Les lunettes intelligentes de Facebook et les risques pour la vie privée des Africains
Le partage des vidéos instantanées connaîtra un tournant décisif avec l’introduction des lunettes intelligentes issues du partenariat entre Ray-Ban et Facebook (désormais Metaverse; ci-après Meta). Mises sur le marché en septembre 2021, ces lunettes ont chacune deux caméras et trois microphones intégrés, de sorte que la personne qui les porte puisse enregistrer « ses expériences et interactions ». Ces partages se font toutefois en violation de la vie privée des personnes filmées. En effet, seul un petit indicateur lumineux rouge est intégré pour indiquer qu’un enregistrement est en cours.
Plusieurs Data Protection Authorities (ci-après DPA), majoritairement d’Europe se sont d’ailleurs prononcés sur la problématique mais, à ce jour, aucun DPA présent sur le continent africain n’a émis de commentaires sur le sujet. Pourtant, les risques liés à des violations de la garantie fondamentale de la vie sont importants, notamment lorsque l’on considère l’acteur principal qu’est Meta. En 2016, l’exploitation des données par le géant a déjà été prouvée tendancieuse pour la sécurité et la liberté de choix individuel dans de nombreux pays africains à la suite du scandale Cambridge Analytica, notamment en ce qui concerne les manipulations politiques qui sont intervenues au Kenya et au Nigéria.
Il est donc logique de se poser la question de connaître l’étendue des risques que ce nouvel outil pose pour les personnes qui l’utilisent ou non mais aussi pour les non-utilisateurs. Plus précisément, sachant que les données de population de plusieurs régions africaines ont déjà fait l’objet de manipulations politiques dans le passé, cette nouvelle exposition ne risque-t-elle pas de conduire à une assise autoritaire ou dictatoriale ? C’est à ces interrogations que cet article veut répondre mais souhaite surtout être une porte ouverte sur une discussion essentielle que les africains doivent avoir.
Ainsi, une première partie sera consacrée à la présentation globale du concept de vie privée en Afrique. Dans la deuxième partie, il sera question de l’exploitation des renseignements personnels par la multinationale Meta sur le continent africain et la dernière partie sera dévolue aux risques posés par les lunettes intelligentes.
I. La protection des renseignements personnels en Afrique
Bien que la vie privée soit un droit garanti par la Déclaration universelle des Droits de l'Homme, seuls quelques pays africains signataires ont intégré ce droit dans des cadres législatifs. Les consommateurs ont toutefois des attentes liées à la protection de leur vie privée. De façon générale, le concept est largement compris par une partie de la population, même si les principes fondamentaux auxquels sont soumises les organisations publiques ou privées restent obscurs. Dans la culture de plusieurs nations africaines, le concept de vie privée et de protection des renseignements personnels se rejoignent mais s’expriment différemment. Ainsi, comme il est indiqué dans Privacy Data Trends 2018 :
En Swahili, une langue largement parlée en Afrique de l’Est, le mot qui se rapproche le plus du concept de vie privée est siri, qui renvoie au secret. En Chichewa, langue parlée au malazi, le terme qui s’en rapproche le plus est chinsinsi qui renvoie également au secret. Similairement, en Shona, la langue parlée au Zimbabwe, ces mots chakavandika ou tsindidzo qui ne sont pas utilisés souvent dans les conversations signifient secret. En Amharic, language largement parlé en Éthiopie, le mot qui se rapproche le plus de l’expression vie privée est la phrase Ye Gil Hiwote Ye'Mekeberna Yemetebeke Mebit et se traduit par « le respect et la protection de la vie personnelle » [Notre traduction]
À l’échelle continentale, la protection de la vie privée et des renseignements est donc largement partagée et se traduit par l’existence de déclarations explicites dans divers textes constitutionnels de nombreux pays comme l’Angola, l’Algérie, le Cameroun, la République centrafricaine, le Tchad, la République du Congo, Djibouti, l’Égypte, la Guinée équatoriale, l’Érythrée, l’Éthiopie, la Gambie, le Ghana, la Guinée-Bissau, le Kenya, l’Afrique du Sud, l’Ouganda et le Zimbabwe.
À l’échelle régionale, la protection des renseignements personnels est entérinée dans la Convention de Malabo qui établit six principes devant être respectés par les organisations tant publiques que privées. Ceux-ci établissent des lignes directrices qui doivent être prises en compte dans la collecte, l’utilisation et la conservation des informations collectées. Ainsi, en son Article 13, il est mentionné :
- Le principe de consentement et de légitimité du traitement des données à caractère personnel
- Le principe de la licéité et de la loyauté du traitement des données à caractère personnel
- Le principe de finalité, de pertinence, de conservation du traitement des données à caractère personnel
- Le principe d’exactitude des données à caractère personnel
- Le principe de transparence des données à caractère personnel
- Le principe de confidentialité et de sécurité des traitements de données à caractère personnel
En conséquence, une organisation qui veut utiliser les renseignements personnels de consommateurs africains dont les pays sont signataires de la Convention devra respecter les principes établis. Parmi ces principes, le consentement en est la pierre angulaire, car il implique que les personnes dont les renseignements seront collectés et utilisés soient informées afin d’y consentir librement. L’avertissement de collecte des renseignements personnels peut prendre des formes variées selon le support utilisé ou les circonstances de la collecte. Nous pouvons faire référence ici aux nombreuses politiques de confidentialité publiées sur les sites internet, ou encore à la simple mise en garde tacite de l’utilisation de la pièce d’identité pour la consignation des informations des électeurs dans une base de données, ou encore aux nombreuses politiques de confidentialités publiées sur les sites internet. Ce sont ces politiques de confidentialité qui permettent ainsi à Meta de collecter puis d’exploiter les renseignements personnels de milliards d’individus.
II. L’exploitation des données personnelles par Meta
En janvier 2020, 217,5millions de la population africaine utilisent les médias sociaux et en 2017, ce nombre était porté à 177 millions pour les utilisateurs de Meta uniquement. Selon Franck Pengam, la société Meta est l’un des plus gros collecteurs de renseignements personnels au monde. Pour cause, grâce au déploiement massif d’algorithmes, la plateforme est en mesure de sauvegarder les données d’utilisateurs, de non-utilisateurs et même de comptes fermés. Ainsi, sont recueillies les informations de « personnes qui ne font plus partie de la liste d’amis, les anciennes relations amoureuses, les ex-employeurs, les précédents noms et les métadonnées des photos postées (le modèle de l’appareil photo, l’exposition, l’orientation, l’ouverture, la vitesse d’obturation, la longueur focale et l’adresse IP de téléchargement) […] ». Grâce à tous ces éléments, il est par exemple possible de déterminer avec précision le domicile et le lieu de travail d’une personne. Les multiples partenariats de Meta formés pour optimiser le déploiement de la publicité ciblée exploitent des renseignements personnels comme l’adresse IP de l’ordinateur, la géolocalisation, l’adresse email, le trajet de la souris d’ordinateur sur l’écran, le temps passé sur telle ou telle partie d’une page Web, sur tel produit, ... qui sont récupérés même lorsque le compte est fermé. De plus, toutes les données disponibles sur les autres sites ouverts sur l’ordinateur et sur le téléphone grâce à ses algorithmes sont également collectés lorsque les paramètres le permettent.
Or, faut-il le rappeler, depuis 2018 la compagnie Meta était considérée comme le potentiel plus puissant sous-traitant gouvernemental au monde selon des spécialistes des renseignements américains. Nous notons d’ores et déjà une nette évolution du nombre de requêtes effectuées par des organisations gouvernementales sur le continent africain. Pour avoir accès aux renseignements détenus par Meta, deux types de demandes peuvent être adressés, à savoir :
- Les demandes accompagnées d’ordonnances légales d’accès à l’Information
- Les demandes fournies sans ordonnance légale en raison de l’urgence de la situation
Le tableau ci-dessous donne un aperçu du nombre de demandes soumises par certains pays :
Pays | Juillet à Décembre 2019 | Juillet à Décembre 2020 | ||
Demandes fondées sur des ordonnances légales | Demandes fondées sur l’urgence | Demandes fondées sur des ordonnances légales | Demandes fondées sur l’urgence | |
Maroc | 105 | 1 | 270 | 2 |
Afrique du Sud | 9 | 16 | 9 | 6 |
Kenya | 4 | 2 | 17 | 0 |
Nigéria | 11 | 1 | 10 | 2 |
Le scandale Cambridge Analytica a, par ailleurs, révélé que la stratégie utilisée incluait une exploitation massive des données personnelles de millions de personnes détenues par Meta et dont elle avait connaissance. La stratégie consistait en trois étapes : « D’abord, récolter, principalement sur Meta, les données personnelles en ligne de millions de citoyens : âge, sexe, préférences esthétiques, culturelles ou politiques. Ensuite, analyser ces informations pour définir des microcatégories. Enfin, orienter les choix individuels, à l’aide d’algorithmes, par le biais d’une propagande taillée sur mesure, sur les plates-formes numériques ».
Ainsi, lors des élections de 2013 et 2017 au Kenya, en partenariat avec le Chef d’État Uhuru Kenyatta, les données personnelles d’électeurs ont été analysées et des profils d’électeurs établis sur cette base, une « propagande cousue de mensonges et d’exagérations » a alors pu être déployée pour influencer le choix des électeurs. Au Nigéria, selon ce que rapporte Le Monde Diplomatique : « six semaines avant la présidentielle de 2015, un milliardaire local qui […] était « affolé par la possible victoire du candidat de l’opposition », M. Muhammadu Buhari, s’offre pour 2 millions de dollars (1,75 million d’euros) les services de Cambridge Analytica. Recourant à des spécialistes de vols d’informations numériques (hackers), celle-ci fait circuler le dossier médical du candidat Buhari, alors âgé de 72 ans, sur les réseaux sociaux, laissant entendre que sa santé ne lui permettrait pas d’exercer sa fonction présidentielle ».
L’exploitation des renseignements personnelles détenues par Meta laisse entrevoir un danger important sur la stabilité de plusieurs régions africaines. À ces pratiques déjà en place, se rajoute continuellement un arsenal technologique qui décuple le pouvoir déjà bien assis de la compagnie.
III. Les risques posés par les lunettes intelligentes
Les technologies telles que les lunettes intelligentes sont créées et fonctionnent à l’aide d’algorithmes puissants qui entendent, voient et enregistrent tous les moindres détails de la vie des utilisateurs et des non-utilisateurs. Grâce à cette puissance, Meta a été en mesure, dans le cadre de son projet Ego4D, de collecter 3205 heures de données de plus 850 personnes dans neuf pays à travers le monde. L’enregistrement avec les lunettes permettent de rassembler les moindres détails comme les discussions personnelles, le comportement d’un passant, etc. La fonctionnalité des algorithmes utilisés ne se limite pas à la simple mémorisation des données, le but final étant de créer une base de données qui servira dans les futures versions des lunettes intelligentes à optimiser la réalité augmentée. Autrement dit, les comportements pourront être analysés, décortiqués, permettant à la machine de prédire avec une meilleure exactitude les choix des individus.
Actuellement, selon plusieurs experts, le projet Ego4D ne prend pas assez en compte le respect de la vie privée dont l’obtention du consentement des individus et leur connaissance des informations qui sont collectés sur eux. Par exemple, le projet inclut la retranscription de tout ce qui se dit par et autour de la personne portant ces lunettes et sa conception n’inclut pas la possibilité de demander un retrait des informations collectées des personnes n’ayant pas donné leur consentement.
Gardant en tête que Meta est un potentiel fournisseur de choix de renseignements des gouvernements et que les demandes d’informations peuvent se faire sous un motif urgent, donc sans ordonnance judiciaire, ce système s’apparente à un mode de surveillance décentralisée. La compagnie fait face à d’importantes sanctions financières avoisinant 5 milliards de dollars américains liés à un nombre croissant de bris de sécurité et de violation de la vie privée.
Bien que les individus soient habitués à se faire filmer ou photographier en public, ils s’attendent à un geste indicateur de la capture de l’image personnelle. Les lunettes intelligentes viennent bouleverser le consentement de l’enregistrement de soi et l’immixtion dans la vie privée prend une tournure faussement anodine. Il importe donc qu’à l’échelle individuelle, une attention plus critique soit portée sur les technologies disponibles et utilisées afin de prévenir des violations de la garantie fondamentale qu’est la vie privée.
Carolle VODOUHÈ, Juriste spécialisée dans la protection des renseignements personnels
Carolle VODOUHÈ est membre du chapitre québécois de l’Internet Society. Elle œuvre depuis plusieurs années dans le domaine de la protection des renseignements personnels et partage son expertise auprès de moyennes et grandes entreprises établies au Québec. Elle réalise également des consultations pour des organismes publics canadiens.