Du personnel, du confidentiel et du sensible


Gérard Blanc - 20/10/2009

La protection de la vie privée n’est pas une problématique récente. Depuis toujours des individus peu scrupuleux se sont fait passer pour d’autres.

Depuis que le commerce existe, des commerçants plus avisés tentent de mieux connaître leurs clients, en conservant des informations. Depuis que les administrations existent, elles rassemblent inlassablement des informations sur leurs administrés, pour être au faîte de leurs dossiers et pouvoir les identifier.

Depuis que le marketing est marketing, cette fonction des organisations a comme mission d’apprendre et de connaître les modes de fonctionnement, de vie et de consommation des clientèles cibles. Là encore, pour parvenir à de telles fins, il faut aller chercher et accumuler une quantité industrielle d’informations sur les clients, les stocker et les analyser au moyen des statistiques et par recoupement.

Il y a dans notre société encore toute une multitude d’évènements qui vont conduire, chaque fois, à la divulgation d’un peu plus de renseignements sur la vie privée des gens. Informations qui s’accumulent, se distribuent, s’analysent, se recoupent et se réemploient à bon ou à mauvais escient. C’est là que sont les risques, le danger et la sensibilité des informations relatives à la vie privée.

Pour que tout le monde parle de la même chose, il faut, en premier lieu, donner quelques définitions.

La vie privée

Le site du Secrétariat du Conseil du Trésor du Canada donne pour la vie privée la définition suivante :

« Art. 17 : 1. Personne ne sera soumis à l’ingérence arbitraire ou illégale dans sa vie privée, sa famille, sa maison ou sa correspondance, ni à des atteintes illégales à son honneur et à sa réputation. »

De son côté, le Commissaire à la protection de la vie privée du Canada définit le droit à la vie privée comme :

« Le droit d’une personne de contrôler l’accès à sa personne et aux renseignements qui la concernent. Le droit à la vie privée signifie que la personne décide des renseignements qui sont divulgués, à qui et à quelles fins. ».

Parallèlement, une autre définition semble excellente. Elle provient du Dictionnaire du droit privé, un site Internet dédié au droit privé français, certes, mais qui offre une réflexion et un point de vue intéressant et bien structuré. Elle se lit comme suit :

« La vie privée, en fait il faut pour être précis dire plutôt ‘le droit à l’intimité de la vie privée’ fait partie des droits civils. Les composantes de la vie privée n’ont pas fait l’objet d’une définition ou d’une énumération limitative afin d’éviter de limiter la protection aux seules prévisions légales. Les tribunaux ont appliqué le principe de cette protection, au droit à la vie sentimentale et à la vie familiale, au secret relatif à la santé, au secret de la résidence et du domicile, et au droit à l’image. »

À la lecture des différentes définitions et avec un peu d’analyse, il est possible d’avancer que le concept de vie privée se compose de plusieurs notions : les renseignements personnels, les renseignements confidentiels, les renseignements sensibles et les renseignements publics.

Les renseignements personnels

Les renseignements personnels sont ceux qui touchent directement une personne dans son individualité et permettent de l’identifier. Le nom, le prénom, l’âge, la date de naissance, les caractéristiques morphologiques, les coordonnées (adresse, numéro de téléphone, adresse de courriel) etc. Tous ces renseignements sont, en général, sans aucun risque s’ils sont pris individuellement. Les gens sont nombreux à porter le même prénom. Ils sont nombreux à porter aussi le même nom. Mais disposer du même binôme, nom et prénom, devient vite plus spécifique. Si l’on y ajoute la même date de naissance, cela devient de l’identification.

C’est l’accumulation de tous ces types de renseignements, concernant une même personne, qui permet aux individus mal intentionnés de faire de l’usurpation d’identité. Et pourtant, toutes les enveloppes que nous recevons dans notre boîte à lettres indiquent clairement notre nom, prénom et adresse précise. Plusieurs d’entre elles contiennent à l’intérieur ce qu’il faut pour compléter l’usurpation d’identité.

L’usurpation d’identité, bien qu’elle ne soit pas nouvelle, est réellement devenue un fléau avec la démocratisation d’Internet et le soutien de la technologie. Il semblerait que deux spécialités, pour faire de l’argent rapidement, se soient développées en la matière.

D’une part il y a ceux qui procèdent à la collecte des informations et montent les identités usurpées qu’ils vendent ensuite, sans les utiliser eux-mêmes. Et ceux qui, moins experts ou trop pressés pour faire l’ouvrage, achètent ces identités usurpées pour commettre le méfait ultime, en se faisant passer pour qui ils ne sont pas. Mais l’un comme l’autre sont punissables par la loi.

Sauf que ceux qui procèdent à l’usurpation d’identité le font par Internet et se trouvent souvent dans des pays différents, donc les lois ne les atteignent pas. Par contre, ceux qui commettent le méfait doivent être dans le même pays que le propriétaire légitime de l’identité usurpée. Cela permet aux services policiers de traquer ces malfrats, mais pas d’endiguer le problème en agissant à source. L’appât du gain fait que les malfrats se succèdent puisque les fournisseurs d’identités usurpées sont toujours en place. Un peu comme les revendeurs de drogue et les cartels du même produit illicite.

Les renseignements confidentiels

Les renseignements confidentiels sont ceux qui concernent spécifiquement plusieurs aspects d’une personne, différents de son identité. Il s’agit de son état physique, son état de santé, son environnement et son mode de vie. Tous ces renseignements confidentiels pourraient être utilisés de façon discriminatoire s’ils venaient à être divulgués.

Des maladies comme le VIH, les MTS et autres maladies importantes, mais non contagieuses pourraient donner suite à une discrimination, pour un emploi, pour la location d’un appartement ou décupler le tarif d’une assurance. L’environnement ou le mode de vie pourrait être discriminatoire pour l’obtention d’un crédit, d’un prêt ou d’un service, sur les taux d’intérêt consentis par les institutions financières, etc. Cela pourrait aller jusqu’à porter atteinte à la réputation d’une personne, par des présomptions a priori.

Les renseignements sensibles

Les renseignements sensibles sont des renseignements qui ne sont pas secrets, ni même confidentiels, mais dont l’appariement avec d’autres donne ensemble un mélange explosif. Par exemple : nom + prénom + adresse + numéro de carte de crédit + date d’échéance. Pourtant, le pizzaiolo qui vous livre les soirs de matchs de hockey possède l’ensemble. Le vendeur, à qui vous avez acheté votre réfrigérateur et qui devra le livrer, possède aussi cet ensemble.

Dans le même genre, il y a aussi : nom + prénom + adresse + numéro de permis de conduire + date de validité. Avec en plus, pour le permis de conduire, la fâcheuse habitude des vendeurs d’en faire une photocopie qu’ils mettent au dossier, plutôt que de relever laborieusement le long numéro.

Mais que deviendront ces informations, un jour de grand ménage des dossiers? Des informations sensibles, il y en a aussi plein les disques rigides – le vôtre, mais aussi celui des ressources humaines et de nombre d’institutions et organismes. Un jour de panne, ce disque est emporté pour être testé en atelier par un réparateur consciencieux. Si la firme aime choyer ses clients, peut-être décidera-t-elle de remplacer sans frais le disque en question. « Excellent service pour le client! » Mais, qu’advient-il de l’ancien disque et surtout de tous les dossiers personnels qu’il contient? Dans la même veine, lors d’une faillite, le syndic vendra aux enchères les actifs informatiques en place. Si bien que les disques rigides et bases de données des ressources humaines, de la facturation, des commandes, etc. et leurs dossiers nominatifs changeront de mains sans aucune précaution!

Les renseignements publics

Dans nos vies, nous avons tous des renseignements qui sont publics ou qui deviennent publics. Alors, ils ne sont plus protégés de la même façon par les lois en la matière. Les personnes qui font une ou des publications publiques avec leur nom et prénom, voire leur adresse, leur numéro de téléphone ou leur courriel, voient ces renseignements changer de catégorie et de type de protection.

Les risques

Les renseignements concernant la vie privée doivent absolument être protégés par un filet juridique, car les moyens et les stratagèmes pour les usurper sont légion.

Les amalgames et les recoupements de renseignements anodins peuvent devenir rapidement des atteintes graves à la vie privée des gens. Et les moyens d’obtenir de tels renseignements sont multiples. Tout d’abord, parmi les moyens très dangereux, il y a les tentatives d’hameçonnage (fishing) qui visent souvent les informations bancaires, mais pas uniquement. Il y a « la langue de bois » qui consiste à soutirer des informations aux gens, en parlant avec eux, avec leurs proches ou leurs collègues.

Il y a aussi le maraudage de renseignements dans les boîtes à lettres, dans les poubelles de bureaux et dans les bacs de recyclage du papier qui sont de véritables mines en la matière. Il y aussi Internet, avec ses pièges, ses fraudes et ses indiscrétions surles clavardages. Il y ala multitude de fichiers conservés par les commerçants, les cliniques et les institutions qui sont bien protégés, jusqu’au jour où il y a une défaillance ou une intrusion.

Il y a aussi les indiscrétions tirées des copies de sauvegarde. Il y a les formulaires aux trois quarts remplis et qui, pour une erreur, ont dû être recommencés et finissent dans la corbeille, sans être déchiquetés. Il y a aussi les routeurs sans fil, mal protégés et qui partagent allègrement leur trafic, sans que personne ne le sache. Il y a aussi les CD, les disques externes, les clés USB et autres médias égarés, avec tout leur contenu sensible, etc. La liste pourrait être encore longue et ne sera jamais exhaustive.

Le principe de réciprocité

Contraints par les lois, orientés par les objectifs corporatifs et poussés par la qualité du service à la clientèle, de plus en plus d’organismes et d’institutions implantent des procédures internes pour améliorer leur propre respect de la vie privée de leurs clients. D’ailleurs, dans tous les appels qui leur sont faits, de même que ceux qu’ils placent en direction de leurs clients, deux choses ont fait leur apparition.

D’abord, il y a toute une litanie de questions personnelles pour vous identifier et s’assurer que vous êtes bien vous. « Au moins, ils ne divulgueront pas le contenu de votre dossier à un inconnu », pensez-vous. Et puis, il y a le ruban qui vous prévient que « cet appel pourrait être enregistré ». En fait, il est enregistré toutes les fois à titre de preuve. « Ça, c’est de la protection de la vie privée! »

Mais là ou le bât blesse, c’est que vous, de votre côté, quandvous recevez un tel appel, comment savez-vous hors de tout doute que c’est bien la banque XYZ ou l’organisme ABC, qui vous appelle? Allez-vous répondre à toute la série de questions personnelles sans être sûr de qui est votre interlocuteur? À part le seul fait qu’il se présente au téléphone, ce que n’importe qui pourrait faire. Mais, là, il ne semble plus y avoir de procédure.

La protection de la vie privée serait-elle unilatérale? Car, dans ce cas, cela ressemblerait plus à de la protection des intérêts de l’institution ou de l’organisme, pourrait dire une mauvaise langue.

La vie privée doit être protégée. Bien que le législateur a doté la société de texte de loi, il en reste que c’est à chacun d’être prudent avec ses propres renseignements.

Mais, il y a loin de la coupe aux lèvres. En effet, comment refuser à un commerçant qu’il fasse une photocopie d’un permis de conduire sans que lui, à son tour, refuse de vendre l’objet tant convoité au prix proposé? Comment refuser à une institution ou un organisme de s’identifier? Il semble bien qu’avec le temps, la technologie et les prérogatives de la sécurité, la vie privée s’étiole comme une peau de chagrin.


Jeux de lois

Les lois fédérales Le Canada dispose de deux lois sur la protection des renseignements personnels. Il s’agit de la Loi sur la protection des renseignements personnels (L.R., 1985, Ch.P-21), dont la dernière mise à jour date du 3 septembre 2009.

Et il s’agit également de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) (2000, Ch. 5), dont la dernière mise à jour date du 18 août 2009.

Les lois provinciales Le Québec fait partie des provinces à avoir adopté une loi essentiellement similaire à la LPRPDE. Cette loi régit la collecte, l’utilisation et la communication de renseignements personnels par les entreprises et d’autres organisations et confère aux particuliers le droit général d’avoir accès à leurs renseignements personnels et de les corriger.

Loi sur la Protection des renseignements personnels dans le secteur privé (L.R.Q. c. P-39.1), dont la dernière mise à jour date du 14 sept. 2007.

Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q. c. A-2.1), dont la dernière mise à jour date du 17 juin 2009.

Gérard Blanc est associé principal d’une firme conseil en gestion et en systèmes d’information.




Gérard Blanc

À propos de Gérard Blanc

Gérard Blanc est directeur conseil.