Chaire en droit de la sécurité et des affaires électroniques

Ce matin est tombé le rapport de la commissaire adjointe Madame Elizabeth Denham relativement à la gestion des renseignements personnels par Facebook. Le document est documenté, intéressant et avec 103 pages on a là un bel exemple de négociation entre la multinationale et un organisme dédié à la protection des RP. C’est donc un exercice d’équilibre entre gens d’intérêts catégoriels contraires mais qui sont capables de comprendre l’autre.

Et ce qui est remarquable, c’est justement la bonne intelligence dans le propos, l’identification de la bonne volonté de la compagnie y est d’ailleurs plusieurs fois signalée. Cela dit, il y a trois catégories de questions :

• les plaintes infondées
• les plaintes fondées et résolues
• les plaintes fondées et non encore résolues par FB avec une menace de plainte judiciaire en bonne et due forme qui, si elle est réelle, ne m’apparaît pas tellement envisageable.

C’est surtout ces dernières qui nous intéressent même si on parlera des changements qui sont soit acceptés soit déjà opérés.

Les 12 travaux du commissariat

Ce rapport comme mentionné en son sein est une succession de 12 mini-rapports sur des points précis. 4 posent encore problème ; 3 posaient problème mais ont été résolus ; 5 ne posent pas de problèmes.

Les faux problèmes

Rapidement, les 5 questions soulevées par le CIPPIC qui ne sont pas problématiques sont la sécurité associée au Facebook pour mobile (section 9), la prétention de nouveaux usages des RP par FB (section 5), la non-information sur la surveillance des activités déviantes (section 10), la collecte d’informations provenant de sources externes (section 6) et enfin les fausses représentations relativement au fait que FB prétend qu’il n’est qu’un service de réseautage et non pas un site de publicité (section 11). Nous ne commenterons pas davantage.

Les vrais problèmes

En revanche, où le bâts blesse, c’est relativement à 4 situations somme toute assez ponctuelles, certaines plus que d’autres. Deux m’apparaissent moins susceptibles de craintes.

1 - D’abord, il s’agit de la gestion des informations des personnes décédées. Comme dit le proverbe « après moi le déluge » et la « vie privée » sans « vie », c’est plus ou moins important. La section 7b) est donc très précise et heureusement une préoccupation pour peu de monde.

2 - Ensuite, il y a la question selon moi plus irritante qu’honteusement illégal de la suppression de compte par l’usager et que FB refuse de totalement lâcher. Les arguments sont d’ailleurs assez drôles à la section 7a) où il est notamment cité les propos de FB selon lesquels :

« « Si vous désactivez votre compte dans la section “Désactiver le compte” sur la page Compte, votre profil et tous les renseignements qui lui sont associés sont immédiatement rendus inaccessibles aux autres utilisateurs de Facebook. Cela signifie que vous disparaissez réellement du site Facebook. Toutefois, nous sauvegardons les renseignements de votre profil (amis, photos, intérêts, etc.). Ainsi, si vous souhaitez le réactiver ultérieurement, votre compte aura exactement le même aspect et les mêmes contenus que lorsque vous l’avez désactivé. De nombreux utilisateurs désactivent temporairement leur compte et souhaitent retrouver leurs renseignements quand ils reviennent sur Facebook.

« Si vous pensez ne plus jamais utiliser Facebook et que vous souhaitez supprimer définitivement votre compte, nous nous en chargerons. Gardez à l’esprit que vous ne serez pas en mesure de réactiver votre compte ou de récupérer tout contenu ou renseignement que vous avez ajoutés. Si vous souhaitez supprimer définitivement votre compte sans la possibilité de le récupérer, veuillez soumettre votre demande ici même » [traduction]. »

(...)

« Nous offrons la désactivation aux utilisateurs qui souhaitent disparaître pour un moment ; environ 50 % des utilisateurs qui désactivent leur compte reviennent dans le mois suivant la désactivation, et un petit nombre réactive son compte après cette période. L’information du compte de ces utilisateurs est conservée pour leur permettre de vivre une continuité s’ils souhaitent revenir. Lorsque le compte est désactivé, l’utilisateur n’est plus présent dans le site. [...] De nombreux utilisateurs ne savent pas s’ils reviendront et ils doivent avoir la possibilité de réactiver facilement leur compte » [traduction]. »

La commissaire adjointe ensuite ceci :

« Ã€ la réunion de l’International Working Group on Data Protection in Telecommunications en septembre 2007, Facebook a affirmé que la période de conservation moyenne de données supprimées était de 10 à 15 jours, mais qu’elle pouvait être plus longue dans certaines parties du système. »

Si la situation ne m’apparaît pas considérablement dangereuse, il y a sans doute une infraction stricte au droit. Rien de dramatique, mais une violation technique au droit. Ceci est d’autant moins grave que comme dans la plupart des 12 situations, la légalité du droit est assurée en ajoutant quelques lignes au contrat que les usagers ne lisent déjà pas.

Ce « foutu » consentement, ce mythe de protection, est donc notamment la solution recommandée par le commissariat à la vie privée, conformément à la loi fédérale et aux lois provinciales.

3 - Applications de tiers Un ajout informationnel, par un contrat encore plus long et encore plus illisible est aussi la solution préconisée, et non résolues par FB, relativement aux applications offertes par des tiers qui reçoivent des informations des membres de la communauté comme cela apparaît à la section 4. Ce qui est en revanche très pertinent et passablement utile c’est de s’assurer que ces tiers qui introduisent ces applications soient sous un contrôle de FB en terme de sécurité. En effet, plusieurs d’entre elles ont par le passé étaient la cause de dommages de par l’introduction de virus par ce biais. On souhaite donc, en conformité de l’article 4.7 de l’annexe 1 de la loi que FB s’assurer minimalement de la sécurité des applications offertes.

4 - Enfin, le dernier bogue concerne la section 8 relativement aux informations les non-utilisateurs que les utilisateurs pourraient par exemples « tager » sur des photos. Le commissariat souhaiterait plus de limitation et de contrôle de ces données ce à quoi répond FB, page 90, ce n’est pas à moi, c’est aux usagers. Plus exactement :

« Facebook a également souligné qu’elle ne pourrait pas de manière réaliste supprimer les renseignements personnels de non-utilisateurs téléchargés par des utilisateurs, puisque ces renseignements appartiennent aux utilisateurs et sont sous le contrôle de ces derniers. Par conséquent, l’utilisateur qui télécharge les renseignements d’un non-utilisateur est responsable de ces renseignements. »

Les problèmes résolus

Sinon, 3 problèmes ont été résolus par le même principe du consentement qui dans la loi fédérale est particulièrement largement défini (à l’article 4.3). C’est le cas de la date de naissance qui doit être mise (même si tout comme moi on peut en mettre une fausse) ; c’est le cas des « paramètres » que l’on veut plus clairs avec une situation par défaut qui soit plus protectrice (et c’est très bien) ; c’est le cas de la publicité qui est autorisée dès lors que l’on accepte en sachant ce à quoi on consent.

Sur ce consentement, je me permettrai de citer un paragraphe d’un livre que je suis en train d’écrire avec mon collègue Pierre Trudel sur « Web 2.0 et circulation des renseignements personnels » suite à une étude mandatée par le Ministère des services gouvernmentaux du Québec (les notes de bas de pages ont été enlevées) :

« Ainsi, si ce consentement est un principe que l’on ne retrouve pas forcément dans les premiers textes initiaux – souvent internationaux – dont les lois nationales se sont inspirées , le consentement constitue une sorte de « lubrifiant » pour que la « machine » fonctionne, soit en exigeant le consentement des individus soit au contraire en considérant qu’il n’est pas requis. Dans le cadre de la gestion des renseignements personnels, le législateur a donc introduit une gestion des consentements, requis ou exonéré, au cas par cas, sans qu’une vision globale ne semble avoir été pensée. Afin que celui-ci ne soit donc pas regardé comme une porte ouverte béante vers une circulation qui serait possiblement attentatoires aux intérêts de l’individu , il importe à cette étape de considérer les rationalités derrière ce principe fondamental du droit de la protection des renseignements personnels. Une porte béante, et possiblement attentatoire aux intérêts des citoyens, qui est d’autant plus problématique que rares sont les hypothèses où les tribunaux interprètent ces contrats qui apparaissent sur les sites Internet, tant publics que privés d’ailleurs »

À sortir normalement à l’automne.

Quelques sentiments plus « aériens »

1) Similitudes sur la notion de contrôle Je l’ai déjà dit dans un précédent billet, même si le principe de « contrôle » n’est pas strictement dans la loi, il est sous-jacent dans plusieurs de ces principes. Cette notion que nous développons beaucoup avec Pierre Trudel dans le livre précité, est reprise à de très nombreuses reprises dans le rapport :

« 7. À une époque où tout le monde semble laisser l’empreinte numérique de ses points de vue, photos, croyances et parfois même de ses aléas amoureux, notre notion du contrôle de ses propres renseignements personnels — qui constitue le fondement de la Loi sur la protection des renseignements personnels et les documents électroniques — se trouve sérieusement ébranlée. »

« 13. Le contrôle qu’exerce une personne sur ses propres renseignements personnels est l’une des principales notions qui sous-tend la Loi. »

« 19. Nous sommes reconnaissants envers Facebook de leur coopération pendant toute la durée de l’enquête et nous apprécions son engagement manifeste à permettre aux utilisateurs d’exercer un contrôle sur leurs renseignements personnels tout en leur offrant la possibilité d’entrer en contact avec d’autres. »

« 87. Il est digne de mention que Facebook fournit aux utilisateurs des paramètres de confidentialité très complets. Je considère que ces paramètres donnent suite aux principes de la Loi en permettant aux utilisateurs de contrôler l’échange de leurs renseignements. Toutefois, tel que mentionné ci-dessus, Facebook pourrait améliorer certains de ces paramètres. »

2) Différences sur la « culture » des parties en cause

Si j’ai bien aimé ce rapport, si je suis persuadé que le commissariat à la vie privée mériterait plus de pouvoir d’action et plus de « dents » dans la loi, il est possible de percevoir une différence de « culture » entre le commissariat et Facebook.

Le commissariat c’est la « Loi », c’est le « dur », c’est « east coast » (selon Lessig), c’est la gestion des problèmes vue par le biais d’un oeil d’immigrant pour reprendre la distinction de Prensky (pdf).

Facebook c’est l’autorégulation avec un contrat validé par les usagers, c’est le « mou », c’est le « west coast », c’est les « natives ».

La meilleure illustration pour cette opposition se lit au paragraphe 17 :

« Je tiens à souligner que les utilisateurs de Facebook sont réputés pour faire part à l’entreprise de leur opinion par rapport aux particularités du site (qu’ils aiment ou qu’ils n’aiment pas). Suite à nos recommandations, Facebook a indiqué qu’il leur faudrait consulter les utilisateurs sur tout changement qu’ils prévoyaient faire à la documentation du site en raison de nos demandes. Bien que nous appréciions que Facebook juge la rétroaction des utilisateurs importante, les exigences et obligations législatives en vertu de la Loi ne sont pas subordonnées à l’approbation des utilisateurs. »

FB, pour se permettre des souplesses avec la loi milite très finement avec ce contrat nouvel âge dont j’ai déjà parlé ici et là. Certes, les deux ne s’opposent pas drastiquement. Cela présente néanmoins une confrontation inédite qu’il est agréable de constater.

3) Entrevues sur le sujet

 LCN ce matin
 LCN ce midi
 CIBL cet après-midi à citoyen numérique
 La presse demain avec Louise Leduc
 Le soleil avec Valérie Gaudreau
 Radio-Canada Ontario demain 7h20 AM. 

ouf !