Pour la reconnaissance faciale à distance ou locale, les enjeux éthiques ne sont pas les mêmes

Identifier un visage dans une foule soulève de sérieuses questions sur les libertés individuelles. Mais il existe de nombreux autres usages de la reconnaissance faciale, notamment la validation d’identité en local. Ces utilisations ont vocation à se développer mais posent d’autres questions éthiques.

Par Winston Maxwell* et David Bounie**, Telecom Paris, Institut polytechnique de Paris

L’utilisation de la reconnaissance faciale pour l’identification à distance constitue une menace pour les libertés individuelles, car cela tend à banaliser une société de surveillance. Selon le New York Times, une start-up américaine Clearview AI a déjà fabriqué des gabarits d’identification de 3 milliards d’individus à partir d’images copiées sur le Web (1). N’importe quelle force de l’ordre – mais pas le grand public (2) – peut utiliser le logiciel de Clearview AI et identifier les visages dans une foule. Cependant, plusieurs villes américaines ont temporairement banni cette utilisation de la technologie par leurs autorités publiques.

Outils de surveillance généralisée
En Europe, la Commission européenne appelle à un grand débat européen sur l’utilisation de la reconnaissance faciale pour l’identification à distance. En France, le secrétaire d’Etat au numérique, Cédric O, souhaite lancer des expérimentations. Pour l’identification à distance, il faut avancer à tâtons pour trouver le bon équilibre entre les impératifs de sécurité publique et la préservation des valeurs démocratiques. Mais ce débat n’est pas différent au fond de celui qui, depuis 50 ans, entoure les technologies de surveillance des communications électroniques. La technologie utilisée pour la surveillance des communications n’a pas cessé d’évoluer : IMSI-catchers ou intercepteurs d’IMSI (3), boîtes noires, Deep Packet Inspection (DPI), captation à distance, … Ces outils permettraient une surveillance généralisée de la population. Leur utilisation en France est interdite, sauf par les forces de polices et des autorités de renseignement sous le contrôle de juges et de la CNCTR (4).
En application de la jurisprudence européenne, l’utilisation de technologies invasives de surveillance par l’Etat se justifie uniquement si l’utilisation est prévue par une loi. Et ce, pour faire face à une menace particulièrement grave, la lutte contre le terrorisme par exemple, et sous le contrôle d’un juge ou d’une commission indépendante. L’utilisation de la reconnaissance faciale pour identifier les individus à distance devrait suivre la même trajectoire : interdiction, sauf pour les autorités de police ou de renseignement sous le contrôle des juges. D’ailleurs, c’est déjà ce qui est prévu par la directive européenne européenne dite « Police-Justice » (5) de 2016, puisque la reconnaissance faciale est un traitement biométrique soumis à des règles strictes. Mais il existe un deuxième type d’utilisation, non-évoqué par la Commission européenne dans son livre blanc (6) sur l’intelligence artificielle (IA). Il s’agit de valider l’identité « en local » d’un individu en comparant sa photo « selfie » avec la photo de la pièce d’identité. Cette utilisation permet notamment d’ouvrir un compte bancaire à distance ou bien de passer plus vite dans un portique automatique à l’aéroport. Cette utilisation de la reconnaissance faciale se généralise, et elle paraît – de prime abord – moins attentatoire aux libertés individuelles : d’une part, parce que les personnes sont conscientes et consentantes de l’utilisation (ce qui n’est pas le cas pour l’identification à distance) ; d’autre part, parce qu’aucune image ni gabarit biométrique n’est stocké de manière centralisée. La vérification s’effectue en local, comme pour déverrouiller un smartphone avec l’empreinte digitale. Le système crée un gabarit biométrique à partir de la photo du passeport, analyse ensuite la photo de selfie, crée un deuxième gabarit biométrique du selfie, et compare les deux gabarits pour établir une probabilité de correspondance. Ensuite les gabarits sont détruits (lire encadré page suivante). La reconnaissance faciale locale soulève néanmoins des questions éthiques et juridiques importantes : l’existence d’un consentement libre, le problème des biais, l’explicabilité des algorithmes, et la difficile articulation avec le règlement général sur la protection des données (RGPD) pour la phase d’entraînement. La reconnaissance faciale « locale » pose la question du consentement libre. Si la personne subit des conséquences négatives en refusant la reconnaissance faciale, le consentement ne sera pas libre. Il en sera de même si le consentement est demandé par une personne jouissant d’une position d’autorité, par exemple si la direction d’un lycée demandait aux élèves de consentir à l’utilisation de la reconnaissance faciale pour rentrer dans l’établissement (7).

Les biais statistiques sont inévitables
Concerne les biais cette fois, le Parlement européen a appelé le 12 février 2020 à l’utilisation d’algorithme qu’il faut entraîner avec des données « non-biaisées » (8). Or, une telle condition est impossible à satisfaire en pratique. Certains groupes de la population seront toujours sous-représentés dans les images d’entraînement, ce qui signifie que les biais statistiques seront inévitables. Cela peut conduire à des niveaux de performance inégaux selon le genre, la couleur de peau ou la situation de handicap d’une personne. Par exemple, l’algorithme pourrait avoir plus de difficulté à identifier une femme noire qu’un homme blanc au moment de la vérification de l’identité à l’aéroport. Ces biais peuvent exister sous une forme bien pire chez les humains. Mais pour un algorithme, ce genre de biais est peu acceptable. Corriger ces biais dans l’algorithme est possible, mais cela soulève d’autres questions. Par exemple, si l’algorithme a un taux d’erreur élevé pour des personnes atteintes d’une certaine maladie de la peau, devons-nous baisser artificiellement le niveau de performance pour tous les autres groupes de la population pour que le taux d’erreur soit équivalent ? Ces questions deviennent rapidement politiques : à partir de quel moment un biais algorithmique devient-il suffisamment problématique pour le corriger, ce qui affectera inévitablement la performance de l’algorithme pour les autres personnes ?

Savoir s’il y a discrimination algorithmique
Un autre aspect éthique de la reconnaissance faciale concerne l’explicabilité des algorithmes. En France, le code des relations entre le public et l’administration garantit à chaque individu le droit d’obtenir une explication lorsqu’un algorithme géré par l’Etat prend une décision à son encontre (9). Logiquement, ce droit exige que l’exploitant de l’algorithme soit en mesure d’expliquer à une personne pourquoi un système n’a pas pu vérifier son image par rapport à sa pièce d’identité. Techniquement, des solutions d’explicabilité existent, même pour des réseaux de neurones. Mais fournir une explication exige le stockage d’informations, et notamment les gabarits générés par l’algorithme. Or, le RGPD et la directive « Police- Justice » interdisent généralement ce stockage, surtout lorsqu’il s’agit de données biométriques.
Résultat : dans certains cas, il n’y aura aucune explication quant au refus du système de vérifier l’identité. Le système ne réussira pas à identifier la personne, sans que la personne puisse vérifier si elle a fait l’objet d’une discrimination algorithmique. Cette absence de transparence pose une difficulté au niveau des droits fondamentaux, comme le démontre une récente décision du tribunal de la Haye (10).
Enfin, l’entraînement des algorithmes de reconnaissance faciale est difficile à réconcilier avec le RGPD. Pour réduire les discriminations, l’Agence européenne des droits fondamentaux (FRA) souligne la nécessité d’entraîner l’algorithme sur une grande quantité d’images représentatives de la population, et notamment les personnes vulnérables (11). Or cette condition est quasiment impossible à remplir en Europe puisque le RGPD et la directive « Police-Justice » interdisent la création de grandes bases d’images, surtout lorsque les images sont étiquetées selon la couleur de peau ou la situation de handicap. Les systèmes américains et chinois bénéficient, eux, d’entraînement sur des dizaines de millions d’images, ce qui crée un avantage concurrentiel considérable. De plus, les tests de non-discrimination des algorithmes s’effectuent tous aux Etats-Unis à l’agence NIST (12), même pour les systèmes européens.
L’entraînement des algorithmes pose un problème particulier puisque le gabarit d’un visage est considéré comme une donnée biométrique. Or le RGPD interdit le traitement de données biométriques, hormis des cas limités – par exemple, le consentement explicite de la personne. Du coup, un entraînement sur des millions d’images récupérées sur Internet devient impossible par une société européenne puisque l’entraînement nécessite la création, au moins temporaire, de gabarits, une donnée biométrique. Une solution pourrait consister en l’assouplissement des conditions d’application du RGPD lorsqu’il s’agit de créer des gabarits éphémères pour l’apprentissage des algorithmes dans des environnements contrôlés, voire de considérer que ces gabarits ne sont pas des données biométriques puisque la finalité de leur traitement n’est pas l’identification d’une personne mais seulement l’entraînement de l’algorithme. Lorsque l’algorithme est mis en exploitation, les dispositions du RGPD ou de la directive « Police-Justice » sur la biométrie retrouveraient toute leur force, puisque les gabarits seraient bien utilisés pour identifier des personnes. Le consentement explicite de la personne, ou en cas d’intérêt public et de nécessité absolue, serait alors nécessaire. @

* Winston Maxwell, ancien avocat, est depuis juin 2019 directeur d’études
Droit et Numérique à Telecom Paris. ** David Bounie est directeur du
département Economie et Sciences sociales à Telecom Paris.

ZOOM

Qu’est-ce qu’un gabarit ?
Un gabarit est l’équivalent d’un code barre qui contient les mensurations uniques d’un visage. La clé du succès en matière de reconnaissance faciale est de créer un algorithme capable de générer des gabarits de qualité à partir d’images d’individus. Un algorithme de qualité doit savoir générer le même gabarit pour l’image de Paul, quelles que soient les différences de lumière, d’angle de vue et de netteté de l’image de Paul. Pour entraîner l’algorithme, on va présenter à un réseau de neurones 100 photos d’une même personne — par exemple Angelina Jolie — récupérées sur le Web, avec des angles de vue et des lumières différents, et demander au réseau de neurones de trouver une formule mathématique qui permettra pour chaque photo d’Angelina Jolie de générer le même gabarit, quels que soient l’angle de vue ou la lumière. Les gabarits générés pendant l’apprentissage sont éphémères. Ils servent uniquement à aider l’algorithme à trouver la bonne formule mathématique. Une fois cette formule mathématique unique établie, elle peut s’appliquer à n’importe quelle nouvelle photo de passeport et générer, pour cette photo, un gabarit de qualité. L’algorithme va ensuite générer un deuxième gabarit à partir d’une deuxième photo (par exemple un selfie), et si l’algorithme est bien fait, les deux gabarits vont correspondre malgré les différences d’angle de vue et de lumière. La qualité de cet algorithme est au cœur des systèmes de reconnaissance faciale. @

A la poursuite du droit à l’oubli et d’un équilibre par rapport aux autres droits fondamentaux

Le droit à l’oubli sur Internet – dont le droit au déréférencement sur les moteurs de recherche – n’est pas un droit absolu. Il s’arrête là où commencent d’autres droits fondamentaux comme la liberté d’informer – selon le principe de proportionnalité. Mais cet équilibre est à géométrie variable.

Fabrice Lorvo*, avocat associé, FTPA.

L’oubli est une préoccupation récente aux racines millénaires. C’est d’abord un concept auquel notre civilisation est rompue depuis le code de Hammurabi (1). Cependant, l’effectivité de l’oubli a été profondément remise en cause par la révolution numérique car la donnée devient aujourd’hui indéfiniment apparente sur les sites web et immédiatement accessible par les moteurs de recherche. Dès lors, le législateur comme le juge œuvrent pour adapter un droit à l’oubli (2) à l’outil numérique.

Conditions du droit au déréférencement
Deux arrêts ont été rendus le 24 septembre 2019 par la Cour de justice de l’Union européenne (CJUE) qui contribuent à en définir les modalités. Nous nous intéresserons à celui (3) qui apporte d’importantes précisions sur les conditions dans lesquelles une personne peut exercer son droit au déréférencement. Ce droit permet à une personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite avec son nom et son prénom lorsque ces résultats renvoient vers des pages contenant des informations sensibles la concernant (par exemple, sa religion, ses opinions politiques ou l’existence d’une procédure pénale). Cette suppression concerne uniquement la page de résultats et ne signifie donc pas l’effacement des informations sur le site web source. Les informations continuent d’exister, mais il est plus difficile et long de les retrouver.
Au regard des textes successivement applicables (4), et des enseignements de la jurisprudence « Google Spain » (5) de 2014, la CJUE apporte les précisions suivantes :

Les interdictions et les restrictions au traitement de certaines données, comme les exceptions prévues par les textes, s’appliquent à l’exploitant d’un moteur de recherche à l’occasion de la vérification qu’il doit opérer à la suite d’une demande de déréférencement. Le rôle du moteur de recherche est décisif dans la mesure où, techniquement, il permet de trouver immédiatement, dans l’océan des données disponibles sur Internet, toutes les informations sur une personne dénommée, et, en les regroupant, de constituer ainsi un profil. La cour rappelle que l’exploitant d’un moteur de recherche n’est pas responsable des données existantes, mais uniquement de leur référencement et de leur affichage dans une page de résultats suite à une requête nominative. Cet exploitant doit respecter la législation sur le traitement des données comme les éditeurs de sites web. Tout autre interprétation constituerait « une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel » qui sont garantis par les textes.

L’exploitant d’un moteur de recherche a l’obligation de faire droit à la demande de la personne concernée… sauf si des exceptions (prévues par les textes) s’appliquent. La CJUE rappelle que les Etats membres doivent garantir aux personnes concernées le droit d’obtenir du responsable de traitement l’effacement des données dont le traitement n’est pas conforme aux textes. De même, en cas de demande de déréférencement, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, des liens vers des pages web, publiées par des tiers et contenant des informations sensibles relatives à cette personne, même si lesdites informations ne sont pas effacées préalablement ou simultanément de ces pages web, et même lorsque leur publication en elle-même sur lesdites pages est licite. Enfin, la cour rappelle que le consentement de la personne au traitement de ce type d’information est nécessaire et qu’il n’existe plus à partir du moment où ladite personne demande le déférencement. Il n’est donc pas nécessaire de prouver que le référencement cause un préjudice.

Droit absolu et principe de proportionnalité
Ce régime extrêmement protecteur, eu égard à l’importance de l’impact d’une telle publication pour l’individu, connaît néanmoins une exception de taille. En effet, l’ingérence dans les droits fondamentaux d’un individu peut cependant être justifiée par l’intérêt prépondérant du public à avoir accès à l’information (6) en question. Le droit au déréférencement des données à caractère personnel n’est donc pas un droit absolu, il doit être systématiquement comparé avec d’autres droits fondamentaux conformément au principe de proportionnalité. En conséquence, le droit à l’oubli de la personne concernée est exclu lorsqu’il est considéré que le traitement desdites données est nécessaire à la liberté d’information. Le droit à la liberté d’information doit répondre à des objectifs d’intérêt général reconnu par l’Union européenne ou, au besoin, de protection des droits et des libertés d’autrui.

Droits fondamentaux et liberté d’informer
Lorsqu’il est saisi d’une demande de déréférencement, l’exploitant d’un moteur de recherche doit donc mettre en balance, d’une part, les droits fondamentaux de la personne concernée et, d’autre part, la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche. D’après la CJUE, si les droits de la personne concernée prévalent, en règle générale, sur la liberté d’information des internautes, cet équilibre peut toutefois dépendre de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que l’intérêt du public à disposer de cette information. Or, cet intérêt peut varier notamment en fonction du rôle joué par cette personne dans la vie publique, comme l’illustre la jurisprudence « Google Spain ».

Enfin, la CJUE aborde la question cruciale de la publication relative à une procédure judiciaire, notamment quand ces informations sont devenues obsolètes. Il s’agit des informations concernant une enquête, une mise en examen ou un procès et, le cas échéant, de la condamnation qui en a résulté. La cour rappelle que la publication de ces données est soumise à des restrictions particulières (7) et qu’elle peut être licite lorsqu’elle est divulguée au public par les autorités publiques. Cependant, un traitement initialement licite de données exactes peut devenir avec le temps illicite, notamment lorsque ces données apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes, ou sont excessives au regard des finalités du traitement ou du temps qui s’est écoulé. L’exploitant d’un moteur de recherche doit encore vérifier, au jour de la demande de déréférencement, si l’inclusion du lien dans le résultat est nécessaire à l’exercice du droit à la liberté d’information des internautes potentiellement intéressés par l’accès à cette page web au moyen d’une telle recherche. Dans la recherche de ce juste équilibre entre le droit au respect de la vie privée des personnes, et notamment la liberté d’information du public, il doit être tenu compte du rôle essentiel que la presse joue dans une société démocratique et qui inclut la rédaction de comptes rendus et de commentaires sur les procédures judiciaires, ainsi que le droit pour le public de recevoir ce type d’information. En effet, selon la jurisprudence (8), le public a un intérêt non seulement à être informé sur un événement d’actualité, mais aussi à pouvoir faire des recherches sur des événements passés, l’étendue de l’intérêt du public quant aux procédures pénales étant toutefois variable et pouvant évoluer au cours du temps en fonction, notamment, des circonstances de l’affaire : notamment « la nature et la gravité de l’infraction en question, le déroulement et l’issue de ladite procédure, le temps écoulé, le rôle joué par cette personne dans la vie publique et son comportement dans le passé, l’intérêt du public à ce jour, le contenu et la forme de la publication ainsi que les répercussions de celle-ci pour ladite personne ».

Outre l’actualité ou le passé définitif, une difficulté demeure pour les informations obsolètes ou partielles. Par exemple, qu’en est-il pour une mise en examen annoncée sur Internet qui a aboutie à un non-lieu ? Ou pour une décision de condamnation frappée d’appel ? L’apport nouveau et essentiel de cet arrêt du 24 septembre 2019 est que la CJUE considère que même si la liberté d’information prévaut, l’exploitant est en tout état de cause tenu – au plus tard à l’occasion de la demande de déréférencement – d’aménager la liste de résultats, de telle sorte que l’image globale qui en résulte pour l’internaute reflète la situation judiciaire actuelle. Ce qui nécessite notamment que des liens vers des pages web comportant des informations à ce sujet apparaissent en premier lieu sur cette liste. Il s’agit là d’une précision essentielle, en théorie, mais qui peut s’avérer complètement inefficace en pratique. Pour apparaître dans les résultats, ces pages (sur la situation judiciaire actuelle) doivent… exister. Que se passe-t-il si des pages web ne comportent pas d’informations sur la suite de la procédure ? Souvent, la presse s’intéresse plus aux mises en examen qu’aux cas de nonlieu. La personne concernée devra-t-elle publier elle-même des pages web sur sa situation judiciaire actuelle ? Mais dans l’esprit du public, quelle force aura cette preuve pro domo (9) ? Devra-t-elle avoir recours à une agence de communication pour ce faire ? Enfin, les délais de traitement des demandes de référencement sont très longs, d’abord pour les moteurs de recherche puis au niveau des autorités de contrôle (la Cnil en France), et, pendant ce temps-là, les résultats de la recherche demeurent affichés ; le mal est fait. Avoir raison trop tard, c’est toujours avoir tort dans l’esprit du public.

Renverser la charge de la preuve ?
Dans ces conditions, pour ce type d’information d’une extrême sensibilité et, au moins, pour les personnes qui ne recherchent pas les suffrages du public, ne conviendrait-il pas de renverser la charge de la preuve ? D’imposer que l’exploitant du moteur de recherche ait l’obligation, à première demande, de déréférencer ces données ? Et s’il considère que la balance penche dans l’intérêt du public, l’exploitant devra saisir l’autorité de contrôle puis, en cas de refus, les tribunaux pour demander l’autorisation de re-référencer le lien. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Tariq Krim dénonce le « suprémacisme numérique »

En fait. Le 9 juillet, se sont tenues les 13e Assises du Très haut débit, organisées
à Paris par l’agence Aromates. Parmi les intervenants, l’entrepreneur Tariq Krim (Netvibes, Jolicloud, …) a expliqué la philosophie de son projet de « slow web » engagé il a plus d’un an maintenant et concrétisé par Dissident.ai.

En clair. Au-delà de son offre proposée à 5 euros par mois (50 euros l’année) via sa plateforme Dissident.ai, où l’internaute peut reprendre le contrôle de ses connexions et de ses contenus (1), le Français Tariq Krim milite pour un autre Internet : « Il existe une place pour une vision numérique qui soit compatible avec les valeurs que l’on a en Europe, un Internet humaniste entre une vision américaine et une vision chinoise basées autour de la collecte de données, ce que j’appelle le “suprémacisme numérique” ».
Selon lui, le monde digital est en train de sortir d’un cycle d’une quinzaine d’années, qui
a commencé au début de 2004 avec l’entrée en Bourse de Google (août 2004), la création de Facebook (février 2004) et le lancement de l’iPhone (juin 2007). « Le Web est né de manière ouverte et publique, avec deux technologies essentielles qui ont été inventées en Europe : Linux et le Web. Ensuite, Internet est devenu – à la différence du Web – un environnement totalement fermé et privatisé, né dans le secret des laboratoires. Aujourd’hui, tous les terminaux dont nous disposons – les mobiles – sont désormais des boîtes noires. On a laissé cet “Internet boîte noire” se développer au-delà de tout ce que l’on pensait. Et on a laissé faire tout cela », regrette Tariq Krim. Et l’entrepreneur du Net, qui fut vice-président « écosystème et innovation » du CNNum (2), de s’en prendre à la marque à la pomme : « Si vous voulez faire du business sur iPhone, il faut payer 30 % à Apple. Pour quelle raison ? Juste parce qu’Apple l’a décidé. D’ailleurs, Spotify est en train de le contester au niveau de l’Europe, et la Cour suprême des Etats-Unis a aussi été saisie de ces questions. Aujourd’hui, on est dans une phase de doutes ». Pour le fondateur de Dissident.ai, un service de sa société L8Rmedia dont il est Chief Dissident, la technologie est à un tel niveau que les terminaux sont devenus des « outils de manipulation massive » (3), tous pensés pour capturer l’attention et les données des utilisateurs.
« La technologie doit évoluer vers quelque chose d’autre, plaide Tariq Krim. C’est comme la nourriture : on est ce que l’on mange, et ce que l’on digère numériquement n’est pas tout à fait ragoûtant. C’est pour cela que je réfléchis à ce que j’appelle le slow web, l’équivalent du slow food ». Pour un Internet transparent et respectueux de la vie privée. @

La presse ne veut pas laisser aux GAFA la mainmise sur l’accès et les données de ses lecteurs

Alors qu’Apple a lancé le 25 mars aux Etats-Unis et au Canada son kiosque numérique par abonnement baptisé News+ (plus de 300 titres pour 9,99 dollars par mois), qui arrivera en Europe dans quelques mois, la presse s’organise pour ne pas perdre le contrôle de ses cyberlecteurs.

Après Newsstand lance en 2011 et Apple News qui a suivi en 2015, la pomme vient de lancer News+, son nouveau kiosque numérique. D’abord disponible aux Etats- Unis et au Canada (1), ce service par abonnement le sera ensuite dans le courant de l’année en Australie et, pour l’Europe, au Royaume-Uni dans un premier temps. News+ donne accès à un bouquet de journaux – quotidiens et magazines, soit plus de 300 titres de presse à ce jour. Mais les éditeurs prennent des risques à y être présents.

Les quatre risques pris par les éditeurs
Premier risque : par rapport à la valeur faciale de leur publication (prix de vente au numéro), le forfait mensuel de seulement 9,99 dollars proposé par Apple fait de ce potentiel « Netflix de la presse » un destructeur de valeur. Mais c’est le travers de tous les kiosques numériques tels que LeKiosk, ePresse (2) ou encore PressReader avec leurs formules de bouquet de presse. Surtout qu’Apple n’applique pas sa sacro-sainte répartition de valeur à 70/30 (70 % pour le fournisseur de contenu), mais impose la règle du 50/50 en se gardant la moitié. Deuxième risque : la cannibalisation des titres eux-mêmes, dont l’offre directe est en général beaucoup plus chère et constitue encore l’essentiel des revenus des abonnements. Et ce, au moment où les abonnés numériques sont en passe de prendre le relais des abonnés papier en déclin. Verra-t-on un effet cord-cutting (3) dans la presse, à savoir le désabonnement de lecteurs à des journaux pour profiter d’un bouquet numérique plus avantageux ? Troisième risque : la perte de la relation directe avec les lecteurs, au profit de tierces parties telles qu’Apple News+ qui se retrouvent à collecter des données auxquelles les journaux n’ont plus accès. Cette perte de contrôle des abonnés empêche un éditeur d’exploiter la data de cette base d’abonnés pour leur proposer d’autres produits maison. Quatrième risque : en passant sous la coupe d’une plateforme intermédiaire comme Apple News+, le journal n’est plus le point d’entré et d’identification des visiteurs et des lecteurs. Cette authentification échappe à l’éditeur, ce qui pourrait mettre à mal sa pérennité et porter atteinte à sa marque média. Pour tenter de rassurer les éditeurs sur News+, Apple a néanmoins promis que les abonnés ne feront pas l’objet d’une exploitation publicitaire. Pour limiter la destruction de valeur et la perte de contrôle de leur lectorat, des journaux tels que le Los Angeles Times ont décidé de limiter le nombre d’articles et d’archives disponibles sur News+. D’autres quotidiens américains n’ont pas voulu, eux, prendre le risque d’y aller. C’est le cas du New York Times ou le Washington Post. News+, comme tout kiosque numérique, présente un atout : le guichet unique, le « All in one place » que vante Apple à ses 1,3 milliard d’utilisateurs d’iPhone et d’iPad dans le monde. Le cyberlecteur accède à des centaines de titres de journaux avec un seul identifiant – qui plus est avec un prix à la Netflix ! Car la multiplicité des titres de presse en ligne a un point faible, celui de contraindre les utilisateurs à avoir autant d’identifiants que de journaux auxquels ils s’abonnent. D’où l’attractivité grandissante des e-kiosques. C’est dans le but de simplifier l’accès qu’une dizaine d’éditeurs français (4) – mais pas Le Monde – ont fondé SSO Geste. Présidée par Bertrand Gié (photo), directeur délégué du pôle News du groupe Le Figaro, cette association va lancer en septembre 2019 un identifiant unique en ligne commun. Objectif : que chaque internaute ait accès à tous les médias participants en ne s’identifiant qu’une seule fois lors de sa toute première visite sur la plateforme SSO (5). « Cette initiative revêt un caractère stratégique pour garantir la rentabilité et la pérennité des éditeurs de contenu français, dans un écosystème ultra dominé par les GAFA particulièrement avancés en matière de data. C’est un prérequis à la rentabilité et à la pérennité du business model des éditeurs français », assure le Groupement des éditeurs de contenus et de services en ligne (Geste) présidé aussi par Bertrand Gié. Ce projet de « log in » unique – ou SSO (Single Sign On) – s’inspire d’initiatives équivalentes lancées en Allemagne avec Verimi (6) et au Portugal avec Nonio (7).

Avoir confiance en un « guichet unique » ? La presse française souhaite aussi prendre modèle sur Facebook Connect et Google Friend Connect, qui permettent à leurs internautes d’utiliser leur compte correspondant sur des sites web tiers (sans avoir à
s’y inscrire). C’est le moyen pour eux de contrôler les données personnelles et de les exploiter à des fins de publicité ciblée, ainsi que de mettre en place une alternative aux cookies mis à mal par le consentement préalable du RGPD (8). Reste à savoir si les cyberlecteurs auront confiance en ce « guichet unique ». @

Charles de Laubier

Pourquoi Mark Zuckerberg aurait dû démissionner

En fait. Le 8 mai, Facebook a confirmé avoir procédé au plus vaste remaniement de son top-management depuis ses 14 ans d’existence – information révélée
par Recode.net. Mais son fondateur Mark Zuckerberg reste en place malgré le scandale historique de la fuite des données de millions d’utilisateurs.

En clair. Le fondateur de Facebook, groupe aujourd’hui constitué de Facebook, WhatsApp, Instagram ou encore Messenger, reste intouchable et tout-puissant. Le jeune dirigeant, qui aura 34 ans le 14 mai prochain, n’a pas à s’inquiéter pour son poste de PDG malgré le scandale planétaire de l’affaire historique « Cambridge Analytica », du nom de la société britannique qui a fait main basse sur les données de près de 100 millions d’utilisateurs du premier réseau social mondial. Alors qu’il est directement mis en cause et jugé responsable en tant que dirigeant, Mark Zuckerberg n’a pas voulu démission ni endosser la responsabilité de cette faillite dans la protection des données d’une grande partie des 2,2 milliards d’utilisateurs.
Plus jeune multimilliardaire de la planète – avec un patrimoine personnel de 70,7 milliards de dollars en 2018, selon Forbes –, le patron hyermédiatique a en outre été accusé de légèreté. En avril, des investisseurs américains tels que Open Mic ou le fonds de retraite de la ville de New York lui ont demandé de démissionner. D’autres voix se sont prononcées pour qu’il parte. D’autant que l’action Facebook a chuté de 15 % – soit quelque 100 milliards de volatilisés ! – depuis le début de cette affaire, laquelle laissera des traces et aura des suites. Cette déroute intervient après que le réseau social ait été accusé d’avoir été manipulé par la Russie pour l’élection de Trump et d’être un média social de fake news. Mais celui qui est aussi l’actionnaire de référence du groupe (1), entré en Bourse il y aura six ans le 18 mai prochain, et président du conseil d’administration (lequel n’a pas jugé bon de le destituer), a clairement dit dès
le début du scandale – notamment dans une interview au mensuel culturel américain The Atlantic (2) – qu’il n’avait pas l’intention remettre sa démission.
Pas plus que son bras droit, la DG du réseau social Sheryl Sandberg qui reste en place dans cette nouvelle organisation, n’a envisagé de partir de son propre chef : « Je suis à la disposition de Mark et de notre conseil d’administration », avait-t-elle pourtant dit le 6 avril dernier. « Zuck », lui, s’en tire à bon compte, du moins pour l’instant, après s’être contenté de présenter ses excuses devant le Congrès des Etats-Unis. Cela sera-t-il suffisant devant la Commission européenne, plus sourcilleuse sur la protection des données personnelles ? @