Les révélations de Radio-Canada au sujet des dispositifs d’interception des signaux des téléphones portables et autres appareils connectés découverts à Ottawa et à l’aéroport de Dorval illustrent la désuétude du cadre juridique de la protection de la vie privée. Tels qu’ils sont conçus, ces appareils procurent à chacun la capacité d’intercepter les communications des autres et de les surveiller à leur insu. Une telle régulation par défaut induit des risques pour les libertés de tous.

Les dispositifs d’interception sont configurés pour capter, intercepter des signaux des appareils de communication sans fil. Ils peuvent permettre l’interception de métadonnées ou livrer des accès au contenu des communications entre un possesseur d’un objet connecté et ses correspondants. Ces objets techniques peuvent rendre de grands services afin de débusquer des projets criminels. Mais ils recèlent un important potentiel liberticide. Il s’agit d’objets dangereux.

Lorsqu’un objet technique présente des risques pour la vie ou la sécurité des personnes, il est normal que les autorités publiques en réglementent la possession et l’usage. Par exemple, les médicaments sont des objets issus de la technologie. Leur usage est strictement encadré. Il en est de même de plusieurs autres objets, comme les armes à feu ou les explosifs. Les appareils connectés capables d’intercepter les communications à l’insu des gens sont de même nature : ce sont des objets dangereux pour la dignité humaine. Si leur utilisation n’est pas encadrée, ils peuvent mettre à mal nos libertés les plus fondamentales.

Dans un monde où la plupart des objets que nous utilisons peuvent communiquer des informations, il devient essentiel d’encadrer très rigoureusement l’usage des outils destinés à intercepter des communications.

Des lois désuètes

 

Le cadre juridique censé nous protéger de la surveillance est désuet. La protection de la vie privée à l’encontre des activités de surveillance par les forces de police ou autres investigateurs à la solde d’entreprises ou d’individus demeure très limitée. La multiplication des dispositifs possédant un potentiel de surveillance n’a pas été accompagnée d’une mise à niveau conséquente des lois qui exigent des autorisations préalables avant de surveiller une personne.

À l’égard de plusieurs dispositifs, il n’est même pas certain qu’une autorisation judiciaire soit obligatoire afin de surveiller une personne. La supervision judiciaire devrait être adaptée de manière conséquente en fonction de la puissance des outils de surveillance auxquels les forces de l’ordre peuvent désormais recourir. Il faut renforcer l’exigence d’une évaluation indépendante du caractère raisonnable de la surveillance envisagée à l’égard d’un individu.

La surveillance privée, par les entreprises ou les employeurs, demeure encore exemptée des exigences d’autorisation préalable qui vont pourtant de soi lorsque ce sont des policiers qui demandent de mettre une personne sur écoute.

Les lois actuelles sur la protection des renseignements personnels tournent essentiellement autour de l’exigence du « consentement libre et éclairé ». Elles reflètent l’informatique qui prévalait dans le dernier quart du XXe siècle. À l’égard des activités en ligne ou se déroulant sur Internet, les lois actuelles réglementant la collecte des données personnelles se limitent en pratique à exiger le consentement des personnes. La plupart du temps, on se contente de vérifier si les gens ont « consenti ». Et de nos jours, consentir c’est simplement cliquer sur « j’accepte » ! Il faut passer à un paradigme différent.

Pour les objets connectés, dès lors qu’un fabricant nous informe de ce qu’il advient des informations collectées et que l’on consent, ses obligations se limitent pour l’essentiel à assurer la sécurité des données. Compte tenu de la généralisation des objets capables de capter et de transmettre des informations sur nos allées et venues, il faut aller plus loin et exiger de la transparence sur les gisements d’information de même que les échanges engendrés par ces connexions multiples.

Par-dessus tout, il faut penser la régulation de la protection de la vie privée en intervenant à l’étape de la fabrication et du commerce des objets techniques possédant des capacités d’intercepter les communications. Il ne suffit plus de se contenter d’exiger que les gens consentent. Il faut que les configurations mêmes des objets connectés soient régulées de façon à minimiser les risques d’intrusion dans les communications des autres.

Nous vivons désormais dans un monde d’intelligence ambiante : un grand nombre de nos gestes, même les plus triviaux peuvent produire des informations. Le droit des forces de l’ordre, des particuliers, des entreprises ou même des États étrangers de faire usage d’outils capables de capter ces informations doit être sérieusement balisé.