En 2011, le député vert allemand Malte Spitz a longuement bataillé avec son opérateur téléphonique pour récupérer l’ensemble des données le concernant. L’ensemble a été publié par Die Zeit. On y trouvait le moindre détail de ses déplacements et appels. Et alors ?, demanderont sans doute beaucoup de gens, qui estiment n’avoir après tout rien à cacher et qui se préoccupent peu que leur vie privée soit étalée sur les réseaux sociaux ou puisse être suivie par leur opérateur téléphonique, leur banque, voire même par quelque officine gouvernementale ! Le problème, cependant, n’est pas là et c’est une question dont les banques, à l’instar d’autres acteurs, comme Orange avec son projet de recherche Data for Development, devraient particulièrement se soucier. Douglas Flint, le Chairman d’HSBC, a récemment appelé à un débat public sur la propriété et l’usage des données personnelles. Dans l’attente, d’autres pistes apparaissent.
En matière d’accès et de traitement de nos données personnelles, deux choses doivent particulièrement être comprises.
- Même si on ne nous demande pas de renseignements personnels, sur un site par exemple, les métadonnées que nous générons, en utilisant un ordinateur, notre mobile ou notre carte bancaire, etc., suffisent à nous identifier. Dès lors que trois ou quatre types de données sont fournis (par exemple, pour un paiement par carte bancaire : l’identifiant, le jour, le lieu et le montant de la transaction), il est en effet facile de nous distinguer et, par recoupement (notamment par croisement avec d’autres fichiers), de nous identifier. Un gouverneur du Massachussetts, très favorable au partage de données, était convaincu que noircir les noms sur les dossiers médicaux suffisait à protéger l’anonymat des patients. Des chercheurs du MIT lui démontrèrent qu’avec seulement leurs date de naissance, code postal et sexe, 87% des patient étaient réidentifiables. Il est donc vain de croire que, tant que nous ne donnons pas notre nom, nous ne pouvons être identifié et suivi.
- Ce qui peut nous nuire, dans l’exploitation de nos données personnelles, ce n’est pas l’accès à nos secrets. La plupart d’entre nous n’avons certainement rien de bien méchant à cacher (mais attention au moindre faux pas :un interdit de chèques, par exemple, qui pourrait nous suivre indéfiniment ; attention, pour un entrepreneur, à une première aventure malheureuse). Le danger tient plutôt au sens que des algorithmes peuvent tirer de nos données : notre capacité de remboursement, notre honnêteté, notre propension à gagner plus, … Nous courrons alors le risque non seulement d’être exposés à des calculs fallacieux mais, en plus, de ne même pas le savoir. D’ores et déjà, des sociétés proposent aux banques d’utiliser, pour traiter les demandes de crédit, des jugements de personnalité tirés de la manière dont nous utilisons notre téléphone ou dont nous tapotons notre clavier d’ordinateur – des jugements dont un peu de bon sens amène à sérieusement douter du bien fondé.
A l’âge du Big Data, la protection de la vie privée doit être complètement repensée – d’autant que les mêmes règles ne valent pas d’un pays ou d’un continent à l’autre. N’est-ce pas là un thème sur lequel les banques devraient particulièrement contribuer ? Parmi les solutions qui se dégagent aujourd’hui (notamment à travers celles qu’explore le Human Dynamics Laboratory du MIT), certaines concernent le recours à des demandes d’information plus générales, plus anonymisées, qui permettrait à chacun de rester propriétaire de ses données. Mais il est une solution plus immédiate finalement : contre la crainte d’être jugé sur des éléments qu’on ne maitrise pas, pourquoi ne pas rendre transparentes les méthodes d’évaluation, de scoring particulièrement ? Pourquoi les éléments sur lesquels ils sont jugés ne seraient-ils pas ouvertement communiqués aux clients ? Nous l’avons déjà signalé, les banques américaines sont à cet égard bien plus ouvertes que les banques européennes. Elles y voient en effet un avantage commercial mais aussi la possibilité de rendre les scorings plus efficaces puisque, au lieu d’essayer de prédire des comportements des clients presque à leur insu, rendre la méthodologie de scoring transparente conduit finalement les clients à adopter davantage des comportements confortant leur solvabilité.
La question, en d’autres termes, est de savoir si, en matière de risques, la transparence ne serait pas davantage pertinente qu’une accumulation de données dont on attend sans doute assez naïvement aujourd’hui qu’elle permette de prévenir les risques de manière sûre au niveau individuel. Quant à l’exploitation commerciale des données, pour bâtir des offres individualisées, il s’agirait également de savoir si mieux cerner les attentes des clients ne serait pas également plus efficace que de les bombarder d’offres qui seront pour la plupart vues comme des spams.
I. Reider/Score Advisor
