Surveillance de nos Métadonnées. C’est à dire ?

Divers événements récents survenus au Canada et dans d’autres pays nous ont amenés à nous demander si certains organismes gouvernementaux recueillent et utilisent des métadonnées dans le cadre de leurs activités et, le cas échéant, comment ils s’y prennent. Les programmes de collecte de métadonnées aux États Unis et au Canada ont récemment suscité de grands débats dans les médias. 

 

Même si de telles données peuvent être créées et utilisées de façon légale dans le secteur aussi bien public que privé (sous réserve des restrictions et conditions appropriées), il semble y avoir un débat qui persiste sur la nature des métadonnées, ce qu’elles peuvent révéler, et sur le traitement à leur réserver en l’absence d’une disposition législative expresse. Diverses personnes et organisations reconnues continuent de faire valoir que l’on doit établir une distinction entre les métadonnées et le contenu réel des communications et, par conséquent, que les métadonnées sont moins dignes d’être protégées sous l’angle de la vie privée.

 

 

De nombreuses sources se sont penchées sur la nature des « métadonnées » et ce qu’elles peuvent révéler

Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a déjà analysé en juillet 2006 les répercussions des métadonnées en lien avec la protection de la vie privée et il a publié une fiche d’information intitulée Les risques associés aux métadonnées. En mai 2013, nous avons également publié un rapport de recherche intitulé Ce qu’une adresse IP peut révéler à votre sujet, qui montre comment la connaissance d’éléments d’information concernant un abonné, notamment le numéro de téléphone et l’adresse IP, peut constituer un point de départ pour retracer les activités en ligne d’une personne. S’appuyant sur ces travaux effectués auparavant par le Commissariat, le présent document propose une analyse technique de ce que peuvent révéler les métadonnées et donne un aperçu de la façon dont les tribunaux ont interprété la notion de métadonnée.

 

 

Qu’est ce qu’une « métadonnée »?

Pour simplifier, disons qu’une métadonnée est une donnée qui fournit de l’information sur une autre donnée. Il s’agit en fait des renseignements qui sont générés lorsqu’on utilise la technologie et qui permettent de situer dans leur contexte (qui, quoi, où, quand et comment) diverses activités. Ces activités peuvent aller de la création d’un document à un appel téléphonique en passant par le clavardage. Dans le contexte des communications, les métadonnées fournissent certaines précisions sur la création, la transmission et la diffusion d’un message. À cet égard, les métadonnées peuvent, par exemple, indiquer la date et l’heure où un appel téléphonique a été fait ou le lieu à partir duquel un courriel a été consulté.

 

On décrit généralement les métadonnées comme de l’information sur un dossier électronique ou numérique, mais la notion de métadonnée est indéniablement vaste. Étant donné que le débat récent sur la nature et la valeur des métadonnées découle de l’interception de métadonnées associées à des communications, le présent document mettra l’accent sur les métadonnées créées par les communications Internet, filaires et sans fil.

 

Comme nous le verrons ci après, la distinction entre une « communication » ou un « contenu », d’une part, et l’information générée par cette communication ou son contenu ou s’y rapportant, d’autre part, n’est pas si claire.

 

 

Quelques exemples de métadonnées dans le contexte des communications

Chaque fois que nous communiquons, des métadonnées sont produites. Qu’il s’agisse d’une conversation en face à face avec une personne, de l’envoi de messages textes, de clavardage ou de conversations téléphoniques, certains renseignements concernant cette communication – autres que la communication en soi – sont produits.

 

En ce qui concerne les communications par Internet ou par téléphone, voici quelques exemples de métadonnées que peuvent générer certaines activités courantes :

Faire un appel téléphonique

Métadonnées produites

  • Numéro de téléphone de l’appelant
  • Numéro de téléphone composé
  • Numéro de série unique des appareils téléphoniques utilisés
  • Heure de l’appel
  • Durée de l’appel
  • Emplacement de chaque participant
  • Numéro de carte d’appel

Activité

Envoyer un courriel

Métadonnées produites

  • Nom, adresse de courriel et adresse IP de l’expéditeur
  • Nom et adresse de courriel du destinataire
  • Renseignements sur le transfert via le serveur
  • Date, heure et fuseau horaire
  • Identifiant unique du courriel et des courriels connexes (identifiant de message)
  • Type de contenu et codage
  • Dossier de connexion du client de la messagerie avec adresse IP
  • Format de l’en-tête du client de la messagerie
  • Priorité et catégorie
  • Objet du courriel
  • Statut du courriel
  • Demande de confirmation de lecture

Activité

Utiliser un site de réseautage social

Métadonnées produites

  • Votre nom et les renseignements biographiques indiqués dans votre profil, notamment votre date de naissance, votre ville natale, vos antécédents professionnels et vos centres d’intérêt
  • Votre nom d’utilisateur et identifiant unique
  • Vos abonnements
  • Le lieu où vous vous trouvez
  • L’appareil que vous utilisez
  • La date et l’heure de l’activité ainsi que le fuseau horaire
  • Vos activités, ce que vous aimez, le lieu où vous vous trouvez et les événements auxquels vous assistez

Activité

Utiliser un site de microblogage

Métadonnées produites

  • Votre nom, le lieu où vous vous trouvez, votre langue, les renseignements biographiques indiqués dans votre profil et votre URL
  • La date à laquelle vous avez créé votre compte
  • Votre nom d’utilisateur et votre identifiant unique
  • Le lieu du gazouillis, la date, l’heure et le fuseau horaire
  • Le numéro d’identification unique du gazouillis et celui du gazouillis auquel vous répondez
  • Le code d’identification des contributeurs
  • Le nombre d’abonnés, d’abonnements et de favoris
  • Votre statut en matière de vérification
  • L’application qui a servi à l’envoi du gazouillis

Activité

Utiliser un site de microblogage

Métadonnées produites

  • Les pages que vous visitez, et quand
  • Les données sur l’utilisateur et peut être les détails de connexion de l’utilisateur avec la fonction de saisie automatique
  • Les adresses URL
  • Votre adresse IP, votre fournisseur de services Internet, les détails matériels de votre appareil, la version du système d’exploitation et du navigateur
  • Les témoins et données en cache provenant des sites Web
  • Vos requêtes de recherche
  • Les résultats de recherche qui s’affichent
  • Les pages que vous visitez par la suite

 

Lire la suite….

 

 

Conclusion
Tout en prenant acte de l’importance du contexte, les tribunaux ont observé à maintes reprises que les métadonnées peuvent être très révélatrices au sujet d’une personne et appellent une protection sous l’angle de la vie privée.

Les institutions gouvernementales qui recueillent ces renseignements, ou envisagent de le faire, ne peuvent sous estimer l’ampleur de l’information que les métadonnées peuvent révéler au sujet d’un individu. Il en va de même pour les organisations du secteur privé auxquelles on demande de divulguer de telles données aux institutions gouvernementales, y compris les organismes d’application de la loi. Compte tenu de l’omniprésence des métadonnées et des conclusions convaincantes qui peuvent en découler concernant des individus en particulier, les institutions gouvernementales et les organisations du secteur privé doivent baliser leurs activités de collecte et de communication en fonction de méthodes et de normes appropriées qui sont adaptées au niveau de sensibilité potentiel des métadonnées dans des circonstances données.

 

 


Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous


 

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

 

Source : https://www.priv.gc.ca/information/research-recherche/2014/md_201410_f.asp

 

 

image_pdfimage_print