Personnes ne devraient pas avoir à se battre pour leurs droits à la confidentialité des données et être responsables de toutes les conséquences de leurs actions numériques. Prenons une analogie: les gens ont droit à l’eau potable, mais ils ne sont pas incités à exercer ce droit en vérifiant la qualité de l’eau avec une pipette chaque fois qu’ils prennent un verre au robinet. Au lieu de cela, les organismes de réglementation agissent au nom de tous pour garantir que toute notre eau est salubre. La même chose doit être faite pour la confidentialité numérique: ce n’est pas quelque chose que l’utilisateur moyen est, ou devrait être censé être personnellement compétent à protéger.
Il existe deux approches parallèles qui devraient être suivies pour protéger le public.
L’une est une meilleure utilisation des actions collectives ou collectives, également appelées actions de recours collectif. Historiquement, ceux-ci ont été limités en Europe, mais en novembre 2020, le Parlement européen passé une mesure cela oblige les 27 États membres de l’UE à mettre en œuvre des mesures permettant des actions de recours collectif dans toute la région. Par rapport aux États-Unis, l’UE a des lois plus strictes protégeant les données des consommateurs et promouvant la concurrence, de sorte que les actions de classe ou de groupe en Europe peuvent être un outil puissant pour les avocats et les militants pour forcer les grandes entreprises technologiques à changer leur comportement même dans les cas où la les dommages corporels seraient très faibles.
Les recours collectifs ont le plus souvent été utilisés aux États-Unis pour demander des dommages-intérêts, mais ils peuvent également être utilisés pour forcer des changements de politique et de pratique. Ils peuvent travailler main dans la main avec des campagnes pour changer l’opinion publique, en particulier dans les cas de consommation (par exemple, en obligeant Big Tobacco à admettre le lien entre le tabagisme et le cancer, ou en ouvrant la voie à des lois sur les ceintures de sécurité des voitures). Ce sont des outils puissants lorsqu’il y a des milliers, sinon des millions, de dommages individuels similaires, qui s’additionnent pour aider à prouver la causalité. Une partie du problème est d’obtenir les bonnes informations pour intenter une action en justice. Les efforts du gouvernement, comme un procès intenté contre Facebook en décembre par le Federal Trade Commission (FTC) et un groupe de 46 États, sont cruciales. Comme le dit le journaliste technique Gilad Edelman, «Selon les poursuites, l’érosion de la vie privée des utilisateurs au fil du temps est une forme de préjudice pour les consommateurs – un réseau social qui protège moins les données des utilisateurs est un produit de qualité inférieure – qui fait passer Facebook d’un simple monopole à illégale. » Aux États-Unis, comme le New York Times récemment signalé, les poursuites privées, y compris les recours collectifs, «s’appuient souvent sur des preuves découvertes par les enquêtes gouvernementales». Dans l’UE, cependant, c’est l’inverse: des poursuites privées peuvent ouvrir la possibilité d’une action réglementaire, ce qui est limité par l’écart entre les législations européennes et les régulateurs nationaux.
Ce qui nous amène à la seconde approche: une loi française de 2016 méconnue appelée Digital Republic Bill. le Projet de loi de la République numérique est l’une des rares lois modernes axées sur la prise de décision automatisée. La loi ne s’applique actuellement qu’aux décisions administratives prises par les systèmes algorithmiques du secteur public. Mais il donne un aperçu de ce à quoi pourraient ressembler les lois futures. Il dit que le code source derrière ces systèmes doit être mis à la disposition du public. Tout le monde peut demander ce code.
Surtout, la loi permet aux organisations de défense des droits de demander des informations sur le fonctionnement d’un algorithme et le code source qui le sous-tend, même si elles ne représentent pas une personne ou un demandeur en particulier qui aurait subi un préjudice. La nécessité de trouver un «plaignant parfait» qui peut prouver un préjudice pour intenter une action rend très difficile la résolution des problèmes systémiques qui causent des dommages collectifs aux données. Laure Lucchesi, directrice d’Etalab, un bureau du gouvernement français chargé de superviser le projet de loi, affirme que l’accent mis par la loi sur la responsabilité algorithmique était en avance sur son temps. D’autres lois, comme le règlement général européen sur la protection des données (RGPD), se concentrent trop sur le consentement individuel et la vie privée. Mais tant les données que les algorithmes doivent être réglementés.
La nécessité de trouver un «plaignant parfait» qui puisse prouver le préjudice afin de déposer une plainte rend très difficile la résolution des problèmes systémiques qui causent des dommages collectifs aux données.
Pomme promesses dans une publicité: «À l’heure actuelle, il y a plus d’informations privées sur votre téléphone que chez vous. Vos positions, vos messages, votre fréquence cardiaque après une course. Ce sont des choses privées. Et ils devraient vous appartenir. Apple renforce cette erreur de l’individualiste: en omettant de mentionner que votre téléphone stocke plus que vos données personnelles, la société obscurcit le fait que les données vraiment précieuses proviennent de vos interactions avec vos fournisseurs de services et autres. L’idée que votre téléphone est l’équivalent numérique de votre classeur est une illusion pratique. Les entreprises se soucient peu de vos données personnelles; c’est pourquoi ils peuvent faire semblant de l’enfermer dans une boîte. La valeur réside dans les inférences tirées de vos interactions, qui sont également stockées sur votre téléphone, mais ces données ne vous appartiennent pas.
L’acquisition de Fitbit par Google est un autre exemple. Google promet de « ne pas utiliser les données Fitbit à des fins publicitaires », mais les prévisions lucratives dont Google a besoin ne dépendent pas de données individuelles. Comme le soutiennent un groupe d’économistes européensd dans un article récent publié par le Center for Economic Policy Research, un groupe de réflexion de Londres, «il suffit à Google de corréler les résultats de santé agrégés avec des résultats non liés à la santé, même pour un sous-ensemble d’utilisateurs de Fitbit qui ne se sont pas retirés. une certaine utilisation de leurs données, pour ensuite prédire les résultats de santé (et donc les possibilités de ciblage publicitaire) pour tous les utilisateurs non Fitbit (des milliards d’entre eux). » L’accord Google-Fitbit est essentiellement un accord de données de groupe. Il positionne Google sur un marché clé pour les données de santé tout en lui permettant de trianguler différents ensembles de données et de gagner de l’argent grâce aux inférences utilisées par les marchés de la santé et de l’assurance.
Ce que les décideurs doivent faire
Des projets de loi ont cherché à combler cette lacune aux États-Unis. En 2019, les sénateurs Cory Booker et Ron Wyden ont présenté un Loi sur la responsabilité algorithmique, qui a par la suite calé au Congrès. La loi aurait obligé les entreprises à entreprendre des analyses d’impact algorithmiques dans certaines situations pour vérifier les biais ou la discrimination. Mais aux États-Unis, cette question cruciale est plus susceptible d’être abordée en premier lieu dans les lois s’appliquant à des secteurs spécifiques tels que les soins de santé, où le danger de biais algorithmique a été amplifié par les impacts disparates de la pandémie sur les groupes de population américains.
Fin janvier, le Loi sur la protection des renseignements personnels en cas d’urgence en santé publique a été réintroduit au Sénat et à la Chambre des représentants par les sénateurs Mark Warner et Richard Blumenthal. Cette loi garantirait que les données collectées à des fins de santé publique ne sont pas utilisées à d’autres fins. Elle interdirait l’utilisation des données sur la santé à des fins discriminatoires, indépendantes ou intrusives, y compris la publicité commerciale, le commerce électronique ou les efforts visant à contrôler l’accès à l’emploi, aux finances, aux assurances, au logement ou à l’éducation. Ce serait un bon début. Pour aller plus loin, une loi qui s’applique à toute prise de décision algorithmique devrait, inspirée de l’exemple français, se concentrer sur une responsabilité stricte, une surveillance réglementaire forte de la prise de décision basée sur les données, et la capacité d’auditer et d’inspecter les décisions algorithmiques et leur impact sur la société.
Trois éléments sont nécessaires pour garantir une reddition de comptes rigoureuse: (1) une transparence claire sur le lieu et le moment où les décisions automatisées ont lieu et la manière dont elles affectent les personnes et les groupes, (2) le droit du public d’offrir une contribution significative et de demander aux autorités de justifier leurs décisions. et (3) la capacité d’appliquer des sanctions. De manière cruciale, les décideurs devront décider, comme cela a été récemment suggéré dans l’UE, de ce qui constitue un algorithme «à haut risque» qui devrait répondre à un niveau de contrôle plus élevé.
Transparence claire
L’accent devrait être mis sur l’examen public de la prise de décision automatisée et les types de transparence qui mènent à la responsabilité. Cela comprend la révélation de l’existence d’algorithmes, de leur objectif et des données de formation qui les sous-tendent, ainsi que de leurs impacts – s’ils ont conduit à des résultats disparates et sur quels groupes le cas échéant.
Participation du public
Le public a le droit fondamental de demander aux personnes au pouvoir de justifier leurs décisions. Ce «droit d’exiger des réponses» ne devrait pas se limiter à une participation consultative, où les gens sont invités à donner leur avis et les fonctionnaires passent à autre chose. Il devrait inclure une participation habilitée, lorsque la contribution du public est requise avant le déploiement d’algorithmes à haut risque dans les secteurs public et privé.
Les sanctions
Enfin, le pouvoir de sanctionner est essentiel pour que ces réformes réussissent et que la responsabilité soit assurée. Il devrait être obligatoire d’établir des exigences d’audit pour le ciblage, la vérification et la conservation des données, de doter les auditeurs de ces connaissances de base et de donner aux organes de contrôle le pouvoir d’appliquer des sanctions, non seulement pour remédier aux dommages après coup, mais aussi pour les prévenir.
La question des préjudices collectifs liés aux données concerne tout le monde. Une loi sur la protection des renseignements personnels sur les urgences de santé publique est une première étape. Le Congrès devrait ensuite utiliser les leçons tirées de la mise en œuvre de cette loi pour élaborer des lois qui se concentrent spécifiquement sur les droits collectifs relatifs aux données. Ce n’est qu’à travers une telle action que les États-Unis pourront éviter les situations où les inférences tirées des données recueillies par les entreprises hantent la capacité des gens à accéder au logement, à l’emploi, au crédit et à d’autres opportunités pour les années à venir.