Vol d’identité massive chez Desjardins et Equifax. Manipulations électorales de grande ampleur. Marchandisation outrancière des renseignements personnels. Nous sommes entrés dans une nouvelle forme de cybercapitalisme. Et les citoyens, inquiets, ont bien raison de réclamer que le shérif arrive en ville. Les citoyens ne se sont jamais autant inquiétés pour la sécurité de leurs données personnelles. Avec raison : on sait désormais que des tentatives de manipulations à grande échelle ont marqué les élections américaines de 2016 et le référendum sur le Brexit. C’est ce qu’a révélé le scandale Cambridge Analytica, du nom de cette firme de consultants politiques qui aurait utilisé les données personnelles de 87 millions d’utilisateurs de Facebook, dont 600 000 Canadiens.
Les scandales se multiplient d’ailleurs dans le cyberespace. En juin 2019, la totalité des 4,2 millions de clients de Desjardins ont subi un vol d’identité. Le mois suivant, c’était au tour de l’entreprise de crédit Capital One de se faire voler les données personnelles de 106 millions de clients, dont six millions de Canadiens ! L’année précédente, des affaires de cyberrançonnement ont touché la Banque de Montréal et la CIBC. Et en 2017, un piratage embêtait 147 millions de clients d’Equifax ! Ces histoires spectaculaires ne sont que la partie visible de l’iceberg dans le dossier obscur de la gestion des renseignements personnels au royaume du cyberespace.
Aux États-Unis, en juillet dernier, le gouvernement fédéral a collé une amende de 700 millions de dollars à Equifax et une autre de cinq milliards à Facebook pour ses manquements dans le scandale Cambridge Analytica. En Europe, où les amendes se comptent en milliards d’euros, celles-ci pourront atteindre jusqu’à 4 % du chiffre d’affaires des entreprises concernées ! Au Canada, le Commissaire à la protection de la vie privée (CPVP) n’a aucun pouvoir de sanction. Même s’il a servi un blâme sévère à Facebook en avril 2019 pour son refus de coopérer avec les autorités, il ne peut que lancer une poursuite devant les tribunaux dans l’espoir qu’un juge trouve la multinationale américaine coupable et lui impose une sanction d’ici quelques années, peut-être…
C’est dans ce contexte que le gouvernement fédéral envisage une réforme en profondeur visant à renforcer les lois sur la protection de la vie privée ainsi que des données personnelles. Howard Deane, comptable professionnel agréé et auteur de plusieurs études du Conseil des consommateurs du Canada (voir l’encadré Les Études), constate que la question de la vie privée, jadis considérée comme périphérique, se hisse parmi les principales préoccupations des consommateurs et des citoyens, qui redoutent la manipulation et le vol d’identité.La question du respect de la vie privée est partout. L’économie mondiale s’organise autour de la collecte de renseignements personnels. Les entreprises reconnaissent désormais une valeur phénoménale à ces renseignements, mais elles montrent assez peu de scrupules quant à ce qu’elles en font. Les consommateurs ne comprennent pas trop ce qui se passe et les gouvernements tardent à réagir. »
Howard Deane, comptable professionnel agréé et auteur de plusieurs études du Conseil des consommateurs du CanadaCar les temps ont bien changé. Les Google et les Facebook de ce monde comptent désormais parmi les entreprises les plus riches et les plus influentes de la planète. Grâce notamment aux témoins de connexion (cookies) et aux objets connectés, grâce aussi à d’ambitieux programmes de capture de données publiques, comme Google Street View, les données personnelles sont devenues la ressource de base d’une économie de la surveillance d’un genre totalement nouveau. Chaque interrogation au fureteur, chaque question à l’assistant vocal, chaque émoticône, chaque déplacement géolocalisé devient une « donnée comportementale » apte à nourrir de gigantesques matrices d’information que des robots algorithmiques analysent pour faire des prédictions de plus en plus précises sur nos vies.Nous sommes entrés dans une nouvelle forme de capitalisme qui évolue hors de tout cadre. Les données personnelles sont le principal impératif de ce nouveau capitalisme. Les entreprises doivent en capturer le maximum. Pour elles, la notion de consentement est une nuisance. »
John Lawford, directeur général et directeur juridique du Centre pour la défense de l’intérêt public (CDIP), en faisant référence au titre d’un nouveau livre qui fait fureur, The Age of Surveillance Capitalism (voir encadré)https://ocmagazine.org/wp-content/uploads/2019/08/photo-dans-article-john-lawford.jpgAlexandre Plourde, avocat et analyste à Option consommateurs, explique que les questions de vie privée ont trop longtemps été perçues comme anodines, voire ésotériques. « Mais ce n’est tellement plus “anodin” que les services secrets s’en mêlent ! On sort du champ de la consommation, car le préjudice n’est pas forcément économique : cela nous touche aussi comme électeurs, comme contribuables, comme citoyens. »
Au Canada, la plupart des provinces ont une loi sur la protection de la vie privée et l’accès à l’information dans le secteur public, mais seulement trois en ont une dans le secteur privé. Au fédéral, il y a deux lois. La première, appelée Loi sur la protection des renseignements personnels, régule strictement les institutions fédérales ; cette loi remonte à 1983, à l’époque où la technologie d’avant-garde était le fax. En 2001 est apparue une autre loi, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), afin d’encadrer le secteur privé. À cette époque, Google était une petite entreprise déficitaire et Mark Zuckerberg, futur fondateur de Facebook, terminait son secondaire.
Au début, la LPRPDE ne devait pas être une loi, mais une sorte de code d’honneur négocié entre divers organismes et entreprises, notamment le CDIP, Bell Canada, la Banque Royale et l’Association canadienne du marketing. Ce n’est qu’à la toute fin du processus de négociations que le gouvernement canadien s’est avisé qu’il pouvait en faire une loi. Selon Alexandre Plourde, cette loi n’est pas mauvaise en soi. Selon ce qui y est écrit, résume-t-il,Une entreprise qui recueille nos renseignements personnels et les communique à d’autres devrait nous en informer. Sa politique de confidentialité, présentée en termes clairs, devrait nous dire tout aussi clairement ce qu’elle fait de nos renseignements personnels. L’entreprise devrait agir de manière responsable et n’utiliser que les informations nécessaires à ses fins. Ces informations devraient être exactes. L’entreprise devrait en assurer la sécurité et nous y donner accès. »
Alexandre Plourde, avocat et analyste à Option consommateurshttps://ocmagazine.org/wp-content/uploads/2019/08/photo-dans-article-alexandre-plourde.jpgLes premières années, ça marchait plutôt bien, selon John Lawford. Tant qu’on est resté dans une logique où les entreprises accumulaient des données pour qu’elles les aident à vendre leurs produits ou leurs services, ça allait, explique-t-il. « Les choses ont commencé à marcher de travers quand les entreprises ont vu augmenter la valeur des informations personnelles et que celles-ci sont devenues l’enjeu principal. »
Depuis, les deux défauts de la LPRPDE sont devenus évidents. Certes, elle est déphasée par rapport à l’époque, mais, surtout, elle n’a aucun mordant. Le gouvernement fédéral ne s’est pas donné le pouvoir de sévir contre les entreprises qui traitent les renseignements personnels à la légère. Dans certains cas, la loi canadienne est tellement molle que les Canadiens sont protégés par défaut grâce aux lois étrangères. « La loi américaine est plus sévère quant à la protection des mineurs de moins de 13 ans. Étant donné que le Canada est perçu comme une extension du marché américain, les entreprises américaines appliquent leur loi au Canada », dit John Lawford, qui a lancé de nombreuses plaintes contre des entreprises canadiennes qui refusent de se conformer aux principes les plus élémentaires – et contre lesquelles la loi canadienne ne peut pas grand-chose.
On assiste actuellement à l’éveil des pouvoirs publics canadiens. Depuis l’automne 2018, le gouvernement canadien oblige les entreprises à divulguer tous les cas de vol de données personnelles au Commissariat à la protection de la vie privée (CPVP). « Il y a 20 ans, la police ne se mêlait pas de cybercriminalité. C’était le laisser-faire complet, dit Alexandre Plourde. Elle s’est d’abord attaquée aux infractions sexuelles en ligne, puis au dark net. Aujourd’hui, les autorités réalisent qu’elles vont devoir se mêler de la protection de la vie privée en ligne.
Depuis 2018, le gouvernement fédéral effectue d’importantes consultations en vue de réformer la LPRPDE. Il n’a pas encore inscrit de propositions concrètes pour renforcer cette protection, mais il dit clairement que des mesures sérieuses doivent être prises pour restaurer la confiance du public. Le CPVP est plus clair dans ses intentions : il demande le pouvoir de sanctionner et d’imposer des ordonnances, mais également le pouvoir de lancer des enquêtes préventives sans devoir attendre le dépôt d’une plainte. Le gouvernement fédéral a accordé au CPVP une augmentation de 15 % de ses ressources. C’est nettement moins que les 50 % demandés, mais davantage que ce qu’obtiennent la plupart des institutions. « J’avais craint que le commissaire, Daniel Therrien, soit complaisant, dit John Lawford. C’était un fonctionnaire discret nommé par Stephen Harper. Mais finalement, il est très bon, Il croit à l’importance de renforcer la notion de consentement. »
La notion de consentement est au cœur de toutes les réflexions sur la vie privée et la protection des données personnelles. Chaque année, les consommateurs « acceptent » des dizaines de politiques de confidentialité ou d’utilisation sur tel moteur de recherche, telle machine, tel logiciel, telle appli, mais aussi dans le cadre de concours et de contrats de vente d’automobile ou d’électroménager. Et les commerçants leur demandent leurs coordonnées à tout propos afin de pouvoir leur envoyer un reçu ou un sondage – qui serviront à compiler plus de données sur eux. Ça n’en finit pas. Deux chercheuses de l’université Carnegie Mellon, Lorrie Faith Cranor et Aleecia McDonald, ont calculé que pour lire et comprendre les politiques auxquelles elle consent, une personne devrait y consacrer 76 jours par an – dix semaines pleines!
À travers le consentement ainsi obtenu, les entreprises se donnent le droit d’utiliser les données personnelles, mais aussi celui de modifier l’entente sans préavis – entre autres choses. Trop souvent, ces ententes sont traitées à la légère. C’est exactement ce qu’a reproché le CPVP à Facebook en avril 2019 : accès non autorisé à des tierces parties ; accès aux renseignements des amis des amis sans consentement valable ; absence de mécanisme de surveillance ; absence de responsabilités quant aux renseignements personnels de la part de l’entreprise.
En 2018, le CPVP a émis une nouvelle directive précisant selon quelles conditions un consentement pouvait être jugé valable, en particulier pour les mineurs.Le consentement est obtenu par des politiques de confidentialité de 25 pages que personne ne lit. Il est illogique de prétendre qu’accepter une politique de confidentialité non négociable et sans option possible équivaudrait à donner son consentement en toute connaissance de cause à ce qu’on utilise largement ses renseignements personnels. »
Alexandre PlourdeSelon John Lawford, des entreprises essaient de profiter de la réforme pour affaiblir la notion de consentement, qui ne serait plus requis dans certaines circonstances. Ces circonstances ne sont pas précisées dans les documents de réflexion produits par Innovation, Sciences et Développement économique Canada, le ministère responsable de la LPRPDE – ce qui laisse la porte ouverte à toutes les interprétations. « Si on enlève le consentement, on éviscère la loi, dit John Lawford. L’autodétermination est au cœur de la LPRPDE. Le principe de base est que la personne doit avoir le contrôle en permanence et devrait pouvoir ne pas jouer selon les règles de Google. »
Quant aux objets connectés, ils posent des problèmes inédits. « S’il y a huit objets connectés dans une pièce et que 100 personnes y circulent, comment obtenir le consentement de tout le monde pour chaque objet ?, demande Alexandre Plourde. Je n’aime pas cette idée qu’on puisse renoncer au consentement dans un certain cadre. C’est comme donner un chèque en blanc aux entreprises. Quelle est la protection ? À moins, bien sûr, que l’autorité publique exerce une surveillance réelle. On revient à la question des pouvoirs. »
La montée de l’intelligence artificielle posera un autre défi certain. Selon des spécialistes en intelligence artificielle, des algorithmes pourront bientôt prendre des décisions sur votre assurabilité ou votre solvabilité sur la base de recoupements dans toutes sortes de banques de données accumulées sur la foi d’un « consentement » rarement éclairé. Saura-t-on quelles données auront servi ? Pourra-t-on faire effacer les données inexactes, périmées ou non pertinentes ?
Howard Deane ajoute que les consommateurs devraient être certes plus combatifs. « Mais ils devraient commencer par être plus cohérents, dit-il. Il y a beaucoup de négligence et d’insouciance. En principe, bien des gens sont prêts à protéger leurs informations personnelles, mais dès qu’un étranger leur demande de les utiliser, ils disent facilement oui. Et quand c’est présenté comme une condition d’achat, les gens ne demandent pas d’explication et encore moins de justification. »Selon John Lawford, des entreprises essaient de profiter de la réforme pour affaiblir la notion de consentement, qui ne serait plus requis dans certaines circonstances. Ces circonstances ne sont pas précisées dans les documents de réflexion produits par Innovation, Sciences et Développement économique Canada, le ministère responsable de la LPRPDE – ce qui laisse la porte ouverte à toutes les interprétations. « Si on enlève le consentement, on éviscère la loi, dit John Lawford. L’autodétermination est au cœur de la LPRPDE. Le principe de base est que la personne doit avoir le contrôle en permanence et devrait pouvoir ne pas jouer selon les règles de Google. »
Quant aux objets connectés, ils posent des problèmes inédits. « S’il y a huit objets connectés dans une pièce et que 100 personnes y circulent, comment obtenir le consentement de tout le monde pour chaque objet ?, demande Alexandre Plourde. Je n’aime pas cette idée qu’on puisse renoncer au consentement dans un certain cadre. C’est comme donner un chèque en blanc aux entreprises. Quelle est la protection ? À moins, bien sûr, que l’autorité publique exerce une surveillance réelle. On revient à la question des pouvoirs. »
La montée de l’intelligence artificielle posera un autre défi certain. Selon des spécialistes en intelligence artificielle, des algorithmes pourront bientôt prendre des décisions sur votre assurabilité ou votre solvabilité sur la base de recoupements dans toutes sortes de banques de données accumulées sur la foi d’un « consentement » rarement éclairé. Saura-t-on quelles données auront servi ? Pourra-t-on faire effacer les données inexactes, périmées ou non pertinentes ?
Howard Deane ajoute que les consommateurs devraient être certes plus combatifs. « Mais ils devraient commencer par être plus cohérents, dit-il. Il y a beaucoup de négligence et d’insouciance. En principe, bien des gens sont prêts à protéger leurs informations personnelles, mais dès qu’un étranger leur demande de les utiliser, ils disent facilement oui. Et quand c’est présenté comme une condition d’achat, les gens ne demandent pas d’explication et encore moins de justification. »
Face au public et aux politiciens qui demandent de plus en plus de reddition de compte dans l’utilisation des renseignements personnels, les entreprises ont trois réponses toutes faites quasi universelles.
La première est celle de la dépersonnalisation : on affirme que les données accumulées ont été dépersonnalisées alors que ce n’est pas le cas. « C’est un vieux truc, dit Alexandre Plourde. Ce n’est pas parce que le nom n’est pas attaché à une donnée personnelle que celle-ci est anonyme. Si j’ai une année de naissance, une adresse IP et un bout d’adresse postale, trouver le nom de la personne est une affaire de rien. »
La gratuité est le deuxième argument pour collecter largement des données. Le service étant gratuit, n’est-il pas normal que l’entreprise demande quelque chose en retour ? Le plus souvent, ce quelque chose s’appelle « données personnelles ». La nature économique de cet échange a été reconnue par la Cour Suprême. Mais la contrepartie devrait être le respect des plus hautes normes en matière de consentement, pas le contraire.
C’est compliqué, le troisième argument, est la réponse la plus courante. Les entreprises font valoir que des règles de consentement très compliquées sont improductives et ingérables. Cela fait bien rire Howard Deane, qui a travaillé pendant 30 ans chez KPMG et qui a vu les choses des deux côtés de la clôture. Google, Facebook et compagnie sont passées maîtres dans l’art de gérer des algorithmes d’une complexité inouïe, capables de faire parler des quantités foudroyantes d’information afin de prédire des comportements avec un niveau de certitude renversant. Pourtant, elles prétendent qu’il est trop compliqué de gérer un formulaire de dix questions sur ce que les utilisateurs les autorisent à faire ou non avec leurs données personnelles… « Les gens qui travaillent dans ce secteur sont très intelligents et très capables. J’en suis venu à la conclusion que si ça ne se fait pas, c’est d’abord parce qu’ils ne veulent pas le faire. »
Le Canada devrait impérativement se mettre à l’heure de l’Europe, selon Alexandre Plourde. « L’Union européenne est passée à l’action. Elle a remplacé sa vieille directive sur la protection des données personnelles par un règlement général, plus contraignant, qui lie les États membres. Elle a renforcé le principe du consentement, elle a introduit le droit à l’oubli et le droit à l’effacement pour les mineurs. C’est aussi très sévère. Les sanctions contre Facebook et Google pourraient se compter en milliards. »
Il existe plusieurs solutions à la situation actuelle, dont un certain nombre sont applicables maintenant et n’exigent aucune modification à la loi. La première consiste à ramener le shérif dans la ville pour faire respecter la loi. En l’occurrence, il s’agirait d’accorder des pouvoirs réels aux organismes régulateurs comme le CPVP, qui n’en ont aucun actuellement. Aux États-Unis et en Europe, les amendes se chiffrent en centaines, sinon en milliards de dollars.Chaque fois que les entreprises sont mises devant la possibilité de poursuites et d’amendes, la plupart se corrigent. »
Alexandre PlourdePour faciliter la tâche du shérif, les législateurs devront accomplir le travail qui leur incombe : améliorer l’encadrement de l’univers numérique en adoptant des normes plus contraignantes en matière de gestion des renseignements personnels. Actuellement, dans le cyberespace, il règne un haut niveau d’anarchie.
Par exemple, tous les organismes de protection des consommateurs réclament que la cueillette de données personnelles non nécessaires au service offert soit facultative et volontaire (dans le jargon, on dit opt-in). Tout le contraire de la situation actuelle où le consommateur a rarement la possibilité de s’y soustraire (opt-out).
Ce consentement devrait être obtenu au moyen d’un formulaire en langage clair. « Ce qu’il faut, c’est un résumé pour chaque section avec des points saillants et une table des matières», dit Howard Deane, qui insiste beaucoup sur la présentation. «La maquette graphique du formulaire devrait être la même que pour la publicité. C’est correct de proposer un contrat de consentement en petits caractères… si la publicité est en petits caractères ! »
Howard Deane croit d’ailleurs qu’il serait possible de faire travailler l’intelligence artificielle en faveur des consommateurs. Il suggère de créer une appli, sorte de « calculateur de la vie privée », qui permettrait aux consommateurs de décider de leur niveau de protection et qui gèrerait cette question pour eux sur tous les contrats. « L’appli vous signalerait si vous êtes en train de consentir à quelque chose que vous auriez normalement refusé. Et comme les cartes de crédit servent à toutes les transactions, pourquoi ne pas en faire un service offert par elles? »
John Lawford, quant à lui, croit que les normes devraient aussi imposer des limites de temps. Est-il logique, demande-t-il, qu’une entreprise conserve des informations sur une personne qui n’est plus cliente depuis 20 ans ? Il devrait y avoir une politique de destruction par défaut. « C’est ça, la nouvelle frontière. On a créé une gigantesque économie de la surveillance qui carbure aux informations personnelles, mais il faut réintégrer le vrai monde dans le système. »
Une autre avenue de réflexion formulée par le professeur Pierre Trudel, de la Faculté de droit de l’Université de Montréal, serait de considérer les données personnelles comme une « ressource » essentielle (selon la même logique que les ressources naturelles, au même titre que l’eau et l’air). Dans le quotidien Le Devoir, il écrit : « La société numérique requiert un cadre juridique qui garantit l’intégrité et la confiance au sein des univers connectés. (…) Pour assurer les équilibres, il faut un cadre juridique qui protège les données et assure le partage équitable de la valeur qu’elles permettent de générer. Il ne suffit pas de s’en tenir aux couplets habituels sur l’importance de la vie privée. »
Alexandre Plourde y voit d’autres avantages, entre autres celui de permettre à l’État de répartir les informations pour favoriser des recherches pour le bien commun. « Actuellement, la collecte de données est monopolisée par des entreprises privées à des fins strictement commerciales. Cela devrait pouvoir servir aussi au bien public. L’État devrait pouvoir octroyer des données à des chercheurs à des fins d’utilité publique pour contribuer à améliorer les systèmes de santé, d’éducation, de transport, ou encore l’environnement. Bref, ces données pourraient servir non seulement à surveiller tout le monde, mais aussi à faire un monde meilleur. »
Nous sommes entrés dans un nouvel âge du capitalisme. Voilà l’idée à la base de The Age of Surveillance Capitalism (Public Affairs, 2019 – non traduit en français). Dans cette brique de 691 pages, la professeure Shoshana Zuboff de l’Université Harvard explique par le menu comment le comportement des individus est capté par tous les moyens afin de l’exploiter, mais aussi de le contrôler. Il ne s’agit pas, selon elle, d’un nouvel avatar du capitalisme classique, mais au contraire d’une forme nouvelle de contrôle. « De la même manière que le capitalisme a défiguré le monde aux siècles précédents, le capitalisme de surveillance menace de modifier non seulement nos comportements, mais aussi la nature humaine », écrit-elle.
Dans ce livre, qui se veut un appel à la résistance citoyenne et législative, l’auteure fait la démonstration que ce changement n’a rien d’inexorable. Certes, les entreprises prétendent qu’elles n’ont pas le choix, que « c’est la technologie qui veut ça », mais en réalité, leurs dirigeants ont monté tout un argumentaire libertaire pour leur permettre de tirer les ficelles sans avoir à rendre de compte. Une lecture essentielle.
