L’immersivité induite par la réalité virtuelle annoncée par Meta (ex-Facebook) va démultiplier les interactions humaines “réalistes” dans les mondes virtuels, générant une nouvelle génération de flux de données comportementales : nos émotions et sensations. Le métaverse, en captant nos émotions dans nos interactions sociales, complexifie les conditions d’un consentement libre, spécifique, éclairé et univoque de l’utilisateur face à l’opacité des algorithmes.
Le socle technologique des Jeux vidéo comme technologie mature pour la virtualisation de notre quotidien.
Après les autoroutes de l’information, du web 2.0 et des réseaux sociaux, de l’internet mobile, le nouvel internet devient ubiquitaire, ubimedia, omniscient, pervasif. Ce nouvel âge numérique, celui des mondes virtuels, était annoncé. Facebook devenu Meta le lance.
Pour rappel, Meta vise pour horizon le marché prometteur des services et échanges de données au travers d’expériences interactives immersives, vécues dans les mondes virtuels en 3D. Les mondes virtuels grâce aux moteurs de Jeu vidéo permettent de faire interagir en temps réel et en masse des utilisateurs dans un même univers. Ces mondes peuvent désormais se coupler avec des équipements électroniques portables (tels que casques de réalité virtuelle vendus en grande surface ou lunettes connectées, montres et vêtements intelligents). Ces accessoires portables (dits de “wearable tech”) sont la souris (ou joystick /manettes) et la webcam du metaverse, des capteurs et actionneurs qui traduiront en données nos actions, nos émotions et sensations, seuls avec des objets et/ ou avec nos pairs. Et nos expériences seront donc analysées en temps réel par des algorithmes. La technologie accélère l’immersivité avec la sensation d’être et d’agir de manière satisfaisante dans des espaces virtuels. Il ne s’agit plus “simplement” de tracer notre position GPS, nos clics sur des liens, nos conversations et mise en relation mais aussi de suivre en temps réel, nos émotions et sensations, pour mieux affiner notre profil psycho social.
Les technologies ont atteint un niveau de maturité tel qu’il est désormais possible d’étendre la vie virtuelle de tout un chacun à l’ensemble des sphères quotidiennes de l’utilisateur: le monde du jeu, de l’éducation, du travail, des loisirs, de la santé. Ces mondes virtuels deviennent un réservoir d’interactions sociales et de rapports sociaux ancrés dans des préoccupations que nous ne jouions jusqu’alors que dans la sphère du réel. Nos interactions sociales virtuelles vont compter dans nos vies où chacun incarne un ou plusieurs avatars, un peu comme des jumeaux numériques. Des ponts seront créés entre ce que nous vivons et avons vécu dans le réel et la manière dont nous nous incarnons dans le virtuel. La porosité entre le réel et le virtuel s’estompe, nous allons vraiment vivre dans le virtuel avec des effets concrets sur notre vie réelle. La panoplie du “traçable” monte en gamme en faisant de nous des super utilisateurs dans un monde virtuel. Comme fendre notre armure de chair et d’os pour ouvrir notre cerveau et notre intimité psycho-sociale aux algorithmes!
Avec Meta, l’analyse de nos comportements sur les réseaux sociaux bascule sur les mondes virtuels
Un article à charge publié dans le magazine américain Vice contre Meta évoque la monétisation de nos comportements et le risque de davantage capter notre attention et notre concentration.
Rien de trop surprenant. Meta s’inscrirait dans une stratégie de continuité de Facebook, mais adaptée aux nouveaux usages et enjeux du metaverse.
Issu du réseau aux deux milliards d’utilisateurs, Meta interroge parce que le modèle d’affaire dont il est issu est celui de l’exploitation des interactions sociales, jusqu’alors cantonnée aux réseaux sociaux.La perspective d’élargissement de son modèle d’affaire aux mondes virtuels accentue le risque de perte de la souveraineté numérique et l’intégrité tout court, à l’échelle de la personne mais aussi de la Société et l’Etat.
Un enjeu de privacy bien concret qui étend déjà la bataille du consentement !
Dans cette perspective, la dimension immersive dans laquelle baignera l’utilisateur mettra à nu ses relations sociales et interactions comportementales, y compris les plus intimes en tant que personne mais aussi les interactions confidentielles au sein d’une entreprise. Ces données associées à ses comportements seront démultipliées. De quoi inquiéter. On l’était déjà avec l’avènement des GAFAM, le législateur a réagi en opposant des garde-fous à l’instar du RGPD en Europe. Mais avec Meta, ceux-ci vont devoir s’étoffer pour garantir notre ““consentement spécifique, libre, éclairé et univoque”” sur le traitement de nos données.
L’avènement de Meta ouvre donc la bataille du consentement dans les mondes virtuels.
Le cadre légal de protection des données personnelles est censé garantir le consentement de l’utilisateur. Qu’en serait-il dans un monde virtuel analysant en temps réel nos moindres comportements ? Dans cette perspective, pouvons-nous toujours parler de consentement au sens du RGPD ?
En effet, Meta (et consorts car Meta ne sera pas le seul à viser ce nouvel eldorado) amène à poser la question de la limite du dispositif légal actuel du consentement pour protéger l’utilisateur. Avec la captation d’un nouveau type de données personnelles (émotions, sensations), que vaut un consentement donné par l’utilisateur et que vaut ce recueil de consentement par une entreprise si l’algorithme n’est pas suffisamment transparent et compris ? En fin de compte, telle est la question que pose le metaverse.
Le formulaire en ligne de consentement signé et acté par l’utilisateur et conformément recueilli par le DPO de l’entreprise ne suffira plus face à l’analyse algorithmique en temps réel de nos comportements et ceux que cette analyse induira. Donner consentement sans comprendre le traitement qui peut en être fait (soit savoir lire, interpréter un algorithme pour en comprendre ses impacts) n’est pas se mettre en capacité de maîtriser l’utilisation de ses données, ni sa souveraineté personnelle. De même, pour recueillir le consentement des utilisateurs qui est de la responsabilité de l’entreprise, l’entreprise devra être en capacité à réunir les conditions de transparence et de compréhension de son algorithme.
En clair, éclairer vraiment la complexité algorithmique pour permettre un consentement éclairé. Mais ces entreprises en ont-elles la capacité technique et opérationnelle ? Comme cela a été révélé dans les facebookpapers, même les développeurs de Facebook ne maîtrisent plus leurs algorithmes d’analyse comportementale qui engendrent des effets non prévisibles et sans contrôles.
Contenir la “métastase” des données
Ce constat est alarmant et nous fait dire que garantir un consentement de l’utilisateur fondé sur la transparence et les modalités des algorithmes ne suffira pas. A moins de se déconnecter et de se couper du monde ou à moins d’être une société d’utilisateurs experts en intelligence artificielle. C’est que nous avons nos limites, nous les humains.
Ainsi, RGPD ou pas, la transparence et la compréhension de cette boîte noire que sont les algorithmes sont les véritables enjeux de la souveraineté individuelle et démocratique. L’apparition de biais algorithmiques qu’on a pu observer récemment ne sont que les signaux faibles d’une tendance de fond à venir : sauf qu’il ne s’agira pas seulement de prévenir ou corriger les biais intrinsèques à l’algorithme mais aussi anticiper le risque démocratique, selon l’intention d’un modèle d’affaire ou celle d’un Etat sans scrupules.
Alors, comment faire ?
Une gouvernance transparente des metaverses autour de la notation du risque algorithmique ?
Face à l’horizon visé par Meta, les plateformes de consentement actuelles et les instances de contrôle vont devoir s’adapter et s’organiser pour ajouter une nouvelle couche de service : passer de la gestion du consentement à la gestion du risque du consentement face à l’algorithme.
Leur nouvelle proposition de valeur consistera à éclairer l’utilisateur sur le risque encouru s’il consent à partager ses données. Le consentement suppose d’avoir compris le traitement qui sera fait des données qu’on ouvre à l’entreprise. Or le traitement algorithmique de ces données est difficilement compréhensible (interpréter du code et une formule), difficilement prévisible (certaines IA induisent des biais éthiques). Aurélie Jean, spécialiste des algorithmes et auteure d’un ouvrage à ce propos, évoque “l’explicabilité algorithmique” qu’elle définit comme démarche fondée sur l’autoévaluation par les concepteurs de l’algorithme pour anticiper et endiguer les biais possibles.
Cependant, on peut arguer que cette auto-évaluation n’est pas suffisante car l’opérateur du metaverse sera juge et partie. Les utilisateurs à qui on va demander leur consentement vont avoir besoin de clefs d’interprétation ou de clefs pour décider. Le consentement est le résultat d’une négociation. Mais peut-on négocier ce que l’on ne comprend pas : le traitement algorithmique ? Bien évidemment, non.
Une solution vraisemblable: les plateformes de consentement deviendraient des plateformes de notation des algorithmes du marché. Elles auraient compétence pour attribuer une note en fonction du degré de transparence et d’explicabilité des algorithmes et du risque encouru. Il s’agira alors d’aider l’utilisateur à consentir en connaissance de cause. Ces Tiers de Confiance analyseraient le risque que représentent le ou les algorithmes impliqués pour tel traitement. C’est aussi une opportunité d’affaire pour ces tiers de confiance quand ils seront en capacité de calculer le risque du consentement face à l’algorithme. Une opportunité d’affaire sans aucun doute soumise à un agrément exigeant afin de réunir les garanties d’indépendance, de fiabilité opérationnelle et d’intégrité (respecter le secret d’affaire cristallisé au cœur de l’algorithme des entreprises à auditer).
Consent is dead, long life to consent !
Facile à dire … d’autant qu’il faut un préalable : l’ouverture et la transparence des algorithmes des plateformes metaverse pour protéger l’utilisateur face au risque algorithmique.
Comment le leur imposer ? Par une nouvelle réglementation, dans le cadre du Digital Service ACT européen dont les travaux sont en cours ? Et dans lequel pourrait être mise en place une obligation d’explicabilité des algorithmes comme évoqué plus haut ? A l’instar de ce que suggère aussi une mission d’information du Sénat sur l’uberisation de la société à propos du management algorithmique dans les plateformes du travail. Le législateur recommande la mise en place d’un devoir d’explicabilité des algorithmes et un devoir de sensibilisation des acteurs de la chaîne de valeur du traitement algorithmique (du consentement à l’utilisation des données).
Il reste du pain sur la planche et la bataille de la souveraineté individuelle se poursuit au-delà du RGPD. La bonne nouvelle, c’est que Facebook (pardon Meta) se sait dans le collimateur des législateurs. Autre bonne nouvelle, la fonction de DPO au sein des organisations prend de l’ampleur, même si elle devra s’adapter également. Enfin, certains assureurs intègrent dans leur offre le risque data, ce qui n’est pas anodin. Et le travail des législateurs de part et d’autres de la planète pour réguler les GAFAM est plutôt de bonne augure.
Et puis, tout de même, l’enjeu de la sobriété numérique (des outils, des données, des machines, des usages) pourrait bien aussi contribuer à contenir cette “métastase” des données.