La protection de la vie privée à l’ère des « mégadonnées » : Réponse au document de discussion du Commissariat à la protection de la vie privée sur « le consentement et la protection de la vie privée »
Colin J. Bennett (Université de Victoria)
Octobre 2016
Remarque : Ce document a été présenté par les auteurs ou auteures au Commissariat à la protection de la vie privée du Canada dans le cadre de la consultation sur le consentement en vertu de la LPRPDE.
Avertissement : Les opinions exprimées dans ce document sont celles des auteurs ou auteures et ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada. Comme ce mémoire a été fourni par une entité non assujettie à la Loi sur les langues officielles, il a été traduit de sa langue d’origine par le Commissariat à titre indicatif. En cas de divergence, veuillez consulter la version anglaise. Pour plus d’information sur la politique du Commissariat sur l’offre de contenu dans les deux langues officielles, vous pouvez consulter la page d’Avis importants.
Sommaire
Le document de discussion intitulé « Consentement et protection de la vie privée » soulève un certain nombre de questions au sujet du « modèle de consentement » sur lequel repose la Loi sur la protection des renseignements personnels et les documents électroniques. Les pressions exercées sur ce modèle sont plus importantes que jamais à la suite de ce que certains ont qualifié de révolution des « mégadonnées ». J’aimerais offrir certaines réflexions sur la révolution des mégadonnées en réponse à l’analyse figurant dans le document (p. 7‑9). Nous devons distinguer la réalité du battage afin de bien comprendre la nature de la remise en question du modèle de consentement traditionnel.
Ma position générale sur les questions soulevées dans le document est la suivante : 1) le consentement est, et doit demeurer, la pierre angulaire de toute politique sur la protection de la vie privée; 2) le système exige la mise en œuvre de tous les instruments éventuels de protection de la vie privée dans la trousse d’outils (réglementation, autoréglementation et technologie). Voilà le message au cœur de mon livre cosigné de 2006 intitulé « The Governance of Privacy » (la gouvernance de la protection de la vie privée) [Bennett et Raab, 2006]. Il est évident que, pour assurer la protection de la vie privée au Canada, il faut des politiques sur la protection de la vie privée de meilleure qualité et plus transparentes qui s’appliquent à tous les services; des exigences implicites et délibérées en matière de protection de la vie privée; une meilleure anonymisation et de meilleures normes en la matière; un soutien à l’égard des cadres de gestion de la protection de la vie privée et de la responsabilisation connexe; une utilisation à meilleur escient des codes de pratique, des normes techniques et des marques de confiance garantissant la protection de la vie privée. Ces mesures sont toutes nécessaires et aucune n’est suffisante. Je suis également persuadé qu’il faut renforcer les pouvoirs en matière d’application du commissaire.
Toutefois, pour ce qui est de la présente réponse, je souhaite mettre l’accent sur les questions abordées à la section sur les évaluations éthiques (p. 27‑28), et examiner les façons dont nous pourrions améliorer les évaluations des facteurs relatifs à la vie privée (EFVP) et en élargir la portée afin de tenir compte des nombreux risques découlant de l’analytique des mégadonnées. La réponse est adaptée d’un récent chapitre produit pour les besoins d’un rapport dans les Pays‑Bas (Bennett et Bayley, 2016).
Il existe déjà un nombre considérable d’ouvrages sur les EFVP, de même que sur l’élaboration et la mise en œuvre de celles‑ci dans différents pays (Wright et de Hert, 2012). Les EFVP sont maintenant institutionnalisées aux termes de nombreux régimes de protection des données et deviendront, dans certains contextes, obligatoires en vertu du nouveau règlement général sur la protection des données de l’Union européenne (Union européenne, 2016). Cependant, dans l’ensemble, ces méthodes ont été élaborées avant l’apparition des défis posés par l’analytique des mégadonnées, et ont tendance à ne pas intégrer les évaluations des conséquences discriminatoires générales de ces pratiques.
Faut‑il réviser les méthodes existantes relatives aux EFVP afin de permettre l’évaluation des risques dans le contexte des mégadonnées? Quels outils pourraient être élaborés pour évaluer les risques sociaux généraux de la surveillance excessive et de la discrimination catégorique? Il existe des propositions relatives à des évaluations des répercussions de la surveillance (Wright et Raab, 2012), ainsi qu’à des cadres éthiques plus unifiés, élaborés en vue d’orienter les scientifiques qui analysent les données (Information Accountability Foundation, 2014; 2015). Dans le document, les auteurs cherchent à savoir si l’intégration de méthodes d’EFVP existantes à un cadre éthique général constitue une condition essentielle à la migration des risques individuels et sociaux dans cette nouvelle ère d’analytique des mégadonnées.
Enfin, quelles sont les autres solutions proposées en matière de réglementation, aujourd’hui et par le passé, pouvant offrir diverses façons de permettre l’analytique de mégadonnées, et parallèlement, de protéger le droit individuel à la vie privée? Est‑il réellement nécessaire d’abandonner le principe essentiel du droit relatif à la protection de la vie privée et la philosophie connexe afin d’exploiter le plein potentiel de l’analytique des mégadonnées? Je ne le crois pas. Au contraire, je soutiens que le débat actuel a tendance à reposer sur une fausse dichotomie et une mauvaise compréhension fondamentale de la théorie de la confidentialité des renseignements qui se sont établies il y a 40 ans, ainsi que sur les politiques en matière de protection des données qui en ont découlé (Bennett, 1992).
La version intégrale est disponible dans les langues suivantes :
Remarque : Comme ce mémoire a été soumis par une entité non assujettie à la Loi sur les langues officielles, la version intégrale n’est disponible que dans la langue dans laquelle il a été rédigé.
- Date de modification :