Les événements survenus au début de l'année 2018 n’ont pas manqué de nous rappeler que les données que nous divulguons sur Internet, et particulièrement sur les réseaux sociaux, sont susceptibles d’être utilisées à des fins que nous ne présumons pas d’emblée. En effet, l’analyste de données devenu lanceur d’alerte Christopher Wilye a révélé son rôle et celui de la compagnie Cambridge Analytica dans la campagne électorale de Donald Trump en 2016 aux États-Unis.
Cambridge Analytica, une entreprise britannique spécialisée dans le profilage et le comportement électoral, a obtenu un ensemble de données recueillies auprès d’utilisateurs du réseau social Facebook par un chercheur de l’Université de Cambridge, Aleksandr Kogan. Ce dernier avait obtenu ces données au moyen d’une application par laquelle les utilisateurs répondaient à un questionnaire et recevaient une petite compensation monétaire. Cela était présenté comme s’intégrant dans une démarche scientifique. Collectées au départ à des fins scientifiques, les données ont ainsi été cédées à Cambridge Analytica pour servir à des fins de marketing politique. Il s’agirait donc d’une violation du consentement des utilisateurs, qui n’ont pas explicitement consentis aux nouveaux usages faits de leurs données personnelles.
L’application recueillait les réponses des utilisateurs, mais collectait aussi une foule de données, comme leurs clics « j’aime », sur leur profil et, surtout, sur le profil de leurs « amis ». C’est de cette manière que des données sur des millions d’utilisateurs de Facebook ont pu être obtenues. Les conditions d’utilisation de Facebook permettaient à l’époque cette collecte indirecte de données, qui faisait que le simple fait qu’un de vos « amis » ait téléchargé une application rendait vos données disponibles à un tiers.
Cambridge Analytica a ensuite utilisé ces données pour mettre en œuvre une stratégie de communication personnalisée, misant sur les peurs des électeurs, selon leur profil psychologique et socioéconomique. Cette stratégie visait à influencer leur décision électorale en les poussant vers le candidat qui avait retenu ses services, soit Donald Trump.
Ces révélations ont déclenché, notamment, une vague de dénonciation, voire d’appel à la déconnexion (#DeleteFacebook). Le tout a culminé vers une opération de gestion de crise et de relations publiques de la part du fondateur et PDG de Facebook, Mark Zuckerberg, qui a fait acte de contrition et promet d’assumer la responsabilité de l’entreprise eu égard à la protection des données personnelles sur son réseau social.
Certes révélatrice de plusieurs problèmes et enjeux soulevés par le numérique et les données dites massives, cette crise ne surprend pas outre mesure. En effet, les données personnelles sont monétisées un peu partout sur Internet, et ce, depuis plusieurs années déjà. Même les applications mobiles en apparence les plus banales collectent généralement une foule de données et les utilisateurs lisent rarement les politiques de confidentialité et les conditions d’utilisation.
Il y a un peu moins d’un an, nous abordions la vente d’historiques de navigation, aux États-Unis, par les fournisseurs de services Internet à des tiers. (Cette pratique demeure illégale au Canada.) Votre historique fournit de l’information sensible permettant de dresser votre profil de manière individualisée pour ensuite cibler les publicités (commerciales ou politiques) qui sont les plus susceptibles de vous intéresser… ou de vous convaincre.
En 2016, nous abordions aussi, sous un autre angle, la question de la publicité personnalisée et faisions ressortir les enjeux qu’elle soulève en matière de liberté et d’auto-détermination, ainsi que de protection de la vie privée pour les citoyens.
Par le passé, Facebook avait fait les manchettes en raison de recherches qui ont été réalisées auprès de ses utilisateurs et qui soulevaient des questions en matière de consentement libre et éclairé. L’entreprise avait dû corriger le tir, quoiqu’elle l’ait fait plutôt timidement.
Le premier réflexe face à ces enjeux est de sensibiliser les individus aux conséquences du partage de leurs données personnelles sur Internet, aux manières de mieux contrôler ce partage, ainsi qu’à l’importance du consentement. Responsabiliser les individus est essentiel, mais c’est une solution qui comporte plusieurs limites.
En effet, le garde-fou consistant à exiger un consentement libre, éclairé et continu de la part des personnes pour la collecte et l’utilisation de leurs données personnelles est de plus en plus difficile à faire respecter. La capacité de s’orienter de manière éclairée et de faire des choix de manière autonome repose sur la présence d’options de remplacement ainsi que sur la disponibilité d’information compréhensible pour le commun des mortels. Or, ces conditions sont difficilement rencontrées aujourd’hui.
De plus, contrôler ce qu’on accepte de divulguer en ligne ne peut qu’être insuffisant. C’est le modèle d’affaires même d’entreprises comme Facebook qui est en jeu. S’il est vrai que de leur donner moins de nos données peut diminuer notre vulnérabilité, ce qui est fait de ces données demeure inchangé. Malheureusement, se désabonner de Facebook ne changera pas non plus les pratiques similaires des autres géants du Web. Et la déconnexion complète n’est pas réellement envisageable pour la majorité d’entre nous, ni souhaitable compte tenu des bénéfices importants provenant de l’utilisation d’Internet.
Les gouvernements ont une capacité d’action limitée du fait que les principales entreprises dans le marché numérique sont des multinationales, dont les activités sont diffuses et réparties partout dans le monde. Les pouvoirs réglementaires existent, mais demeurent limités dans leurs effets.
En fait, les réseaux numériques se sont construits en grande partie sur l’idée qu’il y a un rapport direct entre l’utilisateur et le réseau, que leurs relations sont encadrées par un contrat de service et d’utilisation, et qu’elles relèvent donc du domaine privé. Tout est alors question de validité des contrats et d’une relation de confiance entre les parties, qui sont considérées comme s’engageant librement dans la relation contractuelle.
Or, les réseaux numériques remplissent des rôles sociaux et ont des répercussions sur la vie citoyenne et démocratique des États. Ces nouvelles « places publiques » devraient-elles conséquemment être prises en charge par les pouvoirs publics? Car, bien au-delà de la protection des données personnelles des individus, les enjeux sont maintenant aussi de l’ordre de l’intégrité des institutions et des processus démocratiques, comme en témoigne le cas de Cambridge Analytica.
De plus, les asymétries de pouvoir sont telles entre les utilisateurs individuels et les entreprises gérant ces réseaux numériques, qu’il est difficile d’y voir une simple relation contractuelle librement consentie.
Les gouvernements sont généralement frileux à s’ingérer dans des relations entre des parties privées. Les entreprises gérant les réseaux numériques peuvent opposer leur liberté économique de mettre en œuvre leur modèle d’affaires aux volontés des gouvernements d’exercer un contrôle sur leurs activités. Il s’ajoute enfin tout un ensemble de difficultés du fait que ces entreprises sont soumises à des cadres juridiques différents dépendamment du pays à partir duquel elles opèrent.
Néanmoins, l’Union européenne s’affaire depuis quelques années à développer un encadrement adapté à la réalité du monde numérique et visant à assumer collectivement la responsabilité de protéger les individus. La Californie, l’état des États-Unis où se trouvent les maisons mères des grandes entreprises numériques, évalue également un projet de loi en ce sens.
Pour voir l’entrevue sur ce thème donnée par le président de la Commission, M. Jocelyn Maclure, à l’émission 24/60 d’ICI Radio-Canada (à 10m40s) : http://ici.radio-canada.ca/tele/24-60/site/segments/entrevue/64633/facebook-donnees-campagne-electorale?isAutoPlay=1