Un logiciel d’intelligence artificielle aurait permis de mettre à jour des violations présumées du règlement général sur la protection des données (RGPD) par Alphabet (Google), Amazon et Facebook.
Le logiciel – créé par des chercheurs de l’UE et un groupe de défense des consommateurs, le BEUC – a examiné les politiques de confidentialité de 14 grandes entreprises technologiques en juin, un mois après l’entrée en vigueur des nouvelles lois européennes sur la protection des données.
Un tiers des clauses sont à revoir
Les chercheurs ont nommé leur logiciel « Claudette », abréviation de détecteur automatique de clauses. Alphabet (société mère de Google), Amazon et Facebook figurent parmi les entreprises dont les politiques ont été soumises à l’intelligence artificielle.
Claudette a ainsi pu constater qu’un tiers des clauses contenues dans les politiques étaient « potentiellement problématiques » ou contenaient des «informations insuffisantes», tandis que 11% des phrases de ces politiques utilisaient des termes peu clairs, résument les universitaires.
Le logiciel observe également que certaines politiques ne permettent pas d’identifier les tiers avec lesquels l’entreprise peut être amenée à partager des données.
Les résultats ne précisent pas exactement quelles dispositions des politiques de confidentialité des entreprises enfreignent le RGPD. Il s’agit de résultats agrégés, précise Bloomberg. Les chercheurs reconnaissent par ailleurs que les résultats de l’analyse automatisée « ne sont pas exacts à 100% ». L’IA n’a examiné qu’un petit nombre de politiques et son modèle peut encore être amélioré.
Google en conteste néanmoins déjà les résultats. La firme insiste sur le fait que sa politique est conforme au règlement et souligne que la dernière version n’étend ou n’apporte pas de changement à la façon dont elle collecte ou traite les informations des utilisateurs.
« Nous avons mis à jour notre politique de confidentialité conformément aux exigences du RGPD, fournissant plus de détails sur nos pratiques et décrivant les informations que nous recueillons et utilisons, et les contrôles que les utilisateurs ont, dans un langage clair et simple » assure un porte-parole.
Un langage « clair et simple ». Ou simpliste ?
« Nous avons également ajouté de nouvelles explications graphiques et vidéo, structuré la politique afin que les utilisateurs puissent l’explorer plus facilement, et des contrôles intégrés pour permettre aux utilisateurs d’accéder directement aux paramètres de confidentialité pertinents. »
Facebook vante lui aussi son bilan en matière de conformité et déclare avoir travaillé dur pour répondre aux exigences du RGPD. Cette déclaration, pas plus que les explications avancées par Google, n’est cependant une garantie de conformité effective au Règlement.
« Nous avons sollicité l’avis d’experts en matière de protection de la vie privée et des régulateurs à travers l’Europe dans le cadre de ces préparatifs, y compris notre principal régulateur, la DPC irlandaise » soutient cependant un porte-parole de Facebook.
« Notre travail pour améliorer la vie privée des gens ne s’est pas arrêté le 25 mai : par exemple, nous construisons Clear History, un moyen pour tout le monde de voir les sites et applications qui nous envoient des informations lorsque vous les utilisez, de supprimer ces informations de votre compte et de désactiver notre capacité à les stocker. »
Deuxième rapport qui épingle les GAFA
Entré en vigueur dans toute l’Europe le 25 mai, le règlement général sur la protection des données exige des entreprises qu’elles fassent la transparence sur la collecte et l’utilisation qu’elles font des données des Européens, mais aussi des tiers avec lesquels elles sont amenées à les partager.
Et en matière d’information et de contrôle des données par les utilisateurs, les géants du Web avaient beaucoup d’efforts à fournir. Ils doivent encore progresser. En effet, selon le Conseil norvégien des consommateurs, les entreprises ont recours à des pratiques et des présentations biaisées afin de « manipuler » les utilisateurs et les pousser à accepter la collecte de leurs données.
Le Conseil a isolé plusieurs de ces pratiques dont l’activation des options de collecte par défaut, la présentation déloyale des options de collecte des données, l’utilisation d’interfaces peu accessibles pour désactiver ces options ou le fait de conditionner l’utilisation d’un service à l’acceptation tacite de la collecte de données.
Google revendique ainsi par exemple formuler sa politique « dans un langage clair et simple ». Mais certains juristes seront tentés de dire de manière biaisée. Les mots sont en effet choisis avec soin pour véhiculer une image positive de la collecte et de l’exploitation des données – et donc tronquée de la réalité.
« Il va dire des choses comme, la fonctionnalité vous donne des expériences plus personnalisées et de meilleures recommandations » souligne un expert de l’Electronic Frontier Foundation. « Il ne dit pas explicitement, ‘pour cibler les publicités.’ »
