Protéger la vie privée

Le commissaire à la protection de la vie privée Daniel Therrien a le mandat d'assurer la sécurité des Canadiens, tout en protégeant leurs droits individuels.

Cyberintimidateurs qui ciblent des écoliers, grandes entreprises qui racolent des clients, administrations publiques et forces policières qui épient des citoyens ou qui font du profilage : les menaces planant sur la vie privée sont très nombreuses. Or, l’analyse de mégadonnées de même que l’essor inouï des médias sociaux les accentuent.

Sur la page Wikipédia consacrée au ministre québécois de la Santé et des Services sociaux, Gaétan Barrette, un expéditeur anonyme a remplacé la photo du ministre par une caricature où son visage ressemblait à une pomme de terre. Cette mauvaise blague et bien d’autres ont amené le ministre à dénoncer la cyberintimidation. « Les réseaux sociaux ont permis le développement d'une culture d'intimidation. Il faut mettre un terme à cela », a-t-il déclaré au quotidien La Presse. Les personnalités politiques s’attendent à de telles attaques, mais pas les enfants et les adolescents. La cyberintimidation connaît parfois une issue tragique.

Depuis 2012, trois adolescents québécois se sont suicidés ou ont tenté de le faire après avoir été victimes d'intimidation à l’école et en ligne.

Le public est tellement sensibilisé à la menace croissante pour la vie privée que représente l’intimidation, par Internet ou autrement, que le premier mandat officiel de Daniel Therrien, nouveau commissaire à la protection de la vie privée du Canada, consiste à s’attaquer à ce problème.

« Actuellement à l’étude, le projet de loi C-13 [qui vise à augmenter les pouvoirs de surveillance de l’administration fédérale] propose de criminaliser ce fléau social qu’est la cyberintimidation », affirme M. Therrien.

Des données révélatrices

Dans notre monde réseauté, de nombreux experts s’accordent à dire que les deux plus grands dangers menaçant la vie privée proviennent des mégadonnées et de l’Internet des objets.

« On constitue des mégadonnées en reliant de grandes quantités de renseignements à d’autres types de données : cartes de crédit, dossiers d’assurance maladie, recherches sur Internet, habitudes d’achat, programmes de fidélisation », explique Kris Klein, associé du cabinet d’avocats nNovation LLP, situé dans la capitale fédérale.

Même embryonnaire, l’Internet des objets offre encore plus de moyens de créer des profils intégrés des gens. « Il permet de relier à Internet votre thermomètre, votre voiture, votre téléphone, votre frigo, etc., et d’émettre des renseignements », précise Micheal Vonn, directrice des politiques de la BC Civil Liberties Association, de Vancouver. « Il assurera une collecte sans précédent de données sur notre vie quotidienne. »

Illustrons ce qui peut découler d’une analyse statistique et mathématique de mégadonnées. En 2012, un père furieux s’en est pris au gérant d’un magasin Target de Minneapolis : sa fille, encore à l’école secondaire, avait reçu par la poste des coupons d’achat de vêtements et de lits de bébé. Quelques jours plus tard, le père a présenté ses excuses. Sa fille était enceinte et, en examinant des masses de données, Target l’avait appris bien avant lui.

Cybercriminalité

Une foule d’autres atteintes à la vie privée sont beaucoup plus nuisibles que la campagne de marketing de Target : piratage, vol d’identité, hameçonnage, pourriels, etc.

Certains cybercrimes retiennent l’attention des médias, comme le récent scandale du piratage du service iCloud, qui a rendu publiques des photos privées de célébrités. Or, ces actes de piratage retentissants ne sont pas les plus dévastateurs.

Au moment même de la révélation du scandale iCloud, une invasion bien plus inquiétante, mais peu médiatisée, était perpétrée contre l’infrastructure TI de la banque JP Morgan Chase.

Le Canada a connu sa part de cybercrimes notoires. Souvenons-nous des pirates informatiques qui ont pénétré les systèmes vulnérables de l’Agence du revenu du Canada ou encore de ceux qui ont accédé aux dossiers de prêts aux étudiants de Ressources humaines et Développement des compétences Canada. Pourtant, les incitatifs visant à protéger les renseignements personnels sont insuffisants, estime Tamir Israel, avocat-conseil à la Clinique d’intérêt public et de politique d’Internet du Canada Samuelson-Glushko de l’Université d’Ottawa. « Si vous êtes atteint par le biais d’Internet, par exemple, l’embarras n’est pas proportionné au coût de l’augmentation de votre budget consacré à la sécurité. »

La différence entre les pénalités prévues par la nouvelle loi antipourriel et celles des anciennes lois fédérales sur la protection de la vie privée est ahurissante, selon Tricia Kuhl, associée de Blakes Cassels & Graydon à Montréal. Elle souligne que les pénalités pour les infractions à la loi antipourriel peuvent atteindre 1 M$ pour les particuliers et 10 millions $ pour les entreprises, mais elles sont de l’ordre de 10 000 $ à 100 000 $ dans la loi fédérale sur la protection de la vie privée.

S’il existe des incitatifs à investir dans la sécurité, comme dans le cadre réglementaire des banques, ils ratent souvent leur cible. En 2013, selon une étude menée par le cabinet PriceWaterhouse-Coopers, 44 % des investissements des institutions financières dans la sécurité étaient dictés par la conformité à la réglementation, et non par les menaces à la sécurité en rapport avec l’essor du cyberespace.

Minute, Big Brother!

Pour combattre la cybercriminalité, le projet de loi fédéral C-13, actuellement à l’étude, propose plusieurs niveaux de pouvoir pour faciliter l’accès à des données sensibles.

« Nous nous opposons à l’extension des pouvoirs de collecte des forces policières, soutient Mme Vonn. Les pouvoirs actuels sont suffisants. » Ses préoccupations sont directement liées aux forts pouvoirs de repérage et de profilage que donne l’analyse de mégadonnées. « On croit généralement qu’un numéro de plaque d’immatriculation ne peut rien révéler de la vie privée, poursuit-elle, mais un algorithme d’analyse permet de retracer tous les déplacements de votre voiture, donc de connaître vos allées et venues — par exemple, votre présence à une réunion politique donnée à telle date et à telle heure. »

« Il y a vingt ans, la police ne pouvait confisquer les classeurs d’un cabinet comptable, rappelle l’avocat montréalais Jean-Claude Hébert. Elle devait déterminer à l’avance ce qu’elle cherchait. Aujourd’hui, elle emporte tous les lecteurs de disque d’ordinateur d’une entreprise, qui contiennent beaucoup plus d’informations que des classeurs. »

Le Centre de la sécurité des télécommunications du Canada inquiète aussi bien des gens. « Il a le pouvoir de recueillir, auprès des réseaux de communication, une foule de renseignements sur les Canadiens qui vont bien au-delà de ceux dont il a besoin pour assurer la sécurité nationale, estime M. Israel. Nous voulons limiter ses pouvoirs et l’obliger à mener des recherches ciblées, motivées par des menaces précises. On ne peut soupçonner tout le monde. »

Les groupes de défense des droits civils redoutent que, sous prétexte de protéger le public contre les cybercriminels et les terroristes, les administrations publiques et les grandes entreprises n’ouvrent la voie à un futur état policier.

À l’heure actuelle, de nombreux Canadiens subissent des restrictions injustifiées : leur nom figure par erreur sur des listes d’interdiction de vol sans qu’ils puissent le faire retirer; ils ne peuvent obtenir d’emploi parce que leur casier judiciaire fait état d’anciennes accusations qui se sont avérées sans fondement; des journalistes hésitent à interviewer des sources anonymes, de peur que l’État ne les retrace. « Le processus démocratique en souffre déjà », estime M. Israel.

Bienvenue dans le meilleur des mondes

Pourtant, le plus grand danger menaçant la vie privée pourrait venir des citoyens eux-mêmes et de l’érosion de leur sens de l’intimité. Tant de personnes révèlent leur vie privée par le biais des médias sociaux qu’elles ne semblent pas se soucier de l’accès qu’ont ainsi de grandes entreprises ou des administrations publiques au moindre renseignement à leur sujet.

Jacques Dufresne, créateur du site Encyclopédie de l’Agora, connaît très bien Internet, et il est inquiet. « La transparence est partout, affirme-t-il. Nous glissons très rapidement vers Le meilleur des mondes d’Aldous Huxley. » Jusqu’à la fin des années 1980, rappelle-t-il, on voyait dans ce célèbre roman les maux à éviter pour échapper à la déshumanisation : sexualité sans affectivité, disparition du père, de la mère et de la nation, rupture du lien à la nature et au passé, rejet de la mort, euthanasie, notion de perfection fondée sur celle des machines. Dans un revirement paradoxal et inquiétant, « la plupart de ces tendances sont aujourd’hui perçues comme des signes de progrès », observe M. Dufresne.

Une faible note

Jadis à l’avant-garde de la protection de la vie privée, le Canada semble maintenant perdre du terrain. « Le droit à la vie privée est grandement menacé par certaines lois et pratiques gouvernementales », estime Jean-Claude Hébert.

En matière de protection du droit à la vie privée, Kris Klein accorde au Canada la note B-, nettement inférieure à celle qu’il lui aurait accordée il y a cinq ou six ans. De son côté, Micheal Vonn lui donne la note 70 %, et Tamir Israel, la note C. À peine au-dessus de la note de passage.

ENTREVUE AVEC DANIEL THERRIEN, COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DU CANADA : UN JUSTE ÉQUILIBRE

Entré en fonction le 5 juin dernier, Daniel Therrien est commissaire à la protection de la vie privée du Canada. Il a été codirecteur de l’équipe qui a négocié en 2011 l’adoption des principes de protection de la vie privée régissant l’échange de renseignements entre le Canada et les États-Unis en vertu du plan d'action Par-delà la frontière.

Voici, sous forme condensée, une entrevue réalisée à son bureau de Gatineau, au Québec.

Quelles sont vos responsabilités à titre de commissaire à la protection de la vie privée?
DT : Je suis chargé de faire respecter la Loi sur la protection des renseignements personnels, qui couvre la gestion des renseignements personnels par l’administration fédérale, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui régit le secteur privé canadien en matière de protection de la vie privée.

De quels pouvoirs disposez-vous?
DT : Je peux enquêter sur les plaintes, réaliser des audits et intenter des poursuites judiciaires en vertu des deux lois fédérales. Je peux aussi publier des rapports sur les méthodes de gestion de l’information des organismes publics et privés. Enfin, je peux mener ou soutenir des travaux de recherche sur les questions de protection de la vie privée et sensibiliser le public à ces questions.

Parlez-nous de l’adoption du projet de loi C-13, lequel élargira votre champ d’action.
DT : Cette loi vise à donner aux forces policières de nouveaux outils pour enquêter sur la cybercriminalité. Certains outils facilitent l’accès aux renseignements détenus par les sociétés de télécommunications. Je crois que, à certains égards, la loi va trop loin : on risque de recueillir des données sur des personnes qui n’ont rien à craindre de l’État ou qui n’ont rien fait de mal. Une adresse IP et des sites Web, par exemple, peuvent donner une idée très précise des centres d’intérêt d’une personne.

Que pensez-vous de la disposition du projet de loi C-13 selon laquelle le « motif raisonnable de soupçonner » suffit à justifier l’autorisation judiciaire qui permet d'accéder à certaines données sensibles?

DT : Je suis d’avis que la suspicion constitue un seuil trop peu contraignant pour des renseignements si révélateurs. À notre époque, chaque transaction, chaque message, chaque recherche réalisée en ligne, voire chaque appel ou mouvement, laissent une trace électronique. Avant d’obtenir des renseignements pour des sociétés de télécommunications, les forces policières devraient disposer d’éléments de preuve préalables. Les personnes qui reçoivent ces renseignements devraient aussi faire preuve de transparence.

Vous évoquez souvent la transparence des organismes gouvernementaux et des organisations privées.
DT : En effet. Les entreprises doivent aussi être transparentes à l’égard de ce qu’elles veulent tirer des données recueillies. Elles ont l’obligation légale de révéler l’usage qu’elles en feront.

Quels sont les antécédents des entreprises à cet égard?

DT : Ils sont contrastés. En 2013, nous avons vérifié plus de 300 sites Web, de même que 18 autres pays, soit un total de 2 000 sites visités. Il s’agissait pour le Commissariat d’un premier ratissage pour la protection de la vie privée. Dans 50 % des cas, on a soulevé au moins une préoccupation concernant la facilité de trouver l’information et de communiquer avec l’entreprise, ainsi que la lisibilité et la pertinence des renseignements sur la protection de la vie privée. Bon nombre des sites Web ratissés fournissaient des renseignements insuffisants, et 21 % n’affichaient aucune politique en matière de protection de la vie privée. (Pour en savoir plus, aller à www.priv.gc.ca/media/ nr-c/2013/bg_130813_f.asp)

De nombreux critiques au pays estiment qu’on sacrifie de plus en plus la protection de la vie privée aux questions de sécurité nationale. Qu’en pensez-vous?
DT : On ne doit pas choisir entre les deux. L’État a un devoir de protection, mais il doit faire en sorte que les mesures prises ne violent pas les droits des citoyens. Les moyens doivent être proportionnels à la menace visée.

Certains estiment que des organisations, dont le Centre de la sécurité des télécommunications, vont trop loin.

DT : Depuis deux ans, nous avons pris connaissance de pratiques d’organismes de sécurité et de forces policières menées afin de protéger les Canadiens qui nous incitent à poser des questions concernant le respect du droit à la vie privée.

À propos de l’auteur

Yan Barcelo


Yan Barcelo est journaliste dans la région de Montréal.

comments powered by Disqus

Faits saillants

Mettez vos connaissances à jour et élargissez votre réseau grâce à ce colloque à ne pas manquer (en anglais), qui porte sur les questions et tendances essentielles pour les membres des comités d’audit.

Dans votre entourage se tapit sûrement une personne surendettée. Si vous êtes observateur, vous reconnaîtrez l’un ou plusieurs de ces symptômes.