Traceurs commerciaux : comment protéger les renseignements personnels ?

icone Debats
mercredi 13 mai 2015
Traceurs commerciaux : comment protéger les renseignements personnels ?
Ce type de traceurs est-il devenu un standard pour les développeurs, qui les utilisent sans penser à leurs effets sur la protection des renseignements personnels ? Crédit photo: Flickr/Maximilien Rastello https://creativecommons.org/licenses/by-nc-nd/2.0/legalcode
Ce type de traceurs est-il devenu un standard pour les développeurs, qui les utilisent sans penser à leurs effets sur la protection des renseignements personnels ? Crédit photo: Flickr/Maximilien Rastello https://creativecommons.org/licenses/by-nc-nd/2.0/legalcode
Des modules commerciaux utilisés dans des sites institutionnels, voici ce que révèle un article paru dans Le Devoir le 5 mai dernier. Celui-ci s’intéressait à la gestion des sites internet de certains hôpitaux du Québec. Faut-il introduire la protection des renseignements personnels comme obligation auprès des institutions qui commandent la création d’un site internet?

La Commission d’accès à l’information se dit préoccupée par les révélations au sujet de la présence de traceurs sur les sites du Centre hospitalier de l’Université de Montréal (CHUM), du Centre universitaire de santé McGill, du Centre hospitalier universitaire de Québec, de l’Hôpital de Montréal pour enfants et du Centre hospitalier universitaire Sainte-Justine.

En cause, des lignes de code qui se rattachent à des modules utilisés pour capter les actions et les déplacements, et enregistrent les termes de recherche des utilisateurs naviguant sur le site. Largement utilisés par la plupart des sites internet, ces traceurs sur des sites institutionnels, comme ceux des hôpitaux, peuvent susciter des questions quant à la protection normalement apportée aux renseignements relatifs à la santé. 

Un objectif commercial assumé par la publicité intrusive

Les traceurs sont représentés par des lignes de codage informatique insérées par les développeurs de sites internet. Leur but premier est de suivre les déplacements des utilisateurs sur le site. Ils compilent ensuite les différentes visites puis vendent ces informations à une firme qui viendra proposer la publicité d’un produit dont la page a été consultée plus tôt. Ce sont ces encarts publicitaires qui génèrent des revenus aux sites internet.

Devenus incontournables dans la plupart des sites internet, ces traceurs mesurent la navigation des individus de façon segmentée en collectant différentes données. Le plus souvent, les informations collectées par le biais d’algorithmes sont anonymisées pour laisser place à un identifiant chiffré qui recevra cette publicité ciblée au cours de sa navigation.

Cependant, dans cette collecte d’informations, plusieurs problèmes juridiques apparaissent. Le premier concerne une perte de protection de l’utilisateur, car les données collectées sont parfois envoyées à l’étranger pour être analysées par des serveurs. Les lois canadiennes perdent alors leur compétence, et l’utilisateur n’est plus protégé.

Le second problème est que ces données collectées, bien qu’elles soient anonymisées, sont des renseignements personnels qui pourraient permettre de recréer un profil très complet de la personne qui navigue sur le web. Cette vulnérabilité devient d’autant plus dangereuse quand il s’agit de données sensibles, comme les données médicales, même s’il ne s’agit que de simples recherches faites sur le site du CHUM.

Ce type de traceurs est-il devenu un standard pour les développeurs, qui les utilisent sans penser à leurs effets sur la protection des renseignements personnels ?

Introduire la protection des renseignements personnels comme obligation

À court terme, il semble essentiel d’agir auprès de l’institution qui commande la création d’un site internet en intégrant la prise en compte de la protection des renseignements personnels, et ce, dès la rédaction du cahier des charges. Il semblerait opportun de mettre en place des lignes directrices gouvernementales destinées aux rédacteurs d’appels d’offres en matière de sites internet gouvernementaux, pour que ces derniers s’assurent du respect des lois canadiennes sur la vie privée. Ce mécanisme assurerait une différenciation entre les sites commerciaux et les sites gouvernementaux, qui n’ont pas pour objectifs de monnayer les données recueillies et d’exposer leurs utilisateurs à un risque d’intrusion. Ce risque d’intrusion est, selon moi, contraire à la mission de donner au public un accès à l’information.

Dans un article du Devoir, Jacques Berger, programmeur et chargé de cours à l’UQAM, insistait sur l’importance de voir se former un ordre professionnel pour les développeurs, mettant ainsi en place des principes éthiques bien précis qui induiraient des obligations en matière de profilage des individus. L’idée d’un ordre professionnel est intéressante, car elle supposerait de prendre en compte la protection des règles de vie privée dès la conception d’un site, comme une obligation juridique sanctionnable. Toutefois, dans le monde normé et mondialisé de l’internet, la création d’un ordre professionnel semble difficile à réaliser. De plus, sa mise en place pourrait prendre de nombreuses années.