Confidentialité et éthique dans l’exploration de données

Bien que le terme « exploration de données » lui-même n’ait aucune implication éthique, il est souvent associé à l’exploration d’informations en relation avec le comportement des personnes (éthique et autre).

Les façons dont l’exploration de données peut être utilisée peuvent, dans certains cas et contextes, soulever des questions concernant la confidentialité, la légalité et l’éthique. En particulier, l’exploration de données gouvernementales ou d’ensembles de données commerciales à des fins de sécurité nationale ou d’application de la loi, comme dans le cadre du programme Total Information Awareness,  ou dans ADVISE, a soulevé des problèmes de confidentialité.

L’exploration de données nécessite une préparation des données qui peut révéler des informations ou des modèles susceptibles de compromettre les obligations de confidentialité et de respect de la vie privée. Une méthode courante pour que cela se produise est l’agrégation de données. L’agrégation de données implique de combiner des données (provenant éventuellement de diverses sources) d’une manière qui facilite l’analyse (mais qui pourrait également rendre l’identification des données privées au niveau individuel déductible ou autrement apparente). Il ne s’agit pas d’exploration de données en soi, mais du résultat de la préparation des données avant – et aux fins de – l’analyse. La menace pour la vie privée d’un individu entre en jeu lorsque les données, une fois compilées, permettent au mineur de données, ou à toute personne ayant accès à l’ensemble de données nouvellement compilé, d’être en mesure d’identifier des individus spécifiques, en particulier lorsque les données étaient à l’origine anonymes.

Il est recommandé qu’une personne soit informée de ce qui suit avant que les données ne soient collectées :

• l’objectif de la collecte de données et tout projet d’exploration de données (connu) ;
• comment les données seront utilisées ;
• qui pourra extraire les données et utiliser les données et leurs dérivés ;
• l’état de la sécurité entourant l’accès aux données ;
• comment les données collectées peuvent être mises à jour.

Les données peuvent également être modifiées de manière à devenir anonymes, de sorte que les individus ne puissent pas être facilement identifiés. Cependant, même des ensembles de données « désidentifié »/« anonymisés » peuvent potentiellement contenir suffisamment d’informations pour permettre l’identification d’individus, comme cela s’est produit lorsque des journalistes ont pu trouver plusieurs individus sur la base d’un ensemble d’historiques de recherche qui ont été publiés par inadvertance par AOL.

La révélation par inadvertance d’informations personnellement identifiables menant au fournisseur viole les pratiques d’information équitables. Cette indiscrétion peut causer des dommages financiers, émotionnels ou corporels à la personne indiquée. Dans un cas de violation de la vie privée, les patrons de Walgreens ont intenté une action en justice contre l’entreprise en 2011 pour avoir vendu des informations de prescription à des sociétés d’exploration de données qui, à leur tour, ont fourni les données à des sociétés pharmaceutiques.

Situation en Europe

L’Europe a des lois assez strictes sur la protection de la vie privée et des efforts sont en cours pour renforcer davantage les droits des consommateurs. Cependant, Les principes de la sphère de sécurité de l’U.S.-E.U. exposent actuellement efficacement les utilisateurs européens à l’exploitation de la vie privée par des entreprises américaines. À la suite de la divulgation de la surveillance mondiale d’Edward Snowden, il y a eu de plus en plus de discussions pour révoquer cet accord, car en particulier les données seront entièrement exposées à l’Agence de sécurité nationale, et les tentatives pour parvenir à un accord ont échoué.

Situation aux États-Unis

Aux États-Unis, les problèmes de confidentialité ont été résolus par le Congrès américain via l’adoption de contrôles réglementaires tels que la loi HIPAA (Health Insurance Portability and Accountability Act). L’HIPAA exige que les individus donnent leur « «consentement éclairé » concernant les informations qu’ils fournissent et leurs utilisations présentes et futures prévues. Selon un article paru dans Biotech Business Week‘, « [d]ans la pratique, HIPAA peut ne pas offrir une meilleure protection que les réglementations de longue date dans le domaine de la recherche », déclare l’AAHC. Plus important encore, l’objectif de protection de la règle par le consentement éclairé est compromis par la complexité des formulaires de consentement qui sont exigés des patients et des participants, qui approchent un niveau d’incompréhensibilité pour les individus moyens. » Cela souligne la nécessité de l’anonymat des données dans les pratiques d’agrégation et d’exploration de données.

La législation américaine sur la confidentialité des informations, telle que la loi HIPAA et la loi FERPA (Family Educational Rights and Privacy Act), s’applique uniquement aux domaines spécifiques couverts par chacune de ces lois. L’utilisation de l’exploration de données par la majorité des entreprises aux États-Unis n’est contrôlée par aucune législation.

Situation du droit d’auteur en Europe

En raison d’un manque de flexibilité dans la législation européenne sur le droit d’auteur et les bases de données, l’extraction d’œuvres protégées par le droit d’auteur telles que l’exploration de sites Web sans l’autorisation du titulaire du droit d’auteur n’est pas légale. Lorsqu’une base de données est constituée de données pures en Europe, il est probable qu’il n’y ait pas de droit d’auteur, mais des droits de base de données peuvent exister, de sorte que l’exploration de données devient soumise aux réglementations de la directive sur les bases de données. Sur la recommandation de l’examen Hargreaves, cela a conduit le gouvernement britannique à modifier sa loi sur le droit d’auteur en 2014 pour autoriser l’exploration de contenu en tant que limitation et exception. Seul le deuxième pays au monde à le faire après le Japon, qui a introduit une exception en 2009 pour l’exploration de données. Cependant, en raison de la restriction de la directive sur le droit d’auteur, l’exception britannique n’autorise l’exploration de contenu qu’à des fins non commerciales. La loi britannique sur le droit d’auteur ne permet pas non plus que cette disposition soit annulée par des conditions contractuelles. La Commission européenne a facilité la discussion des parties prenantes sur l’exploration de textes et de données en 2013, sous le titre « Licences pour l’Europe ». L’accent mis sur la solution à ce problème juridique étant les licences et non les limitations et exceptions a conduit des représentants d’universités, de chercheurs, de bibliothèques, de groupes de la société civile et d’éditeurs en libre accès à quitter le dialogue des parties prenantes en mai 2013.

Situation du droit d’auteur aux États-Unis

Contrairement à l’Europe, la nature flexible de la législation américaine sur le droit d’auteur, et en particulier l’utilisation équitable, signifie que l’exploration de contenu en Amérique, ainsi que dans d’autres pays d’utilisation équitable tels qu’Israël, Taïwan et la Corée du Sud, est considérée comme légale. Comme l’exploration de contenu est transformatrice, c’est-à-dire qu’elle ne remplace pas l’œuvre originale, elle est considérée comme licite dans le cadre d’un usage loyal. Par exemple, dans le cadre du règlement Google Book, le juge président de l’affaire a statué que le projet de numérisation de Google des livres protégés par le droit d’auteur était légal, en partie à cause des utilisations transformatrices que le projet de numérisation affichait – l’une étant l’exploration de texte et de données.

Source: Drew Bentley, Business Intelligence and Analytics. © 2017 Library Press, License CC BY-SA 4.0. Traduction et adaptation: Nicolae Sfetcu. © 2023 MultiMedia Publishing, L’informatique décisionnelle et l’analyse exploratoire des données dans les entreprises, Collection Sciences de l’information