Tirer profit du Big Data sans compromettre nos libertés (2/5)

big data source https://unsplash.com/photos/AaEQmoufHLk

Le sujet des données personnelles doit être analysé sous l’angle des libertés : en quoi partager des données personnelles restreint ou étend la liberté individuelle

Par Philippe Mosching.

Dans le premier article, nous avons exposé les bénéfices très importants qu’on peut tirer de l’exploitation des données. À ce jour, l’exploitation des données représente peut-être la voie la plus prometteuse pour construire de nouvelles connaissances, de nouveaux savoirs, anticiper des comportements humains, optimiser nos actions et donc aussi diminuer notre empreinte écologique.

Mais cette perspective ne sera possible qu’avec le consentement des citoyens quant à leurs données personnelles. Il est impératif d’aborder cette question avant que d’autres pays, moins regardants sur les libertés individuelles, ne prennent une avance décisive.

La Chine investit massivement dans ce domaine et pourrait bien profiter de cette situation pour étendre son influence sur le monde. Le 19 février, lors d’une conférence de presse, Thierry Breton avertissait : « L’Europe a raté la première vague, celle des données personnelles ». Il est donc urgent d’agir.

Qu’est-ce qu’une donnée personnelle ?

Selon la réglementation européenne, il s’agit d’une information pouvant être reliée à un individu identifié ou identifiable. Cela peut être une date de naissance, une adresse, une position géographique, des opérations bancaires, des achats, des vidéos visionnées, des sites visités, des hésitations devant les rayons d’un supermarché, etc.

Qu’est-ce qui motive une personne à vouloir partager ou, au contraire, refuser de partager ses données personnelles ? Les motivations des uns et des autres diffèrent grandement. Choisissons la liberté individuelle comme axe de réflexion. La question est donc reformulée ainsi : en quoi partager ou, au contraire, refuser de partager ses données personnelles restreint ou étend la liberté individuelle ?

Dans l’espace public

Un individu serait réticent à partager des données individuelles si cela devait réduire sa liberté individuelle. Et pourtant, la vie en société se fonde sur ce partage. En me présentant à quelqu’un je dévoile des données personnelles. Mon apparence physique m’identifie de manière unique et donne des indications assez précises sur mon âge.

Mon habillement indique en partie mes goûts, mon caractère et une certaine volonté d’être reconnu de la catégorie sociale à laquelle j’appartiens ou à laquelle j’ai choisi de m’identifier. Ma façon de m’exprimer peut trahir mes origines ou mon éducation. Mon choix de conversation révèle mes intérêts.

Non seulement les conventions nous y obligent, mais la loi nous demande d’être à visage découvert dans l’espace public pour justement savoir y qui on a affaire. Exposer ces informations va réduire le champ de liberté car il va orienter le comportement des autres vis-à-vis de soi. Ceci crée aussi des interactions sociales cohérentes et donc facilitées.

D’où l’ambivalence de la divulgation de données personnelles. D’un côté, on y gagne en qualité de relation, de l’autre cela restreint et oriente la relation et donc l’appauvrit. Il est reconnu que partager des informations personnelles renforce les liens sociaux, améliorant ainsi la profondeur et la qualité des relations.

Dans la relation commerciale

La relation commerciale a longtemps permis un certain anonymat. Faire ses achats, passer à la caisse et payer en espèces était la norme il y 40 ans et ne laissait aucune trace. On acceptait de dévoiler des données personnelles (ses achats), mais on avait la garantie de l’anonymat.

Aujourd’hui, le paiement par carte bancaire et les cartes de fidélité permettent à la banque et au commerçant de tracer vos habitudes et de connaître votre identité, et donc de recouper toutes ces informations à travers le temps. Nous acceptons cette situation parce que nous en tirons un bénéfice. Nous faisons confiance à ces entreprises et la contrainte est acceptée depuis longtemps.

Ces informations peuvent permettre à un tiers d’exercer des contraintes plus importantes qu’imaginées. La banque peut identifier des comportements qu’elle pourra utiliser si vous lui demandez un prêt. En ciblant sa publicité, le commerçant pourra vous pousser, à votre insu, à vous conformer à une catégorie de consommateurs. De manière générale, vos interactions seront influencées par les données préalablement collectées, à votre avantage ou pas.

L’exemple extrême est en Chine. L’administration met en place un système de crédit social, où chaque citoyen est noté en fonction d’un ensemble de données personnelles collectées par des sites d’achats en ligne, des recherches effectuées sur les moteurs de recherche, des déplacements, etc.

En retour, cette note aura une influence pour l’obtention d’un logement, d’un poste de travail, ou même d’un billet de train. Cette influence de l’État est clairement liberticide, mais est-ce que cela ne pourrait pas également se produire, à une échelle moindre, dans nos démocraties occidentales ? Selon le fonctionnement actuel de nos échanges de données, certainement oui.

L’augmentation des données collectées et leur niveau de détail, le nombre et la diversité des entreprises avec lesquelles vous êtes en relation, la puissance des algorithmes et les potentielles fuites volontaires ou pas font que cette situation est de moins en moins acceptable.

Contrôler ses données

Il serait tentant de se dire qu’il suffirait de contrôler finement les données que nous fournissons. Ce n’est pas si simple. Par recoupement ou par statistique, la connaissance d’une seule information permet d’en déduire d’autres. Sans révéler mon état de santé, mes achats peuvent me trahir.

Il est même possible de déterminer certains caractéristiques personnelles à partir du style de frappe sur le clavier. La « frappologie » est née. Un autre exemple est celui de l’âge qui révèle d’autres informations, de santé notamment. La marge d’erreur se réduira si l’on affine, par recoupement, avec d’autres données : sexe, situation professionnelle, etc.

Anonymat, une solution ?

Il serait alors tentant de recourir à l’anonymat pour éviter ces problèmes, mais l’organisation des services ne le permet pas toujours. Lorsque vous commandez des biens en ligne, vous devez donner votre identité et votre adresse au site marchand pour qu’il puisse vous livrer. Certaines activités, comme la banque, demandent une complète identification avant l’ouverture d’un compte. Mais ce n’est pas tout. L’anonymat peut être brisé et peut aussi se révéler insuffisant.

Anonymat brisé

L’anonymat peut être brisé à l’aide de très peu d’informations. En prenant des âges peu fréquents – par exemple très élevés – et en les recoupant avec un ou deux critères supplémentaires – comme l’adresse – il est possible d’identifier la personne. À l’extrême, si vous dites que vous avez 117 ans, je sais qui vous êtes : vous êtes Mme Kane Tanaka, née le 2 janvier 1903, la personne vivante la plus âgée.

Autre exemple réel, une personne utilisant de manière anonyme des services de navigation a été identifiée uniquement à partir de ses déplacements : elle se rendait dans une école selon les horaires exacts des cours de mathématiques.

C’était donc le professeur de mathématiques dont l’identité figurait sur le site de l’école. Donc très peu de données suffisent à briser l’anonymat, permettant donc d’infiltrer toujours plus l’intimité d’une personne sans qu’elle en soit consciente, non pas parce qu’on lui soustrait des informations à son insu, mais parce qu’elle n’a pas idée à quel point la puissance de l’analyse de données permet, par recoupement, de l’identifier.

Ce phénomène est connu de longue date. Afin d’éviter l’identification abusive des citoyens, les données du recensement américain sont légèrement brouillées pour éviter ce risque. Ce qui fait que les données consultables librement sur Internet ne sont pas exactement celles collectées. La puissance de calcul et la quantité d’information publique rendent ce phénomène plus problématique.

Anonymat insuffisant

L’identification précise d’une personne n’est même pas nécessaire pour exercer sur elle une influence. Il suffit de pouvoir la contacter pour exercer sur elle une influence. Sur un réseau social, vous pouvez créer un profil ne dévoilant rien de votre identité réelle, mais comme vous avez enregistré votre adresse mail principale, même si celle-ci est banalisée, le réseau saura vous envoyer des mails et donc agir sur vous sans connaître ni votre nom, ni votre adresse, ni rien d’autres que vos interactions avec le réseau.

Pour vraiment vous protéger, vous devez non seulement être anonyme, mais aussi rester injoignable ; ce qui limite beaucoup les services auxquels vous souhaitez souscrire et en retour limite la qualité de service.

Liberté vs. partage, le dilemme

Nous souhaitons partager nos données pour avoir un meilleur service en retour. Nous avons aussi vu dans l’article précédent que partager des données conduit à créer de la valeur dont chacun profitera. Meilleurs services, plus adaptés et création de valeur vont dans le sens d’une augmentation de nos libertés.

Mais la connaissance d’informations par un tiers peut aussi réduire nos libertés, si celui-ci a un moyen d’agir sur nous. Contrôler et réduire les données que nous divulguons ne suffit pas à contrer totalement ce risque. Par recoupement ou par analyse statistique, d’autres données peuvent en être déduites. Cela peut même permettre d’identifier une personne, brisant ainsi l’anonymat. Même sans aller jusque là, si un tiers dispose d’un moyen de communication avec vous, il peut agir et utiliser les informations qu’il possède pour restreindre vos libertés.

On voit bien l’ambivalence qui existe lorsque nous devons partager nos données personnelles : nous pouvons en retirer un avantage important, mais cela peut réduire nos libertés.

Dans le prochain article, nous verrons comment le règlement européen RGPD traite ces sujets avec un mélange de contrainte administrative, de menace financière, pour aboutir à une protection très insuffisante.

Cette approche crée un risque de retard pour les pays européens, par manque d’une vision plus large et plus ambitieuse. L’article suivant nous conduira à la rencontre du think tank Génération Libre qui propose de monétiser nos données personnelles. Nous concluerons par un dernier article qui donnera des pistes permettant l’exploitation des données tout en préservant les libertés de chacun.

Là où le philosophe italien Giorgio Agemben voit un bras de fer entre liberté et sécurité, nous essayerons d’atteindre le premier sans compromettre le second.

Vous souhaitez nous signaler une erreur ? Contactez la rédaction.