Défis 2022 de l’IA : vers l’anonymisation des données ?

Entre les bilans de santé et les relevés financiers engloutis par les serveurs, la population a la sensation que sa liberté individuelle surfe sur le fil du rasoir. Bien sûr, 4,9 milliards d’utilisateurs (statistiques UIT) consentent quelque part à participer à ce festin numérique qui n’a jamais été aussi bien ravitaillé durant la pandémie.

Tandis que les empreintes que nous laissons quotidiennement sur le Web grignotent notre espace privé, comment les autorités peuvent-elles offrir l’anonymat ? Depuis les exfiltrations de données en gros titres à la Une des médias, la transformation digitale a soulevé de nombreuses inquiétudes.

UN ENCADREMENT EN PLEINE MUTATION

Autant le secteur du privé que celui du public jonglent avec des identifiants numérisés, favorisant alors le traitement des informations. Un gain de temps et une diminution des travaux jugés pénibles par les âmes de chair et d’os.

Ce lot de données tracées et stockées reste une mine d’or notamment pour les publicitaires et les autres entités qui souhaitent faire du profilage. À mesure que le deep learning progresse, les pouvoirs étatiques mettent en œuvre de nouveaux moyens pour contrôler l’utilisation de ce contenu.

 

Image: RGPD / CNIL.fr

En France, le règlement général de protection des données (RGPD) encadre son usage depuis le 25 mai 2018. Ces lois concernent autant les entreprises que les organismes, détenant des identifications directes ou indirectes. Le traitement des données conforme à ces lois européennes assure la protection de l’individu.

 

A contrario, le non-respect de l’application de cette législation entraîne des sanctions lourdes de conséquences, aussi bien pour la population que pour la firme amendable. 

De l’autre côté de l’Atlantique, le gouvernement québécois talonne l’Europe et traque publiquement les pirates. La mise en place d’un nouveau ministère de la Cybersécurité et du Numérique est le signe d’une volonté de s’adapter aux évolutions de l’administration et du contexte socioéconomique.

Il devra prendre également à bras le corps les enjeux liés à la gestion de ces data et à la cybersécurité des données publiques.

Selon Frédéric Cuppens, professeur à Polytechnique Montréal, un dialogue entre les deux continents assurerait plus de sécurité.

« La création de ce ministère est une première étape allant dans le même esprit que le RGPD. Ces lois de protection sont d’abord une problématique européenne. À terme, avoir un cadre réglementaire compatible entre plusieurs continents aurait plus d’impact. » – Frédéric Cuppens, professeur à Polytechnique Montréal

LE TRAITEMENT DES DONNÉES : QUELS PRINCIPES ?

Selon le processus utilisé par les entreprises, ce traitement prend la forme d’un ensemble d’opérations portant sur les données collectées. Ces manipulations d’informations ont un objectif, et doivent entrer dans un cadre légal et légitime au regard de son activité professionnelle.

Une information relative à une personne physique identifiée ou identifiable peut donc faire l’objet de nombreuses convoitises. Surtout si l’on est capable de croiser les données, les campagnes digitales visibles sur les réseaux sociaux n’en deviennent que plus performantes.

Par ailleurs, les fichiers témoins dits « cookies », pistent les utilisateurs abreuvant les bases de données de leurs habitudes. Dans ce contexte, quelle place pour notre intimité numérique ?

Frédéric Cuppens revient sur ces principes et les bonnes pratiques appliqués pour protéger la population : « Tout repose sur la finalité. »

L’utilisateur doit être en mesure de comprendre et de s’assurer de la finalité par un consentement préalable. Il s’agit de conformer la collecte de données par un acte positif via son accord. Oui, mais il n’est pas toujours évident de lire sur son téléphone les injonctions juridiques inscrites en petits caractères…

Pour être plus efficace, une sensibilisation dès le plus jeune âge accentuerait la lucidité de la population. À noter que dans le cadre des lois qui déterminent les objectifs d’une application mobile, le propriétaire et le concepteur de celle-ci sont responsables du traitement des données. 

PASSER INCOGNITO

Au-delà d’invoquer le droit à l’effacement, Frédéric Cuppens suggère l’anonymisation comme gage de sécurité. En pratique, elle rend impossible l’identification d’une personne de façon permanente.

Si la réidentification de cette dernière est impossible, cela empêche quelques déconvenues : contenu sponsorisé, démarchage par téléphone ou pourriels. L’anonymisation n’est pas obligatoire, mais demeure une option intéressante pour le droit et la liberté individuelle.

De plus, les entreprises ont la liberté d’exploiter et de partager ces informations rendues moins confidentielles suivant la période maximum de conservation.

À ne pas confondre avec la pseudonymisation qui consiste à entrer des données indirectement identifiantes : numéro séquentiel, combinaison de caractères aléatoires, etc.

Pour rester anonyme, on doit intégrer des mesures de protection et de sécurité des données. On note cependant quelques échecs en dépit de la présence d’une politique de confidentialité, parfois nébuleuse.

Pour ne pas tomber dans le piège, il faut également penser aux données de navigation, aux adresses IP et au chiffrement réversible bien souvent négligés par les développeurs. 

En conclusion, le contexte juridique des données s’adapte aux nouvelles technologies telles que l’intelligence artificielle et les cyberattaques. Seule une Commission spécialisée pourrait juger si la finalité d’un traitement répond aux enjeux éthiques. Et sitôt que l’entreprise franchit le Rubicon, ce serait le blâme.

Néanmoins, est-ce que toutes les erreurs sont répréhensibles ? Défaut de sécurité, fraude en interne : il faudrait étudier au cas par cas.

Seulement les bonnes pratiques ont un coût, ce qui désarme parfois les PME. Taxées de « maillon faible » par Frédéric Cuppens dans l’article, leur manque de moyens les rend plus vulnérables et elles sont donc injustement plus enclines à commettre des impairs en termes de sécurité. 

Image du bandeau: Pexels / Connor Danylenko

Ce premier article inaugure une série consacrée aux « Défis 2022 de l’IA : vers une IA responsable, éthique et inclusive ».