Récemment, un article dans le journal britannique The Guardian faisait état de la collecte de données personnelles par le géant Tinder. Désireuse de connaître l’étendue de l’information colligée, une journaliste s’interrogea. Après une demande formelle d’accès aux données associées à son propre compte, plus de 800 pages lui furent transmises.
Selon l’article 12 de la Directive 95/46/CE de la Commission Européenne, une compagnie européenne à l’obligation de divulguer les données personnelles détenue sur une personne, lorsque celle-ci en fait la demande. En outre, la compagnie est tenue de communiquer la logique qui sous-tend tout traitement automatisé des données.
En théorie.
La pratique s’est avérée beaucoup plus complexe face à la compagnie américaine.
Les données divulguées et reçues par la journaliste européenne lui furent transmises sur une base volontaire, et ce grâce au concours d’un avocat et d’un militant des enjeux de la vie privée. Elle n’eut jamais accès aux algorithmes, puisque les données sont compilées et transférées vers la compagnie américaine, non contrainte par les lois européennes actuelles (Paul-Olivier Dehaye, Getting your data out of Tinder is really hard – but it shouldn’t be, The Guardian, 27 septembre 2017).
L’avertissement à cet effet contenu dans la politique de confidentialité de la compagnie est hautement révélateur :
« Si vous consultez le site depuis l’Union européenne ou d’autres régions soumises à des lois régissant la collecte et l’utilisation des données, veuillez noter que vous consentez au transfert de vos données personnelles, notamment les données sensibles, par Tinder depuis votre région vers des pays qui ne disposent pas de lois de protection des données offrant le même niveau de protection que celui qui existe dans les pays de l’Espace économique européen, notamment les États-Unis».
De plus, les algorithmes sont considérés comme une propriété intellectuelle par la compagnie, justifiant le refus de leur divulgation (Judith Duportail, I asked Tinder for my data. It sent me 800 pages of my deepest, darkest secrets, The Gardian, 26 septembre 2017).
Mais une ouverture se dessine à l’horizon.
Annoncée en janvier 2012, une réforme sur la protection des données, le Règlement (UE) 2016/679 (Règlement général sur la protection des données), doit entrer en vigueur en mai 2018. Cette réforme accroit la protection accordée aux données personnelles des citoyens européens, en prévoyant notamment des amendes plus lourdes en cas de violation, ainsi qu’en étendant son champ d’application aux compagnies basées à l’extérieur de l’Europe qui traitent les données personnelles des Européens, comme Tinder.
Tel qu’annoncé dans la déclaration du Vice-Président Andrus Ansip et de la Commissaire Věra Jourová :
Relativement à l’accessibilité des données, l’article 15 du Règlement 2016/679 prévoit entre autres l’accès aux données à caractère personnel par l’individu concerné et, lors d’une prise de décision automatisée, le droit d’obtenir des informations utiles sur la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement. En outre, lorsque les données personnelles sont transférées vers un pays tiers ou vers une organisation internationale, un droit d’être informée des garanties appropriées relativement à leur transfert est reconnu. Une telle réforme, espérons-le, aura pour effet d’accroître l’accessibilité et d’amener la modification de plusieurs politiques de confidentialité.
Qu’en est-il de la situation au Canada?
Rappelons que la loi Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) offre des garanties similaires, sans aller aussi loin. Selon le principe 4.9 de l’annexe 1 de la LPRPDE, les entreprises du secteur privé ont l’obligation de permettre l’accès aux renseignements personnels à toute personne qui en fait la demande, sous réserve des exceptions prévues à la loi. Elles ont également l’obligation de divulguer l’usage qui est fait de ces renseignements ainsi que de divulguer toute communication qui en est faite à des tiers. À cet effet, la décision Bertucci c. Banque Royale du Canada, 2016 CF 332 est un exemple du droit d’accès aux renseignements personnels reconnu par le principe 4.9 de l’annexe 1 de la LPRPDE.
En conclusion, avec les réformes à l’horizon, le contrôle sur nos données personnelles devient un peu plus tangible, malgré la persistance de la complexité et de l’obscurité des algorithmes les régissant.
Commentaires