Confiance numérique : le double jeu des Big Tech

L'industrie des technologies de l'information et, plus largement, des services du numérique promeut une cybersécurité « zéro confiance » (zero trust en anglais). En parallèle, cette même industrie met en exergue la confiance que lui accordent les clients et les utilisateurs de ses produits et prestations. Un paradoxe qui soulève des interrogations.

Dans la course engagée dans l'intelligence artificielle (IA), par exemple, Microsoft poursuit la diffusion, sous la bannière Copilot, de l'IA générative dans ses produits. La démarche avait débuté sur GitHub, elle a été étendue à Dynamics 365 et Microsoft 365.

Or, comme a relevé ZDNet.com, Jared Spataro, vice-président Modern Work & Business Applications chez Microsoft, a récemment déclaré à son propos :

« Parfois, Copilot fera les choses correctement. En d'autres occasions, ce sera utilement faux, en vous donnant une idée qui n'est pas parfaite, mais qui vous donne toujours une longueur d'avance ».

On peut s'interroger sur la validité et l'impact d'une technologie, portée par une IA dans le cas présent, qui fournit des résultats « utilement faux ».

Confiance, défiance et protection de données

L'industrie numérique demande donc aux clients de lui accorder sa confiance, y compris lorsqu'une technologie fournit des résultats « utilement faux ». Dans le même temps, cette même industrie promeut la défiance à l'égard des utilisateurs, lorsqu'il est question de sécurité Zero Trust.

GitLab, plateforme de développement logiciel et partage de code source concurrente de GitHub, déclarait en 2020 à ce sujet : le concept visant à toujours « vérifier avant de faire confiance », systématique dans le modèle Zero Trust, est « une bonne chose » pour l'entreprise qui investit dans cette approche et son écosystème. 

Aussi, lorsqu'il est question de protection des données, selon une étude récente de The Markup, les grands groupes technologiques se targuent publiquement de faire preuve de maturité et de fermeté en matière de « privacy ». En coulisse, pourtant, ils jouent de leur influence pour modeler, affaiblir ou écarter des législations sur ces sujets.

Malgré tout, le lobbying opéré par ou pour les entreprises du secteur IT ne signifie pas forcément que les lois qui en résultent sont sans fondement ou totalement vidées de leur susbtance.

Il existe des garde-fous.

En Europe, il est notamment question d'actualiser des règles d'entreprise contraignantes (BCR) qui permettent d'attester de la « conformité RGPD » des transferts de données personnelles d'entités localisées dans l'Espace économique européen vers des entités situées dans d'autres zones.

Une mise à jour de la manière dont les États membres de l'UE contrôlent la mise en oeuvre du règlement général sur la protection des données (RGPD) « à grande échelle » est également à l'étude.