/misc
Navigation

Surveillance et profilage des clients de Bell : on décide sans nous

RE_2014_06_03T160941Z_1248868304_GM1EA6400EO01_RTRMADP_3_CANADA
Photo Chris Wattie / Reuters Daniel Therrien, commissaire à la protection de la vie privée du Canada

Coup d'oeil sur cet article

Le Commissariat à la protection de la 'vie privée' du Canada vient de légitimer le plus vaste projet commercial de surveillance des citoyens canadiens... sans daigner nous demander notre avis. Il est temps d’en finir avec ce paternalisme légal.

Les entreprises commerciales du secteur numérique entrent-elles dans une période de turbulence à cause de leurs activités de surveillance et profilage des individus? Peut-être.

La semaine dernière, les médias rapportaient une étude commandée par la Commission de la protection de la 'vie privée' de Belgique concluait que Facebook enfreint le droit européen en surveillant et profilant les internautes non connectés qui visitent son site, y compris ceusses qui n’en ont jamais été membres.

On réfèrera probablement à cette étude et d’autres dans le cadre du recours collectif déposé aujourd’hui à Vienne par 25 000 personnes contre la surveillance des internautes par Facebook. Et déjà 55 000 autres ont annoncé vouloir s’y associer.

Au Canada, c’est Bell qui retient cette semaine l’attention à propos de ses activités de surveillance et profilage publicitaire de ses clients. Le Commissariat à la protection de la 'vie privée' du Canada publiait son rapport d’enquête sur le « Programme de publicité pertinente » de Bell.

La lecture de ce rapport est troublante, autant sur les pratiques de Bell que celles du Commissariat.

Au final, le Commissariat n'a surtout que légitimé des pratiques contestables et discutables

Ambitieux programme de surveillance et profilage

En gros, le « Programme de publicité pertinente » (PdPP) de Bell consiste à :

  1. surveiller et produire des informations sur les activités numériques de ses clients ;
  2. traduire les informations obtenues en profils de cibles publicitaires selon 312 catégories ; et
  3. vendre aux publicitaires un accès privilégié aux clients correspondant aux cibles particulières qu’ils visent.

Quand Bell parle de « publicité pertinente », c’est donc essentiellement du point de vue des publicitaires. En effet, le PdPP ne donne aux clients aucun contrôle sur les publicités auxquelles ils souhaitent ou non être exposés. Et encore moins de contrôle sur la surveillance de leurs activités numériques. Le seul choix offert par Bell à ses clients est de permettre ou non leur profilage publicitaire, c’est-à-dire leur transformation ou non en cibles vendables plus chères aux publicitaires.

Pour l’instant, le PdPP ne s’applique qu’aux abonnés de ses services de téléphonie mobile (Bell mobilité et Virgin mobile). Mais l’entreprise désire l’appliquer à l’ensemble de ses services de téléphonie, télédistribution et internet.

Ainsi pour produire ses profils, Bell comptait se servir de l’ensemble des informations suivantes, souvent très détaillées :

Comptes clients Bell :

  • Produits et services de Bell (ex. : types et modèles d’appareils, code postal, habitudes de paiement, langue de préférence, cote de crédit) ;
  • Données démographiques (sexe, groupe d’âge, revenus) ;

Utilisations du réseau Bell :

  • pages web visitées depuis appareil mobile, maison ou wifi, y inclut mots-clés et requêtes de recherche.
  • emplacements géographiques de l’utilisateur;
  • fonctions et applications utilisées sur chacun des appareils
  • contenus télé visionnés (abonnements, heures et durées de visionnement d’émissions, films ou évènements);
  • appels téléphoniques (numéros composés, heures et durées de chaque appel).

Comme vous le constatez, c’est beaucoup, beaucoup d’informations détaillées alors que nous sommes de plus en plus branchés en permanence, souvent sur plusieurs appareils et applications en même temps.

Nombre record de plaintes

L’enquête du Commissariat faisait suite à la réception d’un nombre record de plaintes (170) sur un même sujet. Tobi Cohen, porte-parole du Commissariat, m’a précisé :

« Plusieurs plaignants ont exprimé le souhait bien précis – et ont dit s’attendre – que Bell leur demande un consentement explicite et positif afin d’utiliser leurs renseignements personnels dans le cadre de son programme. Certains étaient préoccupés à savoir s’ils pouvaient retirer leur consentement, alors que d’autres ont soulevé la question de savoir si l’entreprise continuerait à dresser leur profil même s’ils avaient retiré leur consentement. D’autres enfin remettaient en question le caractère approprié du programme dans son ensemble. »

Le Commissariat a donné raison aux plaignants sur le fait que Bell doit demander à ses clients leur consentement explicite à d’utiliser leurs informations pour le PdPP. Jusqu’au début de la semaine, Bell refusait totalement de le faire. Depuis la publication du rapport, Bell a laissé entendre qu’elle demanderait un tel consentement, mais sans encore préciser comment.

Commissariat n’a consulté ni les plaignants ni les clients de Bell ni les associations de consommateurs

Le Commissariat a aussi donné raison au plaignant sur le fait que Bell doit cesser d’accumuler des informations de profilage et détruire toutes celles stockées lorsque ses clients retirent leur consentement à participer au PdPP. Bell a accepté cette recommandation.

Le Commissariat a aussi demandé de ne plus utiliser certaines informations comme la cote de crédit et le code postal complet (trop précis) pour le profilage publicitaire.

Cependant sur la question du caractère appropriée du « Programme de publicité pertinente » lui-même, le Commissariat déraille étrangement.

Programme de surveillance et profilage légitime?

Le Commissariat reconnait que le PdPP est un programme sujet à controverse et que sa légalité en vertu de la Loi sur les télécommunications est « une question sur laquelle se penche actuellement le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC). »

Le Commissariat reconnait d’ailleurs qu’aucun autre concurrent canadien de Bell en télécommunication et télédistribution n’opère de programme semblable au PdPP.

Rappelons qu’il ne s’agit pas de financer par la publicité des services gratuits comme ceux de Facebook, Google ou l’accès web à ce Journal. Nous payons déjà des montants de plus en plus considérables pour ces services de télécommunications (téléphone, internet, wifi) dont nos vies deviennent sans cesse de plus en plus dépendantes (191 $/mois par ménage, 2 292 $/année en 2013).

Comment peut-on justifier permettre à ces entreprises canadiennes qui ont fait 61,9 milliards (en 2013 en incluant la télédistribution) de scruter nos moindres gestes numériques pour nous vendre à des publicitaires? Un programme qui ne se distingue que bien peu de la surveillance de masse de nos communications par les États que ce même Commissariat a maintes fois dénoncée?

Compte tenu du débat en cours sur la légalité de pratiques telles le PdPP devant le CRTC, le Commissariat aurait pu simplement :

  • suspendre sa qualification du caractère légitime ou non du PdPP ;
  • se contenter de faire des recommandations provisoires pour rendre le PdPP existant plus conforme aux exigences de la loi;
  • référer au débat en cours devant le CRTC où toutes les parties concernées, notamment les entreprises de télécommunications et télédistribution ainsi que les associations de consommateurs peuvent se faire entendre;
  • annoncer que le Commissariat participerait à ce débat en cours devant le CRTC; et
  • inviter les commissions provinciales, les citoyens canadiens et toutes autres parties intéressées à présenter aussi leurs observations et arguments devant le CRTC.

Non, alors que la légalité même de la pratique pourrait être mise en doute, le Commissariat déclare plutôt que « l’objectif de Bell qui consiste à maximiser ses recettes publicitaires tout en améliorant l’expérience des clients en ligne est un objectif commercial légitime » permettant de justifier son programme de surveillance et de profilage publicitaire.

Dialogue fermé sur une question publique

Le Commissariat a balisé les obligations de Bell – indirectement, de ses concurrents – et donc les droits des clients de Bell  – indirectement, de la quasi-totalité de la population canadienne. Mais ces conclusions sont le fruit d’un dialogue exclusif avec Bell.

À aucun moment, le Commissariat n’a consulté ni les 170 plaignants ni l’ensemble des clients de Bell ni même les associations de consommateurs oeuvrant en télécommunications. Tobi Cohen du Commissariat, me l’a confirmé.

On peut comprendre qu’un processus de plainte se fasse en circuit restreint lorsqu’il concerne une seule personne (ex. : mésentente sur l’accès à son propre dossier personnel ou sur la correction de certaines informations). De même lorsque la plainte porte sur le passé (ex. : perte ou vol de dossiers personnels).

C’est tout autre chose que de baliser l’application pour l'avenir des obligations et des droits de toute une industrie et toute une population alors que l'horizon numérique est toujours si incertain et fluctuant.

En démocratie comme dans un État de droit, l’obligation pour les citoyens de se soumettre à une décision les affectant implique leurs droits de savoir et de se faire entendre. Le caractère fermé du dialogue entre le Commissariat et Bell et de ses conclusions contredit ces principes.

Ce caractère fermé transparait notamment dans le fait qu’aucune des recommandations du Commissariat n’a touché le contrôle actif des clients sur leurs propres profils, et donc sur la publicité à laquelle ils acceptent d’être exposés. Nulle part en effet, il n’est question que les clients consentants de Bell puissent accéder aisément à leur propre profil. Encore moins le rectifier. Ce sont pourtant deux principes clés du droit de protection des renseignements personnels, partout dans le monde.

Par exemple, je suis non propriétaire d’auto depuis plus de vingt ans. La dernière chose que je souhaite serait d’être dorénavant la cible systématique de publicités de constructeurs et vendeurs automobiles, même si j’ai récemment fait des recherches sur internet pour une proche qui s’achetait une voiture. Si je suis « profilé », autant que ce profil ressemble à mes intérêts réels (et sert donc mieux les intérêts des publicitaires par la même occasion).

Manifestement, le Commissariat n’a pas recherché ni un meilleur équilibre des pouvoirs entre la grosse entreprise Bell et ses clients individuels. Ni même une meilleure application de sa propre loi au PdPP. Pourtant, le Commissariat a toute latitude pour ce faire puisqu’en tant qu’ombudsman, il n’a aucun pouvoir d’ordonnance obligatoire : seulement la possibilité de formuler des recommandations.

Au final, le Commissariat n'a surtout que légitimé des pratiques contestables et discutables.

Démocratie en l’ère numérique

Même s’il a respecté la lettre du mandat que lui confie la loi, le Commissariat à la protection de la 'vie privée' du Canada a manifestement fait preuve de manque de jugement politique et juridique.

Il aurait pu mieux harmoniser son action avec celle du CRTC. Il aura pu mieux respecter la population canadienne pour laquelle il est censé agir comme protecteur. Il aurait pu mieux faire preuve de cohérence dans l’application des principes de protection des citoyens contre la surveillance massive de leurs communications et activités numériques.

Alors que nos sociétés entrent à peine dans cette ère numérique qu'elles doivent apprendre à maitriser, il est temps d’en finir avec ce paternalisme légal d'un autre âge qui caractérise souvent le travail des commissions de protection des renseignements personnels. Ce sont de nos propres vies numérisées dont il est question après tout.


Vous désirez réagir à ce texte dans nos pages Opinions?

Écrivez-nous une courte lettre de 100 à 250 mots maximum à l'adresse suivante: