Une mine d’or

Ainsi, le gouvernement du Québec renonce pour l’instant à utiliser une application de recherche de contacts pour la COVID-19. Il ne s’agit pas d’un changement de cap sur le fond, puisque le ministre de la Transformation numérique, Éric Caire, s’est empressé de préciser qu’en cas de deuxième vague, on pourrait déployer « immédiatement » une application. Mais il aurait été tout de même gênant d’aller de l’avant maintenant, vu les réserves unanimes exprimées par les experts entendus en commission parlementaire à la mi-août.

Dans le rapport de la commission, on reconnaît qu’il existe de sérieux doutes sur l’efficacité et la fiabilité des applications offertes. Les populations vulnérables auraient du mal à se procurer cet outil. L’utilisation d’une application par une proportion insuffisante de la population pourrait créer un faux sentiment de sécurité. En l’état, les lois du Québec ne peuvent ni garantir la protection des données des citoyens ni prévenir les formes de discrimination liées à l’utilisation de ces technologies.

On comprend que si la propagation de la maladie devait s’intensifier, on demanderait aux citoyens de fermer les yeux sur ces failles pour embrasser une technologie d’une efficacité approximative — ce qui semble d’une logique implacable. C’est d’ailleurs le pari qu’ont fait les provinces canadiennes ayant déployé une application de traçage. Bien qu’on se plaise à dépeindre le Québec comme un cancre irresponsable, sur ce plan, il semble plutôt que nous ayons fait preuve de prudence en écoutant les spécialistes (pour l’instant, du moins).

Cela dit, les déclarations controversées du ministre Pierre Fitzgibbon, survenues juste après l’annonce de la décision relative à l’application pour la COVID, forcent à se demander si ce gouvernement prend vraiment au sérieux les enjeux liés à la surveillance numérique. Enfin, ça ne s’invente pas : un ministre de l’Économie invite les compagnies pharmaceutiques à venir « jouer dans nos plates-bandes » pour monnayer les données de RAMQ, allant jusqu’à affirmer qu’il s’agit d’un « devoir » du gouvernement, pour « augmenter la notoriété du Québec ». Fitzgibbon a dit avoir une « vue » très précise sur ces questions, mais on se demande s’il comprend l’ampleur des risques liés à une telle idée, ainsi que le précédent que cela créerait.

Il a bien sûr promis qu’on s’assurerait de faire les choses correctement et que les données vendues seraient entièrement anonymes. Mais c’est loin d’être aussi simple. Déjà, on a bien vu, dans les dernières années, à quel point les bases de données sont vulnérables aux fuites. Et si l’on doute de notre capacité à protéger les données recueillies par une application pour la COVID, il faudrait croire que ces inquiétudes ne tiennent plus lorsqu’il s’agit de vendre des données particulièrement sensibles à des entreprises privées ? Il faudrait faire confiance aux pharmaceutiques pour gérer des données sensibles de façon sécuritaire et scrupuleuse, alors qu’on doute de la capacité de l’État à le faire ?

De plus, « garantir » l’anonymat des données est une promesse hasardeuse. Comme l’expliquent les ingénieurs Michael Kearns et Aaron Roth dans The Ethical Algorithm, un ouvrage paru en 2019 aux Presses de l’Université d’Oxford, la recherche médicale utilise les bases de données sur les patients avec une extrême précaution, car les informations qu’on y retrouve sont particulièrement sensibles et les risques de « désanonymisation », très importants. L’un des principaux problèmes, expliquent Kearn et Roth, est celui des « empreintes uniques » : si l’on combine plusieurs ensembles de données collectées au fil du temps, il n’est pas rare que certains ensembles correspondent à un seul individu, ce qui permet de l’identifier avec une quasi-certitude.

Ainsi, même lorsque plusieurs variables d’identification sont masquées (disons, parmi les informations contenues dans le dossier médical d’un patient), la superposition des ensembles de données peut suffire à reconstituer un portrait complet. C’est d’autant plus facile puisque la collecte des données personnelles est mal encadrée, donnant accès à quiconque en voit l’intérêt à une vaste quantité d’information provenant de sources diverses. Garantir l’anonymat, dans ce contexte, est un pur mirage. Et comme le faisait remarquer l’expert en cybersécurité Steve Waterhouse dans une entrevue accordée à ce sujet la semaine dernière, les données entièrement anonymes ne sont ni d’une grande valeur, ni vraiment utiles pour la recherche…

Or, même si l’anonymat était garanti, le problème fondamental avec la proposition de Fitzgibbon loge dans son principe même. Ce n’est pas surprenant venant d’un gouvernement de petits patrons, mais ce « projet », s’il en est un, dépasse l’entendement. Rien, comprend-on, ne peut être placé à l’abri de la logique commerciale ; tout se vend, tout se monnaie. La reprise de l’expression « mine d’or » pour parler des données de la RAMQ n’est pas anodine, car il s’agit bien d’une nouvelle d’économie extractive. C’est là toute l’ambition du capitalisme de surveillance : extraire, piller, puis revendre à fort prix, peu importe les conséquences humaines, qui ne sont que de fâcheuses externalités. Or, ici la ressource, la manière première, c’est nous.

À voir en vidéo