Jour après jour, des quantités phénoménales de nouvelles données sont générées. En 2017, IBM a ainsi calculé que 90 % de toutes les données dans le monde avaient été créées au cours des deux années précédentes. Les données façonnent les connaissances, les décisions et le quotidien des individus : elles sont synonymes de pouvoir. Et grâce à la miniaturisation incessante des appareils technologiques, les données sont souvent présentes à chaque minute de chaque journée.
Parallèlement, la puissance de traitement des technologies n’en finit pas de croître et gagne en intelligence pour aider chacun dans sa vie de tous les jours. Les programmes, plateformes et autres applications analysent une à une chaque donnée fournie par plusieurs milliards d’utilisateurs. Des données qui concernent les allées et venues, les photos téléchargées, les enseignes fréquentées et ce qui est acheté, les frappes au clavier ou les comportements des utilisateurs.
Pour tous ceux qui créent ces technologies, il n’y a plus de limite au niveau des détails que peuvent atteindre ces processus de calcul, avec pour résultat des algorithmes intégrés aux applications qui tentent de prédire les désirs des consommateurs. Plus le nombre de données fournies est important, plus les prédictions algorithmiques sont précises, allant parfois jusqu’à anticiper les souhaits ou les besoins avant même que les individus en aient conscience. Souvent, la technologie est utilisée sans aucun contrôle des activités de traitement réalisées ou des données que les utilisateurs partagent ou confient à des fournisseurs de services.
Une législation qui peine à suivre le rythme
Ces dernières années ont été marquées par des changements de lois et de réglementations régissant la protection des données à travers le monde. Les autorités, tout comme les utilisateurs, reconnaissent la nécessité de réglementer les pratiques de traitement des données de l’industrie des technologies tout en garantissant une plus grande transparence et en permettant aux individus de contrôler les activités de traitement exécutées par les organisations sur leurs données.
Ces mesures représentent un progrès nécessaire, mais sont-elles suffisantes ? Les politiques de protection des données et autres déclarations de confidentialité présentées sur les sites Web et les offres de services apportent-elles la transparence et la clarté réclamées par les utilisateurs pour garder le contrôle de leurs données ?
Qui lit ces politiques de protection des données ?
Aujourd’hui, peu de personnes lisent intégralement les conditions générales ou les politiques de protection des données lorsqu’ils souscrivent à de nouveaux services en ligne. Ils n’ont tout simplement ni le temps ni l’envie de s’infliger la lecture d’un jargon juridique qui génère souvent plus de doutes et de questions qu’ils n’en avaient au départ.
Bien que les individus aient plusieurs droits en vertu de certaines réglementations de protection des données (tels que le droit d’accéder aux données dont les organisations disposent les concernant, de restreindre certaines activités de traitement ou de supprimer des informations personnelles), davantage de mesures doivent être prises en l’absence d’autres lois ou réglementations prédominantes.
La protection des données dès la conception
Les lois de protection des données telles que le Règlement Général sur la Protection des Données (RGPD) prévoient l’obligation d’incorporer des principes de protection des données dans l’ensemble du cycle de vie d’un produit ou service. On parle de protection des données dès la conception lorsque cette protection est incorporée par défaut dans les technologies et systèmes. Ce concept a été développé par Ann Cavoukian au milieu des années 1990 en tant qu’approche d’ingénierie des systèmes. Il existe donc depuis un certain temps, mais il n’a pas reçu l’attention qu’il mérite.
Les réglementations telles que le RGPD imposent aux organisations non seulement de réagir aux infractions à la protection des données et de la vie privée, mais également d’agir en amont, en concevant et en incorporant des exigences de protection à la conception du produit afin d’empêcher d’éventuels incidents. Les organisations doivent prendre des mesures pour intégrer les principes et exigences de protection des données dès la conception tout au long du processus de développement des produits et services. Et elles doivent se questionner sur les modèles de collecte de données à caractère personnel présentés.
Intelligence artificielle et protection des données
Jusqu’à récemment, les organisations recueillaient et traitaient toutes les données qu’elles pouvaient pour des raisons de commodité.
Elles partaient du principe que même si toutes les données traitées n’étaient pas exploitables au moment présent, elles pourraient se révéler utiles ultérieurement.
Dans le domaine de l’apprentissage machine, l’argument en faveur d’une collecte excessive de données était que plus l’on disposerait de données, plus les modèles seraient précis. Un des principes de la protection des données dès la conception impose aux développeurs de produits et fournisseurs de services d’éviter toute collecte excessive de données et de limiter leur amassement. Les organisations doivent recueillir et traiter les seules données qui leur sont absolument nécessaires pour le but poursuivi.
Car plus l’on dispose de données, plus l’on prend des risques.
Disposons-nous vraiment de moyens d’action ?
Combien de fois un utilisateur a-t-il eu des difficultés à trouver les paramètres de confidentialité dans une application ? Ou la surprise désagréable de découvrir que certains paramètres avaient été activés par défaut et partageaient déjà activement ses données ? A-t-il déjà eu l’impression que l’on le poussait à approuver une fonction sans véritablement comprendre ce à quoi il consentait ?
Le recours à des méthodes douteuses (des éléments de conception manipulant l’utilisateur pour le tromper délibérément ou influencer son comportement) afin d’améliorer la conversion est inacceptable.
La facilité d’utilisation des paramètres d’une application est tout aussi importante que le reste de sa conception. Les fonctions de sécurité et de confidentialité d’un produit doivent être faciles à trouver et à comprendre pour les utilisateurs, de sorte qu’ils puissent exercer leurs droits et contrôles en matière de protection des données. Les développeurs, concepteurs et directeurs de produit ont la responsabilité d’informer leurs utilisateurs et de leur donner les moyens d’agir.
Les utilisateurs se disent souvent préoccupés par la protection de leurs données et le respect de leur vie privée, sans pour autant que leur comportement en ligne reflète ces inquiétudes. On parle de « privacy paradox » pour désigner ce dilemme.
Alors pourquoi les actes des utilisateurs ne sont-ils pas toujours en phase avec leurs revendications ? Peut-être parce que les êtres humains ont une capacité limitée à recueillir et analyser des informations avant de faire des choix sur la manière dont une application partagera leurs informations personnelles. Il est en outre impossible de prédire avec certitude comment ces informations seront traitées à l’avenir et quel impact cela aura sur les utilisateurs.
Les individus sont donc à la merci d’effets non désirés, et bien que les réglementations tentent de protéger les utilisateurs et de leur donner les moyens d’agir, il reste encore du travail à faire.
La nécessité d’anticiper et de concevoir pour tous les usages possibles
L’Ethics Center en Australie a publié une liste de principes à suivre pour des technologies éthiques, et toute personne impliquée dans le développement de produits devrait en prendre connaissance. Cette liste inclut les principes suivants :
- Bien-fondé. Ce n’est pas parce qu’on peut faire quelque chose qu’il est forcément bon de le faire.
- Non à l’instrumentalisation. Ne jamais concevoir une technologie dans laquelle les individus sont simplement un rouage de la machine.
- Autodétermination. Donner le plus de liberté possible à tous ceux qui seront affectés par ce qui est conçu.
- Responsabilité. Anticiper et concevoir pour tous les usages possibles.
- Bénéfice net. Maximiser les bienfaits, minimiser les préjudices.
- Équité. Traiter les cas similaires de manière similaire, et les cas différents de manière différente.
- Accessibilité. Concevoir avec l’objectif d’inclure les utilisateurs les plus vulnérables.
- Finalité. Concevoir avec pour finalité un but honnête, clair et adéquat.
Ces principes mettent l’accent sur la nécessité de toujours anticiper et prendre en compte tous les usages possibles dans sa conception en amont. Il s’agit bien sûr d’un conseil très difficile à suivre. Les créateurs des plateformes de réseaux sociaux aujourd’hui plébiscitées par des milliards d’individus n’avaient probablement pas imaginé, projeté ou prédit les cas d’utilisation et les impacts qu’auraient leurs plateformes quelques années plus tard. Or, compte tenu de l’évolution des produits numériques au fil du temps, sans oublier l’évolution de la finalité, il est primordial de réexaminer régulièrement les usages possibles à anticiper ainsi que les risques potentiels associés. Tout en gardant également à l’esprit les principes de protection des données dès la conception.
Le secteur doit renforcer ses efforts de protection des données
La technologie et les données peuvent apporter des bénéfices considérables, mais elles s’accompagnent également de risques. Il est important de se rappeler que les produits et services créés sont façonnés par les valeurs de leurs créateurs. Les consommateurs doivent impérativement comprendre leur responsabilité de créer le monde dans lequel ils souhaitent vivre. C’est donc à eux qu’il incombe d’inventer ce monde. S’ils ne le font pas, quelqu’un d’autre, qui porte une vision différente, le fera à leur place et créera un monde à son image.
___________________
Par Arnaud Lemaire, Directeur Technique, F5 France