Données personnelles: se protéger

La protection des données et la protection de la vie privée sont deux choses distinctes, mais se rejoignent souvent, se complètent ou même entrent en conflit.

Du côté de la protection des données, les dangers proviennent généralement d'une utilisation malicieuse.

Par exemple, quelqu'un déjoue les mesures de sécurité d'un système afin d'accéder à vos données personnelles.

Quant à la protection de la vie privée, les problèmes sont plutôt reliés à la façon dont le système a été conçu.

Par exemple, un appareil conçu par son fabriquant pour transmettre les données d'utilisation au serveur de la compagnie.

Il y a conflit, par exemple, lorsque une application installée sur votre appareil mobile sert à vous protéger mais vient aussi transmettre vos données personnelles à la compagnie.

(Image: source inconnue)

Dans ce guide, par donnée personnelle nous entendons "toute information se rapportant à une personne physique identifiée ou identifiable" (CNIL). Celles-ci se divisent en deux catégories :

1. Les informations uniques (ou quasi uniques) permettant d'identifier un individu de manière directe, telles que :

• les informations personnelles, telles prénom et nom, date de naissance, adresse civique, numéro de téléphone et numéro d'assurance sociale;
• et les données biométriques, c'est-à-dire "caractéristique physique ou biologique permettant d’identifier une personne" (CNIL). La Commission d'accès à l'information du Québec identifie 3 grandes catégories:
  • Morphologique : basée sur l’identification de traits physiques; par exemple : la reconnaissance des empreintes digitales, de la forme de la main, du visage, de la rétine et de l’iris de l’œil;
  • Comportementale : basée sur l’analyse de certains comportements; par exemple : le tracé de la signature, l’empreinte de la voix, la démarche, la façon de taper sur un clavier, etc.;
  • Biologique : basée sur l’analyse des traces biologiques; par exemple : l’ADN, le sang, la salive, les battements cardiaques, etc.

2. Les informations qui permettent d'identifier un individu de manière indirecte, telles que :

• les données bancaires, médicales, scolaires ou de géolocalisation;
• et les métadonnées, c'est-à-dire les données sur les données ; pour un courriel, par exemple, tout ce qui n'est pas le contenu, soit la date et l'heure de l'envoi, l'adresse IP, etc.

Navigation sur le Web, utilisation des médias socionumériques, achats avec cartes de crédit, etc.

Les données compilées et combinées deviennent un portrait complet d'une personne, détaillant tous ses aspects. Voici par exemple des profils chez deux grands courtiers de données :

Plusieurs stratégies peuvent être employées (et combinées!) afin de protéger ses données personnelles, appellant différentes techniques. L'organisme Me and My Shadow en propose 4 :

• La fortification : ériger des barrières pour protéger l'accès à nos données

Par exemple : verrouiller ses appareils à l'aide d'un mot de passe, rendre nos données illisibles par le chiffrement.

• La réduction : limiter la création de données personnelles

Par exemple : payer avec de l'argent comptant, restreindre les permissions des applications, refuser de donner votre adresse courriel lors d'un achat en magasin, utiliser des appareils qui ne vous pistent pas.

• La compartimentation : diviser nos identités numériques selon les différents aspects de nos vies : travail, études, loisirs, etc.

Par exemple : disposer de comptes distincts pour vos activités personnelles et professionnelles.

• Le brouillage : générer du bruit, c'est-à-dire de l'information inexacte à notre sujet

Par exemple : utiliser un ou plusieurs pseudonymes, masquer votre adresse IP.

Les conseils et ressources qui figurent dans ce guide mobilisent l'une ou l'autre de ces stratégies.