S’épuiser à faire consentir des individus

Le rapport de l’enquête menée par le Commissaire à la vie privée du Canada et celui de la Colombie-Britannique rendu public jeudi dernier révèle la légèreté avec laquelle Facebook considère la protection de la vie privée des internautes. Mais il en dit encore plus sur la désuétude des lois braquées sur des exigences de consentements individuels, alors que les enjeux du monde connecté concernent surtout la collectivité.

Essentiellement, l’enquête a montré que Facebook n’avait pas obtenu le consentement des usagers avant de laisser circuler un ensemble de renseignements personnels. On a confirmé qu’elle s’en remettait aux entreprises tierces responsables des applications utilisant des renseignements personnels pour obtenir le consentement des usagers aux fins de ses communications à ces applications. Les Commissaires reprochent à Facebook son incapacité à prouver qu’un consentement valable avait été obtenu des usagers pour les différentes fins, y compris possiblement, l’utilisation à des fins politiques.

De même, Facebook n’a pas obtenu le consentement valable des amis des usagers-installateurs. Elle s’en est plutôt tenue, dans ses communications au sujet de la confidentialité, à un langage trop général et contradictoire manifestement insuffisant pour permettre aux usagers d’exprimer un consentement valable. Le consentement et les explications étaient présentés aux usagers au moment de l’inscription, et concernaient les communications pouvant se produire des années plus tard, au profit d’applications inconnues et à des fins inconnues. L’enquête a également révélé que Facebook s’en remettait à des tiers pour obtenir un consentement au nom de chacun de leurs amis, parfois par centaines, afin de communiquer les renseignements de ces amis à une application, même si les amis en question n’étaient pas au courant de la communication. On a aussi constaté des carences dans la sécurisation des renseignements personnels des usagers.

Visions différentes

Pour l’essentiel, on reproche à Facebook de n’avoir pas suffisamment informé les usagers sur ses pratiques de partage des données personnelles. L’entreprise répond qu’elle a mis à la disposition de ses abonnés et de ses partenaires différents dispositifs permettant aux usagers de « gérer » les paramètres en vertu desquels les informations pouvaient ou non être transmises à des tiers. Pour Facebook, c’est aux usagers qu’il incombe de choisir les configurations procurant le niveau de protection qu’ils recherchent. De leur côté, les autorités publiques chargées de la protection des renseignements personnels jugent que l’entreprise est la première responsable d’assurer la protection des renseignements de ses usagers.

Lois dépassées

Mais ce que l’enquête illustre par-dessus tout, ce sont les carences des législations sur la protection de la vie privée. Selon les lois actuelles, ce qui peut être reproché à Facebook est essentiellement de ne pas s’être assuré que les usagers avaient exprimé un consentement « éclairé » aux partages d’informations qui constituent le pain et le beurre du réseau social. Autrement dit, dès lors que Facebook aura installé les multiples interfaces et fenêtres dans lesquelles les usagers seront invités à cocher « j’accepte », elle pourra se prétendre en règle avec les lois canadiennes !

C’est à ce niveau que les lois actuelles sont déficientes. Elles font fi de l’impossibilité de faire reposer sur le consentement des individus ce qui relève fondamentalement des pratiques d’affaires d’une entreprise. Le mieux que l’on puisse espérer avec les législations actuelles, c’est que Facebook interpose encore plus de fenêtres de dialogue sur nos écrans exposant en long et en large les innombrables possibilités de ce qu’il peut advenir des informations dans le contexte de l’exploitation d’un réseau social. Est-ce que la multiplication des demandes de cliquer « j’accepte » présentées à l’usager va assurer les équilibres nécessaires afin de protéger la vie privée et les autres intérêts de la société ?

C’est au niveau des pratiques des entreprises qui génèrent de la valeur à partir des données qu’il faut positionner les législations. Les lois actuelles reposent plutôt sur la fiction qu’il revient aux individus de consentir ou non à ce qu’on fait des données. C’est comme si on exigeait des entreprises qui émettent des polluants dans l’atmosphère de demander à leurs clients individus s’ils « consentent » à ce que l’air qu’ils viennent de respirer puisse être « utilisé » en y ajoutant des substances polluantes !

Les lois que cherchent à appliquer les Commissaires à la vie privée postulent que la répartition de la valeur que recèlent les données est une affaire de « consentement libre et éclairé » des individus. Or, le fonctionnement des entreprises valorisant des données concerne des enjeux interpellant la collectivité. Les enjeux vont bien au-delà de la relation entre un « consommateur libre de consentir » et une entreprise qui jure qu’elle a à coeur son bien-être. C’est en cela que les lois sur les données personnelles sont dépassées.

À voir en vidéo