L’indignation récente de certains députés au sujet d’une présumée collecte secrète de données sur les Canadiens par l’Agence de la santé publique du Canada (ASPC) montre à quel point bien des gens se trompent à propos des divers types de renseignements personnels et de la façon dont ils devraient être utilisés ou non.
De manière générale, on doit faire la distinction entre deux types de données pouvant être recueillies sur les particuliers. Il y a tout d’abord les données permettant l’identification individuelle. Dans le domaine des soins de santé, celles-ci contiennent généralement des renseignements de nature délicate, notamment notre nom et nos troubles médicaux, que nous voulons que personne ne voit à part nos fournisseurs de soins de santé.
Il y a ensuite les données qui sont groupées, ou agrégées, par exemple le nombre de personnes qui ont contracté la COVID-19 et sont admises à l’hôpital. Les gouvernements doivent posséder ce genre de données pour pouvoir planifier et offrir des services essentiels de qualité aux Canadiens.
Il faut par ailleurs faire la distinction entre l’utilisation des données individuelles et des données groupées. Il est en effet extrêmement important de faire la différence entre l’usage pour le « bien public » et les utilisations du secteur privé et à des fins commerciales. Jusqu’à il y a dix ans environ, les utilisations par le secteur privé passaient souvent inaperçues, car les moyens de recueillir de vastes quantités de données personnelles étaient beaucoup plus limités. Toutefois, grâce à la croissance spectaculaire des grandes entreprises technologiques et à la pénétration remarquable des téléphones intelligents dans notre vie personnelle, le secteur privé est maintenant un géant de la collecte et de l’utilisation de données délicates permettant l’identification individuelle.
C’est justement parce qu’ils ne comprennent pas ces distinctions et sont mal renseignés que ces députés poussaient récemment de hauts cris et tentaient à tort d’établir un rapport entre l’utilisation de données de téléphones cellulaires par l’ASPC et l’atteinte à la vie privée des Canadiens.
La distanciation physique est l’une des plus importantes consignes de santé publique depuis que nous faisons face à la pandémie de COVID-19 : si deux personnes ne sont pas proches l’une de l’autre, le virus ne peut pas se propager. L’une des façons évidentes de surveiller l’efficacité de cette mesure est de vérifier les schémas de mobilité, notamment en déterminant dans quelle mesure les gens restent chez eux et si le taux d’infection est plus élevé dans les zones plus peuplées.
Il aurait été pratiquement impossible de recueillir ce type de données il y a dix ans, mais, grâce aux téléphones intelligents modernes, les fournisseurs de services mobiles peuvent observer la tour cellulaire la plus proche de chaque téléphone de leur réseau. C’est assez facile pour eux d’établir le pourcentage de la journée pendant lequel un téléphone est près d’une tour en particulier. Ils peuvent alors produire des données agrégées pour une série de quartiers, générer des statistiques et déterminer ensuite par exemple la proportion de téléphones cellulaires qui étaient à leur « lieu de résidence habituel » pendant la majeure partie de la journée, ou les endroits qui semblent plus achalandés et sont plus susceptibles d’avoir un taux d’infection plus élevé.
Même si le rayon des endroits évalués faisait l’objet de basses limites – couvrant, disons, au moins 20 téléphones –, il serait impossible d’utiliser les données pour identifier une personne quelconque, car elles seraient agrégées.
Ce sont là les types de données agrégées qui sont fournies à l’ASPC et qui sont essentielles à l’orientation des politiques du gouvernement en matière de fermetures et d’autres mesures de distanciation physique visant à lutter contre la pandémie, tout en réduisant les effets négatifs inévitables sur les entreprises et les particuliers.
Ces données ne portent atteinte à la vie privée de personne.
La façon dont les sociétés de télécommunications et les grandes entreprises technologiques collectent et utilisent des données permettant l’identification individuelle est cependant une autre histoire.
Les types de renseignements couramment recueillis, notamment à l’aide d’applications de téléphones intelligents et de sites de médias sociaux, sont obtenus légalement, avec « consentement », et souvent à de bonnes fins et à des fins utiles, mais y a-t-il quelqu’un qui lit vraiment le jardon juridique en petits caractères dans ces déclarations de consentement afin de comprendre à fond comment ses données seront utilisées avant de cliquer sur « j’accepte » ?
L’indignation manifestée à l’égard de l’ASPC et de la collecte de données met en lumière un problème majeur au Canada. D’une part, nous ne savons pas vraiment comment servent toutes les données recueillies par les entreprises du secteur privé. D’autre part, des craintes non justifiées quant à la protection de la vie privée risquent d’entraver toutes sortes d’utilisations de données publiques positives et de la plus haute importance.
Bien que le risque de réidentification de personnes à partir de données agrégées soit infinitésimal, il serait utile de rehausser la protection de la vie privée si c’était une infraction au Code criminel de réidentifier, intentionnellement ou par malveillance, une personne quelconque.
Il serait tout aussi important que le Commissaire à la protection de la vie privée, en présumant que son enquête détaillée ne révèle rien qui ne soit déjà du domaine public, affirme très clairement que l’ASPC n’a pas porté atteinte à la vie privée, et que l’utilisation de ces données était manifestement pour le bien public.
La réglementation plus stricte des grandes entreprises technologiques, qui exigerait à tout le moins une transparence accrue en matière de collecte et d’utilisation des données, reste importante, mais constitue une tout autre question.
Photo gracieuseté de Pixabay
