[ANALYSE] Le cycle de vie des données et le déclin de la sphère privée.

[ANALYSE] Le cycle de vie des données et le déclin de la sphère privée.

Qu’est-ce que “l’identité” ou le “profil” numérique? Il s’agit d’une série d’enregistrements qui concernent notre personne. Ces données sont accumulées depuis des années et cette collection est exponentielle. Nous avons tous aujourd’hui une histoire digitale, qu’on le veuille ou non.

Les générations précédentes n’en ont pas; leur historique digital est inexistant. Nous sommes aux balbutiements de cette histoire numérique et collective. À cela s’ajoute l’implication de l’intelligence artificielle (IA) et son interaction continue avec les données.

LA NOTION DE PRIVÉ VS PUBLIC

Un des impacts majeurs, à prévoir à long terme, est celui du rétrécissement du domaine privé des individus au profit du domaine public. Il se décrit par une perte d’imperméabilité entre les deux domaines. La sphère du public gonfle irrémédiablement à l’intérieur des réseaux et dans l’infonuagique (le Cloud). Tandis que la sphère du privé semble se réduire à l’intérieur même de cet espace numérique.

Il est intéressant de constater que la notion de domaine privé est assez récente. Nous y sommes très attachés, mais plusieurs sociétés ont ignoré la question de la vie privée chez les individus. Certains modèles politiques en sont une bonne illustration.

Si on demande plus de transparence de la part des entreprises, c’est surtout parce que la transparence, elle-même, est plus accessible. En contrepartie, on extrait davantage de données sur les individus et on en dévoile certaines, supposément confidentielles. Le prix de la transparence publique se fait au détriment du caractère privé de nos données. Le privé numérique est-il alors possible?

L’entreprise semble devoir être entièrement publique. À l’inverse, l’individu doit admettre que cette exigence passe également par un élargissement du domaine public. Il doit aussi admettre qu’il en découle un rétrécissement du domaine privé.

Une des bonnes pratiques pour connaître les limites du caractère privé de nos données est de comprendre l’impact de nos enregistrements numériques. Explorons le cycle de vie des données pour voir, un peu plus clairement, en quoi consiste la protection de nos données.

 

CYCLE DE VIE DES DONNÉES

En raison de la complexité des interactions entre la technologie et les individus, il est difficile de sentir qu’il existe un contrôle et surtout une gouvernance appropriée de l’IA, nous dit le Forum Économique Mondial.

Le premier constat est celui d’une interprétation trop limitée des zones non imperméables du parcours de nos données, allant du domaine privé au public. Si on observe le cycle de vie d’un projet, on constate que les préoccupations se concentrent aujourd’hui surtout au moment de l’acquisition des données (voir schéma ci-dessous) :

Cycle de vie IA

D’après ce modèle, il semble que l’acquisition des données soit la phase la plus importante concernant la protection de nos données.

La Commission d’accès à l’information du Québec met l’accent sur huit recommandations concernant la Protection des renseignements personnels. En voici un résumé :

  1. Nécessité : Une entreprise qui recueille des renseignements personnels doit avoir un intérêt sérieux et légitime pour constituer un dossier sur autrui.
  2. Consentement : Sauf exceptions, avant de collecter, utiliser ou communiquer des renseignements personnels, une entreprise doit obtenir le consentement de la personne concernée.
  3. Informer : Une entreprise doit informer la personne concernée de l’utilisation qui sera faite des renseignements personnels.
  4. Sécurité : Une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits.
  5. Utilisation : Une entreprise doit obtenir le consentement de la personne concernée pour utiliser ses renseignements une fois l’objet du dossier accompli.
  6. Communication : Une entreprise doit obtenir le consentement de la personne concernée pour communiquer ses renseignements à autrui.
  7. Exactitude : Une entreprise doit veiller à ce que les renseignements personnels qu’elle détient soient à jour et exacts au moment où elle les utilise.
  8. Répondre : Répondre aux demandes relatives aux renseignements personnels.

En général, une phrase résume ces points en petits caractères et nous nous empressons de donner notre consentement par agacement et surtout pour accéder le plus rapidement possible à une application. La négligence est ici manifeste autant du côté du fabricant que de l’utilisateur. Par ailleurs, la plupart des recommandations sont émises sauf exceptions prévues par la loi, et laissent place à beaucoup de flou.

 

LE PROCESSUS DE NETTOYAGE

Le processus de nettoyage doit se faire à chaque étape du cycle de vie des données. Pour reprendre les termes de la Commission d’accès à l’information du Québec, « Une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits. ». On retrouve également ces étapes dans le schéma ci-dessous :

Nettoyage des données

Afin d’éviter les biais, la discrimination et tous les travers qui guettent les individus, chacune des phases du cycle de vie des données doit être explicable. Par exemple, le processus de transfert semble absent dans les recommandations de la Commission d’accès à l’information du Québec. Pourtant, il a des répercussions que l’on ne soupçonnait pas:

« L’écoute électronique peut acquérir de manière furtive, ou dissimulée, des données en transfert. Cette écoute est rendue possible dans de nombreux systèmes bâtis par différentes composantes, qui communiquent sur les réseaux publics. »Christen Markus, Gordijn Bert, Loi Michele

 

Imaginons alors une ceinture de sécurité (Data Security Belt) entourant chacune des phases. Différentes interventions existent déjà et on peut les visualiser de cette façon :

Protection des données

Il serait intéressant d’examiner, en quoi consiste ces différentes initiatives et quelles sont leurs limites. Ce qu’il faut comprendre, en premier lieu, c’est l’aspect détaché des interventions. Le caractère enveloppant de la ceinture de sécurité est un peu illusoire parce qu’il y a certaines phases qui restent imprévisibles. On le voit dans le cas du transfert des données et de l’écoute électronique. 

C’est dû au caractère dynamique de l’intelligence artificielle dans son interaction avec les données et en particulier par sa capacité d’effectuer des catégorisations à la suite de généralisations.

 

INDICATEURS POUR MESURER L’ÉTHIQUE DE L’IA

Différentes initiatives sont utilisées pour la protection des données, mais elles semblent isolées. Elles ont été conçues pour résoudre des problèmes spécifiques dans un domaine spécifique. Cette ceinture gagnerait en objectivité par un meilleur processus de nettoyage qui se déroulerait tout au long du cycle de vie des données. Le schéma suivant donne un exemple d’analyse de différentes valeurs éthiques présentes tout au long du cycle de vie des données, dans un projet en intelligence artificielle :

Ces différents indicateurs correspondent à des phases du cycle de vie des projets en IA. Pour les Données, on peut mesurer: le cycle de vie des données, la provenance des données et la qualité des données. Pour la Sécurité, les indicateurs seraient : le flux des données, l’environnement IA et la Blockchain¹ (chaîne de blocs). Pour le Temps : le traçage et la mesure des transformations. Pour la Transparence, nous aurions : le coût des données, la valeur des données et la valeur IA. Pour les Biais : la surveillance continue des biais et des principes évolutifs en matière d’éthique de l’IA. Pour l’Évaluation : la collecte continue de données, l’examen périodique du système et des audits continus. Enfin, pour la Responsabilité IA : la clarté des engagements, la participation des individus et l’analyse du processus décisionnel en IA.

 

¹: Blockchain: Une (ou un) blockchain, ou chaîne de blocs est une technologie de stockage et de transmission d’informations sans organe de contrôle. Techniquement, il s’agit d’une base de données distribuée dont les informations envoyées par les utilisateurs et les liens internes à la base sont vérifiés et groupés à intervalles de temps réguliers en blocs, formant ainsi une chaîne. L’ensemble est sécurisé par cryptographie.

BIBLIOGRAPHIE

Markus­Christen, Bert­Gordijn, Michele­Loi, The International Library of Ethics, Law and Technology 21, The Ethics of Cybersecurity, ISSN 1875-0044 ISSN 1875-0036 (electronic)

World Economic Forum, AI Governance: A Holistic Approach to Implement Ethics into AI, janv. 2019

Protection des renseignements personnels | Commission d’accès à l’information du Québec (gouv.qc.ca)

Protection des renseignements personnels, CAI_DP_20ans_affiche.pdf (gouv.qc.ca)

Siddharth Venkataramakrishnan, Why business cannot afford to ignore tech ethics, The Financial Times Limited. 6 dec. 2020