Avec l’apparition de nouveaux modèles de ville intelligente, les contrats sociaux en place un peu partout dans le monde sont contestés en raison des préoccupations concernant la propriété des données. Comment devons-nous estimer la valeur de la vie privée d’un citoyen en regard des avantages pour la collectivité d’avoir accès à des données ouvertes?
Au cours de la première moitié de la dernière décennie, de grandes villes ont adopté des règlements et des lignes directrices en vue de promouvoir le partage des données ouvertes. Toutefois, certains projets de ville intelligente ont suscité la controverse et fait la une de l’actualité à cause de l’utilisation abusive de données et d’un manque de transparence. Cette situation a entraîné à son tour une mobilisation des citoyens et des organisations de la société civile autour des problèmes de confidentialité et de cybersécurité.
La sécurité et la transparence des systèmes de données passent par des modèles de gouvernance efficaces. Pour l’essentiel, ces modèles dicteront quels organismes sont directement responsables de la gestion des flux de données, de l’octroi des accès, des mécanismes de règlement des litiges et, le cas échéant, de la perception des frais pour l’utilisation des données à des fins commerciales.
Dans la foulée de la table ronde sur les villes intelligentes et les modèles de gouvernance des municipalités canadiennes organisée par BLG, nous explorons ici comment trois grandes villes affrontent cette nouvelle réalité.
Londres : conserver les données en fiducie
Selon la Smarter London Together Roadmap, qui vise à faire de la capitale du Royaume-Uni « la ville la plus intelligente du monde », une des cinq priorités fondamentales consiste à conclure un nouvel « accord sur les données ». En plus de présenter une stratégie de cybersécurité pour l’ensemble de la ville et d’ouvrir un bureau – le London Office for Data Analytics (LODA) – pour faciliter le partage des données et la collaboration en vue d’améliorer la prestation des services, la feuille de route met en relief le besoin de renforcer les droits des citoyens concernant leurs données et leur vie privée, et propose des modèles de gouvernance pour la gestion de ces données.
En collaboration avec l’Open Data Institute (ODI) – un organisme sans but lucratif cofondé par sir Tim Berners-Lee, l’ingénieur en informatique à qui l’on doit l’invention du World Wide Web –, la ville de Londres teste le modèle de la fiducie de données. Inspirée du concept de fiducie judiciaire, une fiducie de données est une structure juridique qui assure une gestion indépendante des données, libérant ainsi le gouvernement et les entreprises privées de cette responsabilité pour confier à ses fiduciaires le pouvoir de prendre des décisions sur la façon dont les données peuvent être utilisées ou partagées en vue d’un objectif convenu au préalable. Dans ce cas, la fiducie ne possède pas les données, mais plutôt une licence y donnant accès, et elle suit ou applique des directives strictes, prévues dans sa propre charte, concernant leur utilisation.
Une des études de cas menées à Londres, dans le district de Greenwich, portait sur la pertinence d’une fiducie de données dans le contexte de la gestion du stationnement et du chauffage d’un complexe immobilier appartenant au conseil municipal. Les données ont été recueillies au moyen de capteurs en vue de résoudre un problème précis : dans le premier cas, on cherchait à améliorer les infrastructures pour les véhicules électriques tandis que dans le second, il s’agissait d’améliorer l’efficacité énergétique de l’immeuble d’habitation. Les deux études partageaient le même objectif : déterminer si une fiducie serait le meilleur outil pour gérer les données recueillies et les mettre à la disposition de développeurs informatiques qui seraient en mesure de proposer des solutions.
Un autre projet pilote de l’ODI consistait à déterminer si une fiducie de données pourrait « soutenir les efforts de réduction du gaspillage alimentaire sur la planète en améliorant la capacité des intervenants à suivre et à évaluer les quantités de nourriture gaspillée dans les chaînes d’approvisionnement ». Ici, la fiducie serait conçue en fonction du principe de partage de données entre entreprises.
Publié en avril 2019, le rapport de l’ODI sur les fiducies de données (ODI’s report on data trusts) confirme que le modèle comporte de nombreux avantages pour faciliter le partage fiable et transparent de données entre intervenants, comme des municipalités, des entreprises, des développeurs en intelligence artificielle et des chercheurs universitaires. En outre, le rapport soutient que la nature prosociale de ces fiducies permet de garantir que les avantages du partage de données seront distribués plus équitablement dans la société, tout en contribuant à créer un système centralisé plus efficace pour la gestion des demandes de données.
Toutefois, les conclusions du rapport sur les projets pilotes de Greenwich n’étaient pas probantes. Il n’était pas clair, dans les cas étudiés, « […] qu’une fiducie de données permettrait d’obtenir les améliorations recherchées par les organisations. L’état [actuel] des ententes, même si elles demeurent en grande partie à un stade préliminaire, semble suffire pour partager les données et obtenir les renseignements nécessaires. » Comme le stipule le rapport, la création d’une fiducie entraîne des coûts d’infrastructure. Compte tenu de la nature des données recueillies et des enjeux de confidentialité, la fiducie de données pourrait ne pas être le meilleur modèle dans chaque cas.
En déterminant quelle structure juridique serait la plus appropriée pour une fiducie de données dans le contexte britannique, le rapport de l’ODI recommande que la société indépendante prenne la forme d’une entreprise d’intérêt communautaire investie d’un mandat à caractère social :
Ainsi, elle intégrera des dispositions exigeant la promotion du partage éthique des données en vue de bénéfices collectifs plus large… Les données seraient accordées sous licence à la fiducie (puisque les données ne constituent pas un bien matériel susceptible d’être cédé) et cette licence serait assortie de clauses stipulant la façon dont les données doivent être utilisées. La licence pourrait aussi prévoir des méthodes de rémunération des fournisseurs (s’il y a lieu) pour l’utilisation des données. L’administration de la fiducie serait assurée par un conseil, et les principales parties prenantes se rencontreraient à l’occasion pour prendre les décisions importantes. Tout différend serait résolu par un comité de règlement et la fiducie pourrait être dissoute en révoquant les licences et en la liquidant selon la procédure normale pour une entreprise d’intérêt communautaire.
Amsterdam : clarifier des priorités
Pour communiquer plus concrètement les principes de protection des renseignements personnels au grand public, le Conseil économique d’Amsterdam (Amsterdam Economic Board) a rédigé le manifeste TADA, qui présente de façon vivante sa vision d’un usage responsable des données dans les villes numériques. Le manifeste a été rédigé en 2017 par un groupe de travail réunissant des citoyens, des représentants du gouvernement, des ONG et des entreprises.
Le manifeste TADA présente six principes abstraits qui touchent à des enjeux comme le droit d’être oublié et le contrôle de l’utilisation des données. Les groupes de travail Smart City de la Ville ainsi que d’autres instances gouvernementales, organismes, entrepreneurs et citoyens ont été invités à le signer. Le manifeste n’engage pas la responsabilité des signataires, mais l’étiquette « TADA! » peut être associée aux initiatives qui s’y conforment. En voici les six principes :
- Inclusion. « Notre ville numérique est inclusive. Nous tenons compte des différences entre les individus et les groupes, sans perdre de vue le principe d’égalité. »
- Contrôle. « Les données et la technologie devraient permettre d’étendre la liberté des gens. Les données doivent être à leur service, comme les citoyens le jugent approprié, pour les avantager, pour recueillir de l’information, pour accroître leurs connaissances, pour mieux s’organiser. Les citoyens conservent la maîtrise de leurs données. »
- L’humain d’abord. « Les données et les algorithmes n’ont pas le dernier mot. Le caractère humain demeure à l’avant-plan et nous laissons toujours de la place à l’imprévisibilité. Les gens ont le droit de se faire oublier dans la sphère numérique afin d’avoir la possibilité de repartir à neuf en tout temps. »
- Légitimité et surveillance. « Les citoyens et les usagers exercent un contrôle sur la conception de notre ville numérique, et le gouvernement, les organisations de la société civile et les entreprises leur facilitent la tâche. Ils surveillent le processus de développement et les répercussions sociales qui en découlent. »
- Ouverture et transparence. « Quel genre de données sont recueillies? À quelles fins? Et quels en sont les résultats? Nous agissons toujours avec transparence. »
- De tout le monde, pour tout le monde. « Les données que les instances gouvernementales, les entreprises et d’autres organismes génèrent et recueillent dans la ville sont détenues en commun. N’importe qui peut les utiliser et tout le monde peut en profiter, conformément aux ententes de gré à gré que nous concluons. »
Un manifeste n’a pas force de loi : c’est plutôt un énoncé de convictions. De nombreuses autres villes, particulièrement dans la première moitié de la dernière décennie, ont publié des manifestes et des déclarations de principes qui les engagent à adopter des mesures sur les données et le respect de la vie privée. Mark Crooymans, directeur des services urbains et de l’information pour la Ville d’Amsterdam, a déclaré en août 2019 que le succès de TADA est attribuable au fait que les principes sont soutenus par des méthodes concrètes de mise en œuvre.
« L’approche est intéressante du fait qu’elle est flexible, ce qui facilite son intégration, écrit-il. C’est un cadre qui permet de s’ajuster au fur et à mesure sans être trop prescriptif. »
Les principes du TADA figurant dans le premier programme officiel d’Amsterdam sur la ville numérique publié en avril 2019 sont à la base d’une feuille de route pour la gouvernance numérique fondée sur le respect de la vie privée. « La Ville d’Amsterdam défend les droits et libertés de ses citoyens en matière de numérique, peut-on y lire. Si ces droits ne sont pas protégés, la ville libre ne peut exister. Nous devons réhumaniser la technologie. »
Le programme prévoit que des clauses sur la propriété seront ajoutées aux conditions d’utilisation des données. Il s’inspire également d’exemples comme le X-Road, le programme ambitieux mis en place par l’Estonie. Cette plateforme basée sur la chaîne de blocs encode de manière transparente les données détenues par les services d’information des secteurs public et privé, et permet aux citoyens de contrôler de façon pointue la propriété des données. Enfin, parallèlement à son programme sur la ville numérique, Amsterdam a publié, en collaboration avec Barcelone et New York, la déclaration Cities Coalition for Digital Rights.
New York : rendre les algorithmes responsables
Les pouvoirs publics nord-américains s’inquiètent des dangers de l’utilisation d’algorithmes prédictifs, notamment le « biais algorithmique » qui a récemment donné lieu à des politiques problématiques en matière d’aide sociale et de maintien de l’ordre.
En 2018, la Ville de New York a adopté un projet de règlement sur l’utilisation responsable des algorithmes, dont le président du comité directeur a déclaré : « Si nous devons être sous la gouverne de machines, d’algorithmes et de données, eh bien il vaudrait mieux qu’elles soient transparentes. » En annonçant la mise sur pied d’un groupe de travail sur les systèmes de prise de décisions automatisée (Automated Decision Systems Task Force) prévu par le règlement, le maire Bill de Blasio a annoncé : « Alors que les données et la technologie occupent une place de plus en plus grande dans le fonctionnement des administrations municipales, les algorithmes sur lesquels on s’appuie pour prendre des décisions doivent concorder avec nos valeurs et nos objectifs. »
Ces travaux se sont ajoutés à l’adoption par la Ville, en 2016, de lignes directrices sur le déploiement de dispositifs de l’Internet des objets. Trente-cinq villes dans onze pays s’en sont inspirées comme cadre pour leur propre programme.
Le règlement prévoyait à l’origine que les organismes publics et privés révèlent au public le code source de tout logiciel utilisé par la Ville, mais il a dû être assoupli face à l’opposition d’entreprises de technologie et du service de police de New York.
En 2019, le groupe de travail a tenu deux assemblées publiques sur les thèmes de la transparence, de l’équité et de la responsabilité. Les experts sont sceptiques quant aux retombées qui en déboucheront, mais comme l’a écrit Julia Powles dans The New Yorker :
Quelles que soient les lacunes du nouveau règlement, un grand nombre de personnes à qui j’ai parlé le considèrent comme une occasion de s’intéresser davantage à ces enjeux importants. Cathy O’Neil, l’auteure de Weapons of Math Destruction : How Big Data Increases Inequality and Threatens Democracy, m’a expliqué : “Voyez ce règlement comme une expérience dans le monde de la responsabilité algorithmique, comme le ferait le capitaine Picard de Star Trek en envoyant une sonde spatiale pour explorer un vortex. Nous découvrons que l’univers des algorithmes est en fait un immense vortex.” En soustrayant les algorithmes et leurs créateurs de l’examen du public plutôt que de réagir aux inquiétudes des citoyens concernant les biais et la discrimination, le système en place “propage le mythe que ces algorithmes sont objectifs et équitables. Rien ne nous permet de croire que c’est le cas”, conclut O’Neil.