Toujours pertinente, en 2022, la protection des données personnelles?
- UdeMNouvelles
Le 27 janvier 2022
- Stéphanie Deschamps
Le 28 janvier, l’Université de Montréal soulignera la Journée internationale des données personnelles.
Assistant personnel intelligent, téléphone cellulaire, montre connectée, télétravail et achats en ligne… Dans une ère où la technologie envahit notre quotidien et où son usage est monnaie courante, est-il toujours pertinent de parler des enjeux relatifs à l’utilisation des données personnelles? Comment, en tant qu’usagers et usagères, pouvons-nous agir afin de bien nous protéger? À l’occasion de la Journée internationale des données personnelles, qui aura lieu le 28 janvier, UdeMNouvelles a interrogé trois experts dans le domaine: Karim Benyekhlef, Nicolas Vermeys et Vincent Gautrais.
Pourquoi, 30 ans après la création d’Internet, est-il encore pertinent de parler de protection des données personnelles?
Karim Benyekhlef: Il est plus pertinent que jamais de se préoccuper de la protection des données personnelles, car nous savons maintenant qu’une partie essentielle de l’économie d’Internet repose sur une utilisation, voire une prédation, des données personnelles des usagers. Or, il importe de soumettre les plateformes aux plus hautes exigences quant à la protection de la vie privée informationnelle. Cette tâche est difficile et demande des ressources importantes au regard de la formidable taille des plateformes. Il revient aux législateurs, après 20 ans d’inaction, de se saisir de ces questions. Le Québec a d’ailleurs commencé avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Nicolas Vermeys: L’obligation d’assurer la protection des renseignements personnels de tiers n’est pas liée à une technologie en particulier. Elle existait d’ailleurs bien avant la création d’Internet, qui aura toutefois servi à conscientiser bien des gens à l’importance qu’on doit accorder à l’utilisation et au partage de ses propres renseignements. Par ailleurs, avec les avancées des dernières années dans le domaine de l’apprentissage automatique, de nouvelles préoccupations liées à l’utilisation des renseignements personnels ne viennent que confirmer le besoin d’établir un dialogue autour des mesures de protection et comportements à adopter en la matière.
Vincent Gautrais: Parce que le traitement des données n’est pas «neutre», technologiquement, et que le numérique accroît formidablement les risques associés aux données. Désormais, avec la sophistication des outils et l’industrialisation des données, nous n’avons plus le choix de devenir vigilants.
Quelle est la différence entre données personnelles et données sensibles?
K.B.: Les données sensibles sont des données personnelles qui révèlent des détails particulièrement intimes sur les personnes, par exemple les préférences sexuelles, l’orientation politique, l’appartenance syndicale, l’état de santé, etc. Ces données commandent une attention et, par conséquent, une protection plus importantes, car elles portent sur la personnalité intime des individus.
N.V.: Le renseignement personnel représente tout renseignement qui concerne une personne physique, donc vous et moi, et qui permet de la nommer. En vertu du droit québécois, un renseignement personnel sera également considéré comme sensible lorsque, «de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée».
V.G.: Les lois ont toujours catégorisé les données avec un degré de «risque de dommage» plus ou moins grand, c’est-à-dire les données personnelles et les données personnelles sensibles. Évidemment, les secondes bénéficient d’une protection accrue. Le problème est qu’avec le numérique même des données «anodines», lorsqu'elles sont couplées à d’autres, peuvent devenir sensibles. Il y a donc une complexification de la question.
À l’ère du tout numérique, comment pourrait-on définir le concept de confidentialité?
K.B.: La confidentialité est un élément constitutif de la protection des données, mais elle ne la définit pas. Il apparaît difficile dans le contexte numérique d’assurer la confidentialité de certaines informations. La protection des données personnelles constitue au premier chef une méthode d’administration et de gestion des données. Cette méthode vise à garantir un meilleur respect de la vie privée des individus et la confidentialité est un ingrédient de celle-ci.
N.V.: Le tout numérique n’a pas vraiment d’incidence sur le concept de confidentialité. La confidentialité demeure l’idée qu’une information, en l’occurrence un renseignement personnel, ne soit pas disponible pour une personne non autorisée à y accéder. Il viendra toutefois dicter l’adoption de mesures distinctes pour assurer la confidentialité des renseignements personnels détenus sous format numérique comme le chiffrement des données.
V.G.: C’est plus compliqué, puisque le numérique laisse des traces. Pour définir le concept de confidentialité, il faut le cerner en fonction des droits de la personne, globalement. La confidentialité doit de plus en plus être considérée comme ce qui peut porter atteinte à un individu.
Comment des organisations telle l’UdeM arrivent-elles à protéger les données personnelles? Quel est le rôle des individus dans cette protection?
K.B.: Une organisation a une responsabilité première en matière de protection des données personnelles, puisqu’elle en recueille dans l’accomplissement de ses tâches et missions. Elle doit donc prendre toutes les mesures utiles pour que cette cueillette et le stockage des données qui en découle bénéficient d’un haut degré de protection. C’est une obligation institutionnelle imposée entre autres par la loi. Quant à l’individu, il lui revient certes d’être prudent dans ses interactions informationnelles et d’informer son organisation dès qu’il constate ou présume sérieusement une atteinte à ses données. Mais la responsabilité première repose sur le détenteur des données collectées, à savoir l’organisation.
N.V.: La protection des renseignements personnels passe par plusieurs processus. Il s’agit principalement de limiter l’accès à ces renseignements aux seules personnes qui y ont droit par l’adoption à la fois de procédures telles que la Politique sur la protection des renseignements personnels de l’UdeM, de mesures techniques comme le chiffrement des données et des connexions, puis de moyens matériels, par exemple le verrouillage des salles des serveurs ou des tiroirs de classeurs. Quant aux individus, ils devront être vigilants et veiller à ce que les outils informatiques qu’ils utilisent offrent un niveau de sécurité adéquat pour leurs communications, notamment en installant les mises à jour et en protégeant leurs mots de passe.
V.G.: En gros, le processus de protection implique trois types d’acteurs: l’État, les détenteurs de données – que ce soit des entreprises, des ministères ou des universités – et l’individu. Les trois entrent en jeu et les trois ont un rôle à jouer. Les lois ont tendance à demander beaucoup aux détenteurs de données, qui doivent de plus en plus documenter leur manière de faire afin de s’assurer qu’ils gèrent les données avec diligence. Les lois en imposent aussi beaucoup aux individus, qui doivent garder le contrôle sur leurs données. Or, ce contrôle s’opère par un consentement qui est très souvent fictif, l’individu moyen n’étant généralement pas en mesure de comprendre l’usage qui est fait de ses propres données. Une protection de qualité commande un État fort qui exerce un contrôle fort avec des instances capables de faire respecter les règles. Et ce dernier point est loin d’être considéré en ce moment, en Occident, où, au contraire, même si nous tendons à imposer des sanctions plus lourdes, nous n’avons pas forcément d’instances capables de faire respecter les règles. Le respect de la vie privée demande de contrôler les entreprises et cela coûte cher.
Quel serait le meilleur conseil que vous pourriez donner au sujet de la protection des données personnelles?
K.B.: Il revient à chacun et chacune de faire preuve de discernement quand ils naviguent sur Internet en se dotant entre autres d’outils empêchant le pistage, en bloquant les cookies ou en les effaçant après la visite des sites, etc. Utiliser un fureteur comme Firefox et ses extensions constitue un premier pas pour assurer une meilleure protection de ses données personnelles.
N.V.: Dans les milieux de la sécurité de l’information, il est souvent indiqué que le renseignement le mieux protégé est celui qu’on ne possède pas. En d'autres mots, un tiers ne pourra pas perdre, partager ou utiliser à mauvais escient un renseignement personnel qui ne lui a pas été communiqué. Le meilleur conseil que je puisse vous donner est donc de limiter le partage de vos renseignements personnels et, lorsqu’un tel partage est incontournable, de vous renseigner sur l’utilisation projetée de vos renseignements. N’oublions pas que, en vertu du droit québécois et du droit canadien, nous devons consentir à toute utilisation de nos renseignements personnels…
V.G.: Débrancher pour ne pas trop produire de données. Cuisiner, faire du sport ou lire de la poésie!
Protection des renseignements personnels à l’UdeM
La protection des renseignements personnels à l’Université de Montréal est encadrée par la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Cette loi établit le caractère confidentiel des renseignements personnels et en régit la collecte, l’utilisation, la communication et la conservation. La Loi s’applique aux renseignements personnels quel qu’en soit le support. Elle précise aussi les modalités de l'accès à l'information.
L’Université entreprend des travaux pour se conformer aux nouvelles exigences de la Loi, dont la mise en place d'un programme de gestion et de protection des renseignements personnels.
Dans le cadre de sa stratégie numérique, l’UdeM met en œuvre plusieurs initiatives concernant la protection des renseignements personnels, notamment par l’intermédiaire de la Table de travail sur la gestion des données de recherche et du Comité de gouvernance des données opérationnelles.
Pour plus d’informations à ce sujet, consultez le site du Secrétariat général, la Politique sur la protection des renseignements personnels et suivez la formation à l'intention des membres du personnel disponible sur StudiUM.