Dans sa dernière enquête sur les courtiers de données aux États-Unis, la Federal Trade Commission (FTC) dévoile l’ampleur du contenu des banques de données sur les particuliers américains, constituées par neufs courtiers de données (Acxiom, Corelogic, Datalogix, eBureau, ID Analytics, Intelius, PeekYou, Rapleaf, and Recorded Future). La FTC dresse un portrait alarmant d’une industrie discrète et multidimensionnelle qui recueille et communique des segments de données sur les particuliers à ses clients, souvent à l’insu de ces derniers. La FTC rapporte qu’un des courtiers de données possède des informations sur prés d’un 1.4 milliards transactions de consommation et plus de 700 milliards d’éléments de données agrégées, alors qu’un autre recueil prés de 3 milliards de nouveaux dossiers par mois. Elle dénonce le manque de transparence dans la cueillette des renseignements personnels, ainsi que le manque d’accès à l’information au profit des particuliers concernés. D’ailleurs, les courtiers en données ont également étés mentionnés lors d’une étude pour le compte de la Maison Blanche publiée quelques semaines plus tôt, qui partage la même inquiétude sur la nécessité de protéger ces renseignements personnels.
L’enquête révèle que les courtiers de données puisent les renseignements personnels de diverses sources données brutes, incluant des organismes gouvernementaux, des commerçants, des renseignements rendues public sur l’Internet, ainsi que par l’entremise d’autres courtiers de données. En plus de ces données brutes, les courtiers assemblent des segments de données pour ensuite inférer d’autres renseignements sur le particulier. Les bases de données peuvent comporter des informations sociodémographiques (âge, sexe, ethnicité, no. assurance sociale, état matrimonial, naissance/adoption, orientation politique, immatriculation, adresse, éducation, religion), économiques (emploi, revenu, hypothèques, note de crédit, déclaration d’insolvabilité, saisies, évaluation municipale immobilière, taxes foncières, habitudes de consommation), juridiques (recours civil/pénale, casier judiciaire), médical (optométrie, fumeur/non fumeur, allergies, diabète, cholestérol, perte/gain de poids, incontinence) et socio-technologiques (contacts et photos partagés sur réseaux sociaux, type connexion Internet, blogues publiés, appels interurbains , comportement d’achats sur Internet), pour en énumérer quelques unes. En amalgamant toutes les informations ainsi obtenues, ces derniers sont capables de constituer un dossier complet sur chaque particulier qui sera ensuite offerts comme produits à ses clients. Les grandes catégories de produits que ces derniers offrent se situent autour de produits pour des fins de marketing, d’atténuation de risques (i.e. prévention de fraude), et moteurs de recherches de personnes.
Bien que plusieurs de ces données sont déjà publiques, l’usage automatique de ces renseignements par des tierces parties pourrait être préjudiciable aux consommateurs. Pensons au consommateur qui se voit refuser l’accès à un emprunt par une institution financière, ou celui qui se voit considérer « à risque » par un assureur, lorsque ces derniers se fondent sur des informations obtenues en provenance d’un courtier de données pour déterminer son admissibilité. Dans un premier temps, le consommateur, étranger aux échanges entre l’institution et le courtier de données, n’aura jamais eu l’occasion de prendre connaissance des renseignements ainsi fournis, pour savoir si ces derniers sont véridiques ou toujours pertinents. De surcroit, le consommateur moyen ne pourra jamais retracer l’origine des informations recueillis dans le but de les corriger ou faire supprimer, compte tenu de la complexité des échanges de données entre courtiers. Le « Fair Credit Reporting Act » (FCRA) vient pallier en partie à ces problématiques, à condition qu’il s’agisse d’une décision adverse à l’égard d’une application de crédit, assurance, ou d’emploi. La FCRA prevoit qu’un consommateur a le droit d’exiger de consulter un dossier Toutefois, il n’en reste pas moins que certaines informations échappe à l’application du FCRA, tel que déjà exprimé par la FTC dans son dernier rapport en 2012 :
« Finally, some businesses may maintain and use consumer data for purposes that do not fall neatly within either the FCRA or marketing categories discussed above. […] They may include businesses selling fraud prevention or risk management services, in order to verify the identities of customers. They may also include general search engines, media publications, or social networking sites. They may include debt collectors trying to collect a debt. They may also include companies collecting data about how likely a consumer is to take his or her medication, for use by health care providers in developing treatment plans.”
Basée sur ces trouvailles, la FTC met en garde le Congres américain sur l’urgence d’instaurer des mesures supplémentaires pour redresser l’inégalité et mieux protéger les données sur les particuliers. Entre autre, elle déplore l’absence d’outils à la disposition des consommateurs pour prendre connaissance des informations recueillis. Dans un premier temps, la FTC demande au Congres d’adopter des mesures législatives afin d’obliger les courtiers de: (a) centraliser les banques données dans un portail commun, dans le but de faciliter l’accès aux dossiers constitués sur les particuliers, particulièrement les renseignements personnels de nature sensibles ; (b) permettre aux particuliers de retracer la source d’une information, dans le but de corriger ou supprimer un renseignement depuis son origine ; (c) accorder le choix aux particuliers de retirer leur consentement sur la cueillette des informations ; (d) obliger les fournisseurs de services de partager la nature des renseignements lorsqu’ils motivent une décision négative à l’égard du particulier; (e) renforcer la nécessité d’obtenir un consentement du consommateur, particulièrement lorsqu’ils s’agit de renseignement de nature sensible (i.e. information sur la santé).
Au Canada, ce sera la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui régira la collecte, l’utilisation et la communication des renseignements personnels dans le secteur privé. Dans un premier temps, rappelons que les organismes devront s’assurer de limiter l’étendue des renseignements recueillis à ce qui est raisonnable dans les circonstances. Sur la question du consentement, il est indéniable que notre société de consommation d’information est trop souvent prête à se subordonner volontairement (voir aveuglement) aux conditions d’utilisation imposés par les fournisseurs de contenu, en échange d’avoir accès au contenu en temps réel. Pensons aux réseaux sociaux, lesquels peuvent servir de mine d’informations personnels sur les consommateurs pour les courtiers de données. Or, les utilisateurs ne sont pas conscients de la collaboration entre ces tierces parties et les medias sociaux sur la collecte et la communication de ces informations. Ajoutons à cela, que les utilisateurs sont rarement au courant de l’étendue des modalités de services entre l’utilisateur et les medias sociaux, avant d’utiliser le service. C’est d’ailleurs ce qui ressort de l’étude du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique au Canada en 2013. Plusieurs experts ont témoigné lors de cette étude, à l’effet que le consentement de l’utilisateur des medias sociaux n’est pas un indice réelle de la connaissance de ce dernier sur les fins véritables auxquels servent les renseignements, tel que requis par le principe 3 de la LPRPDE. À la lumière de cette étude, le Commissariat à la protection de la vie privée du Canada (CPVP), a récemment publié des lignes directrices en matière de consentement en ligne, pour servir de guide aux organisations pour s’assurer d’obtenir un consentement valide auprès des utilisateurs.
Selon les lignes directrices, les organisations doivent s’assurer de mettre « l’information pertinente sur la protection des renseignements personnels à l’avant-plan, là où elle est bien visible […] », y compris de motiver la raison pour laquelle les renseignements sont requis. De plus, les organismes feront bien d’attirer l’attention aux utilisateurs sur l’identité des tierces parties en arrière-plans qui auront accès à l’information, tel que les courtiers de données, ainsi que leurs pratiques. Finalement, les organismes devront s’assurer de limiter la collecte à ce qui est a été précisé lors du consentement, ainsi que de supprimer les renseignements qui ne sont plus nécessaires.