Passer au contenu

Villes intelligentes dès la conception

Établir les règles pour protéger la vie privée des résidents.

Data and people in the city
iStock

Sûres et sécuritaires, durables sur le plan environnemental et accessibles au niveau des transports : les villes intelligentes promettent à leurs habitants un avenir à la vie meilleure grâce aux données et aux technologies connexes.

Mais pour bâtir des villes intelligentes, il ne suffit pas de surmonter des obstacles technologiques. Au fur et à mesure que l'infrastructure moderne progresse – avec des capteurs et des logiciels intégrés, qui recueillent et analysent les données –, nous aurons également besoin de structures juridiques et de gouvernance qui répondent aux préoccupations du public quant à la protection de la vie privée et la sécurité des données.

Selon Brenda McPhail, directrice du projet sur la protection de la vie privée, la technologie et la surveillance à l'Association canadienne des libertés civiles, « nos lois ne sont pas encore là ». Lors du symposium de l'ABC sur le droit à la vie privée le mois dernier, Me McPhail a déclaré que les règles qui régissent la manière dont nous obtenons le consentement de l'utilisateur sont « foncièrement inadéquates ». Par exemple, la réglementation sur la protection de la vie privée ne précise pas comment les renseignements personnels devraient être recueillis à partir d'appareils personnels lorsque l'infrastructure est conçue pour interagir avec ces appareils.

L'ACLC poursuit Waterfront Toronto et trois ordres de gouvernement pour le projet Sidewalk Labs, propriété de la société mère de Google, Alphabet, et qui consiste à transformer le secteur riverain de Quayside en un quartier intelligent de haute technologie. L’Association allègue que Waterfront Toronto n'a pas compétence pour entreprendre un projet de surveillance électronique de cette envergure et que la collecte de données personnelles porte atteinte aux droits garantis par la Charte.

David T. Fraser, associé chez McInnes Cooper à Halifax et qui représente Sidewalk Labs, ainsi que Chantal Bernier, qui dirige la pratique de Dentons Canada en matière de protection des renseignements personnels et de cybersécurité, faisaient également partie du panel de l'ABC. Me Bernier représente Waterfront Toronto dans le même dossier.

Les plans des Sidewalk Labs pour un quartier intelligent ont soulevé la controverse depuis leur annonce en 2016. En octobre 2018, Ann Cavoukian, ancienne commissaire à la protection de la vie privée de l'Ontario, a démissionné de son rôle de conseillère auprès de l'entreprise en raison d’inquiétudes à l’égard d’une protection insuffisante de la vie privée. Sidewalk Labs a depuis réduit quelque peu son ambition en promettant de ne pas vendre les données de ses utilisateurs, y compris à d'autres sociétés Alphabet, sans leur consentement explicite.

Les préoccupations relatives à la protection de la vie privée ont pris une importance accrue dans un environnement où la confiance du public à l’égard d’internet n'a jamais été aussi faible. Selon un sondage mené plus tôt cette année par le Commissariat à la protection de la vie privée du Canada, 45 % des répondants étaient en désaccord avec la proposition voulant que les entreprises respectent leur vie privée. Le sentiment est plus optimiste à l'égard du gouvernement. Vingt-neuf pour cent ne croyaient pas que le gouvernement fédéral respecte leur vie privée. Pourtant, plus de huit Canadiens sur 10 ont déclaré que les reportages sur les atteintes à la vie privée ont eu une influence sur leur volonté de communiquer des renseignements personnels.

Pourtant, il existe des moyens de s'assurer que les villes intelligentes évitent de devenir des « outils de discipline et de surveillance », tel que décrit par Me McPhail. La première est de répondre aux préoccupations en matière de transparence. « Ce qui se passe actuellement dans la plupart des municipalités, c'est que les choses ne font qu’être déployées, sans aucune participation et sans aucune transparence », a déclaré Me Fraser lors du symposium.

Lors d'une entrevue avec le National de l’ABC, il a plutôt souligné l’importance de s’assurer que tout projet qui implique la collecte de renseignements personnels ou même d’informations non identifiables en milieu urbain soit d'abord soumis à une évaluation rigoureuse des enjeux relatifs à la vie privée. L'objectif serait d'évaluer si la collecte de données est « proportionnelle au bénéfice public potentiel », et s'il existe des risques pour le droit à la vie privée des personnes qui peuvent être « gérés, atténués ou éliminés avant que le projet ne soit mis en œuvre ».

Ces évaluations serviraient à mettre en œuvre les principes de la protection de la vie privée dès la conception, un concept élaboré par Ann Cavoukian dans les années 1990 et qui préconise l'intégration de mesures de protection de la vie privée avant le lancement de produits. L'Union européenne en a récemment fait une obligation juridique dans son Règlement général sur la protection des données — ou RGPD.

La deuxième préoccupation à aborder est la reddition de comptes. Une partie du défi que posent les villes intelligentes réside dans le fait que le déploiement de technologies intelligentes est rendu possible grâce à la collaboration des secteurs privé et public. Ces partenariats aident à détourner certains coûts des fonds publics pour la mise à jour de l'infrastructure municipale et l'utilisation efficace des données dans la prestation des services publics.

Néanmoins, il existe des différences marquées entre les approches des secteurs privé et public en matière de reddition de comptes, et les intérêts du gouvernement et des entreprises ne sont pas toujours alignés. « C'est une tension de longue date, mais elle est bien réelle – entre une entreprise qui a des comptes à rendre aux actionnaires et un organisme public qui a des comptes à rendre à ses résidents et à ses citoyens », a noté Me McPhail.

Pour améliorer la transparence et la reddition de comptes, nous aurons besoin d'une structure législative ou réglementaire plus sophistiquée. Me Bernier ajoute que nous devrions renforcer nos « lois pour l’ensemble de l'internet parce que, franchement, elles n'ont pas fourni l'architecture d'application dont nous avons besoin pour tenir tête aux géants de la technologie ».

Ce ne sera pas facile. Au Canada, différentes lois s'appliquent à la collecte et à l'utilisation de données, selon la personne qui dirige le projet. Lorsqu'une municipalité engage une entreprise privée pour fournir un service, cet entrepreneur privé sera assujetti au régime de protection des renseignements personnels de l'organisme du secteur public qui l'a embauché.

Mais les lignes ne sont pas toujours claires. On peut imaginer, par exemple, qu'un entrepreneur soit embauché par la ville, mais qu'il fasse aussi des travaux qui ne sont pas visés par ce mandat. « Vous pourriez vous retrouver dans une situation où deux lois pourraient s'appliquer », a expliqué Me Fraser. « Si une partie de ce qu'ils font est pour leur propre activité et non seulement en tant qu'agent ou entrepreneur de la municipalité, alors ces lois du secteur privé s'appliqueront à cette partie. Et vous pourriez avoir des chevauchements, et vous pourriez vous retrouver avec des contradictions entre les différents régimes juridiques. »

Une façon d'y remédier serait d'adopter des règles de protection des données qui s'appliquent à la fois aux organisations privées et publiques, comme c'est le cas en Europe dans le cadre du RGPD. Mais comme l’a souligné Me Fraser, il est difficile de fusionner les deux régimes, car les lois sur la protection de la vie privée qui régissent le secteur public ne sont généralement pas fondées sur le consentement contrairement au secteur public. Elles sont plutôt fondées sur la notion d'« objectifs légitimes », a-t-il expliqué. « Il faut trouver un compromis si l'on veut que cela fonctionne. »

Il ne suffira probablement pas d'apporter des modifications à nos lois sur la protection de la vie privée. Pour Me Bernier, la réponse consiste à repenser le cadre de gouvernance de la protection de la vie privée dans nos vies en général. Elle souhaite la mise en œuvre d'un mécanisme qui assurerait ce qu'elle appelle la « responsabilité par la médiation ».

« Cela signifie que l'organisme de réglementation est assez fort et a les pouvoirs nécessaires pour tenir les entreprises et l'État responsables, au nom des particuliers et face à la complexité et à l'opacité de l'internet, qui privent l'individu de ses pouvoirs. » Elle cite la sécurité aérienne, l'inspection des aliments et l'approbation des médicaments comme exemples d'imputabilité par médiation dans d'autres industries. « Nous en avons besoin dans la loi sur la vie privée ».

Une chose est certaine. À mesure que notre infrastructure vieillissante se modernisera, la technologie intelligente s’intégrera dans le tissu urbain. Cette intégration se fera-t-elle d'une manière qui démontre un engagement réel envers le bien-être des résidents ?