La vie privée à l’ère des médias sociaux

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires à l’occasion d’un atelier organisée par les Services juridiques du Centre de la sécurité des télécommunications Canada

Le 20 avril 2011
Ottawa (Ontario)

Allocution prononcée par Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Introduction — Les annonces entourant la mort de la vie privée sont très exagérées.

Pour paraphraser la citation célèbre de Mark Twain, les annonces entourant la mort de la vie privée sont très exagérées. C’est à partir de cette prémisse que je voudrais discuter avec vous de la vie privée à l’ère des médias sociaux : bien qu’une part de plus en plus importante de nos activités sociales et professionnelles ait lieu en ligne, le droit à la vie privée et la valeur accordée à la vie privée demeurent.

Mon intervention d’aujourd’hui se déroulera comme suit :

  • J’aborderai en premier lieu le droit à la vie privée : sa définition, son origine, sa valeur sociale et ses fondements juridiques.
  • J’examinerai ensuite comment le droit à la vie privée est transigé dans le cadre des médias sociaux.
  • Pour terminer, je traiterai des nouvelles modalités de la protection de la vie privée — puisque si le droit à la vie privée reste immuable, les circonstances entourant son exercice ne sont plus les mêmes.

Le droit à la vie privée

Tout d’abord, qu’est-ce que le droit à la vie privée? Dans sa forme statique, c’est le droit de contrôler ce que les autres savent de nous. Dans sa forme dynamique, c’est l’exercice de ce contrôle.

La protection de la vie privée est ancrée dans notre instinct de survie : nous sommes tous conscients que ce que les autres savent de nous peut nous nuire ou nous avantager. C’est tout simplement ce qu’on appelle la réputation et nous savons tous, instinctivement, à quel point elle est précieuse.

La réputation est fondée en grande partie sur les potins, le commérage de mondanités; bref, il s’agit des impressions subjectives que les autres ont de nous et qu’ils partagent avec les autres. Notre réputation est créée par ceux qui nous entourent, à partir de ce qu’ils peuvent observer à notre égard.

C’est pourquoi, comme êtres humains, nous cherchons toujours à en savoir davantage sur les autres, tout en contrôlant ce que les autres savent de nous. Ce phénomène individuel s’étend au niveau collectif, donc au niveau de l’État.

Puisque les États sont aussi des entités sociales, ils ont le même souci d’en connaître le plus possible au sujet des autres États, tout en contrôlant le plus possible ce que les autres États savent d’eux-mêmes... Ça vous rappelle peut-être les activités de votre organisme, qui visent à la fois à protéger l’intégrité des systèmes de communication de l’État canadien et à obtenir de l’information à partir des systèmes de communication d’États étrangers.

Tout groupe de personnes, toute société, développe donc naturellement un contrat social informationnel, qui comprend ce qu’il est permis ou non de connaître sur l’autre, afin de respecter réciproquement cet instinct de survie individuel. Si l’on voulait poursuivre l’analogie avec le CST, on penserait tout de suite aux ententes qui existent entre le Canada et ses partenaires, selon lesquelles ces pays alliés partageront de l’information mais ne s’espionneront pas entre eux.

Le contrat social au Canada est articulé dans la Charte canadienne des droits et libertésFootnote 1 (dont on célèbre le 29e anniversaire cette semaine). Le droit à la vie privée est prévu à l’article 8 et subsidiairement à l’article 7.

Il se précise dans la jurisprudence par un critère en quatre parties inspiré de l’arrêt Oakes, rendu par la Cour suprême du Canada en 1986. Au Commissariat à la protection de la vie privée, nous appliquons systématiquement ce même critère au moment de déterminer si une mesure qui porte atteinte à la vie privée est justifiable :

  • La mesure est-elle nécessaire pour répondre à un besoin démontrable?
  • La mesure est-elle susceptible de répondre efficacement à ce besoin?
  • L’atteinte à la vie privée est-elle proportionnelle à l’avantage tiré?
  • Y a-t-il un moyen moins envahissant de parvenir aux mêmes fins?

Au-delà de la Charte, le droit à la vie privée au Canada s’articule plus précisément dans deux lois fédérales : la Loi sur la protection des renseignements personnels, qui vise le secteur public, et la Loi sur la protection des renseignements personnels et les documents électroniques, applicable au secteur privé.

Le contrat social informationnel étant à redéfinir à l’ère des nouvelles technologies de l’information, notre société démontre une préoccupation aiguë pour la protection de la vie privée. Ces préoccupations se manifestent des manières suivantes :

  • Le nombre élevé de demandes de renseignements et de plaintes que nous recevons : nous recevons un peu plus de 10 000 demandes de renseignements et près de 1 000 plaintes par année. Parmi celles qui ont acquis le plus de visibilité ces dernières années, on pense à celles déposées par d’anciens membres des Forces canadiennes contre Anciens Combattants Canada, ou encore à celles contre Facebook.
  • La couverture médiatique : oui, les travaux du Commissariat attirent l’attention des médias, mais les questions de vie privée en général font les manchettes à tous les jours — articles de journaux sur les scanners dans les aéroports ou sur les cyberattaques, ou encore reportages de fond dans le commerce de données personnelles dans le magazine TimeFootnote 2 ou sur la gestion d’une surcharge de données dans The EconomistFootnote 3.

Les renseignements personnels comme monnaie d’échange

Par conséquent, la protection de la vie privée demeure un droit fondamental qui peut cependant faire l’objet d’un compromis en échange de plusieurs choses :

  • La sécurité : l’exemple le plus évident étant celui du contrôle de sécurité auquel on se soumet à l’aéroport;
  • ILa santé;
  • Un service;
  • Un emploi : nous transmettons à notre employeur notre nom, nos coordonnées et notre numéro d’assurance sociale;
  • Une relation;
  • Notre réputation : dans le monde d’aujourd’hui, plus nous partageons d’information, plus nous gagnons en réputation. Dans certains milieux, si une personne n’est pas sur Facebook ou LinkedIn, son existence même peut être remise en cause.

Cela n’a rien de nouveau. Les renseignements personnels ont toujours fait l’objet d’échanges pour les raisons susmentionnées. Alessandro Acquisti, économiste spécialiste du comportement, mentionne que même à l’époque romaine, l’une des plus graves formes de punition sociale était la suppression de l’identité. Personne n’aime voir son existence anéantie, car en tant qu’êtres sociaux, nous accordons une valeur tant à la vie privée qu’à la notoriété.

Mais comment se fait l’échange de renseignements personnels dans le contexte des réseaux sociaux et des autres applications en ligne?

Premièrement, nous devons considérer les réseaux sociaux et les activités en ligne comme un phénomène de société :

  • Selon la firme de mesure comScore, à la fin de 2010, les Canadiens passaient plus de 43 heures par mois en ligne, soit près du double de la moyenne mondiale. Et bien que la même étude ait révélé une augmentation marquée du nombre d’internautes de 55 ans et plus, je crois que ces chiffres sont peut-être un peu faussés : lors d’une séance de sensibilisation devant une classe d’élèves âgés de 8 et 9 ans dans une école de la région, une employée du Commissariat a demandé aux élèves qui étaient sur Facebook de lever la main, et la très grande majorité d’entre eux ont levé la main — même si dans les modalités de service de Facebook, il est clairement indiqué que l’on doit avoir au moins 13 ans pour ouvrir un compte sur le site.
  • Il semble maintenant que toutes les activités humaines aient leur version en ligne :
    • les gens achètent et vendent des biens et des services;
    • ils se font de nouveaux amis et font des rencontres amoureuses;
    • ils adhèrent à des groupes de soutien;
    • ils obtiennent des diplômes universitaires;
    • ils font la promotion de leur carrière ou de leur entreprise;
    • ils reçoivent des appuis pour des causes humanitaires;
    • ils découvrent de nouveaux publics pour leurs projets artistiques;
    • ils se joignent à des groupes de discussion liés à leurs passe-temps et à leurs intérêts particuliers;
    • ils font des recherches au sujet d’anciennes connaissances et de nouvelles rencontres;
    • ils font même des recherches sur leur propre nom pour voir ce qui apparaît.

Deuxièmement, nous devons examiner la dimension psychologique des médias sociaux.

  • Nous sommes confrontés à un degré élevé d’abstraction. Nous ne nous comportons pas de la même manière dans le monde physique que dans le monde virtuel. Dans le monde physique, si nous regardons dehors par une fenêtre dont le store est ouvert et que nous apercevons une autre fenêtre, notre réflexe sera de fermer le store. Nous ne semblons pas avoir un réflexe comparable quand nous sommes dans le monde en ligne parce que nous ne percevons pas avec nos sens notre niveau d’exposition. En fait, cette exposition a lieu dans le virtuel, dans l’abstrait, mais elle n’en est pas moins réelle.
  • Il existe un grand paradoxe dans le monde électronique. Vous êtes physiquement seul dans votre chambre avec les portes fermées et, en même temps, tout le monde peut vous voir sur Internet.
  • L’anonymat relatif des activités en ligne constitue un nouveau facteur. Comme il a été mentionné dans une récente poursuite intentée contre LinkedIn aux États-Unis, les gens qui naviguent sur Internet s’attendent à ce qu’on respecte leur vie privée; ils ne s’attendent pas à ce que les résultats de leurs recherches soient rendus publics. Dans le monde réel, habituellement, nous voyons ceux qui nous regardent, contrairement à ce qui se passe dans le monde virtuel.
  • Et quiconque ayant passé cinq minutes sur Facebook sait que l’exhibitionnisme est plus présent en ligne que dans la vraie vie. Dans un article paru récemment dans le magazine Wired, on faisait remarquer que la vantardise est beaucoup plus acceptable socialement en ligne que dans le monde réel. Une personne qui parlerait sans cesse des exploits de ses enfants, avec d’innombrables photos à l’appui, ne serait guère bien vue à un cocktail — pourtant, si elle avait le même comportement sur n’importe lequel réseau social, elle pourrait se faire des centaines de nouveaux amis.

La troisième dimension dont il faut tenir compte est le rôle politique des médias sociaux. Nous avons vu à quel point les médias sociaux peuvent devenir un outil efficace de changement politique au cours du printemps arabe. Cette diapo illustre une représentation graphique des transferts de données qui ont lieu sur Facebook. Les plus perspicaces d’entre vous auront remarqué que les données de Facebook circulent même dans des régions où le réseau est interdit. Et ce n’est pas surprenant :

  • les médias sociaux peuvent soutenir la dissidence;
  • les médias sociaux peuvent être un puissant outil de mobilisation;
  • les médias sociaux peuvent servir à dénoncer la violence, la brutalité et d’autres atteintes aux droits de la personne;
  • et, probablement au cœur de la révolution, les médias sociaux ont permis de démocratiser l’information, qui n’est plus réservée à une élite mais accessible à tous.

En 1999, j’ai lu un excellent rapport de l’OCDE sur les principaux moteurs de la gouvernance au XXIe siècle. Ces moteurs sont : la mondialisation, la technologie de l’information et la participation des citoyens. Lorsque je regardais le déroulement des événements en Égypte cet hiver, j’avais l’impression d’assister à la réalisation d’une prophétie. Ce nouveau contexte sociopolitique est aussi celui de la protection de la vie privée.

Les nouvelles modalités de la protection de la vie privée

Ces divers phénomènes — sociétal, psychologique, commercial et politique — associés aux médias sociaux n’ébranlent pas le droit fondamental à la vie privée. Toutefois, ils nous obligent à redéfinir les modalités de la protection de la vie privée.

À la lumière de la révolution des médias sociaux, on se demande souvent si la frontière entre le public et le privé est en train de s’estomper ou de se déplacer. Je crois qu’il faudrait d’abord se demander si cette frontière a toujours été aussi précise et immuable qu’on le croit.

Le concept de vie privée dépend d’abord de celui de l’individualité qui, les philosophes vous le diront, n’a pas toujours été conçu de la même manière à travers le temps.

Ensuite, la valorisation relative du privé et du public fluctue énormément d’une époque à l’autre.

Cependant, ce qui est nouveau provient de l’ubiquité des médias sociaux, qui entraîne un glissement du privé vers le public. Un exemple percutant, à mon avis, est celui du Chef de MI6, Sir John Sawers, dont les photos de vacances se sont retrouvées sur Facebook. Il est clair que nous devons réévaluer les modalités selon lesquelles nous partageons notre information personnelle à l’ère des médias sociaux.

La flambée des réseaux sociaux — et du monde branché en général — nous amène également à redéfinir ce qu’est un renseignement personnel. Les définitions que l’on retrouve dans les deux lois fédérales parlent toutes deux de « renseignements concernant un individu identifiable ».

Pendant longtemps, cela visait des données tels le nom, l’adresse, la date de naissance, le numéro d’assurance sociale. Mais aujourd’hui, on doit y ajouter les adresses de courriel, les adresses IP, les adresses MAC, les noms d’utilisateur, voire les historiques d’achat, les habitudes de furetage...

Ce sera d’ailleurs une question centrale du débat sur les pouvoirs de l’État sur Internet : l’adresse IP est-elle un renseignement personnel? Le cas échéant, son obtention doit-elle faire l’objet d’un mandat?

Deuxième grande question que l’on se pose face à la révolution des médias sociaux : les attentes de protection de la vie privée ont-elles changé? La sociologue américaine danah boyd fait valoir que si nous racontons une histoire embarrassante à quelqu’un dans le vrai monde, il y a toujours le risque que la personne à qui nous nous confions aille le raconter à quelqu’un d’autre. Nous nous confions parce que nous faisons confiance à notre interlocuteur, et au contexte (par exemple, nous avons confiance que personne ne nous écoute). La même chose se reproduit en ligne — la seule chose étant qu’en ligne, les conséquences d’une indiscrétion, d’une écoute clandestine ou d’une faille technique sont beaucoup plus importantes.Il nous incombe alors de réviser nos rapports de confiance selon le nouveau contexte des médias sociaux.

Une troisième question qui s’impose dans le contexte des médias sociaux est celle du consentement. La notion même de consentement à révéler toute cette information personnelle doit-elle être repensée face à un cadre de diffusion aussi vaste? Dans un rapport de recherchefinancé par le Commissariat, Avner Levin et certains de ses collègues de l’Université Ryerson parlent du clivage entre la perception des adultes en situation d’employeurs, qui tiennent pour acquis qu’il est légitime de consulter tout ce qu’un employé potentiel peut avoir affiché en ligne, et celle des plus jeunes en situation de candidats à des emplois, qui s’opposent à de telles pratiques puisqu’elles pervertissent la nature de l’affichage, qui était fait uniquement pour le bénéfice de proches dans un contexte social. Ils n’ont jamais consenti à ce que les photos de leur dernière sortie soient utilisées à des fins professionnelles, donc, ils s’opposent.

Lorsqu’on affiche un commentaire sur son blogue ou une photo sur sa page personnelle, vient-on d’accorder son consentement implicite pour que ces données soient utilisées par n’importe qui et à n’importe quelle fin? Ne faudrait-il pas que le consentement soit explicite dans un contexte où la portée est si difficile à saisir? L’accessibilité de l’information la rend-elle publique?

En fait, pour donner un consentement valable dans un contexte aussi abstrait, il faut être conscient des nouveaux risques et des nouvelles modalités de protection.

Dans le cadre des consultations publiques que nous avons tenues l’an dernier au sujet de la protection de la vie privée des consommateurs en ligne, nous avons eu l’occasion de réfléchir aux risques en présence. Voici les observations principales qui sont ressorties de ces consultations :

  • Les informations et les images qui sont affichées en ligne le sont souvent en permanence. Même si l’on décide de les supprimer soi-même, elles peuvent résider longtemps dans la mémoire cache de sites de recherche ou encore avoir été copiées et sauvegardées ailleurs. Et ces informations et ces images peuvent potentiellement être utilisées par n’importe qui, à n’importe quelle fin, à n’importe quel moment. Peut-on vraiment donner un consentement éclairé à un tel niveau d’abstraction?
  • Et si l’on considère le caractère permanent des informations en ligne, les nouveaux parents peuvent-ils vraiment consentir au nom de leurs bébés à afficher toutes sortes de renseignements à leur égard, au point où leur identité en ligne sera déjà toute faite une fois qu’ils atteindront l’âge de raison?
  • Et quand ces enfants grandissent et deviennent eux-mêmes internautes — à 13, 10, 8 ans —, peuvent-ils être liés par contrat en acceptant d’un clic les modalités de service de sites de réseautage social?
  • Les risques à la protection de la vie privée en ligne sont également causés par une certaine forme d’asymétrie informationnelle : en tenant compte de tout le suivi, le profilage et le ciblage dont nous faisons l’objet, seulement 10 % des renseignements qui existent à notre égard auraient été fournis par nous, le reste étant créé par d’autres.
  • Le risque d’atteinte à la réputation dans les médias sociaux atteint des proportions jusqu’à maintenant inégalées. Vous avez peut-être eu vent d’une cause très importante qui fait présentement son chemin dans les tribunaux européens : c’est celle d’un chirurgien espagnol qui a été accusé de faute professionnelle il y a de nombreuses années. Bien qu’il ait été acquitté, une coupure de presse au sujet de son inconduite présumée reste encore aujourd’hui à la première page des résultats de recherche à son sujet sur Google. Cette cause illustre bien comment le droit à la vie privée doit se traduire dans certains cas par « le droit d’être oublié », un concept qui sert de premier pilier à la revue du cadre de protection des données de l’Union européenne menée présentement par la commissaire à la justice Viviane Reding.
  • La cybercriminalité est également un nouveau risque à la vie privée. En fait, les crimes ne sont pas nouveaux — harcèlement, fraude, diffamation —, mais ils sont facilités par l’obscurité relative du Web et par le nombre de victimes potentielles pouvant être atteintes — par un courriel d’hameçonnage, par exemple.

À la lumière de ces nouveaux risques, la vie privée requiert de nouvelles modalités de protection.

  • Mesures de sécurité : elles doivent être proportionnelles au degré de sensibilité des renseignements contenus dans l’infrastructure ou transitant par elle. La technologie de l’information est vulnérable. Pensez au soi-disant « pépin » survenu à Travaux publics et Services gouvernementaux Canada qui a été couvert par la presse hier seulement, ou à l’attaque des systèmes du Secrétariat du Conseil du Trésor cet hiver. La cybersécurité est devenue une condition essentielle à la protection de la vie privée.
  • Transparence : les organisations doivent être ouvertes et franches et nous dire pourquoi elles ont besoin de nos renseignements personnels, ce qu’elles vont en faire, comment elles vont les protéger, avec qui elles vont les échanger et combien de temps elles vont les garder.
  • Consentement : toute entreprise devrait systématiquement obtenir le consentement des personnes avant de recueillir et d’utiliser leurs renseignements personnels. Pour qu’il soit valide, le consentement doit être éclairé. Par conséquent, les personnes devraient recevoir l’information leur permettant de donner un consentement éclairé.
  • Élimination : il faut éliminer les renseignements personnels lorsqu’on n’en a plus besoin, et ce, de façon sécuritaire. Par exemple, notre vérification des pratiques d’élimination du matériel excédentaire du gouvernement fédéral rendue publique l’automne dernier a fait ressortir l’importance des contrôles à la fin du processus, pour vérifier si les organisations ont bel et bien éliminé les données dont elles n’ont plus besoin. Lors de cette vérification, nous avons appris, par exemple, que parmi les ordinateurs que le gouvernement a donnés au Programme des ordinateurs pour les écoles, plus de 4 sur 10 contenaient toujours des données.

Ces nouvelles modalités de protection constituent une bonne partie des recommandations que nous adressons aux répondants de nos enquêtes et vérifications concernant les nouvelles technologies.

Conclusion

En résumé, Internet, particulièrement sous on visage Web 2.0, est devenu la nouvelle agora. Les règles relationnelles qui régissent ce nouveau lieu de débat public doivent figurer dans un contrat social approprié. Ce dernier doit reposer sur :

  • les principes fondamentaux de la protection de la vie privée nécessaires à la survie sociale, notamment le droit de contrôler l’information qui est partagée à notre sujet;
  • les caractéristiques intrinsèques des nouvelles plateformes de partage d’information, du fait qu’elles rendent l’information vulnérable, ineffaçable et omniprésente.

Les mesures mises en place pour protéger la vie privée sur cette nouvelle plateforme doivent tenir compte de trois facteurs inhérents (la vulnérabilité, le caractère ineffaçable et l’omniprésence). Il faut établir :

  • des paramètres clairs et des mécanismes solides de protection des renseignements personnels, sous la forme de mesures technologiques pour sécuriser l’infrastructure, ainsi que de politiques limpides sur la protection de la vie privée et d’options conviviales concernant le consentement;
  • des mesures d’éducation du public et d’acquisition de compétences numériques — je pense au programme de sensibilisation dans les écoles du Commissariat, mais aussi à la Stratégie de cybersécurité du gouvernement du Canada —;
  • un « régime de suppression », comme celui qu’envisage actuellement Viviane Reding.

En somme, les personnes doivent prendre le temps de réfléchir avant d’afficher des renseignements sur Internet et y penser à deux fois avant de cliquer…

Le Commissariat surveille de près l’évolution des médias sociaux et son incidence sur la protection de la vie privée, entre autres en menant des enquêtes continues concernant, bien entendu, Facebook et Google, mais aussi un site de rencontre et un réseau social destiné aux jeunes. Les résultats de ces enquêtes seront bientôt rendus publics.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :