« Protéger ces données, c’est protéger sa liberté », voilà le slogan choisi par des étudiants de HEC Montréal dans le cadre de leur campagne de sensibilisation sur la protection des données.1 Derrière ce slogan percutant se retrouve une réalité complexe : l’utilisation de nos appareils intelligents laisse derrière des traces parfois invisibles et permanentes qui peuvent porter préjudice à notre liberté. On les appelle nos traces ou empreintes numériques, ces données personnelles générées quotidiennement par nos activités en ligne comme hors ligne sont constamment captées par les appareils qui nous entourent. Qu’elles soient volontaires ou non, ces traces racontent notre quotidien, nos préférences, nos habitudes et parfois même nos sentiments.
Ces données sont devenues une matière première convoitée dans l’économie numérique, et comme le souligne Zuboff (2019) dans son ouvrage The Age of Surveillance Capitalism, nos comportements sont transformés en marchandises échangées sur un marché global, dans lequel nous sommes à la fois les consommateurs et les produits. Bien que ces traces proviennent directement de nous, elles semblent souvent être détenues, analysées, exploitées et même revendues à notre insu par des géants du numérique, des entreprises tierces ou même par des États.
Ce constat soulève une question cruciale : nos traces numériques sont-elles vraiment sous notre contrôle ? Avons-nous encore la capacité réelle de décider des données que l’on partage et avec qui nous les partageons? Ou sommes-nous réduits à être les consommateurs d’un marché qui nous contrôle ?
Dans ce texte, nous explorerons les dynamiques de pouvoir liées à ces traces numériques et les enjeux éthiques associés. Enfin, nous proposerons des pistes concrètes afin de parvenir à une gouvernance plus équitable et transparente de nos traces numériques.
Traces numériques et rapports de pouvoir
Avant que l’on aborde les enjeux d’éthique, il faut d’abord qu’on comprenne mieux ce que sont les traces numériques, la manière dont elles alimentent un système fondé sur l’exploitation de données et créent des rapports de pouvoir entre les différentes parties qui les détiennent. On retrouve généralement deux types de traces : les traces actives et les traces passives. Les premières sont celles que l’on laisse volontairement (commentaires, likes, formulaires remplis) et les secondes sont souvent générées à notre insu (adresse IP, géolocalisation, type d’appareil utilisé, historique de navigation etc.). Comme l’expliquent Arakerimath et Gupta (2015), les traces actives sont générées par nos propres actions de manière explicite tandis que les traces passives proviennent de mécanismes invisibles pour l’utilisateur moyen, ce qui les rend d’autant plus problématiques. Prenons l’exemple des dix derniers sites que vous avez visités. Seriez-vous capable d’identifier parmi eux lesquels ont capturé vos données et de savoir quelles sont ces données en question ? Moi, personnellement, je n’en suis pas capable.
Ces données suivent un cycle de vie précis : elles sont d’abord collectées de différentes manières par les plateformes numériques (réseaux sociaux, moteurs de recherche, applications mobiles), puis traitées via des algorithmes qui les croisent avec d’autres informations pour créer des profils personnels représentant chaque utilisateur, afin de personnaliser le contenu auquel nous accédons et de nous permettre d’accéder à des offres adaptées à nos besoins (Maraj et al., 2024). En vérité, je ne crois pas avoir eu à écrire ces lignes si nos données avaient été collectées et utilisées uniquement à ces fins. En effet, l’idée que nos données sont utilisées seulement à notre avantage semble refléter uniquement le vernis de la réalité, puisque plusieurs scandales, que nous verrons plus loin dans le texte, ont démontré que les données étaient souvent utilisées à des fins bien plus opaques, parfois sans consentement clair, et dans des logiques de profit ou de manipulation des comportements.
Ces dynamiques révèlent des rapports de pouvoir asymétriques. Les grandes entreprises numériques par les flux de données, les infrastructures technologiques et les interfaces que nous utilisons au quotidien disposent d’un contrôle important sur nos données. Elles imposent leurs conditions d’utilisation que nous lisons peu ou presque jamais et s’appuient certaines fois sur des modèles d’acceptation implicite du consentement (Susser et al., 2019). Comme le notent (Susser et al., 2019), cette situation affaiblit la capacité des individus à exercer un choix libre et éclairé. Pour leur part, les États adoptent un rôle ambivalent. D’un côté, ils tentent d’instaurer des protections par des lois comme le RGPD4 ou la loi 255 au Québec. De l’autre, ils peuvent eux-mêmes, ou par l’entremise de leurs institutions, être impliqués dans des pratiques préoccupantes d’utilisation des données. Prenons l’exemple de la GRC, qui a reconnu en 2020 avoir utilisé un outil de reconnaissance faciale entraîné sur des milliards de photos collectées sur Internet sans consentement. Quant aux citoyens, nous occupons une position centrale mais faible. Bien que nous produisions des données en permanence, nous n’avons ni les moyens techniques ni l’accès à l’ensemble des usages qui sont faits de nos données. Nous subissons les règles définies par les détenteurs de plateformes numériques, en ayant l’impression d’avoir le choix, mais les interfaces de gestion de la vie privée sont souvent complexes, voire volontairement dissuasives. En vérité, comme le soulignent Susser et al. (2019), cette structure est pensée de manière à minimiser notre intervention consciente, en nous donnant l’illusion du choix, alors que tout est paramétré par défaut pour maximiser la collecte de nos données.
Les traces numériques ne sont pas de simples données que nous laissons derrière nous, elles sont au cœur de rapports de pouvoir complexes entre citoyens, entreprises et États. Le fait de comprendre leur nature, leur cycle de vie et la manière dont elles sont exploitées nous permet de mieux comprendre les enjeux d’un écosystème numérique où le contrôle échappe à ceux qui produisent les données.
Vie privée, pouvoir économique et
dérives politiques : des enjeux importants
Les enjeux liés au contrôle de nos données sont multiples, mais la vie privée, le pouvoir économique des entreprises et les dérives politiques liées à la surveillance et à l’influence de masse sont trois dimensions qui semblent occuper une place centrale dans les débats actuels sur le numérique.
À la lumière de la littérature sur le sujet, notre vie privée semble largement compromise par la collecte de nos données. Une étude du Pew Research Center (Auxier et al., 2020), nous montre que 79 % des adultes américains sont inquiets de la manière dont les entreprises gèrent leurs données et que seulement 6 % d’entre eux se disent confiants dans leur capacité à comprendre ce que ces entreprises savent réellement d’eux. Il y a ici un décalage important qui démontre que nous partageons volontiers nos données pour accéder à des services ou gagner en confort d’utilisation, mais que derrière, nous avons peu ou pas d’idée de la manière dont nos données sont gérées. Pensez-y, combien de fois avez-vous installé une application en remplissant toutes vos informations personnelles pour finalement ne pas l’utiliser ou très peu ? Une étude de Rao, Schaub et Sadeh (2015) nous montre que les profils générés par les entreprises vont bien au-delà des simples préférences de navigation. Ils peuvent contenir des informations sensibles comme notre état de santé, notre situation financière ou nos croyances religieuses. Si ce n’est pas une atteinte à notre vie privée, qu’est-ce que c’est ?
Un exemple canadien marquant d’atteinte à la vie privée est celui de l’application Tim Hortons, qui a été au cœur d’un scandale en 2022. Selon une enquête du Commissariat à la vie privée au Canada, l’entreprise a été accusée de suivre en continu le déplacement de ses utilisateurs, que ces derniers soient en ligne ou hors ligne. ⁶ Ce cas a mis en lumière les pratiques abusives de certaines entreprises qui exploitent la confiance des consommateurs sous le prétexte de l’expérience personnalisée. Vous imaginez-vous être suivi en tout temps ? Ce genre de pratiques nous démontre à quel point la notion de vie privée, qui est à la base fondamentale, est aujourd’hui fragilisée par les mécanismes de collecte et d’exploitation de données souvent flous.
L’enjeu du pouvoir économique est tout aussi important. Nous entendons souvent que celui qui détient l’information détient le pouvoir. C’est exactement ce que dénonce Zuboff (2019) dans le concept qu’elle surnomme le « capitalisme de surveillance ». Elle explique que les grandes entreprises sont capables d’extraire des informations sur ce que nous faisons, la manière dont nous pensons et ce que nous allons faire. Ces données ne servent donc pas seulement à « améliorer » le service, mais surtout à prédire et influencer nos comportements à des fins de profit. La logique de ce modèle économique est unilatérale, de sorte que les entreprises utilisent nos données et en profitent sans que nous puissions avoir de contrepartie. En d’autres mots, notre vie quotidienne devient une ressource exploitable à notre insu, et surtout à notre encontre. Le concept décrit par Zuboff (2019) explique la transformation du pouvoir informationnel en pouvoir de marché, et cette transformation se consolide à travers le temps en raison de notre dépendance au numérique. Nous pouvons un peu voir cela comme une spirale dans laquelle nous sommes emprisonnés : plus on partage, plus nous sommes traqués, et plus on consomme. Enfin, Zuboff (2019) explique que le rapport de force ici est clairement déséquilibré : l’utilisateur devient à la fois la cible, le produit et le moteur du profit. Selon elle, tant que ces mécanismes resteront invisibles ou banalisés, il sera difficile pour les citoyens de reprendre le contrôle sur leur place dans l’économie numérique. Pour ma part, tout comme certains, j’aurais bien aimé avoir le choix de tirer profit de l’analyse de mes propres données… ou non.
Au-delà de la sphère économique, l’enjeu des dérives politiques est particulièrement préoccupant dans le contexte de nos traces numériques. Königs (2022) nous explique qu’il existe un usage croissant des technologies par les gouvernements pour surveiller les populations. Il souligne qu’il y a un réel danger lorsque l’utilisation d’un outil conçu à l’origine pour la sécurité est utilisée pour surveiller ou appliquer des lois dont la légitimité est contestable. Königs (2022) prétend que la Covid-19 est un exemple révélateur des risques liés à la surveillance gouvernementale. Il indique que certains pays, comme le Taiwan, ont collaboré avec des entreprises de télécommunications pour suivre les déplacements de la population et met en garde contre la facilité avec laquelle la surveillance gouvernementale peut être mobilisée par des moyens technologiques pour restreindre des libertés fondamentales.
Enfin, il est difficile d’aborder cet enjeu sans évoquer le tristement célèbre scandale de Cambridge Analytica.⁷ L’affaire a révélé la manière dont les données personnelles de millions d’utilisateurs Facebook ont été exploitées pour manipuler l’opinion publique lors de l’élection du président Trump en 2016. On peut s’entendre que dans ce cas, le but n’était clairement pas de cibler des consommateurs, mais d’influencer des choix électoraux à grande échelle. C’est une illustration parfaite de la manière dont les données peuvent devenir des outils d’influence redoutables ou même une menace à notre démocratie quand elles sont entre de mauvaises mains.
Ces épisodes peuvent être considérés comme un signal d’alarme. Ils nous ont démontré à quel point notre société est vulnérable face aux personnes ou organisations mal intentionnées, et qu’il est important d’agir de manière rapide pour éviter que les technologies numériques deviennent des outils de contrôle social.
Pistes et recommandations
Face à l’ampleur de l’enjeu discuté, il est crucial que les entreprises, les citoyens et les gouvernements prennent des actions concrètes de manière concertée pour atténuer les effets négatifs. Du côté des entreprises, l’intégration du principe de « privacy by design » dans leurs systèmes est une première recommandation essentielle. Cela implique la mise en place, dès la conception des services ou systèmes, de dispositifs permettant d’anonymiser les données, de les chiffrer ou encore d’utiliser des technologies permettant la préservation de la vie privée (PETs), telles que décrites par Danezis et al. (2015).Aussi, les entreprises ont tout à gagner à rendre leurs politiques de confidentialité accessibles et compréhensibles, en évitant les longs documents difficiles à lire et souvent ignorés par les utilisateurs, comme l’indiquent Korunovska et al. (2020).
Pour les citoyens, les auteurs s’attardent sur une meilleure éducation numérique, qui est essentielle pour qu’ils puissent comprendre les enjeux liés à leurs traces numériques, exercer un consentement éclairé et utiliser les techniques disponibles pour paramétrer leur vie privée en ligne. Hutton et Henderson (2017) indiquent que des campagnes publiques de sensibilisation pourraient aider à combler ce manque de compréhension. Un exemple de campagne serait équivalent à celle mentionnée au tout début du texte, élaborée par des étudiants du HEC Montréal et disponible en ligne.¹
Enfin, selon les mêmes auteurs, les gouvernements doivent renforcer leur cadre réglementaire, possiblement adhérer au Règlement général sur la protection des données s’ils n’y adhèrent pas déjà, et imposer aux entreprises des obligations précises, des audits réguliers et des sanctions dissuasives.⁴ Ils pourraient également promouvoir des formes de gouvernance innovantes, comme les « data collaboratives » (Verhulst, 2017), qui permettent un partage responsable des données entre les différents acteurs. Collectivement, nous réussirons peut-être à atteindre une gouvernance responsable des données et à reprendre le contrôle de nos données.
¹ HEC Montréal. (s. d.). Nos données numériques sont-elles vraiment sous notre contrôle ? [Blogue]. https://digital.hec.ca/blog/controle-donnees-numeriques/
² Königs, J. (2022). Data Collection and the Threat to Privacy: Surveillance Risks in the Digital Age. Digital, 5(4), 48. https://www.mdpi.com/2673-4001/5/4/48
³ Susser, D., Roessler, B., & Nissenbaum, H. (2019). Online Manipulation: Hidden Influences in a Digital World. SSRN. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3306006
⁴ Commission européenne. Règlement général sur la protection des données (RGPD). https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679
⁵ Gouvernement du Québec. Loi 25 sur la protection des renseignements personnels. https://www.quebec.ca/gouv/politiques-orientations/loi-modernisant-dispositions-personnelles
⁶ Commission d’accès à l’information du Québec. (2022). L’application Tim Hortons enfreint les lois sur la protection des renseignements personnels. https://www.cai.gouv.qc.ca/actualites/application-tim-hortons-enfreint-lois-protection-renseignements-personnels
⁷ Radio-Canada. (2018). Facebook et Cambridge Analytica : les dessous d’un scandale. https://ici.radio-canada.ca/nouvelle/1090159/facebook-cambridge-analytica-donnees-personnelles-election-politique-campagne-marketing-politique
Bibliographie
Arakerimath, R. R., & Gupta, D. (2015). A study on active and passive digital footprints: Awareness, risk and management. International Journal of Advanced Research in Computer Engineering & Technology (IJARCET), 4(6), 2615–2618.
Auxier, B., Rainie, L., Anderson, M., Perrin, A., Kumar, M., & Turner, E. (2020). Americans and privacy: Concerned, confused and feeling lack of control over their personal information. Pew Research Center. Consulté le 20 juin 2025.
Danezis, G., Domingo-Ferrer, J., Hansen, M., Hoepman, J.-H., Le Métayer, D., Tirtea, R., & Schiffner, S. (2015). Privacy and data protection by design – from policy to engineering. European Union Agency for Network and Information Security (ENISA). Consulté le 20 juin 2025.
Hutton, L., & Henderson, T. (2017). I didn’t sign up for this! Informed consent in social network research. Ethics and Information Technology, 19(2), 113–126.
Königs, J. (2022). The dark side of traces: Surveillance and the risk of digital authoritarianism. Digital, 5(4), 48. Consulté le 20 juin 2025.
Korunovska, J., Gómez-Barroso, J. L., & Pérez-Martínez, J. (2020). Privacy notices in the EU: Improving usability and readability through design. Communications of the ACM, 63(6), 42–47.
Maraj, A., Anderson, J., & Richard, C. (2024). Profiling in the digital era: Data aggregation and the future of personalization. Journal of Digital Ethics, 12(1), 18–37.
Rao, A., Schaub, F., & Sadeh, N. (2015). What do they know about me? Contents and concerns of online behavioral profiles. In Proceedings of the 2015 ACM on Conference on Online Social Networks (pp. 98–109). Consulté le 20 juin 2025.
Susser, D., Roessler, B., & Nissenbaum, H. (2019). Online manipulation: Hidden influences in a digital world. Georgetown Law Technology Review, 4(1), 1–45. Consulté le 20 juin 2025.
Verhulst, S. G. (2017). Data collaboratives as a new frontier of cross-sector partnerships in the age of open data. OECD, Development Co-operation Report 2017. Consulté le 20 juin 2025.
Zuboff, S. (2019). The age of surveillance capitalism: The fight for a human future at the new frontier of power. PublicAffairs. Consulté le 20 juin 2025.
Zarsky, T. Z. (2006). Improving privacy protection in the area of behavioural targeting (Thèse de doctorat, Faculté de droit, Universiteit van Amsterdam). DARE – Universiteit van Amsterdam. Consulté le 20 juin 2025.
Narayanan, A., & Shmatikov, V. (2015). De-anonymizing social networks. Arxiv preprint. Consulté le 20 juin 2025.