Loi pour le consentement explicite des données au Québec: de la poudre aux yeux

Vous pouvez lire l’article dans La Presse.

Assurément une bonne nouvelle pour les consommateurs… Vraiment?

Voici mon humble avis en tant que scientifique de données :

C’est purement de la poudre aux yeux à cause de la nature humaine.

Je ne dis pas cela parce que je suis contre la protection des données personnelles, bien au contraire. Il y a des lacunes importantes dans la façon dont le web a évolué depuis sa démocratisation et surtout sa commercialisation. D’un système voué au réseautage des centres universitaires, il est devenu le coeur de nos communications, et donc du partage de nos vies. Il est donc essentiel que nous puissions garder privés certains pans de nos existences. Mais notre comportement et les besoins du marché vont pourtant à l’encontre des nobles sentiments de cette loi et de toutes ses semblables dans le monde.

Les gens ne veulent pas donner leurs informations et pourtant ils le font constamment [1]. La majorité des gens (67% des adultes au Québec en 2017) ont un compte Facebook et y étalent constamment leur vie personnelle. Mais la perception est importante et la première chose que les gens justement veulent c’est de savoir qu’ils ont le « contrôle » sur leurs données personnelles (ainsi que de savoir que du côté des entreprises, leurs données sont protégées) [2].

Le pire, c’est que cette loi est à l’avantage des marketeurs car bien que le public dit qu’il ne veut pas partager ses informations ni avoir de la publicité ciblée, en fait, ce qu’il désire vraiment, c’est de la transparence sur le processus afin d’être rassuré [3]. Et plus les gens perçoivent que leurs données sont sous leur contrôle, plus la quantité de données qu’ils divulguent est grande [4]. Donc l’univers du marketing ne peut qu’être en faveur de ce genre de loi qui donne plus de pouvoir au public car il augmente à terme la confiance de la population et améliore ainsi la collaboration entre population et annonceurs.

Malheureusement, ce genre de loi a peu d’effet; une grande partie des sites web européens ne respectent toujours pas le GDPR avec 49% des sites webs qui collectent toujours des données avant d’obtenir le consentement des utilisateurs [5]. Le plus amusant, c’est que, loi ou non, l’industrie qui a le plus de transparence dans son utilisation des données personnelles et qui en assure le plus la sécurité, c’est le porno (ou « sites pour adultes » pour reprendre l’euphémisme utilisé par l’auteure) [6]. Et au final, même quand les données sont censées être protégées, elles trouvent quand même moyen de se retrouver dans d’autres mains qui les saisissent au vol, comme dans les courriels desquels elles sont constamment subtilisées [7].

Donc même si ce projet de loi se concrétise, le résultat final pourrait être contraire aux attentes. Les gens ayant le sentiment d’être protégés pourrait finir par partager plus volontiers leurs données privées. Les sites web, par manque de ressources, de compétence ou de scrupules, vont pour la plupart bafouer la loi. Et de nombreux acteurs privés de morale vont continuer à piger ces données dans les nombreuses failles de sécurité.

D’ailleurs, la pire fuite de données au Québec des dernières années, celle chez Desjardins, n’avait rien à voir avec notre utilisation de l’Internet. Il y a donc encore beaucoup de travail à faire avant d’arriver à un monde meilleur.

Et vous, qu’en pensez-vous?

Bibliographie

1.Hargittai E, Marwick A. “What Can I Really Do?” Explaining the Privacy Paradox with Online Apathy. International Journal of Communication [Internet]. 2016 Jul 27 [cited 2017 Dec 12];10(0):21. Available from: http://ijoc.org/index.php/ijoc/article/view/4655

2. Data protection rights: What the public want and what the public want from Data Protection Authorities. Manchester: Information Commitioner’s Office | European conference of Data Protection Authorities; 2015 May.

3. Turow J, King J, Hoofnagle C, Bleakley A, Hennessy M. Americans Reject Tailored Advertising and Three Activities that Enable It [Internet]. Rochester, NY: Social Science Research Network; 2009 Sep [cited 2018 Jan 12]. Report No.: ID 1478214. Available from: https://papers.ssrn.com/abstract=1478214

4. Hajli N, Lin X. Exploring the Security of Information Sharing on Social Networking Sites: The Role of Perceived Control of Information. J Bus Ethics [Internet]. 2016 Jan 1 [cited 2020 Feb 13];133(1):111–23. Available from: https://doi.org/10.1007/s10551-014-2346-x

5. Trevisan M, Traverso S, Bassi E, Mellia M. 4 Years of EU Cookie Law: Results and Lessons Learned. Proceedings on Privacy Enhancing Technologies [Internet]. 2019 Apr 1 [cited 2020 Jan 21];2019(2):126–45. Available from: https://content.sciendo.com/view/journals/popets/2019/2/article-p126.xml

6. Marotta-Wurgler F. Self-Regulation and Competition in Privacy Policies. The Journal of Legal Studies [Internet]. 2016 Jun 1 [cited 2017 Dec 12];45(S2):S13–39. Available from: http://www.journals.uchicago.edu/doi/full/10.1086/689753

7. Englehardt S, Han J, Narayanan A. I never signed up for this! Privacy implications of email tracking. Proceedings on Privacy Enhancing Technologies [Internet]. 2018;2018(1):109–126. Available from: https://www.degruyter.com/downloadpdf/j/popets.2018.2018.issue-1/popets-2018-0006/popets-2018-0006.pdf