Les défis uniques posés par Internet et d’autres nouvelles technologies concernant le droit à la vie privée

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion de la conférence : Internet Law - The Second Wave: New Developments, Challenges and Strategies

Toronto, Ontario
les 27 et 28 mars 2008

Allocution prononcée par Lisa Madelon Campbell et Daniel Caron
Direction des services juridiques, des politiques et des affaires parlementaires

(LE TEXTE PRONONCÉ FAIT FOI)


Introduction

Dans un court article intitulé « Privacy Law, the Web » rédigé en septembre 2006, Ben Spaulding a déclaré que la vie privée sur Internet est comparable à des glaçons dans du chocolat chaud : l’un fait fondre l’autre.

La protection de la vie privée et Internet sont-ils dans une dynamique gagnant-perdant? Les avancées de la technologie Internet entraîneront-elles nécessairement une éventuelle perte de la vie privée sur Internet? La comparaison avec des glaçons dans un chocolat chaud est intéressante puisqu’elle illustre de quelle façon Internet a créé un bon nombre de défis stimulants sur le plan de la protection du droit à la vie privée au Canada et ailleurs.

Aux yeux des Canadiennes et des Canadiens, la protection de la vie privée et celle des renseignements personnels sont des valeurs importantes; il ne s’agit pas simplement du « droit d'être laissé tranquille », comme l’a énoncé le juge Louis D. Brandeis, mais aussi du fait que les personnes puissent contrôler l’utilisation, la collecte et la communication de leurs renseignements personnels. Le droit de mener sa vie quotidienne de façon anonyme est également un aspect fondamental du droit à la vie privée au Canada. En effet, ce droit détient un statut privilégié au Canada : les tribunaux canadiens n’ont pas hésité à déclarer la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) une loi fondamentale canadienne, tout comme la Cour suprême du Canada a décrété que la Loi sur la protection des renseignements personnels bénéficiait d’un statut quasi constitutionnel. Lorsque nous transmettons des renseignements sur notre identité à d’autres personnes, organisations, entreprises ou institutions gouvernementales, nous courons le risque de voir nos renseignements personnels utilisés à mauvais escient d’une façon qui aurait de profondes répercussions non seulement sur nous-mêmes ou nos carrières, mais aussi sur nos familles, nos amis et nos employeurs respectifs.

En partie en raison de l’avènement d’Internet, les renseignements personnels prennent de plus en plus de valeur. Certaines sources ont même réussi à établir la valeur de renseignements personnels volés. Selon un rapport sur la menace à la sécuritéde Symantec qui a été publié en mars 2007 et qui a été effectué dans le but de surveiller le commerce clandestin de renseignements confidentiels et personnels sur Internet, la valeur des données volées relatives aux cartes de crédit des États-Unis (numéro de vérification inclus) variait entre 1 $ et 6 $ par carte, et les renseignements nécessaires à l’usurpation d’identité (numéro d’assurance sociale, compte bancaire des É.-U., carte de crédit, date de naissance, numéro d’identification gouvernemental, etc.) se vendaient à des prix allant de 14 $ à 18 $.

Il existe maintenant en ligne toute une industrie de courtage de données qui se spécialise dans la compilation, l’analyse et la vente de renseignements personnels à des personnes et à des organisations. D’après l’Association canadienne du marketing, le secteur du marketing au Canada génère plus de 480 000 emplois et entraîne, par l’intermédiaire de différents réseaux commerciaux, des ventes annuelles totales de plus de 51 milliards de dollars. Une grande partie de cette activité économique se traduit par l’analyse, l’utilisation et le partage de renseignements sur les consommateurs. D’autres entreprises recueillent des renseignements personnels dans le but de personnaliser leurs services, de déterminer le comportement des consommateurs et de découvrir des occasions possibles de marketing. Les institutions gouvernementales cherchent à consigner des renseignements personnels à différentes fins, y compris l’application de la loi et la sécurité.

Il est clair qu’Internet pose des défis intéressants en matière de droit à la vie privée au Canada et à l’étranger. L’un de ces défis concerne la compétence à l’égard d’Internet. Dans le contexte de la protection de la vie privée, chaque administration a sa propre philosophie en matière de vie privée; chacune a mis en place une approche différente. Quelle approche et quelle philosophie s’imposeront dans un monde virtuel qui n’a de fait aucune frontière? Internet nous force également à penser différemment. Des choses qui nous auraient semblé tout à fait impossibles il y a 15 ans sont aujourd’hui bien ancrées dans notre réalité. De nouveaux mondes virtuels, dans lesquels il est possible de créer des « avatars » et d’acheter des biens avec des « Linden Dollars », sont témoins d’évènements qui peuvent parfois avoir des conséquences sur le monde réel. Ces actes virtuels peuvent-ils être réglementés et devraient-ils l’être? Le phénomène du réseautage social a aussi soulevé des défis particulièrement intéressants pour les personnes qui veulent être « branchées » et au courant des dernières technologies; ces personnes ne veulent tout de même pas qu’une photo compromettante que des amis ont affichée sur un site Web et qui témoigne d’un geste suspect qu’elles auraient commis leur nuise un jour…

D’autres percées technologiques modifient de façon permanente notre conception traditionnelle de la protection de la vie privée et brouillent la frontière entre le privé et le public. Parmi ces innovations figurent la collecte et l’utilisation de renseignements biométriques, le déploiement de technologies d’immersion géographique et les progrès en nanotechnologie.

Ces défis et développements sont approfondis ci-dessous.

1. Défis sur le plan des compétences

À la fin des années 1990, Internet est devenu un moyen de faire des affaires. À cette époque, les entreprises ont commencé à se rendre compte de la possible importance, voire de la nécessité, de l’exploitation en ligne. Toutefois, elles ont aussi pris conscience des risques juridiques uniques inhérents à la vente de produits en ligne ou même à la tenue d’un site Web informatif. Le caractère unique de ces risques juridiques découle de l’omniprésence d’Internet et de l’absence de frontières. En effet, une connexion à Internet permet de consulter des sites Web publiés dans les quatre coins du monde.

Internet a réussi à rapprocher d’une façon remarquable différents pays, marchés et cultures, mais il a également suscité un certain nombre d’incertitudes relativement aux compétences légales : (i) de quel pays relève un litige soulevé par Internet; (ii) quel ensemble de règles juridiques fondamentales s’applique à un litige émanant d’Internet; (iii) la décision judiciaire d’un pays au sujet d’un litige sur Internet sera-t-elle appliquée dans un autre pays?

En dépit de l’évolution de la jurisprudence sur la compétence à l’égard d’Internet, il reste du chemin à faire pour déterminer de quelle autorité relèvent les litiges ou les problèmes résultant de l’utilisation d’Internet. Dans les faits, les règles juridiques nationales s’appliquent pour déterminer les autorités compétentes en la matière. Par conséquent, les mêmes problèmes qui découlent de l’application des critères du droit international privé en dehors du contexte d’Internet persistent.

Dans un document sur la compétence à l’égard d’Internet, le professeur Michael Geist de l’Université d’Ottawa a fait remarquer que de telles incertitudes sur les compétences engendrent plusieurs conséquences. Premièrement, elles entraînent des risques intangibles de nature financière pour les entreprises qui tentent de limiter leurs responsabilités légales. Deuxièmement, ces incertitudes peuvent limiter ou compromettre l’efficacité des lois nationales qui visent à protéger les consommateurs, notamment lorsqu’un consommateur ne peut exercer un recours devant les tribunaux de son pays ou lorsqu’une autre procédure est nécessaire pour appliquer un jugement étranger.

En ce qui concerne la vie privée, différentes lois sur la protection de la vie privée peuvent s’appliquer à un comportement envahissant en ligne. En conséquence, le droit à la vie privée d’une personne peut être défini d’une certaine façon par les tribunaux d’un pays et d’une façon plus limitée, par exemple, par les tribunaux d’un autre pays. Comment les Canadiennes et les Canadiens, dont la conception de la vie privée est plutôt libérale, peuvent-ils faire respecter leur droit à la vie privée de la façon dont ils le comprennent par une organisation d’un pays qui a une conception différente de la vie privée? Sur le plan pratique, cette confusion pousse également les organisations à utiliser les forums de discussion pour décider de l’endroit où lancer des technologies portant potentiellement atteinte à la vie privée. Dans ces situations, les organisations inaugurent les technologies dans des pays où les lois sur la vie privée sont assez souples, elles attendent que leur produit soit établi, puis elles l’introduisent doucement dans les marchés où les autorités compétentes sont plus sévères en matière de protection de la vie privée.
 
Les organisations peuvent aussi tirer profit du caractère omniprésent d’Internet pour recueillir, utiliser et communiquer des renseignements personnels sur les citoyens de différents pays. En 2005, une personne a porté plainte auprès du Commissariat parce qu’un courtier de données en ligne situé aux États-Unis avait recueilli et utilisé des renseignements personnels sur des Canadiennes et des Canadiens sans leur consentement. Le Commissariat a d’abord établi qu’il n’était pas de son ressort d’enquêter sur la plainte en vertu de la LPRPDE, mais la Cour fédérale du Canada a décrété qu’il incombait effectivement au Commissariat d’enquêter sur un courtier de données étranger si ce dernier possède des liens véritables et étroits avec le Canada. Cette situation permet de souligner que les organisations étrangères sont capables de recueillir et de vendre, par Internet, des renseignements sur des personnes d’autres pays à des fins commerciales, mais elle constitue aussi un excellent exemple des certitudes sur les compétences en matière de protection du droit à la vie privée.

2. Répercussions des mondes virtuels sur le monde réel

À 5 h le 18 avril 2005, la directrice générale d’Ubiqua Seraph Corporation a été piégée et assassinée par un agent double qui faisait partie d’une organisation clandestine. Ce groupe planifiait secrètement, depuis bien plus d’un an, l’assassinat de la DG ainsi que le vol des actifs de la société. Les membres de cette organisation clandestine avaient lentement infiltré les plus hauts échelons de l’entreprise sur une période de 12 mois, avaient gagné la confiance des directeurs de l’entreprise puis, après avoir préparé soigneusement et méticuleusement leur crime, avaient éliminé la DG alors qu’elle était à bord d’un vaisseau et orchestré la prise de contrôle de plus de 30 milliards de dollars en actifs.

Ce crime semble trop extravagant pour être vrai? C’est que ce crime n’est pas « réel ». Ubiqua Seraph était une société créée par des joueurs d’un MMORPG (jeu de rôle en ligne massivement multijoueur) appelé Eve Online, et la DG était un personnage virtuel créé par l’un des joueurs. La DG était à bord d’un cuirassé de classe Navy Apocalypse; les 30 milliards volés étaient en fait 30 milliards d’ISK, la monnaie d’Eve Online, et comprenaient des actifs comme des bâtiments Imperial et le contenu d’autres vaisseaux. Le meurtre et le vol ont eu lieu dans un monde virtuel régi par des règles virtuelles et ultimement géré par des administrateurs de jeu, donc où est le problème, n’est-ce pas?

En fait, cet épisode d’Eve Online se démarque en raison de ses conséquences sur le monde réel. Un nombre considérable de joueurs se sont prononcés contre ce vol virtuel. Certains ont fait remarquer que les joueurs qui avaient fondé la société avaient travaillé très fort pendant de longs mois, en plus d’investir temps et argent, pour acheter les actifs qui ont fini par être volés. En réalité, on estime la valeur réelle des biens volés à près de 170 000 $US, ce qui fait probablement de cette fraude l’une des escroqueries les plus importantes de l’histoire des MMORPG.

En plus d’être une histoire de trahison presque digne d’Hollywood, l’épisode d’Eve Online souligne les conséquences réelles des actes commis dans des mondes virtuels, qui atteignent ici la valeur de 170 000 $. Le véritable enjeu repose sur le fait que les actions en ligne ont eu des répercussions sur le monde réel, et que toutes les sommes réelles investies par les joueurs qui détenaient la société dans le jeu Eve Online ont en fin de compte été perdues. Un bon nombre d’autres exemples illustrent des situations dans lesquelles des voleurs ont obtenu, par différents moyens, un accès non autorisé à des mondes virtuels et ont commis des fraudes dont ils ont bénéficié dans le monde réel.

Les jeux, comme Eve Online, ou les communautés en ligne, comme Second Life, diffèrent des jeux vidéo traditionnels puisque les joueurs ne sont pas intéressés par des points ou des pièces de Super Mario Bros. Ils investissent du temps et de l’argent réels pour accomplir des tâches et entreprendre des missions dans le but de gagner de l’argent virtuel, de se procurer des objets de valeur et d’acquérir de l’expérience, qu’ils peuvent d’abord échanger contre des biens détenant de la valeur dans le jeu et ensuite échanger à nouveau contre de l’argent réel. Toutefois, des voleurs peuvent faire appel à une variété de moyens pour accéder à ces mondes afin de voler des biens virtuels et même de blanchir de l’argent.

De tels mondes virtuels peuvent soulever un certain nombre de débats philosophiques intéressants quant au statut des personnes dans ces mondes, mais ils peuvent aussi représenter des défis intéressants sur le plan de la protection de la vie privée. Premièrement, différents moyens peuvent servir à s’introduire dans un monde virtuel pour y exercer des activités frauduleuses. Des utilisateurs malveillants peuvent recourir à diverses techniques, comme l’ingénierie sociale, l’exploitation des vulnérabilités des serveurs de jeu et l’utilisation de maliciels, afin de voler des renseignements personnels sur les joueurs et d’accéder aux jeux à l’aide des personnages de ces derniers. Une fois qu’un voleur est entré dans un monde virtuel, il peut voler des biens virtuels et les vendre sur des sites réels de vente aux enchères, ou même utiliser le monde virtuel pour blanchir de l’argent réel : des sommes réelles sont dépensées pour acheter des biens, puis ces biens sont vendus, ce qui permet de générer de l’argent en provenance d’une nouvelle source.

Deuxièmement, dans quelle mesure les normes du monde réel peuvent-elles influencer des mondes comme Eve Online ou Second Life? Le Code criminel ou la Charte canadienne des droits et libertés s’appliquent-ils? Compte tenu du fait qu’il est effectivement possible d’exploiter des entreprises en vue de réaliser des profits sur Second Life et, donc, d’y effectuer des activités commerciales, une loi comme la LPRPDE régit-elle la vie privée dans ces mondes? Si je vends un tee-shirt virtuel dans Second Life, dois-je avoir un agent virtuel de la protection de la vie privée ou une politique virtuelle de confidentialité?

Ces questions soulèvent des enjeux qui nécessitent notre attention et des solutions concrètes, particulièrement en raison de l’intérêt croissant pour ces mondes qui ne tiennent pas compte des véritables conséquences des lois du monde réel.

3. Contrôle des réputations sur Internet

« C’est la première fois dans l’histoire de l’humanité que tant de personnes peuvent, à elles seules, trouver tant de renseignements sur tant de choses et tant de personnes. » [traduction libre]

(Thomas L. Friedman)

Notre propre réputation est importante. En tant que personnes, que nous le voulions ou non, les opinions des autres nous touchent et peuvent influencer le comportement des autres envers nous. La réputation des entreprises est tout aussi cruciale, puisqu’une mauvaise réputation peut avoir des conséquences financières. La vitesse à laquelle les renseignements sont communiqués sur Internet et la facilité avec laquelle ils peuvent être publiés de façon anonyme peuvent avoir des répercussions dévastatrices sur une réputation en ligne. En réalité, toute une industrie se spécialise maintenant dans la gestion et le rétablissement des réputations en ligne pour les personnes et les entreprises victimes d’attaques. Les profils involontaires en ligne, dont la source est en réalité impossible à retracer, peuvent contenir une quantité impressionnante de renseignements personnels auxquels à peu près n’importe qui détenant une connexion Internet peut accéder. Des courtiers de données, des spécialistes du marketing, des usurpateurs d’identité ou même des institutions gouvernementales peuvent consulter ces renseignements pour rassembler les divers éléments du profil d’une personne.

De plus, il est possible de créer intentionnellement des profils virtuels et de publier ses propres renseignements en ligne. Un utilisateur peut afficher son profil sur des sites de réseautage social comme Facebook et MySpace en pensant qu’il contrôle les renseignements qui y sont publiés.

L’aspect particulièrement intéressant du partage de renseignements personnels en ligne est la perception paradoxale qu’ont les gens de la protection de la vie privée en ligne. Selon une étude réalisée en 2005 par des membres de l’Institute of Information Systems de l’Université Humboldt de Berlin, les gens admettent leur souci pour la vie privée et leurs préférences à ce sujet en ce qui a trait à la consultation de sites Web, mais leur comportement réel en ligne ne concorde pas toujours avec ces préférences. Dans les faits, les gens oublient facilement leurs inquiétudes quant à la protection de la vie privée et transmettent les renseignements les plus personnels, en particulier lorsque l’échange est divertissant ou lorsque des avantages suffisants sont offerts en échange du partage de renseignements personnels.
 
Inversement, les gens qui affichent des renseignements personnels sur des sites Web dans le but de les partager avec d’autres sont malgré tout prêts à s’opposer à ce qu’ils estiment être une atteinte à leur vie privée. Prenons l’exemple des réactions à l’introduction de la fonctionnalité « News Feed » sur Facebook en 2006. Comme nous l’avons dit précédemment, les utilisateurs de Facebook peuvent créer en ligne des profils personnels qu’ils peuvent partager avec des amis (et involontairement avec d’autres). Ces profils en ligne peuvent préciser ce que les utilisateurs font à un moment précis, l’endroit où ils se trouvaient le soir précédent ou même les derniers amis ajoutés. En 2006, Facebook a mis en place une fonctionnalité grâce à laquelle les utilisateurs sont instantanément avisés lorsque des amis entrent de nouveaux renseignements ou affichent de nouvelles photos dans leur profil, y compris des renseignements au sujet d’amis ajoutés ou effacés.

Dans son livre intitulé The Future of Reputation, Daniel Solove, professeur de droit à l’Université George Washington, raconte la protestation contre l’introduction de « News Feed ». Quelques jours après la mise en place de la fonctionnalité, le nombre de contestataires montait à près de 700 000. Ce que Solove trouvait particulièrement intéressant à propos de l’épisode de la section « News Feed » était qu’elle n’impliquait pas la communication de nouveaux renseignements; les utilisateurs étaient plutôt outragés par le partage des renseignements qu’ils avaient eux-mêmes affichés dans leur profil. En soi, tout ce que la fonctionnalité « News Feed » apportait de nouveau était de faciliter l’évaluation des renseignements existants. Alors pourquoi une réaction en apparence paradoxale s’est-elle ensuivie?

Selon Solove, c’est la preuve que les utilisateurs de Facebook ne sont pas tout à fait conscients des dangers que comporte Internet pour la vie privée et qu’ils perçoivent cette notion comme étant susceptible de comporter différents niveaux. La fonctionnalité « News Feed » a démontré que les utilisateurs qui publient volontairement des renseignements personnels sur des sites Web de réseautage social soulevant certaines inquiétudes sur le plan de la protection de la vie privée sont néanmoins conscients de leur droit à la vie privée sur Internet. Cette réaction prouve également que les utilisateurs appliquent leurs propres normes pour déterminer la façon dont leurs renseignements personnels devraient être accessibles aux autres.

La perception de la vie privée en ligne qu’ont les utilisateurs d’Internet et leur façon d’agir en conséquence ne coïncident pas toujours, mais il clair qu’Internet continuera de poser des défis uniques sur le plan des réputations en ligne.

4. Collecte et utilisation de renseignements biométriques

Les gouvernements et l'industrie privée du monde entier recueillent et utilisent de plus en plus de mesures biométriques pour identifier les personnes et connaître leurs allées et venues.

La biométrie est l’identification d'une personne à partir de paramètres physiologiques ou de traits comportementaux. Il s’agit de la plus ancienne forme d’identification. Comme l’a remarqué Bruce Schneier :

« Les chiens ont des aboiements distinctifs. Les chats urinent. Les humains reconnaissent les visages. Au téléphone, votre voix vous identifie. Votre signature vous identifie comme la personne qui a signé un contrat. »  [traduction libre]

La biométrie signifie prendre ou enregistrer certains attributs biologiques ou physiques inaliénables d’une personne et les utiliser pour l’identifier. Si nous représentions la notion de vie privée sur un continuum, nous placerions l’inviolabilité de l’espace physique dans lequel nous vivons et voyageons à une extrémité et l’inviolabilité de la personne à l’autre extrémité.

Malgré le fait que nous utilisons la biométrie pour identifier les personnes depuis plus longtemps que nous pourrions le penser, les nouvelles avancées technologiques ont permis de perfectionner son utilisation en ce qui a trait à l’identification des personnes et à la vérification de l’identité. De tels progrès comprennent la photographie, la reconnaissance faciale, la lecture de l'iris et, bien sûr, l’élément fondamental de la biométrie, l’ADN. De plus, la façon dont les organisations utilisent la biométrie a évolué. Elle ne sert plus seulement à contrôler l’accès aux immeubles et aux renseignements; les identificateurs biométriques sont aussi utilisés pour les passeports, les permis de conduire et d’autres cartes d’identité.

Comme nous l’avons mentionné précédemment, le marché mondial des renseignements personnels connaît une croissance exponentielle, et pour diverses raisons, il devient de plus en plus important d’identifier correctement les personnes. Vu l’importance croissante du rôle que joue la biométrie dans l’identification des personnes, il est évident que des questions relatives à la vie privée sont soulevées. L’utilisation des technologies biométriques a alimenté la peur d’être constamment surveillé, de perdre notre individualité, notre vie privée et notre liberté ainsi que l’inquiétude de voir nos données physiques et nos renseignements personnels sensibles stockés de façon numérique dans de grandes bases de données. Comment pouvons-nous contrôler la collecte, l’utilisation et la communication de renseignements biométriques ainsi que l’accès aux bases de données comprenant de telles informations?

5. Déploiement de technologies d’immersion géographique

De nombreuses images satellitaires et aériennes prises de centres importants sont accessibles sur Internet depuis un certain temps. Ces images sont diffusées par des organismes gouvernementaux, y compris le bureau météorologique d'Environnement Canada et la US National Oceanic and Atmospheric Administration, ainsi que par des entreprises comme TerraServer, située aux États-Unis, et Spot Image Group, dont le siège est en France. Ces organisations se spécialisent dans l’acquisition, le traitement et la distribution d’imagerie satellitaire (le tout gratuitement ou moyennant

Date de modification :