Pour protéger la vie privée en ligne, il faut d’abord s’attaquer à la « résignation numérique »
Des montres intelligentes aux applications de méditation, en passant par les assistants numériques et les plates-formes de médias sociaux, nous utilisons la technologie au quotidien. Et certains de ces outils technologiques sont aujourd’hui indispensables à notre vie sociale et professionnelle.
En échange d’un accès à leurs produits et services numériques, de nombreuses entreprises technologiques recueillent et utilisent nos renseignements personnels, dans le but de prédire et d’influencer nos comportements futurs. Ce capitalisme de surveillance peut prendre la forme d’algorithmes de recommandation, de publicités ciblées et d’expériences personnalisées.
Les entreprises technologiques affirment que ces avantages améliorent l’expérience des utilisatrices et des utilisateurs. Toutefois, la grande majorité des consommatrices et consommateurs déplorent ces pratiques, surtout après avoir compris comment se fait la collecte de leurs données.
« Résignation numérique »
Le public est insuffisamment informé sur la façon dont les données sont recueillies. La recherche démontre que les entreprises cultivent le sentiment de résignation et exploitent ce manque de connaissances pour normaliser la pratique consistant à maximiser la quantité de données recueillies.
Le scandale Cambridge Analytica et les révélations d’Edward Snowden sur la surveillance gouvernementale de masse ont levé le voile sur les pratiques de collecte de données. Cependant, les gens sont restés impuissants et résignés devant ces méthodes qui se font sans leur consentement explicite. C’est ce qu’on appelle « la résignation numérique ».
Si la collecte et l’utilisation des données personnelles font l’objet de nombreuses discussions, le modus operandi des entreprises technologiques est, en revanche, peu évoqué.
Comme le démontre notre recherche, les entreprises technologiques utilisent un éventail de stratégies pour se décharger de leur responsabilité liée à la protection de la vie privée, neutraliser les critiques et empêcher l’adoption de mesures législatives. Ces stratégies sont pensées pour limiter la capacité de la population à faire des choix éclairés.
Les élus et les législateurs, tout comme les entreprises, doivent reconnaître et baliser ces stratégies. Il ne sera pas possible d’amener les entreprises à assumer leurs responsabilités en matière de protection de la vie privée en s’attaquant uniquement à la collecte et à l’utilisation des données.
L’omniprésence des violations de la vie privée
Dans leur étude sur les industries nocives comme celles du tabac et de l’exploitation minière, Peter Benson et Stuart Kirsch ont montré que les entreprises appliquaient des stratégies de négation, de déviation et d’action symbolique pour échapper aux critiques et empêcher l’adoption de mesures législatives.
Notre étude indique que de telles stratégies sont également employées dans le secteur des technologies. Facebook nie et rejette depuis longtemps sa responsabilité en ce qui concerne la protection de la vie privée, en dépit des multiples scandales et critiques.
Pour sa part, Amazon a été sévèrement condamnée pour avoir fourni des enregistrements vidéo de caméras de sécurité Ring à la police, qui n’avait pas de mandat, sans le consentement de la cliente ou du client, ce qui a suscité de vives préoccupations liées aux droits civiques. L’entreprise a également créé une émission de téléréalité utilisant les images des caméras de sécurité Ring.
Les fonctionnaires des gouvernements du Canada et des États-Unis se sont récemment vu interdire de télécharger TikTok sur leurs appareils en raison d’un risque « inacceptable » pour la vie privée. TikTok s’est lancée dans une mise en scène élaborée d’actions symboliques suivant l’ouverture de son Centre de transparence et de responsabilité. Ce cycle de négation, de déviation et d’action symbolique normalise les violations de la vie privée et alimente le cynisme, la résignation et le désengagement.
La loi québécoise
Les technologies s’infiltrent dans tous les aspects de notre quotidien. Or, il est difficile, voire impossible, d’obtenir le consentement éclairé d’une personne qui n’est ni motivée, ni suffisamment informée pour lire et comprendre des modalités pensées pour semer la confusion.
L’Union européenne a récemment adopté des lois qui reconnaissent ces dynamiques de marché néfastes et a commencé à tenir les plates-formes et les entreprises technologiques responsables de leurs actes.
Le Québec a récemment révisé ses lois sur la protection de la vie privée en adoptant la loi 25. Cette loi vise à offrir aux citoyennes et citoyens une protection et un contrôle accrus de leurs renseignements personnels. Elle leur donne entre autres la possibilité de demander que leurs renseignements personnels soient transférés dans un autre système, de les corriger ou de les supprimer (droit à l’oubli), ainsi que le droit d’être informés de toute décision les concernant prise de manière automatisée.
La loi oblige également les organisations à désigner une ou un responsable de la protection de la vie privée et à former un comité de protection de la vie privée. Les organisations sont aussi tenues d’effectuer des évaluations des incidences sur la vie privée lors de tout projet touchant les données personnelles. Les modalités et les politiques doivent en outre être communiquées de manière claire et transparente, et le consentement doit être obtenu de manière explicite.
Au fédéral, le gouvernement a déposé le projet de loi C-27 sur la mise en œuvre de la Charte numérique, qui est actuellement examiné par la Chambre des communes. Ce projet de loi présente de nombreuses similitudes avec la loi 25 du Québec, mais il comprend en outre des mesures visant à réglementer certaines technologies, telles que les systèmes d’intelligence artificielle.
Comme nos conclusions le soulignent, il est urgent d’améliorer la littératie numérique concernant la protection de la vie privée. Il faut aussi une réglementation plus stricte qui ne se limite pas à encadrer ce qui est autorisé, mais qui permet de surveiller les entreprises et de les rendre responsables lorsqu’elles portent atteinte à la vie privée des gens. Cela garantirait un consentement éclairé à la collecte de données et découragerait les violations. Voici nos recommandations :
1) Les entreprises technologiques devraient explicitement préciser quelles données personnelles seront recueillies et utilisées. Seules les données essentielles devraient être recueillies, et la clientèle devrait pouvoir refuser la collecte de données non essentielles. Ce principe est similaire à celui du règlement général sur la protection des données de l’Union européenne, qui exige le consentement de l’utilisatrice ou l’utilisateur avant toute utilisation des témoins non essentiels. Il cadre aussi avec le principe de la fonction de transparence du suivi par les applications d’Apple, qui permet d’empêcher les applications de suivre les activités.
2) La réglementation en matière de protection de la vie privée devrait tenir compte de l’utilisation endémique de pratiques trompeuses visant à influencer les comportements, par exemple en contraignant une personne à donner son consentement, et l’empêcher. Ces pratiques consistent entre autres à utiliser des éléments de conception, un langage ou des mécanismes rendant difficile le refus de témoins non essentiels ou encore à mettre en évidence le bouton permettant de fournir davantage de données personnelles par rapport au bouton de refus.
3) Les organismes de contrôle de la protection de la vie privée tels que le Commissariat à la protection de la vie privée du Canada devraient être totalement indépendants et autorisés à enquêter et à faire appliquer la réglementation en matière de protection de la vie privée.
4) Les lois sur la protection de la vie privée, comme celle du Québec, obligent les organisations à nommer une ou un responsable de la protection de la vie privée, mais cette personne devrait être totalement indépendante et avoir le pouvoir de faire respecter les lois en la matière pour pouvoir contribuer à une meilleure responsabilisation.
5) Les responsables des politiques devraient moderniser plus promptement les lois afin de les adapter aux progrès rapides de la technologie numérique.
6) Enfin, les sanctions pour non-respect de la loi sont souvent dérisoires par rapport aux profits réalisés par l’utilisation abusive des données, et aux préjudices sociaux que ces pratiques engendrent. Par exemple, la Federal Trade Commission (FTC) des États-Unis a imposé une pénalité de 5 milliards de dollars à Facebook (5.8 % de ses produits d’exploitation annuels de 2020) pour son rôle dans le scandale Cambridge Analytica.
Bien que cette amende soit la plus élevée jamais infligée par la FTC, elle n’est pas représentative des répercussions sociales et politiques du scandale et de son influence sur des événements politiques clés. Dans certains cas, il est plus rentable pour une entreprise de payer stratégiquement une amende pour non-conformité que de prendre les mesures qui s’imposent.
Pour que les géants de la technologie assument leurs responsabilités à l’égard des données de leurs utilisatrices et utilisateurs, le coût de la violation de la vie privée doit l’emporter sur les profits potentiels découlant de l’exploitation de ces données.
La version originale de cet article a été publiée sur La Conversation, un site d'actualités à but non lucratif dédié au partage d'idées entre experts universitaires et grand public.
Lire la suite: