L’altruisme des données peut-il sauver le monde?

Chronique rédigée par Gloria GONZÁLEZ FUSTER (VUB), publiée en primeur sur le site du Soir
Les données personnelles sont aujourd’hui un des biens les plus convoités. Les entreprises en raffolent, les autorités publiques ne cessent d’en demander. La lutte contre la pandémie du Covid-19 a depuis le début impulsé une accélération des traitements de données, y a inclus des données extrêmement sensibles, mais aussi des informations que n’avions pas l’habitude de collecter dans nos sociétés démocratiques: qui est infecté, quels ont été les «contacts», qui correspond aux critères de priorité pour la vaccination, quelles ont été les destinations de vacances… Il nous faut des données, en masse. Une fois obtenues on veillera à les combiner, si cela s’avère utile, et à les faire parvenir à qui en aurait besoin pour tel ou tel objectif, tout en veillant à en conserver autant que possible pour la science, qui en est aussi friande.
Au nom de l’IA, faites circuler
L’accès aux données est au cœur du développement de l’Intelligence artificielle (IA), dont la promotion, pour l’Union européenne, est devenue depuis 2020 un but en soi (1). La Commission européenne a d’ailleurs, depuis l’année passée, établi un lien direct entre l’ambition de faire de l’Europe un acteur mondial de l’IA, d'une part, et sa stratégie pour les données (2), d'autre part. Cette stratégie s’inscrit dans une longue histoire d’initiatives en faveur de la disponibilité des données, dont les origines datent des années 1970.
Il n’est pas toujours facile de faire circuler les données. Des initiatives ont par le passé instauré le principe de libre circulation entre États membres: celle des données personnelles est l’objet prioritaire du droit à la protection des données dont le Règlement Général de Protection des Données (RGPD) constitue le fer de lance(3); un autre Règlement, moins connu, a établi celle des données non personnelles (4). L’accès aux données aux mains des autorités publiques a été fluidifié avec des instruments culminant en la ‘Directive Open Data’(5). Des propositions législatives se succèdent actuellement pour essayer d’arracher quelques données aux grandes plateformes de l’internet (6).
Gouverner par l’altruisme
Une des dernières idées en date de la Commission européenne est celle d’accroitre la disponibilité des données en allant piocher à la source même de ces informations, c’est-à-dire chez les citoyens eux-mêmes. C’est ici que la notion d’ «altruisme des données» entre en jeu. Le raisonnement est, grosso modo, le suivant: l’accès aux données pouvant être une bonne chose pour la société en général, il convient donc de demander aux individus d’en partager plus. En échange, et pour le rassurer, on leur promettra que ces données ne seront traitées que pour le «bien commun» (7). Ou bien pour le «bien public»–le terme exact dépend du texte (8) En tout cas, il faut partager plus, parce que… ce sera bien. Pour tous. C’est le message.
L’idée prend appui sur des expériences plutôt inspirées par la notion de «donation», dans des démarches citoyennes semblables à celles de faire don, par exemple, de son corps à la science. Le concept même de «donation», néanmoins, se heurte frontalement au principe de base de la protection des données personnelles, selon lequel on ne peut pas demander aux individus de tirer un trait sur les droits dont ils disposent sur les données qui se rapportent à eux, car ces droits ont une dimension de droit fondamental.
Le terme «donation» fut donc remplacé par la Commission par «altruisme». Mais les entorses du plan au RGPD persistent. Elles inquiètent d’ailleurs fortement le Superviseur Européen de Protection de Données et le Comité Européen de Protection de Données, qui ont co-signé au mois de mars un avis hautement critique à propos de la proposition de la Commission (9). Les autorités européennes de protection y dénoncent, au-delà d’une longue série d’incohérences et défauts techniques, un problème de fonds: la réduction systématique de l’importance de la protection des données au nom de la disponibilité de celles-ci.
Partager c’est bien, mais refuser de partager c’est parfois bien aussi
Le choix du terme «altruisme» est d’ailleurs tout aussi problématique, sinon plus, en tant que tel. Le terme sous-entend, en effet, que le fait de ne pas acquiescer à cette démarche relèverait du ressort de «l’égoïsme». Les accusations d’égoïsme à l’encontre de ceux qui résistent face à certaines collectes de données ont à vrai dire actuellement le vent en poupe. Même des chercheurs se prêtent ces derniers temps à ce genre de blâme, par exemple en reprenant «l’égoïsme» en tant que variable explicative concernant le refus d’une partie de la population de Belgique d’utiliser l’application Coronalert (10).
Cette terminologie moralisatrice est à éviter, pour plusieurs raisons. Elle présuppose, d’abord, que nous sommes tous égaux face aux choix concernant nos données. Nous savons cependant que nous ne sommes pas tous égaux face au traitement de données personnelles, et que nous ne sommes pas non plus tous égaux face à l’exercice de nos droits sur ces données. Concernant ce dernier point, les enquêtes montrent des disparités importantes par rapport au niveau de connaissance du droit applicable. Selon le dernier Eurobaromètre sur ce sujet (11) alors qu’en moyenne, en Belgique, 1 personne sur 4 affirmait avoir entendu parler du RGPD et savoir de quoi il s’agissait, ce n’était le cas que pour 12% de répondants ayant régulièrement des difficultés à payer leurs factures, et seulement pour 2% des hommes et femmes au foyer interrogés. Ces disparités doivent être prises en compte pour évaluer de possibles divergences d’attitude face à une demande de partage de données, et les possibilités de maitrise effective sur ces données une fois partagées.
Concernant les différences en termes d’impact du traitement des données, il convient de garder en mémoire l’alerte lancée par Philip Alston, ancien Rapporteur spécial sur l'extrême pauvreté pour les Nations Unies, qui mettait en garde déjà en 2019 face à l’émergence de «l’État-providence numérique» (12). Cet État-providence, aux allures de projet «altruiste et noble», comme il l’avait décrit, se matérialise néanmoins, avec l’aide d’entreprises farouchement en faveur de la transformation technologique, en un déploiement de technologies qui traitent des données pour automatiser les décisions, prévoir, identifier, surveiller, détecter, viser et éventuellement punir avant tout les plus vulnérables. On pourrait argumenter que personne ne demande de pratiquer «l’altruisme des données» à ceux qui ne peuvent pas se le permettre, et que ceux qui voudraient s’en abstenir pourront toujours le faire. C’est effectivement vrai, mais tout aussi nuisible: il suffit d’imaginer quel type de décisions prendra l’IA du futur sur base de données obtenues grâce à ces mécanismes, et les questions qu’il faudra se poser alors en termes de représentativité et de justice. Les problèmes de discrimination algorithmique sont déjà une réalité, et nous savons qu’ils sont liés—entre autres—à la nature des données présentes dans le système, mais aussi aux données manquantes, c’est-à-dire, celles qui se rapportent à des individus que la collecte de données aura rendu invisibles (13). L’IA, confrontée à des données offrant une vue partielle sur le monde, apprend ainsi par exemple à reconnaître plus facilement certains types de peau, au détriment d’autres, ou bien finit par prendre des décisions plus pertinentes pour les hommes que pour les femmes. Le récent documentaire «Coded bias», de Shalini Kantayya, illustre bien ce phénomène.
Il est donc pour le moins inapproprié de critiquer ceux qui, soit du fait de circonstances personnelles, soit par solidarité avec ceux qui auraient beaucoup plus à perdre que d’autres, jugent préférable de ne pas partager leurs données en échange d’une vague promesse d’usage pour «le bien commun». À vrai dire, il semblerait plus opportun de les féliciter et de les soutenir, car il se pourrait que leur comportement soit l’attitude la plus humainement responsable, et la seule en accord avec un «bien commun public» partagé par tous. (1) Commission européenne, Livre blanc sur l’Intelligence artificielle: Une approche européenne axée sur l'excellence et la confiance, COM(2020) 65 final, Bruxelles, le 19.2.2020. (2) Commission européenne, Communication au Parlement européen, au Conseil, au Comité Économique et Social Européen et au Comité des Régions: Une stratégie européenne pour les données, COM(2020) 66 final, Bruxelles, le 19.2.2020. (3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/4.
(6) Peuvent être cités dans ce sens les propositions de législation sur les services numériques et les marchés numériques.
(7) La notion est développée dans la Proposition de Règlement du Parlement Européen et du Conseil sur la gouvernance européenne des données (Acte sur la gouvernance des données) présentée par la Commission Européenne en novembre 2020 (COM(2020) 767 final).
(8) L’expression «bien public» était utilisée dans la Communication COM(2020) 66 final, «bien commun» est utilisé dans COM(2020) 767 final.
(9) European Data Protection Board (EDPB) and European Data Protection Supervisor (EDPS), Joint opinion on the on the Proposal for a Regulation of the European Parliament and of the Council on European Data governance (Data Governance Act),10 March 2021. (10) Michel Walrave, Eline Baert en Koen Ponnet, Hoe staan we tegenover digitale contact tracing? Een inzicht in de acceptatie en het gebruik van de Coronalert app, Antwerpen, Universiteit Antwerpen, Onderzoeksgroep MIOS en Universiteit Gent, Onderzoeksgroep imec-MICT, p. 17, https://biblio.ugent.be/publication/8696062/file/8696066.pdf (11) Special Eurobarometer 487: Charter of fundamental rights and General Data Protection Regulation (2019), données disponibles ici: https://data.europa.eu/euodp/en/data/dataset/S2222_91_2_487_ENG. Une enquête de l’Agence des droits fondamentaux de l’UE, datant de 2020, montre aussi que le niveau d’ignorance ou connaissance du RGPD varie de manière significative en fonction de l’occupation, de l’éducation, ou des difficultés économiques; les données sont disponibles ici: https://fra.europa.eu/en/data-and-maps/2021/frs. (12) Digital technology, social protection and human rights: Report presented to the General Assembly at its 74th session,https://undocs.org/A/74/493. (13) Pour utiliser la formule de Caroline Criado Perez dans Invisible women: Exposing data bias in a world designed for men (Random House, 2019).