À l’ère du numérique, nos décisions, nos comportements et même nos relations sont observés par les fournisseurs de service numérique comme Google et Meta puis utilisé à diverses fins économiques. Cette mise en données comporte des risques et les mineurs ne sont pas épargnés de cette pratique alors que leur jeunesse les rend d’autant plus vulnérables aux préjudices qui les guettent sur le Web. Cet article présente les enjeux de la collecte de données sur les mineurs grâce à une exploration de la perception que se font les enfants de leur vie privée, la vision des parents sur cette problématique et renchérit par une analyse des risques que pose la mise en données.
La perception des mineurs
Les enfants ont à cœur le respect de leur vie privée cependant, ils ont peu conscience de l’étendue de la collecte de données faites par les entreprises et des risques qui y sont associés. Dans le cadre de leur recherche, Stoilova, Livingstone et Nandagari (2019) ont établi trois catégories de données selon leurs utilisations et leur lien avec la vie privée.
- Les données interpersonnelles sont des données personnelles qui jouent avec les relations qu’a l’enfant. Par exemple, une photo publiée par l’enfant dans le but d’être vue par ses amis.
- Les données institutionnelles sont les données récoltées par les institutions publiques qui traitent avec l’enfant comme les écoles, le gouvernement et les hôpitaux.
- Le dernier type, les données commerciales sont les données récoltées par les entreprises dans le but d’être exploitées économiquement.
Leur recherche a permis de comprendre que les enfants se soucient de leur vie privée et qu’ils ne supportent pas la collecte et l’utilisation de leurs données de manière inexplicable. Ils portent surtout attention à la protection de leurs données interpersonnelles qui présentent des risques plus concrets (Stoilova et al., 2019). Alors, lorsqu’ils publient de l’information sur les réseaux sociaux, ils savent que n’importe qui peut la voir et qu’elle y restera pour toujours. Les jeunes utilisent plusieurs outils pour protéger leurs données interpersonnelles. Ils mettent leur compte en privé ou ils fournissent de fausses informations (Stoilova et al., 2019). Ils ont en revanche beaucoup plus de difficulté à comprendre les risques de la collecte de données commerciale.
Même si plusieurs d’entre eux ont conscience qu’on espionne leurs actions sur le Web, il est difficile pour eux de comprendre comment les sites Web peuvent récolter de l’information que l’enfant lui-même ne donne pas. Ce manque de visualisation des risques les décourage à poursuivre des pratiques plus sécuritaires ce qui les rend vulnérables (Stoilova et al., 2019). De plus, les enfants ont tendance à avoir une meilleure confiance des entreprises. Ils s’attendent à ce que celles-ci ne partagent pas leurs données sensibles par principe et ne voient pas l’intérêt qu’ils présentent pour ces compagnies (Stoilova et al., 2019). En somme, les enfants se soucient grandement de leur vie privée, mais le caractère abstrait et complexe de la collecte de données commerciales les laisse impuissants face aux risques qu’ils posent.
La perception des parents
Les parents n’ont guère plus de connaissances vis-à-vis la collecte de données que leurs enfants, mais ils se méfient plus des entreprises et comprennent mieux les enjeux de vie privée. Les parents sont embrouillés par l’univers numérique et ne se croient pas être en mesure de protéger leurs enfants et leur vie privée sur le net (Stoilova et al., 2019). Néanmoins, les parents n’ont pas la même confiance envers les entreprises que leurs enfants. Ils ne comprennent pas comment les données de leurs enfants sont utilisées et récoltées, mais ils saisissent les risques que cela comporte. On retrouve aussi de grandes différences dans la surveillance et l’éducation des enfants d’un parent à l’autre, ce qui laisse certains mineurs plus vulnérables que d’autres (Stoilova et al., 2019). Enfin, les parents manquent les connaissances nécessaires pour protéger adéquatement leurs enfants sur le Web.
Les droits internationaux des enfants
En 1990, le Canada signe la Convention relative aux droits des enfants des Nations unies qui profère aux enfants une protection particulière au sein du droit international. Cette convention se base sur cinq principes fondamentaux pour établir ses règles :
- La non-discrimination
- L’intérêt supérieur de l’enfant
- Le droit de vivre survivre et se développer
- Le respect des opinions de l’enfant
- Évolution des capacités
Quelques articles de la convention sont en jeu lorsqu’il est question de collecte de données sur des mineurs. Le droit de l’article 16 est particulièrement vulnérable, il stipule que : « Nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance ni d’atteintes illégales à son honneur et à sa réputation » (Nations unies, 1989). D’autres droits pertinents sont l’article 13 ainsi que l’article 17 qui protègent la liberté d’expression et d’accès à l’information de sources diverses. Enfin, l’article 32 protège les enfants contre l’exploitation économique et tout travail mettant en danger son éducation, sa santé ou son développement.
Les articles 13 et 17 renforcent l’idée que le Web est n’est pas qu’un endroit dangereux pour les jeunes, mais qu’il présente aussi grande opportunité d’épanouissement pour les mineurs. La protection des enfants sur internet doit alors se faire de manière à ne pas totalement les priver de l’accès à l’environnement numérique.
Quels sont les risques numériques?
Afin d’établir les enjeux de la collecte de données sur les enfants, ce billet se fonde sur les travaux de Sonia Livingstone et Mariya Stoilova qui ont établi un cadre dans servant à identifier les risques de l’exposition à internet pour les enfants. Un rapport à l’intérêt du ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels par la Commission d’accès à l’information du Québec (2022) a aussi été une source importante de cet article. La cadre que présentent Livingstone et Stoilova comprend quatre catégories de risques multipliés sous trois dimensions et agrémentés de risques transversaux.
Les risques contractuels
La catégorie des risques contractuels a été ajoutée plus tard et elle est la plus prévalente en matière de collecte de données. Ces risques surviennent lorsqu’un enfant entre dans un contrat ou dans des activités commerciales pouvant lui causer du tort. Contrairement aux autres types de risque qui proviennent d’utilisateurs et de générateurs de contenu, les risques contractuels viennent directement de la relation entre les fournisseurs de service numérique et les enfants.
Les enfants signent des contrats avec ces fournisseurs par les termes et conditions alors qu’ils n’ont pas la capacité de comprendre ce qu’ils viennent d’accepter. Cela ouvre la porte à de l’exploitation commerciale par la collecte de données qui pose des risques à la vie privée, la sécurité et le bien-être de l’enfant. De plus, les risques contractuels s’étendent aux contrats établis entre le fournisseur de service numérique et des parties tiers lorsqu’ils vendent ou utilisent les données des enfants. La complexité des risques contractuelle est ce qui les rend particulièrement pernicieux, car ils sont beaucoup plus difficiles à identifier pour les mineurs et les parents que les risques de contenu, par exemple, que leur on a appris à se méfier.
Les impacts
Concrètement, quels sont les impacts que peut avoir la collecte des données sur les mineurs? Ces exemples inspirés du travail de la Commission d’accès à l’information (2022) présentent des mises en situation fictives :
La chaine de restauration rapide McBurger offre une application mobile qui enregistre la position de ses clients et leurs habitudes d’achat.
- Influence du comportement : McBurger utilise les données qu’il a récoltées sur Mathilde 14 ans pour l’associer à un segment de sa clientèle qu’il sait naïf et facilement influençable. Grâce à sa connaissance de Mathilde, McBurger est capable d’influencer son comportement pour l’encourager à consommer à ses établissements. Atteinte au droit de ne pas être exploité économiquement et atteinte au droit à la vie privée.
- Discrimination : Les renseignements récoltés sur les habitudes de consommation de restauration rapide de Mathilde pourraient être utilisés dans le futur par les compagnies d’assurances pour influencer ses primes. Atteinte au principe de non-discrimination.
- Violation de la vie privée commerciale : À chaque fois que Mathilde est à proximité d’un McBurger ou d’un de ses compétiteurs, elle reçoit une notification l’invitant à partager un repas à moitié prix dans les deux prochaines heures. Atteinte au droit de ne pas être exploité économiquement et au droit à la vie privée.
Le réseau social Friendly connecte les personnes entre eux basées sur leur profil et leur position. Son algorithme recommande du contenu selon les intérêts de l’utilisateur et ses relations.
- Jacob 12 ans écoute du contenu concernant ses multiples passe-temps. Une vidéo faisant l’apologie de valeurs misogynes apparait sur son fil. Après avoir interagi avec, Friendly recommande à Jacob de plus en plus de vidéos de la sorte jusqu’à ce que ce soit tout ce qu’il puisse voir. Atteinte au droit à l’information, au droit de penser librement, au droit de participer pleinement à la vie culturelle et au droit à la vie, à la survie et au développement.
- Leurre sexuel : Un prédateur profite de la fonctionnalité de Friendly de connecter les usagers similaires en se créer un compte se faisant passer pour un jeune garçon. Jacob se fait recommander le faux compte sur le réseau social ce qui permet au prédateur d’entrer en contact avec lui. Atteinte au droit à la vie à la survie et au développement.
Ces mises en situation exemplifient comme la collecte de données et leur utilisation peut créer un environnement où les catégories de risques (contenu, contact, comportement) plus concrètes sont amplifiées. En fin de compte, si les préjudices de la collecte de données peuvent sembler insignifiants et abstraits, leur multiplicité augmente grandement les chances que du tort réel soit causé (Commission d’accès à l’information, 2022).
Position de l’auteur
La particularité des enjeux de la collecte de données par rapport à d’autres types de risques en ligne est l’inévitabilité de la mise en données et le manque d’agentivité que les individus ont sur leurs données. Contrairement aux enjeux de contact, de contenu et de comportement où l’on peut enseigner aux enfants des techniques pour éviter les préjudices, les actions que peuvent poser les enfants pour prévenir les abus dans la collecte et l’utilisation de leurs données sont peu efficaces ou trop exclusives.
La seule manière d’éviter complètement la collecte des données d’un mineur est de lui barrer l’accès à l’environnement numérique. Cette solution est équivalente à l’abstinence dans le sens qu’elle est trop conservatrice et qu’elle prive l’enfant de plusieurs opportunités certaines même encouragées par la Convention relative aux droits de l’enfant comme le droit à l’information et le droit à la liberté d’expression (1989). En somme, on peut éduquer les enfants sur la réalité de la collecte de données, mais on peut difficilement leur demander d’arrêter d’utiliser les services qui en font.
Les recommandations des rapports cités dans cet article poussaient pour des changements dans les règlements afin de forcer les fournisseurs de service à prendre la main la sécurité de leur clientèle vulnérable. Il faut se demander à qui revient cette responsabilité, il y a un déséquilibre lorsque c’est aux individus d’adapter leurs comportements pour éviter les dangers que l’on retrouve dans l’environnement numérique détenu par des compagnies comme Google et Meta.
La réalité est que la mise en donnée n’impacte pas moins les adultes que les plus jeunes. Les problèmes soulevés dans cet article font part d’une problématique plus grande qui touche autant les adultes que les mineurs. Il serait faux de dire que les adultes sont plus équipés ou éduqués sur le sujet comme on a pu le constater dans la section sur les parents. Ce n’est pas parce qu’on atteint dix-huit ans qu’on se met à lire les termes et conditions.
Capsule de sensibilisation à la collecte de données destinée aux adolescents
Bibliographie
Commission d’accès à l’information (2022). Mieux protéger les renseignements personnels des jeunes à l’ère numérique, Québec. Récupéré de Commission d’accès à l’information du Québec.
Nations unies (1989). Convention relative aux droits de l’enfant, New York. 20 novembre récupéré de https://treaties.un.org/pages/viewdetails.aspx?src=treaty&mtdsg_no=iv-11&chapter=4&clang=_fr.
Livingstone, Sonia, et Mariya Stoilova (2021). The 4Cs: Classifying Online Risk to Children, (CO:RE Short Report Series on Key Topics), Hamburg: Leibniz-Institut für Medienforschung | Hans-Bredow-Institut (HBI), CO:RE – Children Online: Research and Evidence. Récupéré de https://doi.org/10.21241/ssoar.71817.
Stoilova, Mariya, Sonia Livingstone et Rishita Nandagiri (2019). Children’s data and privacy online: Growing up in a digital age, Londres, London School of Economics and Political Science. Récupéré de Childrens-data-and-privacy-online-report-for-web.pdf.