Alessandro Acquisti, économiste du comportement à l’Université Carnegie Mellon à Pittsburgh où il enseigne l’ingénierie de la vie privée, étudie la façon dont nous faisons ces choix. Ses recherches ont montré que, bien que nous nous disions concernés par la vie privée, nous avons tendance à agir d’une manière incompatible à nos principes, explique Somini Sengupta dans un long article qu’il lui consacre pour le New York Times.
Ses recherches montrent combien il est facile de manipuler les gens pour récolter des informations sur eux. Bien souvent, nous les échangeons contre une simple gratification immédiate, une petite récompense, pareille à de la verroterie. "Son travail montre combien nous sommes irrationnels dans les décisions liées à la vie privée", affirme Woodrow Hartzog, un professeur de droit qui étudie la vie privée numérique à la Samford University de Birmingham, en Alabama : "Nous avons une trop grande confiance dans notre capacité à prendre des décisions." C’est d’ailleurs certainement la contribution la plus saillante d’Alessandro Acquisti. Pour l’instant, les solutions à la fuite organisée de nos renseignements personnels ont tendance à se concentrer sur la transparence et le contrôle par l’utilisateur. Mais pour le chercheur, donner aux utilisateurs un contrôle est peut-être une étape essentielle, mais elle peut aussi être une illusion.
Le contrôle de nos données : une illusion ?
En 2002, Alessandro Acquisti avait lancé une entreprise avec des camarades de Berkeley : un outil cryptographique permettant aux gens de faire des achats anonymement sur des sites de commerce en ligne. C’est peut-être lors de cette expérience qu’il s’est rendu compte que si les gens prétendaient vouloir protéger leur vie privée, ils n’étaient pas prêts à payer pour cela. La start-up a fermé, mais son intérêt pour l’économie de la confidentialité s’est accru.
Alessandro Acquisti s’intéresse à comment une technologie de la liberté est détournée en technologie de surveillance. Forcément, cela l’a amené à s’intéresser à Facebook. Depuis 2003, il étudie une cohote de plus de 5000 personnes et a montré (voir l’étude Les auditeurs silencieux : l’évolution de la vie privée et de la divulgation sur Facebook), qu’avec le temps, même si les gens continuaient à y révéler beaucoup d’informations personnelles, dans l’ensemble, ils étaient moins susceptibles de laisser tout le monde voir leur date de naissance où le lycée où ils avaient été. L’usage de Facebook, dans la durée, à tendance à nous faire augmenter nos critères de protection de nos données.
Dans le but de savoir comment les consommateurs déterminent la valeur de leur vie privée, M. Acquisti a fait une autre expérience. Il a envoyé un ensemble d’étudiants dans un centre commercial de la banlieue de Pittsburgh. Certains étudiants devaient proposer aux clients du centre commercial une carte de réduction de 10$ plus une remise supplémentaire de 2$ en échange des données des achats qu’ils venaient de réaliser. La moitié des clients a décliné l’offre. Apparemment, ils n’étaient pas disposés à révéler le contenu de leur panier pour la modique somme de 2$. Mais d’autres étudiants ont proposé un choix différent à d’autres clients : une carte de réduction de 12$ qu’ils pouvaient échanger contre une autre de 10$ s’ils voulaient garder leur données d’achat privé. 90 % des clients ont choisi de garder le coupon de réduction de 12$, même si cela signifiait concéder les informations sur ce qu’ils avaient acheté.
Pour Acquisti, la démonstration est simple : si nous avons quelque chose - la propriété de nos données sur les achats que nous avons fait - nous avons tendance à le valoriser. Si nous ne l’avons pas dès le départ, nous ne sommes pas susceptibles de payer un supplément pour l’acquérir.Comme le montre les travaux d’Helen Nissenbaum, le contexte est toujours primordial.
Pour Erin Egan, responsable de la protection des données de Facebook, la vie privée consiste à comprendre ce qui arrive à vos données et avoir la capacité de le contrôler. Mais pour Acquisti, le contrôle peut être un faux réconfort.
Dans une autre étude, Acquisti proposa à des étudiants volontaires une enquête sur leurs vices. Ceux-ci devaient indiquer s’ils avaient déjà volé quelque chose, menti ou pris de la drogue. A certains, on indiqua que leurs réponses seraient seulement publiées dans un article de recherche, a d’autres on leur demanda la permission explicite de publier ces réponses, à d’autres on leur demanda la permission ainsi que leur âge, leur sexe et leur pays de naissance. Les résultats ont révélé l’imperfection du raisonnement humain. Ce sont ceux qui se sont vu offrir le moins de contrôle sur leurs réponses qui ont été le plus réticents à révéler des informations sur eux-mêmes, alors que cette option était celle qui les protégeait le mieux. Ceux a qui on a demandé le consentement ont été presque deux fois plus nombreux à répondre à toutes les questions. Et ceux auxquels on a demandé des informations personnelles permettant d’encore mieux les identifier ont répondu à toutes les questions.
Acquisti a pris note du paradoxe (voir son article : Confidences déplacées : la confidentialité et le paradoxe du contrôle) : donner un contrôle fin aux gens a tendance à les conduire à partager une information plus sensible avec un public plus large et donc avoir un comportement plus risqué. Dit autrement, plus vous avez l’impression d’être en contrôle de vos données, moins vous avez tendance à être prudent. Pour le chercheur, "la transparence et le contrôle sont des mots vides qui sont utilisés pour engager la responsabilité de l’utilisateur à des problèmes créés par d’autres".
Plus vous avez le sentiment de contrôler vos données, moins vous êtes prudent
Ce sentiment de contrôle peut être compromis par d’autres moyens. Dans une autre étude intituléeles tours de passe-passe de la confidentialité (.pdf), des étudiants de l’université ont été divisés en deux groupes. Chaque groupe était invité à évaluer les professeurs et à répondre à des questions sur la triche aux examens. Pour le premier groupe, on annonca que les résultats seraient accessibles uniquement à d’autres étudiants, alors que pour le second groupe, ceux-ci seraient aussi consultables par des professeurs. Bien évidemment, les étudiants ont été plus diserts dans le premier groupe que dans le second. Acquisti a recommencé l’opération mais cette fois-ci, après avoir à nouveau expliqué les règles et procédures, il a posé une question sans rapport avec le questionnaire : "les étudiants souhaitaient-ils s’inscrire pour recevoir des informations provenant du campus ?" Aussi anodine qu’il y paraît, cette distraction a eu un réel impact : les deux sous-groupes ont eut un taux de réponse quasiment égal.
La distraction n’a pas fait oublier les règles, mais cette grosse ficelle a agit de manière à ce que les étudiants y prêtent moins d’attention. Nous sommes constamment invités à prendre des décisions sur des données personnelles au milieu d’une foule de distractions, comme un e-mail, une notification Twitter ou des demandes qui n’ont rien à voir avec le contexte. Si l’expérience d’Acquisti est correcte, ces distractions peuvent nuire à notre sens de l’auto-protection quand il s’agit de la vie privée.
En 2011, Acquisti a pris des clichés de 100 étudiants du campus avec une simple webcam. Quelques minutes plus tard, il avait identifié environ un tiers d’entre eux en utilisant un logiciel de reconnaissance facial. Sur un quart d’entre eux, il a pu réussir, via Facebook, à deviner une partie de leur numéro de sécurité social parce que leur date de naissance et leur lieu de naissance était accessible. L’expérience avait pour but de montrer combien il est désormais facile d’identifier quelqu’un via les traces qu’il disperse en ligne, y compris via une image qui paraît pourtant, le plus souvent, bien inoffensive. Faut-il mentir sur sa date de naissance ? C’est à chacun de s’interroger, estime Acquisti, de régler ses paramètres de confidentialité. Si on révèle sa date de naissance et son lieu de résidence, des personnes mal intentionnées pourront plus facilement reconstruire notre identité, mais aussi, plus de gens pourront nous souhaiter un joyeux anniversaire. On n’a rien sans rien.
Sur Facebook Acquisti est photographié avec un casque de moto sur la tête, ce qui le rend plus diffcile à identifier, conclut Somini Sengupta comme pour nous laisser croire que nous pourrions être maître de nos données, alors que son sujet lui a démontré le contraire. Tronquer sa date de naissance, son lieu de résidence, flouter sa photo, changer une lettre de son "vrai" nom sont des petits moyens - parmi bien d’autres - pour obfusquer les données. Si ils sont nécessaires, il n’est pas sûr que ces technologies de l’artefacts soient suffisantes à l’heure du croisement de données et des algorithmes... Ne sont-ils pas, là encore, un moyen pour se donner un sentiment de contrôle qui risque surtout de nous rendre moins prudent ?
Hubert Guillaud
Dernière modification le lundi, 05 janvier 2015