À partir de faits d’actualité ou de la vie quotidienne, ce carnet explore comment des informations, des programmes et des machines organisent nos relations avec les autres êtres humains, les organisations et même la société tout entière. Car, par-delà la compréhension de la société de l’information dans laquelle nous évoluons, il nous faut apprendre à y vivre et à en influencer démocratiquement les développements.
Adaptation écrite d’une présentation faite lors d’un diner-causerie tenu à l’occasion du 10e anniversaire de Communautique, le 26 janvier 2010, à Montréal.
On m’a demandé de traiter de l’importance que les technologies de l’information et des communications ont prise au cours de la dernière décennie et celle qu’elles prendront dans un avenir prévisible, cela du point de vue des citoyens. Je vais me prêter à cet exercice à partir de la notion d’appropriation.
L’Histoire montre que l’alphabétisation peut être une condition nécessaire à la démocratie. Cependant, le fait qu’une population soit fortement alphabétisée n’entraine pas pour autant que cette dernière vivra dans une société libre et démocratique. Beaucoup de populations fort instruites ont vécu, à un moment ou l’autre, sous un régime autoritaire ou dictatorial, voire totalitaire.
Similairement, on peut avancer que le fait qu’une population sache manier des dispositifs techniques n’entraine pas pour autant qu’elle maitrise comment les technologies organisent les rapports entre les citoyens. L’accès aux outils et le développement des habiletés à les manier seraient des conditions nécessaires, mais pas suffisantes à cette maitrise.
Illustrons cette affirmation par quelques exemples de dispositifs actuellement en déploiement.
Les scanneurs corporels
Au début de ce mois de janvier, le ministre fédéral des Transports, John Baird, a annoncé l’acquisition et l’installation dans les aéroports canadiens de 44 scanneurs corporels à un quart de million pièce. Faisons abstraction du débat légitime sur l’efficacité, réelle ou symbolique, de ces dispositifs. Dans moins de deux mois, nous, citoyens canadiens, aurons la liberté de choisir entre : ou bien, de nous faire palper avec les mains; ou bien, de nous faire palper avec les yeux.
Mais est-ce le seul choix offert par les technologies informatiques et d’imagerie numérique?
Un collègue m’a transmis le dossier de presse des articles publiés à la suite à cette annonce. On constate qu’à peu près personne n’a soulevé le fait que cet achat avait été commandé sans appel d’offre, ni qu’on aurait pu acquérir des logiciels qui, pour éviter la mise à nu : soit, ne signalent que les emplacements douteux (comme en Europe); soit, reporte l’image exacte de la surface du corps de la personne sur un mannequin standard (par la technique du morphage - morphing en anglais). Le résultat d’une telle acquisition nous aurait offert un choix très différent entre : ou bien, nous faire palper avec les mains; ou bien, simplement faire détecter électroniquement la présence d’objets sur nous.
Apparemment, aucun député n’a parlé de ces options de rechange. Pas un journaliste. Pas une organisation de citoyens, de consommateurs ou de défense des droits. Même pas l’avis de la Commissaire à la vie privée du Canada.
Peut-être que le ministre Baird lui-même ignore ces options de rechange!
Pourtant en bons citoyens numériques, plusieurs d’entre nous savent comment utiliser un appareil photo numérique et des logiciels de traitement d’images; comment trouver le communiqué du ministre sur le Web; comment regarder son point de presse sur notre ordinateur ou téléphone; et comment discuter la nouvelle dans les blogues ou sur Twitter. Nous, on connait ça la techno!
Cartes bancaires à puce
Deuxième exemple : depuis 2008, les institutions financières canadiennes déploient leurs cartes bancaires à puce. Aucun ministre ou député fédéral, aucune association de consommateurs ou autre organisation de la société civile, aucun média n’a provoqué de débat public sur le modèle de système de paiement que pourrait supporter l’ajout d’un microprocesseur sur les cartes clients, de débit et de crédit.
Pourtant, depuis l’invention de la carte à microprocesseur, des centaines de manières différentes de l’utiliser furent conçues. L’éventail des applications disponibles va de systèmes très bavards sur le moindre geste posé par l’utilisateur à d’autres, ultra discrets, produisant aussi peu d’informations personnelles que l’utilisation du papier monnaie.
Or, il ne peut y avoir qu’une seule configuration, ce qui légifère donc les rapports entre consommateurs, marchands et institutions financières.
Nous avions le choix! Par exemple, entre ne permettre aux banques de produire que très peu d’informations ou, à l’inverse, leur permettre d’en produire beaucoup, mais en les forçant à partager cette source précieuse de connaissances sur l’évolution de l’économie en temps réel.
Par exemple, le gouvernement de Madame Dominique Vien (ministre des Services gouvernementaux du Québec, autre oratrice de ce diner-causerie) doit prendre des décisions délicates à savoir si l’État doit garder le pied sur l’accélérateur de l’économie, lever le pied ou plutôt mettre les freins. Cependant, plusieurs des chiffres dont dispose le gouvernement ne peuvent souvent décrire que des situations vieilles de quatre mois! Voilà qui complique passablement la prise de décision. D’autant plus qu’à cause des mêmes retards dans la production d’informations, on ne pourra également vérifier quels auront été les effets des mesures retenues avant des mois.
Pourtant, la production continue par les banques d’informations détaillées et en temps réel sur les paiements électroniques (dont vous et moi payons directement la production à travers nos frais bancaires), combinée à la puissance des ordinateurs d’aujourd’hui, pourrait réduire ce décalage à quelque chose comme une semaine!
Cependant, ce débat public sur ce choix démocratique concernant la quantité d’informations générées ou non par les systèmes de paiement électronique et leur utilisation possible au profit, non seulement des banques, mais aussi de l’ensemble de la société n’a jamais eu lieu.
Mais en bons citoyens numériques, nous savons comment utiliser un guichet automatique ainsi que comment faire un don pour Haïti par transaction sur le Web ou avec un texto. Nous, on connait ça la techno!
Quelle appropriation?
Cela nous ramène au thème de l’appropriation. Généralement, on définit « l’appropriation » comme le processus par lequel un individu ou un groupe intègre une innovation dans ses pratiques et l’adapte à ses besoins.
Depuis 10 ans, Communautique, ses partenaires et de nombreux autres organismes oeuvrent à l’essentielle appropriation des outils informatiques par les citoyens. Ils travaillent et militent pour assurer un accès universel à Internet et à l’ordinateur. Ils forment à l’utilisation de logiciels, du Web, de réseaux sociaux et d’outils collaboratifs.
Cependant, il faut admettre que former à l’utilisation d’outils n’est pas suffisant alors que les innovations s’immiscent de plus en plus dans le moindre objet. Jusqu’à nos pilules…
Pilules à micropuce
Les compagnies pharmaceutiques testent actuellement l’usage de comprimés à micropuce. Dans une de ces expériences, le dispositif envoie aux patients un texto de rappel sur son téléphone cellulaire s’ils ne suivent pas correctement l’ordonnance du médecin.
Un tel dispositif peut être configuré pour mettre en relation patients, médecins et pharmaciens de cent manières différentes. Par exemple, afin de vérifier si nous prenons bien nos médicaments. Pour nous faire livrer automatiquement le renouvellement de nos médicaments lorsque nos flacons se vident. Voire appeler l’ambulance, si nous avons gobé tout le flacon d’un seul trait.
La question est évidemment à savoir qui va décider d’une configuration plutôt que d’une autre? Donc, à déterminer comment s’organiseront les relations entre patients, médecins et pharmaciens. Et pourquoi pas aussi celles incluant les compagnies pharmaceutiques, les compagnies d’assurances et le monde de la recherche biomédicale.
N’avons-nous pas notre mot à dire? D’autant plus si ces dispositifs s’imposent progressivement à tous?
L’appropriation citoyenne
La démocratie exige ici que l’appropriation citoyenne aille par delà le simple maniement d’outils conçus par d’autres. Elle requiert que les citoyens et les groupes de la société civile puissent contribuer au développement des outils qui imposent une organisation des rapports interpersonnels; qu’ils puissent participer aux choix affectant cette organisation des rapports.
Cela implique, non seulement une connaissance des outils et de leur maniement, mais également (comme pour les scanneurs, cartes bancaires et pilules), une connaissance des différentes informations qui peuvent être produites ou non ainsi que des diverses manières dont elles peuvent être utilisées ou non.
Donc, une véritable appropriation citoyenne doit s’appliquer autant aux informations et aux rapports interpersonnels qu’aux outils informatiques.
Poussons plus loin. Non seulement, une telle appropriation citoyenne serait-elle nécessaire à garantir un caractère démocratique à une société de l’information, mais elle serait aussi nécessaire au succès même de l’informatisation de ses activités!
Déjà, les commerces en ligne ne peuvent faire le plein de profits et les services gouvernementaux en ligne ne peuvent avoir de sens que si le plus grand nombre possible de citoyens a accès à internet et sait comment s’en servir avec confiance.
Assurer l’adéquation des applications
Or, le succès de nombreux produits et services informatisés dépendra aussi de plus en plus de la capacité des citoyens de discuter d’informations, d’outils et de rapports interpersonnels. Lors d’une recherche que j’ai effectuée sur les services gouvernementaux en ligne, j’ai beaucoup discuté avec des concepteurs de ce qui pouvait faire qu’un système s’avère dysfonctionnel, enfonçant un citoyen dans un purgatoire bureaucratique kafkaïen plutôt que l’aider. L’objectif étant évidemment de comprendre, à contrario, comment s’assurer qu’un service informatisé fonctionne bien. La conclusion est résumée dans ce schéma qui énumère tous les facteurs dont il faut tenir compte (cliquer l’image pour agrandir).
Je ne peux ici discuter avec vous l’ensemble de ces facteurs en détail. Contentons-nous pour l’instant d’affirmer qu’en pratique, il faut non seulement que l’organisation comprenne très bien toutes les dimensions de ses propres processus (ce qui est déjà un exigeant travail), mais il faut aussi qu’elle comprenne très bien pourquoi et comment différents citoyens - usagers ou consommateurs - utilisent différemment son service. Comment certaines catégories de personnes s’approprient-elles différemment le service pour quels buts différents. Inversement, il faut aussi que ces citoyens comprennent bien à quoi servent le service et les informations qu’ils échangent avec l’organisation afin qu’ils obtiennent les résultats qu’ils recherchent et fournissent les bonnes informations utiles à cette fin.
Premier exemple tout petit. Dans une application aussi simple qu’un service de changement d’adresse. Je demande au concepteur : « Quelle adresse la Régie d’Assurance-maladie, par exemple, détient-elle sur le citoyen assuré? » Le concepteur répond : « C’est clair, c’est l’adresse de domicile ». C’est en effet ce que prévoit la loi, mais je relance : « En êtes-vous sûr? » Le concepteur se met alors à rire : « En fait, on n’en a aucune idée ». Et à partir de là, nous avons exploré ensemble les cas de figure où le citoyen a fourni une adresse autre que de celle de leur domicile : comme les étudiants qui donnent l’adresse de leurs parents comme adresse postale fixe sachant qu’ils changeront souvent de lieu de résidence.
Peu importe les lois, les formulaires et les modèles de données, cela demeure les citoyens qui décident si dans la case « adresse », ils donneront une adresse de domicile, une adresse postale, une adresse de service ou autre.
Or, parmi la panoplie des moyens efficaces permettant de connaitre et comprendre les usages, attentes, besoins et contraintes des citoyens est la consultation publique. Qui mieux que les citoyens eux-mêmes ou les organisations qui travaillent quotidiennement avec eux peuvent signaler les différents usages et compréhensions d’un service donné?
Mon deuxième exemple fait dans le très gros et complexe : c’est l’immense chantier de l’informatisation des dossiers médicaux qui, dans un avenir prévisible, va couter bien au-delà d’un milliard de dollars au Québec, au-delà de cinq milliards au Canada. On a déjà perdu des dizaines de millions de nos impôts dans des solutions inadéquates. Et dans l’état de situation présente, on va encore en perdre des dizaines de millions d’autres en cours de route. Et une des causes de ces inadéquations est précisément une culture numérique insuffisante dans notre société.
Des hauts fonctionnaires m’ont confié qu’on arrive difficilement à arrimer la vision stratégique avec les besoins concrets sur le terrain. Or entretemps, on développe et on implante des solutions techniques. On procède finalement par une couteuse démarche d’essais et erreurs. Souvent, on m’a posé la question : « C’est clair qu’il faudrait consulter directement les patients et la population, mais comment fait-on ça? Déjà entre nous, professionnels qui y travaillent quotidiennement, il nous est difficile de partager une compréhension commune des systèmes. »
Le défi démocratique
Développer une capacité de discuter entre nous de dispositifs techniques compliqués représente effectivement un considérable défi culturel. Un défi qui doit être impérativement relevé. Car sinon, on devra faire face à bien plus grave que des inefficiences en nombre, en importance et en couts croissants (pensons seulement à la dégradation spectaculaire qu’ont connue les services à la clientèle de plusieurs grandes entreprises, par exemple). En effet, c’est la démocratie elle-même qui se trouve à risque si l’on abandonne progressivement les décisions relatives à l’organisation des rapports entre citoyens à des ingénieurs, à des technocrates ou à des fournisseurs plus bas soumissionnaires. Des décisions en plus souvent prises à l’étranger à cause de l’universalisation des produits ou des normes techniques devant assurer l’interopérabilité internationale des systèmes.
Nous ne sommes encore qu’au tout début du long processus d’informatisation des sociétés qui va progressivement s’insinuer dans les moindres recoins de nos vies, y compris jusque sous nos vêtements, dans nos portefeuilles et nos de pilules. Une large part des maniements d’informations en cause supportera des rapports interpersonnels en les façonnant dans le détail d’une manière qui s’imposera aux intéressés. La maitrise démocratique de cette forme de législation efficace rend nécessaire que nous tous - simples citoyens, organismes communautaires, gouvernements et entreprises - fassions évoluer l’idée d’appropriation et sa pratique à un niveau plus global qui embrasse les dimensions sociales, y compris celles carrément politiques, des choix techniques.
Il s’agit, bien sûr, de bien plus que le défi d’une décennie, ou même celle d’une génération. C’est le défi posé par une véritable révolution qui s’étendra vraisemblablement sur tout ce siècle. Un défi considérable certes, mais excitant pour sûr! Un défi auquel je compte, évidemment, apporter ma petite contribution, notamment en collaboration étroite avec Communautique et ses partenaires.
Soirée d’information et d’échange sur les Projets de loi C46 et C47
La surveillance des communications électroniques : Une dangereuse intrusion dans nos vies
Lundi 2 novembre 2009 à 19 h.
Salle R-M130, UQAM (315, rue Ste-Catherine Est, Montréal)
À une époque où les nouvelles technologies font partie du quotidien et où de plus en plus d’informations sur tous les aspects de nos vies circulent dans le cyberespace, le gouvernement a déposé deux projets de loi qui lui donneront un plus grand accès aux données qui transitent par les fournisseurs de services de communication électronique.
Colloque sur la protection des renseignements personnels
On nous fiche ! Ne nous en fichons pas
Colloque sur la protection des renseignements personnels à l’ère des technologies de l’information et des communications
29 et 30 janvier 2010
Vendredi soir, Salle Marie-Gérin-Lajoie, UQAM (Pavillon Judith-Jasmin, 405, rue Ste-Catherine Est, Montréal)
Samedi, 30 janvier 2010 à l’UQAM (détails à venir)
« Présentement, le Canada se dirige dangereusement vers une société de surveillance. (…) La protection de la vie privée est un élément crucial d’une société libre ; sans elle, il n’y a pas de réelle liberté. » Jennifer Stoddart, Commissaire à la Protection de la Vie privée du Canada.
Des pièges des statistiques, en marge du documentaire Les enfants du Palmarès
Notions abordées :Les informations personnelles permettent un formidable accroissement des connaissances sur les individus, les groupes et les sociétés
Un nombre croissant de décisions concernant les individus et les organisations sont fondées sur des informations personnelles ou des informations dérivées
Un ensemble d’informations personnelles décrit moins un être humain en particulier qu’une relation entre des personnes
Les informations personnelles ne sont ni données, ni reflet idéal de la réalité: elles sont des artéfacts, des objets fabriqués par des êtres humains en vue de la réalisation d’un objectif précis
Les conflits relatifs aux informations peuvent porter sur n’importe quelle dimension de leur production ou de leur utilisation
Avant même qu’il soit diffusé, le film Les enfants du Palmarès de la réalisatrice Marie-Josée Cardinal fait déjà beaucoup parler. Ce documentaire sera présenté à la télévision sur Canal D le dimanche 18 octobre 2009 à 19h ainsi que le lundi le 19 octobre à 13h. Ce film traite des angoisses vécues chez plusieurs parents et enfants qui cherchent à réussir, coute que coute, l’accès à une place dans les écoles privées les plus cotées ainsi que ce qui arrive à ceux qui échouent ou réussissent d’y être admis.
Le palmarès du titre réfère au désormais Palmarès des écoles secondaires du Québec (ici en format PDF) publié depuis 10 ans par le magazine L’Actualité. C’est de ce tableau comparatif des écoles que je vais discuter ici.
Nous nous sommes donné au Québec la liberté de choisir pour nos enfants parmi un éventail d’écoles, programmes d’études et projets éducatifs. Un embarras du choix que j’ai vécu comme tout autre parent. Embarras que le Palmarès complique par ses faiblesses, mais surtout parce qu’il demeure l’unique guide comparatif grand public disponible.
J’utilise le Palmarès depuis sa création. Notamment lors de visites des écoles où je songeais à inscrire ma plus jeune. Le Palmarès offre une illustration particulièrement parlante pour des élèves de quatrième secondaire des rôles que les informations personnelles jouent désormais dans la vie informatisée des individus, organisations et sociétés. Car en échange de causeries visant à susciter l’intérêt pour des carrières scientifiques, des conseillères en orientations m’offraient accès au quotidien de leur école hors des mises en scène des journées portes ouvertes.
Partant du bulletin scolaire, j’expliquais aux élèves la société de l’information et l’importance des diverses disciplines techniques et scientifiques associées. Tout d’abord, comment des informations personnelles parlent rarement d’une personne en particulier, mais plutôt d’une relation entre plusieurs personnes. Ainsi, le bulletin ne parle pas que de l’élève, mais aussi de ses enseignants. Une direction peut donc utiliser les informations du bulletin pour évaluer le travail de ses enseignants, individuellement et collectivement.
Si visualisée plein écran, commander « autoplay » pour lancer
Compilées, ces informations des bulletins permettent également de produire des portraits par école, par commission scolaire, entre écoles ou entre commissions scolaires, pour le Québec ou entre pays. La petite animation incluse dans ce billet illustre comment. Ces différentes compilations d’informations permettent de constituer des portraits de la performance des élèves, des enseignants, des écoles, des commissions scolaires, d’un système scolaire, d’un pays. Ils structurent les discussions, les débats publics et la prise de décisions diverses. Notamment celle du choix d’une école secondaire.
Or, les bulletins, compilations et palmarès sont conçus en vue de réaliser des objectifs précis. Adéquatement produits pour une tâche, ils s’avèrent souvent défaillants pour une autre. En outre, il faut s’assurer que la production de ceux-ci ne nous coupent pas de la réalité même que nous souhaitons saisir. Lire la suite »
Les compagnies pharmaceutiques veulent que vous suiviez les prescriptions des médecins
Notions abordées :De plus en plus d’informations personnelles sont produites sur les individus… et de plus en plus par des objets autour de vous
Ces informations permettent de réguler les relations interpersonnelles avec une efficacité croissante
Un article du Financial Times signale que la compagnie pharmaceutique Novartis teste actuellement une technologie qui recoure à l’insertion d’une minuscule micropuce dans chaque pilule que vous devez prendre. Une autre puce émettrice-réceptrice implantée dans l’épaule du patient détecte la prise ou non de chaque pilule. Si la personne ne suit pas l’ordonnance du médecin, la puce émettrice-réceptrice enclenche l’envoi d’un message texte de rappel sur son téléphone cellulaire.
Les tests effectués sur 20 patients prenant du Diovan, un médicament abaissant la pression artérielle, auraient renforcé de 30 % à 80 % l’observance de la prescription après six mois.
On peut imaginer l’intérêt d’une technologie pour les gens qui ont tendance à éviter ou oublier de prendre leurs médicaments ainsi que pour rassurer les personnes qui peuvent oublier si elles les ont bien pris ou non. La même technologie pourrait donc également éviter les surdoses.
Cependant, le Financial Times précise que l’intérêt premier des compagnies pharmaceutiques est évidemment d’augmenter les ventes de leurs médicaments, particulièrement dans le cas de maladies chroniques comme l’hypertension et le diabète. Ces entreprises ont tout intérêt à ce que les patients suivent rigoureusement leur prescription de médicaments lucratifs sur de nombreuses années.
Notion abordée : Un nombre croissant de décisions concernant les individus, les groupes et les sociétés sont fondées sur des informations personnelles ou des informations dérivées
Il nous faut l’admettre : nos décisions individuelles, nos comportements et nos opinions sont souvent influencés par des informations sur ce que font, pensent ou vivent nos concitoyens. Ces informations proviennent, par exemple, de sondages d’opinions ou de compilations de statistiques diverses, souvent résumés par les médias.
Grâce à l’informatique, il est désormais possible de manier et de transformer ces informations de mille manières.
Grâce au web, il nous est possible de rediffuser les nouvelles informations sous des formes interactives qui facilitent la prise de décision individuelle… et même d’en mesurer ensuite les conséquences sur la collectivité.
Vie pratique - Du recueil illégal d’informations par des commerçants et autres organismes
Hier, une proche me dit qu’elle a dû refuser un cadeau de 25 dollars d’un marchand. Une caissière lui offrait 25 dollars s’il elle prenait la carte de crédit de cette chaine de magasins. Un autre client lui avait dit : « Accepte l’offre. Moi, j’ai pris la carte. J’ai fait un achat avec pour profiter du cadeau. Puis j’ai fait annuler la carte. » Bon, 25 dollars pour deux minutes de paperasse, ce n’est pas un mauvais échange.
Elle a donc accepté offre et la caissière a aussitôt commencé à remplir le formulaire pour elle. Naturellement, la caissière a demandé la présentation d’une pièce d’identité avec photo. La cliente a offert son permis de conduire qui porte son nom, son adresse de domicile ainsi que des photos d’elle et de sa signature. C’est alors que la caissière inscrit le numéro de permis de conduire sur le formulaire. La cliente l’interrompt : « mais vous n’avez pas le droit de noter le numéro de permis de conduire ». Ceci est légalement vrai. Au Québec, il est clairement énoncé que les numéros de permis de conduire et d’assurance-maladie ne peuvent être recueillis que pour les fins associées à l’application du Code de la route et de la Loi sur l’assurance-maladie, respectivement. Ailleurs au Canada, au minimum, le principe de nécessité des lois de protection des renseignements personnels restreint une telle collecte.
La caissière a alors répondu qu’on l’obligeait à recueillir le numéro pour l’émission de la carte. Elle exhibe la section du formulaire prévue à cet effet comme preuve à l’appui de son affirmation.
Face à l’impasse, la cliente décide d’annuler sa demande. Elle se fait remettre le formulaire et le déchire en petit morceau. Elle va aussi porter plainte à la Commission d’accès à l’information pour faire cesser cette pratique.
Ce n’est pas ce que j’aurai fait. Mais d’abord quelques explications.Lire la suite »
Brève : Les secteurs de l’éducation, des services gouvernementaux, de la santé et des services financiers sont les plus touchés
Durant les années 2005, 2006 et 2007, il y aurait eu aux États-Unis et au Canada plus de 976 pertes ou vols de données personnelles touchant plus de 313 millions de dossiers. Ce constat résulte d’une analyse des statistiques publiée en juin 2009 par Benoît Dupont, titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie, et Benoît Gagnon, chargé de cours à l’École de criminologie, tous deux de l’Université de Montréal. Les nombres réels sont probablement beaucoup plus élevés, notamment pour le Canada où, contrairement aux États-Unis, il n’existe pas d’obligation légale de divulgation des incidents par les organisations. « L’exemple le plus médiatisé au cours des derniers moins (sic) a sans aucun doute été l’affaire TJX. Cette entreprise, qui possède au Canada les enseignes Winners et HomeSense, s’est fait dérober en 2006 les numéros de carte de crédit de 94 millions de clients nord‐américains et anglais. » Plus de la moitié de ces incidents sont attribuables, soit à des vols de matériel informatique (ex. : ordinateurs portables), soit à la négligence d’employés (ex. : erreur humaine dans le paramétrage d’un système). Le piratage informatique ne touche que 22,7 % des incidents.
Aucun secteur d’activités ne serait épargné. Cependant, ceux de l’éducation (29,0 %), des services gouvernementaux (17,1 %), de la santé (15,6 %), ainsi que les institutions financières (15,6 %) sont les quatre principaux « pourvoyeurs d’incidents ». Les auteurs sont particulièrement préoccupés par le secteur de la santé où on investit actuellement dans l’implantation des dossiers de santé électroniques, « sans avoir véritablement communiqué aux citoyens les risques associés à une telle démarche d’informatisation et les moyens mis en oeuvre pour garantir la sécurité des données médicales et personnelles des patients. Il nous apparaît par conséquent impératif que les discours des organisations publiques soient revus, et ce, afin d’informer correctement les citoyens sur les implications de la numérisation grandissante des dossiers gouvernementaux. En effet, alors que bon nombre d’organisations prônent l’informatisation totale de leurs activités en invoquant à la fois des critères d’efficacité et de sécurité, force est d’admettre que le second argument est mis à mal lorsqu’il est confronté à la réalité. » Ce que les auteurs ne soulignent pas, en outre, est le fait que les secteurs des finances et de la santé obtiennent un mauvais score identique alors que le premier est celui dont l’informatisation est la plus achevée et le second la plus embryonnaire !
Les individus sur lesquels portaient les dossiers étaient principalement :
des usagers des services publics (35,1%),
des employés des organisations concernées (22,8%), et
des clients des entreprises (20,9%).
Malheureusement, l’étude ne donne aucune indication sur le type de conséquences sur les personnes qu’ont eu ces incidents. En effet, ce n’est pas la même chose si des dossiers ont simplement été perdus sans aucune séquelle notable ou si un vol d’identité a plongé des personnes dans un enfer kafkaïen qui a bouleversé sa vie pendant des semaines. Il s’agit manifestement d’une faiblesse de ce type de recherche qui « a pour objectif de mesurer la quantité d’informations personnelles compromises (…) afin de comprendre quelles étaient les principales vulnérabilités auxquelles étaient exposées les organisations. » Les vulnérabilités et vécus des individus restent dans l’ombre. Il est d’ailleurs notable que le jargon du domaine parle de sécurité de l’information ou de protection des renseignements personnels plutôt que de sécurité et de protection des êtres humains.
Notion abordée : Les informations (notamment les informations personnelles) et l’informatique jouent des rôles croissants dans la vie des individus, des groupes et des sociétés
Facebook a connu son lot de controverses à propos :
de ses tentatives de s’approprier à perpétuité les informations personnelles mis en ligne de ses usagers;
de la vente des ces informations à des entreprises commerciales;
de l’utilisation de ces mêmes informations afin de faire de la publicité ciblée;
de l’incapacité des usagers de faire effacer les informations qu’ils avaient mises en ligne, même une fois avoir fermé sa page et son compte Facebook.
Par contre, on parle beaucoup moins de qui réalise l’essentiel de la production et de la circulation d’informations personnelles sur Facebook. Et ce n’est pas Facebook. Ni les partenaires d’affaires de Facebook. Le gros du maniement d’informations personnelles est le fait des usagers de Facebook eux-mêmes.
Le Commissariat à la vie privée du Canada a délibérément choisi de ne pas traiter du maniement effectué par les usagers dans son rapport. Pourtant, les usagers des services de réseautage sociaux (c’est-à-dire probablement vous qui lisez ces lignes) sont aussi soumis à des obligations légales similaires à celles s’appliquant aux entreprises offrant des réseaux sociaux et à leurs partenaires. Il serait bon qu’on le rappelle aussi.
Rappel des conclusions du Commissariat
Le rapport du Commissariat à la protection de la vie privée recommande notamment à Facebook de faire preuve de plus de transparence. Les plus de 12 millions d’utilisateurs canadiens du site de réseautage social doivent disposer des renseignements nécessaires pour prendre des décisions éclairées concernant les usages pouvant être faits ou non de leurs informations personnelles par Facebook, d’autres usagers (« amis » ou non), les publicitaires ainsi que les fournisseurs des quelque 350,000 applications (jeux, questionnaires, gadgets, horoscopes, etc.) offertes sur Facebook.
En effet, le Commissariat conclut que Facebook ne fournit pas aux usagers des renseignements sur les usages et les communications de leurs informations personnelles de manière suffisamment claire, complète et aux moments opportuns. En outre, les usagers Facebook ne se voient pas vraiment offrir l’opportunité de contrôler ou consentir ou non à ces usages et communications. Enfin, Facebook ne contrôle pas adéquatement l’accès et les usages que les entreprises partenaires font des informations personnelles sur les usagers et leurs « amis ».
Une obligation dans un pays peut s’appliquer partout
À la lecture du rapport, on constate que cette entreprise basée aux États-Unis se soumet volontiers à la loi fédérale canadienne. Il n’y a là rien de très étonnant ici. Facebook aurait déjà plus de 12 millions d’usagers canadiens. Il doit donc tenir compte des lois applicables au service qu’il offre au Canada à travers le Web. Cela même si les Canadiens ne sont qu’une minorité parmi les plus de 200 millions d’usagers de Facebook dans le monde. Ici, l’entreprise se comporte comme plusieurs de celles qui doivent effectuer des maniements d’informations à travers plusieurs pays. Elle cherche à se soumettre simultanément à toutes les lois applicables en harmonisant ses pratiques en fonction des dispositions les plus exigeantes (pourvu que ces dernières ne se contredisent pas entre elles). En pratique, cela veut dire que les amendements que Facebook apporte à ses façons de faire pour respecter le droit fédéral canadien profiteront probablement à l’ensemble de ses usagers à travers le monde.
Si Facebook est soumis au droit fédéral canadien, il l’est aussi aux lois des autres pays. Et dans le cas de fédérations, aux lois de leurs états constituants. Au Canada, cela veut dire aussi les lois des provinces et territoires. Or, il existe une différence notable entre le droit fédéral canadien d’une part, et celui de certaines autres juridictions d’autre part. La loi fédérale canadienne s’applique exclusivement au maniement d’informations personnelles dans le cadre d’activités dites « commerciales ». Cette loi impose donc des obligations aux Facebook et autres sites sociaux, ainsi qu’à leurs partenaires « commerciaux ». Par contre, plusieurs autres législations et principes de droits communs ailleurs dans le monde, s’applique au maniement d’informations personnelles par toute « personne », y compris les individus, indépendamment du caractère commercial ou non de sa finalité. Cela veut dire que les individus usagers de Facebook et autres sites sociaux ont souvent aussi des obligations légales.
Utilisateurs commerciaux contre utilisateurs non commerciaux
Le rapport du Commissariat à la vie privée du Canada a exclu de son enquête et de ses recommandations les obligations des usagers de Facebook en matière de gestion transparente et équitable d’informations personnelles sur leurs « amis », parce que ces usagers ne sont pas, a priori, des entreprises commerciales. Ainsi, l’enquête du Commissariat a, par exemple :
exclu de discuter la publication par des usagers Facebook d’informations et de photos sur leurs amis (puisqu’il ne s’agirait pas d’une activité commerciale); mais
inclu une discussion de l’utilisation par Facebook de l’adresse courriel des personnes non-usagers mentionnées dans les descriptions de ces mêmes photos (puisque cela permet à Facebook de réaliser une activité commerciale de sollicitation auprès d’éventuels futurs usagers).
De même, l’enquête a pour les mêmes raisons :
exclu la responsabilité de l’usager de permettre à un fournisseur d’une des 350,000 applications Facebook d’accéder à sa liste d’« amis»; mais
inclu la responsabilité de Facebook de surveiller et contrôler l’accès et l’usage que ces fournisseurs d’applications font de cette même liste d’« amis».
Cette exclusion des usagers se justifie aussi par l’objet de la plainte soumise qui s’effectuait contre Facebook et ses partenaires. Cette décision demeure cependant discutable dans la mesure où bon nombre d’usagers Facebook sont en fait des entreprises commerciales ou des individus qui se servent de Facebook à des fins professionnelles ou autres, assimilables à des activités commerciales. La loi fédérale canadienne s’applique pourtant à eux.
Ainsi, le fait que le Commissariat se soit ainsi concentré sur les obligations des utilisateurs commerciaux ne veut nullement dire que les simples usagers de Facebook et autres réseaux sociaux ne sont soumis à aucune obligation légale. En outre, comme nous le verrons d’autres sources de droit peuvent imposer des obligations aux usagers individuels. On peut même aller plus loin, il n’est pas dit que les Facebook et autres réseaux sociaux n’ont pas le devoir de faciliter le respect des obligations légales de leurs usagers, individuels comme commerciaux. Et que ces mêmes obligations des usagers pourraient aussi avoir des conséquences pour leurs partenaires fournisseurs d’applications ou publicitaires.
Les obligations des usagers
Au Canada, le droit québécois présente l’intérêt de codifier ses règles de droit commun dans un texte de base, le Code civil du Québec. À l’instar des normes semblables ailleurs dans le monde, celui-ci énonce expressément que : « Toute personne a droit au respect de sa réputation et de sa vie privée » et que nul ne peut y porter atteinte sans que la personne concernée y consente. Concrètement, cela veut dire qu’un usager d’un réseau social ne pourrait pas publier des commentaires ou des photos sur la vie privée d’une autre personne, « ami » ou non, sans en l’informer, ni sans que cette autre personne n’y ait consenti. D’ailleurs, Code civil du Québec précise expressément qu’« utiliser son nom, son image, sa ressemblance ou sa voix à toute autre fin que l’information légitime du public » peut constituer une « atteinte à la vie privée d’une personne ».
Demander le consentement de la personne concernée préalablement à la publication sur le web peut être relativement facile avec lorsque celle-ci est un usager du même réseau social que vous. Cela peut cependant exiger des démarches plus exigeantes lorsque cette personne est un non-usager. Encore plus si elle est une personne qu’on connait peu.
Facebook offre aux usagers qui affichent des photos de tierces personnes de contacter ces dernières par courriel pour les en informer. Faudrait-il qu’il oblige cette prise de contact avant publication ?
En outre, ces mêmes dispositions légales affirment qu’on ne peut pas écrire ou afficher n’importe quoi pouvant affecter négativement la réputation d’un ami ou toute autre personne. Diverses décisions de tribunaux à travers le monde confirment que ce principe s’applique sur le Web comme ailleurs.
Le Code civil va plus loin. L’article 37 affirme que « Toute personne qui constitue un dossier sur une autre personne (…) ne peut, sans le consentement de l’intéressé ou l’autorisation de la loi », en communiquer des informations qu’il contient à des tiers. Ainsi, si je m’inscris à une application ou dans un réseau Facebook qui implique que des tiers auront accès à des informations sur mes « amis », je devrais demander leur consentement. Cela peu importe qu’il s’agisse d’information sur leur vie privée ou leur vie publique. Il s’agit seulement que cette information puisse être communiquée à une personne autre que moi-même et celle directement concernée. Cette règle ne s’applique cependant pas dans le cas de l’information légitime du public, c’est-à-dire à une activité de type journalistique ou de commentaire d’un fait d’actualité.
Le Code prévoit aussi que « toute personne peut, gratuitement, consulter et faire rectifier un dossier qu’une autre personne détient sur elle (…) pour informer un tiers (…) ». C’est-à-dire « faire corriger (…) des renseignements inexacts, incomplets ou équivoques; (…) faire supprimer un renseignement périmé ou non justifié (…) ou formuler par écrit des commentaires et les verser au dossier. » Ces dispositions particulières s’énoncent comme des règles typiques de bonnes pratiques de gestion des informations personnelles (mieux connue sous le terme de protection des renseignements personnels). Cependant, elles correspondent aussi à l’application des principes anciens de respect de la réputation et d’équité envers autrui qu’on retrouve dans beaucoup de systèmes légaux.
Ainsi, vous pouvez demander de faire rectifier des informations publiées dans Facebook ou autre site par tout usager soumis à une telle obligation. Et inversement, les personnes sur lesquelles vous publier des informations peuvent faire la même demande à votre endroit.
La pratique
La première difficulté est évidemment de connaître l’existence de ces informations si ces dernières ne sont pas accessibles à tous ou vous n’êtes pas vous-même usager du site de réseautage social. Ici, il n’y a guère de choix que d’établir une sorte de veille de ce qu’on publie sur vous sur le Web en utilisant des outils tel Google Alertes. Évidemment, vaut alors mieux ici ne pas avoir un nom ou des pseudonymes trop communs…
La seconde difficulté est de déterminer à quelles règles de quel endroit est soumise la personne qui a publié les informations contestées ou celle qui gère le site. D’où l’intérêt qu’un site établisse contractuellement des règles uniformes pour tous ses usagers, peu importe d’où ils sont sur la planète. Cependant, on ne peut pas affirmer qu’une simple déclaration du type « Vous ne publierez pas de contenu et vous n’entreprendrez rien sur Facebook qui pourrait enfreindre les droits d’autrui ou autrement enfreindre la loi » (comme on retrouve dans les Conditions d’utilisation) soit bien éclairante à ce sujet.
Enfin, la troisième difficulté est la résolution des désaccords. Si les commissions de protection des renseignements personnels offrent des recours accessibles et gratuits aux individus ayant des différends avec des organisations ou individus agissant professionnellement, qu’en est-il entre simples individus agissant à titre purement personnel ? Peuvent-ils s’adresser au gestionnaire du site ? Ou n’auront-ils d’autres choix que de s’adresser aux tribunaux ordinaires ?
On constate donc qu’il y a là tout un chantier à mettre en ordre.
Brève : À propos du « dagan », un dossier contrôlé par les fonctionnaires chinois
Cette histoire tragique relatée par New York Times montre combien la vie d’un individu peut dépendre d’un seul dossier personnel. Les dossiers d’étudiants du secondaire, talentueux, mais pauvres, s’avèrent une source de revenus substantiels pour certains fonctionnaires corrompus. Ces derniers peuvent les ventre jusqu’à l’équivalent de 7 000 dollars US à de riches cancres qui peuvent ainsi voler l’identité et les bonnes notes de la personne afin d’accéder à l’université ou à de bons emplois. Ce faisant, ils laissent leurs victimes, sans aucun avenir, puisque le dagan est indispensable et qu’il n’y a pratiquement aucune possibilité de le reconstituer une fois détruit, perdu ou volé.
D’un obstacle à la pensée sur nos rapports à travers le maniement d’informations
Notion abordées : Les informations (notamment les informations personnelles) et l’informatique jouent des rôles croissants et multiples dans les moindres aspects de la vie des individus, des groupes et des sociétés
Je souhaite écrire ma propre lecture de l’enquête et des recommandations du Commissariat à la vie privée du Canada sur la gestion des informations personnelles par Facebook. Cependant, je me butais trop souvent sur les mots « vie privée » dans la documentation du Commissariat et les articles des médias et autres commentateurs. Trop pour ne pas publier au préalable le présent texte de mise en garde.
Depuis longtemps, je me méfie du terme « vie privée ». Il possède tant de significations différentes qu’il en devient un véritable obstacle à la communication. Plus grave encore, son emploi est devenu un automatisme chaque fois qu’il est question de maniement d’informations personnelles. Si bien qu’il constitue aujourd’hui un réel obstacle à l’exercice même de penser ces maniements, leurs rôles et leurs implications. Avec notamment comme conséquences, de nombreux échecs informatiques, sociaux, économiques et commerciaux. Lire la suite »
À partir de faits d’actualité ou de la vie quotidienne, ce carnet explore comment des informations, des programmes et des machines organisent nos relations avec les autres êtres humains, les organisations et même la société tout entière. Car, par-delà la compréhension de la société de l’information dans laquelle nous évoluons, il nous faut apprendre à y vivre et à en influencer démocratiquement les développements.
Actuellement chercheur invité chez Communautique et chercheur associé au CEFRIO, Pierrot Péladeau œuvre depuis 1982 en évaluation sociale de systèmes d'informations sur les personnes.
Il tient aussi une chronique mensuelle à l'émission Citoyen numérique sur Radio-Montréal 101,5 et, ici sur Parole citoyenne le blogue Vivre entre les lignes et son équivalent en anglais Living in Between the Lines.
Joignable par courriel, sur Identica ou Twitter
Adaptation écrite d’une présentation faite lors d’un diner-causerie tenu à l’occasion du 10e anniversaire de Communautique, le 26 janvier 2010, à Montréal.
