§2. Promouvoir un design pour la privacy
L'usage du design est nécessaire afin de garantir les
principes de privacy by design et de privacy by
default515. Ces principes impliquent en effet la mise en oeuvre
de garanties relatives à l'information, l'exercice des droits des
personnes concernées et l'obtention de leur consentement. La CNIL a pour
cela créé un site internet dédié au design afin de
garantir des « parcours utilisateurs respectueux du RGPD et de la vie
privée ».
En ce qui concerne le droit des personnes, les individus ont
tendance à choisir la proposition par défaut516. La
mise en oeuvre d'un design respectueux du privacy by default implique
que les utilisateurs soient capables de consulter et de comprendre les
configurations et les options pour être capable de changer eux même
les paramètres par défaut517.
Concernant le droit d'information, il arrive que la surcharge
informationnelle noie les individus sous le flux d'informations, la mise en
oeuvre effective de ce droit correspond alors à un « droit de
ne pas choisir518 ». Consacrer une réelle
information des utilisateurs passe aussi par une communication honnête
des risques, ce qui peut s'avérer être une solution à
l'impossible promesse de garantir une confidentialité sans
failles519.
Le modèle user-centric permet ainsi
d'augmenter le contrôle des personnes concernées sur leurs
données520. Néanmoins, le big data rend les
mécanismes de collecte du consentement dépassés. Il
devient donc nécessaire d'adapter ces procédés à
l'intelligence artificielle, par le biais par exemple des
préférences pour la protection de la vie privée, ou
d'entrepôts de données personnelles : « Les nouvelles
technologies requièrent de nouveaux modèles de consentement et
l'industrie doit être ouverte et créative en proposant des
solutions pratiques d'opt-in complétées par des solutions
d'opt-out et de mécanismes d'accès qui placent les
utilisateurs
514 P. Pucheral, A. Rallet, F. Rochelandet, C. Zolynski, op.
cit., p.13
515 CNIL, LINC, « Cahier IP - La forme des choix -
Données personnelles, design et frictions désirables »,
p.43
516 Ibid ., p. 19
517 M. Hansen, K. Limniotis, ENISA, recommendations on GDPR
provisions, op cit., p.35
518 CNIL, « Cahier IP - La forme des choix - Données
personnelles, design et frictions désirables », p.30, 19
519 S. Watcher, «The GDPR and the Internet of Things : A
Three-Step Transparency Model», 2018, p.12
520 G. D'acquisto, J. Domingo-ferrer, ENISA, « Privacy by
design in big data», décembre 2015, p. 46
- 84 -
Le régime de lege feranda
dans une démarche de contrôle de la
chaîne de traitement des données521 ». La
CNIL recommande de réfléchir à l'interface entre la
machine et son utilisateur, pour garantir la liberté
humaine522. L'institut Montaigne encourage l'investissement dans la
recherche relative à l'aide aux utilisateurs en matière de
protection de la vie privée523.
Néanmoins, ces dispositifs restent des prémices.
Les grandes plateformes interrogées lors de l'enquête de la
Commission sur la souveraineté du numérique ont reconnu que ces
outils étaient « récents et
perfectibles524 ». Si la Commission félicite
quelques pratiques à l'instar du tableau de bord de Google recensant
l'historique de la collecte des données personnelles et de leurs
utilisations, ces initiatives doivent être davantage encouragées
et contrôlées.
Ainsi, recentrer l'utilisateur au coeur de l'IA éthique
requiert de l'éduquer à la technologie et aux pratiques de bulle
filtrante et de design trompeur. Pour cela, l'intégration du principe
de privacy by using en complément du privacy by design
et du privacy by default est impératif, ainsi que la mise
à disposition d'outils adaptés.
La réglementation en vigueur ne donnant pas de
lignes directrices, l'importance de l'autorégulation se voit accrue. Le
responsable du traitement doit donc veiller à déterminer une
politique de gouvernance de la donnée efficace et prendre des
précautions particulières tout au long du cycle de vie de la
donnée lors du traitement effectué par un logiciel d'intelligence
artificielle.
Le régime de demain, respectueux de l'usage des
données à caractère personnel doit proposer une
intelligence artificielle éthique, avec au coeur de cette
réflexion l'utilisateur. Ce dernier doit être formé et
doté d'outils permettant une prise de décision
éclairée.
521 Ibid., p. 50
522 CNIL, les enjeux éthiques des algorithmes et de
l'intelligence artificielle, op. cit., p.56
523 F. Godement «Données personnelles, comment
gagner la bataille ?» Institut Montaigne, décembre 2019, P.
184
524 F. Montaugé, G. LONGUET, Rapport Commission
d'enquête sur la souveraineté au numérique, « le
devoir de souveraineté numérique : ni résignation, ni
naïveté » version provisoire, n° 7 tome I
(2019-2020) , 1 octobre 2019, p. 76
- 85 -
| 
