La protection de la vie privée a trait aux cas d’utilisation et non à la technologie

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Don Bowman
Directeur principal de la technologie, Sandvine Incorporated

Juin 2009

Avis de non-responsabilité :Les opinions exprimées dans ce document sont celles de l’auteur. Elles ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada.

Nota : Cet essai a été communiqué par l’auteur au Commissariat à la protection de la vie privée pour le Project d’inspection approfondie des paquets.


Introduction

Les technologies des communications changent la façon dont la population perçoit la protection de la vie privée depuis des centaines d’années. L’invention de l’impression a permis la diffusion à grande échelle de renseignements sur les personnalités publiques, ce qui était auparavant impossible, finançant ainsi une industrie de paparazzis et de reporters de tabloïdes qui satisfaisaient au grand appétit du public tout en vendant de la publicité. La montée de la consommation par Internet a donné lieu à une facilité sans précédent d’accès à l’information qu’on pourrait juger privée et personnelle, notamment l’information émanant des publications sur les forums, des blogues personnels, des sites de réseautage social et, dans certains cas, d’une fuite de renseignements ou même du vol intentionnel d’information. Le niveau de renseignements sur les personnes, accessibles par un simple moteur de recherche, est incroyable si on le compare à celui d’il y a à peine 10 ans. La société s’est toujours adaptée aux changements technologiques en modifiant les lignes directrices et les pratiques acceptées sur l’utilisation de l’information et en ajustant les attentes relatives à la protection des renseignements personnels. Est ce qu’Internet suivra cette tendance, ou est-ce que la protection de la vie privée et le progrès sont voués à s’opposer?

Lois et technologie

La loi a souvent peiné à suivre le rythme de la technologie. Lorsqu’une nouvelle technologie a entraîné la perception d’un besoin pour la mise sur pied de lois, les législateurs ont souvent eu tendance à centrer leurs efforts sur la technologie même plutôt que sur les cas d’utilisation connexes. En fait, ils se concentrent sur la rédaction de la lettre de la loi alors qu’ils devraient se centrer sur son esprit. Prenons par exemple le cas de l’homme de loi américain Robert Bork. Outre le fait qu’il soit célèbre pour avoir exaucé le souhait de Richard Nixon et licencié le poursuivant spécial Archibald Cox, il est également connu pour avoir été candidat à la Cour suprême des États Unis. Au cours du débat relatif à sa nomination, l’historique de location de films vidéo de Bork a été communiqué aux médias, ce qui a mené à l’édiction de la Video Privacy Protection Act. Dans cette affaire, la loi n’était manifestement pas à jour en matière de technologie, et a été édictée uniquement dans le but d’éviter que des renseignements sur la location de bandes VHS puissent être communiqués au public; elle n’a pas prévu la location de DVD 10 ans plus tard ni la vidéo sur demande par câble ni la distribution de vidéos sur le Web. Si la société avait agi afin d’établir des lignes directrices sur la « diffusion de renseignements sur les préférences en matière de divertissement », ce qui constituait la véritable intention, nous aurions été mieux servis que par une loi étroite visant une technologie en particulier.

Attentes de la société

La protection de la vie privée repose entièrement sur les attentes des parties impliquées. En tant que consommateur, je m’attends à ce que le contenu du courriel échangé entre moi et mon destinataire soit privé, sans égard au fait que je l’envoie par l’entremise du serveur de messagerie de mon fournisseur de service Internet résidentiel ou par celle d’un service sur le Web comme Gmail de Google, ou Hotmail de Microsoft. Si ce courriel était utilisé par toute autre personne que mon destinataire, mes attentes en matière de protection de la vie privée ne seraient pas respectées, peu importe si cette utilisation non autorisée était facilitée par mon fournisseur de service Internet ou par un service sur le Web. Les attentes de la société envers la protection de la vie privée s’appliquent à l’utilisation de l’information, et non à la méthode ou au point d’interception. Le fait d’accepter un modèle où un fournisseur de service de messagerie sur le Web peut lire mes courriels et en utiliser le contenu pour établir mon profil à des fins de publicité, mais d’interdire à un fournisseur de service Internet (avec mon consentement) de faire de même entraîne un déséquilibre dans mes attentes, ce que la majorité des utilisateurs de la messagerie électronique n’apprécie pas. Les cas d’utilisation de renseignements personnels doivent être pris en compte du point de vue des attentes de l’expéditeur de l’information, et non en fonction des méthodes précises utilisées pour recueillir les renseignements.

Diabolisation de la technologie

Au fil de l’histoire, le contrôle de la terminologie a été utilisé à titre de méthode pour établir les programmes et donner lieu à des conclusions préconçues fondées uniquement sur la nomenclature. Il semble en être encore ainsi dans le débat actuel en matière de protection de la vie privée portant sur l’expression « inspection approfondie des paquets » et son sigle « IAP ». Du point de vue de l’ingénierie de réseau et de l’architecture, l’inspection approfondie des paquets a trait à l’utilisation de l’équipement de réseau qui n’est pas le point d’extrémité d’une communication utilisant tout autre champ que l’adresse IP de la destination de la couche 3 à quelque fin que ce soit. L’IAP est utilisée depuis des années pour offrir des services de voix par IP (VoIP) (p. ex. dans un contrôleur de session en périphérie), pour fournir une traversée sécuritaire des pare feux des consommateurs et des entreprises, pour offrir des services de traduction d’adresses de réseau, et pour gérer la qualité des services au sein d’un réseau. Malheureusement, à l’été 2008, un comité spécial du Congrès américain a demandé des témoignages à propos du ciblage comportemental dans la publicité sur Internet. La technique précise étudiée a été étiquetée comme étant l’IAP, peut être par inadvertance. Plutôt que de se centrer sur les cas d’utilisation (p. ex. s’il est acceptable d’établir le profil d’un utilisateur aux fins de la publicité ciblée), l’examen a plutôt porté sur la technologie même. Il semble qu’à la suite de cette enquête, de la couverture médiatique et des commentaires qui ont suivi, le public est d’avis que toutes les utilisations de l’IAP, plutôt qu’uniquement celles qui impliquent d’inspecter un contenu précis et d’utiliser l’information, constituent dorénavant par définition une atteinte à la vie privée.

L’IAP est une technologie nécessaire aux fins de l’évolution d’Internet, puisqu’elle s’avère essentielle pour passer de l’IPv4 à l’IPv6, pour offrir des services de communication vocale de qualité, etc. L’IAP ne doit pas comporter l’inspection du « contenu » d’une communication, mais est nécessaire pour traiter de tout autre champ que l’adresse IP de la destination de la couche 3. À titre d’exemple, les fournisseurs de tous les types d’accès (câble, DSL, FTTx, sans fil) se servent de l’IAP pour comprendre et gérer le trafic de leurs réseaux. Les applications les plus communes (planification de la capacité du réseau, gestion de l’encombrement et atténuation du trafic malveillant comme les attaques entraînant un refus de service et les pourriels) n’entraînent pas le besoin d’inspecter le contenu. Pour être clair, ces applications ne lisent par votre courriel, n’écoutent pas vos communications vocales et ne surveillent pas votre lecture de vidéos. Elles inspectent uniquement les emplacements d’un paquet qui affichent des caractéristiques permettant de déterminer une signature dans la mesure nécessaire pour établir une correspondance avec le profil de signature dans la bibliothèque. Une fois la détermination faite, l’inspection se termine et les attributs examinés au cours de ce processus sont « oubliés ». Les machines qui prennent des décisions automatisées instantanées au sujet de renseignements sur le réseau et ne les partagent pas avec les êtres humains ne constituent pas une menace à la protection de la vie privée, mais une exigence à des fins de communications fiables. Le fait de diaboliser une vaste gamme de technologies — dans le présent cas, les technologies d’IAP — n’est d’aucune utilité pour la protection de la vie privée.

Le public profiterait davantage de lignes directrices sur l’utilisation de l’information en ligne plutôt que sur les moyens de recueillir les renseignements. En tant qu’utilisateur final, peu m’importe si quelqu’un crée mon profil en analysant des paquets sur le câble ou en plaçant des témoins sur les sites Web que je consulte. Les deux façons de faire mènent au même résultat, à savoir qu’un tiers élabore un modèle de mes intérêts et comportements.

Conclusions

Les être humains ont la capacité de s’adapter. La société évoluera. Notre concept de protection de la vie privée à l’ère de l’information changera au fil du temps, et nos attentes quant aux utilisations qui sont privées se préciseront. Si nous nous concentrons sur les cas d’utilisation en mettant l’accent sur l’utilisateur et non sur les techniques ou technologies, ces lignes directrices seront plus faciles à transmettre et à exécuter. La société n’est pas bien servie par une vision étroite fondée par exemple sur la protection de la vie privée liée à la location de vidéocassettes pas plus que par la tentative d’empêcher une technologie en raison de préoccupations touchant l’un des cas d’utilisation qu’elle permet. L’IAP s’avère nécessaire pour l’innovation continue d’Internet. Concentrons nous sur la clarification de nos attentes futures en matière protection de la vie privée au lieu de limiter notre attention à un moyen en particulier.

 

Date de modification :