Personnalisation sans identification

Pertinence des contenus éditoriaux (mais aussi des messages publicitaires ou des offres commerciales), gain de temps pour éviter de se perdre dans une jungle d’informations, qualité des services rendus : les avantages de la personnalisation sur l’internet ne sont plus à démontrer. Souvent, elle se conçoit en contrepartie d’une collecte de données sur les utilisateurs, qu’il s’agisse d’une collecte explicite par le biais de questionnaires qui leurs sont proposés ou d’une collecte implicite via la capture des traces qu’ils ont laissés.

Selon l’approche communément admise, il y aurait donc un arbitrage à effectuer entre la personnalisation et la protection des données à caractère personnel, entre la facilité d’usage et la contrainte de l’utilisateur. Si l’individu exige de ne plus être traité comme un anonyme, il doit faire preuve de cohérence. Le prestataire du service a besoin de connaître l’utilisateur, de savoir qui il est, de savoir comment il s’appelle, notamment pour mieux fidéliser sa clientèle et maximiser la rentabilité de chaque client.

Autant d’évidences qu’il convient pourtant de relativiser et même de remettre profondément en cause.

La « personnalisation », au sens du marketing « One to One », est censée dépasser les approches classiques en termes de segmentation, qui consistent à affecter chaque utilisateur à une catégorie et à délivrer un service censé correspondre aux attentes de cette catégorie. Dans la pratique, elle aboutit encore, bien souvent, à une segmentation plus fine, plutôt qu’à une réelle relation individualisée. Avec le risque de perdre de vue le contexte, de limiter l’individu (sans recours, puisqu’il est ici en relation avec une machine) à une seule de ses dimensions. Ce n’est pas la seule démarche possible, l’alternative déjà pratiquée de longue date sur le Web consiste à laisser la personne choisir sa ou ses propres catégories. Sur un site institutionnel par exemple, l’information à laquelle vous accédez peut être conçue différemment selon que vous êtes actionnaire, journaliste, client, demandeur d’emploi… sans qu’il soit nécessaire de s’enregistrer. N’est-il pas plus simple de laisser prévaloir l’auto-segmentation ?

« Je sais qui tu es mais je ne sais pas comment tu t’appelles »
Pour mettre en œuvre une réelle personnalisation il est nécessaire de connaître la personne mais est-il pour autant nécessaire de savoir comment elle s’appelle ? Pour reprendre la formule de Fulup Ar Fol, architecte internet chez Sun Microsystems, « Je sais qui tu es mais je ne sais pas comment tu t’appelles ». Cette personnalisation sans identification n’est pas un nouveau concept propre aux seuls univers numériques, elle fonctionne naturellement dans le monde physique, comme l’expliquait Fulup Ar Fol à un atelier de la Liberty Alliance à Paris en 2005 : « Si vous prenez un double café crème et deux croissants dans le même bar, tous les matins, assez rapidement le serveur préparera votre commande avant même que vous le lui demandiez. Il sait que c’est vous mais il ne sait pas qui vous êtes. »

Si la personnalisation peut exiger comme condition préalable l’accès à un profil – c’est-à-dire à un historique des comportements du client et de sa relation avec l’entreprise, à des données déclaratives sur des centres d’intérêts ou des caractéristiques personnelles – il n’est pas pour autant nécessaire de disposer de l’identité de la personne qui souhaite bénéficier du service. A titre d’exemple, les coupons de réduction que vous recevez à la caisse des supermarchés prennent en compte ce que vous avez acheté, vous proposant une réduction pour telle marque de bière si vous en avez acheté une concurrente. Dans un registre proche, il serait tout à fait concevable de mettre en œuvre une personnalisation fondée sur le rôle, la mission, la fonction, etc., sans qu’il soit utile de disposer de l’identité, comme c’est le cas avec les cartes de statut anonymes (médecin, infirmière, handicapé…) qu’on installe derrière le pare-brise de sa voiture pour prouver un droit ou un usage particulier.

Reste à savoir s’il est plus facile, dans l’univers des réseaux, de témoigner de son statut ou de son droit que de son identité ?

S’il n’y a plus d’identité rattachable – directement ou indirectement – à un profil, il n’y pas de données à caractère personnel au sens de la réglementation informatique et libertés. D’un coup, l’idée même d’arbitrage entre personnalisation et protection de la vie privée n’est plus aussi incontournable.

La personnalisation protectrice des données personnelles
Loin de s’opposer, personnalisation et protection des données à caractère personnel peuvent aller de pair. Telle est la base du concept de Privacy-Enhanced Personalization, dont la traduction en français n’a rien d’évident. On proposera « personnalisation protectrice des données personnelles » tout en ayant conscience que, pour bien des lecteurs, cela s’apparente à un oxymore. L’article (.pdf) d’Alfred Kobsa, professeur d’informatique à l’université de Californie, justement intitulé « Privacy-Enhanced Personalization », et paru dans le numéro d’août 2007 de la revue Communication of the ACM, développe cette idée selon laquelle la privacy ne s’oppose pas à la personnalisation. Elle permettrait même théoriquement une personnalisation plus efficace, car respectueuse de l’individu : elle inciterait seulement celui-ci à confier plus d’informations (ou plus d’informations exactes). L’auteur précise cependant que cette idée n’a pu faire à ce jour l’objet d’une démonstration.

Pour Alfred Kosba, trois domaines technologiques constituent le champ de la « personnalisation protectrice des données personnelles ».

Il s’agit en premier lieu des services ou dispositifs d’anonymisation qui rendent impossible – ou au minimum très difficile – le rattachement d’un nom d’emprunt à la véritable identité de la personne. C’est le cas par exemple avec les adresses webmail jetables qui permettent de mettre en place des mécanismes de pseudonymisation simples : d’un clic, je deviens titi26@yahoo.com ! En pratique, des limites existent car l’anonymat de l’utilisateur finit souvent par être levé, par exemple, s’agissant du commerce, pour le paiement ou la communication de l’adresse de livraison. De plus, l’anonymat peut être contourné par déduction et recoupement de multiples données a priori anonymes. Ainsi, si vous disposez d’un dossier où figurent une profession très fréquente et une localisation correspondant à une grande agglomération, vous êtes en possession d’un profil anonyme (professeur à Paris). Inversement, une activité rare dans une petite commune correspondra à un ensemble de données fortement identifiant (Luthier à Triffouilly les Oies).

Le second domaine concerne l’adaptation des technologies de filtrage collaboratif pour éviter qu’elles ne reposent sur l’existence d’une base centralisée non cryptée. On rappelera que le filtrage collaboratif, qui est par exemple utilisé sur des sites de commerce électronique comme Amazon, permet de formuler des recommandations au client en utilisant des comparaisons statistiques avec d’autres clients ayant des pratiques similaires : « les clients qui ont acheté tel produit on aussi acheté tel autre produit ». L’une des pratiques envisagées consiste à remplacer une partie des profils réels par des données fictives avant consolidation. Si un consommateur commande des livres qui sont susceptibles de faire apparaître ses opinions politiques peu conventionnelles, il peut s’interroger sur les risques que lui ferait courir la divulgation de son profil. Le fait de recourir à un service qui introduit systématiquement 10 ou 20 % de profils générés automatiquement en remplacement des vrais profils lui permettrait de soutenir que ce profil n’est pas le sien. La difficulté sera pour le prestataire de doser le bon niveau de données à remplacer pour éviter une dégradation trop forte du système de recommandation.

Enfin, la personnalisation sur le poste client (client-side personalization) représente certainement la voie la plus originale. Le principe consiste à faire en sorte que les données personnelles qui permettent la personnalisation du service demeurent sur le poste de l’utilisateur et ne soient donc pas collectées pour figurer dans les bases de données (centralisées ou pas, chiffrées ou pas) des organismes qui délivrent les services en ligne. Cette approche qui procure à l’utilisateur le contrôle de ses données personnelles en est encore au stade de la R&D, même si ces travaux ne sont pas forcément récents (.pdf). Pourtant, le contrôle de ses données personnelles est une revendication de plus en plus visible. Reste que pour que la personnalisation sur le poste client ait une chance de se diffuser, il faudra aborder la question de la confidentialité des traitements – comme par exemple les algorithmes de score – mis en œuvre par les offreurs de services dans le cadre de services personnalisés. Ainsi, concrètement, on pourrait tout à fait imaginer par exemple qu’un organisme de crédit puise dans les données de votre profil sur votre ordinateur pour déterminer s’il peut vous délivrer ou non un crédit. En revanche, la manière dont l’organisme circule dans vos données peut révéler beaucoup de choses sur les algorithmes qu’il utilise, sur la « formule » de calcul qui le différencie de sa concurrence. Déjà que les entreprises
ont du mal à envisager de partager une part de leur capital numérique, voir leurs logiciels et algorithmes dévoilés constitue certainement un risque plus grand encore, qu’ils sont certainement très loin d’envisager aujourd’hui.

Les pistes de réflexion ne manquent pas pour personnaliser sans identifier mais, comme bien souvent en matière de services de protection des données à caractère personnel, la généralisation dépendra au moins autant de l’émergence de modèles économiques viables que de la seule performance des solutions proposées. Aujourd’hui, l’identification est souvent un moyen de monétiser un service, de valoriser son audience et donc d’augmenter ses revenus commerciaux et ses rentrées publicitaires. Elle est aussi, de plus en plus souvent, un moyen pour faire discuter deux services entre eux : pour que votre page d’accueil personnalisable ou votre réseau social vous permette d’accéder à vos mails ou à vos photos, vous devez souvent lui communiquer vos différents codes d’accès. Sans imaginer de nouveaux modèles de prise en compte de l’audience, sans nouveaux modèles d’intégration de services comme l’évoque l’idée de la portabilité des réseaux sociaux, il est fort possible que ce qui pourrait en grande partie nous libérer des contraintes de l’enregistrement restera lettre morte. Dommage, car ces pistes sont plutôt motivantes.

Arnaud Belleil et Hubert Guillaud

Tag : .

À lire aussi sur internetactu.net

4 commentaires

  1. Merci Arnaud et Hubert pour cet article très intéressant qui met le doigt sur des questions vraiment capitales. Contrairement à une idée communément partagée, la technologie n’est pas neutre et il est essentiel de réfléchir à l’éthique sous-jacente afin de faire en sorte de mieux l’orienter. Le web tel qu’il est conçu aujourd’hui obéit à une logique ultra-libertaire, voire anarchiste et les concepts d’identité numérique et de maîtrise des données personnelles sont très difficiles à appréhender dans ce contexte. Le web sémantique tel qu’il est présenté aujourd’hui ne semble pas vouloir changer la donne, bien au contraire, il n’est pas moins anarchique dans ses fondations et plus il se développera plus les possibilités de dérives seront importantes. Il existe cependant des solutions alternatives, c’est précisément l’objet de ma réflexion, au delà du web sémantique j’ai envisagé l’idée du « Web Orienté Objet » qui devrait logiquement pouvoir apporter des solutions aux problèmes que vous évoquiez :

    http://frenchblog.kindalab.com/2007/10/21/le-web-oriente-objet/

  2. Merci pour ce billet des plus intéressant. Je pense que pour moi comme pour d’autres, la corrélation entre identification et personnalisation était établie de manière immuable. Vous montrez que non !
    Encore bravo pour tout votre travail.

  3. Article édifiant.

    Néanmoins, j’ai le sentiment que cette notion sera difficile à développer dans le monde actuel. En effet, aujourd’hui peu de sociétés seront intéressé par dissocier la personnalisation de l’identification. La raison est simple : elles peuvent vendre ce couplage à d’autres, qui, par le biais de l’identification, pourra vous démarcher.

    En tout cas, ce serait tellement bien des « cartes de fidellité » anonymes.

  4. Personnellement, je crois beaucoup à ce mode personnalisation. Comme vous l’expliquer, cela fonctionne déjà comme cela dans la vraie vie. Ensuite cela évite d’acquérir un consentement qui consomme du temps et dégrade la confiance. Enfin, identifier sans connaître l’intéressé c’est la voie tracé par la CNIL et ses confrères avec leur idées de solutions qui vous identifient sans savoir qui vous êtes (cf le choix de la forme de la main plutôt que de l’empreinte digitale pour la biométrie).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *