Ce que nous devons retenir du scandale Cambridge Analytica pour garantir la liberté d'Internet
Le scandale Facebook/Cambridge Analytica, sous le feu des projecteurs ces dernières semaines, nous rappelle que les menaces de sécurité en ligne sont amplifiées par la croissance constante de la portée et du pouvoir du monde numérique. Elles peuvent paraitre abstraites et moins urgentes que les dangers du monde réel, mais leurs conséquences ne sont pas moins alarmantes. Tandis que beaucoup d'entre nous discutent depuis longtemps des moyens pour y remédier, je voudrais saisir cette occasion pour souligner les deux principes de défense fondamentaux que nous pouvons mettre en place afin de nous protéger, de façon collective et individuelle.
Mais d'abord, récapitulons les événements et comment une telle faille a pu se produire (peut-on vraiment parler de « faille » ?). Un universitaire de Cambridge, Aleksandr Kogan, travaillant pour la société d'analyse de données politiques Cambridge Analytica, a développé une application qui a récolté les informations d'environ 87 millions d'utilisateurs Facebook. Même ceux ayant participé et partagé leur données intentionnellement au sondage de cette application pensaient que ces informations seraient utilisées dans un but universitaire, et non pour du ciblage politique. Par ailleurs, l'application a non seulement recueilli les informations des utilisateurs qui l'ont téléchargée, mais également de leurs amis. Facebook a d'abord essayé de faire porter la responsabilité du scandale à Cambridge Analytica et à Aleksandr Kogan pour avoir enfreint sa politique de confidentialité et transféré des données universitaires à une société axée sur la recherche de profits.
Bien que cela soit techniquement vrai, le point le plus important est que Facebook a rendu bien trop simple pour les entreprises de regrouper une importante quantité de données d'utilisateurs et d'utiliser ces informations selon leur bon vouloir. Même si la responsabilité criminelle ou autre peut être effectivement prouvée, ce qui n'est pas si simple dans la plupart des cas, les dommages causés sont irréversibles et les données des utilisateurs ne sont pas supprimées. Comme on dit, Internet n'oublie jamais.
Bien qu'il ait exprimé son accord concernant la réglementation industrielle, le PDG de Facebook Mark Zuckerberg a nié le caractère problématique du modèle économique de sa société. Il a décrit les critiques émises par Tim Cook, le PDG d'Apple, à propos de Facebook comme « ne correspondant pas du tout à la vérité », quand la réalité est que Facebook, un service gratuit, génère des profits en vendant non pas des produits, mais des informations concernant ses utilisateurs, principalement à des publicitaires. Pour bousculer l'écosystème numérique basé sur la publicité, divers projets innovants ont été proposés mais pour l'instant, l'important est de sauvegarder notre vie privée dans l'environnement actuel. C'est pourquoi je préconise deux axes d'approche, avec une régulation gouvernementale soigneusement élaborée et des pratiques de cyberhygiène individuelles intelligentes.
Pour le premier axe, nous avons un exemple, bien qu'imparfait, avec l'entrée en vigueur en mai de la loi pour la protection des données dans l'Union européenne. Le RGPD (Règlement général sur la protection des données) est trop lourd et certaines parties pourraient violer la protection de la liberté d'expression aux États-Unis. Néanmoins, cela constitue un précédent concernant une véritable prise en compte du respect de la confidentialité. Bien évidemment, je préfèrerais que les entreprises s'autorégulent, qu'elles reconnaissent l'importance de leur rôle au sein de la société et les responsabilités que cela entraîne. Malheureusement, nous avons pu constater leur indigence à le faire et c'est donc aux législateurs de s'impliquer afin d'atténuer l'indignation des consommateurs et de prévenir de futurs abus.
Hormis les dommages infligés aux entreprises elles-mêmes, à travers le cours de leurs actions et leur réputation, il existe d'autres inconvénients potentiels, comme la capture de la fonction réglementaire, par laquelle les lobbyistes de grandes sociétés façonnent la législation à leur avantage afin d'exclure leurs concurrents. Malgré ces compromis, la situation actuelle exige d'agir sur tous les fronts pour plus de transparence et de responsabilité de la part des secteurs possédant une énorme influence sociale, politique et économique. J'espère que, comme cela s'est déjà produit dans le passé, la peur d'une réglementation sévère à l'extrême poussera les entreprises à mieux s'autoréguler.
La seconde de mes suggestions est peut-être moins attrayante car elle demande un réel effort de la part de tous les utilisateurs d'Internet, au lieu de chercher refuge auprès des gouvernements. Une partie du problème provient de la nature même de la manipulation massive de données. Dans un scénario classique de la tragédie des biens communs, les individus ayant partagé leurs données de façon désinvolte en subissent généralement peu les conséquences. En revanche, le cumul de ces masses d'informations de consommateurs peut engendrer un bouleversement social s'il se retrouve entre de mauvaises mains.
L'expert en sciences des données Michael Kosinski, qui était directeur adjoint du Psychometrics Center de Cambridge quand les données du centre ont été détournées par Aleksandr Kogan, connaît parfaitement le pouvoir de tels stocks de données. Il a été un pionnier dans le domaine de l'analyse et de la modélisation de données psychométriques. Lui et son équipe à Cambridge ont amélioré leurs algorithmes au point de pouvoir prédire les résultats des individus au test des cinq grands facteurs de personnalité, le Big Five, (ouverture, conscience, extraversion, affabilité et névrotisme) en se basant uniquement sur leur nombre de photos de profils et d'amis sur Facebook. Il n'est pas difficile de comprendre comment un tel degré de précision peut être utilisé dans le cadre du ciblage publicitaire, et de la manipulation politique.
Que pouvons-nous faire face à cette collecte de données omniprésente, qu'il s'agisse d'entreprises technologiques, de chercheurs ou d'organisations politiques ? Pour commencer, accepter de devoir abandonner un certain niveau de confort pour une plus grande sécurité. Lisez mon article publié il y a quelques mois, où je vous donnais des liens vers des astuces d'Avast pour vous protéger en ligne. Autre suggestion : la prochaine fois que devez accepter les conditions de service d'une entreprise, essayez de comprendre ce à quoi vous consentez ! Personne n'a le temps de lire les centaines de pages d'un jargon juridique volontairement opaque, mais faites de votre mieux pour mettre au clair les politiques de confidentialité des entreprises. Par exemple, les gens étaient choqués que l'application Android Facebook enregistre tous leurs appels téléphoniques. Pourtant, techniquement, ils avaient donné leur accord en téléchargeant l'application et en cliquant sur « Installer » après avoir vu les autorisations et les conditions de services.
Facebook et son PDG et fondateur Mark Zuckerberg subissent maintenant une forte pression de la part des utilisateurs et des législateurs du monde entier concernant ces pratiques, mais uniquement parce que Facebook est un géant mondial. Sa taille lui donne un pouvoir phénoménal mais le rend également vulnérable et donc responsable. Qu'en est-il de ces milliers, voire ces millions, d'autres applications auxquelles vous accordez les mêmes autorisations ? Les législateurs ne vont pas enquêter sur chaque petit jeu de votre téléphone pour voir s'il enregistre aussi vos appels ou sur ce que font les créateurs avec ces données.
Réfléchissez donc à deux fois avant d'adopter chaque nouveau produit attrayant émergeant sur le marché. Évidemment, c'est amusant de déverrouiller votre téléphone grâce à un logiciel de reconnaissance faciale, mais cela vaut-il la peine de courir des risques potentiels de sécurité ? Alexa et ses semblables sont des outils utiles mais ils introduisent également une surveillance constante au sein de votre maison. Ce n'est pas non plus « tout ou rien », un faux choix entre vivre dans le présent sans intimité ni sécurité et vivre dans une grotte sans aucun réseau. Il est essentiel d'investir du temps pour trouver le juste milieu. Décidez de ce qui est important pour vous et n'oubliez pas : ce n'est pas seulement votre propre vie privée qui est en jeu mais bien, comme nous avons pu le voir, l'avenir de notre société ouverte.