La protection de la vie privée pour tous : combler le fossé entre ceux qui en bénéficient et ceux qui en sont exclus

Commentaires à la National Access and Privacy Conference

Edmonton, Alberta
Le 19 juin 2014

Allocution prononcée par Patricia Kosseim
Avocate générale principale et directrice générale, Direction des services juridiques, des politiques et de la recherche

(Le texte prononcé fait foi)


Introduction

Bonjour. Permettez-moi tout d'abord de vous remercier de m'avoir invitée à prononcer le discours d'ouverture. Comme la conférence de cette année porte sur le thème des fils de la démocratie, j'aimerais profiter de l'occasion pour parler d'un sujet qui selon moi a d'importantes ramifications en ce qui touche l'exercice du libre choix, qui est un principe démocratique.

Même si la plupart d'entre vous travaillent dans des institutions publiques et que la conférence porte principalement sur des sujets touchant le secteur public, j'aimerais prendre quelques minutes pour parler de certains défis liés à la vie privée qui, pour plusieurs raisons, émergent dans le secteur privé.

Premièrement, le secteur privé se révèle souvent le baromètre des nouvelles tendances et un bon indicateur de là où graduellement les incitatifs économiques nous entraînent en tant que société. Deuxièmement, c'est dans le secteur privé que l'on met d'abord à l'essai des technologies de preuve de concept novatrices qui ne seront reproduites par le secteur public que beaucoup plus tard. Troisièmement, les institutions du secteur public externalisent de plus en plus leurs opérations vers les partenaires du secteur privé pour accroître la productivité et réaliser des économies, brouillant ainsi les frontières entre les deux secteurs. Quatrièmement, comme les médias nous le rappellent presque quotidiennement, les organisations du secteur privé amassent des quantités phénoménales de renseignements personnels qui intéressent de plus en plus les agences d'application de la loi, et qui sont davantage à la portée du gouvernement en général. Enfin, mes commentaires concernant la réalité du secteur privé s'adressent à vous en votre qualité non seulement de professionnels en matière d'accès et de vie privée, mais aussi de consommateur, car ce sont souvent les expériences personnelles vécues au quotidien qui façonnent notre façon de voir et d'aborder notre mission concernant la protection de la vie privée.

Il a beaucoup été question de l'échange de renseignements personnels contre des biens ou des services. Nous avons tous en tête des exemples où l'on communique des renseignements personnels pour obtenir un avantage quelconque, qu'il s'agisse d'un rabais si nous nous abonnons à un bulletin, d'un service de courriel " gratuit " financé au moyen d'annonces publicitaires personnalisées en fonction de nos intérêts ou encore de points de récompense à échanger contre un produit intéressant. Vous avez sans doute déjà entendu la phrase " Si vous ne payez pas pour un produit, c'est que vous êtes le produit ". Mais, aujourd'hui, je voudrais inverser cette notion et examiner l'idée de payer non pas avec nos renseignements personnels, mais bien pour protéger ces renseignements. Il y a une idée que je souhaite explorer avec vous – et j'espère que nous pourrons avoir une discussion féconde sur un sujet qui devient d'après moi de plus en plus une réalité. C'est l'idée selon laquelle la protection de la vie privée devient de plus en plus un produit en soi, pour lequel nous devons être prêts à payer le gros prix, sans quoi il nous faudra tout simplement nous en passer.

En mars dernier, dans le New York Times, la journaliste d'enquête Julia Angwin a publié une chronique intitulée " Has Privacy Become a Luxury Good? " (La vie privée est-elle devenue un luxe? ". Elle y décrit le processus difficile et coûteux nécessaire pour protéger ses renseignements personnels. Mme Angwin pose dans sa chronique une question importante qui a attiré mon attention : " Souhaitons-nous que la vie privée devienne l'apanage de ceux qui en ont les moyens et qui peuvent y consacrer le temps voulu? " D'autres disent que la vie privée constitue la chasse gardée des bien nantis. J'aimerais prendre quelques minutes pour approfondir cette question.

L'érosion croissante du choix

Permettez-moi de planter le décor en citant quelques exemples. Le premier exemple pourrait trouver un écho particulier auprès des gens qui sont assez âgés pour se rappeler les magnétoscopes à vidéocassette. À une certaine époque, il n'y a pas si longtemps, lorsque nous n'avions rien à faire le samedi soir, nous pouvions nous rendre au club vidéo de notre quartier pour louer le dernier film à succès. Pas de téléchargement, pas de lecture en continu. On louait tout simplement la vidéocassette, on regardait le film, puis on rapportait la vidéocassette (sans oublier de la rembobiner!). Au début, nous communiquions très peu de renseignements – seulement ceux qui étaient requis pour donner l'assurance que nous ne nous éclipserions pas avec la vidéocassette alors si précieuse. Force est de reconnaître que les choses ont changé graduellement lorsque les clubs vidéo ont commencé avec le temps à recueillir les historiques de location de vidéocassettes, en particulier aux États-Unis. Mais le phénomène n'était certainement pas aussi répandu (et facile!) que le suivi, l'établissement de profils et la communication de renseignements que l'on observe dans le cas du modèle de téléchargement ou de lecture en continu existant aujourd'hui avec Netflix ou les services de location sur demande qui ont remplacé en grande partie les grandes chaînes de clubs vidéo. D'ailleurs, ces commerces ont pratiquement tous disparu à l'exception de quelques petites entreprises familiales.

J'en prends pour témoin l'essor de ce que l'on appelle la " télévision intelligente ". Si vous avez couru les magasins dernièrement à la recherche d'un nouveau téléviseur, vous avez sans doute constaté, comme moi, qu'il n'est plus possible d'acheter un téléviseur ordinaire non intelligent. Pour certaines marques en particulier, il faut accepter de se procurer les fonctions intelligentes dont on ne veut pas et simplement les désactiver – ou à tout le moins penser et espérer qu'elles sont désactivées. Vous avez peut-être entendu parler du cas d'un blogueur du Royaume-Uni qui a découvert que son téléviseur intelligent LG envoyait un message au siège social de l'entreprise en Corée du Sud chaque fois qu'il changeait de chaîneNote de bas de page 1. Ce blogueur, connu sous le nom de " Doctor Beet ", est un consultant en TI. De toute évidence, il connaît très bien les subtilités de la technologie. Il les connaît si bien, en fait, que lorsqu'il s'est aperçu que son téléviseur intelligent LG commençait à diffuser ce qui lui semblait être des annonces publicitaires adaptées à ses intérêts, il a décidé d'aller au fond des choses. D'après les recherches de Doctor Beet, il semble que le téléviseur intelligent communiquait à LG non seulement ses habitudes télévisuelles, mais aussi la structure des dossiers de fichiers de tout dispositif qui avait été branché dans le port USB qui est standard sur tous les nouveaux téléviseursNote de bas de page 2 .

Lorsqu'il s'est plaint auprès de LG, on lui a dit qu'en branchant son nouveau téléviseur et en commençant à l'écouter, il avait accepté les conditions de service. Or, ces conditions précisaient que LG pourrait recueillir et utiliser ses renseignements comme qu'elle l'entendait. Mais ce qui est peut-être le plus inquiétant, c'est que même lorsque Doctor Beet a trouvé et activé le réglage qui était censé stopper la collecte de ce que LG appelle " l'information sur les émissions regardées ", cette information était encore envoyée au siège social de l'entreprise.

Fait intéressant, le Conseil de la radiodiffusion et des télécommunications canadiennes (le CRTC) a récemment apposé un avis de consultation sur les boîtiers de décodage – les appareils intelligents qui font de votre signal de câble ou de radiodiffusion une information que votre téléviseur comprend; des ordinateurs de plus en plus perfectionnés qui peuvent aussi retourner de l'information à l'entreprise de câblodistribution, et peut-être à des tiers, concernant les émissions écoutées. Le Commissariat a l'intention de présenter un mémoire au CRTC pour expliquer les risques d'atteinte à la vie privée inhérents à la collecte de données sur les cotes d'écoute et souligner que ces boîtiers permettent de brosser un portrait détaillé et potentiellement sensible des habitudes télévisuelles des individus.

Permettez-moi de vous citer un autre exemple. Vous avez peut-être vu récemment les annonces publicitaires de compagnies d'assurance offrant un rabais aux conducteurs qui acceptent qu'elles recueillent et analysent les données de suivi de leur véhicule. (Si vous ne les avez pas encore vues, cela ne saurait tarder!) Cette pratique est possible uniquement parce que tous les nouveaux véhicules au Canada sont maintenant dotés d'une panoplie de capteurs qui suivent à la trace l'état du véhicule à tout moment. Cette technologie, appelée télématique embarquée, utilise ces capteurs pour surveiller non seulement l'état de votre véhicule proprement dit – comme le niveau d'huile, la charge de la batterie, la pression des pneus, etc. -, mais aussi la façon dont on le conduit, y compris la vitesse, les freinages brusques et le déploiement des sacs gonflables. Ainsi, les compagnies d'assurance peuvent déterminer les habitudes des conducteurs et établir la prime en conséquence. De plus, à mesure que le prix de la technologie des capteurs diminue, on l'utilise à plus grande échelle pour mesurer de nouveaux éléments d'information : si les fenêtres sont ouvertes lorsque le véhicule est exposé à la pluie (ou dans un lave-auto), à quelle distance le véhicule suit celui qui le précède, le poids du conducteur (ou des passagers) et l'évolution de ces éléments d'information au fil du temps.

Les partisans de la télématique embarquée font valoir la sécurité et l'aspect pratique : qui ne voudrait pas savoir que son véhicule a besoin d'entretien avant de tomber en panne au bord d'une autoroute? Sans compter qu'en acceptant que les données concernant votre véhicule soient communiquées à votre compagnie d'assurance, vous pourrez réaliser des économies si vous êtes un conducteur à faible risque. Mais compte tenu de la multiplication des capteurs et des options de suivi, quelle quantité de précieux renseignements – nos renseignements – est communiquée aux fournisseurs de télématique, aux compagnies d'assurance ou à des fournisseurs tiers et peut être obtenue par tous ceux qui peuvent l'intercepter?

La grande fracture de la protection de la vie privée

Ces exemples et de nombreux autres cas nous incitent à nous poser une question : Comment le consommateur moyen s'y prendra-t-il pour revendiquer le droit à la vie privée dans ces nouveaux environnements technologiques? Il est facile de dire qu'il suffit de " refuser " : ne pas regarder de films en continu, ne pas acheter de téléviseur intelligent, ne pas conduire de nouvelle voiture, ne pas utiliser de dispositif de surveillance chez soi, ne pas naviguer dans Internet et ne pas porter sur soi ni utiliser un téléphone cellulaire. Mais, soyons réalistes. Pourquoi devrions-nous avoir à choisir entre protéger notre vie privée et participer pleinement à la société – même si cela signifie simplement regarder les dernières séries sur Netflix?

Comment l'utilisateur moyen – une personne qui n'est peut-être même pas consciente qu'elle a été dupée par son nouveau téléviseur intelligent – peut-il s'assurer que sa vie privée est protégée? Comment cet utilisateur saura-t-il par où commencer, voire prendre conscience qu'il devrait commencer – à atténuer les risques d'atteinte à sa vie privée? Que doit faire un consommateur?

À une certaine époque, la protection de la vie privée pouvait consister à payer afin d'avoir un numéro de téléphone confidentiel et, peut-être, un casier postal. Avant la généralisation des cartes de crédit et de débit, les paiements comptants étaient une façon courante de s'assurer que notre historique d'achat demeure secret. Toutefois, dans un contexte de plus en plus dynamique où la technologie évolue constamment, toute personne doit prendre des mesures proactives et parfois complexes et coûteuses pour protéger ses renseignements personnels, car les organisations avec lesquelles elle entretient des relations ne le font pas et cela ne changera pas. Les exemples sont nombreux.

  • Les bureaux d'enquête de crédit offrent des services tarifés de surveillance du crédit. Ils numérisent en temps réel le dossier de crédit d'une personne en cas d'activité inhabituelle et suspecte et envoient alors un avis par courriel.
  • La plupart sinon la totalité des grandes compagnies d'assurance canadiennes proposent maintenant une assurance contre le vol d'identité. Cette protection peut vous aider à " rétablir votre réputation, votre cote de crédit et [à] rétablir la situationNote de bas de page 3 " en couvrant les revenus perdus et toute autre dépense que vous engagez pour remettre les choses en ordre. Vous pouvez souscrire à une assurance pour vous protéger vous-même et votre famille et même vos enfants.
  • De nombreux faiseurs d'image ne demandent pas mieux, contre rémunération, que de surveiller des milliers de sites Web, de sites de médias sociaux et de moteurs de recherche pour voir ce qui se dit à votre sujet et s'assurer que les personnes faisant une recherche sur vous trouvent uniquement les renseignements les plus flatteurs.
  • Au nombre des mesures de protection, mentionnons les porte-monnaie doublés d'une matière bloquant l'identification par radiofréquences pour empêcher les passants de pirater vos cartes, les écrans assurant un affichage confidentiel sur un portable, un ordinateur de bureau ou un téléphone intelligent ainsi que les déchiqueteuses domestiques permettant de se défaire de ses documents papier en toute sécurité. Les personnes qui souhaitent vraiment rester dans l'anonymat peuvent obtenir un numéro de téléphone temporaire qui vient à expiration après un certain nombre d'appels ou de semaines, voire un téléphone jetable – auquel n'est associé aucun contrat ni aucun engagement et dont l'utilisateur se débarrassera au moment qui lui semble opportun.
  • Si vous tenez vraiment à prendre des mesures pour protéger votre vie privée, seuls vos compétences techniques et, au bout du compte, vos moyens financiers peuvent vous empêcher d'acheter des services de chiffrement pour vous assurer de naviguer dans Internet de façon anonyme, un brouilleur GPS pour empêcher les systèmes de géolocalisation de vous suivre à la piste et des systèmes de masquage de la voix pour empêcher l'écoute clandestine de vos conversations.
  • Une série d'outils appelée " TOR " empêche que les autres nous suivent à la trace ou établissent notre profil. Il s'agit selon ses concepteurs d'un logiciel gratuit et d'un réseau ouvert qui aide l'utilisateur à se défendre contre l'analyse du trafic Web, une forme de surveillance réseau portant atteinte à la liberté personnelle et à la vie privée, aux activités et aux relations commerciales confidentielles ainsi qu'à la sécurité de l'État. TOR a vu le jour dans la foulée d'un réseau de communication sécurisé développé pour la Marine américaine. Il est gratuit, mais nécessite un certain niveau de compétences techniques.
  • Voyons maintenant ce qu'il en est de l'empreinte laissée par votre téléphone cellulaire. En versant près de 1 000 $ US, vous pouvez vous procurer un Blackphone doté d'une fonction de sécurité répondant aux normes miliaires pour en faire ce qu'un observateur décrit comme " un téléphone intelligent hyper-sécurisé "Note de bas de page 4. D'après le fournisseur, ce téléphone à peine plus gros que l'iPhone d'Apple permet de faire des appels point à point entièrement chiffrés, d'éviter les logiciels malveillants, de stocker l'information dans les nuages de façon ultra-sécurisée, de naviguer dans Internet sous le couvert de l'anonymat et de centraliser la gestion de la sécurité des applications. Cela vous semble impressionnant? Je tiens à vous assurer que cet appareil est apparemment conçu pour " les personnes ordinaires "Note de bas de page 5. (Pourvu que la " personne ordinaire " soit déjà un pro de la sécurité.)

Mais qu'est-ce qui arrive aux utilisateurs qui n'ont pas les moyens de se procurer des outils et des appareils pour protéger leurs renseignements personnels? Et aux gens pour qui la technologie demeure un mystère ou encore à ceux qui ne sont même pas conscients du risque d'atteinte à leur vie privée sur une base quotidienne justement en raison des nombreux soi-disant avantages qui doivent leur faciliter la vie?

Les journalistes et les autres auteurs comme Julia Angwin ont peut-être raison. Il est possible que nous nous dirigions bel et bien vers un élargissement du fossé entre ceux qui peuvent se permettre de protéger leurs renseignements personnels, car ils possèdent les connaissances et les ressources voulues à cette fin, et les autres.

Combler le fossé entre ceux qui bénéficient de la protection de leur vie privée et ceux qui en sont exclus

Comment pouvons-nous commencer à combler ce fossé? Je vais vous proposer plusieurs options. La première consiste à ne rien faire. Baisser les bras et nous avouer vaincus face aux forces du marché économiques et technologiques qui nous ont conduits à cette impasse. Nous pouvons nous contenter de laisser jouer les forces du libre marché et d'espérer que l'on reviendra à un équilibre entre les forces de l'offre et de la demande. Mais, d'après moi, l'abandon de nos responsabilités en tant que consommateurs avertis et meilleurs gardiens de notre propre vie privée ne constitue pas une option viable. On ne peut laisser le marché livré à lui-même ni lui faire confiance pour assurer la protection de notre droit à la vie privée.

L'autre option consiste à faire peser notre poids dans la balance en tant qu'organisme de réglementation de la protection de la vie privée pour restreindre l'innovation dans le domaine. Nous pouvons tenter de prévenir ou de bloquer les avancées technologiques à chaque détour – ne plus regarder de films en ligne et ne plus utiliser de téléphone ou de véhicule intelligent, de téléphone cellulaire ou tout autre appareil susceptible de porter atteinte à notre vie privée. Cette option est-elle plus viable? En définitive, les consommateurs sont-ils vraiment prêts à payer ce coût de renonciation et à se priver des avantages des avancées technologies pour éviter les risques qui y sont associés? La société s'en trouverait-elle mieux? La protection de la vie privée et l'innovation sont-elles forcément en complète contradiction? Cette fois encore, à mon avis, il y a de meilleures façons de faire.

Nous pourrions nous attaquer au côté offre de l'équation en continuant d'encourager les entreprises à adopter le concept bien connu du " respect de la vie privée dès la conception " – en intégrant des mesures de protection de la vie privée dans les technologies dès le début; en nous assurant que des mesures de protection des renseignements sont prises de façon proactive et qu'elles ne sont pas ajoutées après coup, voire jamais, en insistant pour que la protection de la vie privée soit l'option par défaut. Mais le moment est peut-être venu d'aller plus loin. Nous devrions peut-être aussi insister afin que les mesures de protection de la vie privée soient à la portée non seulement de ceux qui disposent de solides moyens techniques ou financiers, mais aussi de tous les consommateurs sur un pied d'égalité. Nous devrions peut-être adopter un nouveau leitmotiv – " le droit à la vie privée pour tous ".

Nous pourrions aussi tenter d'influencer le côté demande des forces du marché. Les consommateurs, surtout ceux ayant un grand pouvoir de négociation, peuvent influencer les responsables du développement commercial. Ils peuvent exprimer leurs préférences en faisant leurs achats – et en gérant leurs renseignements – en choisissant les options qui protègent le mieux la vie privée – pourvu qu'il leur soit possible de trouver ces options. Si le prix et la qualité demeurent les principaux facteurs à partir desquels les consommateurs différencient les biens et les services, il est peut-être temps de redéfinir la protection de la vie privée. Et de la considérer non pas comme un service pour lequel nous devons payer aveuglement le prix fort ou auquel il nous faudra renoncer à contrecœur pour faire baisser le prix. Il y aurait peut-être lieu d'exiger la protection de la vie privée comme un aspect inhérent et déterminant de la qualité proprement dite. Tout comme les lois rendant obligatoire l'étiquetage nutritionnel peuvent aider à faire des choix alimentaires sains, la communication des pratiques de traitement des renseignements personnels peut aider à faire des choix sains dans le domaine. Les politiques de confidentialité formulées en langage simple et affichées à un endroit évident, qui énoncent clairement les obligations et les engagements des deux parties peuvent aider grandement à renforcer la transparence dont les consommateurs ont besoin pour faire des choix éclairés et comparés en ce qui a trait à la qualité des biens ou des services qui correspondent le mieux au niveau de la protection de la vie privée avec lequel ils sont à l'aise.

Conclusion

Vous êtes sans doute nombreux à avoir entendu parler du jugement rendu par la Cour suprême la semaine dernière dans l'affaire Spencer – une décision majeure pour la protection de la vie privée. Certains ont même qualifié cette décision de " révolutionnaire ". Dans cette cause, dans laquelle le Commissariat a comparu comme intervenant, les juges de la Cour suprême avaient la possibilité de prendre une décision historique en confirmant explicitement que " l'anonymat " constitue l'un des piliers de la protection de la vie privée et un droit constitutionnel.

En terminant, j'aimerais vous poser une question pour susciter la réflexion. Quel sera l'avantage de ce droit si nous laissons le déterminisme technologique faire de l'anonymat un vestige attrayant du passé ou un élément dont le coût est si prohibitif qu'il est réservé aux rares personnes qui disposent des moyens financiers ou technologiques voulus? Si nous demeurons passifs et laissons les modèles commerciaux poursuivre sur leur lancée, les technologies de protection de la vie privée deviendront complètement obsolètes ou le coût de développement de nouvelles technologies dans le domaine ira en augmentant. En pareil cas, pourrons-nous encore naviguer dans Internet, regarder la télévision, parler au téléphone avec nos amis ou conduire notre voiture de façon anonyme? Ne devrions-nous pas plutôt travailler plus fort, maintenant plus que jamais, pour recentrer les forces du marché et les innovations technologiques de manière à combler le fossé entre ceux qui bénéficient d'une protection de leur vie privée et ceux qui en sont exclus afin que tous – tous ceux qui le souhaitent – puissent jouir vraiment de ce droit fondamental de la personne.

Je vous invite maintenant à nous faire part de vos réflexions et de votre opinion. Merci.

Date de modification :