Les enjeux éthiques entourant la propriété des données collectées par les objets connectés

Chaque matin, vous vous levez vers 7h30 et vous prenez un café. Votre montre et votre cafetière connectées à l’Internet transforment ces informations en données et les transmettent à une grande compagnie de gestion des données (apparemment, vous avez consenti à la transmission de vos données au moment de configurer votre montre et votre cafetière). Des faits vous concernant sont utilisés pour générer une série de chiffres et de lettres stockés dans une base de données. En combinant ces données avec d'autres, on peut en apprendre sur vos préférences, votre personnalité, et votre mode de vie.

L’Internet des objets et les types de données

L’Internet des objets désigne l’ensemble des objets physiques (ex. appareils, capteurs, supports de stockage) mis en réseau et communicant entre eux via Internet. Parmi les objets connectés, on compte différents appareils, allant des téléphones intelligents jusqu'aux vêtements et accessoires (ex. lunettes, montres, moniteurs médicaux), en passant par les appareils ménagers (ex. réfrigérateurs), des systèmes pour le domicile (ex. thermostats, éclairage, sécurité, caméras, serrures) ou les voitures. Cette technologie facilite énormément la collecte d'informations à propos de personnes (ou de groupes sociaux). Ces informations peuvent fournir une description directe de l'utilisateur (comme dans des images ou des enregistrements sonores). On parle alors de « données ». Ces informations peuvent aussi décrire d’autres données captées (comme des informations à propos de l’heure à laquelle une image a été captée, ou des informations touchant la géolocalisation d’une image). On parle alors de « métadonnées ». Enfin, certaines données sont inférées, alors que d'autres sont obtenues sans faire d'inférences. Les données inférées sont obtenues par des recoupements et des déductions effectuées à partir des données et des métadonnées.

Différentes visions de la propriété des données

Mais au fait, à qui appartiennent ces données ? À première vue, il semble que les consommateurs et les utilisateurs possèdent les données recueillies par leurs objets connectés. C’est ce qui a motivé les deux premiers points de la « Charte des droits » de l’Internet des objets proposée par la Open Internet of Things Assembly. Les deux points sont : « les citoyens possèdent les données qu’ils (ou que les leurs objets) créent » et « les citoyens possèdent les données que d’autres personnes créent à propos d’eux » (traduction libre).

La question est toutefois plus compliquée qu’il n’y paraît. Le passage des informations aux données est un travail complexe. Les données encodent des informations, ce qui nécessite un protocole de capture et un support physique de stockage. Très souvent, les compagnies possèdent ces protocoles et les supports physiques où sont stockés les données. Ce sont donc les compagnies, et non les utilisateurs, qui transforment l’information disponible en données. Donc, l’information initiale permettant la création de données semble appartenir au citoyen, mais c’est l’entreprise qui détient le protocole de capture et de stockage des données. Ces facteurs compliquent la question de savoir qui possède les données recueillies par les objets connectés.

Récemment, certains groupes ont fait valoir la pertinence des fiducies de données pour gérer les données collectées par les objets connectés. Commentant, en septembre 2020, le débat entourant la gestion des données collectées par la RAMQ, Anne-Sophie Hulin et Antoine Cossé écrivent : « Au titre de la fiducie, des biens (ou des données) sont administrés dans un but précis, mission dont le fiduciaire doit rendre compte. La détention et l’utilisation des données correspondraient donc à une finalité précise et seraient surtout sujettes à surveillance ».

Le droit de propriété : Une notion complexe

Selon le Code civil du Québec, la propriété est caractérisée par « le droit d’user, de jouir et de disposer librement et complètement d’un bien, sous réserve des limites et des conditions d’exercice fixées par la loi » (Article 947). Cette caractérisation de la propriété soulève toutefois certaines questions. Par exemple, des biens confiés en fiducie appartiennent à une personne, mais la disposition libre et complète du bien revient à une autre personne, soit le fiduciaire.

De façon générale, la propriété des biens semble être une affaire de degré. Dans un article paru en juin 2020, Patrick Hummel, Matthias Braun et Peter Dabrock soulignent que le droit de propriété peut correspondre à certains droits d'accès, de contrôle et d'utilisation d'un bien. Donc, « propriété » peut faire référence à différents droits, allant du droit de possession jusqu'au droit de gestion, en passant par le droit au revenu ou au capital, le droit à la sécurité ou certaines responsabilités entourant l'utilisation du bien.

Selon cette interprétation de la propriété, une personne peut avoir la propriété d'un bien dans un sens très faible du terme. Une personne peut posséder ce bien, mais sans pouvoir le gérer, l'utiliser, en tirer des revenus, le vendre, ou sans avoir de responsabilités à l'égard de ce bien. Ce serait comme posséder une voiture, mais ne jamais pouvoir la conduire, la vendre, ou même la regarder. Inversement, une personne peut ne pas posséder un bien, mais pouvoir l'utiliser, en tirer des revenus, le vendre, et ainsi de suite. Encore une fois, ce serait comme pouvoir conduire, modifier, ou vendre une voiture (et avoir toutes les responsabilités juridiques qui se rattachent à ces actions), mais sans posséder la voiture comme tel.

La contribution de la Commission

Dans son supplément d'avis intitulé « L’Internet des objets, la vie privée et la surveillance », la Commission de l'éthique en science et en technologie se penche sur la question de la propriété des données collectées par l'Internet des objets. La Commission souligne l'importance de faire une distinction entre les questions de possession et d’usage des données collectées par les objets connectés. Avec cette distinction en tête, la Commission recommande au Gouvernement du Québec de concentrer ses politiques publiques sur les usages acceptables des données collectées par des objets connectés.

Voici un extrait du supplément sur cette question :

« L’usage et la possession des données sont deux questions séparées. Des entreprises privées ou des États pourraient ne posséder aucune donnée à propos de leurs utilisateurs, mais néanmoins avoir accès à ces données et pouvoir les utiliser à diverses fins. Pensons, par exemple, aux fiducies de données, populaires dans le monde de la santé. Une fiducie est un mode de gestion d’un objet ou d’une propriété pour une autre personne. Dans ce modèle, les patients possèdent toutes les données qui les concernent, mais les équipes de soignants peuvent y accéder (à certaines conditions) et les utiliser au bénéfice du patient. L’idée centrale du modèle fiduciaire est qu’une personne ou une institution peut accéder ou gérer des données sans les posséder. Inversement, une entreprise privée ou un État pourrait posséder les données à propos de ses utilisateurs, mais ne pas pouvoir les utiliser à diverses fins. Par exemple, la loi pourrait autoriser des entreprises à posséder des données, mais en interdire l’analyse, le croisement, la vente ou le transfert ».