Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

Ingénierie de la vie privée

[Dans la série des Trois mois, et après le billet C’est lundi, c’est privacy]

Partant de la doctrine du « Right to be let alone » de Warren et Brandeis (1890), on considère que l’individu est responsable de la protection de sa vie privée. S’il est à l’origine de la diffusion de données personnelles, il est seul responsable (je cherche un exemple : …euh, les sextapes ?). Il peut faire appel à la loi si un tiers a diffusé des données sans son consentement. Les informaticiens sont complètement dans cette logique quand ils estiment que le problème se situe toujours entre la chaise et le clavier : si les jeunes racontent n’importe quoi sur les réseaux socionumériques, c’est de leur faute et non celle de l’outil. Sauf qu’il y a eu un renversement des représentations à ce niveau, et qu’on a incriminé Facebook, MySpace et consorts d’encourager la publication de pans entiers de la vie privée, tout en déresponsabilisant l’individu pour cause de nombreux biais cognitifs.

Renversement de la doctrine, qui est donc aujourd’hui de responsabiliser l’application, avec des initiatives comme le Privacy by Design, ou ce que Seda Gürses (SPION, KUL –  Université de Louvain) appelle « Responsabilization in Design » selon trois modèles :

  • la confidentialité (on crypte tout et on échange des clés publiques ; voir par exemple ce que Daniel Kaplan nomme assurance  dans La confiance numérique). On parle aussi de modèle data-centric ;
  • le contrôle (l’utilisateur détermine et gère la profondeur de la diffusion de ses données). On parle alors de modèle user-centric ;

Ces deux modèles exigent d’une part une compétence technique (savoir encrypter/décrypter), une structure publique reconnaissant la cryptographie comme une nécessité sociale et équipant/formant les citoyens en conséquence, d’autre part une architecture suffisamment robuste soit pour éviter le vol de clé, soit pour permettre de rendre compte du devenir de ses données (data accountability). Il y a des partisans d’une traçabilité des données personnelles par et au profit du titulaire : on parle alors de self-regulatory. En fait, il s’agit surtout de ne pas laisser à l’État la possibilité d’interférer dans les transactions de données personnelles, l’industrie se chargeant de leur régulation (voir ces trois modes de régulation usagers/marché/État dans l’article de Rochelandet & Rallet, Réseaux  n°167, 2011).

Seda Gürses propose un troisième modèle « pratique », où l’exploitation des données est décidée collectivement, par le titulaire et le récipiendaire selon le contexte de leur interaction.

Cette approche rejoint celle développée par Helen Nissenbaum (New York University), et qui a grandement influencée le cadre défini récemment par la FTC. L’idée du contexte est centrale, la terminologie est identique (elle parle de « recipient », aka récipiendaire, mais sans faire la distinction avec le bénéficiaire1). Il faut lire à son sujet le billet que lui a consacré le journal The Atlantic (sous la plume numérique d’Alexis Madrigal), repris ensuite par celle d’Hubert Guillaud dans InternetActu.

Avant d’aller plus loin, signalons en préambule que H. Nissenbaum regrette que les approches de la FTC ou du Department of Commerce ne comprennent la régulation de la vie privée uniquement dans un cadre commercial, et non social. Il y a ainsi des paiements, tels que le don, qui se font dans un cadre social sans emprunter les normes du marché. Dès lors, comment encadrer les données personnelles qui transitent dans le don ? Si ce don est médiatisé par des acteurs privés (comme ce fut le cas avec PayPettes de PayPal), doit-il être régulé par la FTC ou une institution similaire ? Il est significatif d’ailleurs qu’aux USA, ce soit un organisme pareil qui s’approprie cette problématique, alors qu’en France (et en Europe), c’est la CNIL (et consorts), dont la doctrine est justement de vérifier la finalité des traitements, une approche pourtant pas incompatible avec leur Fair Information Practice Principles.

Je n’avais pas repéré Helen Nissenbaum2 dans mes lectures précédentes, pourtant elle participait à une réunion dont j’avais lu le compte-rendu, opposant le mécanisme du Do-Not-Track (Mozilla) à d’autres initiatives (voir quelques paragraphes plus haut les partisans d’une régulation par l’industrie). Elle signalait notamment : « Anonymization don’t change intrusivness ». Elle n’est pas plus favorable au marché des Personal Data Storage (data-centric) qui semble combler d’aise ses interlocuteurs, ni au principe des privacy labels (pour ce modèle du notice-and-consent, voir un exemple ici, retenu dans les appels à projet du NSTIC).

Ceux-ci ont le défaut de ne pouvoir rendre compte de la complexité et de l’hétérogénéité des contextes du cadre privatif : à vouloir être exhaustif, ils en deviendraient complexes, et donc inexploitables. C’est ce qu’elle appelle le paradoxe de la transparence. Pourtant, il est possible d’avoir une autre lecture de ces étiquettes : Ryan Calo (Standford Law School) estime que non seulement ces labels explicitent les stratégies des bénéficiaires((il serait possible également de faire confiance aux individus, capable d’assimiler et appliquer le code de la route : son équivalent numérique pourrait tout aussi bien être proposé.)), mais d’un point de vue sémiotique, il serait possible de réaliser des « visceral notice », des réflexes incorporés par expériences comme le piéton qui entendant un moteur sait qu’il ne doit pas traverser).

Ce dernier argument n’est pas le plus robuste (en première lecture), mais il permet de diviser les types de régulation autrement que par acteurs (usagers/marché/Etat), S. Spiekermann (Information System, Université de Berlin) oppose les privacy-by-architecture (protocoles, appareils : Do Not Track versus Personal Data Storage versus PKI) et les privacy-by-policy (labels versus CGU)

C’est donc bien dans ce dernier registre que se situe Helen Nissenbaum, confrontée à la problématique de la modélisation des contextes quand le cadre privatif se situe en ligne. Les normes informationnelles ont évolué du fait de la technique (plus d’acteurs, plus de données, plus de flux), et ce sont les possibilités qu’elle offre qui expliquent le traitement opéré actuellement sur l’identité, les données personnelles et la vie privée. Et qui motive le besoin de régulation.

Son hypothèse est de porter les normes sociales qui existent hors-ligne et de les appliquer en ligne : son approche centrée sur le contexte (j’avais parlé à un moment d’un modèle pragma-centric) prévoit de préserver l’intégrité du contexte d’origine.  Elle illustre ainsi le cas de ces gens filmés par la Google Car et qui se plaignent de se retrouver dans Google Street View, à quoi Google leur répond qu’ils n’incriminent pas les passants, qui pourtant ont accès à la même scène. Mais pas la même situation, pas le même contexte, explique la philosophe (j’ai dit qu’elle était philosophe ..?). Si on n’a que faire du regard des autres dans la rue, c’est parce qu’on les regarde également. H. Guillaud et D. Kaplan (en commentaire) parlent de réciprocité : nous devrions alors être en mesure d’en savoir autant sur Google qu’il en sait sur nous3.

A cette réciprocité, la philosophe ajoute la confiance dans le système, et l’illustre avec la banque : le client a confiance dans sa banque, dans ses appareils, dans l’ensemble du dispositif de transaction électronique et saisi sans sourciller son code PIN sur n’importe quel terminal de paiement. Idem, nous avons confiance dans notre médecin, à qui nous confions notre santé et notre intimité, et nous savons que s’il discute de notre cas, c’est par la nécessité d’un double diagnostic ou d’un éclairage auprès de collègues. Il n’y a pas violation du secret professionnel ; il y a la même confiance ajoute-t-elle, dans la déclaration au fisc ou avec son avocat. Mais existe-t-il, à l’entrée des hôpitaux ou des cabinets médicaux, dans chaque guichet de banque ou distributeur automatique un dispositif de type notice-and-consent ? Tout n’est donc pas contractualisé au sein du cadre privatif. Mais d’où vient cette confiance dans des institutions comme la banque ou l’hôpital ? Est-ce justement leur caractère institutionnel ? Leur ancrage dans le social, et dans un temps long ? Le long apprentissage, la sédimentation de nos usages, voire leur incorporation (c’est là qu’on retrouve les « visceral notices » de Calo) ? H. Nissenbaum évoque l’idée que nous ignorons le fonctionnement de nos organes corporels mais nous leur faisons quand même confiance. Dans ce système, comme dans les autres, la confiance nait aussi de la connaissance des finalités, et de l’identification de tous les bénéficiaires (y compris les tierces-parties). Le modèle du notice-and-consent peut être mobilisé ici pour nombre de transactions (en ligne ou non) en mettant en place un consentement du titulaire préalable à une décontextualisation du traitement de ses données.

Mais la confiance est aussi question de réciprocité : comme le remarque H. Nissenbaum, la régulation de la vie privée ne sert pas seulement, pas tellement à protéger l’individu, elle sert surtout à maintenir les institutions. Elle prend l’exemple de l’argument que Benjamin Franklin avait soutenu à propos de l’US Post Mail : en garantissant que le courrier ne serait pas ouvert par les fonctionnaires, on garantit que le système est fiable, et on assure sa pérennité. il devrait en aller de même avec Internet : si les acteurs publics ou privés opérant le système (FAI, législateurs, fournisseurs d’applications ou de contenus) ne respectent pas la vie privée des internautes, ceux-ci pourraient ne plus avoir confiance dans le système.

Cependant, la solution d’H. Nissenbaum n’est pas dépourvue de biais : tout en restant dans une approche informationnelle (voire techno-déterministe), elle tente de résoudre la quadrature du cercle en intégrant le contexte dans l’équation. Mais si l’on considère que ce qu’elle appelle normes informationnelles relatives au contexte équivaut à ce que nous appelons communication (une pragmatique de l’information), on se rend compte :

  • primo que cette approche n’est pas nouvelle (les travaux de Palo Alto datent des années 50) ; 
  • deuxio, que ces postulats sont caduques (la technique n’est pas si déterminante que ça : ce sont les usages en situation et dans la continuité de logiques sociales historiquement ancrées qui déterminent ce qu’on « fait avec » l’identité, les données, la vie privée, y compris en ligne)
  • tertio, qu’en mettant l’accent sur des normes informationnelles, on délaisse les normes communicationnelles de la vie privée, ce que j’ai appelé jusque là le « cadre privatif » (cadre au sens de Goffman). Qu’en mettant l’accent sur la dimension institutionnelle, on délaisse l’ordre interactionnel (Goffman toujours). Qu’en mettant l’accent sur l’hétérogénéité des contextes, on délaisse leur dénominateur commun : le langage.

Il y a dans le langage (verbal ou non verbal) quantité d’implicite : des indices fournis par le locuteur qui permettent à l’allocutaire d’inférer le sens de la conversation en les confrontant au contexte (théorie de la pertinence, de Sperber et Wilson, reprenant les maximes de Grice sur l’économie du langage et l’implicature conversationnelle – ce qu’implique une conversation, la part d’implicite qu’elle contient, également développée par Oswald Ducros).

Des phrases comme « Tu promets, tu racontes à personne ! »? sont typiquement des messages-cadres (au sens de Bateson) signifiant de manière explicite que la conversation se situe dans le cadre privatif. Si ces avertissements ne sont pas légion (sauf dans le quotidien des adolescents), cela ne signifie pas pour autant que toutes les autres conversations (ou interactions sociales) se déroulent systématiquement dans un cadre commun : il est long l’apprentissage du privatif chez l’enfant, en général il se fait avec la pudeur ; idem avec la construction de la confiance à l’égard de certaines institutions. Il y a certes des cadres normés de manière explicite (règlement intérieur des écoles, des entreprises, lois, mais également privacy policy des sites web : toutes ces choses que personne ne lit mais que nul n’est censé ignoré), il y a certes un procès de civilisation (Norbert Elias) qui sédimente et incorpore les normes sociales explicitement exprimées pendant l’enfance, mais celles-ci sont exprimées implicitement le reste de la vie, dans cette « situation » que construisent les acteurs, selon Goffman, dans le cadre des expériences sociales, et notamment dans le cadre privatif. Dès lors, si l’individu est capable d’inférer le cadre expérientiel à partir de l’implicature conversationnelle, est-il possible non de le traduire de manière explicite dans des privacy-by-policy (lois, règles de confidentialité, labels, etc.) mais dans de le modéliser de manière implicite dans des privacy-by-architecture, dans l’infrastructure informationnelle (Star & Ruhleder) ? Je pense notamment aux possibilités qui seraient contenu dans le moteur d’inférences propre au web sémantique.

Notes

  1. c’est le statut qu’a Facebook ou une tierce-partie quand un titulaire fait un « Like » sur une fan page pour des raisons sociales, c’est à dire qu’il a l’intention que ses amis soient récipiendaires de son comportement, genre je kiffe LMFAO comme vous les potes, mais qui amène Facebook ou une tierce-partie à construire une représentation culturelle du titulaire, et à lui recommander partant de là d’autres références ou publicités afin de maximiser ses indicateurs de résultats : vente, fréquentation de la page, trafic, etc.
  2. Auteur du livre Privacy in Context, et de l’article A Contextual Approach to Privacy Online. Elle est également co-fondatrice avec Geoffrey Bowker du Value-by-Design Council, un groupe de recherche multi-disciplinaire au sein de la National Science Foundation chargé d’élaborer l’architecture future d’Internet, et dans lequel on retrouve Yochai Benkler, Tarleton Gillespie, Chris Hoofnagle, Paul Ohm, et d’autres universitaires de renom.
  3. C’est tout à fait la démarche du Vendor Relationship Management (l’inverse du CRM : voir l’initiative de la FING : MyData).

Laisser un commentaire