque la Norme exige du tiers qu'il tronque l'adresse IP, cette exigence ne traite-t-elle pas des risques pour la vie privée associés à a communication à des tiers de renseignements provenant des analytiques du Web?

  A23 : Même si le fait de tronquer l'adresse IP avant de la stocker réduit les risques, certains risques demeurent. Pour faire en sorte que l'exigence de tronquer l'adresse soit applicable et aussi pour atténuer les autres risques, y compris, par exemple, la possibilité pour un tiers d'utiliser ou de réutiliser les données du Web analytique à d'autres fins, la Norme exige en outre la conclusion d'un contrat comprenant des dispositions relatives à la diligence raisonnable afin de protéger la confidentialité. Les institutions ont jusqu'au 30 juin 2014, pour respecter cette exigence.

• Q24 : Dès que la fonction d'anonymisation est activée et que l'adresse IP est dépersonnalisée, pourquoi la Norme exige-t-elle une protection supplémentaire prenant la forme d'un contrat avec un tiers?

  R24 : Le gouvernement du Canada reconnaît l'importance de protéger les renseignements personnels des citoyens. La dépersonnalisation de l'adresse IP réduit le risque de la divulgation de l'information à des tiers. Pour protéger davantage les renseignements personnels, la Norme exige la passation d'un contrat avec un tiers comportant de strictes dispositions à cet égard. Par exemple, le tiers pourrait faire l'objet d'une vérification une fois par an pour s'assurer qu'il respecte les exigences de la Norme.

• Q25 : Les institutions doivent-elles dépersonnaliser ou anonymiser l'adresse IP lorsque les analytiques du Web sont déployés à l'interne sur leurs serveurs?

  R25 : Non. Cette exigence ne s'applique que lorsque des renseignements personnels sont communiqués à un tiers fournisseur de services puisque les risques associés à la vie privée sont plus grands en pareils cas.

• Q26 : Est-ce que la Norme s'applique aux journaux de serveurs, notamment pour la période de conservation et d'élimination des renseignements personnels?

  R26 : Non. La Norme s'applique seulement au Web analytique et aux renseignements personnels recueillies et utilisées à cette fin.

• Q27 : Est-ce que la Norme s'applique aux résultats du Web analytique, notamment pour la période de conservation et d'élimination des renseignements personnels?

  R27 : Les exigences en matière de conservation et d'élimination ne s'appliquent pas aux indicateurs de rendement et mesures connexes produites par les outils du Web analytique étant donné qu'il s'agit de données agrégées complètement anonymisées.

• Q28 : Pourquoi la période de conservation de 18 mois a-t-elle été retenue lorsque les analytiques du Web sont déployés à l'interne sur les serveurs des institutions?

  R28 : Une période de conservation de 18 mois permet aux institutions de mener des analyses des tendances au-delà d'un an tout en accordant la protection des renseignements personnels recueillis aux fins des analytiques du Web.

• Q29 : Pourquoi la période de conservation de 6 mois a-t-elle été retenue lorsque les analytiques du Web sont déployés à l'externe sur les serveurs de tiers?

  R29 : Cette période plus courte couvre les risques plus élevés pour les renseignements personnels, ce qui comprend les risques d'atteintes à la vie privée et les utilisations secondaires des données, qui sont associés aux analytiques du Web déployés à l'externe.

• Q30 : Si une institution se sert des renseignements provenant des journaux de son serveur pour exécuter des analytiques du Web, doit-elle éliminer ces renseignements après 18 mois?

  R30 : Non, puisque la Norme de s'applique pas aux journaux des serveurs. Les renseignements personnels devant être éliminés après 18 mois sont ceux qui ont été reproduits ailleurs par l'institution aux fins de l'exécution d'analytiques du Web déployés à l'interne.

• Q31 : Comment la période de conservation de 18 mois pour les analytiques du Web déployés à l'interne concorde-t-elle avec les calendriers de conservation de Bibliothèque et Archives Canada (BAC)?

  R31 : BAC n’établit pas les périodes de conservation. Les institutions établissent leurs propres calendriers de conservation et, ce faisant, elles peuvent demander les conseils de BAC, qui formule des recommandations concernant la conservation en se fondant sur la loi et les pratiques exemplaires. Dans le cas qui nous occupe, la période de conservation des renseignements personnels ayant trait aux analytiques du Web hébergés à l’interne est établie à l’annexe A, section 1.4 de la Norme.

• Q32 : BAC a-t-il autorisé l'élimination des renseignements se rapportant aux analytiques du Web?

  A32 : BAC a émis une Autorisation pluri institutionnelle de disposer de documents qui s'aligne sur la Norme et permet d'éliminer les renseignements.

• Q33 : Faut-il préparer une évaluation des facteurs relatifs à la vie privée (ÉFVP)?

  R33 : Le paragraphe 3.3 de la Directive sur l’évaluation des facteurs relatifs à la vie privée stipule qu'avant la mise en oeuvre d'une activité ou d'un programme nouveau ou ayant subi des modifications importantes comportant des renseignements personnels, on cerne, évalue et règle de manière appropriée les incidences sur la vie privée. L’ÉFVP est une composante de la gestion du risque qui est axée sur la conformité aux exigences de la Loi sur la protection des renseignements personnels. Le SCT a préparé le Rapport d’évaluation des facteurs relatifs à la vie privée concernant le Web analytique qui peut servir à d’autres institutions pour évaluer les facteurs relatifs à la vie privée.

• Q34: Est-ce que la création d'un fichier de renseignements personnels est nécessaire pour le Web analytique?

  R34 : Non. Le paragraphe 10(1) de la Loi sur la protection des renseignements personnels stipule qu’un fichier de renseignements personnels est nécessaire lorsqu’une institution recueille des renseignements personnels qui sont utilisés à des fins administratives. La Loi définit « fins administratives » par des renseignements personnels concernant un individu dans le cadre d’une décision le touchant directement. En ce qui a trait au Web analytique, on ne recueille pas l’adresse IP ni d’autres données à des fins administratives.

• Q35 : Y a-t-il une solution à long terme?

  R35 : Le SCT, en collaboration avec Travaux publics et Services gouvernementaux Canada, examine la possibilité d'établir d'un mécanisme d'approvisionnement pour trouver une solution pangouvernementale au Web analytique. Cela fait, les sociétés d'État pourront adopter la solution choisie par le gouvernement du Canada ou conclure avec les tiers fournisseurs de nouveaux contrats comportant un libellé strict sur la protection de la vie privée.

V. Conformité et échéancier

• Q36 : Quels sont les délais d'exécution pour se conformer à la Norme?

  R36 : 31 janvier 2013 : Comme mesure d’atténuation, les institutions qui font appel à des services externes pour les outils de Web analytique sont tenues d’activer la fonction de dépersonnalisation.

  31 janvier 2013 : Toutes les exigences prévues par la Norme entrent en vigueur p. ex., avis de confidentialité et périodes fixes pour la conservation des renseignements personnels, exception faite des exigences relatives à la nécessité de passation de contrat avec les tiers fournisseurs. (Voir l’annexe A, sections 1 et 2 et l’annexe B de la Norme)

  30 juin 2014 : Contrats requis avec les tiers fournisseurs, comportant un libellé strict sur la protection de la vie privée. (Voir l’annexe A, section 3, de la Norme)

• Q37 : Quelles sont les exigences en matière de surveillance et de production de rapports prévues à la Norme?

  R37 : Les exigences en matière de surveillance et de production de rapports de la Politique sur la protection de la vie privée s’appliquent à la présente Norme. À l’échelle du gouvernement, le Cadre de responsabilisation de gestion (CRG) peut être utilisé pour surveiller la conformité à la politique chez les institutions qui y sont assujetties. Les conséquences décrites dans la Politique sur la protection de la vie privée s’appliquent à la présente Norme. Ainsi, s’il est déterminé qu’une institution (qu’il s’agisse ou non d’une institution assujettie au CRG) ne s’est pas conformée à la Norme, le Secrétariat du Conseil du Trésor peut exiger de l’institution qu’elle fournisse dans son rapport annuel au Parlement d’autres renseignements concernant l’élaboration et la mise en œuvre de stratégies en matière de conformité.