Le 13 octobre dernier, l’Autorité néerlandaise pour la protection des données (DPA) a déclaré, suite à une enquête sur le système d’exploitation Windows 10, que Microsoft enfreignait sa législation en matière de protection des renseignements personnels. En effet, selon la loi néerlandaise, le consentement d’un individu quant au traitement de ses renseignements personnels doit être spécifique, informé et sans ambiguïté pour être valide, dénonçant ainsi le manque de transparence du géant américain :

« Due to Microsoft’s approach users lack control of their data. They are not informed which data are being used for what purpose, neither that based on these data, personalised advertisements and recommendations can be presented, if those users have not opted out from these default settings on installation or afterwards. […] Microsoft needs to obtain valid consent from users to process their personal data. Therefore, people must be well informed and need to know precisely to what they say yes. This is not the case. […] Through the chosen approach Microsoft also does not obtain unambiguous consent ».

Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après : « PIPEDA ») oblige aussi les organisations visées à obtenir un consentement éclairé des individus relativement à la gestion de leurs renseignements personnels, tout en traitant d’un détail important, soit la compréhensibilité des informations transmises à ces individus (article 6.1; Annexe 1, articles 4.3.2 et 4.8.1):

Selon les Lignes directrices en matière de consentement en ligne du Commissariat à la vie privée du Canada, pour qu’une personne puisse donner un consentement valable dans un environnement électronique, elle doit comprendre ce à quoi elle consent. L’organisation doit donc informer les utilisateurs de ses pratiques en matière de gestion de leurs renseignement personnels de manière détaillée et en termes faciles à comprendre, en ayant un niveau de langue adapté à un public varié, en ayant par exemple une politique de confidentialité claire, descriptive et accessible. Pour le niveau de compréhension, on semble se référer au concept de l’utilisateur/consommateur moyen.

Une problématique majeure réside justement dans la façon dont les politiques de confidentialité sont rédigées par les organisations pour tenter de satisfaire à toutes les lois nationales de divers pays en matière de protection des renseignements personnels. Ces politiques se retrouvent alors remplies de termes juridiques et techniques inconnus de l’individu moyen. Mais encore, elles contiennent de nombreuses pages en raison de la grande quantité d’informations qui doivent s’y retrouver, ce qui n’incite personne à les lire, et encore moins à les comprendre. En effet, selon le Global Privacy Enforcement Network :

« 33% des politiques de confidentialité consultées étaient d’une utilité limitée pour le consommateur moyen à la recherche d’une explication claire concernant la façon dont les renseignements personnels sont utilisés ».

Ainsi, plus les organisations précisent les moindres petits détails de la façon dont sont traités les renseignements personnels des individus, plus les informations importantes sont diluées au travers un texte qui s’avère devenir de plus en plus complexe pour le consommateur moyen. Nous faisons face à un cercle vicieux qui ne bénéficie à personne. Plus l’organisation informe, plus l’individu a du mal à comprendre. Selon la professeure Helen Nissenbaum, :

« le « paradoxe de la transparence » constitue la principale limite des politiques de confidentialité. D’une part, si les responsables de l’élaboration de ces politiques essaient de décrire de façon exhaustive les pratiques des organisations, ils obtiendront un document long et complexe, illisible et inintelligible pour l’utilisateur moyen. D’autre part, une politique de confidentialité brève et simple ne saurait refléter la complexité de la circulation de l’information de manière suffisamment détaillée pour permettre un consentement éclairé. »

Comment donc s’en sortir? Difficile à dire. La question est lancée. Le Commissariat à la vie privée du Canada, par l’entremise de ses Lignes directrices sur la protection de la vie privée et la publicité comportementale en ligne, invite les organisations à avoir recours à diverses méthodes de communication, comme les bannières en ligne, les technologies multicouches et des outils interactifs comme des fenêtres contextuelles.

Le nouveau Règlement de l’Union européenne relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel à la libre circulation de ces données, qui entrera en vigueur au plus tard en mai 2018, indique notamment, à son article 12, que l’information transmise aux personnes concernées « pourront être accompagnées d’icônes normalisées afin d’offrir une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu ». La Commission européenne sera même « habilitée à déterminer les informations à présenter sous forme d’icônes ainsi que les procédures régissant la fourniture d’icônes normalisées ». Des icônes simples, utilisées à l’échelle internationale, pourraient effectivement faciliter la compréhension de l’individu moyen lors de la prise de connaissance des politiques de confidentialité des organisations.

Bref, même si la loi néerlandaise a été bafouée par Microsoft par manque de transparence suite à l’insuffisance des informations transmises à ses utilisateurs, je doute fortement de la réelle compréhension de ceux qui auraient pris la peine de lire cette politique de confidentialité. Et que dire de la détermination du niveau de compréhensibilité d’un individu moyen? Comment le définir? Pas de réponse claire. Diverses solutions ont été proposées et même recommandées aux organisations afin de l’aider à mieux s’y retrouver. Cependant, ces dernières ne sont pas obligatoires. PIPEDA contribue donc, de façon non intentionnelle, à l’incompréhension des individus quant aux véritables conséquences de dévoiler leurs renseignements personnels aux organisations et aux risques auxquels ils s’exposent. En effet, avoir trop d’informations, c’est comme ne pas en avoir assez!