211service.com
Il est temps pour une déclaration des droits sur les données
Mme Tech
Nous sommes à l'été 2023 et Rachel est fauchée. Assise dans un bar un soir, parcourant les offres d'emploi sur son téléphone, elle reçoit un SMS. Des chercheurs effectuant une étude sur la fonction hépatique ont obtenu son nom du programme de fidélité du bar – elle s'était inscrite pour obtenir une réduction sur les nachos pendant l'happy hour. Ils offrent 50 $ par semaine pour l'accès au flux de données de santé de son téléphone et à son onglet de barre pendant les trois prochains mois.
Au début, Rachel est agacée par l'intrusion. Mais elle a besoin d'argent. Alors elle hoche la tête vers son téléphone - un geste d'assentiment subtil mais distinct qui est aussi juridiquement contraignant qu'une signature - et revient à ses nachos et à sa recherche d'emploi.
Mais à mesure que l'été avance, Rachel ne peut s'empêcher de remarquer qu'elle se fait rejeter sur rejeter par les employeurs, tandis que ses amis, un par un, alignent les emplois. À son insu - parce qu'elle n'a pas lu les petits caractères - certaines données de l'étude de recherche, ainsi que son historique d'achat d'alcool, ont été transmises à l'une des deux agences de placement qui dominent le marché. Chaque employeur qui examine sa candidature auprès de l'agence voit maintenant qu'elle a été présentée comme une déprimée peu fiable. Pas étonnant qu'elle ne trouve pas de travail. Mais même si elle pouvait découvrir qu'elle a été ainsi profilée, quel recours a-t-elle ?
Un jour dans la vie
Si vous lisez ceci, il y a de fortes chances que, comme Rachel, vous ayez créé une énorme quantité de données aujourd'hui, en lisant ou en achetant en ligne, en suivant votre entraînement ou simplement en allant quelque part avec votre téléphone dans votre poche. Certaines de ces données que vous avez créées exprès, mais une grande partie d'entre elles ont été créées par vos actions à votre insu, sans parler de votre consentement.
La prolifération des données au cours des dernières décennies a conduit certains réformateurs à un cri de ralliement : Vos données vous appartiennent ! Eric Posner de l'Université de Chicago, Eric Weyl de Microsoft Research et le gourou de la réalité virtuelle Jaron Lanier, entre autres, soutiennent que les données doivent être traitées comme une possession. Mark Zuckerberg, fondateur et directeur de Facebook, le dit également. Facebook dit maintenant que vous êtes propriétaire de tous les contacts et informations que vous publiez sur Facebook et que vous pouvez contrôler la manière dont ils sont partagés. Le Financial Times fait valoir que un élément clé de la réponse consiste à donner aux consommateurs la propriété de leurs propres données personnelles. Dans un discours récent , Tim Cook, PDG d'Apple, est d'accord, disant : Les entreprises devraient reconnaître que les données appartiennent aux utilisateurs.
Non seulement la propriété des données ne résout pas les problèmes existants ; il en crée de nouveaux.
Cet essai soutient que la propriété des données est une façon imparfaite et contre-productive de penser les données. Non seulement cela ne résout pas les problèmes existants; il en crée de nouveaux. Au lieu de cela, nous avons besoin d'un cadre qui donne aux gens droits à stipuler comment leurs données sont utilisées sans les obliger à s'en approprier eux-mêmes. La loi sur la protection des données, une facture présenté le 12 décembre par le sénateur américain Brian Schatz, un démocrate d'Hawaï, est un bon premier pas dans cette direction (selon l'évolution des petits caractères). Comme l'a dit Doug Jones, un sénateur démocrate de l'Alabama qui est l'un des coparrains du projet de loi, « Le droit à la confidentialité et à la sécurité en ligne devrait être fondamental.
La notion de propriété est séduisante car elle suggère de vous donner le pouvoir et le contrôle sur vos données. Mais posséder et louer des données est une mauvaise analogie. Le contrôle de l'utilisation de certains bits de données n'est qu'un problème parmi tant d'autres. Les vraies questions sont des questions sur la façon dont les données façonnent la société et les individus. L'histoire de Rachel nous montrera pourquoi les droits sur les données sont importants et comment ils pourraient fonctionner pour protéger non seulement Rachel en tant qu'individu, mais la société dans son ensemble.
On ne sait jamais ce que demain nous réserve
Pour comprendre pourquoi la propriété des données est un concept imparfait, pensez d'abord à cet article que vous êtes en train de lire. Le simple fait de l'ouvrir sur un appareil électronique a créé des données - une entrée dans l'historique de votre navigateur, des cookies que le site Web a envoyés à votre navigateur, une entrée dans le journal du serveur du site Web pour enregistrer une visite à partir de votre adresse IP. Il est pratiquement impossible de faire quoi que ce soit en ligne - lire, faire du shopping ou même simplement aller quelque part avec un téléphone connecté à Internet dans votre poche - sans laisser une ombre numérique derrière vous. Ces ombres ne peuvent pas être possédées - comme vous possédez, disons, un vélo - pas plus que les taches d'ombre éphémères qui vous suivent les jours ensoleillés.
Vos données en elles-mêmes ne sont pas très utiles à un marketeur ou à un assureur. Analysé en conjonction avec des données similaires de milliers d'autres personnes, cependant, il alimente les algorithmes et vous classe (par exemple, gros fumeur avec une habitude de boisson ou coureur en bonne santé, toujours à l'heure). Si un algorithme est injuste - si, par exemple, il vous classe à tort comme un risque pour la santé parce qu'il a été formé sur un ensemble de données biaisé ou simplement parce que vous êtes une valeur aberrante - alors vous laisser posséder vos données ne le rendra pas juste. La seule façon d'éviter d'être affecté par l'algorithme serait de ne jamais donner accès à vos données à qui que ce soit. Mais même si vous essayez d'accumuler des données qui vous concernent, les entreprises et les gouvernements ayant accès à de grandes quantités de données sur d'autres personnes pourraient utiliser ces données pour faire des déductions à votre sujet. Les données ne sont pas une impression neutre de la réalité. La création et la consommation de données reflètent la répartition du pouvoir dans la société.
Vous pouvez, bien sûr, choisir de garder toutes vos données privées pour éviter qu'elles ne soient utilisées contre vous. Mais si vous suivez cette stratégie, vous risquez de perdre les avantages de rendre parfois vos données disponibles. Par exemple, lorsque vous êtes au volant, en naviguant par application smartphone, vous partagez en temps réel des informations anonymisées qui se traduisent ensuite par des conditions de circulation précises (ex : il vous faudra 26 minutes pour vous rendre au travail ce matin si vous partez à 8h : 16h). Ces données sont privées individuellement - les étrangers ne peuvent pas voir où vous êtes - mais cumulativement, c'est un bien collectif.
La création et la consommation de données reflètent la répartition du pouvoir dans la société.
Cet exemple montre comment les données de l'agrégat peuvent avoir un caractère fondamentalement différent des bits et octets individuels qui les composent. Même les arguments bien intentionnés sur la propriété des données supposent que si vous réglementez bien les données personnelles, vous obtiendrez de bons résultats sociétaux. Et ce n'est tout simplement pas vrai.
C'est pourquoi de nombreux problèmes liés à l'utilisation déloyale des données ne peuvent être résolus en contrôlant qui y a accès. Par exemple, dans certaines juridictions américaines, les juges utilisent un score de risque généré par algorithme pour prendre des décisions de mise en liberté sous caution et de condamnation. Ces logiciels prédire la probabilité qu'une personne commette de futurs crimes. Imaginez qu'un tel algorithme indique que vous avez 99% de chances de commettre un autre crime ou de manquer un futur rendez-vous de libération sous caution parce que les personnes démographiquement similaires à vous sont souvent des criminels ou des resquilleurs. Cela peut être injuste dans votre cas, mais vous ne pouvez pas être propriétaire de votre profil démographique ou de votre casier judiciaire et refuser de laisser le système judiciaire le voir. Même si vous refusez de consentir à l'utilisation de vos données, une organisation peut utiliser des données sur d'autres personnes pour faire des extrapolations statistiques qui vous concernent. Cet exemple souligne le fait que les données sont une question de pouvoir - les personnes accusées ou reconnues coupables de crimes ont généralement moins de pouvoir que celles qui prennent les décisions relatives à la libération sous caution et à la peine.
De même, les solutions existantes aux utilisations déloyales des données impliquent souvent de contrôler non pas qui a accès aux données, mais comment les données sont utilisées. En vertu de la loi américaine sur les soins abordables, par exemple, les compagnies d'assurance maladie ne peuvent pas refuser ou facturer une couverture plus élevée simplement parce qu'une personne souffre d'une maladie préexistante. Le gouvernement ne dit pas aux entreprises qu'elles ne peuvent pas conserver ces données sur les patients ; il dit simplement qu'ils doivent l'ignorer. Une personne ne possède pas le fait qu'elle souffre de diabète, mais elle peut avoir le droit de ne pas être victime de discrimination à cause de cela.
Le consentement est souvent mentionné comme un principe de base à respecter en matière d'utilisation des données. Mais en l'absence de réglementation gouvernementale pour empêcher les compagnies d'assurance maladie d'utiliser des données sur des conditions préexistantes, les consommateurs individuels n'ont pas la possibilité de refuser leur consentement. La raison pour laquelle ils n'ont pas cette capacité, c'est que les compagnies d'assurance ont plus de pouvoir qu'elles. Le consentement, pour le dire franchement, ne fonctionne pas.
Les droits relatifs aux données doivent protéger la vie privée et tenir compte du fait que la vie privée n'est pas un droit réactif pour se protéger de la société. Il s'agit de la liberté de se développer loin du commerce et loin du contrôle gouvernemental. Mais les droits sur les données ne concernent pas seulement la vie privée. Comme d'autres droits - à la liberté d'expression, par exemple - les droits relatifs aux données consistent fondamentalement à garantir un espace de liberté et d'action individuelles tout en participant à la société moderne. Les détails devraient découler des principes de base, comme dans le cas de la Déclaration des droits américaine existante. Trop souvent, les tentatives d'énonciation de tels principes s'enliser dans les mauvaises herbes de choses comme les modèles de consentement opt-in, qui peuvent rapidement devenir obsolètes.
Des principes clairs et généraux sont nécessaires dans le monde entier, d'une manière qui s'intègre dans les systèmes juridiques de chaque pays. Aux États-Unis, les dispositions constitutionnelles existantes, telles que l'égalité de protection devant la loi et les interdictions contre les perquisitions et les saisies abusives, sont insuffisantes. Il est, par exemple, difficile d'affirmer que le suivi continu et persistant des mouvements d'une personne en public est une recherche. Et pourtant, une telle surveillance est comparable dans ses effets intrusifs à une perquisition abusive. Il ne suffit pas d'espérer que les tribunaux proposeront des interprétations favorables du langage du XVIIIe siècle appliqué aux technologies du XXIe siècle.
Une déclaration des droits sur les données doit inclure des droits tels que ceux-ci :
- Le droit du peuple d'être protégé contre une surveillance déraisonnable ne doit pas être violé.
- Nul ne doit voir son comportement manipulé subrepticement.
- Nul ne doit être injustement discriminé sur la base de données.
Ce ne sont en aucun cas toutes les dispositions dont un projet de loi durable et efficace aurait besoin. Ils sont censés être un début et des exemples du type de clarté et de généralité dont un tel document a besoin.
Pour faire la différence pour des personnes comme Rachel, une déclaration des droits sur les données aura besoin d'un nouvel ensemble d'institutions et d'instruments juridiques pour protéger les droits qu'elle énonce. L'État doit protéger et délimiter ces droits, ce que le Règlement général européen sur la protection des données (RGPD) de 2018 a commencé à faire. La nouvelle infrastructure des droits sur les données devrait aller plus loin et inclure des conseils d'administration, des coopératives de données (qui permettraient une action collective et plaideraient au nom des utilisateurs), des systèmes de certification éthique des données, des plaideurs et des auditeurs spécialisés dans les droits des données et des représentants des données qui agissent en tant que fiduciaires pour les membres du grand public, capables d'analyser les impacts complexes que les données peuvent avoir sur la vie.
Avec un peu d'aide de mes amis
Histoire connexe
Histoire connexe À quoi ressemble l'avenir sans protection des droits des données ? Revenons à la recherche d'emploi infructueuse de Rachel. Sa caractérisation en tant que déprimée peu fiable peut être correcte ou non. Peut-être que l'algorithme a fait une erreur : Rachel est en parfaite santé et apte au travail. Mais à mesure que les algorithmes s'améliorent et s'appuient sur des ensembles de données plus importants, il devient de moins en moins probable qu'ils soient inexacts. Pourtant, cela les rendrait-il plus justes?
Et si Rachel a été un peu déprimé ? Un bon travail aurait pu l'aider à surmonter un épisode de dépression. Mais au lieu de cela, son profil devient rapidement une prophétie auto-réalisatrice. Incapable de trouver un emploi, elle devient en effet déprimée et peu fiable.
Considérez maintenant le dilemme de Rachel dans un monde où la protection des droits des données est renforcée. Elle accepte l'étude sur la fonction hépatique, mais alors qu'elle parcourt ses termes et conditions, un représentant des données algorithmiques signale le problème, un peu à la manière dont les gardiens algorithmiques protègent contre les virus informatiques et le spam. Une fois le problème signalé, il est renvoyé à une équipe d'auditeurs qui font rapport au comité local des droits sur les données (dans ce futur hypothétique). L'équipe examine l'algorithme utilisé par l'étude et découvre le lien avec le profilage d'emploi. Le conseil détermine que Rachel a été profilée et que, grâce à une nouvelle interprétation de la loi sur l'égalité dans l'emploi et du projet de loi sur la protection des données (adopté en 2022), un tel profilage est clairement illégal. Rachel n'a pas à agir elle-même : le conseil d'administration sanctionne les chercheurs pour les pratiques abusives en matière de données.
Venir ensemble
Une érosion progressive de la vie privée est difficile à remarquer et ne nuit guère à personne, tout comme des traces de dioxyde de carbone sont à peine détectables et ne nuisent pas à l'environnement.
Comme je l'ai expliqué, la propriété des données est une erreur de catégorie aux conséquences pernicieuses : vous ne pouvez pas vraiment posséder la plupart de vos données, et même si vous le pouviez, cela ne vous protégerait souvent pas des pratiques déloyales. Pourquoi, alors, l'idée de la propriété des données est-elle une solution si populaire ?
La réponse est que les experts en politique et les technologues acceptent trop souvent tacitement le concept de capitalisme des données. Ils voient les données soit comme une source de capital (par exemple, Facebook utilise des données sur moi pour cibler les publicités) soit comme un produit du travail (par exemple, je devrais être payé pour les données qui sont produites à mon sujet). Ce n'est ni l'une ni l'autre de ces choses. Penser aux données comme à un vélo, du pétrole ou de l'argent ne permet pas de saisir à quel point les relations entre les citoyens, l'État et le secteur privé ont changé à l'ère des données. Un nouveau paradigme pour comprendre ce que sont les données – et quels droits s'y rapportent – est nécessaire de toute urgence si nous voulons forger une politique équitable au XXIe siècle.
Ce paradigme pourrait utilement s'appuyer sur des analogies environnementales - pensant que les données s'apparentent à des gaz à effet de serre ou à d'autres externalités, où de petits éléments de pollution, individuellement inoffensifs, ont des conséquences collectives désastreuses. La plupart des gens apprécient leur propre vie privée, tout comme ils apprécient la capacité de respirer de l'air pur. Une érosion progressive de la vie privée est difficile à remarquer et ne nuit guère à personne, tout comme des traces de dioxyde de carbone sont à peine détectables et ne nuisent pas à l'environnement. Mais dans l'ensemble, tout comme de grandes quantités de gaz à effet de serre causent des dommages fondamentaux à l'environnement, un changement massif dans la nature de la vie privée cause des dommages fondamentaux au tissu social.
Pour comprendre ces dommages, nous avons besoin d'un nouveau paradigme. Ce paradigme doit saisir les façons dont une couverture ambiante de données modifie nos relations les uns avec les autres - en tant que famille, en tant qu'amis, en tant que collègues, en tant que consommateurs et en tant que citoyens. Pour ce faire, ce paradigme doit être fondé sur une compréhension fondamentale selon laquelle les personnes ont des droits sur les données et que les gouvernements doivent protéger ces droits.
Il y aura des défis en cours de route. Ni les infrastructures techniques ni juridiques autour des droits sur les données ne sont simples. Il sera difficile de parvenir à un consensus sur les droits qui existent. Il sera encore plus difficile de mettre en œuvre de nouvelles lois et réglementations pour protéger ces droits. Comme dans le débat actuel au Congrès américain, groupes d'intérêt et les lobbyistes de l'industrie se disputeront des détails importants. Les équilibres trouvés dans les différents pays seront différents. Mais sans une infrastructure solide et vigoureuse de droits sur les données, une société démocratique ouverte ne peut pas survivre.