Les récents développements concernant la disparition de Jesse Galganov, ce jeune Québécois manquant à l’appel depuis une excursion au Pérou, soulèvent des questions importantes sur la confidentialité et la communication des renseignements personnels.

Mobilisation

Dans cette affaire, la famille du jeune Québécois sollicita le soutien des grandes compagnies Apple, Amazon et T-Mobile, désirant accentuer les recherches sur le terrain de façon significative. Pour ce faire, la famille demanda l’obtention des dernières coordonnées géographiques enregistrées sur les appareils de l’étudiant. Suite aux requêtes officielles du gouvernement canadien, américain et péruvien, les compagnies coopérèrent et acceptèrent de divulguer aux autorités péruviennes des renseignements personnels concernant la géolocalisation des appareils. (http://www.lapresse.ca/actualites/201710/24/01-5141103-montrealais-disparu-au-perou-apple-et-amazon-fournissent-les-donnees-a-la-police.php).

Cependant, cette première divulgation d’informations, notamment en provenance d’Apple, fut lourdement chiffrée. Les experts ne parvinrent pas à décrypter les renseignements fournis et la famille fut contrainte de demander l’assistance du FBI. Malgré une requête expresse, Apple refusa de fournir un logiciel permettant de décrypter les données personnelles. (http://www.lapresse.ca/actualites/201710/27/01-5141544-montrealais-disparu-au-perou-la-famille-demande-laide-du-fbi.php)

Un semblant de déjà vu

La situation n’est pas sans rappeler la bataille judiciaire opposant le FBI et la compagnie Apple dans l’affaire de l’iPhone 5C bloqué, utilisé par les assaillants de l’attentat de San Bernardino en 2015.

Dans cette affaire, le FBI prétendait que la cour pouvait ordonner à la compagnie Apple, en se basant sur le texte de loi 28U.S.Code§1651 nommé All Writs Act, de créer un logiciel de déverrouillage permettant de contourner les dispositifs de sécurité mise en place sur le cellulaire afin de permettre au gouvernement d’accéder aux données personnelles cryptées. Apple s’opposait à une telle requête en soulevant le droit à la vie privée conféré par le premier amendement de la constitution américaine.

Le PDG de la compagnie, Tim Cook, mettait ainsi en garde contre les impacts importants d’une telle décision :

«The implications of the government’s demands are chilling. If the government can use the All Writs Act to make it easier to unlock your iPhone, it would have the power to reach into anyone’s device to capture their data. The government could extend this breach of privacy and demand that Apple build surveillance software to intercept your messages, access your health records or financial data, track your location, or even access your phone’s microphone or camera without your knowledge […].While we believe the FBI’s intentions are good, it would be wrong for the government to force us to build a backdoor into our products. And ultimately, we fear that this demand would undermine the very freedoms and liberty our government is meant to protect » (https://www.apple.com/customer-letter/).

L’affaire peut toutefois se conclure comme étant une bataille avortée à mi-chemin, le FBI ayant parvenu à déchiffrer le contenu de l’iPhone, sans le secours d’Apple.

Le principe

Au Canada, en l’absence de mandat, le principe soutenant la communication des renseignements personnels dans le secteur privé est le consentement de l’individu, selon le principe directeur 4.3 de l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Toutefois, il existe certaines exceptions.

L’article 7 de la LPRPDE prescrit l’utilisation et la communication des données personnelles sans le consentement d’un individu. Selon la disposition 7(2)b) LPRPDE, une situation d’urgence mettant en danger la vie, la santé ou la sécurité de tout individu constitue une exception au principe du consentement et permet l’utilisation des renseignements personnels. Il en va de même pour la communication de ces données personnelles, selon la disposition 7(3)e) LPRPDE, frappée par les mêmes conditions d’urgence et de danger.

Aux États-Unis, un droit similaire est accordé selon Electronic Communications Privacy Act (ECPA). Selon la section 18 U.S. Code § 2702 b)8), lorsqu’une compagnie est confrontée à une requête légale émanant d’une autorité gouvernementale concernant un individu «exposé à un risque imminent de mort ou de blessure physique grave», la compagnie peut transmettre volontairement les renseignements personnels à l’entité en question si elle considère, de bonne foi, que la situation d’urgence exige la divulgation sans délai.

À titre d’information, il est intéressant de constater l’utilisation de telles requêtes par les gouvernements mondiaux auprès de la compagnie Apple, comme illustré dans leur rapport sur la transparence (Tableau 6, pour la première moitié de l’année 2017).

Les compagnies du secteur privé tendent à protéger jalousement l’accès aux données personnelles recueillies de leurs clients. À la lueur de ces affaires, nous constatons que bien souvent certaines interventions liées à l’accès aux données personnelles sont laissées aux pouvoirs discrétionnaires des compagnies. Les développements futurs devront être surveillés, puisque de telles situations sont destinées à se présenter à nouveau.