Toujours pertinente, en 2022, la protection des données personnelles?

Karim Benyekhlef: Il est plus pertinent que jamais de se préoccuper de la protection des données personnelles, car nous savons maintenant qu’une partie essentielle de l’économie d’Internet repose sur une utilisation, voire une prédation, des données personnelles des usagers. Or, il importe de soumettre les plateformes aux plus hautes exigences quant à la protection de la vie privée informationnelle. Cette tâche est difficile et demande des ressources importantes au regard de la formidable taille des plateformes. Il revient aux législateurs, après 20 ans d’inaction, de se saisir de ces questions. Le Québec a d’ailleurs commencé avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

Nicolas Vermeys: L’obligation d’assurer la protection des renseignements personnels de tiers n’est pas liée à une technologie en particulier. Elle existait d’ailleurs bien avant la création d’Internet, qui aura toutefois servi à conscientiser bien des gens à l’importance qu’on doit accorder à l’utilisation et au partage de ses propres renseignements. Par ailleurs, avec les avancées des dernières années dans le domaine de l’apprentissage automatique, de nouvelles préoccupations liées à l’utilisation des renseignements personnels ne viennent que confirmer le besoin d’établir un dialogue autour des mesures de protection et comportements à adopter en la matière.

Vincent Gautrais: Parce que le traitement des données n’est pas «neutre», technologiquement, et que le numérique accroît formidablement les risques associés aux données. Désormais, avec la sophistication des outils et l’industrialisation des données, nous n’avons plus le choix de devenir vigilants.

K.B.: Les données sensibles sont des données personnelles qui révèlent des détails particulièrement intimes sur les personnes, par exemple les préférences sexuelles, l’orientation politique, l’appartenance syndicale, l’état de santé, etc. Ces données commandent une attention et, par conséquent, une protection plus importantes, car elles portent sur la personnalité intime des individus.

N.V.: Le renseignement personnel représente tout renseignement qui concerne une personne physique, donc vous et moi, et qui permet de la nommer. En vertu du droit québécois, un renseignement personnel sera également considéré comme sensible lorsque, «de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée».

V.G.: Les lois ont toujours catégorisé les données avec un degré de «risque de dommage» plus ou moins grand, c’est-à-dire les données personnelles et les données personnelles sensibles. Évidemment, les secondes bénéficient d’une protection accrue. Le problème est qu’avec le numérique même des données «anodines», lorsqu'elles sont couplées à d’autres, peuvent devenir sensibles. Il y a donc une complexification de la question.

K.B.: La confidentialité est un élément constitutif de la protection des données, mais elle ne la définit pas. Il apparaît difficile dans le contexte numérique d’assurer la confidentialité de certaines informations. La protection des données personnelles constitue au premier chef une méthode d’administration et de gestion des données. Cette méthode vise à garantir un meilleur respect de la vie privée des individus et la confidentialité est un ingrédient de celle-ci.

N.V.: Le tout numérique n’a pas vraiment d’incidence sur le concept de confidentialité. La confidentialité demeure l’idée qu’une information, en l’occurrence un renseignement personnel, ne soit pas disponible pour une personne non autorisée à y accéder. Il viendra toutefois dicter l’adoption de mesures distinctes pour assurer la confidentialité des renseignements personnels détenus sous format numérique comme le chiffrement des données.

V.G.: C’est plus compliqué, puisque le numérique laisse des traces. Pour définir le concept de confidentialité, il faut le cerner en fonction des droits de la personne, globalement. La confidentialité doit de plus en plus être considérée comme ce qui peut porter atteinte à un individu.

K.B.: Une organisation a une responsabilité première en matière de protection des données personnelles, puisqu’elle en recueille dans l’accomplissement de ses tâches et missions. Elle doit donc prendre toutes les mesures utiles pour que cette cueillette et le stockage des données qui en découle bénéficient d’un haut degré de protection. C’est une obligation institutionnelle imposée entre autres par la loi. Quant à l’individu, il lui revient certes d’être prudent dans ses interactions informationnelles et d’informer son organisation dès qu’il constate ou présume sérieusement une atteinte à ses données. Mais la responsabilité première repose sur le détenteur des données collectées, à savoir l’organisation.

N.V.: La protection des renseignements personnels passe par plusieurs processus. Il s’agit principalement de limiter l’accès à ces renseignements aux seules personnes qui y ont droit par l’adoption à la fois de procédures telles que la Politique sur la protection des renseignements personnels de l’UdeM, de mesures techniques comme le chiffrement des données et des connexions, puis de moyens matériels, par exemple le verrouillage des salles des serveurs ou des tiroirs de classeurs. Quant aux individus, ils devront être vigilants et veiller à ce que les outils informatiques qu’ils utilisent offrent un niveau de sécurité adéquat pour leurs communications, notamment en installant les mises à jour et en protégeant leurs mots de passe.

V.G.: En gros, le processus de protection implique trois types d’acteurs: l’État, les détenteurs de données – que ce soit des entreprises, des ministères ou des universités – et l’individu. Les trois entrent en jeu et les trois ont un rôle à jouer. Les lois ont tendance à demander beaucoup aux détenteurs de données, qui doivent de plus en plus documenter leur manière de faire afin de s’assurer qu’ils gèrent les données avec diligence. Les lois en imposent aussi beaucoup aux individus, qui doivent garder le contrôle sur leurs données. Or, ce contrôle s’opère par un consentement qui est très souvent fictif, l’individu moyen n’étant généralement pas en mesure de comprendre l’usage qui est fait de ses propres données. Une protection de qualité commande un État fort qui exerce un contrôle fort avec des instances capables de faire respecter les règles. Et ce dernier point est loin d’être considéré en ce moment, en Occident, où, au contraire, même si nous tendons à imposer des sanctions plus lourdes, nous n’avons pas forcément d’instances capables de faire respecter les règles. Le respect de la vie privée demande de contrôler les entreprises et cela coûte cher.

K.B.: Il revient à chacun et chacune de faire preuve de discernement quand ils naviguent sur Internet en se dotant entre autres d’outils empêchant le pistage, en bloquant les cookies ou en les effaçant après la visite des sites, etc. Utiliser un fureteur comme Firefox et ses extensions constitue un premier pas pour assurer une meilleure protection de ses données personnelles.

N.V.: Dans les milieux de la sécurité de l’information, il est souvent indiqué que le renseignement le mieux protégé est celui qu’on ne possède pas. En d'autres mots, un tiers ne pourra pas perdre, partager ou utiliser à mauvais escient un renseignement personnel qui ne lui a pas été communiqué. Le meilleur conseil que je puisse vous donner est donc de limiter le partage de vos renseignements personnels et, lorsqu’un tel partage est incontournable, de vous renseigner sur l’utilisation projetée de vos renseignements. N’oublions pas que, en vertu du droit québécois et du droit canadien, nous devons consentir à toute utilisation de nos renseignements personnels…

V.G.: Débrancher pour ne pas trop produire de données. Cuisiner, faire du sport ou lire de la poésie!