Ethique des données en ligne et protection des utilisateurs

privacy

Une lecture du rapport du NDG, dans le cadre du Réglement Européen sur la Protection des Données (RGPD), qui établit les principales recommandations.

 

Après la publication du rapport établi par la commissaire du NDG (National Data Guardian for Health and Care) en janvier 2018, j’ai procédé à une lecture attentive des recommandations émises par Dame Caldicott pour produire mes propres observations.

Comme on pouvait s’y attendre le NDG établit clairement la distinction entre les données publiques et les données dites sensibles, validant les procédures mises en œuvre par les comités d’éthique scientifiques institutionnels, et rappelle la nécessité du consentement pour les données privées à caractère sensible. Pour un professionnel averti, il s’agit, à la lecture, davantage d’un document de vulgarisation des procédures éthiques à destination des praticiens, des analystes, des non-scientifiques et du grand public que d’une réelle législation établissant de nouveaux standards éthiques.

Le NDG établit ainsi la liste des données à manipuler avec précaution car susceptibles de causer un préjudice important en cas de fraudes ou d’exposition involontaire : prénom et patronyme, adresse, numéro de téléphone, adresse IP, coordonnées bancaires, état de santé, données biométriques et toutes données permettant d’identifier des individus.

Exit donc de ce focus les données publiques puisque les utilisateurs donnent leur consentement lors de l’utilisation des services en ligne (médias sociaux, activisme et groupes d’intérêts divers partageant des documents en ligne). Exit également les données collectées par les entreprises sur leurs salariés aux fins de mesure des activités professionnelles ou les données ne revêtant pas de caractère sensible. Au final, ces procédures concernent essentiellement les praticiens de santé et ceux employés par les services publics ou privés qui traitent les données privées et sensibles de particuliers.

On comprend bien qu’il ne s’agit pas ici en effet d’interdire ou de sanctionner une production scientifique selon des critères basés sur des préférences personnelles et subjectives mais de permettre le partage d’un universel pour que les recherches issues des usages des utilisateurs puissent contribuer à l’avancée des connaissances et ce, par la mise en œuvre de garde-fous et par l’encadrement de la pratique, aujourd’hui répandue, de collecte et d’analyse des données.

En tant qu’analyste et praticienne dans le public et le privé, j’estime en effet que ces clameurs de haro ont été indispensables pour critiquer les nombreux manquements à l’éthique et les manipulations que j’ai pu observer à quelques reprises lors de collectes massives de données par des entreprises et organisations. Un grand nombre de données sensibles sont aujourd’hui collectées par des logiciels et des applications sans le consentement des utilisateurs. D’autres sont transmises à des tiers sans le consentement des particuliers.

Un autre point à souligner est l’effort mis en œuvre, bien qu’inabouti, dans ce texte – mais il s’agit après tout d’un travail préliminaire – de circonscrire, de délimiter et de définir le statut du chercheur ou de l’analyste. Le rapport établit la nécessité de définir “quand“ et “où“ (en réalité, c’est surtout qui et quoi mais passons) et d’être redevable envers les personnes concernées par l’analyse.

Il est ici question de la responsabilité sociale qui engage l’analyste à son travail de recherche dans le cours d’un travail de production scientifique dans le cas de données provenant de sujets humains, mais notons que cette dimension s’observe notamment dans le cadre d’interactions directes (sondages, questionnaires, etc) et est moins pertinente dans le cas de recherches non-intrusives.

La NDG souligne ainsi le devoir de répondre aux revendications publiques et l’obligation de dire les fins auxquelles les données sont collectées.

La transparence fait loi. Il s’agit dés lors de rendre publiques et accessibles, toutes les étapes de l’analyse, in extenso, depuis la définition du projet et des ses objectifs jusqu’à la description des protocoles de collecte et d’analyse (algorithmes et coefficients de mesure compris).

Il faudrait par exemple que l’analyste soit joignable dans le cas où des personnes concernées par son travail aient des demandes à produire sur l’usage qui est fait des données et des analyses et ce, même dans le cas du respect des standards éthiques. C’est la démarche que j’ai adopté dans mon travail de recherche lorsque j’ai communiqué au groupe d’utilisateurs sur lequel portait l’analyse des moyens de communication dans les médias publics mes coordonnées pour qu’ils puissent exercer leur droit à l’information.

Le chercheur ou l’analyste prend la responsabilité d’agir en adéquation avec les demandes qui lui sont faites. Attention, cette pratique ne porte pas sur le contenu ou les conclusions de l’analyse (l’analyste reste maître d’oeuvre de ses recherches), mais bien sur l’usage qui est fait des données empiriques sensibles dans le cas où celles-ci soient collectées (ce qui n’était pas le cas de mon travail de recherche : ne pas collecter de données sensibles peut aussi relever d’une pratique de précautions).

En réalité c’est surtout l’exposition des données empiriques à des tiers (hackers et maîtres-chanteurs) qui peux causer du tort.

Or ici, le rapport pêche par approximation car il n’établit pas avec suffisamment de précision les délimitations entre les données empiriques et les données issues de l’analyse.

Un autre élément qui reste à approfondir est celui de l’accréditation, point qui demeure pour le moins obscure dans le rapport car on ne nous précise pas quel est le sujet ou l’objet de ladite accréditation.

Dans un travail d’analyse, on parle d’accréditation pour définir les utilisateurs ou groupe d’utilisateurs concernés par l’étude qu’on décide de mentionner afin de leur donner le crédit de leur production pour éviter que celle-ci soit attribuée à un tiers (analyste ou tiers partie) (Debaveye, 2012b). A distinguer donc des copyrights et des droits d’auteur qui portent, eux, sur la contribution de l’analyste. Ce point doit être envisagé également dans le cadre de l’anonymisation des données. Et oui, on touche ici à des enjeux plutôt complexes qu’un simple texte de loi aura de la peine à circonscrire.

La commissaire souligne, et à raison, que les données relevant de sujets humains ne peuvent être collectées que dans le cadre d’une pratique délimitée par les besoins de l’analyse. Out donc la collecte systématique de données qui se pratique à outrance dans les milieux technologiques (on se rappellera les innombrables think tank et cabinet de conseil-analyse ayant publié en veux-tu en voilà des graphes et des diagrammes à des fins de publicité commerciale lors des élections. A proscrire).

D’une manière générale, le questionnement éthique dépasse souvent le cadre de la loi lorsqu’il fait appel notamment à l’intégrité et à la responsabilité sociale de l’analyste pour devenir une responsabilité personnelle et morale.

Ceci inclut, par exemple, le cas de la manipulation des données qui opère lors de biais induits par le chercheur et déterminés en fonction de sa sensibilité théorique et personnelle, de son éducation et de son background, ou lorsque se produisent des décalages entre le terrain empirique observé et les résultats de l’analyse (Debaveye, 2012b).

Cette problématique est particulièrement à l’oeuvre dans les analyses basées sur des calculs statistiques reposant sur des postulats émis par le data scientist a priori ou dans le cas d’une automatisation des procédures qui répliqueraient des biais causés par le triage et la sélection des données, particulièrement lorsque cela se produit de façon exponentielle comme sur internet (Debaveye, 2012b).

On peut aussi ajouter à cette liste de précautions les problématiques plus globales quoique non moins intéressantes des conflits d’intérêts, des réseaux de collusion et de cooptation, du corporatisme, des partenariats publics-privés, de la transparence, etc., etc.

En résumé, même si on peut souligner, un effort de clarification, il reste encore à faire pour que ce texte puisse faire l’objet d’une application concrète sur le plan des pratiques. Outre le fait qu’il se posera de nombreux cas particuliers lors de l’application de la loi, il importera aussi de faire appel à des professionnels compétents en matière d’éthique pour donner aux praticiens concernés le moyen de prendre des décisions éclairées. Il faudra également s’équiper de moyens humains et financiers conséquents pour permettre de se prémunir contre les risques, notamment en matière d’évaluation et de cryptographie.

 

Licence Creative Commons
Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution – Pas d’Utilisation Commerciale – Partage dans les Mêmes Conditions 4.0 International.