Le Bureau européen des unions de consommateurs (BEUC) et des chercheurs de l'Institut universitaire européen (IUE) de Florence ont dévoilé, jeudi 5 juillet, une étude sur le potentiel de l’intelligence artificielle pour mettre en œuvre le règlement général sur la protection des données personnelles (GDPR).
Pour cela, les chercheurs ont analysé au cours du mois de juin 2018 les politiques de protection de la vie privée de 14 entreprises : Google, Facebook, Amazon, Apple, Microsoft, WhatsApp, Twitter, Uber, AirBnB, Booking, Skyscanner, Netflix, Steam et Epic Games.
Ils ont utilisé cette analyse pour développer ‘Claudette’, un système informatique (‘machine learning tool’), formé à l’aide d’une série d’exemples, pour identifier automatiquement les clauses des politiques de protection des données qui semblent défectueuses.
Principale conclusion de l'étude : un mois après l’entrée en vigueur du règlement, il y a encore une large marge d’amélioration. Aucune des politiques de protection de la vie privée analysées ne répond entièrement à ses exigences.
Le résultat est présenté sous la forme d’annotations avec un code couleurs où toutes les clauses de la politique en question sont catégorisées. Au total, l'ensemble des politiques examinées représente 3 659 phrases. Les résultats globaux montrent que 401 phrases (11 %) ont été classées comme contenant un « langage peu clair » et 1 240 (33,9 %) clauses ont été jugées comme « potentiellement problématiques » ou fournissant des « informations insuffisantes ».
Que dit 'Claudette' sur les pratiques de Facebook ?
Facebook n’a pas été épargné. Le rapport conclut que sa politique donne « l’impression que l'entreprise utilise les termes juridiques, les mots à la mode et les expressions accrocheuses, plutôt que de tenter d'élaborer une politique de plainte véritablement centrée sur l'utilisateur ».
Il fait état de parties « presque copiées-collées » du règlement, mais qui, finalement, ne précisent pas de quelle manière et dans quel but les données sont traitées. « Il est particulièrement difficile de savoir où aboutissent les données personnelles et quels tiers y ont accès », peut-on lire.
Sur les 204 phrases analysées dans la politique de confidentialité de Facebook par ‘Claudette’, 79 contiennent des « informations insuffisantes », 5 un « langage peu clair » et 56 sont « problématiques » du point de vue du traitement des données tandis que seuls 19 contiennent des « informations complètes ».
L’intelligence artificielle au service de la protection des données
L’autre conclusion principale de cette étude est que l'analyse du contenu des politiques de protection de la vie privée peut être, dans une large mesure, réalisée par des ordinateurs utilisant l'intelligence artificielle, si un ensemble de données suffisamment important est créé.
En pratique, cela signifie toutefois que de nombreuses autres politiques de protection de la vie privée doivent être analysées manuellement en amont avant que l'analyse ne puisse être entièrement réalisée par des machines seules.
Le BEUC et l’IUE ne comptent pas en rester là et ont l’intention d’en faire un projet à long terme pour développer des outils automatisés d’analyse pour les autorités de surveillance, les organisations de consommateurs, mais aussi pour les utilisateurs eux-mêmes, confrontés à un tsunami de mises à jour des politiques et de nouvelles demandes de consentement.
Si, pour l’instant, cette technologie ne vise que l’analyse des politiques, pour les chercheurs, le jour où des outils basés sur l'intelligence artificielle permettront de vérifier automatiquement les activités liées au traitement des données, d’exercer automatiquement un droit d’opposition ou encore d’informer automatiquement les autorités de contrôle d’une possible violation n’est finalement « pas si loin ».
Pour découvrir ‘Claudette’ : https://bit.ly/2IW3bTL et voir l’étude : https://bit.ly/2uakGdN . (Marion Fontana)