L’état du Québec 2020 | Clé 14

Données personnelles en ligne : quelque chose à cacher?

Anne-Sophie Letellier
Doctorante en communication à l’Université du Québec à Montréal et codirectrice des communications de Crypto.Québec

Ce texte est issu de la clé 14 de la publication annuelle de l’INM L’état du Québec 2020.

Ce n’est plus un secret pour personne : la majeure partie de nos activités génère des données. Si vous possédez un téléphone intelligent, disposez de comptes dans les médias sociaux, remplissez des déclarations de revenus, naviguez sur Internet, utilisez une carte de crédit, avez un bracelet Fitbit ou interagissez avec un appareil du type Alexa ou Google Home, vous communiquez un grand nombre d’informations.

Constituées de données et de métadonnées1, les traces qu’on laisse en ligne sont fréquemment communiquées à de tierces parties, à des fins fonctionnelles ou encore commerciales. Évidemment, qu’un individu puisse avoir un contrôle sur les données et métadonnées qu’il génère et sur les entreprises, organismes et institutions qui y ont accès relève pratiquement de la fantaisie.

Toute génération de données n’est pas forcément mauvaise. Lorsque nous naviguons sur Internet, par exemple, des métadonnées sont créées par nos informations de connexion, et notre fureteur nous assure que la requête d’information parvient à notre écran plutôt qu’à celui de notre voisin. Ou encore, l’historique des achats des cartes de crédit aide à prévenir la fraude. Néanmoins, de nombreux chercheurs, journalistes, juristes et technologistes s’entendent pour dire que la collecte, l’analyse et surtout la marchandisation de données personnelles s’avèrent extrêmement problématiques. Elles soulèvent des questions liées à la protection de la vie privée et des enjeux plus globaux.

DÉPASSER LE « JE N’AI RIEN À CACHER » : LES ENJEUX DE LA COLLECTE MASSIVE DE DONNÉES
La collecte de données en ligne est sans doute la plus visible pour les consommateurs. Elle se fait à l’aide des cartes de fidélité, du marketing des traces2, des systèmes de recommandation de diverses plateformes marchandes ou de la publicité ciblée. Les pratiques de surveillance sont étroitement liées à des activités économiques qui visent à faire des consommateurs le produit, et à contrôler l’offre au regard de leurs intérêts financiers. Le modèle d’affaires des géants du numérique3 repose essentiellement sur cette marchandisation des données personnelles.

L’économie des données exploitée par plusieurs sociétés du domaine numérique peut également donner lieu, comme l’ont démontré les révélations du lanceur d’alerte Edward Snowden, à des pratiques de surveillance mises en oeuvre par les gouvernements4. Ces pratiques opaques, autorisées par des processus législatifs et politiques, s’inscrivent dans un contexte sécuritaire. La récolte massive de données sur la population civile, permise par des mandats de perquisition ou par l’exploitation de vulnérabilités informatiques sur les serveurs des entreprises, semble être liée à un désir de régulation sociale. L’objectif : mieux garantir l’intégrité physique des citoyens face à une potentielle menace terroriste.

En plus des bases de données gouvernementales, l’information trouvée dans les réseaux sociaux est également utilisée par l’État. Des recherches démontrent que l’analyse prédictive informe désormais les corps policiers aux États-Unis5 et influence l’attribution de l’aide sociale6. Cette pratique entraînerait de la discrimination envers les minorités culturelles et les habitants de quartiers défavorisés.

La collecte de données s’effectue donc dans un système à la fois politique, juridique, économique et culturel qui consolide et encourage leur production, leur stockage et leur analyse. À ce titre, la chercheuse Sarah Myers West fait référence à la notion de « capitalisme de données ». Elle décrit un système dans lequel la commodification7 des données personnelles permet « une redistribution asymétrique du pouvoir envers les acteurs qui possèdent un accès et une capacité à faire sens de ces informations8 ».

Dit autrement, la collecte massive de données va bien au-delà de l’intrusivité inhérente aux publicités ciblées et soulève ainsi des enjeux de justice sociale. Elle permet notamment la manipulation et le microciblage politique ainsi que des pratiques de discrimination envers des populations marginalisées ou vulnérables. Elle s’inscrit également dans un contexte politique qui envisage positivement la profitabilité des économies du numérique.

Cet enthousiasme se manifeste entre autres par ce que Mél Hogan9 appelle le complexe industriel de centres de données. Différents ordres du gouvernement financent en effet l’industrie en investissant dans la construction et la gestion de centres de données. Ce complexe expose les mécanismes par lesquels la production et le stockage de données deviennent un moteur de croissance économique qui s’appuie sur la captation et la libre circulation des données.

Les promesses de profitabilité et de renouveau industriel10 de l’économie du numérique font en sorte que les conséquences négatives de la marchandisation des données personnelles restent peu abordées dans les discours des décideurs politiques. On accorde une plus grande importance à la sécurisation des données personnelles qu’à la diminution de leur production en amont.

En somme, la collecte de données personnelles constitue une problématique dont les divers aspects sont interreliés. Elle relève d’abord et avant tout d’un problème économique. La surveillance et la collecte de données sont au centre du modèle d’affaires des entreprises qui structurent notre environnement numérique.

Ensuite, le problème est politique et juridique. Devant les innovations technologiques qui abondent, les autorités judiciaires et les gouvernements ont peine à se mettre à jour. C’est sans compter la popularité apparente de la majorité des plateformes ainsi que leur profitabilité économique, qui n’incitent pas à légiférer.

L’autre problème est culturel. L’environnement numérique s’avère en effet divertissant et commode. L’appréciation générale de ces outils invisibilise les risques qu’ils posent à long terme pour la société. Ils créent les conditions sociales nécessaires à la reproduction de ces structures marchandes et politiques.

Vous aimez ce texte? Procurez-vous l’ouvrage complet, en version papier ou numérique, sur notre boutique en ligne.

ACHETER

LA SÉCURITÉ ET LE CONSENTEMENT AU COEUR DES DÉBATS SUR LES DONNÉES PERSONNELLES
En plus de la structure marchande de l’économie des données, la littérature en sciences sociales sur les données personnelles établit de nombreux problèmes. Le manque de transparence de la part des plateformes numériques sur les pratiques associées à la collecte, à l’analyse et à la vente de données à de tierces parties en est un. Cette absence d’encadrement permet aux entreprises d’agir en toute impunité. Elle contraint également les citoyens et les décideurs politiques à adopter une posture réactive au regard des risques de fuite et de mauvaise utilisation des données personnelles.

Un autre enjeu découlant de la « course » à la récolte de données personnelles est leur sécurisation. Les fuites de données des sites commerciaux sont de plus en plus fréquentes. Les cas récents d’Air Canada, d’Uber, de LinkedIn, d’Equifax et de Bell sont de bons exemples. S’il est impossible de garantir sans équivoque la sécurité absolue des données personnelles, peu de sociétés investissent suffisamment pour sécuriser les données de leurs clients.

La raison est simple : les ressources humaines et technologiques nécessaires à de bonnes pratiques en sécurité sont dispendieuses. D’ailleurs, le spécialiste en sécurité de l’information Bruce Schneier soutient que beaucoup d’entreprises préfèrent tourner les coins ronds dans l’implantation de normes de sécurité ou dans les mises à jour de leurs systèmes. Le pari est que, comme pour Facebook dans l’affaire Cambridge Analytica, les pertes engendrées par la mauvaise presse seront moindres que les ressources qui auraient autrement été mobilisées pour sécuriser adéquatement les données personnelles des utilisateurs.

L’enjeu du consentement éclairé de l’utilisateur est aussi important. Deux grandes approches existent. Le opt-in, d’une part, fait référence à l’action que doit accomplir l’utilisateur pour autoriser la collecte de données. Une plateforme utilisant une approche à opt-in demandera donc à l’utilisateur d’accepter que ses données soient récoltées.

Le opt-out, d’autre part, consiste en une collecte de données par défaut. L’utilisateur peut ensuite s’y soustraire en allant modifier les paramètres de son compte. Les plateformes Facebook et Google, notamment, utilisent cette approche. L’absence de réelles options de rechange pour plusieurs services ainsi que le jargon juridique utilisé dans de longs documents présentant les politiques de confidentialité rendent plus difficile pour un utilisateur la possibilité de donner un consentement éclairé11. Cette logique est cohérente avec l’absence – ou le laxisme – de cadres juridiques relatifs à la protection et à la collecte de données des utilisateurs.

LES CADRES JURIDIQUES
Les débats entourant la collecte de données personnelles restent majoritairement associés au droit à la vie privée, lequel n’est pas explicitement reconnu comme un droit constitutionnel dans la Charte canadienne des droits et libertés. Néanmoins, les lois canadiennes en matière de protection de la vie privée s’appuient sur les sections 7 et 8 de la Charte12, qui soutiennent que « chacun a droit à la vie, à la liberté et à la sécurité de sa personne ; il ne peut être porté atteinte à ce droit qu’en conformité avec les principes de justice fondamentale » ; et que « chacun a droit à la protection contre les fouilles, les perquisitions ou les saisies abusives13 ».

Au Canada, plusieurs lois protègent les renseignements personnels des citoyens. Tout dépend de la nature de l’organisation14, du lieu où elle se situe et du type de renseignements qu’elle traite. D’abord, la Loi sur la protection des renseignements personnels « établit les limites quant à la collecte, à l’usage et à la divulgation et à la destruction de renseignements personnels détenus par le gouvernement et les agences fédérales15 ». Ensuite, cette loi permet aux citoyens de porter plainte auprès du commissaire à la protection de la vie privée du Canada s’ils pensent que des pratiques opérées par un ordre gouvernemental leur ont causé un tort relatif à la protection de leur vie privée.

De manière générale, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) « expose les règles fondamentales de la collecte, de l’utilisation et de la communication de renseignements personnels. Les organisations du secteur privé partout au Canada doivent s’y soumettre dans le cadre de leurs activités commerciales à but lucratif16 ». Cette réglementation cible exclusivement les activités dites lucratives et non pas, à titre d’exemple, des organismes de bienfaisance à but non lucratif ou encore des partis politiques.

Au Québec, c’est la Loi sur la protection des renseignements personnels dans le secteur privé qui a autorité en matière de protection des données personnelles. Elle offre des protections essentiellement équivalentes à celles de la loi fédérale.

Si ces lois constituent des balises nécessaires à la protection des informations personnelles des citoyens canadiens, nombreux sont ceux qui critiquent leur désuétude. Elles datent respectivement de 1985, de 2000 et de 1993, et ne couvrent pas les enjeux relatifs aux mutations technologiques.

Le cadre juridique, par exemple, interprète présentement un renseignement personnel comme étant le nom, l’âge, l’ADN, les numéros permettant de s’identifier (numéro d’assurance sociale, permis de conduire, etc.), l’âge, l’état civil, ou encore le contenu de conversations privées. Cela exclut donc ce que nous avons défini précédemment comme étant des métadonnées, c’est-à-dire des informations contextuelles entourant les activités en ligne des citoyens. Ce sont, entre autres, des métadonnées associées au comportement des utilisateurs de Facebook qui ont été utilisées par la firme Cambridge Analytica et lui ont permis de mener ses campagnes de microciblage politique.

Le Commissariat à la protection de la vie privée du Canada a remis en 2019 un rapport concernant ce scandale17. Il a entre autres affirmé que Facebook a contrevenu à la LPRPDE, notamment en ce qui a trait au consentement des utilisateurs, à la protection de leurs renseignements personnels ainsi qu’à sa responsabilité quant aux renseignements des utilisateurs dont elle assure la gestion.

Ces conclusions sont évidentes et relativement restreintes par rapport à l’ampleur du scandale, et il appert que la LPRPDE et les pouvoirs conférés au commissaire à la vie privée se sont avérés insuffisants. On n’a pu imputer à Cambridge Analytica ses actions. En ce sens, non seulement les lois canadiennes pas dotées des mécanismes juridiques et institutionnels capables de les renforcer.

PISTES D’ACTIONS POUR ENCADRER L’UTILISATION DES DONNÉES PERSONNELLES
En mai 2019, le gouvernement du Canada a fait l’annonce de la création d’une Charte canadienne du numérique. Ciblant une variété d’enjeux liés au numérique, cette dernière propose en outre une réforme de la LPRPDE pour mieux l’adapter au contexte technologique contemporain. La direction que prendront ces réformes reste inconnue, mais l’annonce du gouvernement permet de soulever quelques objectifs structurants. « Le gouvernement réfléchit à la meilleure façon de moderniser son cadre stratégique et réglementaire du secteur privé en vue de protéger la vie privée et de favoriser l’innovation et la prospérité. Bref, l’objectif est de respecter les gens et leur vie privée en leur assurant un contrôle significatif sans créer de restrictions onéreuses ou redondantes pour les entreprises, de favoriser l’innovation responsable de la part des organisations et d’assurer l’adoption d’un modèle d’application amélioré et réfléchi18. »

Cette vision de la protection des données numériques ne prend pas en considération le contexte économique et marchand inhérent à leur création et à leur captation. S’il s’avère nécessaire de mettre à jour les cadres juridiques, un nombre grandissant de recherches démontrent qu’aucun changement substantiel ne pourra s’opérer sans être accompagné d’une remise en question des modèles d’affaires qui structurent l’économie du numérique. Une foule d’experts estiment à cet effet que le Règlement général sur la protection des données de l’Union européenne constitue un premier pas essentiel dans cette direction.

NOTES

1. Une métadonnée décrit une donnée à propos d’une autre donnée. Elle est une sorte d’information contextuelle. Par exemple, dans le cas où un courriel représente une donnée, les métadonnées lui étant reliées seraient le destinateur, le destinaire ainsi que l’adresse IP associée aux lieux de connection des ordinateurs, le fureteur utilisé pour envoyer le courriel, la date et l’heure de l’envoi, etc.

2. Kessous, Emmanuel. « L’économie de l’attention et le marketing des traces ». Actes du 79e congrès international de l’Acfas, 2011, p. 69-79.

3. Ces derniers sont connus sous l’acronyme GAFAM (Google, Amazon, Facebook, Apple et Microsoft).

4. Greenwald, Glenn. No place to hide: Edward Snowden, the NSA, and the U.S. surveillance state. Toronto : Signal, 2014.

5. Ferguson, Andrew G. The rise of big data policing: Surveillance, race, and the future of law enforcement. New York : New York University Press, 2017.

6. Eubanks, Virginia. Automating inequality: How high-tech tools profile, police, and punish the poor. New York : St. Martin’s Press, 2018.

7. La notion de commodification fait ici référence aux processus qui transforment des informations privées ou des activités en ligne en biens qui ont une valeur marchande.

8. West, Sarah Myers. « Data capitalism: Redefining the logics of surveillance and privacy ». Business & Society, vol. 58, no 1 (juillet 2017), p. 20-41.

9. Hogan, Mél. « Data is airborne ; data is inborn : The labor of the body in technoecologies ». First Monday, vol. 23, no 3 (5 mars 2018).

10. Nous remarquons, en outre, plusieurs reconversions d’usines et d’imprimeries en centres de données au Canada et à l’international. Notamment, une ancienne imprimerie du journal The Gazette a été convertie en centre de données à Montréal (eStructure, 2017).

11. Dulong de Rosnay, Melanie. « Vie privée et données personnelles ». Dans Frau-Meigs, Divina, Alain Kiyindou, Jean Musitelli (dir.) et Commission nationale française de l’Unesco, Diversité culturelle à l’ère du numérique : glossaire critique, Paris, La Documentation française. 2014.

12. Shepherd, Tamara et Leslie Regan Shade. « La vie privée et les jeunes au Québec et au Canada ». Dans Landry, Normand et Anne-Sophie Letellier (dir.), L’éducation aux médias à l’ère numérique : entre fondations et renouvellement, Montréal : Presses de l’Université de Montréal, 2016, p. 191-208.

13. Gouvernement du Canada. Charte canadienne des droits et libertés, 1982.

14. À titre d’exemple, s’il s’agit d’une organisation gouvernementale fédérale ou provinciale, ou d’une entreprise privée.

15. Shepherd, Tamara et Leslie Regan Shade, op. cit.

16. Commissariat à la protection de la vie privée du Canada. « Aperçu des lois sur la protection des renseignements personnels au Canada ». Lois sur la protection des renseignements personnels au Canada, 2017. https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/lois-sur-la-protection-des-renseignements-personnels-au-canada/02_05_d_15/.

17. Commissariat à la protection de la vie privée du Canada. « Enquêtes visant les entreprises. » Enquêtes, 2019. https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/.

18. Gouvernement du Canada. « Charte canadienne du numérique : la confiance dans un monde numérique ». Innover pour un meilleur Canada, 2019. https://www.ic.gc.ca/eic/site/062.nsf/fra/h_00108.html ; Gouvernement du Canada. « Renforcer la protection de la vie privée dans l’ère numérique ». Innover pour un meilleur Canada. https://www.ic.gc.ca/eic/site/062.nsf/fra/h_00107.html.

Plus de textes de L’état du Québec 2020

2020-06-04T13:42:32-04:00