PDF
Mavis Taillieu, députée provinciale
Lidentification par radiofréquence est une nouvelle technologie qui pourrait
permettre une collecte sans précédent de renseignements personnels. Celle-ci,
liée à dautres bases de données de renseignements, dont bon nombre sont
utilisées à linsu des personnes concernées ou sans leur accord, inquiète
ceux qui croient quil faut protéger les renseignements personnels et la
vie privée. Dans ce meilleur des mondes, la technologie progresse à la
vitesse de léclair, tandis que notre compréhension de ses utilisations
croît avec la lenteur dune tortue. Dans le présent article, lauteure
quil est temps que les législateurs se penchent sérieusement sur la technique
didentification par radiofréquence et ses répercussions pour la société
canadienne.
En 2004, la commissaire à la protection de la vie privée de lOntario,
Anne Cavoukian, a publié un rapport mettant en évidence les risques que
fait courir à la vie privée lidentification par radiofréquence (IRF).
Cette méthode didentification très spécifique repose sur lutilisation
de dispositifs de stockage de données appelés étiquettes ou transpondeurs
ainsi que de dispositifs de lecture à distance appelés interrogateurs ou
lecteurs. Les étiquettes sont de petits objets. Les plus grandes mesurent
quelques centimètres carrés, tandis que les plus petites ont la taille
dun grain de poivre. On peut les fixer sur un produit, un animal ou une
personne ou les incorporer dans lobjet ou lêtre récepteur. Les étiquettes
IRF contiennent des puces de silicium et une antenne qui leur permettent
de recevoir des interrogations en radiofréquence provenant dun lecteur
et dy répondre. En juin 2006, la commissaire a publié, à lintention des
entreprises utilisant cette technologie, des lignes directrices sur lidentification
par radiofréquence qui reposent sur trois principes fondamentaux : se concentrer
sur les systèmes dinformation fondés sur lidentification par radiofréquence,
et non sur les technologies elles-mêmes; intégrer, dès létape de la conception,
des caractéristiques de protection de la vie privée et de sécurité; assurer
une participation maximale des particuliers et obtenir leur consentement.
Ce nest pas la technologie IRF qui a suscité les préoccupations des défenseurs
de la vie privée, mais les possibilités qui sy rattachent. Les étiquettes
IRF sont uniques et spécifiques et, donc, parfaitement identifiables aux
produits, aux personnes et aux animaux qui les portent. Elles jouent un
rôle analogue à celui des codes à barres, mais sont beaucoup plus sophistiquées.
Contrairement au code à barres qui identifie toutes les canettes de cola
comme contenant ce produit, létiquette IRF peut identifier chaque canette
dune façon unique. La lecture du code à barres se fonde sur lutilisation
dun faisceau lumineux, alors que létiquette IRF reçoit et émet des ondes
radio à travers les objets qui lentourent, que ce soit un sac à main,
une poche ou même la carrosserie dune voiture. Cette technologie est actuellement
utilisée dans la gestion de loffre pour suivre le mouvement des biens
dans le monde entier et contrôler les stocks. À ce niveau-là, elle ne représente
que peu de dangers, mais lutilisation détiquettes IRF pour des articles
de consommation courante, lorsquelles sont liées à des renseignements
personnels, pourrait faciliter la localisation et la surveillance des personnes.
Si chaque objet que vous achetez peut être rattaché à dautres renseignements,
comme votre carte de crédit ou votre téléphone cellulaire, il sera possible
daccéder à vos données bancaires et, en définitive, détablir vos habitudes
dachat et de dépenses, vos préférences personnelles et le profil de vos
déplacements personnels.
LIRF est actuellement utilisée dans le monde pour plusieurs applications.
Elle sert au suivi des livres en bibliothèque et en librairie, au contrôle
de laccès aux bâtiments, au suivi des bagages par les compagnies aériennes,
au suivi des vêtements et des produits pharmaceutiques et aux porte-noms
des employés. Le bétail porte des étiquettes IRF. Certains pays ont commencé
à faire appel à cette technologie pour leurs passeports, mais pas le Canada,
pour linstant. Dans plusieurs États américains, les détenus détablissements
correctionnels portent au poignet un bracelet muni détiquettes IRF qui
permettent de suivre leurs déplacements. Les postes de péage de lautoroute
407, au nord de Toronto, font appel à lIRF pour facturer automatiquement
les comptes des conducteurs qui franchissent le poste, les cartes à étiquettes
IRF pouvant être déchiffrées à distance. Les cartes Nexus que lon propose
pour assurer la sécurité des passages à la frontière canado-américaine
comportent des étiquettes de ce type. LUniversité du Manitoba est en train
détudier cette nouvelle technologie.
En octobre 2004, la Food and Drug Administration des États-Unis a approuvé
les premières puces IRF à implanter dans des humains. Ces dispositifs,
fabriqués par la VeriChip Corporation, filiale dApplied Digital Solutions
Inc., peuvent stocker des renseignements médicaux, des données personnelles
sur les comptes bancaires et les comptes-cartes de crédit, des codes et
des mots de passe ou, de fait, toute information personnelle. En Espagne,
il existe un club sur plage dont les clients se font implanter une puce
dans la main qui contient leur numéro de carte de crédit pour quils naient
pas à porter dargent sur eux. En février de cette année, une compagnie
de surveillance de Cincinnati est devenue la première entreprise américaine
à utiliser des VeriChip implantés dans ses employés pour quils aient accès
à son centre de données. La Direction des produits thérapeutiques de Santé
Canada na pas encore approuvé la technologie IRF implantable au Canada,
mais VeriChip a ouvert des bureaux à Vancouver et à Ottawa. Selon Ian Kerr,
titulaire de la Chaire de recherche du Canada en éthique, en droit et en
technologie et professeur agrégé de la Faculté de droit de lUniversité
dOttawa, ces puces sont faciles à copier. Deux questions se posent, à
son avis : « Faut-il réglementer cette technologie? » et « Qui devrait sen
charger? » La commissaire à la vie privée du Canada, Jennifer Stoddard,
a entrepris une étude de lutilisation de lIRF au Canada en 2005 et conclu :
« Il est essentiel de travailler maintenant à mieux informer le grand public
et les intervenants politiques sur le danger que pose la nature envahissante
de lIRF. » Elle a précisé que la technologie IRF était déjà utilisée à
dautres fins que la simple localisation de marchandises et quelle servait
à établir des liens avec des renseignements personnels et parfois à suivre
le déplacement de personnes.
Nous vivons à une époque de collecte et de partage excessifs des renseignements
personnels. Depuis plusieurs dizaines dannées, la façon dont nous faisons
nos emplettes, menons nos activités bancaires et vaquons à nos occupations
quotidiennes sest transformée radicalement, ce qui a abouti à une prolifération
sans précédent de dossiers et de données. Daprès lauteur Daniel Solove,
des petits détails qui restaient avant enterrés dans les mémoires ou consignés
sur des petits bouts de papier dont lécriture seffaçait avec le temps
sont désormais préservés dans les mémoires numériques des ordinateurs,
dans de vastes bases de données comportant des champs fertiles de données
personnelles.
À lheure actuelle, trois grands groupes recueillent des renseignements
personnels : les gouvernements, les organismes sans but lucratif et les
entreprises commerciales. La collecte, léchange, la location et la vente
de renseignements personnels constituent des affaires lucratives. LAssociation
canadienne du marketing estime quil y a environ 480 000 emplois qui génèrent
51 milliards de dollars de ventes par an et qui touchent à la collecte
dinformations sur les consommateurs, à lanalyse des bases de données
relatives à ceux-ci et au courtage des renseignements personnels.
Les mégabases de données constituent les nouvelles banques dans lesquelles
les renseignements personnels sont la nouvelle devise.
Délibérément ou non, les gens donnent leurs renseignements personnels quand
ils font des achats, sabonnent à une revue, sinscrivent à une conférence,
deviennent membres dun club, obtiennent une carte, font un don, participent
à un concours, répondent à un sondage ou demandent simplement des renseignements.
Laccumulation croissante de renseignements personnels et le regroupement
des bases de données exposent les gens à des abus de la part de ceux qui
ont accès à cette information. Lutilisation de celle-ci nest limitée
que par la loi et léthique.
Au Canada, la Loi sur la protection des renseignements personnels et les
documents électroniques (LPRPDE) régit la collecte, lutilisation et la
divulgation des renseignements personnels dans le contexte dactivités
commerciales. Cette loi nest cependant pas très respectée. Philippa Lawson,
directrice générale et avocate générale de la Clinique dintérêt public
et de politique dInternet du Canada, a publié une étude qui révèle que
les détaillants, en particulier ceux dont les activités se font en ligne,
ne respectent pas la loi. « Notre étude montre tout à fait clairement quil
y a très peu de respect dans le milieu lorsquil sagit du type de choses
dont les consommateurs nont pas conscience. Il y a partage et utilisation
de leurs données personnelles en coulisses. Les entreprises ne sont pas
aussi transparentes à ce sujet et ne donnent pas aux consommateurs un choix
réel. »
De plus, on ne devrait pas nous faire croire que cette sécurité est infaillible.
Entre le 15 février 2005 et le 30 juin 2006, il y a eu, aux États-Unis,
222 violations de la sécurité touchant plus de 88 millions de dossiers contenant
des renseignements personnels délicats. La majorité de ces incidents est
attribuable à des pirates informatiques, au vol dordinateurs portables
ou à des employés malhonnêtes. Lannée dernière, plus de 10 millions dAméricains
ont été victimes dusurpation didentité. Deux grandes agences canadiennes
dévaluation du crédit, Equifax et TransUnion, signalent quelles reçoivent,
chaque mois, entre 1 400 et 1 800 plaintes dusurpation didentité qui proviennent
surtout de lOntario. Equifax a été elle-même victime de violations de
la sécurité au cours desquelles des renseignements ont été volés.
Mary Kirwan, avocate, écrivaine et experte en sécurité des TI, a déclaré
quil nest pas facile de devancer les escrocs virtuels. Les enregistreurs
de frappe sont des mécanismes que peuvent utiliser les parents pour suivre
les habitudes de consultation dInternet de leurs enfants et les employeurs,
celles de leurs employés. Lorsque ces dispositifs tombent en de mauvaises
mains, ce sont de parfaits outils despions, qui permettent à des criminels
de prendre des instantanés décran et denregistrer les touches utilisées
de manière à saisir des données protégées, comme les mots de passe pour
accéder à un compte bancaire et les numéros didentification personnels.
Il y a une foule de données personnelles à voler, et le public connaît
très mal les lacunes de la sécurité en ligne.
Le non-respect de la loi et le manque de sécurité accroissent les risques
dusurpation didentité, crime qui connaît le plus grand essor au Canada
aujourdhui.
De façon générale, lusurpation didentité désigne toutes les infractions
dans lesquelles une personne obtient et utilise illégalement des renseignements
identifiant une autre personne à des fins frauduleuses ou à dautres fins
criminelles, notamment pour en tirer un avantage économique. Ces renseignements
peuvent comprendre le nom, la date de naissance, le nom de jeune fille
de la mère, le numéro dassurance sociale, le numéro dassurance-santé,
les numéros de carte de crédit et linformation qui figure sur lacte de
naissance, le passeport ou le permis de conduire. Une fois volés, ils peuvent
servir à ouvrir des comptes, à faire des virements bancaires, à présenter
une demande de prêt ou de crédit ou à acheter des biens et des services,
ou, en fait, à voler une identité.
Les renseignements sont dérobés de différentes sources : dans le courrier,
des membres de la famille, dans les domiciles privés et même dans les sacs
de déchets domestiques. Toutefois, les voleurs deviennent beaucoup plus
expérimentés. Ils utilisent des explorateurs de données, recourent à la
piraterie informatique ou se servent dordinateurs ou de portables branchés
sur dénormes bases de données. Les nouveaux usages des technologies comme
lIRF pourraient accroître la collecte et lutilisation malveillante de
données, et lusurpation didentité risque dêtre plus fréquente et plus
facile.
Les législateurs devraient prendre linitiative de discuter, déduquer
et, peut-être, de légiférer à propos de la protection des renseignements
personnels, compte tenu des progrès des technologies, dont le public na
généralement pas conscience. Si les gens consentent en toute connaissance
de cause à communiquer leurs renseignements personnels en sachant quils
serviront aux fins indiquées, quils ne seront pas communiqués et quils
seront protégés, il y a plus de chances quils acceptent de le faire. Avant
dadopter une nouvelle technologie, il faudrait toujours lévaluer sous
langle du respect de la vie privée, et la participation et le consentement
du public devraient être acquis.
Dans son rapport annuel 2005 quelle a remis au Parlement en mai 2006,
Jennifer Stoddard, commissaire à la protection de la vie privée du Canada,
précise deux points : « Jaimerais pouvoir dire que dans le domaine de la
protection de la vie privée au Canada, tout va pour le mieux dans le meilleur
des mondes possible. Malheureusement, ce nest pas encore le cas. Plus
que jamais, les Canadiennes et les Canadiens sinquiètent du sort de leur
vie privée et du risque que leurs renseignements personnels soient utilisés
à mauvais escient. Leurs inquiétudes sont le fruit de menaces toujours
plus nombreuses surgissant à lère électronique de la circulation massive
et continue de données ».
Lors dun sondage entrepris par la commissaire à la protection de la vie
privée, les Canadiens ont fait savoir que le respect de la vie privée constitue
lun des plus importants dossiers dont le pays doit soccuper. La population
appuie des lois rigoureuses et judicieuses sur le respect de la vie privée
qui visent les secteurs public et privé. Soixante- dix pour cent (70 %)
des personnes sondées se sont dites convaincues que les renseignements
personnels étaient moins bien protégés. Une bonne majorité des personnes
interrogées ont déclaré quil ny avait aucune réelle protection de la
vie privée, parce que les gouvernements peuvent trop facilement suivre
la population grâce aux nouvelles technologies.
Par suite de la multiplication des violations de la sécurité et des pertes
de renseignements personnels aux États-Unis, 23 États ont inscrit dans
leurs lois l« obligation de notification », qui impose aux entreprises davertir
les gens touchés de la compromission possible de leurs renseignements personnels.
Jusquà il y a deux ans, la Californie était le seul État américain à avoir
adopté une loi en ce sens. Une douzaine dÉtats ont emboîté le pas en légiférant
le recours à lIRF, sous une forme ou une autre. Ces mesures législatives
séchelonnent entre la création dun groupe de travail chargé détudier
la technologie au Maryland et linterdiction au gouvernement dimposer
aux gens limplantation dune étiquette IRF dans leur corps au Wisconsin,
dans le Dakota du Sud et au New Hampshire.
Au Canada, daprès la commissaire à la protection de la vie privée du Canada,
les principes de la LPRPDE sappliquent à lutilisation de lIRF et au
couplage des données. Cette loi fait actuellement lobjet dun examen.
Lune des recommandations à cet égard est den renforcer lexécution.
À ma connaissance, il ny a pas au Canada de lois concernant exclusivement
lIRF.
La Colombie-Britannique, lAlberta, le Québec et lOntario (pour les renseignements
médicaux seulement) ont adopté des lois contenant à peu près les mêmes
dispositions que la LPRPDE et sont donc régis par leur propre législation.
Brian Bowman, éminent avocat winnipégois spécialiste des questions de protection
de la vie privée, estime que les lois provinciales devraient précipiter
un meilleur respect des dispositions légales, parce que les entreprises
reconnaîtraient et accepteraient la législation locale.
Jai moi-même proposé un projet de loi dinitiative parlementaire intitulé
Loi sur la protection des renseignements personnels et la prévention du
vol didentité, qui a pour objet de mettre en vigueur des dispositions
législatives à peu près semblables au Manitoba. Il comprend une disposition
sur lobligation de notification qui est, je crois, la première de son
genre au Canada. Le projet de loi a été rejeté par lactuel gouvernement
néo-démocrate, comme la quasi totalité des projets de loi dinitiative
parlementaire. Je suis persuadée que des dispositions sur l« obligation
de notification » figureront dans les projets de loi futurs sur la protection
des renseignements personnels et pourraient même être envisagées dans le
cadre de lexamen de la LPRPDE fédérale.
Les renseignements personnels qui vous concernent vous définissent. Il
ne sagit pas juste de votre nom, de votre adresse, de votre numéro de
téléphone, de votre adresse électronique, de votre numéro dassurance sociale,
des numéros de vos comptes bancaires, de vos numéros didentification personnels,
de votre date de naissance, de votre permis de conduire, mais également
de votre appartenance à un groupe ethnique, de votre religion, de votre
orientation sexuelle, de votre affiliation politique et de vos associations
et préférences personnelles ainsi que de vos voyages. Ces renseignements
comprennent également les données biométriques comme les photographies,
les empreintes digitales et palmaires, les empreintes faciales et la lecture
de liris ainsi que lADN. Chacun doit protéger ses renseignements personnels
et savoir pourquoi il doit le faire, avant de les perdre au nom de la commodité
et de la sécurité. Lorsque nous fournissons nos renseignements personnels,
nous sommes à la merci des progrès technologiques et de tous ceux qui savent
comment en abuser. Lorsque nous abandonnons nos renseignements personnels,
nous abandonnons notre droit à la vie privée.
Les Canadiens perçoivent le droit à la vie privée sous de multiples angles :
le droit dêtre laissé en paix, celui de contrôler ce que les autres savent
à leur sujet, celui de sattendre que linformation personnelle ne soit
recueillie quà une fin précise et quelle ne soit utilisée que dans ce
seul but. À leur avis, il sagit là dune valeur sociale commune.
On peut ne penser à la vie privée qu’après l’avoir perdue. Quand cela se
produit, elle est perdue à jamais.
Sources
Rapport annuel au Parlement sur la Loi sur la protection des renseignements
personnels, passages sur la technologie didentification par radiofréquence
(IRF). Internet : <www.privcom.gc.ca/information/ar/200506/2005_pipeda_f.asp>
RPP 2005-2006 Commissariats à linformation et à la protection de la
vie privée.
Internet : <www.tbs-sct.gc.ca/est-pre/20052006/IPC-CIP/IPC-CIPr5602_f.asp>
Industrie Canada, Identification par radio-fréquence [sic] (RFID) : Au-delà
du mandat des clients.
Internet : <http://strategis.ic.gc.ca/epic/internet/indsib-logi.nsf/fr/h_pj00115f.html>
Compliance with Canadian Data Protection Laws, Are retailers measuring
up?, avril 2006; On the Data Trail: How detailed information about you
gets into the hands of organizations with whom you have no relationship,
avril 2006, Clinique dintérêt public et de politique dInternet du Canada,
Faculté de droit, Université dOttawa (en anglais seulement)
Tag, Youre it: Privacy Implications of Radio frequency Identification
(RFID) Technology; « RFIDs: Homing in on Privacy Information », dans Annual
Report 2004, « La commissaire Cavoukian publie des lignes directrices sur
lidentification par radiofréquence pour assurer la protection de la vie
privée » (communiqué), Guidelines for Using RFID Tags in Ontario Public
Libraries. Internet : <www.ipc.on.ca>
Kirk J. Nahra et John W. Kuzin, « RFID vendors need a privacy strategy »,
RFID Journal, 19 juin 2006.
Internet : <www.rfidjournal.com/article/articleview/2428/1/128/>.
Voir aussi des articles connexes. (en anglais seulement)
Katherine Albrecht et Liz McIntyre, « RFID: The Big Brother Bar Code ». Internet :
<www.spychips.com/alec-big-brother-barcode-article.html> (en anglais seulement)
« Two U.S. Employees Injected With RFID Microchips at Company Request »,
RFID Nineteen Eight-Four.
Internet : <www.spychips.com/press-releases/us-employees-verichipped.html>.
Voir aussi des articles connexes. (en anglais seulement)
« Radio-identification », dans Wikipédia. Internet : <http://fr.wikipedia.org/wiki/Radio-identification>
« VeriChip », dans Wikipédia. Internet : <http://fr.wikipedia.org/wiki/VeriChip>
Mary Kirwan, « The horns of a security dilemma », Globe and Mail Update,
16 mai 2005.
Internet : <www.theglobeandmail.com/servlet/story/RTGAM.20050512.gtkirwanmay12/BNStory/Tech>
(en anglais seulement)
« Usurpation didentité », dans Wikipédia. Internet : <http://fr.wikipedia.org/wiki/Usurpation_d%27identit%C3%A9>
« National Identity Cards The Next Step? », Mapleleafweb. Internet : <www.mapleleafweb.com/features/privacy/id_cards/cards.html>
(en anglais seulement)
« What About the Right to Privacy? », Mapleleafweb. Internet : <www.mapleleafweb.com/features/privacy/id_cards/privacy.html>
(en anglais seulement)
« The Year of RFID Legislation? ». Internet : <www.cephas-library.com/nwo/nwo_the_year_of_rfid_legislation.html>
(en anglais seulement)
Ileiren Byles, « Health-care chips could get under your skin », Express News,
Université de lAlberta, 9 juin 2006.
Internet : <www.expressnews.ualberta.ca/article.cfm?id=7633>
(en anglais seulement)
Sarah Lysecki, « Federal Privacy Commissioner to tackle RFID », ITBusiness.ca,
30 mai 2006.
Internet : <www.itbusiness.ca/it/client/en/ComputerCanada/News.asp?id=39586&cid=3>
(en anglais seulement)
« RFID Passports », Schneier on Security, 4 octobre 2004. Internet : <www.schneier.com/blog/archives/2004/10/rfid_passports.html>
(en anglais seulement)
« Choicepoint », Electronic Privacy Information Center. Internet : <www.epic.org/privacy/choicepoint/>
(en anglais seulement)« A Chronology of Data Breaches », Privacy Rights Clearinghouse.
Internet : <http://www.privacyrights.org/ar/ChronDataBreaches.htm> (en anglais
seulement)
|