La question à 4 trillions de dollars

Les économistes le savent : la confiance est cruciale pour avoir une économie stable. Que doit-on penser, alors, des préoccupations croissantes à l’égard de l’utilisation par les entreprises des données personnelles des utilisateurs d’internet?

Sondage après sondage, on voit que les consommateurs ne font tout simplement pas confiance à ces entreprises avec leurs données personnelles et perdent foi en la capacité du gouvernement de les protéger. Les régulateurs peinent à maintenir le rythme devant de nouvelles technologies et des modèles d’affaires toujours plus envahissants. Ils craignent aussi que des règles trop strictes fassent obstacle à la croissance de l’industrie numérique, qui devrait rapporter environ quatre trillions de dollars aux grandes économies du monde.

« Aujourd'hui, l'économie numérique est l'économie tout court », a déclaré Navdeep Bains, le ministre canadien de l’Innovation, des Sciences et du Développement économique, dans un discours prononcé l’automne dernier. En fait, les vastes quantités de données qui circulent sur le web sont devenues des actifs précieux. Qu’elles soient relayées par des appareils mobiles ou autres dispositifs connectés à internet, les données des consommateurs ont de plus en plus d’ascendant sur les décisions d’affaires, et des géants du web comme Google et Facebook engrangent des profits juteux grâce à la publicité ciblée qu’elles génèrent.

Pas étonnant, donc, que les législateurs soient aux prises avec un dilemme. Ils savent que de couper l’accès aux données en adoptant de nouvelles lois, ou même d’appliquer celles qui sont déjà en vigueur, pourrait être vu comme étant catastrophique pour la constellation de firmes qui en dépendent.

Or, tandis que l’inconfort des consommateurs augmente, on peut se demander s’il s’agit d’un environnement commercial souhaitable à long terme.

« Les gens en prennent conscience. Ça va restreindre la croissance », estime Ann Cavoukian, ancienne Commissaire à l’information et à la protection de la vie privée de l’Ontario, et directrice du Privacy and Big Data Institute de l’Université Ryerson. « Les régulateurs devraient être sur le terrain, à discuter avec les compagnies, à parler d’intégrer des [protections] pour la vie privée. En ce moment, les entreprises voient la vie privée comme étant négative, mais réellement, la vie privée génère de l’innovation. »

L’internet est un lieu d’avancées technologiques fulgurantes dans plusieurs domaines, incluant les communications, la santé et même les changements climatiques. Mais il abonde également de tendances inquiétantes, en plus de ce profilage commercial.

Des failles de sécurité catastrophiques comme le piratage en 2013 de plus d’un milliard de comptes Yahoo et la fermeture partielle d’internet en octobre ont renforcé la perception que le monde en ligne n’est pas toujours sécuritaire.

« Nous sommes au point où d’énormes bénéfices sont imminents. Mais le manque de confiance très répandu nuira au potentiel des nouvelles technologies d’atteindre les gens », croit lui aussi Thimothy Libert, un candidat au doctorat à la Annenberg School for Communication à l’Université de Pennsylvanie et chercheur associé à l’Institut Alexander von Humboldt pour l’internet et la société à Berlin. M. Libert évoque le recours à des logiciels pour bloquer le contenu publicitaire de sites web comme étant une réaction à un échec réglementaire.

Des fournisseurs de réseaux virtuels privés font également état d’une hausse des téléchargements par des consommateurs prêts à poser les gestes nécessaires pour protéger leur vie privée en ligne.

Mais s’ils peuvent tenter de maintenir un certain contrôle sur l’utilisation de leurs données, il demeure souvent difficile pour les consommateurs de s’y retrouver.

« Compte tenu de la rapidité et de l’ampleur des changements technologiques, il n’est pas étonnant que les Canadiens aient l’impression d’être mal renseignés sur les conséquences de ces changements sur leur droit à la vie privée et se sentent incapables d’exercer un contrôle sur leurs renseignements personnels », a écrit le Commissaire à la protection de la vie privée du Canada, Daniel Therrien, dans son rapport annuel au Parlement en septembre. « Dans cette situation, les organismes de réglementation, les législateurs, les tribunaux, les chefs d’entreprise et les autres décideurs doivent prendre des mesures plus énergiques pour protéger les citoyens. »

À l’heure actuelle, on ignore la proportion de gens qui comprennent ce que coûte réellement le fait d’avoir recours à certains services; comment l’information qu’ils partagent est ultimement utilisée par les entreprises; et quel est le potentiel de profilage de ces technologies. Au mieux, une meilleure éducation et plus de transparence pourraient être nécessaires.

« Le rôle des régulateurs [devrait être] d’informer les consommateurs sur les compromis [qui existent], et de forcer les compagnies à être plus transparentes quant aux données qu’elles utilisent », croit Niraj Dawar, professeur de marketing à la Ivey Business School à Toronto. « En ce moment, il n’y a pas de vie privée, ou très peu. Mais les consommateurs sont prêts à donner d’énormes quantités d’informations afin de rendre les choses plus faciles. »

Prêts à le faire, peut-être. Mais il y a amplement de preuves qui démontrent que cela les rend aussi inconfortables. Des rapports indiquent que des utilisateurs sont troublés par les changements constants qu’apportent les réseaux sociaux à leurs paramètres relatifs à la vie privée. Selon le Commissariat à la protection de la vie privée du Canada, 90 % des Canadiens sont très préoccupés quant à leur inhabilité de protéger leurs renseignements personnels.

« Les gens détestent cela, on le sait. Ça les effraie », dit John Lawford, directeur général du Centre pour la défense de l’intérêt public (PIAC), basé à Ottawa, qui croit qu’ils ont raison d’être préoccupés. « Personne ne sait quelle est la quantité de renseignements que les compagnies ont collectés et garderont… pour toujours. »

Suivre vos faits et gestes

Fut un temps où les entreprises faisaient de la publicité principalement dans les journaux, à la télévision ou directement par la poste. C’était une approche anonyme et peu ciblée; personne ne savait si vous aviez vu ladite publicité. L’internet a tout changé en faisant de la publicité sur mesure. Bien que la majorité des données soient utilisées pour créer de meilleurs services pour les utilisateurs ou pour offrir des bénéfices comme des rabais, les compagnies du secteur des technologies suivent à la trace les faits et gestes des internautes en fournissant des services comme des courriels, des moteurs de recherche et des médias sociaux.

« Facebook a un ensemble de dossiers particulièrement complets sur ses quelque deux milliards de membres », ont écrit des journalistes d’enquête de ProPublica dans un reportage en septembre. « Chaque fois qu’un membre de Facebook aime un commentaire, inscrit un nom sur une photo, ajoute un film à son profil, publie un commentaire sur un politicien ou change son statut relationnel, Facebook l’enregistre. Quand ils surfent sur l’internet, Facebook collige de l’information sur les pages qu’ils visitent […]. Quand ils utilisent Instagram ou WhatsApp sur leur téléphone, qui sont tous deux la propriété de Facebook, ils ajoutent encore plus de données au dossier de Facebook. »

L’information est aussi collectée, combinée, utilisée et vendue par la plupart des détaillants, courtiers en données, services financiers et plusieurs autres entreprises. Par l’entremise de divers appareils qui utilisent l‘internet sans fil, Bluetooth et des services de localisation, les compagnies peuvent dire à peu près tout d’un individu, incluant des « intérêts » que la plupart des gens préféreraient garder pour eux-mêmes. Et grâce à l’apprentissage automatique (machine learning en anglais), une sous-catégorie de l’intelligence artificielle, les experts en marketing peuvent déduire encore davantage en comparant ces données à d’autres modèles de comportement. Bien que certaines personnes apprécient le caractère personnalisé de cette approche, cette préférence ne fait pas l’unanimité.

Et ces perceptions influencent l’attitude des gens. Selon eMarketer, environ le quart de tous les utilisateurs d’internet ont utilisé un logiciel pour bloquer les publicités en ligne en 2016. Ces logiciels, cependant, n’empêchent pas les firmes d’accumuler des données.

De plus, selon une étude menée par la National Telecommunications & Information Administration, près de la moitié des ménages américains s’abstiendraient de faire certaines transactions financières, d’acheter des biens et services ou d’utiliser des réseaux sociaux en raison de leurs préoccupations quant à la vie privée et la sécurité.

Souvent ignoré dans cette discussion est le peu de choix qu’ont les consommateurs pour décider de visiter ou non ces sites web. « L’internet est aussi important que l’eau. Il doit être vu de cette manière », dit John Lawford de PIAC. Que ce soit pour acheter un billet d’avion, maintenir une page professionnelle ou même pour faire un travail scolaire, la plupart des adultes et des enfants dans les économies développées utilisent internet sur une base quotidienne.

Le réseau grandissant d’objets physiques connectés à des adresses IP – connu comme l’internet des objets – ne fait que renforcer cette tendance.

« Il ne fait aucun doute que le fait d’être suivis est l’un des principales préoccupations des consommateurs et ça ne va que s’empirer avec l’internet des objets », selon David Martin Ruiz, conseiller juridique au sein du BEUC, une organisation européenne de protection des consommateurs.

Des analystes prédisent que l’internet des objets pourrait contribuer de 4 à 11 trillions $ par année d’ici 2025, les rendant particulièrement vulnérables au piratage et aux failles de sécurité. Des propriétaires « branchés » permettraient ainsi aux compagnies d’avoir accès à leurs moindres faits et gestes. Pour que l’internet des objets puisse avoir du succès à grande échelle, il nécessite une entière confiance dans les firmes impliquées.

« De fournir des interfaces pour permettre aux utilisateurs d’être en contrôle de leurs données personnelles est un moyen de bâtir cette confiance », dit Cigdem Sengul, un chercheur au sein de Nominet à Londres, qui travaille sur les questions de vie privée dans le contexte de l’internet des objets. « La clé est de permettre aux gens de contrôler leurs données. »

Les régulateurs canadiens disent qu’ils sont au fait de ces enjeux, mais ce qu’ils ont l’intention de faire reste à voir, tout comme que l’appétit du gouvernement pour améliorer les lois existantes. Quant au Commissariat à la protection de la vie privée du Canada, il est principalement en mode de réaction, et n’a pas le pouvoir d’imposer des amendes ou de créer de nouvelles lois.

« Tant dans le secteur public que dans le secteur privé, une mise à jour des outils à notre disposition pour protéger les renseignements personnels des Canadiens s’impose », a écrit le Commissaire Therrien dans son récent rapport. « Autrement, nous risquons selon moi de miner la confiance des citoyens envers les institutions fédérales et l’économie numérique. »

Même les compagnies du secteur des technologies reconnaissent ces préoccupations. « Donner aux gens le contrôle de ce qu’ils partagent est au cœur de tout ce que nous faisons », a répondu Facebook dans un courriel lorsqu’interrogé sur le profilage et le portrait négatif des firmes du web en tant que collecteurs de données. « Nous ne partageons pas d’informations qui vous identifient personnellement auprès de partenaires du domaine de la publicité ou de l’analyse à moins que vous nous donniez la permission. »

Il demeure tout de même difficile de savoir à quel point les firmes du domaine des technologies vont prendre la vie privée des gens au sérieux, compte tenu de la profitabilité de ces opérations, et de la réticence des gouvernements à imposer des restrictions à une industrie de plusieurs trillions de dollars et en pleine croissance. « Je crois que la dernière décennie a démontré que les grandes compagnies du secteur des technologies sont prêtes à pousser la note sur le plan de la vie privée », écrit Michael Geist, professeur de droit à l’Université d’Ottawa, dans un courriel. « Les lois peuvent imposer certaines limites, mais les régulateurs sont clairement désavantagés quant aux ressources et au champ d’action dont ils disposent. »

Plus qu’un consentement

Compte tenu du malaise populaire, serait-il plus productif et lucratif pour les firmes de donner aux utilisateurs un réel contrôle sur leurs renseignements personnels – et pour les régulateurs de miser eux aussi sur cette approche?

« Il est possible que dans les bonnes conditions, les gens soient disposés à partager davantage s’il y a une confiance que les compagnies n’abuseront pas de cet accès », note M. Lawford de PIAC. « Le problème est que nous n’avons pas cette conversation. Nous avons la conversation du consentement. »

Au Canada, le droit à la vie privée prévoit que toute divulgation de renseignements personnels pour des usages qui n’ont pas été précédemment communiqués au consommateur requiert son consentement.

Aux États-Unis, qui hébergent les plus grandes compagnies du web telles que Google et Facebook, certains réclament un contrôle accru, mais la législation demeure inégale. « L’approche américaine est essentiellement que les compagnies doivent respecter leurs promesses en matière de vie privée et [les divers régulateurs] veillent à l’application de ces promesses », ajoute le professeur Geist, qui est titulaire de la Chaire de recherche du Canada en droit d’internet et du commerce électronique. « Au Canada, nous allons plus loin. Il y a des limites législatives quant à ce que les compagnies peuvent faire et il y a en plus un système d’application des règles. »

Pendant ce temps, les régulateurs européens adoptent une approche plus musclée : en 2018, le Règlement général sur la protection des données deviendra le modèle ultime auquel les règles canadiennes pourraient avoir du mal à s’ajuster.

La nouvelle réglementation est destinée à donner aux gens un plus grand contrôle sur leurs données, tout en maintenant le concept de proportionnalité et en augmentant les obligations des firmes du secteur des technologies à l’égard des utilisateurs. Elle fournira aussi une certaine clarté pour les entreprises, qui devront maintenant travailler au sein d’un même cadre dans tous les 28 pays de l’Union européenne. En vertu des nouvelles règles, le consentement doit être donné librement, être spécifique et informé – et l’inactivité ne signifie pas un consentement. Les firmes devront aviser les internautes, en langage beaucoup plus clair, de la manière dont leurs renseignements personnels sont collectés, conservés et partagés, et garder la trace de leur consentement.  Ce consentement, enfin, peut être retiré et les utilisateurs ont le droit à l’oubli.

Reste à voir cependant si cette nouvelle réglementation sera efficace. Des questions demeurent quant à la manière dont les règles seront interprétées et mises en œuvre.  

C’est une question qui préoccupe les régulateurs canadiens, et le Commissariat fédéral étudie des changements possibles, dont l’amélioration à apporter au consentement et des solutions de remplacement dans des cas où il serait impossible de l’obtenir. Il demande aussi si ses propres pouvoirs devraient être élargis.

En 2016, le chien de garde en matière de vie privée a rendu public un document de discussion pour obtenir des commentaires des intervenants du secteur.

De manière prévisible, les groupes de défense des consommateurs et l’industrie des technologies ne proposent pas les mêmes solutions. Les consommateurs ont réclamé un consentement mieux informé, incluant des clauses leur donnant le droit de retirer ce consentement. Ils veulent aussi que la législation existante ait plus de mordant. Le commissariat a noté que les soumissions des individus avaient tendance à préconiser plus de pouvoirs de surveillance et d’application des règles pour les commissaires à la vie privée.

De manière générale, les soumissions soumises par la communauté juridique ont maintenu que la Loi sur la protection des renseignements personnels et les documents électroniques, qui prévoit les règles pour l’utilisation de renseignements personnels dans le secteur privé, est adéquate et n’a pas besoin d’être modifiée. Certains ont mis les régulateurs en garde contre la possibilité de compliquer les choses pour l’industrie des technologies, et d’autres ont réclamé un régime de consentement plus flexible, assorti de responsabilités corporatives accrues.

« Freiner l’innovation est le plus grand risque », dit Adam Kardash, qui dirige le groupe de pratique sur la vie privée et la gestion des données au sein du cabinet Osler. « Nous avons déjà un cadre législatif et un organe chargé de l’appliquer, ce qui semble être un système qui doit rester en vigueur. Ce qui pourrait être utile, ce sont des changements précis, incluant le fait d’élargir les bases du consentement. »

On ignore la position du gouvernement sur cette question. Dans plusieurs discours, le ministre Navdeep Bains a insisté sur l’importance de créer un environnement favorable aux entrepreneurs, dans le contexte d’une transition des ressources naturelles vers les industries technologies à valeur ajoutée.

Malgré tout, les défenseurs de la vie privée des deux côtés de l’Atlantique estiment que les lois actuelles en matière de consentement, bien qu’imparfaites, sont nécessaires, ne serait-ce que pour tenter de rattraper la législation européenne.

« Les règles canadiennes sont maintenant jugées adéquates, mais si vous affaiblissez cette législation, vous pourriez avoir des problèmes », prévient David Martin Ruiz du BEUC.

Pendant ce temps, la question à travers le monde demeure : que veulent les consommateurs? Certains jugent que la seule manière de protéger la vie privée serait de voir les électeurs s’impliquer davantage. « Autrement, les gouvernements et les régulateurs vont simplement interpréter les lois en faveur des compagnies du secteur des technologies, dont la voix est beaucoup plus forte », selon M. Lawford.

Il est aussi possible que ce soit la technologie elle-même qui règle la situation, note Niraj Dawar de l’école de commerce Ivey. Il estime qu’un cryptage mur à mur combiné à la technologie artificielle pour se connecter à diverses plateformes pourrait mieux protéger la vie privée des individus, tout en maintenant le flux des données vers les entreprises. À l’avenir, les utilisateurs se feront vraisemblablement offrir l’option de ne pas être suivis. Mais pour plus de facilité, ils pourraient choisir de partager certaines informations.

« Le cadre de ce qu’on considère comme privé devra changer », croit le professeur Dewar.