J’ai lu et j’accepte les conditions d’utilisation… vraiment?

Octobre est le mois de la sensibilisation à la cybersécurité. Savez-vous ce qu’est la cybersécurité?

Ce concept peut vouloir dire plusieurs choses : d’une part, la protection des infrastructures numériques stratégiques pour un État ou une organisation; d’autre part, la protection de l’information qui est hébergée ou partagée au moyen de cette infrastructure. On parle ici principalement d’information confidentielle, comme des secrets industriels ou des renseignements personnels. C’est à ce dernier cas que nous nous intéressons aujourd’hui.

Pourquoi parler de cybersécurité en particulier, plutôt que de protection de l’information confidentielle de manière générale? C’est que les développements technologiques des dernières années ont causé une véritable révolution dans le domaine de la gestion de l’information. Les enjeux de protection de l’information, particulièrement en ce qui concerne les renseignements personnels, ont pris une toute autre nature et une toute autre ampleur avec l’avènement d’Internet, des réseaux sociaux, des applications mobiles pour téléphones intelligents et tablettes, et de la géolocalisation.

Les outils que nous nous étions donnés il y a plusieurs années pour assurer la protection de notre vie privée peinent à remplir adéquatement leur rôle maintenant que le contexte a changé.

Un nouveau contexte : mégadonnées, marchandisation et profilage.

Aujourd'hui, en 2016, il y a 60 fois plus d’octets de données numériques que de grains de sable. Et cela croît de manière exponentielle, car notre monde hyperconnecté se caractérise par la production continuelle d’informations : textes, images, vidéos, sons, calculs, etc. Toutes nos activités dans le monde numérique, toute utilisation d’un appareil branché sur un réseau cellulaire ou wifi, génèrent une foule de données.

Plusieurs sont d’emblée des renseignements personnels, c’est-à-dire qu’elles peuvent être liées à un individu particulier.

D’autres peuvent aisément le devenir lorsqu’elles sont croisées entre elles. C’est d’ailleurs une des caractéristiques importantes des nouvelles technologies de l’information et des données qu’elles recueillent, traitent et partagent : il est dorénavant possible de mettre en lien un ensemble de données disparates qu’on n’aurait eu beaucoup de difficulté à traiter auparavant. Ce qui aurait nécessité le travail manuel et très laborieux d’un être humain peut maintenant être fait automatiquement, à une très grande vitesse et beaucoup plus efficacement au moyen d’algorithmes informatiques. La grande quantité de données que nous produisons, souvent sans même nous en rendre compte, et l’incroyable capacité de les traiter et de les rendre « utiles » à diverses fins au moyen des nouveaux outils d’analyse ouvrent la porte à des pratiques parfois inquiétantes, avec au premier plan la marchandisation de nos renseignements personnels en l’absence de consentement explicite de notre part.

Pensons au profilage des internautes à des fins commerciales, pour produire des publicités ciblées et « personnaliser » les résultats auxquels l’internaute a accès. Ce qui peut être considéré comme un avantage – soit d’avoir rapidement accès à du contenu qui correspond à nos intérêts – peut aussi s’avérer un inconvénient : voir nos expériences futures déterminées par nos comportements passés, par un algorithme créé par des inconnus. Dans un tel contexte, sommes-nous réellement encore libres?

Pensons aussi au profilage à des fins de sécurité par les agences de renseignements des États. La surveillance numérique des individus est même souvent facilitée par les géants des technologies de l’information, comme nous le rappelait récemment l’histoire de la collaboration entre Yahoo! (courriel), l’agence américaine de la sécurité nationale (NSA) et la police d’enquête fédérale (FBI)

Un nouveau défi : comment assurer la validité du consentement?

Un des grands défis que soulève ce nouveau contexte est celui du consentement des utilisateurs. Il est généralement reconnu que la collecte et l’utilisation de renseignements personnels ne sont légitimes que si la personne identifiée par ces renseignements fournit son consentement libre et éclairé.

Mais dans les conditions actuelles, fournit-on véritablement un consentement libre – lorsque pour éviter d’être l’objet d’une collecte de renseignements et d’une surveillance, se retirer complètement du monde numérique est pratiquement la seule option?

Ce consentement est-il vraiment éclairé – lorsque les conditions d’utilisation et les politiques de confidentialité des services en ligne sont très longues à lire et formulées dans un jargon incompréhensible? Combien de nous lisons réellement ces documents? Avouons qu’il est bien plus fréquent de simplement cliquer sur l’option « J’ai lu et j’accepte les conditions » pour accéder le plus rapidement possible au service que nous voulons obtenir.

C’est d’ailleurs ce que fait ressortir une étude de Obar et Oeldorf-Hirsch (2016) (http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2757465) Le constat est navrant : sur internet, on peut nous faire accepter à peu près n’importe quoi.

De plus, le consentement est considéré comme devant être constamment réitéré pour être valide. C’est-à-dire qu’un individu devrait pouvoir retirer à tout moment son consentement ou, du moins, être informé régulièrement des conditions de collecte et d’utilisation de ses renseignements personnels ainsi que de tout changement à ces conditions. Son consentement devrait être à nouveau demandé à chaque fois. Dans un univers numérique où des milliers de données nous concernant sont recueillies et échangées chaque jour, cette condition est difficile à remplir.

De nouvelles lois?

Les lois canadiennes et québécoises protégeant les renseignements personnels ont été promulguées dans les années 1980. Et c’est en 2001 qu’on a vu adopter, au niveau fédéral, la Loi sur la protection des renseignements personnels et les documents électroniques. Ces lois datent donc d’une époque qui ne connaissait pas Facebook (lancé en 2004), ni l’iPad (arrivé au Canada en 2010). Comme le dit le Commissaire à la protection de la vie privée du Canada, « nous disposons d’outils du 20e siècle pour résoudre des problèmes du 21e siècle. » Dans un rapport rendu public il y a quelques semaines, il se demande quels nouveaux outils sont requis aujourd’hui pour redonner aux Canadiens le contrôle sur leurs renseignements personnels et mieux les protéger.

En 2011, la Commission de l’accès à l’information soulevait déjà un bon nombre de ces enjeux et proposait des pistes de solution, dans son rapport Technologies et vie privée à l’heure des choix de société.

Évidemment, cela pose pour l’instant plus de questions que cela ne fournit de réponse. Mais comme le fait valoir Avner Levin, professeur et directeur du Privacy and Cyber Crime Institute de l’Université Ryerson, dans son mémoire soumis au Commissaire à la protection de la vie privée : « Si nous avons pu trouver un moyen de protéger la propriété intellectuelle pour les grands intérêts commerciaux malgré les progrès technologiques, nous pouvons assurément trouver une façon de faire la même chose pour la protection des renseignements personnels.»

Pour en savoir plus sur la manière de protéger ses renseignements personnels en ligne :