Les droits collectifs sur les données peuvent empêcher les grandes technologies d'effacer la vie privée

illustration conceptuelle

Franziska Barczyk





Chaque personne impliquée dans le monde en réseau crée constamment des rivières de données. Nous le faisons d'une manière dont nous sommes conscients et d'une manière dont nous ne le sommes pas. Les entreprises sont impatientes d'en profiter.

Prenez, par exemple, NumberEight, une startup qui, selon Filaire , aide les applications à déduire l'activité des utilisateurs en fonction des données des capteurs d'un smartphone : qu'ils courent ou qu'ils soient assis, à proximité d'un parc ou d'un musée, en voiture ou en train. Les nouveaux services basés sur cette technologie combineront ce qu'ils savent de l'activité d'un utilisateur sur leurs propres applications avec des informations sur ce qu'ils font physiquement à ce moment-là. Avec ces informations, au lieu de créer un profil pour cibler, par exemple, les femmes de plus de 35 ans, un service pourrait cibler les publicités sur les « lève-tôt ».

De telles ambitions sont largement répandues. Comme cet article récent de la Harvard Business Review met La plupart des PDG reconnaissent que l'intelligence artificielle a le potentiel de changer complètement le fonctionnement des organisations. Ils peuvent envisager un avenir dans lequel, par exemple, les détaillants livrent des produits personnalisés avant même que les clients ne les demandent, peut-être le jour même de la fabrication de ces produits. Comme les entreprises utilisent l'IA dans des domaines de plus en plus distincts, prédit l'article, leurs capacités d'IA vont rapidement s'aggraver et elles découvriront que l'avenir qu'elles ont imaginé est en fait plus proche qu'il ne l'était autrefois.



Même aujourd'hui, et encore moins dans un tel avenir, la technologie peut complètement anéantir la vie privée. Proposer des lois et des politiques pour l'empêcher de le faire est une tâche vitale pour les gouvernements. Alors que l'administration Biden et le Congrès envisagent une législation fédérale sur la protection de la vie privée, ils ne doivent pas succomber à une erreur commune. Les lois protégeant la confidentialité des données des personnes ne visent pas seulement à protéger les individus. Ils visent également à protéger nos droits en tant que membres de groupes, en tant que partie de la société dans son ensemble.

Le préjudice causé à un individu dans un groupe résultant d'une violation des droits à la vie privée peut être relativement faible ou difficile à cerner, mais le préjudice causé au groupe dans son ensemble peut être profond. Supposons qu'Amazon utilise ses données sur le comportement des consommateurs pour déterminer quels produits valent la peine d'être copiés, puis sape les fabricants des produits qu'il vend, comme des chaussures ou des sacs photo . Bien que le préjudice immédiat soit pour le cordonnier ou le fabricant de sacs photo, le préjudice à plus long terme - et finalement plus durable - concerne les consommateurs, qui sont privés à long terme des choix qui découlent d'une transaction véritablement ouverte et équitable. marché. Et alors que le cordonnier ou le fabricant de sacs photo peuvent tenter d'intenter une action en justice, il est beaucoup plus difficile pour les consommateurs de démontrer en quoi les pratiques d'Amazon leur nuisent.

Cela peut être un concept difficile à comprendre. Les recours collectifs, où de nombreuses personnes s'associent même si chacune n'a subi qu'un léger préjudice, constituent une bonne analogie conceptuelle. Les grandes entreprises technologiques comprennent les avantages commerciaux qu'elles peuvent tirer de l'analyse des données de groupes tout en protégeant superficiellement les données des individus grâce à des techniques mathématiques telles que la confidentialité différentielle. Mais les régulateurs continuent de se concentrer sur la protection des individus ou, au mieux, des classes protégées comme les personnes de genres, d'âges, d'ethnies ou d'orientations sexuelles particuliers.



Si un algorithme discrimine les personnes en les classant dans des groupes qui ne relèvent pas de ces classes protégées, les lois anti-discrimination ne s'appliquent pas aux États-Unis. (Les techniques de profilage comme celles que Facebook utilise pour aider les modèles d'apprentissage automatique à trier les utilisateurs sont probablement illégales en vertu des lois sur la protection des données de l'Union européenne, mais cela n'a pas encore été contesté.) Beaucoup de gens ne sauront même pas qu'ils ont été profilés ou discriminés, ce qui rend il est difficile d'intenter une action en justice. Ils ne ressentent plus l'injustice, l'injustice, de première main - et cela a toujours été une condition préalable au lancement d'une réclamation.

Il est temps pour une déclaration des droits sur les données Alors que le Sénat américain débat d'un nouveau projet de loi, un expert en gouvernance des données présente un plan pour protéger la liberté à l'ère numérique.

Personnes ne devraient pas avoir à se battre pour leurs droits à la confidentialité des données et être responsables de toutes les conséquences de leurs actions numériques. Prenons une analogie : les gens ont droit à l'eau potable, mais ils ne sont pas invités à exercer ce droit en vérifiant la qualité de l'eau avec une pipette chaque fois qu'ils boivent au robinet. Au lieu de cela, les organismes de réglementation agissent au nom de tous pour s'assurer que toute notre eau est sûre. La même chose doit être faite pour la confidentialité numérique : ce n'est pas quelque chose que l'utilisateur moyen est, ou devrait être, personnellement compétent pour protéger.

Deux approches parallèles devraient être suivies pour protéger le public.



L'une est une meilleure utilisation des actions de classe ou de groupe, autrement connues sous le nom d'actions de recours collectif. Historiquement, ceux-ci ont été limités en Europe, mais en novembre 2020, le Parlement européen passé une mesure qui oblige les 27 États membres de l'UE à mettre en œuvre des mesures permettant des recours collectifs dans toute la région. Par rapport aux États-Unis, l'UE a des lois plus strictes protégeant les données des consommateurs et promouvant la concurrence, de sorte que les recours collectifs ou collectifs en Europe peuvent être un outil puissant pour les avocats et les militants pour forcer les grandes entreprises technologiques à changer leur comportement même dans les cas où le per- les dommages aux personnes seraient très faibles.

Les recours collectifs ont le plus souvent été utilisés aux États-Unis pour demander des dommages-intérêts, mais ils peuvent également être utilisés pour imposer des changements de politique et de pratique. Ils peuvent travailler main dans la main avec des campagnes pour changer l'opinion publique, en particulier dans les affaires de consommation (par exemple, en forçant Big Tobacco à admettre le lien entre le tabagisme et le cancer, ou en ouvrant la voie à des lois sur le port de la ceinture de sécurité). Ce sont des outils puissants lorsqu'il y a des milliers, voire des millions, de préjudices individuels similaires, qui s'additionnent pour aider à prouver la causalité. Une partie du problème consiste à obtenir les bonnes informations pour poursuivre en premier lieu. Les efforts du gouvernement, comme un procès intenté contre Facebook en décembre par le Federal Trade Commission (FTC) et un groupe de 46 États , sont cruciaux. Comme le dit le journaliste technologique Gilad Edelman, Selon les poursuites judiciaires, l'érosion de la vie privée des utilisateurs au fil du temps est une forme de préjudice pour les consommateurs - un réseau social qui protège moins les données des utilisateurs est un produit inférieur - qui fait passer Facebook d'un simple monopole à un illégal. Aux États-Unis, comme le New York Times récemment signalé , les poursuites privées, y compris les recours collectifs, s'appuient souvent sur des preuves mises au jour par les enquêtes gouvernementales. Dans l'UE, cependant, c'est l'inverse : les poursuites privées peuvent ouvrir la possibilité d'une action réglementaire, qui est limitée par l'écart entre les lois européennes et les régulateurs nationaux.

Ce qui nous amène à la deuxième approche : une loi française peu connue de 2016 appelée Projet de loi pour une République numérique. le Projet de loi pour une République numérique est l'une des rares lois modernes axées sur la prise de décision automatisée. La loi ne s'applique actuellement qu'aux décisions administratives prises par les systèmes algorithmiques du secteur public. Mais il fournit une esquisse de ce à quoi pourraient ressembler les futures lois. Il dit que le code source derrière ces systèmes doit être mis à la disposition du public. N'importe qui peut demander ce code.



Il est important de noter que la loi permet aux organisations de défense de demander des informations sur le fonctionnement d'un algorithme et le code source qui le sous-tend, même si elles ne représentent pas un individu ou un demandeur spécifique qui aurait été lésé. La nécessité de trouver un plaignant parfait qui peut prouver le préjudice afin d'intenter une action rend très difficile la résolution des problèmes systémiques qui causent des dommages collectifs aux données. Laure Lucchesi, directrice d'Etalab, un bureau du gouvernement français chargé de superviser le projet de loi, a déclaré que l'accent mis par la loi sur la responsabilité algorithmique était en avance sur son temps. D'autres lois, comme le Règlement général européen sur la protection des données (RGPD), se concentrent trop sur le consentement individuel et la vie privée. Mais les données et les algorithmes doivent être réglementés.

La nécessité de trouver un plaignant parfait qui peut prouver le préjudice afin d'intenter une action rend très difficile la résolution des problèmes systémiques qui causent des dommages collectifs aux données.

Pomme promesses dans une seule publicité : à l'heure actuelle, il y a plus d'informations privées sur votre téléphone que dans votre maison. Vos emplacements, vos messages, votre fréquence cardiaque après une course. Ce sont des choses privées. Et ils devraient vous appartenir. Apple renforce le sophisme de cet individualiste : en omettant de mentionner que votre téléphone stocke plus que vos données personnelles, la société masque le fait que les données vraiment précieuses proviennent de vos interactions avec vos fournisseurs de services et autres. L'idée que votre téléphone est l'équivalent numérique de votre classeur est une illusion commode. Les entreprises se soucient peu de vos données personnelles ; c'est pourquoi ils peuvent faire semblant de l'enfermer dans une boîte. La valeur réside dans les déductions tirées de vos interactions, qui sont également stockées sur votre téléphone, mais ces données ne vous appartiennent pas.

L'acquisition de Fitbit par Google est un autre exemple. Google promet de ne pas utiliser les données Fitbit à des fins publicitaires, mais les prévisions lucratives dont Google a besoin ne dépendent pas de données individuelles. Comme le soutient un groupe d'économistes européens d dans un article récent publié par le Centre for Economic Policy Research, un groupe de réflexion à Londres, il suffit que Google corrèle les résultats de santé globaux avec les résultats non sanitaires, même pour un sous-ensemble d'utilisateurs de Fitbit qui n'ont pas opté pour certains l'utilisation de leurs données, pour ensuite prédire les résultats de santé (et donc les possibilités de ciblage publicitaire) pour tous les utilisateurs non-Fitbit (des milliards d'entre eux). L'accord Google-Fitbit est essentiellement un accord de données de groupe. Il positionne Google sur un marché clé pour les données de santé tout en lui permettant de trianguler différents ensembles de données et de gagner de l'argent à partir des inférences utilisées par les marchés de la santé et de l'assurance.

Ce que les décideurs politiques doivent faire

Des projets de loi ont cherché à combler cette lacune aux États-Unis. En 2019, les sénateurs Cory Booker et Ron Wyden ont présenté un Loi sur la responsabilité algorithmique , qui a ensuite calé au Congrès. La loi aurait obligé les entreprises à entreprendre des évaluations d'impact algorithmiques dans certaines situations pour vérifier les préjugés ou la discrimination. Mais aux États-Unis, cette question cruciale est plus susceptible d'être abordée en premier lieu dans les lois s'appliquant à des secteurs spécifiques tels que les soins de santé, où le danger de biais algorithmique a été amplifié par les impacts disparates de la pandémie sur des groupes de population américains.

Fin janvier, le Loi sur la protection des renseignements personnels en cas d'urgence de santé publique a été réintroduit au Sénat et à la Chambre des représentants par les sénateurs Mark Warner et Richard Blumenthal. Cette loi garantirait que les données recueillies à des fins de santé publique ne soient utilisées à aucune autre fin. Elle interdirait l'utilisation des données de santé à des fins discriminatoires, non liées ou intrusives, y compris la publicité commerciale, le commerce électronique ou les efforts visant à contrôler l'accès à l'emploi, aux finances, aux assurances, au logement ou à l'éducation. Ce serait un bon début. Pour aller plus loin, une loi qui s'applique à toute prise de décision algorithmique devrait, inspirée de l'exemple français, se concentrer sur la responsabilité stricte, une surveillance réglementaire forte de la prise de décision basée sur les données, et la capacité d'auditer et d'inspecter les décisions algorithmiques et leur impact sur la société.

Trois éléments sont nécessaires pour assurer une responsabilité stricte : (1) une transparence claire sur où et quand les décisions automatisées ont lieu et comment elles affectent les personnes et les groupes, (2) le droit du public d'apporter une contribution significative et d'appeler les autorités à justifier leurs décisions , et (3) la capacité d'appliquer des sanctions. Fondamentalement, les décideurs politiques devront décider, comme cela a été récemment suggéré dans l'UE, ce qui constitue un algorithme à haut risque qui devrait répondre à un niveau de contrôle plus élevé.


Transparence claire

L'accent devrait être mis sur l'examen public de la prise de décision automatisée et sur les types de transparence qui conduisent à la responsabilisation. Cela inclut la révélation de l'existence d'algorithmes, de leur objectif et des données de formation qui les sous-tendent, ainsi que de leurs impacts, s'ils ont conduit à des résultats disparates et sur quels groupes, le cas échéant.

Participation du public

Le public a le droit fondamental de demander au pouvoir de justifier ses décisions. Ce droit d'exiger des réponses ne devrait pas se limiter à une participation consultative, où les gens sont invités à donner leur avis et les fonctionnaires passent à autre chose. Il devrait inclure une participation habilitée, où la contribution du public est mandatée avant le déploiement d'algorithmes à haut risque dans les secteurs public et privé.

Les sanctions

Enfin, le pouvoir de sanction est essentiel à la réussite de ces réformes et à la responsabilisation. Il devrait être obligatoire d'établir des exigences d'audit pour le ciblage, la vérification et la conservation des données, de doter les auditeurs de ces connaissances de base et de donner aux organes de surveillance le pouvoir d'appliquer des sanctions, non seulement pour réparer les dommages après coup, mais aussi pour les prévenir.


La question des dommages collectifs causés par les données concerne tout le monde. Une loi sur la protection de la vie privée en cas d'urgence de santé publique est une première étape. Le Congrès devrait ensuite utiliser les leçons tirées de la mise en œuvre de cette loi pour élaborer des lois qui se concentrent spécifiquement sur les droits collectifs en matière de données. Ce n'est que par une telle action que les États-Unis pourront éviter des situations où les déductions tirées des données que les entreprises collectent hantent la capacité des gens à accéder au logement, à l'emploi, au crédit et à d'autres opportunités pour les années à venir.

cacher