Les entreprises recueillent de plus en plus de données sur notre vie privée. Généralement, cela est indiqué dans les CGU, des textes indigestes rédigés par des juristes. Heureusement, une IA, Polisis, nous fait un résumé graphique.
Qui lit en entier les fameuses Conditions générales d’utilisation (CGU) des applications, des jeux vidéo ou des sites par exemple ? Pas grand monde si l’on se base sur une étude menée aux États-Unis par Florencia Marotta-Wurgler, professeure de droit à New York. L’une de ses études a montré que seulement… 0,07 % des utilisateurs cliquent sur un lien de CGU avant de cliquer sur « d’accord » !
D’un autre côté, une enquête menée par ComRes Global début 2018 en Europe indique que les consommateurs sont de plus en plus nombreux à s’inquiéter du partage d’informations personnelles en ligne. Parmi les 8000 personnes interrogées, une majorité sous-estime la quantité de données personnelles récupérées par toutes les entreprises.
Il suffit d’utiliser Polisis (téléchargeable sur le site Pribot.org) pour s’en rendre compte ! Développé par une équipe de chercheurs suisses et américains, cette plateforme qui propose aussi des extensions pour Chrome ou Firefox analyse en une trentaine de secondes n’importe quel gros pavé de CGU. Elle affiche ensuite un résumé des points-clés à retenir sur l’espionnage de notre vie privée.
Polisis n’est pas la première solution reposant sur l’intelligence artificielle permettant d’extraire de l’information « lisible » par nous autres pauvres humains. Aux États-Unis, Carnegie Mellon University et Columbia ont développé des projets similaires ces dernières années. Mais l’interface de Polisis a le mérite d’être très claire et explicite.
En quelques secondes, l’indigeste CGU se transforme en effet en un organigramme graphique. Il indique quels types de données sont recueillies, leurs destinataires et s’il est possible ou non de refuser ces partages. Et le résultat est parfois inquiétant.
Une amende atteignant 4 % du CA…
Après avoir fait tourner ses méninges, Polisis a affiché toutes les informations recueillies par le jeu Pokémon Go : adresses IP, ID des périphériques, géolocalisation… Son éditeur répartit ensuite ces informations entre les services publicité et marketing. Enfin, cette extension indique qu’une infime partie de ces données fait l’objet d’un consentement « explicite ».
En un mot, Nintendo ne respecte pas le Règlement général sur la protection des données (RGPD) qui entre en application le 25 mai prochain. Et il risque une amende pouvant atteindre 4 % de son chiffre d’affaires mondial… Pour information, grâce au succès de la Switch, son chiffre d’affaires affiche une hausse spectaculaire de 149 % en 2017. Il a atteint 1,1 milliard d’euros contre 476,1 millions d’euros entre avril et juin 2016.
Pour rappel, le RGPD vise à protéger tous les citoyens européens dont des données sont recueillies et traitées par n’importe quelle entreprise (quelles que soient sa taille, son activité et sa nationalité). Or, seules les données « strictement nécessaires » à l’activité d’une entreprise peuvent être traitées et conservées durant un certain temps. Par ailleurs, le consentement des personnes doit être « explicite ». Fini, la petite case précochée indiquant qu’on a accepté les CGU.
13 000 CGU du Play Store
L’équipe a aussi utilisé l’IA pour créer Pribot. Il s’agit d’un chatbot que l’on peut interroger à propos d’un site. Dans les deux cas, ces chercheurs du Michigan, du Wisconsin et de Lausanne ont entraîné leur IA en étudiant 115 CGU qui avaient été analysées par des étudiants en droit ainsi que 130 000 autres politiques de confidentialité extraites d’applications du Google Play Store.
Tout n’est pas encore parfait. Lorsque les CGU ont été mal rédigées et qu’elles présentent des contradictions, « les résultats sont quelque peu flous », note Marotta-Wurgler, professeure de droit à New York. Par ailleurs, malgré la qualité des algorithmes développés, l’analyse n’est pas aussi complète qu’après une lecture attentive par des juristes. Enfin, des tests menés par le magazine Wired ont montré que Pribot n’interprétait pas très bien de nombreuses questions. Mais le principal reproche est que cette solution ne sait pas encore lire le français…
Peu importe, ce n’est qu’un début. L’arrivée de cette extension et du RGPD vont peut-être inciter les entreprises à changer d’attitudes. « Elles réfléchiront peut-être à deux fois avant d’essayer d’enterrer leurs mauvaises habitudes de collecte de données sous une montagne de détails juridiques », espère Florian Schaub de l’Université du Michigan School of Information, un des membres de Polisis.