Répondre aux atteintes à la réputation en ligne en comblant les lacunes dans la politique de protection de la vie privée fondée sur des avis et des choix

Jonathan A. Obar (L'Institut universitaire de technologie de l'Ontario/Michigan State University)

Août 2016

Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur la réputation en ligne.

Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page d’Avis importants.

Le présent document constitue un bref résumé de mes recherches publiées et en cours sur les stratégies pratiques pour répondre aux atteintes à la réputation en ligne. Afin de prendre connaissance de mon travail dans le domaine, vous pouvez examiner un extrait tiré de l’article intitulé « Big Data and the Phantom Public: Walter Lippmann and the Fallacy of Data Privacy Self-Management », publié dans la revue savante Big Data and Society (en anglais seulement). Le contenu de ce résumé et l’extrait susmentionné se rapportent à la question suivante, posée par le Commissariat à la protection de la vie privée du Canada (le Commissariat) : Quelles solutions pratiques, techniques, stratégiques ou juridiques faudrait il envisager pour atténuer les risques d’atteinte à la réputation en ligne?

En parlant de la Loi sur la protection des renseignements personnels et les documents électroniques en 2013, Jennifer Stoddart, alors commissaire à la protection de la vie privée du Canada, a fait le commentaire suivant : « Il m’apparaît de plus en plus clairement que la loi ne permet pas de relever les défis d’aujourd’hui — et encore moins ceux de demain^{Note de bas de page 1}. » Le document mentionné ci dessus aborde ces préoccupations; j’y présente ce que j’appelle l’« idée fallacieuse de l’autogestion de la confidentialité des données ». Le concept est celui d’un idéal inatteignable néanmoins perpétué par les gouvernements, dont le gouvernement du Canada, qui s’accroche à une politique de protection de la vie privée inadéquate fondée sur des avis et des choix. Cet idéal ammène (erronément) à penser que les citoyens numériques ont le temps, les ressources et la capacité de lire et de comprendre toutes les politiques sur la protection de la vie privée et les conditions d’utilisation qui portent sur leurs activités (avis), de consentir aux conditions ainsi énoncées et de consulter, d’examiner, d’évaluer et de gérer une mosaïque très vaste et en constante évolution de produits et services de données volumineuses, offerts dans l’ensemble de l’économie mondiale et de plus en plus liés aux décisions en matière d’admissibilité (choix)^{Note de bas de page 2}. La transparence comporte bien son lot de difficultés, telles qu’elles sont mentionnées dans le document de travail du Commissariat^{Note de bas de page 3} et démontrées dans la recherche (financée par le Commissariat) que j’ai menée conjointement avec Andrew Clement sur la transparence des fournisseurs de services Internet canadiens^{Note de bas de page 4}. La question consiste à savoir ce qui se produit une fois que l’on a accès à toutes les politiques sur la protection de la vie privée et les conditions d’utilisation pertinentes ainsi qu’à tous les produits de données, même ceux qui sont voilés par des courtiers en données.

L’analyse quantitative sous la forme d’une enquête (523 répondants) que j’ai récemment menée en compagnie d’Anne Oeldorf Hirsch donne un aperçu empirique des défis dont il est question. L’étude évalue la mesure dans laquelle les personnes font fi des politiques sur la protection de la vie privée et des conditions d’utilisation des services de réseautage social. Dans le cadre de l’analyse, nous avons entre autres réalisé une évaluation initiale de l’interaction des participants avec les politiques d’un faux site de réseautage social, créé par les chercheurs et appelé « NameDrop ». Selon la vitesse de lecture moyenne des adultes (de 200 à 300 mots à la minute), il aurait normalement fallu de 26 à 40 minutes pour lire la politique sur la protection de la vie privée, et de 14 à 22 minutes pour lire les conditions d’utilisation. Les résultats montrent que 74 % des participants ont, selon toute vraisemblance, tout simplement fait abstraction de la politique sur la protection de la vie privée et ont sélectionné l’option d’adhésion rapide (que l’on trouve communément dans de tels sites). Ceux qui ont lu la politique y ont consacré en moyenne 73 secondes; certains n’ont lu que pendant 3 secondes. De même, en moyenne, les participants qui ont lu les conditions d’utilisation l’ont fait pendant 51 secondes, la médiane s’établissant à 14 secondes.

À l’instar de l’adoption d’une politique fondée sur des avis et des choix, la transparence constitue un excellent point de départ; il n’est toutefois vraiment pas souhaitable qu’il s’agisse là des seules mesures prises. Elles ne donnent rien de plus aux citoyens numériques qu’une vaine promesse de protection et une possibilité irréaliste d’autogestion de la confidentialité des données, en plus de leur laisser « trop de devoirs », pour emprunter l’analogie employée par Daniel Solove^{Note de bas de page 5}. Il convient de reconnaître que le Commissariat procède de la bonne façon en mettant un accent particulier sur les atteintes à la réputation en ligne touchant spécifiquement les enfants. Si la politique actuelle ne permet pas encore aux adultes de gérer eux mêmes la confidentialité de leurs données, on peut penser que la situation est encore plus difficile pour ce qui est des enfants; c’est pourquoi il convient d’insister davantage sur l’importance de dénoncer le caractère incomplet de l’idéal inatteignable.

Pour nous permettre d’aller de l’avant, je recommande trois stratégies :

la reconnaissance, par les décideurs, que les avis et les choix sont un excellent point de départ, mais un aboutissement irréaliste si nous souhaitons, en ce qui a trait à la réputation numérique en ligne, obtenir un jour des résultats qui habilitent et protègent les citoyens numériques;
la mise au point et le soutien de services de gestion de données représentatifs, qui agiraient comme infomédiaires afin de permettre aux citoyens numériques de déléguer cette responsabilité de gestion dans le cadre d’une relation mandant mandataire. Il conviendrait de tirer des connaissances des services actuellement offerts dans le secteur financier (p. ex. Lifelock) et de ceux ciblant les étudiants universitaires faisant leur entrée sur le marché de l’emploi (p. ex. Rep’nUp), entre autres;
l’utilisation de la philosophie de réglementation élaborée par Rawls et Sen^{Note de bas de page 6} afin de favoriser la mise en place d’une forme de justice dans le domaine des données. Cela nécessiterait l’élaboration de politiques pour veiller à ce que les services de gestion de données soient représentatifs et à ce qu’ils ciblent les communautés les plus susceptibles de faire l’objet d’une discrimination s’appuyant sur les données volumineuses.

Je mène actuellement des recherches dans chacun de ces domaines et je serais très heureux de donner accès à mes documents de travail et à mes rapports publiés pour les besoins de vos délibérations.

J’ai lu et compris les procédures de consultation. Ces commentaires s’adressent à la fois au Commissariat et au gouvernement fédéral.

Merci de votre collaboration.

Cordialement,

(La version originale a été signée par)

Jonathan A. Obar, P
Professeur adjoint, L'Institut universitaire de technologie de l'Ontario
Associé de recherche, Quello Centre for Telecommunications Management and Law, Michigan State University

Résumé

OBAR, J.A. « Big Data and the Phantom Public: Walter Lippmann and the fallacy of data privacy self-management », Big data and society (en anglais seulement), 2015, volume 2, numéro 2, p. 1-16.

En 1927, Walter Lippmann publia Le public fantôme, dans lequel il dénonçait ce qu’il appelait le « sophisme mystique de la démocratie ». Déplorant les modèles démocratiques romantiques qui privilégient l’autonomie, il écrivit : « Et je n'ai jamais rencontré personne, du président des États-Unis à un professeur de science politique, qui soit parvenu à incarner, même partiellement, l'idéal admis d'un citoyen omni-compétent et souverain ». Près de 90 ans plus tard, le pragmatisme de Lippmann est aussi pertinent que jamais et devrait être appliqué dans les nouveaux contextes s’accompagnant de préoccupations semblables relatives à l’autogestion. C’est exactement ce que je fais dans le présent document; je réoriente l’argument de Lippmann dans le contexte du débat actuel au sujet du rôle du citoyen numérique dans la gestion des données volumineuses. On soutient que les instruments mis de l’avant par la Commission fédérale du commerce, la Maison Blanche et le Congrès des États Unis, qui défendent une politique de protection de la vie privée inadéquate fondée sur des avis et des choix, perpétuent une idée fallacieuse en matière d’autonomie, qui se compare à ce dont parlait Lippmann et à ce que j’appelle ici l’« idée fallacieuse de l’autogestion de la confidentialité des données ». Même si le citoyen numérique possédait les facultés et le système lui permettant de gérer lui même la confidentialité de ses données, il n’aurait pas suffisamment de temps pour assurer la gouvernance de celles ci. Nous désirons avoir la liberté nécessaire pour poursuivre les objectifs associés à la production numérique, sans toutefois être encombrés par les moyens utilisés. Nous voulons la confidentialité et la sûreté, mais nous ne pouvons prendre toutes les mesures de protection nécessaires. S’il est vrai que le sophisme de la démocratie est semblable à l’idée fallacieuse de l’autogestion de la confidentialité des données, la solution pragmatique serait peut être la gestion représentative des données, qui consiste en une gestion des dossiers numériques sans but lucratif par l’entremise d’infomédiaires qui sont en mesure de garantir la protection des données personnelles. Cela libérerait du même coup les particuliers du fardeau de ce que Lippmann appelait l’« idéal inaccessible ».

Notes

Note de bas de page 1

CPVP (2013). Communiqué : Des mesures plus vigoureuses sont nécessaires pour relever les nouveaux défis liés à la protection de la vie privée des Canadiens.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Voici certaines recherches universitaires qui soutiennent ces affirmations : Solove, D.J. (2012). Introduction: Privacy self-management and the consent dilemma. Harvard law review, 126, 1880-1903; McDonald, A.M. et Cranor, L.F. (2008). The cost of reading privacy policies. I/S: A journal of law and policy, 4(3), pp. 540-565; Reidenberg et al. (2014). Disagreeable privacy policies: Mismatches between meaning and users’ understanding. Document de recherche sur les études juridiques de la Fordham Law Review.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

CPVP (2016). Réputation en ligne Que dit-on à mon sujet?

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Clement, A. et Obar, J.A. (2015). Keeping internet users in the know or in the dark? Data privacy transparency of Canadian internet carriers (en anglais seulement).

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Sujet développé dans : Solove, D.J. (2012). Introduction: Privacy self-management and the consent dilemma. Harvard law review, 126, 1880-1903.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Pour un exemple de cette approche en matière de gouvernance d’Internet : Schejter, A. M., et Tirosh, N. (2015). « Seek the meek, seek the just »: Social media and social justice. Telecommunications Policy, 39(9), 796-803.

Retour à la référence de la note de bas de page 6

Date de modification :: 2016-08-31

Sélection de la langue

Recherche et menus

Recherche

Répondre aux atteintes à la réputation en ligne en comblant les lacunes dans la politique de protection de la vie privée fondée sur des avis et des choix

Résumé