Publié le par Arnaud Palisson

Bonnes pratiques du Commissaire à la protection de la vie privée de l’Ontario – N’en jetez plus !

Le nouveau guide d’évaluation des risques pour la vie privée publié par l’autorité régulatrice repose sur deux erreurs conceptuelles majeures.

En octobre dernier, le Commissaire à l’information et à la protection de la vie privée de l’Ontario (« le Commissaire ») a diffusé un guide des bonnes pratiques sur l’anonymisation des renseignements personnels – dont j’ai écrit ICI tout le mal que j’en pense.

Or, le mois suivant, le même Commissaire a diffusé un autre guide de référence, cette fois sur l’évaluation des risques d’atteinte à la vie privée. Vous allez dire que je m’acharne. Mais force est de constater que le Commissaire s’est encore planté.

Le document, intitulé Planifier pour réussir : guide d’évaluation de l’impact sur la vie privée pour les institutions publiques de l’Ontario constitue en fait une mise à jour, rendue nécessaire par l’entrée en vigueur de la Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. En effet, l’article 4(2) de ce texte est venu modifier l’article 38 de la Loi sur l’accès à l’information et la protection de la vie privée (LAIPVP). Lequel article créait ainsi l’obligation pour tout organisme public de mener une évaluation de l’impact sur la vie privée (ÉIVP) préalablement à la création ou la modification substantielle d’un traitement de renseignements personnels.

Jusqu’ici, les ÉIVP étaient seulement recommandées par le Commissaire ontarien. La loi amendée les rend désormais obligatoires, et ce pour TOUS les nouveaux traitements de renseignements personnels.

Évaluation de l’impact sur la vie privée (ÉIVP) est la traduction légale officielle française de l’anglais Privacy Impact Assessement (PIA). Ce terme désigne une analyse de la conformité légale d’un traitement de renseignements personnels.

  • Un PIA consiste à : 
    • identifier les textes applicables au traitement ;
    • analyser la licéité du traitement (fondement légal, finalités, nécessité et proportionnalité du traitement…) ;
    • vérifier le respect des principes fondamentaux de protection de la vie privée (minimisation des renseignements traités, limitation de leur conservation, respect des droits des personnes concernées…) ;
    • contrôler la mise en œuvre des obligations du responsable de traitement et des sous-traitants ;
    • relever les écarts de conformité et définir les mesures correctrices nécessaires.

Mais il est primordial d’ajouter qu’il existe un mécanisme de protection des renseignements personnels voisin du PIA : le Data protection impact assessment (DPIA) – traduit en français par analyse d’impact relative à la protection des données (AIPD). Il apparaît dans le Règlement général de protection des données à caractère personnel (RGPD), notamment à son article 35.

  • Un DPIA (avec un D…) consiste à :
    • faire un PIA,
    • en plus, analyser les risques que le traitement de données personnelles fait peser sur la vie privée des individus concernés, et
    • prévoir les mesures nécessaires pour atténuer ces risques.

Un DPIA n’est imposé que dans certains cas légaux, soit parce que les données personnelles traitées sont particulièrement sensibles, soit parce que le traitement présente des enjeux particuliers de vie privée (un traitement par intelligence artificielle, par exemple, peut rendre obligatoire un DPIA).

Au Québec, la législation prévoit un mécanisme similaire au DPIA : l’évaluation des facteurs relatifs à la vie privée (ÉFVP), qui elle aussi est obligatoire uniquement dans certains cas limitativement prévus par la loi.

  • Je résume :
    • un PIA est une analyse de conformité légale du traitement. Il est obligatoire pour tout nouveau traitement ou toute modification substantielle d’un traitement existant.
    • un DPIA est en plus une analyse des risques de vie privée induits par le traitement. Il n’est obligatoire que dans certains cas limitativement prévus par la législation.

Eh bien, la loi ontarienne vient d’introduire une chimère : le PIA ontarien est en effet une analyse de conformité légale ET une analyse des risques de vie privée.

« Mais alors, c’est un DPIA.» rétorquerez-vous. Eh bien non, ce serait trop simple ! Le PIA ontarien est obligatoire pour tout traitement ou modification substantielle de traitement existant. Il est donc à la fois un PIA… et un DPIA !

Vous vous souvenez de la de-identification en droit ontarien, qui peut désigner une dépersonnalisation ou une anonymisation – ça dépend des fois ? Eh bien, accrochez-vous à quelque chose de solide, car nous revoilà en sables mouvants juridiques ontariens ! Et le Commissaire s’y enfonce, avec :

  1. une malencontreuse notion extensive du risque pour la vie privée ;
  2. une regrettable démarcation entre conformité légale et risque pour la vie privée.

1. Un risque d’atteinte à la vie privée

Relevons tout d’abord que le Commissaire commet une grave confusion, lorsqu’il écrit (p.4):

Les risques pour la vie privée ou les impacts sur la vie privée se divisent en deux grandes catégories :
– Les risques pour les particuliers, dont le vol, la perte ou l’utilisation ou la divulgation non autorisée de renseignements personnels, pouvant donner lieu à un vol d’identité et d’autres formes de fraude, à des effets négatifs sur les possibilités d’emploi ou les occasions commerciales, à une atteinte à la réputation, à de l’embarras, à de la détresse ou à des pertes financières.
– Les risques pour les institutions, y compris les impacts financiers et légaux des atteintes à la vie privée, une atteinte à la réputation et les conséquences de la non-conformité à la LAIPVP (…).

Rappelons ici qu’un risque pour la vie privée n’est pas la même chose qu’un impact sur la vie privée. Un risque est la conjonction de deux éléments : la probabilité de survenance d’un événement dommageable ET l’impact potentiel de cette survenance.

D’ailleurs, le terme de Privacy Impact Assessment est malvenu. Nous verrons plus loin qu’un Privacy Impact Assessment tend à évaluer des impacts potentiels mais aussi la probabilité de survenance d’un événement dommageable. Un PIA est donc bien davantage un Privacy Risk Assessment.

Le Commissaire poursuit (p. 15 et 17) :

Un impact sur la vie privée peut également nuire à votre institution. Le public peut réagir fortement à une atteinte perçue à la vie privée. Elle peut nuire gravement à la réputation de votre institution et entraîner une perte de confiance du public. Elle peut également causer des perturbations opérationnelles, en compromettant la continuité et la qualité de vos services. Votre institution peut également être exposée à un risque sur le plan juridique, par exemple en raison de la non-conformité à la LAIPVP (…).

Impact sur la vie privée : Envisagez les risques pour la vie privée ou l’impact sur elle résultant de chaque lacune en matière de conformité selon le point de vue des personnes concernées et de votre institution : (…)

– Tenez compte de l’impact de la non-conformité sur la réputation de votre institution et sur la capacité de celle-ci à conserver la confiance du public.
– Envisagez l’impact sur les activités, y compris les coûts nécessaires pour remédier à une atteinte à la vie privée qui aurait pu être évitée.

Bref, le Commissaire mélange malencontreusement deux catégories de risques bien distinctes :

  1. les risques pour les particuliers : c’est ici que la vie privée des personnes est concernée,
  2. les risques pour les institutions : il s’agit certes de risques, mais PAS de risques pour la vie privée.

Parfois, il peut y avoir superposition de risques de type 1 et de type 2, mais il s’agit de risques distincts, de natures radicalement différentes.

Si un incident de confidentialité cause un risque d’atteinte à la vie privée des personnes ET un risque pour l’institution, cela ne veut pas dire que le risque pour l’institution est aussi un risque d’atteinte à la vie privée.

En effet, selon que l’on est face à des risques de type 1 ou de type 2, l’organisme ne va pas se prémunir ou réagir de la même façon. D’ailleurs, la manière dont va agir un organisme est un puissant indicateur de son positionnement en contexte de protection de la vie privée. L’organisme va-t-il privilégier les intérêts de ses clients/usagers/employés (mitigation du risque de type 1), ou bien va-t-il plutôt chercher à se protéger d’un éventuel contentieux (mitigation du risque de type 2) ? Dans le second cas, les actions prises par l’organisme peuvent même n’avoir aucune incidence sur la protection de la vie privée des personnes concernées.

Un risque réputationnel, de non-conformité ou financier pour l’organisme n’est PAS un risque pour la vie privée. Ne confondons pas tout. En droit, les mots ont un sens ; et des conséquences.

  • Il faut distinguer :
    • les risques pour la vie privée des personnes concernées,
    • les impacts potentiels pour l’organisme, en cas de réalisation d’un risque pour la vie privée des personnes.

    Une ÉIVP ne devrait concerner que les premiers, et pas les seconds.

    2. Conformité ne vaut pas absence de risque

    2.1. Exposé du problème

    On l’a vu, la révision de la LAIPVP en 2024 impose dorénavant une ÉIVP à tout nouveau traitement de renseignements personnels. Or, le Commissaire ontarien a bien conscience des problèmes que cette obligation va poser dans la pratique.

    Un problème en termes de ressources humaines tout d’abord (p. 5) :

    Certaines institutions disposeront de membres de leur personnel qui sont bien placés pour (…) prendre en charge [l’ÉIVP]. Selon la complexité du projet et la disponibilité de personnel ayant l’expertise nécessaire au sein de votre institution, vous devrez peut-être faire appel à un spécialiste de l’extérieur pour mener votre ÉIVP.

    Mais faire faire des évaluations de risque à des non-spécialistes chaque fois qu’on imagine un nouveau traitement de renseignements personnels, voilà qui va nuire à la productivité des services. En outre, tous les organismes n’ont pas les moyens de se payer les services de consultants externes spécialisés ; surtout à chaque nouveau traitement.

    Un problème en termes de temps ensuite (p. 4) :

    La réalisation d’une ÉIVP n’a pas besoin d’être longue ou complexe, mais il faut être rigoureux afin de relever et d’atténuer les risques éventuels pour la vie privée. La complexité de l’ÉIVP et de la documentation qui en découle reposera sur la complexité du projet et les besoins de votre institution.

    Voilà le lecteur rassuré. Du moins… jusqu’à ce qu’il compulse les annexes A, B et C du guide. En effet, pour mener à bien une ÉIVP, le document recommande quand même aux responsables de traitement de remplir… 36 (trente-six) pages de tableaux !

    Qu’on le veuille ou non, l’ÉIVP selon le guide ontarien sera ET longue ET complexe. Quant à savoir si elle sera rigoureuse, eh bien, je ne parierais pas trop là-dessus. Les responsables de traitement vont avoir d’autres chats à fouetter que de remplir consciencieusement un fichier Excel interminable à chaque nouveau traitement.

    Il faut toutefois bien le reconnaître : le Commissaire n’est pas dupe de ses propres propos. Il décide en effet de limiter la casse. Dans son guide, il intègre des dispositions permettant de diminuer drastiquement le nombre d’ÉIVP à effectuer. Malheureusement, la typologie qu’il développe à cette fin se révèle totalement erronée.

    Le Commissaire trace ainsi une ligne de démarcation claire (p. 15 – c’est moi qui souligne) :

    L’annexe C est une liste de vérification aux fins de l’analyse concernant la protection de la vie privée qui vous invite à examiner les exigences législatives et autres en matière de protection de la vie privée et à déterminer si le projet sera conforme et à le documenter. Si ce n’est pas le cas, vous devrez établir les risques associés à la protection de la vie privée et leur impact, puis définir les mesures à prendre pour les atténuer.

    • Autrement dit,
      • si votre nouveau traitement est conforme à la législation, le processus d’ÉIVP s’arrête là.
      • si votre traitement n’est pas conforme à la législation, il faut poursuivre le processus d’ÉIVP : évaluer les risques et énoncer les mesures d’atténuation (dont les mesures de mise en conformité).

    Or, cette approche se révèle doublement erronée.

    2.2. Un traitement non-conforme est un traitement illégal

    Tout d’abord, si votre traitement n’est pas conforme légalement, vous aurez beau évaluer les risques induits et énoncer des mesures d’atténuation, votre traitement sera toujours… illégal.

    Donc, vous avez bien lu le paragraphe de la page 15 : le Commissaire à l’information et à la protection de la vie privée de l’Ontario, autorité régulatrice provinciale, nous explique le plus sérieusement du monde qu’on peut implanter un traitement illégal, du moment qu’on a évalué et mitigé les risques !

    Il ne s’agit pas d’une erreur de traduction, puisque la version anglaise du guide (p. 15) dit la même chose.

    Il ne s’agit pas non plus d’une coquille : la critiquable position du Commissaire est reprise plus loin dans les annexes, notamment à la page 37 (c’est moi qui surligne) :

    Il résulte donc bien de ce tableau que le responsable de traitement pourra tout à fait répondre NON à une question, reconnaissant ainsi une non-conformité.

    • Le traitement sera considéré comme valide, du moment qu’il prévoit :
      • soit une mesure de mise en conformité ;
        or, l’hypothèse est peu probable pour au moins trois raisons :
        • on voit mal pourquoi le responsable de traitement irait mettre en place une telle mesure, dès lors qu’il reconnait que la non-conformité est acceptable ;
        • plutôt qu’une mesure de mise en conformité d’une modalité non conforme, il faudrait au contraire que le responsable de traitement repense et modifie toute la modalité non conforme de sorte qu’elle soit effectivement conforme ;
        • une mesure de mise en conformité est généralement prise bien après l’implantation d’un traitement de renseignements personnels, le plus souvent suite à un incident de confidentialité et/ou un audit ayant mis en lumière une non-conformité.
      • soit une mesure d’atténuation du risque :
        • cela signifie que la non-conformité demeure ;
        • cela revient à placer un simple pansement sur la plaie, en espérant qu’elle ne va pas s’infecter.
      • soit… rien du tout !
        • du moment qu’on explique pourquoi.

     Les bras m’en tombent…

    2.3. La conformité légale n’exclut pas le risque

    Ensuite, si l’on en croit le Commissaire, un traitement conforme à la législation ne présente pas de risques pour la vie privée. Or, c’est totalement faux.

    Un traitement conforme à la loi ne présente pas de risque de… non-conformité légale. Mais cela ne veut pas dire qu’il ne comporte pas de risques pour la vie privée.

    2.3.1.  La conformité légale en protection de la vie privée

    Avant de mettre en œuvre un traitement de renseignements personnels, son responsable est tenu de respecter un certain nombre de dispositions légales. D’une législation à l’autre, ces règles varient plus ou moins. Mais il existe un consensus international sur les grands principes que les lois nationales doivent faire respecter.

    Le référentiel le plus connu en la matière est l’ensemble des principes développés par l’Organisation de coopération et de développement économiques (OCDE), intitulé Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnelOECD Legal Instruments

    On peut les énoncer de la façon suivante :

    1. Limitation de la collecte : les renseignements collectés doivent se limiter à ceux qui sont strictement nécessaires au traitement. ils doivent être obtenus de manière licite et loyale, avec le consentement de l’individu si nécessaire.
    2. Qualité des données : les renseignements doivent être exacts, complets et tenus à jour pour les fins auxquelles ils sont destinés.
    3. Spécification des fins : les objectifs de la collecte doivent être précisés au plus tard au moment de la collecte.
    4. Limitation de l’utilisation : les renseignements ne doivent pas être utilisés à d’autres fins que celles spécifiées initialement, sauf avec le consentement de l’intéressé ou en vertu d’une disposition légale.
    5. Garanties de sécurité : des mesures de protection raisonnables doivent être prises contre la perte, l’accès, ou l’utilisation non autorisée des renseignements personnels.
    6. Transparence : une politique d’ouverture doit exister au sein de l’organisme concernant ses pratiques en matière de traitement des renseignements personnels.
    7. Droits des personnes concernées : un individu a le droit d’obtenir confirmation que l’organisation détient des données sur lui et d’en obtenir communication, voire de les faire rectifier s’ils sont inexacts.
    8. Responsabilité : le responsable du traitement doit rendre compte du respect des principes précédemment énoncés.
    • Chaque traitement de renseignements personnels est tenu de respecter ces principes. Toutefois, si l’on les étudie plus précisément, on constate que ces principes ont une incidence variable sur la protection de la vie privée des personnes concernées par le traitement.
      • Le principe 1 peut être contrôlé à priori (au moment de l’évaluation de conformité), du moins dans une certaine mesure.
        • il peut atténuer l’impact potentiel en cas d’atteinte à la vie privée, en limitant le nombre de renseignements personnels exposés.
      • Le principe 2 ne peut pas être contrôlé à priori.
        • Son non-respect affecte rarement les risques d’atteinte à la vie privée (exemple : des renseignements personnels obsolètes dérobés suite à une cyberattaque).
      • Le principe 3 peut être contrôlé à priori, dans une certaine mesure.
        • Il s’agit essentiellement d’enjeux de transparence et de validité du consentement.
        • Son non-respect n’affecte pour ainsi dire pas les risques d’atteinte à la vie privée (il ne faut pas confondre avec le principe 4).
      • Le principe 4 n’est pas contrôlable à priori.
        • il peut permettre d’atténuer (faiblement) la probabilité de survenance d’une atteinte à la vie privée, en limitant (théoriquement) les opportunités que les renseignements personnels soient exploités dans des conditions non sécurisées.
        • Mais il n’est pas possible de savoir à priori si le responsable du traitement ne va pas, ultérieurement, faire une autre utilisation – illégale – des renseignements. 
      • Le principe 5 se limite à exiger des mesures de protection « raisonnables ».
        • Ces mesures visent à limiter l’impact potentiel ou la probabilité de survenance d’une atteinte à la vie privée.
        • mais les mesures adéquates dépendront de chaque traitement. Il est donc très difficile d’estimer à priori, que des mesures pertinentes ont été prises ; lors de l’évaluation initiale de conformité, le responsable du traitement se contentera généralement de rappeler les mesures de sécurité de l’information en vigueur dans l’organisme.
      • Les principes 6 et 8 ne dépendent généralement pas du traitement lui-même mais des politiques et directives internes de l’organisme qui met en place le traitement.
        • Leur non-respect n’affecte pour ainsi dire pas le risque d’atteinte à la vie privée.
      • Le principe 7 peut parfois faire l’objet de développements spécifiques pour un traitement donné.
        • Mais son non-respect affectera rarement les risques d’atteinte à la vie privée.
    • En résumé, sur ces 8 principes :
      • ce sont essentiellement les 4 premiers qui font l’objet d’une évaluation de la conformité propre au traitement ; et ils ont une faible incidence sur les risques d’atteinte à la vie privée que ce traitement peut induire ;
      • les 4 derniers principes seront généralement considérés comme respectés par un simple rappel des politiques et directives en vigueur dans l’organisme.

    Dès lors, on comprend pourquoi l’évaluation de conformité du traitement n’est pas un totem d’immunité. Un traitement peut être estimé totalement conforme sur le papier. Mais, somme toute, cette conformité protège peu contre d’éventuels incidents de confidentialité.

    En résumé : 

    2.3.2. Incident de confidentialité et risque pour la vie privée

    Note : on utilise ici le terme légal québécois incident de confidentialité. Ce n’est certes pas l’appellation la plus adéquate, mais sa définition a le mérite d’être claire : tout accès, utilisation ou communication non légale d’un renseignement personnel, ou de toute autre atteinte à la protection d’un tel renseignement.

    L’incident de confidentialité ne constitue pas un risque d’atteinte à la vie privée, mais il l’engendre. Et en cas d’incident, certains traitements sont plus à risque que d’autres.

    • Pour illustrer mon propos, considérons deux traitements de renseignements personnels :
      • traitement A : une base de données pour la gestion des adhérents d’un club d’échecs dans une école secondaire ;
      • traitement B : une base de données utilisée dans un projet de recherche médicale de lutte contre le cancer, répertoriant des renseignements de santé de tous les résidents de l’Ontario.

    On considère que les deux traitements remplissent les exigences de conformité légale en matière de protection des renseignements personnels.

    Selon le Commissaire ontarien, il n’y aurait donc pas besoin d’évaluer les risques. L’ÉIVP doit donc s’arrêter ici.

    Pourtant, quand on regarde les modalités des traitements, on comprend aisément qu’il y a comme un défaut :

    TraitementSensibilité des renseignements traitésNombre de renseignements traitésNombre de personnes concernéesPossibilité d’extraction de données par l’utilisateurHébergement des renseignements 
    ARenseignements
    non sensibles    		5 par personne16NONQuébec ; compagnie de droit québécois
    BRenseignements sensibles500 par personne16 000 000OUIChine ; compagnie de droit chinois
    • Pourtant, le traitement B est conforme !
      • un contrat en bonne et due forme, avec des clauses de protection des renseignements personnels, a été signé avec la compagnie chinoise qui hébergera les renseignements,
      • les personnes concernées ont consenti à ce que leurs renseignements personnels soient hébergés dans ces conditions, etc.

    Est-il pour autant raisonnable de mettre fin à l’ÉIVP, sans chercher à évaluer les risques et à les atténuer, sous prétexte que « tout est conforme » ?

    Non, certainement pas. Il est évident que le traitement B présente des risques particulièrement élevés pour la vie privée des personnes concernées. Il conviendrait d’évaluer ces risques et de déterminer les mesures à implanter pour les atténuer.

    Eh bien, pour le Commissaire ontarien, ce n’est pas la peine. Tout est conforme, DONC il n’y a pas de risque pour la vie privée !

    « Allo, Toronto ? Nous avons un problème…»

    *
    *     *

    Octobre 2025 : un guide des bonnes pratiques en anonymisation des renseignements personnels.

    Novembre 2025 : un guide des bonnes pratiques en évaluation des risques pour la vie privée.

    En deux mois, l’autorité régulatrice provinciale aura donc publié deux documents considérés comme des références, mais qui accumulent maladresses, errances et aberrations.

    S’inspirant d’Elliot Carver dans Demain ne meurt jamais, le Commissaire de l’Ontario semble avoir trouvé sa devise :

    « Les bonnes pratiques… sont les mauvaises pratiques.»

    (en version anglaise : ”There is no practices like bad practices.”)

    À propos de Arnaud Palisson

    Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.