Cambridge Analytica : « Aucune preuve » d’une interférence dans le référendum du Brexit selon le rapport final de l’ICO

Source : Financial Times, Izabella Kaminska
Traduit par les lecteurs du site Les Crises

Après plus de trois ans, Elizabeth Denham, commissaire à l’information (ICO) du Royaume-Uni, a clos son enquête sur le traitement abusif des données par SCL (SCL Elections Ltd) et la maison mère, Cambridge Analytica.

À première vue, les conclusions publiées réfutent bon nombre des accusations portées par les lanceurs d’alerte et les militants des droits numériques au cours de l’année 2018.

Ces accusations portaient principalement sur une collusion présumée entre le spécialiste du marketing numérique et la Russie pour orienter les résultats du référendum sur le Brexit ainsi que des infractions aux réglementations encadrant les campagnes électorales américaines de 2016. Les militants avaient également fait valoir que l’entreprise aurait omis de supprimer des données litigieuses obtenues de Facebook sans l’autorisation des utilisateurs après qu’on le lui ait demandé.

Vendredi, Mme Denham a déclaré à une commission parlementaire « qu’à l’examen, les méthodes utilisées par SCL étaient dans l’ensemble des processus bien reconnus utilisant des technologies répandues. »

Mais ce rapport présente également des questions sur l’étendue et la portée des attributions actuelles du régulateur. Il s’agit notamment de savoir si l’ICO, en tant qu’organisme indépendant financé en partie par des droits et des subventions gouvernementales, est bien adapté pour l’évaluation des actes répréhensibles — tant en termes de ressources que d’expertise — qui dépassent le champ d’application immédiat de la loi sur la protection des données et la juridiction britannique.

Cette enquête a été déclenchée par une demande d’accès (SAR) de l’universitaire américain David Carroll, citoyen américain, en 2017, concernant ce sujet. Il voulait mieux comprendre comment on était en train d’utiliser ses données personnelles pour établir son profil en vue d’un microciblage dans le cadre de campagnes électorales.

Toutefois, au moment de cette demande, il n’était pas établi que l’ICO soit compétente pour répondre aux demandes émanant de citoyens étrangers, même au sujet du traitement de leurs données à caractère personnel sur le territoire britannique. La plupart des juristes conviennent aujourd’hui que l’enquête a créé un précédent qui signifie que l’ICO est compétente et tenue d’enquêter dans de tels scénarios, ouvrant ainsi la voie à des enquêtes internationales potentiellement encore plus vastes à l’avenir.

Le rapport final décrivait cette investigation de Cambridge Analytica comme « l’une des plus vastes et des plus complexes jamais menées par une autorité de protection des données. » L’analyse du régulateur a également porté sur plus de 700 téraoctets de données sous mandat saisies dans le bureau londonien de SCL en 2018.

Le coût de l’investigation atteignait 2,4 millions de livres sterling en octobre 2018, sur un budget annuel alors estimé à plus de 50 millions.

Pas de preuve probante

Une des principales controverses autour de Cambridge Analytica a été de savoir dans quelle mesure l’entreprise a continué à s’appuyer sur les ensembles de données controversées qu’elle avait acquises auprès de Facebook, même après que Facebook lui ait demandé de les supprimer.

Les données originales de Facebook proviennent du Dr. Aleksandr Kogan, chercheur de l’université de Cambridge, qui a développé les techniques psychographiques qui ont fait la réputation de Cambridge Analytica. Bien que les modèles de Kogan aient été basés sur des échantillons de données générées par des tests de personnalité effectués sur Facebook avec la permission des utilisateurs, il s’est avéré par la suite que les données comprenaient également des informations glanées sur les amis des utilisateurs sans permission.

Le rapport de l’ICO a toutefois découvert que Cambridge Analytica avait, sur requête de Facebook en 2016, oeuvré à leur suppression. Selon l’ICO, la société aurait également commencé à reproduire les données de Kogan sur une base totalement indépendante et autorisée dès 2015.

Le même rapport signale cependant que certaines données dérivées n’ont été supprimées qu’en 2017, avec l’accord du directeur général de l’époque, Alexander Nix.

L’ICO a donc mentionné « soupçonner » que certaines parties des données originales de Kogan pourraient avoir été utilisées en relation avec la campagne politique pour l’élection présidentielle américaine de 2016, bien que sous une forme modélisée.

Par exemple, il est entendu que la SCL a déployé de la publicité sur la plateforme Facebook (par le biais de contrats avec des entreprises, dont la société de données canadienne AggregateIQ). Cette publicité était destinée à des groupes démographiques spécifiques d’électeurs déterminés par le profilage entrepris par SCL/CA et sa collaboratrice Global Science Research.

Nos sources à Cambridge Analytica ont toujours contesté ce fait, affirmant que les données étaient seulement mises en quarantaine pour des raisons de comparaison de modèles. Dans sa version actuelle, le rapport final n’offre aucune preuve convaincante du contraire.

Coupable d’avoir survendu la psychographie ?

Une autre conclusion impopulaire du commissaire concerne l’inefficacité réelle des analyses prédictives du groupe. Potentiellement importante. Comme indiqué dans le rapport (c’est nous qui soulignons) :

… si les modèles ont permis de prédire correctement les caractéristiques des personnes dont les données ont été utilisées pour la conception du modèle, la précision de ces prédictions dans le monde réel – lorsqu’elles sont utilisées pour de nouvelles personnes dont les données n’avaient pas contribué à la génération des modèles — est probablement beaucoup plus faible. L’analyse des communications internes des entreprises effectuée par l’ICO a permis de se rendre compte qu’il y avait un certain scepticisme au sein de SCL quant à l’exactitude ou à la fiabilité du processus effectué. Il semblait y avoir une certaine inquiétude en interne concernant les messages externes par rapport à la réalité de leur traitement.

Dans le même temps, le célèbre slogan du groupe – selon lequel il disposait de plus de 5 000 points de données par individu concernant 230 millions d’Américains – a également été jugé exagéré par la commissaire. Les points de données réels détenus par les entreprises ressemblaient davantage à cela :

Mais qu’en est-il du Brexit ?

L’ampleur de l’implication de Cambridge Analytica dans la campagne Leave.EU Brexit est probablement ce qui a le plus préoccupé les militants britanniques pour les droits numériques ces dernières années. Mais il est peu probable que les conclusions du rapport de l’ICO soient bien accueillies.

Selon la commissaire, (c’est nous qui soulignons) :

… aucune autre preuve ne vient modifier mon opinion antérieure selon laquelle le groupe SCL/CA n’a pas été impliqué dans la campagne du référendum sur le Brexit au Royaume-Uni — au-delà de quelques enquêtes initiales effectuées par SCL/CA sur les données Ukip dans les premières étapes du processus référendaire. Ce volet de travail ne semble pas avoir été poursuivi par la SCL/CA.

En ce qui concerne l’intervention russe, la commissaire a rappelé que l’ICO avait déjà remis ses conclusions à l’Agence nationale de lutte contre la criminalité. Le rapport final de la Commission du numérique, de la culture, des médias et des sports a révélé en février 2019 qu’elles portaient sur la découverte d’adresses IP russes dans les données associées au serveur d’Alexandre Kogan. La commissaire a ajouté que l’enquête n’avait trouvé aucune preuve supplémentaire de l’intervention de la Russie dans les données contenues dans les serveurs de Cambridge Analytica qu’elle avait obtenu depuis. L’Agence nationale de lutte contre la criminalité, quant à elle, n’a encore pris aucune mesure.

Enfin, la commissaire a déclaré qu’elle n’avait trouvé « aucune violation significative de la réglementation sur la protection de la vie privée, le marketing électronique et la législation sur la protection des données qui aurait atteint le seuil d’une action réglementaire officielle. »

La seule action qui ait abouti à condamner SCL pour non-respect d’un avis d’exécution, envoyé alors qu’ils étaient déjà sous administration. Cela leur a valu de payer une amende de 18 000 livres sterling.

Mais les sanctions de l’ICO s’étendent également aux groupes suivants :

– Facebook, condamné à une amende de 550 000 € payéele 04 novembre 2019

– Vote Leave, condamné à une amende de 44 000 € payée le 29 avril 2019

– Leave EU, condamné à une amende de 16 000 € payée le 15 mai 2019

– Emma’s Diary, condamné à une amende de 150 000 € payée le 29 août 2018

Qui garde les gardiens ?

Au total, les données accumulées par l’ICO dans le cadre de cette enquête a concerné 42 ordinateurs portables et de bureau, 700 To de données, 31 serveurs, plus de 300 000 documents, et un large éventail de matériel provenant de sources papier et de dispositifs de stockage dans le cloud.

Maintenant que son enquête est terminée, et en vertu de ses propres directives en matière de contrôle des données, l’ICO sera tenu de soit restituer les ensembles de données à leurs propriétaires – en l’occurrence les administrateurs de la SCL – soit de les éliminer de manière sécurisée.

Selon le rapport final, le bureau de la commissaire est déjà en train de s’assurer que « toutes les données, modèles et dérivés soient détruits en toute sécurité » et a déclaré que « plusieurs pièces obtenues ont ensuite été rejetées ; nous prenons des mesures via nos experts d’enquêtes technologiques pour les détruire nous-mêmes de manière sécurisée. »

Cela, selon FT Alphaville, implique que les données sous-jacentes, que beaucoup continuent de croire uniques responsables du « piratage » concernant le Brexit et des élections de 2016 aux États-Unis, pourraient bientôt être perdues à tout jamais.

Si c’est le cas, il pourrait bientôt devenir encore plus difficile de réfuter la proposition gênante selon laquelle le principal crime de Cambridge Analytica a consisté à surestimer ses propres capacités relatives aux données, plutôt que de pirater réellement la démocratie avec l’aide des Russes.

Source : Financial Times, Izabella Kaminska, 06-10-2020
Traduit par les lecteurs du site Les Crises

Nous vous proposons cet article afin d'élargir votre champ de réflexion. Cela ne signifie pas forcément que nous approuvions la vision développée ici. Dans tous les cas, notre responsabilité s'arrête aux propos que nous reportons ici. [Lire plus]Nous ne sommes nullement engagés par les propos que l'auteur aurait pu tenir par ailleurs - et encore moins par ceux qu'il pourrait tenir dans le futur. Merci cependant de nous signaler par le formulaire de contact toute information concernant l'auteur qui pourrait nuire à sa réputation.