Docteur en droit international, professeur à l’école de management de Grenoble et auteur de la chronique Juri-Geek sur le site The Conversation, Nathalie Devillier décortique les pratiques numériques pour alerter sur la protection des données personnelles et l’absence de transparence des algorithmes, souvent utilisés pour favoriser les intérêts commerciaux au détriment de ceux des consommateurs.
Lelanceur.fr : Dans une chronique publiée sur le site The Conversation – à lire ci-dessous-, vous rappelez que quatre lanceurs d’alerte, employés d’Uber, ont permis de révéler “Greyball”, un programme mis en place par l’entreprise pour berner les autorités américaines dans les villes où l’application n’avait pas obtenu l’autorisation d’opérer. Que démontre cette manipulation des nouvelles technologies par une entreprise privée ?
Nathalie Devillier : Cette affaire témoigne de la grande opacité qui règne autour des algorithmes. Le degré d’information entre les entreprises qui conçoivent et utilisent les algorithmes et les consommateurs qui les subissent est clairement asymétrique. Du point de vue de l’entreprise, l’opacité est considérée comme une condition de l’efficacité et de la fiabilité de l’algorithme. C’est leur recette magique et leur business model donc cela doit automatiquement rester opaque. Mais nous sommes forcés de constater que les demandes systématiques des applications à avoir accès aux données à travers le système informatique des téléphones paraissent complètement disproportionnées. Lorsqu’une application demande l’accès au répertoire de contacts ou à l’agenda dans le but d’opérer une récolte de données, nous comprenons alors que cette asymétrie dans l’information pèse en faveur des intérêts commerciaux et non dans l’intérêt des consommateurs et des citoyens. On peut imaginer, par exemple, que les données récoltées par les différents traceurs que nous avons sur nos téléphones, tablettes et ordinateurs servent, à travers un algorithme, à calculer le tarif que l’on va nous proposer pour réserver des hôtels ou des billets d’avion. Au final, cela révèle que l’enjeu économique prime sur l’enjeu démocratique, mais aussi que dans l’algorithme, il n’y a pas vraiment d’éthique.
Une recherche est maintenant lancée sur l’éthique des algorithmes et les motivations de ceux qui les préparent
Vous faites un parallèle entre le programme “Greyball” d’Uber, l’optimisation des émissions polluantes découverte lors du scandale Volkswagen et l’annonce de Facebook pour traquer les faux comptes faisant circuler des fake news. La société civile a-t-elle d’autres possibilités que celle de compter sur des lanceurs d’alerte pour être mise au courant de ce type de manœuvre ?
La société civile peut naturellement compter sur les lanceurs d’alerte, même s’il faut mettre un bémol en rappelant qu’ils sont moins bien recrutés ensuite et que cela ne peut donc être qu’une partie de la réponse. Aussi, de nombreux instituts de recherche, associations ou ONG travaillent sur les algorithmes et ont pour mission de les analyser et de vulgariser les informations, c’est le cas par exemple de l’INRIA. Une recherche est maintenant lancée sur l’éthique des algorithmes et les motivations des personnes qui les préparent. Je vais aussi ajouter la Direction générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) qui sait pertinemment pourquoi certains algorithmes sont utilisés. Dans la lignée de la loi Lemaire en France, le projet “Transalgo” a également été crée pour percer à jour les algorithmes. La société civile peut aussi avoir recours à des mécanismes grand public comme des conférences sur le sujet ou la lecture de médias plus ou moins développés qui traitent de la thématique.
Vous évoquez également dans cette chronique “des développeurs omnipotents, sans foi ni loi”. Les entreprises estiment-elles jouir d’une certaine impunité face à la justice ? Une entreprise a-t-elle déjà été condamnée pour une utilisation frauduleuse des algorithmes ?
Suite aux révélations du programme “Greyball” aux États-Unis, la justice va enquêter pour établir des preuves et l’entreprise Uber va être poursuivie. C’est aussi pour cela que le statut de lanceur d’alerte a été créé et généralisé : pour établir la véracité, récolter des preuves et archiver des informations susceptibles d’être utiles dans le cadre d’une procédure judiciaire. En France, ce n’est pas encore arrivé, notamment car l’encadrement de ces pratiques est naissant.
Y a-t-il déjà des lois en France pour encadrer l’utilisation des algorithmes par les entreprises ?
Dans la loi Lemaire, une seule disposition imposait une communication au citoyen, à condition qu’il en fasse la demande auprès de l’administration. Le décret d’application, publié le 14 mars, a placé plusieurs articles dans le code de relation entre le public et l’administration et prévoit l’obligation pour l’administration de signaler au citoyen les règles et les caractéristiques de mise en œuvre des traitements algorithmiques qui servent de base à une décision individuelle. Les documents pour lesquels est prise cette décision – les impôts, les allocations familiales, l’affectation scolaire ou la plate forme d’admission post-bac pour faire ses vœux d’études supérieures…- vont être des cas d’application car nous devrions voir apparaître la mention que l’administré a un droit d’obtenir des éclairages et cela renverra forcément à la finalité poursuivie par les algorithmes. C’est très intéressant car si le citoyen n’a pas un intérêt particulier à se voir communiquer des lignes de code qu’il ne comprendrait pas forcément, il pourra en revanche savoir ce qui importe le plus : à savoir la finalité exprimée par le code. Nous verrons dans l’application comment le citoyen peut obtenir communication de ces règles et s’il peut aller jusqu’à la Commission d’accès aux documents administratifs (CADA). Cette commission va aussi jouer ce rôle et avoir une mission très importante dans ce domaine. Si pour l’instant il n’y a pas de décision de justice en France, le dispositif est là. On peut certainement imaginer qu’une fois que le citoyen aura vu cette mention, exerce son droit et n’est pas satisfait, il va lancer une procédure judiciaire.
Le numérique est le dernier domaine de la souveraineté des États
Uber ou Facebook sont toutes deux des entreprises américaines. Comment la France pourrait-elle encadrer l’utilisation des algorithmes sur son territoire, sachant que le propre d’internet est aussi de ne pas avoir de territoire délimité ?
Nous pourrions concevoir un dispositif à l’image du règlement général sur la protection des données à caractère personnel. On nous dit souvent que c’est une application extra-territoriale et que toutes les entreprises, y compris non européennes, doivent s’y conformer. Le critère de déclenchement du règlement, sur le plan matériel, n’est pas le lieu d’établissement, mais le fait que le responsable de traitement va offrir des biens ou des services à titre onéreux ou gratuits à des résidents de l’Union européenne. Nous pourrions donc utiliser le même type de démarche pour les algorithmes : dire que c’est à partir du moment où un organisme offre des biens ou services à titre onéreux ou gratuit à des citoyens français et mettre en place le dispositif pour créer un critère matériel qui ne soit pas rattaché à un territoire.
Votre chronique sur le site The Conversation est intitulée juri-geek. Selon vous, le droit a-t-il du mal à s’adapter aux pratiques liées à internet et aux pratiques du numérique ?
Le numérique est le dernier domaine de la souveraineté des États, ce qui fait qu’effectivement, le droit a du mal à s’y adapter. D’un autre côté, nous sommes obligés d’y passer. Je travaille sur une spécialisation manager digital et droit et de nombreux éléments relèvent du droit privé et du droit des entreprises. Par ailleurs, les règles qui s’intéressent aux droits des citoyens, aux droits de l’homme ou à la liberté d’expression sont nombreuses et on voit vraiment que tous les différents aspects du numérique sont saisis par le législateur. Certes, c’est toujours avec un temps de retard, mais c’est plutôt un signal positif.
Suite à la cyberattaque massive du 12 mai, vous avez publié sur le site The Conversation une nouvelle chronique pour expliquer la différence entre un lanceur d’alerte, un “leaker”, et un hacker. Pourquoi ces trois profils sont-ils si souvent amalgamés ?
L’accès à l’information n’est pas assez clair et très divers sur ces sujets. Mais avec la loi Sapin II, la notion de lanceur d’alerte va déjà devenir plus simple, notamment une fois que le dispositif sera en place dans les entreprises au 1er janvier 2018. Cela va devenir concret pour les personnes, car tous les salariés vont être informés : ce qu’est un lanceur d’alerte devrait être plus clair pour eux. En dehors de cela, lorsque l’on n’est pas du domaine des SI (systèmes d’information) et que l’on ne s’intéresse pas au numérique, il est difficile de savoir ce qu’est qu’un hacker et les différents profils qu’il peut avoir – malveillant, bienveillant ou hacktiviste. Le fuiteur d’informations (leaker en anglais), c’est encore pire. Notamment car c’est une petite nuance à apporter entre le hacker et le lanceur d’alerte. Il faut pourtant toucher et informer les masses sur cela car il s’agit d’un enjeu démocratique. Je pense sincèrement que les associations et les ONG devraient faire plus de sensibilisation sur ces thématiques. Dans le cadre scolaire, on pourrait aussi imaginer une sorte “d’instruction citoyenne numérique” pour expliquer comment utiliser la recherche internet pour faire un exposé, citer ses sources en ligne, vérifier les informations ou protéger sa vie privée.
Ci-dessous, Le Lanceur publie l’article de Nathalie Devillier, paru sur le site The Conversation.
La manipulation secrète des utilisateurs d’Uber dévoilée par des lanceurs d’alerte
Quel point commun discernez-vous entre Volkswagen, Facebook et Uber ? Ces entreprises utilisent le code informatique pour violer la loi, donc nuire aux usagers, et ce en toute impunité jusqu’à ce qu’un lanceur d’alerte ou une autorité porte l’information publique.
Tromperie, censure et discrimination : quelle éthique pour les réseaux sociaux et les applications mobiles ?
Quelle est la différence entre optimiser les émissions polluantes de véhicules automobiles lors des cycles d’homologation et appliquer un algorithme pour sélectionner des contenus sur un réseau social ou une application mobile ? Aucune : dans les deux cas, la donnée est choisie, triée, écrémée… Pourquoi ? Éviter des poursuites judiciaires, afficher des résultats flatteurs aux clients pour les maintenir captifs des produits et services, avec une conséquence immorale : tromper les autorités, les utilisateurs et les différencier pour mieux les discriminer.
Uber a reconnu avoir trompé ses utilisateurs depuis 2014 grâce à un programme appelé “Greyball” présentant une fausse carte et des voitures fantômes à ceux que la société identifiait comme étant ses “opposants”. La société leur affiche aussi une “autre version” de la réalité afin que ses employés testent des fonctionnalités ou encore dissuadent ces utilisateurs méprisables qui osent utiliser l’application en violation des conditions générales, le tout avec l’aval de son service juridique.
Les informations et documents ont été révélés par quatre lanceurs d’alerte, employés d’Uber. La société avait créé un périmètre géographique virtuel autour des bâtiments officiels de Portland et traqué l’activité de son application pour garder à l’œil les utilisateurs. Elle avait étiqueté comme opposant Mr. England, représentant de la ville de Portland, où l’application n’avait pas été approuvée : elle lui a présenté une fausse version de l’application pour éviter d’être poursuivie. Comment avait-elle identifié Mr. England ? Très simple : 60 employés d’Uber analysent en permanence les mouvements bancaires sur le secteur et croisent les données avec celles publiées sur les réseaux sociaux et Internet (d’où l’expression “testent des fonctionnalités”). Les employés s’étaient aussi rendus dans les boutiques de téléphones mobiles dans ce même périmètre pour repérer les modèles les moins chers et leurs numéros de série : rappelez-vous que l’identifiant de l’interface de navigation est collectée automatiquement par l’application… ! Ainsi, la société montrait à tous ses opposants une fausse version de l’application, avec des véhicules fantômes, ou pas de véhicule du tout !
Mais il ne s’agit pas d’une simple procédure validée par les juristes d’Uber… Il s’agit de sauvegarder les profits de la société. Les autorités nationales quant à elles, tentent de protéger les usagers en s’assurant que les chauffeurs respectent la réglementation locale à des fins de sécurité.
Des développeurs omnipotents, sans foi ni loi
Le numérique est clairement utilisé pour avoir des conséquences dans le monde physique : orienter vos comportements, vos décisions, vos achats, échapper aux contrôles des autorités et à des poursuites judiciaires… Protection du modèle économique de la société versus obstruction à la justice et tromperie des utilisateurs : l’analyse des risques est vite faite. Dans le SWOT de la société Uber, l’équilibre entre les opportunités et les menaces est reflété par un algorithme toxique pour la sécurité de ses clients.
L’annonce que Facebook traque les faux comptes faisant circuler des fake news, comme les faux messages viraux sur les réseaux sociaux (click bait) sonnent aussi faux quand on sait que son algorithme n’a rien de neutre ! Les blocs apparaissant sur le mur de votre page correspondent à une sélection générée par vos mentions “j’aime” et vos propres posts, recoupés avec vos données sur Instagram et Whatshapp, plus toutes celles librement disponibles sur le net. D’ailleurs, en mars 2016 Instagram a annoncé qu’elle sélectionnera ses contenus qui ne seront plus présentés de manière chronologique mais selon un algorithme qui affichera aux utilisateurs ce qui est le plus susceptible de les intéresser.
Un algorithme pour contourner la loi est-il légal ?
Nous savons nos données malléables, les équipes d’analyse maligne des données comportementales à des fins de marketing ciblé s’en donnent à cœur joie sur les plateformes de données consommateurs. Mais avec l’affaire Uber, un pas a été franchi : ces mégadonnées générées par les applications, les objets connectés et la navigation Internet sont autant de leviers de discriminations entre les mains des entreprises qui choisissent leurs clients et donc en excluent une partie de façon indécelable.
Quelles applications et sites web sont dignes de confiance ? Comment être sûr de ne pas se faire berner ? De ne pas cliquer sur le piège ? Laisser les limites de l’envahissement technologique aux mains de sociétés privées ne semble pas être l’idée du siècle. Avec l’apparition de nouveaux modèles économiques, la frontière de la légalité a été mise à mal une première fois, amenant les autorités nationales ou locales à “négocier” le respect de la loi avec ces entreprises dites innovantes. Aujourd’hui, c’est l’utilisation du code informatique par ces mêmes entreprises qui est questionnée. Il nous faut davantage légiférer sur les algorithmes, opérer des contrôles et donc attribuer les moyens techniques et humains à la hauteur des prétentions des ennemis de l’éthique pour assurer la protection de chacun.