droitdu.net

Un site utilisant Plateforme OpenUM.ca

Les objets connectés et les renseignements personnels : entre vigilance et surprotection

Étudiante dans le cadre du cours DRT-6903.
13 novembre 2015
Commentaires
Permalien

Le 9 octobre dernier avait lieu la conférence Objets connectés : Regards croisés Europe/Canada organisée par la Chaire L. R. Wilson. La conférence, qui réunissait les professeurs Pierre Trudel, Vincent Gautrais (  ( Université de Montréal ) et Sofiane Achiche  ( Polytechnique Montréal ) ainsi que Valérie-Laure Benabou, Mélanie Clément-Fontaine et Célia Zolinski (D@nte, Laboratoire de droit des affaires et nouvelles technologies rattaché à l’Université de Versailles Saint-Quentin-en-Yveline), était l’occasion de faire un état des lieux comparé et de réfléchir aux enjeux juridiques et économiques, mais également éthiques, que soulève, au regard de la protection de la vie privée, l’utilisation grandissante des objets technologiques connectés à Internet (Internet of things).

Quand on pense objets connectés, on pense bien sûr aux téléphones portables, tablettes et ordinateurs, bracelets et montres, mais il s’agit d’un univers technologique bien plus vaste qui s’inscrit dans toutes les sphères de la vie et n’est restreint que par les limites de l’imagination humaine. En effet, la reconnaissance vocale, les pilules, implants, vêtements, tatouages, puces ou autres capteurs électroniques font graduellement leur entrée sur les marchés et voient leur popularité augmentée à un rythme effréné. Il est estimé qu’en 2020, alors que la population mondiale serait de 7,6 milliards d’humains, nous serions minimalement entourés par 30 milliards d’objets connectés. Ces objets promettent de faire de nous des personnes plus efficaces, plus productives, plus responsables et plus « intelligentes » parce que mieux informées.

Mais qu’en est-il de la sécurité des données et renseignements personnels qui sont collectés, emmagasinés et utilisés par ces objets? Quel contrôle l’humain peut-il réellement exercer sur ceux-ci? Quels sont les risques d’atteinte aux droits fondamentaux et plus particulièrement au droit à la vie privée? Combien valent les données à caractère personnel qui composent le Big Data? En profitons-nous collectivement?

La collecte et l’utilisation continue d’informations à caractère personnel n’échappent pas aux nouveaux paradigmes issus de l’Ère de la récupération et de la réutilisation. Ainsi, une donnée peut être stockée, utilisée, puis, potentiellement récupérée et réutilisée par des opérateurs multiples avec tout les risques d’atteinte à la vie privée que cela comporte. La nature et la teneur de ces risques varieraient selon :

  • la protection accordée à la vie privée par les législations nationales;
  • la nature qualitative des données recueillies et leur quantité;
  • la conception et le design technique des différents types d’objets connectés (le concept de Privacy by design milite en faveur d’une régulation en matière de collecte, d’utilisation et de conservation des données à caractère personnel au stade même de la conception de l’objet);
  • le degré de contrôle de l’utilisateur sur les paramétrages d’utilisation (Privacy by using).

Selon les professeurs Alain Rallet, Fabrice Rochelandet et Célia Zolinsky « La régulation qui a pour finalité la préservation de la vie privée des individus est à la fois nécessaire et difficile. Elle est nécessaire, car elle permet d’éviter des atteintes à la personne et de limiter certains risques comme le harcèlement moral ou la discrimination à l’embauche. Si l’on interprète cela en termes économiques, on voit qu’il s’agit de minimiser le coût social des atteintes à la vie privée dues à l’exploitation des données personnelles. »

Par ailleurs, la réforme de la Directive européenne 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données en cours depuis le 25 janvier 2012, dont les travaux du Groupe de travail « Article 29 », la récente décision de la Cour de justice européenne de suspendre l’accord Safe Harbor (Accord-cadre relatif à l’utilisation par des entreprises américaines des données produites par les internautes européens) ainsi que les plaintes d’usagers à l’encontre des grands opérateurs et agrégateurs de contenus en ce qui à trait à la protection et au transfert des données à caractère personnel emmagasinées, notamment via des objets connectés, font émerger une question centrale à laquelle il nous faudra bien répondre un jour : quelle place pour l’Homme dans l’univers économique des objets connectés?

Au Canada et au Québec, les lois en matière de protection des renseignements personnels dans le secteur privé (Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRDE) modifiée par la Loi sur la protection des renseignements personnels numériques sanctionnée en août dernier) vise à protéger la vie privée des personnes. Par exemple, la loi fédérale octroie au Commissaire à la protection de la vie privée du Canada des pouvoirs de négocier des ententes de conformité volontaire avec les organisations du secteur privé qui collectent des données sur leurs clients et qui les utilise ou les communique dans le cadre de leurs activités commerciales et oblige notamment ces entreprises à :

« aviser les personnes touchées par la perte ou le vol de renseignements personnels, et à leur indiquer s’il y a un risque de préjudice, par exemple un vol d’identité. Les organismes devront également informer les victimes des mesures à prendre pour se protéger. De plus, les organismes devront faire rapport au Commissaire à la protection de la vie privée du Canada sur ces atteintes à la protection des données pouvant causer un préjudice. »

En 2014, à l’occasion du Rendez-vous de la sécurité de l’information, Daniel Caron, conseiller juridique pour le Commissaire à la protection de la vie privée du Canada s’exprimait ainsi :

« Par ailleurs, les frontières internationales semblent s’estomper de plus en plus en raison des avancées technologiques qui facilitent la communication. Or, nous devons nous poser une autre question pertinente : les lois nationales sont- elles suffisantes pour protéger les renseignements personnels dans le monde de l’Internet des objets? Comment les divers organismes de réglementation de la protection de la vie privée pourront-ils coordonner les efforts malgré le grand nombre de lois nationales? »

Or, il ressort des réflexions exposées lors de la conférence du 9 octobre dernier, qu’une plus grande transparence des acteurs de l’industrie en matière de conditions d’utilisation des objets connectés, qu’une divulgation proactive (et potentiellement normée) des risques associés à leurs usages en matière de protection des données à caractère personnel ainsi que l’assujettissement des fabricants et opérateurs à des normes de conception techniques et de documentation conformes aux droits fondamentaux, et notamment au regard de la vie privée, soient des avenues à envisager dans la création d’une normativité globale prise en charge à l’échelle internationale. Par ailleurs, cette normativité relèverait davantage de la corégulation, par opposition à l’autorégulation, système qui fait craindre, dans un contexte de connectivités et d’interactivités, une dérive au regard des principes traditionnels de la protection des données à caractère personnel que sont la finalité, le consentement et la sécurité.

« L’information, c’est le pouvoir.» dixit J. Edgar Hoover, directeur du Federal Bureau of Investigation américain de 1924 à 1972, qui n’avait encore rien vu…

En complément :

Sur le même sujet

Derniers tweets