Nous nous sommes rendus au Citizen Lab de l’École Munk des affaires internationales à l’Université de Toronto et nous y avons rencontré Christopher Parsons, bénéficiaire d’une subvention du PIC. Notre intention consistait à en apprendre plus sur le DIY Transparency Report Tool. Il s’agit d’un outil qui aide les entreprises à produire des rapports sur la transparence afin de mieux communiquer avec leur clientèle au sujet de la façon dont elles recueillent, conservent et divulguent leurs données.
Le Programme d’investissement communautaire (PIC) soutient des projets qui font progresser la littératie numérique au Canada. Il permet à des organismes sans but lucratif d’offrir des services en ligne et d’aider les chercheuses et les chercheurs universitaires à s’attaquer aux enjeux numériques qui se dessinent.
Nous nous sommes rendus au Citizen Lab de l’École Munk des affaires internationales à l’Université de Toronto et nous y avons rencontré Christopher Parsons, bénéficiaire d’une subvention du PIC. Notre intention consistait à en apprendre plus sur le DIY Transparency Report Tool. Il s’agit d’un outil qui aide les entreprises à produire des rapports sur la transparence afin de mieux communiquer avec leur clientèle au sujet de la façon dont elles recueillent, conservent et divulguent leurs données.
-
Pouvez-vous nous parler du DIY Transparency Report Tool qui a été mis au point et de ce qu’il fait?
-
Nous avons élaboré un outil autonome qui s’exécute sur le serveur Web. L’outil en question produit trois types de rapports :
- Le premier en est un de conservation des données. Il énumère toutes les données qu’une entreprise conserve de sa clientèle, pendant combien de temps et pourquoi elle les conserve. En vertu de la loi, les organisations doivent être en mesure d’expliquer à leur clientèle de telles pratiques de rétention.
- Le second rapport est un manuel d’application de la loi. Lorsque les organismes d’application de la loi s’adressent à une entreprise, ils ne savent généralement pas à qui remettre la demande de données. Ils ne connaissent pas les processus prévus pour la collecte et la conservation des données, etc. Alors, nous avons préparé une série de questions au moyen desquelles les organisations expliquent leurs politiques de conservation et de divulgation aux fins des demandes des organismes gouvernementaux. Par exemple, une organisation peut expliquer si elle partage de l’information de façon volontaire, soit sans ordonnance gouvernementale exécutoire, et les motifs qui justifient cette décision en matière de politique interne.
- Le troisième rapport produit est le rapport classique sur la transparence. En règle générale, il est produit par les grandes entreprises et indique à combien de reprises des organismes gouvernementaux leur ont adressé des demandes de données et quelle a été leur réponse.
La combinaison de ces trois rapports permet à leurs utilisatrices et à leurs utilisateurs de comprendre globalement la façon dont une société recueille, conserve et expose les données à leur sujet.
En créant cet outil, nous n’avons pas présumé que les entreprises font quoi que ce soit de répréhensible et nous ne portons pas davantage de jugement sur la façon dont une entreprise devrait répondre à une demande gouvernementale. Notre objectif, c’est d’aider les petites et les moyennes entreprises (PME) à fournir des réponses et des explications à leur clientèle et à faire preuve de transparence au sujet de leurs interactions avec les porte-parole gouvernementaux qui leur demandent des renseignements.
-
Comment l’idée d’un tel projet vous est-elle venue?
-
À ce moment, je m’attardais aux questions de télécommunications et de transparence depuis plusieurs années. Puisque les grandes entreprises en ont les moyens et le temps, il est fréquent qu’elles diffusent de tels rapports.
À l’occasion de conférences, j’ai discuté avec des représentants de grandes entreprises et j’ai fait des recherches dans ce secteur. J’ai découvert que pour produire ces types de rapports, la réaction à une crise constituait l’une des principales motivations des sociétés. Du côté des petites organisations, on évoquait simplement le manque de ressources, que ce soit de temps, de main-d’œuvre, d’argent ou de compréhension de la façon d’élaborer un rapport de transparence.
Compte tenu de cette rétroaction, nous avons découvert que les petites entreprises recevaient des demandes d’organismes d’application de la loi au sujet d’immenses quantités de données sur les utilisatrices et les utilisateurs, mais sans savoir comment y répondre. Avant de concevoir cet outil, aucune solution abordable n’existait sur le marché pour régler ce problème vécu par les petites entreprises.
-
L’outil est-il conçu à l’intention d’un type particulier d’organisations ou d’entreprises?
-
Dans une certaine mesure, oui. Lorsque nous avons créé l’outil, nous étions vraiment focalisés sur les PME numériques, mais ce n’est pas un préalable pour l’utiliser.
Il est à la fois générique et modulaire. Chaque champ est modifiable, et de nouveaux champs peuvent y être ajoutés. Il pourrait être utilisé par de petites entreprises, par exemple des exploitants de RPV, un registre de noms de domaine ou une grande chaîne hôtelière. Nous ne nous concentrons pas nécessairement sur cette dernière catégorie d’organisations, mais elles pourraient adapter l’outil en un rien de temps pour satisfaire leurs besoins organisationnels.
-
Vous avez évoqué le fait que les PME manquent souvent de ressources. Pourriez-vous approfondir cette question? Pourquoi est-il plus difficile pour les petites et moyennes entreprises de produire des rapports de transparence?
-
Une PME peut employer d’une à deux cents personnes. Bien souvent, les entreprises sont agiles. Elles travaillent dur pour fabriquer leur produit en temps voulu et gérer les demandes de soutien. Elles ne disposent tout simplement pas d’une personne à temps plein qui s’emploie à comprendre ce qu’il faut pour produire un rapport sur la transparence.
Notre objectif consiste à réduire pour les PME les coûts de production de tels rapports. Des questions de politiques organisationnelles doivent être réglées, et plusieurs échanges doivent avoir lieu au sein de l’organisation. Alors, les coûts sont toujours réels. Par contre, grâce à l’implémentation de l’outil, le processus se trouve rationalisé.
Nous avons pris l’initiative de rédiger un guide d’utilisation. On y explique les étapes et les champs de l’outil, ce qui donne plus de contexte. Par exemple, les motifs qui pousseraient les organisations à utiliser ces outils, les raisons pour lesquelles préparer des rapports plutôt qu’attendre qu’une crise éclate relève du gros bon sens, etc.
-
Quelles mesures de sécurité avez-vous prévues pour que les données qui figurent dans ce rapport soient protégées?
-
L’une des principales caractéristiques de cet outil est qu’il est conçu pour être téléchargé et stocké là où l’organisation le juge le plus approprié. Il pourrait se trouver dans une infrastructure infonuagique partagée, sur un portable, etc. Nous voulions éviter d’obliger les entreprises à prendre des mesures particulières, quelles qu’elles soient.
Le cryptage des données est préférable, mais nous savons que les organisations appliquent diverses politiques internes.
Une autre de ses caractéristiques est l’instanciation locale de l’outil. Si une entreprise A et une société B l’exécutent, l’une ne verra pas les données de l’autre. Les données ne sont pas consultables avant la publication des rapports.
Nous avons mené des consultations approfondies auprès des parties prenantes pendant l’étape de développement et créé l’outil de façon à ce que les rapports soient accessibles au public ou en interne seulement. Nous espérions toutefois que ces rapports seraient plutôt accessibles au public. En prenant cette décision, l’entreprise indique qu’elle prend au sérieux les questions de confidentialité des données.
À une entreprise qui produit ces rapports, je dirais que l’un des avantages qu’elle en retire consiste à présenter la preuve de son entière conformité avec la législation canadienne en matière de protection des renseignements personnels stockés par les sociétés et la LPRPDE.
-
Les entreprises et les organisations sont-elles tenues de produire ces types de rapports?
-
Je dirais que le premier type de rapports, celui sur la conservation des données, est exigé.
En ce qui concerne les deux autres, la production de rapports sur la transparence devrait être exigée des entreprises canadiennes en vertu de plusieurs principes de la LPRPDE. Il n’existe pas de loi particulière, mais le commissaire à la protection de la vie privée, Daniel Therrien, insiste sur le fait que ces types de rapports doivent être produits.
À mon avis, on verra à l’avenir des pratiques opérationnelles normalisées en la matière. C’est pourquoi les entreprises devraient devancer la loi et faire preuve d’un bon sens des responsabilités d’entreprise.
Les entreprises choisissent de produire un, deux ou tous les rapports. Nous n’avons pas conçu l’outil pour les obliger à produire les trois. Disposer des trois est idéal, mais les entreprises font leur choix, puisqu’elles comprennent la situation qui leur est propre.
-
En quoi le financement du Programme d’investissement communautaire a-t-il contribué à ce projet?
-
Honnêtement, sans le financement du PIC, nous n’aurions pas eu l’argent pour embaucher la personne qui a veillé au développement de l’outil. Nous aurions été en mesure de nous acquitter du travail sur les politiques, mais pas d’embaucher cette personne. Le financement a été affecté aux ressources requises par le travail de développement et la mise en service de l’outil.
-
En général, la population canadienne se préoccupe-t-elle des données dont les organisations et les entreprises disposent? Pourquoi?
-
Les études ne cessent de démontrer qu’elle est généralement préoccupée par la façon dont ses données sont recueillies, conservées et utilisées. Certaines personnes refusent même d’acheter en ligne parce qu’elles se soucient de la façon dont leurs données sont divulguées.
Établir et préserver la confiance de leurs utilisatrices et de leurs utilisateurs ou de leur clientèle peut représenter un défi pour les organisations. Nous voyons aujourd’hui que des entreprises de télécommunications élaborent leurs rapports sur la transparence comme activité relative à la responsabilité sociale d’entreprise dans le but d’inspirer confiance.
Les rapports sur la transparence ne sont pas la seule solution à ce défi, loin de là. Par contre, ils témoignent d’une bonne gouvernance d’entreprise et d’un respect envers leurs utilisatrices et leurs utilisateurs. C’est un outil qui sert à favoriser la sensibilisation.
-
D’après vos observations, est-ce ce que les gens sont plus éduqués sur cette question et y sont-ils plus sensibles qu’auparavant?
-
Au cours des cinq dernières années, alors que la littératie numérique de la population canadienne progressait, un intérêt s’est profilé à l’égard de cette question.
Les Canadiennes et les Canadiens ne se précipitent pas pour lire les rapports de transparence. Par contre, la publication à grande échelle des rapports aide les gens du Citizen Lab de l’Université d’Ottawa et d’autres institutions à passer les renseignements au peigne fin pour ensuite les diffuser à l’intention du public sous forme de reportage plus aisément assimilable qui interpellera la majeure partie de l’auditoire.
Cependant, dans le cadre de la recherche, pour parvenir à cette étape, il nous faut des données de référence. Voilà pourquoi les rapports sur la transparence sont utiles et importants. Ces données contribuent à la croissance de la sensibilisation aux questions de confidentialité des renseignements personnels et de transparence. Elles visent à élargir et à approfondir les échanges à leur propos. Une à deux semaines, voire quelques mois, ne suffisent pas pour y parvenir. Il faut plusieurs années.
-
Jusqu’à présent comment les entreprises ont-elles réagi à l’outil?
-
Nous l’avons présenté à plusieurs organisations et tenu des ateliers pour les gens qui travaillent dans des lieux pertinents partout dans le monde.
Les organisations (petites ou grandes) y ont toutes réagi avec le même enthousiasme, et nous avons eu la possibilité de discuter avec les leaders canadiens du travail que nous faisons. Dans l’ensemble, ils se sont montrés favorables au concept et ont confiance que cet outil réduira les coûts et les tensions qu’entraîne la production de ces rapports.
Nous avons reçu une bonne rétroaction de la société civile qui s’est montrée très favorable à nos travaux. Une personne a indiqué que beaucoup de choses se sont dites au sujet de l’aide aux PME, mais que peu de choses se sont faites pour la concrétiser. Je crois que c’est là l’un de nos apports concrets. Toutes nos réalisations sont en code source ouvert, et nous avons hâte de peaufiner le développement de l’outil.
-
Quelles sont les étapes à venir?
-
Actuellement, nous visitons les PME qui ont acquis une expertise considérable afin d’obtenir leur rétroaction. Nous travaillons avec quelques partenaires clés, dont un qui a activement utilisé l’outil. Nous espérons continuer nos travaux et remanier l’architecture de l’outil en nous inspirant de la rétroaction reçue, puis en lancer une version mise à jour et continuer notre itération relative à l’avenir prévisible.
À long terme, nos ambitieux objectifs comprennent l’expansion afin de servir les communautés juridiques, ce qui nous passionne. Mais d’abord, nous nous concentrons sur l’itération de l’outil sous sa forme actuelle afin d’en optimiser l’utilisation et de le rendre aussi informatif que possible.
Pour obtenir plus de renseignements au sujet de l’outil DIY Transparency Report, de la documentation et le code d’application, veuillez consulter le communiqué de presse (anglais).
Erin apporte à CIRA son bagage du marketing dans les secteurs de l’enseignement supérieur et des organismes sans but lucratif. En 2016, elle a participé au Programme Jeunesse@IGF de l’ISOC et s’est rendue à Guadalajara, au Mexique, pour participer à l’IGF. Elle est titulaire d’un baccalauréat en commerce international délivré par l’Université Carleton.
