La circulation des données et le risque de surveillance accrue

Au 18e _{siècle, Jeremy Bentham avait imaginé une architecture carcérale invisible, où}

un gardien de prison espionnait tous les prisonniers213_{. Sans tomber dans une telle caricature}

oppressive des autorités publiques, la biométrie génère de nouvelles peurs, comme celle d’une éventuelle société de surveillance dans laquelle tous les citoyens sont surveillés, suivis et contrôlés. Caractérisée par la fluidité, la dématérialisation et la déterritorialisation selon certains auteurs214_{, cette nouvelle technologie fait ainsi perdre à la frontière son caractère}

traditionnel et géographique, comme nous allons le voir dans cette section.

211 _{R. c. Oakes, préc., note 208.} 212 _{Id., par. 70.}

213 _{Jeremy BENTHAM, « Panopticon », 1787.}

214 _{Voir Ayse CEYHAN, « Enjeux d’identification et de surveillance à l’heure de la biométrie », dans Cultures}

et Conflits, Vol. 64, p. 33-47 et Michaël FOESSEL & Antoine GARAPON, « Biométrie : les nouvelles

Au regard de la controverse qui secoue actuellement le National Security Agency (N.S.A.) états-unien, nous pouvons assurément appréhender les conséquences éventuelles d’une telle atteinte à nos droits. Les nouvelles technologies détiennent le potentiel de recréer un monde virtuel de traitement d’information de masse. Comme nous l’avons vu ci-haut, le droit à la vie privée englobe celui de pouvoir circuler librement, de façon anonyme et sans constante surveillance215_{. Aujourd’hui, Big Brother}216 _{n’est plus un personnage fictif, mais une}

menace bien réelle pour notre droit à la vie privée :

« Sophisticated, ubiquitous technologies and techniques such as computerized record keeping contain the inherit potential to create immensely wide-ranging and insidious panoptic techniques, thereby increasing the ability of institutions to control people without directing them, using the subtle pressures of internalized discipline. Foucault’s conception of the panoptic machine therefore acknowledged the control potential of computers and electronic networks, in which both the distribution of intelligence and the integration of surveillance mechanisms could be concurrently coordinated and controlled ».217

En l’occurrence, il est craint que le recours aux technologies biométriques vienne en premier plan des tactiques de surveillance dans les secteurs public et privé218_{. En effet,}

l’archivage des accès, des lieux et des enregistrements sont au nombre des moyens permettant de suivre les déplacements et de rapidement retracer les individus, en plus de permettre une estimation des parcours futurs219_{. De plus, les procédures de surveillance augmentées par le}

USA Patriot Act220 _{accordent au gouvernement américain de généreux pouvoirs d’accès à nos}

renseignements personnels conservées et donc, nos données biométriques. Tel que le confirme

215 _{Voir la section 1 du présent chapitre.}

216 _{Big Brother est un personnage de fiction du roman « 1984 » de George Orwell. L'expression « Big} Brother » est utilisée pour qualifier toutes les institutions ou pratiques portant atteinte aux libertés fondamentales et à la vie privée des populations ou des individus [Wikipédia].

217 _{King RAWLSON, « People fear the future of technological surveillance », Biometric Update.com, 2012.} Le philosophe et historien Michel Foucaultavait également étudié et exposé une structure de surveillance disciplinaire dans son ouvrage intitulé « Surveiller et punir », Éditions Gallimard, 1975.

218 _{Voir Ayse CEYHAN, « Enjeux d’identification et de surveillance à l’heure de la biométrie », dans Culture}

et Conflits, Vol. 64, p. 33-47, France, 2006.

219 _Id.

220 _{Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct}

un rapport de l’Université d’Amsterdam, les États-Unis auraient accès aux données contenues dans les systèmes infonuagiques appartenant à des entreprises américaines :

« The U.S. government has ample possibilities to request data from foreign (in this case Dutch) users of the cloud. The most striking example in this regard is the specific provision (50 USC § 1881a) introduced in 2008 for the acquisition of data of non-U.S. persons outside the United States, given the far-reaching powers it grants to retrieve information on a large scale, including access to complete data sets. U.S. authorities also have powers to request information from cloud providers in the context of criminal investigations. Jurisdiction under U.S. law is a necessary precondition, which is effectuated when cloud providers are based in the United States or if they conduct continuous and systematic business in the United States. It is a misconception that U.S. jurisdiction applies only if the data are physically located on U.S. territory »221_.

La « juridiction extra-territoriale »222 _{des États-Unis implique que tous les fournisseurs}

de services infonuagiques opérant n'importe où dans le monde doivent se conformer à des requêtes sur les données qui tombent sous l’application des lois américaines. Ces lois s'appliquent aux fournisseurs dès lors que ceux-ci ont des activités aux États-Unis. Les données ne doivent donc pas être nécessairement stockées sur des serveurs physiquement présents sur le territoire américain pour que le gouvernement puisse y accéder, ce qui implique que nos données biométriques pourront être accessibles par le gouvernement américain dès lors qu’elles seront stockées dans l’infonuagique d’une entreprise américaine.

Notons que les organisations canadiennes peuvent être sujettes à des ordonnances équivalentes à celles du USA Patriot Act, les obligeant à communiquer au gouvernement fédéral des renseignements personnels détenus au Canada223_{. En effet, la Loi antiterroriste}

canadienne224 _{renferme certaines dispositions qui « renforcent les pouvoirs d’investigation des}

221 _{Joris Van HOBOKEN, Axel ANRBAK and Nico Van EIJK, « Cloud Computing in Higher Education and} Research Institutions and the USA Patriot Act », Institute for Information Law, University of Amsterdam, November 27th_{, 2012.}

222 _Id.

223 _{CPVPC, « Un avis expédié aux clients d’une banque suscite des inquiétudes à propos de la USA PATRIOT}

Act », Résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-313.

autorités publiques en vue d’assurer la sécurité nationale et, corrélativement, internationale »225_.

D’ailleurs, la circulation des données et le développement de nouveaux systèmes complexes accroît le risque de traçabilité226 _{de nos déplacements. Ce risque porte atteinte à}

notre droit de pouvoir vivre et circuler librement sans être sous constante surveillance. Ce droit, découlant de notre droit à la vie privée227_{, se heurtera alors à cette nécessité d’une}

sécurité dite collective228_{. Selon l’utilisation qui en sera faite, la biométrie pourrait alors}

entraîner une perte de contrôle de la circulation de l’information personnelle, entraînant à son tour une perte d’autonomie de la personne.

La problématique s’accentue dans le cas où les caractéristiques biométriques sont captées sans le consentement des personnes et à leur insu. En effet, nous pouvons difficilement imaginer une surveillance efficace pour les autorités si la captation des images nécessitait un consentement. De par la manière dont elle est captée, c’est la reconnaissance faciale qui en constitue le plus grand risque. Soulignons toutefois que la majorité des données biométriques comportementales peuvent aussi être saisies à l’insu des personnes, telles que la démarche, la voix, la signature et l’odeur corporelle :

« It is possible that persons are being identified or authenticated without being aware of it. There are several characteristics, like voice, keystroke, face, and body scent, that can be used in such a way that persons do not notice they are being identified or authenticated. This potentially leads to an undesirable type of secret surveillance »229_.

225 _{Cynthia CHASSIGNEUX, « Quand la sécurité nationale interpelle la protection des renseignements} personnels : l’exemple de la USA PatriotAct », dans Service de la formation continue du Barreau du Québec, Vie privée et protection des renseignements personnels (2006), Cowansville, Yvon Blais, 2006. 226 _{Au Québec, la notion de traçabilité humaine n’a pas encore été définie. L’OQLF ne fournit pas non plus de}

définition française de la traçabilité humaine, mais la définition anglaise nous apparaît assez juste : Traceability - « Ability to trace the history, application, or location of that which is under consideration », 2009.

227 _{Nous l’avons abordé à la section précédente. Voir Aubry c. Éditions Vice-Versa inc., [1998] 1 RCS 591.} 228 _{Voir Ann CAVOUKIAN, « Consumer Biometric Application », préc., note 61.}

229 _{Ronald HES, T.F.M. HOOGHIEMSTRA and John BORKING, « At Face Value, on biometrical} identification and privacy, Registratiekamer, September 1999, p. 44.

Ces types de caractéristiques sont non seulement biométrisables, mais peuvent au surplus révéler d’autres informations sensibles, tel que nous le verrons au point suivant. Par contre, soulignons que, selon certains auteurs, les technologies actuelles ne seraient pas suffisamment performantes pour identifier des individus à grande échelle en temps réel230_.

En définitive, mentionnons que le NIST (« National Institute of Standards and Technology ») a, en plus de son travail de normalisation, « constitué des bases de tests de millions de données biométriques en provenance du Département d’État, du Département du Homeland Security, du FBI et de différentes autres organisations »231_{. Ceci aurait permis au}

gouvernement américain de conduire plus de sept campagnes lourdes d’évaluation comparative d’algorithmes de reconnaissance du visage, d’iris et d’empreintes digitales232_{. La}

volonté de surveillance des autorités publiques irait même plus loin : celles-ci croient pouvoir prédire l’avenir à partir du « forage de données (data mining), de la classification, du croisement, du profilage et de l’extraction »233_.

Ainsi, il semblerait que des logiciels soient en cours de développement, afin de déceler, « à partir de multiples sources de données qu’on retrouve notamment sur Internet (courriels, chats, blogues, réseaux sociaux, interrogations aux moteurs de recherche, pratiques de navigation, etc.) », les individus qui « représentent une menace future »234_{. Cette intention a}

d’ailleurs été soulignée par Didier Bigo et Mireille Delmas-Marty lors de leur participation au colloque international « Vers une intégration du droit à la vie privée et des technologies de sécurité »235 _{en octobre 2011 à Montréal. Le risque de surveillance est d’ailleurs intimement}

lié au risque de détournement d’usage des données, tel que nous le verrons au point suivant.

230 _{Ann CAVOUKIAN, « Biometric Encryption : A Positive-Sum Technology that Achieves Strong} Authentification, Security AND Privacy », préc., note 181, p. 7.

231 _{OFFICE PARLEMENTAIRE D’ÉVALUATION DES CHOIX SCIENTIFIQUES ET} TECHNOLOGIQUES, « La Biométrie », Compte rendu de l’opinion publique du 4 mai 2006, Assemblée nationale, France, p. 27.

232 _{Id., p. 28.}

233 _{Karim BENYKHLEF et Esther MITJANS, « Circulation internationale de l’information et sécurité »,} Éditions Thémis, Université de Montréal, 2012, p. X.

234 _Id.

235 _{Le colloque a été tenu au Centre de recherche en droit public de l’Université de Montréal, les 17 et 18} octobre 2011.