Internet est devenu un lieu où les moindres faits et gestes, les moindres habitudes sont enregistrées et analysées. Alors que l’affaire Cambridge Analytica secoue l’opinion publique, les tenants et les aboutissants de cette affaire sont tout autres. Certains appellent à supprimer Facebook avec le #DeleteFacebook. Pourtant supprimer son compte Facebook ne permettra pas d’échapper au profilage. La solution doit venir du législateur européen. A ce titre, le Règlement général sur la protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai 2018 apporte une première solution. Pourtant, le texte arrive une fois le mal déjà fait. Plus qu’un vol de données, c’est une décennie de pratiques commerciales qui doit être remise en cause voire interdite dans certains cas.
Il y a presque un mois, le 17 mars 2018, le Guardian et le New York Times ont conjointement publié une enquête sur une société britannique, Cambridge Analytica, spécialisée dans le « profilage » politique. Dans le cadre de cette enquête, les journaux affirment que les données personnelles de plus de 50 millions d’utilisateurs de Facebook ont été détournées à des fins politiques. Plusieurs semaines après cette révélation, le nombres d’utilisateurs abusés s’élève à plus de 87 millions. La plupart des comptes concernés appartiennent à des personnes habitant aux Etats-Unis néanmoins, plus de 3,1 millions de citoyens européens seraient concernés. Le scandale est d’autant plus important que Cambridge Analytica aurait pu jouer un rôle important dans le cadre des élections présidentielles américaines en 2016 ainsi que durant le référendum britannique ayant amené au Brexit.
Si l’opinion publique est scandalisée et que la Commission européenne a déjà demandé à Facebook de venir lui rendre des comptes, les techniques utilisées sont depuis longtemps connues dans le cadre d’une utilisation commerciale. En effet, l’exploitation de données (« data mining »), le profilage des consommateurs puis la revente de ces profils à des fins commerciales (publicités ciblées par exemple) est monnaie courante depuis des années. Toutefois, le principal changement depuis ces dernières années est la quasi systématicité et ubiquité de ces techniques de profilages et de récolte des données à l’aide du numérique. Il faut le comprendre immédiatement, ce qui s’est passé avec la récolte de données sur Facebook n’est en rien un cas à part. Le principal reproche qui peut être fait à l’entreprise Cambridge Analytica est que des données utilisateurs ont été récoltées et traitées dans le consentement de la plupart des utilisateurs.
La particularité de l’affaire Cambridge Analytica.
L’entreprise Cambridge Analytica base son activité sur une technique développée initialement par des chercheurs du Centre de psychométrique de l’Université de Cambridge en 2014. La psychométrique permet de déterminer les caractéristiques particulières d’un individu en se référant à une norme (population de référence). Ils évaluent son comportement général (personnalité, motivation, etc.) ses aptitudes fondamentales telles que ses capacités de raisonnement, de communication, de leadership ou d’intelligence émotionnelle. Ainsi cette technique permet de déterminer le profil psychologique d’une personne seulement sur la seule base de ses « likes » Facebook. Dans le cadre du récent scandale, Alekansdr Kogan, chercheur russo-américain au sein du centre de psychométrique développe alors sa propre application, « ThisIsYourDigitalLife » qui se présente alors comme un test de personnalité sur Facebook. Plus de 270 000 personnes ont ainsi téléchargé l’application et répondus aux tests. Néanmoins, les conditions d’utilisations de l’application et les permissions accordées étaient à l’époque bien plus larges qu’aujourd’hui. De cette façon, Aleksandr Kogan a ainsi pu récolter des données liées à la géolocalisation des participants mais également à leurs listes d’amis et au contenu « liké » par ces derniers. Cette base de données a ainsi été vendue à la firme Cambridge Analytica. Cette dernière définit son activité comme étant de la recherche comportementale et de la communication. Elle déclare se fonder sur « l’exploration de données » (Data Mining) et l’analyse de données pour déterminer des groupes d’audience. Autrement dit, elle propose à ses clients de déterminer le comportement de groupes d’individus et d’influencer leurs choix par le biais de campagnes de communication.
Cela semble effrayant (et c’est le cas), mais les prédictions psychométriques sont une pratique assez courante. Les chercheurs peuvent ainsi prédire la personnalité des utilisateurs sur la base de photos Instagram[i] ou de profils Twitter[ii]. IBM propose un outil qui infère la personnalité[iii] à partir de texte non structuré (tels que Tweets, e-mails, votre blog). La start-up Crystal Knows[iv] donne aux clients l’accès aux rapports de personnalité de leurs contacts de Google ou des médias sociaux et offre des suggestions en temps réel sur la façon de personnaliser ses e-mails ou ses messages en fonction de ses contacts.
Ainsi dans le cadre de campagnes politiques, il peut être important de connaître un certain nombre d’informations afin de rentabiliser au mieux sa campagne : où tenir des conventions, sur quelles régions se concentrer, et comment communiquer avec ses partisans et, mieux, les électeurs indécis ou sceptiques. L’intérêt des firmes comme Cambridge Analytica est donc double : profiler les individus et utiliser ces profils pour personnaliser la communication politique. Par conséquent, déterminer des profils psychométriques revient à apprendre des informations sur un individu qui auparavant ne pouvaient être connues qu’à travers les résultats de tests et de questionnaires spécifiquement conçus : à quel point vous êtes névrosé, ouvert aux nouvelles expériences ou si vous êtes procédurier (pour réclamer une promotion non effectuée par exemple).
Prédiction de personnalité de Watson IBM
La récolte de données est omniprésente sur Internet
Pour pouvoir établir de tels profils, il est nécessaire d’enregistrer un certain nombre de données ou d’y avoir accès. Ainsi, si certaines entreprises (comme Cambridge Analytica) récoltent elles-mêmes les données via des tests de personnalité sur Facebook, d’autres préfèrent simplement acheter à des courtiers de données et des spécialistes du Marketing en ligne. Ces derniers sont spécialisés dans la récolte d’informations et de données personnelles. Ils recueillent ainsi des données personnelles (votre historique de navigation, vos données de localisation, vos amis ou la fréquence de chargement de votre batterie, etc.), puis utilisent ces données pour déduire des informations supplémentaires et inconnues. (Ce que vous allez acheter ensuite, votre probabilité d’être une femme, vos chances d’être conservateur, votre état émotionnel actuel, votre fiabilité, ou si vous êtes hétérosexuel, etc.).
Ces données personnelles peuvent être récupérées principalement de deux façons. Premièrement, de façon directe, c’est-à-dire qu’elles sont explicitement fournies par les internautes lors d’une inscription ou l’acceptation des conditions générales d’utilisation (CGU). Deuxièmement, elles peuvent être récupérées de façon indirecte avec l’utilisation de traceurs (« trackers ») sur la plupart des sites Internet. Ce sont d’ailleurs ces informations-ci qui posent problème puisque, généralement, les internautes ignorent leur existence et les données récupérées. Il suffit d’une seule interaction d’un consommateur, telle qu’une visite sur un site Web, pour déclencher un large éventail de flux de données et une chaîne d’événements cachés. Les données de profil réparties sur plusieurs services sont reliées entre elles et combinées afin d’établir de façon toujours plus précise le profil du consommateur ou de l’internaute.
Ces traceurs, (cookies, balises Web, cookies Flash, pixels invisibles, etc.) récupèrent des données lors de la visite d’un site Web. Le nombre de traceurs présents sur un site dépendra du nombre que le propriétaire du site aura décidé d’inclure. Ainsi certains sites Web comptent plus de 60 traceurs, appartenant à une multitude d’entreprises, tandis que d’autres n’en ont qu’un – peut-être pour suivre le nombre de visiteurs, ou voir d’où viennent ces visiteurs, ou pour activer une certaine fonctionnalité. Tous les traceurs ne sont pas nécessairement liés à des entreprises qui suivent les habitudes de navigation – mais lorsque vous « acceptez les cookies », vous acceptez tous les trackers, y compris ceux qui transmettent des informations aux entreprises. Ainsi par exemple, lorsque vous naviguez sur notre site Internet, plusieurs traceurs sont activés :
Traceurs présents sur le site EU-Logos
Afin d’éviter un tel suivi des données de navigation, certains outils, très utiles, existent pour empêcher la récolte de données via ces traceurs. Le module complémentaire « Ghostery »[v] peut s’ajouter à votre navigateur Internet (Mozilla Firefox, Google Chrome, Opera, etc.) et bloquer les publicités abusives ainsi que les traceurs présents sur les sites Internet. Il permet également de réaliser à quel point certains sites récoltent un grand nombre de données sur vous, sans nécessairement que vous le sachiez.
La récolte se poursuit sur mobile
Ces traceurs sont également présents sur les smartphones et notamment les applications mobiles téléchargées. Une étude menée en 2015 par des chercheurs australiens[vi] consistait à analyser les traceurs présents dans les 100 applications gratuites et les 100 applications payantes les plus téléchargées. Cette étude s’est basée sur les top 100 de 4 pays répartis selon 4 régions géographiques : Australie, Allemagne, Etats-Unis et Brésil. Ainsi, 275 applications uniques ont été testées parmi lesquelles se retrouvaient Facebook, Clash of the Clans et Skype pour les applications gratuites et Minecraft, Tasker et Poweramp pour les applications payantes.
Il ressort ainsi que 60% des applications payantes incluaient des traceurs. Ce n’est toutefois rien comparé aux 85%-95% des applications gratuites incluant des traceurs. L’étude va plus loin puisqu’en combinant les résultats avec des données relatant les applications installées sur le téléphone de plus de 300 propriétaires de smartphone, on découvre que plus de la moitié des individus sont exposés à au moins 25 traceurs présents dans leur téléphone portable. Ces traceurs peuvent avoir accès aux données de géolocalisation, aux messages, contacts, photos ainsi que le temps passés sur les différentes applications.
Exemple d’un utilisateur avec 11 applications installées et relié à 26 traceurs.
Figure tirée de l’étude menée en 2015 par les chercheurs australiens (voir note VI.)
Les dérives potentielles de cette pratique
L’exploration de données et le profilage sur Internet peut présenter quelques avantages puisqu’il permet notamment, pour les entreprises, de réduire les coûts des campagnes publicitaires mais aussi de mieux répondre aux attentes des consommateurs. Cette méthode est parfois présentée comme une solution à la consommation et production de masse puisqu’elle permettrait d’éviter, à terme, la production en trop grande quantité de certains produits. De plus, face à des consommateurs de plus en plus exigeants, les entreprises peuvent ainsi privilégier la qualité sur la quantité.
Toutefois, le profilage est effrayant car il permet à quiconque ayant accès à suffisamment de données personnelles d’apprendre des détails très intimes sur vous, dont la plupart n’ont jamais été divulgués. Cela vaut la peine d’être répété : quelqu’un peut utiliser vos données pour savoir votre orientation sexuelle, même si vous n’avez jamais partagé cette information. Maintenant, voici où cela devient délicat : cette information dérivée est souvent étrangement précise (ce qui rend le profilage un cauchemar de la vie privée), mais en vertu d’être prédictif, les prédictions aussi parfois se trompent. Ainsi, dès lors que le but recherché devient trop important, les erreurs de classification systématiques peuvent avoir des conséquences réelles. En effet, le profilage et les techniques similaires sont de plus en plus utilisés non seulement pour classer et comprendre les gens, mais aussi pour prendre des décisions qui ont de lourdes conséquences, du crédit au logement, au bien-être et à l’emploi. Un logiciel de vidéosurveillance intelligent signale automatiquement un « comportement suspect » et le système judiciaire prétend pouvoir prédire les futurs criminels.
L’Union européenne et le RGPD – mieux vaut tard que jamais
Face à de tels risques potentiels, il est évident que la situation ne peut pas continuer comme ça. De plus, au vu des propos tenus par l’entreprise Cambridge Analytica, il est à croire que l’opinion publique et des élections peuvent être influencée sur le seul profilage des individus grâce aux données récoltées sur Internet. La Commission européenne ainsi que le Parlement européen ont demandé des comptes à Facebook dans le cadre de cette affaire. Toutefois, il faut comprendre que les faits se sont déroulés entre 2014 et 2015, avant la condamnation de Facebook par la Cour de justice de l’Union européenne (CJUE) dans le cadre de l’affaire Schrems. Désormais, il n’est plus possible pour les applications de récolter les données des contacts Facebook sans leur consentement. Le mal est pourtant fait et l’Europe doit éviter que de tels cas se reproduisent à l’avenir.
Le premier pas a été fait avec l’adoption du Règlement général sur la protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai 2018. Ce texte est le plus protecteur, dans le monde, au regard des données personnelles puisqu’il ne s’applique pas uniquement aux entreprises de l’Union européenne (UE) mais bien à toutes les entités qui traitent les données à caractère personnel des citoyens de l’UE. Il exige par exemple que les organisations désignent un responsable de la protection des données si elles traitent des données sensibles à grande échelle. Il restreint également les possibilités d’utiliser les données à des fins autres que celles communiquées (comme ce fut dans le cas de Cambridge Analytica) et exige des entreprises qu’elles communiquent, de façon claire et précise, les objectifs de la collecte de données. Auparavant, les agences de protection des données des différents États membres de l’UE pouvaient imposer des pénalités financières en cas de violation des lois sur les données existantes, toutefois ces amendes étaient relativement minimes – en particulier au regard des revenus des entités privées sanctionnées. Ainsi par exemple en France, le montant des sanctions imposées par la Commission Nationale de l’Informatique et des Libertés (CNIL) et prévu par la loi du 6 janvier 1978 dite « Informatique et libertés » ne pouvait excéder 150.000 euros pour un premier manquement. En cas de récidive dans les cinq ans à compter de la date du prononcé de la sanction devenue définitive, le montant ne pouvait excéder 300.000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de 300.000 euros. Au Royaume-Uni, le Bureau du Commissaire à l’information (Information Commissioner’s Office (ICO)) peut actuellement imposer une amende maximale de 500 000 £. A titre de comparaison, Alphabet (Google) possède des revenus annuels d’environ 90 milliards de dollars. Désormais, l’amende maximale est portée, pour les infractions les plus graves du règlement, à 4% de leur chiffre d’affaires annuel global (ou, 20 millions d’euros, le montant le plus élevé étant retenu)[vii].
En outre, le RGPD accroît le contrôle des utilisateurs sur leurs propres données. Par ailleurs, les 28 États membres ont mis en œuvre les règles de 1995 chacun de manière différente voient leur législation uniformisée mettant ainsi fin à la fragmentation actuelle et aux charges administratives coûteuses qui en découlent. Enfin, il permet un renforcement de la confiance des consommateurs dans les services en ligne et à l’indispensable relance de la croissance, de l’emploi et de l’innovation en Europe.
Ce texte permet également d’étendre la protection des données en dehors de l’Union européenne en imposant aux entreprises hors UE de respecter les normes de protection imposées. Les Etats vers lesquels seront transférées les données devront également présenter des garanties similaires afin de pouvoir rapatrier certaines données. A ceci s’ajoute la volonté de certaines entreprises comme Facebook d’appliquer à l’échelle mondiale les protections offertes par le RGPD, volonté probablement guidée par une tentative de regain de confiance auprès des utilisateurs[viii]. Enfin, le parlement canadien a fait part de son souhait d’adopter des réformes sur la protection des données personnelles identiques à celles proposées par le RGPD[ix].
Aller plus loin dans la protection des citoyens
Toutefois, l’affaire Cambridge Analytica semble déjà pointer du doigt les limites du RGPD. Il semblerait, de l’avis de certains, que le texte ne va pas assez loin[x]. L’eurodéputée Marju Lauristin (S&D, EE) a rédigé et présenté un texte en octobre 2017 visant à garantir des normes élevées en matière de respect de la vie privée, de confidentialité et de sécurité dans les communications électroniques à travers l’UE. La commission LIBE a ainsi adopté le projet de résolution législative sur la proposition règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »)[xi].
Cette proposition inclut ainsi des changements importants tels que :
- Aucun internaute ne pourrait se voir refuser l’accès à un site au seul motif qu’il a refusé d’y être tracé[xii];
- La configuration par défaut des navigateurs Web devrait fonctionner comme certains bloqueurs de publicité et ainsi empêcher l’affichage de contenus abusifs et les tentatives de traçage[xiii] ;
- Les fournisseurs de communication devraient garantir la confidentialité des communications (comme par exemple en utilisant le chiffrement de bout en bout) sans qu’aucune loi nationale ne puisse les contraindre à utiliser une méthode plus faible ou imposer l’introduction de backdoor (porte dérobée permettant d’accéder aux communications)[xiv] ;
Interview de Marju Lauristin
Facebook a très récemment annoncé vouloir combattre l’ingérence électorale. A ce titre, le réseau social souhaite référencer toutes les publicités politiques et afficher la personne ou l’organisme ayant payé pour cette publicité. De plus, toute personne qui souhaitant lancer une publicité politique devra se soumettre à un contrôle d’identité et de localisation[xv]. Toutefois, il nous apparait comme particulièrement dangereux de laisser à des entreprises privées le soin de contrôler le ciblage politique de cette façon. Le problème n’est pas tellement dans la véracité ou non de publicités politiques et ciblées, mais plutôt dans l’essence même du profilage à des fins politiques. En effet, il semble particulièrement dangereux que des traceurs, non contrôlés, récoltent des données et établissent des profils aussi précis. Le désintérêt pour la politique des citoyens est un réel problème au sein de nos démocraties. Néanmoins, le profilage et le ciblage politiques ne doivent être en aucun cas une solution pour permettre la mobilisation des foules.
Outre le caractère particulièrement dangereux que pourraient revêtir ce système et les potentielles dérives, la méthode n’est, à notre avis, une solution durable pour répondre au problème posé par la mobilisation politique. Ainsi, il semble adéquat d’opter pour une solution radicale mais efficace consistant en une interdiction totale d’utilisation des données personnelles à des fins de propagande politique. Dans une moindre mesure, il pourrait être envisagé qu’à l’instar de l’interdiction de sondages durant une période donnée avant les élections, le ciblage politique sur Internet et les réseaux sociaux soit interdit dans un laps de temps avant les élections.
Internet et la société numérique évoluent constamment. Néanmoins, il s’agit aujourd’hui de déterminer comment nous serons protégés demain, de quoi l’économie numérique sera faite et comment elle se développera. En attendant les protections nécessaires, les citoyens et internautes ne peuvent faire autrement que de sacrifier leurs données pour accéder aux avantages du numérique. Comme le dit Maciej Ceglowski, « vouloir échapper la surveillance du capitalisme en se retirant d’Internet, c’est comme se retirer de l’électricité ou des aliments cuisinés – vous êtes libre de le faire en théorie. En pratique, cela va bouleverser votre vie »[xvi]
Jean-Hugues Migeon
Pour aller plus loin :
(anglais) CHRISTL Wolfie, “Corporate surveillance in everyday life. How companies collect, combine, analyse, trade, and use personal data on billions”, disponible ici : http://crackedlabs.org/en/corporate-surveillance
MIGEON Jean-Hugues, « Initiation à la protection des données : état des avancées du droit de l’Union et conseils de base pour se protéger », eu-logos : disponible ici : http://www.eu-logos.org/?p=22057
Rapport LIBE sur la proposition règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »). Disponible ici : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0324+0+DOC+XML+V0//FR
[i] Ferwerda B., Schedl M., Tkalcic M. (2016) Using Instagram Picture Features to Predict Users’ Personality. In: Tian Q., Sebe N., Qi GJ., Huet B., Hong R., Liu X. (eds) MultiMedia Modeling. Lecture Notes in Computer Science, vol 9516. Springer, Cham, available at : <https://link.springer.com/chapter/10.1007%2F978-3-319-27671-7_71>
[ii] , available at : <http://ieeexplore.ieee.org/abstract/document/6113111/authors>
[iii] < https://console.bluemix.net/developer/watson/dashboard>
[iv] < https://www.crystalknows.com/>
[v] <https://www.ghostery.com/fr/>
[vi] Disponible ici : <https://www.researchgate.net/publication/282356703_A_measurement_study_of_tracking_in_paid_mobile_applications?enrichId=rgreq-76f4ccccd045296ab02b6e3022572c5b-XXX&enrichSource=Y292ZXJQYWdlOzI4MjM1NjcwMztBUzoyODAwMDQ2ODU1MTY4MDdAMTQ0Mzc2OTcyNzcwNA%3D%3D&el=1_x_3&_esc=publicationCoverPdf>
[vii] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Article 83, para. 5.
[viii] <https://siecledigital.fr/2018/04/06/mark-zuckerberg-appliquera-rgpd-hors-europe-a-sa-maniere/>
[ix] <https://www.lexology.com/library/detail.aspx?g=d84e1827-1e02-4194-9a00-ed0787b95e0a>
[x] <http://www.europarl.europa.eu/news/fr/press-room/20171016IPR86162/communications-en-ligne-le-respect-de-la-vie-privee-renforce>
[xi] <http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A8-2017-0324+0+DOC+XML+V0//FR>
[xii] Rapport LIBE, précité, Article 8.
[xiii] Rapport LIBE précité, Article 10, Para. 1.
[xiv] Rapport LIBE, précité, Article 17.
[xv] <http://money.cnn.com/2018/04/06/technology/facebook-election-meddling-political-ads-pages/index.html?sr=fbCNN040618facebook-election-meddling-political-ads-pages0202PMStoryLink>
[xvi] “opting out of surveillance capitalism is like opting out of electricity, or cooked foods—you are free to do it in theory. In practice, it will upend your life” Available here : <http://idlewords.com/talks/sase_panel.htm>