« S’agissant de notre profil numérique, les données que nous choisissons de partager ne sont que la pointe de l’iceberg. Nous ne voyons pas le reste, cachés sous la surface des interfaces conviviales des applications mobiles et des services en ligne. Les données les plus précieuses sur nous sont inférées hors de notre contrôle et sans notre consentement. Or, ce sont ces couches plus profondes et que nous ne pouvons pas contrôler qui prennent réellement les décisions qui nous affectent, pas nous », explique Katarzyna Szymielewicz (@szymielewicz), cofondatrice et présidente de la Fondation Panoptykon, une association polonaise de défense des libertés individuelles et des droits de l’homme dans la société de surveillance (qu’on pourrait considérer comme l’équivalent de la Quadrature du Net en France) – dans une tribune pour Quartz.

Dans un graphique particulièrement parlant (à consulter en haute définition), la Fondation Panoptykon détaille les 3 couches d’information qui composent nos identités en ligne.

La première couche d’information – ce que nous partageons – est la seule sur laquelle nous avons le contrôle. Elle se compose des données que nous insérons dans les médias sociaux ou les applications (informations de profil, publications, requêtes, photos, événements, déplacements…).

La seconde couche – ce que nos comportements disent aux machines – est constituée d’observations comportementales et de métadonnées qui donnent un contexte à ces choix : position en temps réel, graphe de nos relations intimes et professionnelles, le temps que nous passons, les habitudes d’achat, les mouvements de nos souris ou de nos doigts…

La troisième couche – ce que les machine pensent de nous – est composée des interprétations de la première et de la seconde couche. Nos données sont analysées et comparées en permanence à d’autres profils pour inférer des corrélations statistiques significatives… Ce qu’on appelle souvent la personnalisation, mais qui vise plus à nous catégoriser qu’à nous distinguer.

Le problème est que si l’utilisateur contrôle la première couche, ce n’est pas le cas des deux autres. Or ces inférences permettent de déterminer beaucoup de nos comportements : profil psychométrique, QI, situation familiale, maladies, obsessions, engagements… Or, nombre de décisions contraignantes sont prises depuis ces interprétations et corrélations. Le problème est que le « double » numérique que le traitement de ces données produit ne nous est pas accessible… et que si nous y avions accès, nous pourrions ne pas nous y reconnaître. « Que diriez-vous si vous découvriez que votre « double de données » est malade ou émotionnellement instable, sans possibilité de crédit, ou plus simplement pas assez cool, et tout cela à cause de la façon dont vous faites vos requêtes en ligne ou de vos relations en ligne ? »

Les algorithmes prennent des décisions basées sur des corrélations statistiques. Et il est possible – même fréquent – qu’un algorithme interprète mal votre comportement… Le problème, souligne Katarzyna Szymielewicz est que si le résultat de cette analyse est discriminatoire ou injuste – « par exemple que votre demande de crédit est refusée parce que vous vivez dans le « mauvais » quartier, ou que votre demande d’emploi ne parvient pas à aboutir parce que votre réseau de relation n’est pas « suffisamment robuste » » – il n’y a aucune incitation du marché à le corriger. Pour la présidente de Panoptykon, nous ne sommes pas si loin du Score de crédit social chinois ! Nous devons reprendre le contrôle du traitement dont nous sommes l’objet.

Pour cela, il nous faut d’abord mieux contrôler la première couche de notre profil. Nous pouvons chiffrer nos communications, désactiver les métadonnées de nos images, veiller à ce que nos téléphones n’aient pas accès par défaut à nos emplacements, réfléchir à ce que nous partageons… Mais même en faisant ces efforts, nous ne pouvons pas contrôler ce qui est observé et interprété par les algorithmes dans les deuxièmes et troisièmes couches de nos profils. Pour Katarzyna Szymielewicz, il nous faut agir collectivement pour convaincre ceux qui font du profilage de modifier leur approche, de nous montrer leurs calculs, de nous demander notre consentement et de le respecter. Le RGPD accorde aux utilisateurs le droit de vérifier leurs données, y compris les profils marketing générés par-devers eux. « Tant que nous traitons les courtiers en données et les spécialistes du marketing comme des ennemis et qu’ils nous traitent comme une ressource exploitation, il n’y aura pas de place pour une conversation constructive ».

Rappelons que cette distinction des identités avait été déjà largement documentée, notamment par les travaux pionniers, dès 2009, de Fanny Georges dans la revue Réseaux, qui distinguait identité déclarative, agissante et calculée. « L’ « identité déclarative » se compose de données saisies par l’utilisateur (exemple : nom, date de naissance, photographie). L’ « identité agissante » se constitue du relevé explicite des activités de l’utilisateur par le Système (exemple : « x et y sont maintenant amis ») ; l’ « identité calculée » se manifeste par des variables quantifiées produites d’un calcul du Système (exemple : nombre d’amis, nombre de groupes). »

Hubert Guillaud