La ministre de la Justice du Québec, Sonia LeBel, est en train de préparer un projet de loi afin de mettre à niveau la législation sur la protection des renseignements personnels. Fanny Lévesque rapportait récemment dans La Presse + que « La loi va redonner [au citoyen] le contrôle de sa donnée ». Cela n’a rien de rassurant. Ces lois fondées sur la fiction du prétendu contrôle des individus sur leurs données ont surtout facilité l’accaparement par les géants du Web de la valeur des données produites dans le monde connecté.

On rapporte régulièrement des incidents qui laissent craindre pour la sécurité des données personnelles de chacun d’entre nous. Il urge de renforcer les obligations des entreprises et des organismes publics au sujet de la sécurité et de la confidentialité des renseignements personnels. Mais le monde connecté carbure désormais aux données. Si les données nécessaires pour assurer la plupart des prestations individuelles qui s’effectuent par le réseau concernent au premier chef les individus, les mouvements de tout un chacun engendrent la production de données qu’il est désormais possible de calculer afin de déduire toutes sortes d’informations. Par exemple, les applications de type Google Maps ou Waze compilent le nombre de téléphones portables présents dans un lieu spécifique afin de détecter des embouteillages. En somme, les enjeux des données relatives aux personnes sont à la fois individuels et collectifs.

Les urgences et les écueils

 

Il est urgent de renforcer les exigences de sécurité à l’égard des données personnelles. Outre les obligations d’informer promptement sur les incidents susceptibles de mettre en péril les données d’individus, les lois doivent augmenter les sanctions associées à la nonchalance que les organisations sont tentées de pratiquer à l’égard des renseignements personnels. Mais le pire écueil serait de se contenter de reconduire les approches des vieilles lois sur la protection des renseignements personnels. Même dans leur version européenne botoxée, ces lois passent à côté des enjeux réels associés à la valorisation des informations produites dans le monde connecté.

Les lois ne peuvent plus reposer sur la fiction que c’est l’individu qui aurait le « contrôle » de ses données. Une telle conception a donné lieu à un cadre juridique dysfonctionnel qui, dans le monde hyperconnecté, ne protège personne. Prenons un exemple pour illustrer l’insignifiance de ces lois désuètes. Pour se conformer à ces lois, la plupart des sites Web interposent à tout bout de champ une mention selon laquelle ils font usage de témoins (cookies) afin de compiler des informations sur ce que l’internaute fait lorsqu’il est en ligne. Cela se traduit par ces demandes répétées de cliquer « j’accepte ». Voilà comment on prétend nous donner le « contrôle » de nos données ! C’est un procédé qui passe complètement à côté des enjeux actuels et prévisibles associés à la collecte et à la valorisation des données. Avec ce type de lois braquées sur le « consentement », notre seul véritable droit est de consentir ou non dans un contexte où tout est « à prendre ou à laisser ». Hormis des obligations de surmultiplier les mentions et « conditions d’utilisation », les lois n’imposent pratiquement pas d’exigences de transparence et de reddition de comptes quant à la façon dont les entreprises génèrent de la valeur avec les données de tout un chacun. Prétendre « donner » à l’individu le « contrôle » sur ses données en obligeant les entreprises à interposer à tout bout de champ des demandes de cliquer « j’accepte », c’est perpétuer un régime juridique qui permet l’expropriation, au profit des seules entreprises, de la valeur des données produite par les multiples mouvements qui surviennent dans le monde connecté.

Les vrais enjeux

 

Si on veut vraiment moderniser la protection des renseignements personnels, il faut prévoir des mesures afin de baliser les multiples processus par lesquels les données sont compilées afin de générer de la valeur. Par exemple, la plupart des fournisseurs de plateformes en ligne fonctionnent selon un modèle d’affaires fondé sur la capacité de recueillir, de compiler et d’analyser des mégadonnées (big data). C’est par la compilation de ces mégadonnées qu’ils produisent de la valeur, notamment en prédisant les désirs et les actions des individus et en valorisant ces déductions sur les marchés publicitaires.

Les lois naïves prétendant protéger les renseignements personnels ont à ce jour permis aux grandes entreprises de photographier nos habitats, de suivre nos parcours, d’enregistrer notre navigation Internet, de scruter nos achats, d’analyser nos agendas, de stocker nos photos, de détecter nos humeurs, de fouiller nos bibliothèques, de sonder notre état de santé, de recenser nos amis. Surtout, les procédés de traitement fondés sur les mégadonnées, les algorithmes et l’intelligence artificielle sont désormais un ingrédient crucial de plusieurs processus de décision. Le cadre juridique actuel fixé sur le consentement individuel laisse libre cours aux pratiques discriminatoires. Par exemple, des entreprises ont recours à des systèmes de détermination « dynamiques » des prix (les prix varient au fil des activités décelées sur un site). Si on veut vraiment protéger les citoyens, il faut que les lois imposent des exigences de transparence et de responsabilisation à ceux qui utilisent de tels procédés. Alourdir les obligations d’obtenir les consentements individuels sans augmenter les exigences de responsabilisation à l’égard des processus de décision des entreprises, c’est passer à côté des véritables enjeux.

Les pratiques fondées sur la valorisation des données concernent au premier chef la collectivité. On ne peut encadrer ces pratiques par les seules formalités de consentement individuel. Le temps n’est plus à encombrer les lois de ces obligations insignifiantes censées assurer un fictif « contrôle » individuel. L’enjeu est plutôt d’assurer la responsabilisation et la transparence de ceux qui valorisent les données émanant désormais de tout ce qui est connecté.