Le RGPD ou comment l’Europe protège les données personnelles

[ad_1]

« Nous sommes à une phase nouvelle de l’Internet qui a perdu son innocence. On s’est rendu compte que les données pouvaient se retourner contre les individus et qu’il faut reprendre la maîtrise de tout ça. Grâce au Règlement général sur la protection des données (RGPD), la vie privée a pris du muscle! », lance Isabelle Falque-Pierrotin, présidente de la Commission nationale informatique et libertés (CNIL).

La mission de son organisme est notamment de faire respecter la vie privée sur Internet. Pour elle, le RGPD consacre le fait que les citoyens veulent reprendre la maîtrise de l’utilisation de leurs données personnelles dans l’univers numérique.

Le ton est donné. Les ambitions sont grandes et les moyens, considérables… à tout le moins du point de vue nord-américain.

Un nouvel écosystème

Depuis l’entrée en vigueur du RGPD, les individus ont davantage de droits. Des exemples? Ils peuvent dorénavant consentir ou non à certaines utilisations de leurs données, notamment à des fins de publicité ciblée. Ils acquièrent un droit à la portabilité de leurs données, c’est-à-dire la possibilité de télécharger toutes les données récoltées sur eux par une plateforme, un commerçant ou un fournisseur d’accès Internet.

Parallèlement, le règlement prévoit de nouvelles exigences pour les entreprises qui amassent, détiennent et traitent les données personnelles des Européens. L’accord des utilisateurs doit être plus explicite. Il faut spécifier quelles données sont collectées et il n’y a plus de consentement précoché. Les plateformes qui ne se conforment pas risquent de lourdes amendes. Il n’est donc pas rare, depuis l’Europe, d’être incapable de consulter certains sites nord-américains qui ne se sont pas encore soumis au RGPD.

Un panneau indique que les sites du Journal de Montréal et du Journal de Québec sont indisponibles.Capture d’écran du site du « Journal de Montréal », réalisée en novembre 2018 depuis l’Europe. Le site est inaccessible depuis l’entrée en vigueur du RGPD. Photo : Radio-Canada

Les règles doivent être faciles à comprendre. Les mineurs de 13 à 16 ans, selon les pays, doivent obtenir l’aval de leurs parents pour utiliser une plateforme qui traite les données, comme Facebook.

Isabelle Falque-Pierrotin souligne que la décision européenne est liée aux révélations des dernières années. Celles d’Edward Snowden en 2011 sur l’espionnage des citoyens. Ou encore les diverses fuites de données rapportées dans les médias. Ou, plus récemment, l’affaire Cambridge Analytica. Pour elle, le RGPD est une réponse et un cadre de confiance pour des citoyens devenus méfiants.

Plan rapproché de Mme Falque-Pierrotin.Isabelle Falque-Pierrotin, présidente de la CNIL Photo : Radio-Canada

Je crois qu’avec le RGPD, l’Europe a posé un jalon ambitieux dans la société numérique. Il pourrait devenir un standard mondial.

Isabelle Falque-Pierrotin, présidente de la CNIL

La haute fonctionnaire revient du Japon où l’on travaille en ce moment sur un mécanisme inspiré de l’Union européenne. Elle ajoute qu’une loi fédérale est de plus en plus discutée aux États-Unis.

Considérer l’importance de la gestion des données personnelles dès le début

Le RGPD crée un nouveau poste au sein des entreprises qui traitent des données personnelles, le délégué à la protection des données.

C’est le travail de Nicolas Bertrand chez Volountis, une société française qui développe des applications médicales mobiles, notamment pour les personnes diabétiques.

Les données personnelles, c’est précisément le modèle d’affaires de Volountis. Le patient entre sa glycémie (son taux de sucre dans le sang) et l’application déduit l’insuline qu’il doit s’injecter. Rien de neuf ici. Sauf que l’application récolte des tas d’autres données sur les patients : le moment de la journée, l’activité physique, l’heure des repas. Au bout du compte, l’algorithme apprend et ajuste la dose d’insuline automatiquement au fil du temps. Cela facilite grandement la vie des patients.

Aux États-Unis, le Journal of American Medicine a démontré en 2016 que des applications mobiles pour les diabétiques recueillaient des données personnelles des utilisateurs et les partageaient avec des tierces parties. Ce n’est pas le cas de Volountis ni d’aucune autre entreprise européenne qui respecte le nouveau Règlement général de protection des données, le RGPD.

Nicolas Bertrand explique qu’il n’est plus envisageable d’entreprendre des discussions avec un sous-traitant sans aborder la question de la protection des données. « Maintenant, c’est un sujet central des discussions alors qu’avant on l’évoquait seulement à la fin. C’est un changement de philosophie important. »

Plan rapproché de M. Bertrand.Nicolas Bertrand, délégué à la protection des données chez Volountis Photo : Radio-Canada

On doit informer les gens de ce que l’on va faire avec les données dès le départ.

Nicolas Bertrand, délégué à la protection des données, Volountis

La loi est contraignante et les amendes pour les infractions les plus graves peuvent être très salées : 30 millions de dollars ou 4 % du chiffre d’affaires mondial de l’entreprise. Nicolas Bertrand cite le cas d’une décision rendue récemment au Portugal où la compagnie prise en défaut a été condamnée à 600 000 $ d’amende. Rien à voir avec les anciennes pénalités.

Les plus petites entreprises peuvent confier en sous-traitance les tâches de délégué à la protection de la vie privée. Elles font alors affaire avec des spécialistes comme Assaf Bensoussan, directeur de l’entreprise DPO 101. Le juriste accumule les clients depuis l’entrée en vigueur du RGPD.

Plan rapproché de M. Bensoussan.Assaf Bensoussan, directeur de DPO 101 Photo : Radio-Canada

Souvent, on dit que les Américains innovent, les Chinois copient et les Européens réglementent. Cette fois, avec le RGPD, on innove!

Assaf Bensoussan, directeur, DPO 101

Selon lui, le règlement arrive au bon moment, avant une vraie crise des données personnelles où même les comptes bancaires pourraient être compromis. Cette réforme était nécessaire, ajoute M.  Bensoussan, pour la sauvegarde des intérêts des citoyens. Il précise que l’on n’a pas idée jusqu’à quel point les données des citoyens sont accumulées, vendues et revendues à droite et à gauche. Il cite l’exemple d’une campagne de publicité sur Facebook qu’il préparait pour des clients avant l’entrée en vigueur du RGPD.

« La plateforme pouvait nous offrir de cibler des gens en fonction de leurs revenus, raconte M. Bensoussan. En principe Facebook ne dispose pas de cette information! Si elle l’a, c’est parce qu’elle l’a achetée à quelqu’un d’autre. Le RGPD va permettre de suivre cette donnée personnelle et savoir qui l’a vendue. »

Le reportage de Janic Tremblay sera diffusé à Désautels le dimanche sur ICI Première le 10 février, dès 10 h.

Une Europe plus faible face à l’Amérique et la Chine?

Il n’y a pas que des éloges à l’égard de la nouvelle réglementation européenne. Laurent Alexandre, le chirurgien devenu entrepreneur du Web et auteur d’un récent livre sur la montée de l’intelligence artificielle, est très dur envers l’initiative de Bruxelles.

« On n’est pas dans un monde de bizounours! Le monde d’aujourd’hui, dit-il, c’est la guerre entre les technologies d’intelligence artificielle chinoises et américaines! Et l’Europe est sortie de cette guerre parce qu’elle est remplie de bécassines et de bizounours bienveillants. »

Dans son livre La guerre des intelligences, il rappelle que les grands amas de données sont fondamentaux dans l’entraînement des intelligences artificielles. Selon lui, le RGDP prive l’Europe de précieuses données et laisse le champ libre à l’Amérique et surtout à la Chine qui produit plus de données que tout le monde.

« S’il n’y a pas une défense atlantique américaine et européenne avec une mutualisation de nos données, nous allons perdre la bataille face à la Chine. Aller à la guerre avec des canons en carton-pâte, ça sauve des vies. Mais si les gens en face ont de vrais canons, il vaut mieux avoir de vrais canons! »

À la CNIL, la présidente Isabelle Falque-Pierrotin ne partage pas du tout ce point de vue. « Nous pouvons entraîner les intelligences artificielles avec nos données. Renoncer à la protection, c’est un mauvais calcul. Il faut choisir une voie plus robuste et un ancrage juridique solide pour l’intelligence artificielle », ajoute-t-elle.

Et la valeur des données dans tout ça?

Le sociologue du numérique Antonio Casilli croit que l’un des aspects des données qui sont très peu discutés, c’est leur valeur. « Souvent, on dit si c’est gratuit, vous êtes le produit, ajoute-t-il. Moi, j’ai tendance à reformuler en disant si c’est gratuit, vous êtes le travailleur de ce service. »

Pour lui, les plateformes sont basées sur une contribution active constante de leurs utilisateurs. Chaque recherche entraîne les algorithmes. Les données sont rachetées à droite et à gauche. Les utilisateurs produisent donc de la valeur pour les plateformes, mais le service qu’ils reçoivent en échange n’est pas équivalent, selon lui. Il ne croit pas à une rémunération des individus, mais plaide plutôt en faveur d’une fiscalité du numérique afin qu’une partie des immenses profits réalisés par les géants du web soit redistribuée aux collectivités.

Dans la même série sur nos vies numériques :

[ad_2]

Source link

قالب وردپرس

La protection des données personnelles, un enjeu démocratique

[ad_1]

Les partis politiques, les commerces, les syndicats, les organisations charitables et, surtout, ces plateformes numériques contrôlées par les Google, Facebook et YouTube de ce monde sont devenus accros à nos données personnelles. Si les premiers s’en servent pour mieux cibler leurs produits ou leurs messages, les géants du Web, eux, en ont fait une marchandise qui leur rapporte gros. La protection de notre vie privée en est la première victime, mais ce n’est pas la seule. Notre démocratie en subit aussi les effets délétères.

Malgré cela, le gouvernement fédéral tarde à réagir. Il y a pourtant urgence, au dire du Comité permanent de l’accès à l’information, de la protection de la vie privée et de l’éthique, qui s’est penché sur le scandale Cambridge Analytica, cette firme qui a utilisé à des fins politiques et sans autorisation les données personnelles de 87 millions d’usagers de Facebook. Croyant examiner un cas unique, le comité a constaté que cette affaire n’était que « la pointe de l’iceberg ».

Le rapport unanime qu’il a publié mardi porte d’ailleurs un titre éloquent : Démocratie menacée : risques et solutions à l’ère de la désinformation et du monopole de données. Il s’y inquiète de la vulnérabilité du processus démocratique et de la vie privée des citoyens face à cette collecte massive de données par des entreprises commerciales, à la surveillance et à la manipulation devenues monnaie courante sur la Toile et, bien sûr, à la diffusion à grande échelle de la désinformation.

Selon le comité, le problème est structurel. Le modèle d’affaires de ces monopoles est fondé sur l’exploitation commerciale des données recueillies et la monétisation de l’attention des usagers. Plus ces derniers sont présents sur un site, plus la publicité prend de la valeur. La rentabilité étant la règle, les algorithmes mettent en valeur le sensationnalisme et l’émotion au détriment de la crédibilité et de l’exactitude du contenu. Les opinions tranchées sont renforcées, ce qui favorise la polarisation et une distorsion de la réalité. Quant aux données personnelles, elles servent à personnaliser les messages et, par ricochet, la manipulation.

En juin, le comité avait publié un rapport provisoire, toujours unanime, dans lequel il exprimait déjà ses inquiétudes. Il demandait au gouvernement Trudeau de muscler le régime canadien de protection de la vie privée et de faire écho rapidement aux règles strictes de l’Union européenne en matière de protection des données personnelles. Il recommandait aussi de soumettre les partis politiques aux règles fédérales en la matière, comme le fait déjà la Colombie-Britannique. On attend toujours.

La refonte de la Loi électorale adoptée jeudi ne touche à cet aspect que du bout des lèvres. Selon cette loi, les partis devront, pour être enregistrés, faire ce qu’ils font déjà, soit avoir une politique de protection des renseignements personnels et nommer une personne responsable de son application, mais ça s’arrête là. Il n’y a ni surveillance, ni recours, ni sanctions. Avant de faire plus, le gouvernement veut continuer d’étudier la question, ce qui fait l’affaire du Parti libéral du Canada, ouvertement opposé à la recommandation du comité.

Qu’adviendra-t-il alors des 26 recommandations ? Les députés, tous partis confondus, le répètent dans leur rapport : il faut aller plus loin. Il faut encadrer l’utilisation des données personnelles par ces monopoles numériques afin de pouvoir bloquer les discours haineux, limiter la surveillance non désirée des citoyens, offrir une plus grande transparence et un meilleur contrôle aux usagers, protéger les élections contre les fausses nouvelles et l’ingérence étrangère.

L’attitude du gouvernement Trudeau n’incite pas à l’optimisme. Il est incapable de faire passer l’intérêt public avant celui de son parti quand vient le temps de soumettre les partis politiques à la Loi sur la protection des renseignements personnels. Il craint d’imposer ne serait-ce que la TPS aux services de diffusion en ligne comme Netflix. Comment croire alors qu’il aura la colonne vertébrale pour s’attaquer au laisser-faire des géants du Web ?

Il en va pourtant de notre démocratie. Comme le disait un témoin devant le comité, les « monopoles cotés en Bourse ne s’autoréglementent pas ». Il revient aux gouvernements de protéger nos institutions, les droits des citoyens et des consommateurs et d’intervenir pour défendre l’intérêt collectif. On aurait espéré mieux avant le scrutin de 2019.

[ad_2]

Source link

قالب وردپرس

Protéger les données personnelles | Le Devoir

[ad_1]

Il y a trois ans, la législation fédérale relative à la protection des renseignements personnels dans le secteur privé a été mise à niveau. On y a renforcé les exigences imposées aux entreprises utilisant des renseignements personnels. Pendant ce temps, au Québec, on s’en tient à implorer les entreprises de faire preuve de bonne volonté.

Les nouvelles règles s’appliquent depuis le 1er novembre aux organisations assujetties à la loi fédérale sur les renseignements personnels. Elles obligent à déclarer au Commissariat à la protection de la vie privée du Canada toute atteinte aux mesures de sécurité dès lors que cela a engendré un « risque réel de préjudice grave ». Les entreprises doivent aussi aviser les individus touchés par une telle atteinte lorsque cela crée un risque réel de préjudice grave. Elles doivent conserver un registre de toutes les atteintes aux mesures de sécurité qui touchent les renseignements personnels dont elles ont la gestion.

De telles mesures sont préconisées depuis longtemps par les spécialistes de la protection des renseignements personnels. Elles visent à inciter les entreprises à analyser proactivement leurs obligations en matière de protection des renseignements personnels et à renforcer les précautions pour prévenir les pertes de données.

Les entreprises québécoises

Le Québec accuse un grand retard dans la mise à niveau de ses règles encadrant les renseignements personnels. Pour l’heure, les entreprises relevant de la compétence du Québec peuvent notifier volontairement les incidents relatifs aux données personnelles auprès de la Commission d’accès à l’information (CAI), l’organisme québécois responsable de superviser l’application de la législation sur les renseignements personnels. Mais pour les obliger à le faire, il faudra que la loi soit modifiée.

Elle est loin l’époque où le Québec était à l’avant-garde dans la protection des renseignements personnels. C’est encore pire pour les obligations relatives aux données massives (big data) où l’on semble résigné à s’en remettre à la bonne volonté des multinationales.

Dans le secteur public, la protection des renseignements personnels est devenue un prétexte pour refuser de rendre des comptes sur les dysfonctionnements des services aux citoyens. Par exemple, lorsque les médias mettent au jour des déficiences des services publics qui concernent des individus en racontant les démêlés subis par de vraies personnes, il est de pratique fréquente pour les organismes publics de refuser de répondre aux questions en brandissant leurs obligations de protéger les renseignements personnels. Les individus ont beau avoir dénoncé les bavures à visage découvert, la protection de leur vie privée est servie comme un prétexte pour ne pas répondre aux questions embarrassantes !

Pour le secteur privé relevant du Québec, hormis quelques mesures ad hoc, le législateur québécois n’a rien fait pour mettre à niveau les protections de la vie privée afin de refléter les enjeux que posent désormais les environnements connectés.

Les réductions de ressources ont fait en sorte qu’il n’y a pratiquement personne au Québec qui se donne la peine de sensibiliser les entreprises aux enjeux pourtant cruciaux de la protection des données personnelles. On a droit tout au plus à un timide communiqué de mise en garde lorsqu’une crise éclate au sujet d’incidents mettant en péril la sécurité des données personnelles.

Intrant crucial

Les données personnelles sont pourtant un intrant crucial de la création de valeur dans les univers numériques. À quelles conditions des entités privées peuvent-elles s’approprier cette valeur ? Le Québec se veut un chef de file en intelligence artificielle ; on serait en droit d’attendre des politiques proactives encadrant les conditions dans lesquelles on collecte et utilise les données. On constate plutôt un troublant désintérêt des autorités québécoises pour un cadre juridique capable de procurer de réelles garanties contre les dérapages.

La société numérique requiert un cadre juridique qui garantit l’intégrité et la confiance au sein des univers connectés. Par exemple, à quelles conditions les renseignements personnels et autres données massives doivent-ils être collectés ? Comment doivent-ils être protégés ? Une loi modernisée sur la protection de la vie privée doit obliger les entreprises à de vraies précautions à l’égard des données portant sur les individus.

Dans la société numérique et connectée, les données sont une ressource aussi cruciale que l’eau et l’air. Pour assurer les équilibres, il faut un cadre juridique qui protège les données et assure le partage équitable de la valeur que celles-ci permettent de générer. Il ne suffit pas de s’en tenir aux couplets habituels sur l’importance de protéger la vie privée.

[ad_2]

Source link

قالب وردپرس