Personnalisation sans identification

Article mis en ligne le 31 octobre 2007

Mise en ligne le 31 octobre 2007 de l’article paru initialement sur Internet Actu le 22 octobre 2007 http://www.internetactu.net/?p=7363

***

Pertinence des contenus éditoriaux (mais aussi des messages publicitaires ou des offres commerciales), gain de temps pour éviter de se perdre dans une jungle d’informations, qualité des services rendus : les avantages de la personnalisation sur l’internet ne sont plus à démontrer. Souvent, elle se conçoit en contrepartie d’une collecte de données sur les utilisateurs, qu’il s’agisse d’une collecte explicite par le biais de questionnaires qui leurs sont proposés ou d’une collecte implicite via la capture des traces qu’ils ont laissés.

Selon l’approche communément admise, il y aurait donc un arbitrage à effectuer entre la personnalisation et la protection des données à caractère personnel, entre la facilité d’usage et la contrainte de l’utilisateur. Si l’individu exige de ne plus être traité comme un anonyme, il doit faire preuve de cohérence. Le prestataire du service a besoin de connaître l’utilisateur, de savoir qui il est, de savoir comment il s’appelle, notamment pour mieux fidéliser sa clientèle et maximiser la rentabilité de chaque client.

Autant d’évidences qu’il convient pourtant de relativiser et même de remettre profondément en cause.

La “personnalisation”, au sens du marketing “One to One”, est censée dépasser les approches classiques en termes de segmentation, qui consistent à affecter chaque utilisateur à une catégorie et à délivrer un service censé correspondre aux attentes de cette catégorie. Dans la pratique, elle aboutit encore, bien souvent, à une segmentation plus fine, plutôt qu’à une réelle relation individualisée. Avec le risque de perdre de vue le contexte, de limiter l’individu (sans recours, puisqu’il est ici en relation avec une machine) à une seule de ses dimensions. Ce n’est pas la seule démarche possible, l’alternative déjà pratiquée de longue date sur le Web consiste à laisser la personne choisir sa ou ses propres catégories. Sur un site institutionnel par exemple, l’information à laquelle vous accédez peut être conçue différemment selon que vous êtes actionnaire, journaliste, client, demandeur d’emploi… sans qu’il soit nécessaire de s’enregistrer. N’est-il pas plus simple de laisser prévaloir l’auto-segmentation ?

“Je sais qui tu es mais je ne sais pas comment tu t’appelles”

Pour mettre en œuvre une réelle personnalisation il est nécessaire de connaître la personne mais est-il pour autant nécessaire de savoir comment elle s’appelle ? Pour reprendre la formule de Fulup Ar Fol, architecte internet chez Sun Microsystems, “Je sais qui tu es mais je ne sais pas comment tu t’appelles”. Cette personnalisation sans identification n’est pas un nouveau concept propre aux seuls univers numériques, elle fonctionne naturellement dans le monde physique, comme l’expliquait Fulup Ar Fol à un atelier de la Liberty Alliance à Paris en 2005 : “Si vous prenez un double café crème et deux croissants dans le même bar, tous les matins, assez rapidement le serveur préparera votre commande avant même que vous le lui demandiez. Il sait que c’est vous mais il ne sait pas qui vous êtes.

Si la personnalisation peut exiger comme condition préalable l’accès à un profil – c’est-à-dire à un historique des comportements du client et de sa relation avec l’entreprise, à des données déclaratives sur des centres d’intérêts ou des caractéristiques personnelles – il n’est pas pour autant nécessaire de disposer de l’identité de la personne qui souhaite bénéficier du service. A titre d’exemple, les coupons de réduction que vous recevez à la caisse des supermarchés prennent en compte ce que vous avez acheté, vous proposant une réduction pour telle marque de bière si vous en avez acheté une concurrente. Dans un registre proche, il serait tout à fait concevable de mettre en œuvre une personnalisation fondée sur le rôle, la mission, la fonction, etc., sans qu’il soit utile de disposer de l’identité, comme c’est le cas avec les cartes de statut anonymes (médecin, infirmière, handicapé…) qu’on installe derrière le pare-brise de sa voiture pour prouver un droit ou un usage particulier.

Reste à savoir s’il est plus facile, dans l’univers des réseaux, de témoigner de son statut ou de son droit que de son identité ?

S’il n’y a plus d’identité rattachable – directement ou indirectement – à un profil, il n’y pas de données à caractère personnel au sens de la réglementation informatique et libertés. D’un coup, l’idée même d’arbitrage entre personnalisation et protection de la vie privée n’est plus aussi incontournable.

 La personnalisation protectrice des données personnelles

Loin de s’opposer, personnalisation et protection des données à caractère personnel peuvent aller de pair. Telle est la base du concept de Privacy-Enhanced Personalization, dont la traduction en français n’a rien d’évident. On proposera “personnalisation protectrice des données personnelles” tout en ayant conscience que, pour bien des lecteurs, cela s’apparente à un oxymore. L’article d’Alfred Kobsa, professeur d’informatique à l’université de Californie, justement intitulé “Privacy-Enhanced Personalization”, et paru dans le numéro d’août 2007 de la revue Communication of the ACM, développe cette idée selon laquelle la privacy ne s’oppose pas à la personnalisation. Elle permettrait même théoriquement une personnalisation plus efficace, car respectueuse de l’individu : elle inciterait seulement celui-ci à confier plus d’informations (ou plus d’informations exactes). L’auteur précise cependant que cette idée n’a pu faire à ce jour l’objet d’une démonstration.

Pour Alfred Kosba, trois domaines technologiques constituent le champ de la “personnalisation protectrice des données personnelles”.

Il s’agit en premier lieu des services ou dispositifs d’anonymisation qui rendent impossible – ou au minimum très difficile – le rattachement d’un nom d’emprunt à la véritable identité de la personne. C’est le cas par exemple avec les adresses webmail jetables qui permettent de mettre en place des mécanismes de pseudonymisation simples : d’un clic, je deviens titi26@yahoo.com ! En pratique, des limites existent car l’anonymat de l’utilisateur finit souvent par être levé, par exemple, s’agissant du commerce, pour le paiement ou la communication de l’adresse de livraison. De plus, l’anonymat peut être contourné par déduction et recoupement de multiples données a priori anonymes. Ainsi, si vous disposez d’un dossier où figurent une profession très fréquente et une localisation correspondant à une grande agglomération, vous êtes en possession d’un profil anonyme (professeur à Paris). Inversement, une activité rare dans une petite commune correspondra à un ensemble de données fortement identifiant (Luthier à Triffouilly les Oies).

Le second domaine concerne l’adaptation des technologies de filtrage collaboratif pour éviter qu’elles ne reposent sur l’existence d’une base centralisée non cryptée. On rappelera que le filtrage collaboratif, qui est par exemple utilisé sur des sites de commerce électronique comme Amazon, permet de formuler des recommandations au client en utilisant des comparaisons statistiques avec d’autres clients ayant des pratiques similaires : “les clients qui ont acheté tel produit on aussi acheté tel autre produit”. L’une des pratiques envisagées consiste à remplacer une partie des profils réels par des données fictives avant consolidation. Si un consommateur commande des livres qui sont susceptibles de faire apparaître ses opinions politiques peu conventionnelles, il peut s’interroger sur les risques que lui ferait courir la divulgation de son profil. Le fait de recourir à un service qui introduit systématiquement 10 ou 20% de profils générés automatiquement en remplacement des vrais profils lui permettrait de soutenir que ce profil n’est pas le sien. La difficulté sera pour le prestataire de doser le bon niveau de données à remplacer pour éviter une dégradation trop forte du système de recommandation.

Enfin, la personnalisation sur le poste client (client-side personalization) représente certainement la voie la plus originale. Le principe consiste à faire en sorte que les données personnelles qui permettent la personnalisation du service demeurent sur le poste de l’utilisateur et ne soient donc pas collectées pour figurer dans les bases de données (centralisées ou pas, chiffrées ou pas) des organismes qui délivrent les services en ligne. Cette approche qui procure à l’utilisateur le contrôle de ses données personnelles en est encore au stade de la R&D, même si ces travaux ne sont pas forcément récents. Pourtant, le contrôle de ses données personnelles est une revendication de plus en plus visible. Reste que pour que la personnalisation sur le poste client ait une chance de se diffuser, il faudra aborder la question de la confidentialité des traitements – comme par exemple les algorithmes de score – mis en œuvre par les offreurs de services dans le cadre de services personnalisés. Ainsi, concrètement, on pourrait tout à fait imaginer par exemple qu’un organisme de crédit puise dans les données de votre profil sur votre ordinateur pour déterminer s’il peut vous délivrer ou non un crédit. En revanche, la manière dont l’organisme circule dans vos données peut révéler beaucoup de choses sur les algorithmes qu’il utilise, sur la “formule” de calcul qui le différencie de sa concurrence. Déjà que les entreprises ont du mal à envisager de partager une part de leur capital numérique, voir leurs logiciels et algorithmes dévoilés constitue certainement un risque plus grand encore, qu’ils sont certainement très loin d’envisager aujourd’hui.

Les pistes de réflexion ne manquent pas pour personnaliser sans identifier mais, comme bien souvent en matière de services de protection des données à caractère personnel, la généralisation dépendra au moins autant de l’émergence de modèles économiques viables que de la seule performance des solutions proposées. Aujourd’hui, l’identification est souvent un moyen de monétiser un service, de valoriser son audience et donc d’augmenter ses revenus commerciaux et ses rentrées publicitaires. Elle est aussi, de plus en plus souvent, un moyen pour faire discuter deux services entre eux : pour que votre page d’accueil personnalisable ou votre réseau social vous permette d’accéder à vos mails ou à vos photos, vous devez souvent lui communiquer vos différents codes d’accès. Sans imaginer de nouveaux modèles de prise en compte de l’audience, sans nouveaux modèles d’intégration de services comme l’évoque l’idée de la portabilité des réseaux sociaux, il est fort possible que ce qui pourrait en grande partie nous libérer des contraintes de l’enregistrement restera lettre morte. Dommage, car ces pistes sont plutôt motivantes.

Arnaud Belleil et Hubert Guillaud

Partager cet article

Restez informé !

Abonnez-vous à notre newsletter

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

A lire aussi

Article
2024, l'année de tous les défis... Pour bien commencer l'année, Cecurity.com vous propose un premier défi...
En savoir plus
Article
Cecurity.com suspend ses activités sur X (anciennement Twitter) en raison des récentes évolutions de ce réseau
En savoir plus
Article
Dans un communiqué diffusé le 28 juillet dernier la Direction Générale des Finances Publiques a annoncé
En savoir plus
Cecurity.com
Téléphone Email