Technologies d’amélioration de la confidentialité – Un survol des outils et des techniques

Rapport préparé par la Division de l’analyse de la technologie du Commissariat à la protection de la vie privée du Canada

Novembre 2017

Introduction

Un certain nombre de développements (relativement) récents ont contribué à accroître la reconnaissance du besoin de sécurité et de confidentialité (en particulier en ce qui concerne l’activité en ligne)Note de bas de page 1, notamment :

  1. l’évolution constante des technologies qui permettent aux individus d’entrer en contact et de dialoguer (p. ex., courriel, messagerie instantanée, clavardage, réseaux sociaux en ligne, etc.), engendrant une quantité accrue de données personnelles (générées par des individus et à leur sujet) disponibles en ligne;
  2. l’intérêt grandissant des entreprisesNote de bas de page 2 à rassembler ces données et à les utiliser d’une façon ou d’une autre (p. ex., taux d’assurance automobile réduit, publicités ciblées, personnalisation, etc.);
  3. les révélations sur l’étendue de la surveillance gouvernementale sur les communications individuelles et d’autres activités en ligne y compris celles des citoyens respectueux des lois (p. ex., les révélations de Snowden, qui ont commencé en juin 2013, sur les activités de la National Security Agency (NSA) des États-Unis)Note de bas de page 3;
  4. les gros titres constants sur les atteintes importantes à la sécurité des données touchant des organismes gouvernementaux et des entreprisesNote de bas de page 4, donnant lieu à la compromission de millions de documents contenant des renseignements personnelsNote de bas de page 5.

Ces développements entraînent des risques potentiels ou réels de divulgation d’identité, d’association d’un trafic de données à une identité, de divulgation de localisation en rapport avec un transfert de contenu d’information, de divulgation d’un profil d’utilisateur ou de ses renseignements. Les technologies d’amélioration de la confidentialité (TAC)Note de bas de page 6 peuvent aider à répondre à ces risques.

Les TAC sont une catégorie de technologies qui n’ont pas encore été systématiquement étudiées par le Commissariat à la protection de la vie privée du Canada (Commissariat). Par conséquent, nos connaissances de ces outils et techniques présentaient des lacunes. Afin de commencer à combler ces lacunes, une étude plus systématique de ces outils et techniques a été entreprise, avec en premier lieu une revue (non exhaustive) des principaux types de technologies d’amélioration de la confidentialité disponibles. Ce document présente les résultats de cette revue.

Portée

Bien que l’on puisse considérer que de nombreuses technologies traditionnelles en matière de sécurité (le chiffrement, par exemple) protègent la vie privée, pour les besoins de cette revue, on s’est intéressé aux TAC que les citoyens et les consommateurs respectueux des lois utilisent principalement pour protéger leurs renseignements personnels en ligne. La portée de ce projet a été en outre limitée aux technologies qui protègent l’information en transit (autrement dit, communiquée ou transmise par des technologies de l’information et des communications (TIC)). Sont donc exclues les technologies qui protègent les données statiques (p. ex, stockées sur des périphériques mobiles) et les descriptions des systèmes de TIC auxquels les TAC peuvent s’appliquer (à moins que cela ne soit nécessaire pour bien comprendre la fonctionnalité des TAC).

En outre, ce rapport n’inclut pas :

  1. de description de l’incidence sur la sécurité et la protection de la vie privée, des faiblesses ou limites des produits ou services ciblés;
  2. de vérification, par le Commissariat à la protection de la vie privée du Canada, des déclarations faites par les développeurs ou fournisseurs de TAC quant à leurs fonctionnalités, au moyen de recherches documentaires ou d’essais de toute sorteNote de bas de page 7;
  3. d’analyse comparative des TAC d’une catégorie donnée (p. ex., anonymisation) afin de déterminer quelle TAC est la meilleure;
  4. l’élaboration de lignes directrices ou de recommandations particulières pour la mise en œuvre ou l’utilisation d’une TAC en particulier.

Taxonomie des technologies d’amélioration de la confidentialité

La taxonomie est définie comme « la pratique et la science de classification des choses ou des concepts, y compris les principes sous-jacents d’une telle classification » [traduction]Note de bas de page 8. Tout comme il n’existe pas de définition universellement admise, il n’existe pas non plus de taxonomie universellement admise pour les TACNote de bas de page 9. Par exemple, l’Agence Européenne chargée de la sécurité des réseaux et de l’information (ENISA), dans ses travaux sur une matrice de contrôle des TAC, établit quatre grandes catégories de technologie : messagerie sécurisée, réseaux virtuels privés, anonymisation des réseaux et outils anti-suivi pour la navigation en ligneNote de bas de page 10. D’autres chercheurs ont caractérisé les TAC en fonction de leurs contributions techniques (p. ex., communication anonyme, et exploration de données préservant la confidentialité)Note de bas de page 11.

Aux fins de ce document, la taxonomie des technologies d’amélioration de la confidentialité (TAC) décrites ci-dessousNote de bas de page 12 est un moyen de classifier ces technologies selon la fonctionnalité ou les capacités qu’elles fournissent à un utilisateur final. Cette taxonomie particulière a été choisie, car elle fournit un moyen assez granulaire de classer les divers outils et les diverses techniques qui ont été cernés au cours de nos recherches en catégories, à l’aide de termes qui apparaissent souvent dans l’usage courant ou dans les médias. Elle permet également de déterminer les domaines dans lesquelles des recherches et des développements supplémentaires sont requis. Cependant, comme certains outils et certaines techniques offrent plusieurs capacités, il est parfois difficile d’établir une catégorie précise.

Les TAC ont pour but de permettre aux utilisateurs de protéger leur vie privée (renseignements personnels) en les laissant décider, entre autres choses, quels renseignements ils souhaitent communiquer à des tiers, notamment des fournisseurs de services en ligne, dans quelles circonstances ces renseignements seront communiqués et à quelles fins les tierces parties peuvent utiliser ces renseignements. Pour ce faire, elles proposent une ou plusieurs des fonctions ou capacités suivantes.

Consentement éclairé

Lorsqu’une personne divulgue ses renseignements personnels à un commerce ou à d’autres entités, elle consent également, parfois de manière explicite, parfois de manière implicite, à ce qu’ils soient utilisés dans un ou plusieurs buts. Le consentement est un principe important de la plupart des lois sur la protection des données et la vie privée. Bien que le langage utilisé varie, un élément clé du consentement est le fait qu’il soit éclairé (c.-à-d., basé sur une bonne compréhension de ce à quoi la personne consent). Le contrôle ultérieur du stockage, de l’utilisation et de la communication de ces renseignements repose sur la notion de confiance à l’égard du respect du consentement donné. Malheureusement, dans les faits, en raison du langage complexe des politiques, de la complexité de l’écosystème commercial dans lequel évolue l’organisation avec laquelle la personne traite, et d’autres facteurs similaires, cette confiance est parfois mal placée.

Comme il est indiqué dans le Rapport annuel de 2017 du Commissariat à la protection de la vie privée du CanadaNote de bas de page 13, pour rétablir cette confiance, on peut notamment utiliser une technique connue sous le nom de « marquage des données ». Dans le marquage des données, les renseignements personnels d’un utilisateur sont associés à des étiquettes comportant des instructions ou des préférences pour le traitement des données par les fournisseurs de services. Ces préférences peuvent être exprimées dans un format lisible par un ordinateur, utilisant le langage d’une politique de confidentialité, et des mécanismes automatiques sont proposés pour garantir le respect de ces instructions par les fournisseurs de services.

Les « politiques collantes » (sticky policies) sont un exemple de marquage des données. Ces politiques forcent l’application technique des préférences lorsque des renseignements personnels sont communiqués à plusieurs parties. L’utilisation du chiffrement est un moyen de les appliquer. Le projet EnCoRe (Ensuring Consent and Revocation) proposait une architectureNote de bas de page 14 dans laquelle les données personnelles chiffrées, associées à une politique lisible par un ordinateur, ne peuvent être déchiffrées et lues que par des entités qui respectent les règles de cette politique. Une autorité de confiance s’en assure en vérifiant la conformité et ne distribuant les clés de déchiffrement qu’aux services qui adhèrent aux politiquesNote de bas de page 15.

Les « politiques collantes » font partie intégrante de certaines propositions de formulation des politiques de confidentialité telles que le PrimeLife Policy Language (PPL)Note de bas de page 16 et E-P3P (Platform for Enterprise Privacy PracticesNote de bas de page 17). PPL repose sur le langage XACML (eXtensible Access Control Markup Language)Note de bas de page 18. Il est utilisé pour accorder l’accès aux données aux fournisseurs de services dans la mesure où leur politique est compatible avec les préférences de l’utilisateur en matière de confidentialité. L’utilisation du langage XACML pour le marquage des données a été suggérée au cours des consultations sur le consentement réalisées récemment par le Commissariat à la protection de la vie privée du Canada. E-P3P est un langage de contrôle d’accès propre à la protection de la vie privée qui permet aux organisations de concevoir et de déployer des politiques de confidentialité lisibles par un ordinateur, notamment la détermination des choix visant à accorder ou à retirer un consentement (selon la nature de l’information) et la limitation de l’accès aux renseignements personnels, et de concevoir des politiques de contrôle d’accès pour mettre en œuvre les politiques de confidentialité.

Les recherches sur le marquage des données et les politiques collantes se poursuivent depuis 2002, mais les travaux n’en sont qu’au stade de la validation de principe et les déploiements commerciaux sont peu nombreux. En règle générale, les langages de politique automatisés et lisibles par une machine ont obtenu un succès très limité, peut-être en raison de leur complexité, d’un manque d’interopérabilitéNote de bas de page 19 et du peu de demandes à l’égard de leurs capacités. Récemment, Microsoft a mis fin à la prise en charge de P3P dans ses navigateurs Windows 10Note de bas de page 20.

Limitation des donnéesNote de bas de page 21

La limitation des données est un principe fondamental de la conception de la protection de la vie privée en vertu duquel les services et les applications ne traitent que la quantité minimale de renseignements absolument nécessaire pour offrir le service ou pour une transaction donnée. L’objectif consiste à réduire la quantité de renseignements personnels recueillis et utilisés par les fournisseurs de services en ligne (p. ex., pour réduire le risque de profilage basé sur le comportement de l’utilisateur). Les TAC de cette catégorie incluent des sites Web qui choisissent délibérément de ne pas recueillir ou conserver des renseignements personnels tels que les mots utilisés pour la recherche, l’historique des recherches, les adresses IPNote de bas de page 22, etc. On peut citer par exemple DuckDuckGoNote de bas de page 23, IxquickNote de bas de page 24 (maintenant StartPage), DisconnectNote de bas de page 25 et UnbubbleNote de bas de page 26.

D’autres outils pourraient entrer dans cette catégorie, notamment ceux conçus pour protéger la vie privée en supprimant l’historique de navigation et d’autres activités sur l’ordinateur. Privacy EraserNote de bas de page 27 en est un exemple. Privacy Eraser prétend effacer toutes les empreintes numériques, à savoir la mémoire cache du navigateur Web, les témoins, l’historique de navigation, l’historique de la barre d’adresse, les adresses URL saisies, l’historique de saisie semi-automatique de formulaire, les mots de passe enregistrés, l’historique de recherche, les documents récents, les fichiers temporaires, la corbeille, etc.

Lorsque des personnes naviguent sur le Web, leur navigateur enregistre des renseignements sur l’activité de navigation (p. ex., les sites visités, la date et l’heure de chaque visite, les termes recherchés, etc.). Il peut arriver, cependant, qu’une personne ne souhaite pas que ce genre de renseignements soit accessible aux autres utilisateurs. Tous les principaux navigateurs prennent désormais en charge un mode d’utilisation parfois appelé « navigation privée »Note de bas de page 28.

Il est à noter, toutefois, qu’il existe des limites à la protection offerte par la navigation privée :

  1. si l’ordinateur utilisé est connecté à un réseau d’entreprise, l’administrateur réseau pourrait voir quels sites ont été visités;
  2. si l’ordinateur utilisé a été infecté par un programme malveillant, les activités en ligne pourraient toujours être suivies;
  3. si l’ordinateur utilisé dispose d’un logiciel de protection Internet (p. ex., un programme de contrôle parental tel que QustodioNote de bas de page 29), les sessions de navigation privée peuvent être suivies;
  4. le fournisseur de services Internet de l’utilisateur peut accéder à l’historique en ligne de l’utilisateur (p. ex., en réponse à une demande d’accès légal).

Une autre catégorie d’outils ou de techniques utilisée pour mettre en œuvre la limitation des données est celle des communications éphémères. Ces outils ont été élaborés en réaction à la permanence des conversations Internet, un phénomène qui a vu le jour lorsque les ordinateurs ont commencé à servir de médiateurs dans nos communications en ligne. Les ordinateurs produisent naturellement des enregistrements des conversations et ces données ont souvent été enregistrées et archivées. Ces outils, en revanche, déclarent faire expirer automatiquement les messages, les vidéos et autres contenusNote de bas de page 30. SnapchatNote de bas de page 31, WickrNote de bas de page 32, ConfideNote de bas de page 33 et FirechatNote de bas de page 34 en sont des exemples.

Suivi des données

Pour que les personnes puissent gérer correctement leur vie privée numérique, il leur est utile de disposer d’un moyen permettant de consigner, d’archiver et de rechercher (suivi des données) les renseignements qu’ils ont déjà divulgués, et de savoir quand, à qui et dans quelles circonstances ils l’ont fait. Ceci inclut le fait de permettre à une personne d’avoir un suivi des renseignements que possède un site ou un fournisseur de services (Google, par exemple) à son sujet, ce qui peut être fait à partir d’un tableau de bord (voir la discussion sous le titre « Contrôle »), mais aussi de lui permettre de faire le suivi des données communiquées entre plusieurs sites.

Pour ce faire, il existe un outil de suivi des données appelé « Data Track », élaboré dans le cadre du projet PRIME (Privacy and Identity Management for Europe) de l’Union européenneNote de bas de page 35. Data Track avait pour but de fournir un historique de toutes les transactions en ligne et enregistrait, pour le compte de l’utilisateur, des données concernant les renseignements personnels divulgués et leurs destinataires. Data Track visait également à assurer aux utilisateurs la transparence de leurs transactions en ligne et à leur permettre d’interroger ultérieurement les contrôleurs de données pour savoir s’ils avaient réellement traité leurs renseignements personnels comme promis. Les travaux sur Data Track ont été interrompus en 2011.

AnonymatNote de bas de page 36

Il existe un certain nombre d’« états » d’identité ou d’identification possibles, allant de totalement anonyme à totalement identifié (parfois appelé « vérifié »)Note de bas de page 37. Une gamme de renseignements peuvent également être utilisés pour identifier les individus en ligne, du nom à l’adresse IP. Les TAC peuvent permettre aux utilisateurs de choisir le degré d’anonymat souhaité (p. ex., en utilisant des pseudonymes, des anonymiseurs ou des justificatifs de données anonymes).

Les anonymiseurs de communications masquent l’identité réelle en ligne (p. ex., adresse électronique, adresse IP, etc.) d’un utilisateur et la remplacent par une identité non traçable (p. ex., adresse électronique jetable ou adresse électronique pour un envoi unique, adresse IP aléatoire des hôtes participant à un réseau préservant l’anonymat, pseudonyme, etc.). Ils peuvent s’appliquer à la messagerie électronique, la navigation sur le Web, une mise en réseau P2P, la téléphonie IP, le clavardage, la messagerie instantanée, etcNote de bas de page 38.

TorNote de bas de page 39 est l’un des anonymiseurs de communications les plus connus. Tor est un réseau mondial de relais gratuit sur Internet que des individus et des groupes peuvent utiliser pour empêcher des sites Web de les surveiller et pour se connecter à des sites d’actualités, à des services de messagerie instantanée ou des services réseau similaires lorsqu’ils sont bloqués par leurs fournisseurs de services Internet ou peuvent être de nature sensible. Une fonctionnalité connue sous le nom de « services cachés » permet également aux utilisateurs de publier des sites Web et d’autres services sans qu’il soit nécessaire de révéler l’emplacement du site. Par exemple, des journalistes utilisent Tor pour communiquer de manière plus sécuritaire avec des dénonciateurs et des dissidents.

ContrôleNote de bas de page 40

Les TAC de cette catégorie permettent aux utilisateurs d’exercer un plus grand contrôle sur les renseignements personnels transmis aux fournisseurs de services et aux commerçants en ligne (ou d’autres utilisateurs en ligne) et utilisés par ces derniers. Pour ce faire, ces technologies permettent par exemple aux utilisateurs de limiter le type ou la quantité de renseignements qu’ils communiquent à des tierces parties. Elles sont parfois appelées « techniques de divulgation sélective » ou « technologies de divulgation sélective ».

On nous demande presque tous les jours de nous identifier, que ce soit pour obtenir un service (p. ex., soins médicaux) ou pour acheter des biens (p. ex., alcool ou cigarettes) qui sont restreints d’une manière ou d’une autre (p. ex., en fonction d’un certain âge). Pour ce faire, nous dépendons habituellement des pièces d’identité émises par le gouvernement (p. ex., permis de conduire). Cela entraîne la divulgation de plus de renseignements que ce qui est strictement nécessaire pour la transaction en question. Dans de nombreux cas, il nous suffit de pouvoir démontrer que nous répondons à certains critères, ou que nous disposons de certains attributs (p. ex., que nous résidons à un endroit particulier ou que nous avons l’âge légal)Note de bas de page 41.

Un moyen de limiter la quantité de renseignements que nous divulguons au cours des transactions liées à l’identité consiste à utiliser des techniques connues sous le nom de « justificatifs d’identité reposant sur des attributs » (appelés aussi ABC pour attribute-based credentials)Note de bas de page 42. Ces justificatifs d’identité sont un fondement important des systèmes de gestion de l’identité respectant la vie privée. Parmi les fonctions de protection de la vie privée des ABC, il y a la capacité des détenteurs de justificatifs à divulguer un nombre minimal d’attributs aux services, ou à produire des preuves anonymes de possession de certains justificatifs ou à attribuer des valeurs correspondant à certains critères, tout en limitant la possibilité de relier des transactions touchant l’identitéNote de bas de page 43. UProveNote de bas de page 44 de Microsoft et Identity MixerNote de bas de page 45 d’IBM sont des exemples d’ABC.

D’autres technologies de « contrôle » ont été ciblées au cours de notre revue, notamment les suivantes :

  1. Identité auto-souveraine : un concept qui place l’utilisateur au centre de l’administration de son identité. Pour y parvenir, l’identité de l’utilisateur doit être interopérable dans de multiples emplacements, avec le consentement de l’utilisateur, mais également soumis à un véritable contrôle utilisateur de cette identité numérique, ce qui laisse place à une autonomie de l’utilisateur. Une identité auto-souveraine doit être également transportable et elle doit aussi permettre à des utilisateurs ordinaires de faire des revendications qui les concernent, ce qui pourrait inclure des renseignements permettant de les identifier ou des données sur leurs capacités personnelles ou l’appartenance à un groupe. Elle doit également respecter un ensemble de principes directeursNote de bas de page 46. UPortNote de bas de page 47 est un exemple de cette technologie;
  2. Systèmes de gestion des informations personnelles (PIMS)Note de bas de page 48 : conformément à l’idée de base inhérente au concept des PIMS, les individus devraient pouvoir décider à qui ils transmettent leurs renseignements personnels, à quelles fins et pour combien de temps, afin de pouvoir suivre tous les renseignements communiqués et d’être en mesure de se rétracter si les circonstances le justifient et le permettent. Cette catégorie de technologie englobe plusieurs autres composants, notamment des écosystèmes de données personnellesNote de bas de page 49, des tableaux de bord de données personnellesNote de bas de page 50 et des entrepôts de données personnellesNote de bas de page 51;
  3. Autres (divers) : un certain nombre d’autres technologies de « contrôle » ont été ciblées, notamment SieveNote de bas de page 52, TACYTNote de bas de page 53 et Protection intégrée des renseignementsNote de bas de page 54, mais celles-ci n’entrent pas facilement dans l’une des catégories précédentes.

Négocier les modalités

Dans de nombreux cas, les politiques de confidentialité établies et publiées par les fournisseurs de services en ligne sont du type « à prendre ou à laisser ». Aucune adaptation ni personnalisation n’est possible. Cependant, les consommateurs considèrent la confidentialité différemment et se préoccupent de plus en plus des répercussions de la communication de renseignements en vertu de politiques de confidentialité complexes et difficiles à comprendre. Ils vont donc fréquemment renoncer à la transaction en ligne. Si les individus pouvaient négocier les politiques de confidentialité, qui prendraient la forme d’ententes personnalisées, et s’ils pouvaient avoir confiance que les fournisseurs de services en ligne respecteraient ces ententes, cela serait un pas dans la bonne direction.

Le projet de plateforme pour les préférences de confidentialité (P3P)Note de bas de page 55, élaboré par le World Wide Web Consortium (W3C), visait à permettre aux sites Web d’exprimer leurs pratiques en matière de confidentialité dans un format standard lisible par une machine, qui pouvait être récupéré automatiquement et interprété facilement par des agents utilisateurs. Les individus pouvaient utiliser P3P pour définir leurs propres préférences de confidentialité. Les agents utilisateurs P3P, intégrés dans les navigateurs Web, devaient alors informer les utilisateurs des pratiques du site (dans un format lisible par l’homme et dans un format lisible par l’ordinateur), permettre aux utilisateurs de filtrer et de rechercher des sites qui offrent certaines protections en matière de respect de la vie privée, et automatiser la prise de décision en fonction de ces pratiques, le cas échéant. Comme il a été indiqué précédemment, P3P n’a jamais été largement adopté et sa prise en charge a essentiellement été abandonnée.

Nos recherches ont mis au jour plusieurs initiatives destinées à rendre P3P plus facile à utiliser, notamment Policy Aware WebNote de bas de page 56 et Transparent Accountable Datamining InitiativeNote de bas de page 57, mais aucune d’elles ne semble avoir progressé au-delà de la théorie. Des efforts ont été faits pour développer des solutions de rechange à P3PNote de bas de page 58, mais elles ne semblent pas non plus avoir fait de grands progrès.

Application technique

Lorsqu’il est possible de négocier les modalités d’un service, les TAC de cette catégorie offrent aux utilisateurs la possibilité que ces modalités soient mises en application techniquement par les infrastructures des fournisseurs de services et des commerçants en ligne (c.-à-d., de ne pas devoir seulement se fier aux promesses, mais être absolument certain qu’il est techniquement impossible pour les fournisseurs de services d’enfreindre l’accord passé sur les conditions de traitement des données). L’application technique des modalités négociées peut être réalisée de différentes manières, dont un grand nombre sont utilisées actuellement, bien que pour des objectifs différents (cette liste n’est pas exhaustive) :

  1. surveillance réseau : surveillance passive ou active de l’activité sur le réseau pour la comparer aux modalités convenues (p. ex., WiresharkNote de bas de page 59, FiddlerNote de bas de page 60, etc.). Certains outils offrent une prévention en temps réel contre les fuites de données personnellesNote de bas de page 61;
  2. détection des événements sur les nœuds finauxNote de bas de page 62 : une catégorie d’outils et de solutions qui se concentrent sur la détection, l’investigation et l’atténuation des activités suspectes et des problèmes sur les hôtes et les nœuds finaux (p. ex., McAfee Active ResponseNote de bas de page 63, Symantec Endpoint ProtectionNote de bas de page 64, etc.);
  3. outils de transparence du WebNote de bas de page 65 : ces outils visent principalement à fournir à l’utilisateur des renseignements sur la collecte, le stockage et/ou le traitement prévus de ses renseignements personnels, ou à l’aider à déterminer les répercussions potentielles du profilage des données. Ces outils incluent les bloqueurs de publicités (p. ex., Adblock PlusNote de bas de page 66 et GhosteryNote de bas de page 67) et les bloqueurs de suivi (p. ex., Privacy BadgerNote de bas de page 68);
  4. gestion des droits numériques : technologies de contrôle des accès qui tentent de contrôler l’utilisation, la modification et la distribution des travaux protégés par le droit d’auteur (comme un logiciel ou un contenu multimédia), ainsi que les systèmes au sein des dispositifs qui appliquent ces politiques (p. ex., ContentGuardNote de bas de page 69, DigimarcNote de bas de page 70, etc.).

Vérification à distance de la mise en application

Les TAC de cette catégorie permettent aux utilisateurs de vérifier à distance la mise en application des modalités offertes par les fournisseurs de services et les commerçants en ligne. Bien que l’expression s’applique plus fréquemment aux vérifications des données financières d’une entreprise, d’autres secteurs peuvent faire l’objet d’un audit, notamment la gouvernance, la conformité et les risques, et les contrôles internes. Une vérification suppose le rassemblement et l’analyse de renseignements appropriés par rapport aux objectifs, à la portée et aux critères en cause. Bien que ces renseignements soient habituellement obtenus à partir d’entretiens sur place, d’examens de documents et de l’observation des processus ou des personnes, une partie de la collecte de ces données peut désormais être réalisée à distance.

Pour faciliter l’audit d’une organisation, cette dernière peut publier de façon préventive des renseignements concernant ses politiques, ses procédures et ses pratiques. Par exemple, des statistiques exactes et opportunes des entreprises du secteur privé sur les demandes de renseignements personnels ou d’accès à ces renseignements de la part du gouvernement (sous la forme de la publication régulière de rapports clairs sur les mesures de transparenceNote de bas de page 71) peuvent aider les consommateurs à faire des choix rationnels et renforcer leur confiance envers une économie numérique en pleine croissance et son interface avec l’État aux fins de l’application de la loi et de la sécurité.

Les personnes peuvent également effectuer une « vérification » d’une entreprise si celle-ci accepte de se soumettre à une procédure de certification selon un label de confianceNote de bas de page 72, défini comme étant « une étiquette électronique ou une représentation visuelle indiquant qu’un cybercommerçant a fait la preuve de sa conformité aux normes relatives, par exemple, à la sécurité, à la confidentialité et aux pratiques commerciales » [traduction]Note de bas de page 73. Les organismes qui offrent la certification selon un label de confiance publient souvent des renseignements sur leur site Web sur le label de confiance et les critères auxquels une entreprise doit satisfaire pour obtenir le labelNote de bas de page 74. Les personnes peuvent alors effectuer des recherches sur le label de confiance et le fournisseur de ce label et décider si elles sont prêtes à communiquer leurs renseignements personnels au site Web en question.

Aussi utiles que peuvent être ces labels pour établir la confiance à l’égard d’une organisation, ils présentent des limites. Par exemple, un label de confidentialité (p. ex., TRUSTe, maintenant TrustArcNote de bas de page 75) ne garantit pas nécessairement que l’organisation a mis en œuvre des normes ou des processus de sécurité technique donnés (comme un chiffrement du trafic de base ou des essais de vulnérabilité de l’infrastructure)Note de bas de page 76, car il peut y avoir plusieurs moyens de satisfaire aux exigences du label de confiance.

Utilisation des garanties juridiques

De nombreuses lois sur la protection des données ou la vie privée confèrent aux individus certains droits, notamment ceux de pouvoir accéder aux renseignements les concernant détenus par une organisation, de contester l’exactitude et l’intégralité de ces renseignements, et de les faire modifier comme il convientNote de bas de page 77. En règle générale, pour exercer ces droits, les individus doivent envoyer une demande par écrit à une organisation et attendre que celle-ci réponde. Un moyen d’aider les personnes à exercer leurs droits consiste à automatiser le processus.

En 2014, le Citizen LabNote de bas de page 78, en partenariat avec Open EffectNote de bas de page 79 et Open MediaNote de bas de page 80, a lancé la version initiale de l’outil Obtenir mes infos (OMI)Note de bas de page 81. OMI est un assistant pas-à-pas qui permet la création d’une lettre officielle personnalisée demandant l’accès aux renseignements qu’un fournisseur conserve et utilise à propos d’une personne. La version initiale ne permettait aux utilisateurs que de créer une lettre destinée aux sociétés de télécommunications. Un outil amélioré, relancé en juin 2016Note de bas de page 82, offre aux individus la possibilité d’envoyer des demandes officielles à un éventail plus large d’organisations, notamment celles qui fournissent des moniteurs d’activité physique et des applications de rencontres.

L’« échec » des TAC

Notre revue a démontré qu’il ne semble pas y avoir de pénurie de bonnes idées en matière de protection de la vie privée. Les TAC énumérées préalablement dans ce document ne font qu’effleurer la liste des technologies disponibles. Une vaste gamme de TAC a été proposée, mais peu de ces technologies semblent avoir percé au-delà du stade des recherches et être utilisées sur le marché ou dans la vie des gens de manière notable. De nombreuses raisons peuvent être à l’origine de « l’échec » de l’adoption des TAC par le grand public.

Les environnements économiques et réglementaires actuels fournissent peu d’incitatifs au déploiement de technologies de consentement prometteuses. Les nouveaux développements technologiques sont donc peu susceptibles en soi d’entraîner des changements importants. Une grande partie du monde virtuel fonde ses flux de revenus sur la collecte et le traitement des renseignements personnels, en particulier pour la publicité ciblée. De plus, l’industrie repose souvent sur un consentement implicite ou négatif, où l’absence d’action est interprétée comme l’autorisation de traiter des renseignements personnels. Les technologies de consentement qui permettent aux consommateurs d’agir plus facilement, en particulier pour retirer leur consentement, auraient vraisemblablement pour effet de réduire les flux de revenus.

Les exemples examinés ci-dessus illustrent le fait qu’il ne manque pas de bonnes idées ni de technologies viables pour améliorer le processus de consentement. Il y a cependant un manque d’incitatifs parmi les organisations, principalement les entreprises commerciales, à utiliser la technologie pour offrir de meilleurs moyens de donner ou de retirer son consentement. L’aspect économique du contexte actuel, grandement axé sur la compétition et dominé par les modèles d’autoréglementation et de consentement négatif, peut dissuader les entreprises d’offrir des mécanismes de consentement efficaces.

L’adoption des outils peut parfois échouer, car l’utilisateur moyen les trouve trop complexes. Il se peut qu’ils ne soient pas intuitifs, qu’ils requièrent des connaissances spécialisées ou des aptitudes particulières pour fonctionner, ce dont le consommateur moyen peut ne pas disposer. L’échec pourrait être dû au fait qu’il n’y a pas de demande de la part des consommateurs pour des mesures de protection de la vie privée (ce qui peut découler, en partie, d’un manque de connaissances des outils disponibles) ou que le gouvernement pourrait ne pas souhaiter réglementer les mesures de protection de la vie privée de peur de freiner l’innovation.

Il se peut que les utilisateurs potentiels ne fassent pas confiance aux outils (c.-à-d., qu’ils fourniront les protections qu’ils prétendent offrir). Il y a des raisons d’être sceptiques. De nombreuses TAC ne semblent être que des prototypes de laboratoire ou n’avoir été utilisées que pour des essais limités. Il y a donc peu ou pas d’étude de leur utilisation pratique et de leur incidence sur le traitement des renseignements personnels. Certaines TAC peuvent impliquer des tierces parties inconnues du grand public auxquelles celui-ci ne fait donc pas confiance.

Certains outils échouent parce qu’ils sont incapables de surmonter l’« effet de réseau » (un phénomène selon lequel un bien ou un service prend de la valeur lorsque davantage de personnes l’utilisent). Des entreprises puissantes ou dominantes (p. ex., Facebook) sont en mesure d’exploiter des « économies d’agrégation » et de créer des barrières à l’entrée du fait qu’elles contrôlent des ensembles volumineux de données personnelles ainsi que à des logiciels propriétaires qui organisent les donnéesNote de bas de page 83.

Et maintenant?

Comme nos recherches préliminaires l’ont montré, il n’y a pas de pénurie de bonnes idées pour protéger la vie privée des personnes. Cependant, certaines catégories de TAC (p. ex, le suivi des données) ne semblent pas avoir suscité autant d’intérêt que d’autres. Nous ne savons pas si cela est dû à un manque d’intérêt de la part des chercheurs ou si les problèmes auxquels ces technologies sont censées s’attaquer sont difficiles à résoudre.

La précédente section du rapport a permis de cerner un certain nombre d’obstacles potentiels à la mise en œuvre ou à l’adoption des TAC, notamment le manque de connaissances liées à l’existence de ces outils, leur manque de convivialité et l’absence de mesures incitatives pour les organisations à offrir ou à mettre en œuvre ces outils. La présente revue n’ayant pas examiné les taux d’adoption des différentes technologies ciblées au cours de la recherche, nous ne savons donc pas quels obstacles précis sont davantage responsables de la faible adoption des TAC. De la même manière, lorsqu’une TAC a été adoptée avec succès, nous ne savons pas quels facteurs y ont contribué.

Au vu de cette revue préliminaire, il est clair que des recherches supplémentaires sont nécessaires pour évaluer les forces et les faiblesses relatives des TAC, développer de nouvelles TAC ou améliorer l’efficacité de celles qui existent, et mieux comprendre les obstacles au déploiement et à l’adoption des TAC sur le marché virtuel. Les individus doivent également être mieux informés de l’existence des TAC et recevoir de l’aide pour les utiliser davantage, s’ils le désirent, en vue de protéger leurs renseignements personnels en ligne et d’exercer un plus grand contrôle sur leur utilisation (ou non-utilisation) potentielle par autrui.

Date de modification :