Aller au contenu

Des chercheurs de Princeton contournent les préoccupations éthiques, coûtant des milliers de dollars aux entreprises

[ad_1]

Cela fait huit longues semaines que Princeton a fermé son étude de recherche sur la confidentialité sur Internet, après des centaines de plaintes. La déclaration publique finale du 31 décembre promettait de supprimer toutes les données collectées. Cela faisait suite à des excuses publiées par le chercheur principal, Jonathan Mayer, promettant également de donner la priorité à un e-mail de suivi à tous ceux qui avaient été contactés précédemment.

Le semestre de printemps a commencé il y a presque un mois. Personne à qui j’ai parlé n’a encore reçu l’e-mail de suivi unique. Pendant ce temps, les entreprises et les propriétaires de blogs qui ont dépensé des milliers de dollars en frais juridiques et en frais de site Web pour essayer de comprendre et de traiter des e-mails délibérément falsifiés se retrouvent sans véritable recours.

Il est déconcertant qu’une université qui recueille des millions de dollars en subventions de recherche et en frais de scolarité soit justifiée d’ignorer les ramifications financières de ses études universitaires à la limite de l’éthique. Un recours collectif pourrait-il se préparer ? Mayer et ses cohortes de Princeton seraient-ils plus enclins à répondre si leurs anciens élèves et amis de la FCC, de la FTC et du ministère de la Justice de Californie les contactaient ? Peut-être avec des citations à comparaître ?

Qu’est-ce qui a mal tourné lorsqu’une équipe de chercheurs en informatique de l’Université de Princeton engagée dans une étude qui ont activement trompé des centaines d’entreprises, d’organisations à but non lucratif et de particuliers – et comment ont-ils laissé cela se produire ? Nous allons jeter un coup d’oeil.

Un bref historique sur le fait de repousser les limites de l’éthique pour le bien de la recherche

Il y a beaucoup d’histoires qui circulent – bien répandues même avant Internet – sur des études universitaires plutôt sans principes. Certaines des plus connues sont l’expérience de la prison de Stanford et l’expérience de Milgram. Si vous ne vous souvenez pas du cours de psychologie, Milgram a testé la volonté des étudiants d’obéir à l’autorité en punissant un camarade de classe. Le film original Ghostbusters et Afterlife avaient des scènes usurpant le travail de Milgram avec une touche.

La raison pour laquelle ces histoires ont circulé pendant des décennies n’était pas pour souligner l’excellence du travail, mais les dangers de repousser les limites de l’éthique à des fins de recherche. Stanford a été fermé moins d’une semaine après son lancement lorsque les sujets sont devenus de sérieuses menaces les uns pour les autres. Cependant, l’indignation suscitée par le travail de Milgram a été tempérée par le fait qu’aucune punition n’a été réellement administrée, et 84% des sujets testés plus tard ont déclaré avoir été positivement affectés par le test.

Il y a une ligne fine et un débat en cours dans les cercles universitaires sur la distance à laquelle les chercheurs peuvent marcher. Il est important d’obtenir des résultats intacts et d’être entièrement honnête, et le consensus général de ces dernières années s’est déplacé massivement vers la protection des sujets d’études universitaires.

Selon le Dr Gerald Koocher de Harvard, « la norme fédérale est que la personne doit disposer de toutes les informations susceptibles d’influencer raisonnablement sa volonté de participer sous une forme qu’elle peut comprendre et comprendre ».

Cela a-t-il été appliqué ici ou non ?

Examen de la confidentialité du site Web

Selon la déclaration publique de l’équipe de recherche, « L’étude vise à faire progresser la compréhension de la manière dont les sites Web ont mis en œuvre les dispositions relatives aux droits des données de l’Union européenne et de la loi californienne sur la protection de la vie privée, en particulier le règlement général sur la protection des données (RGPD) et le Loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Pour vous donner un aperçu, le 25 mai 2018, le RGPD est entré en vigueur, modifiant à jamais la manière dont les données personnelles peuvent être collectées et utilisées sur Internet. Peu de temps après, la Californie est devenue le premier État des États-Unis à emboîter le pas, le CCPA étant appliqué après le 1er juillet 2020.

Les deux lois présentent de nombreuses similitudes, même si parfois le vocabulaire diffère (c’est-à-dire, les informations personnellement identifiables [PII] par rapport aux données personnelles), mais il existe également des différences significatives. Par exemple, le RGPD ne concerne que les données personnelles individuelles, tandis que le CCPA protège l’ensemble d’un foyer de consommateurs.

La plus grande différence, en particulier pour ce qui suit dans cet article, est que le GDPR couvre les informations de tout résident de l’UE, tandis que le CCPA s’applique presque exclusivement aux entreprises à but lucratif. Avec le RGPD, si votre site Web collecte un e-mail ou place un cookie sur un ordinateur appartenant à un résident de l’UE, il doit y consentir. Pour le CCPA, il existe des paramètres spécifiques. Les entreprises doivent avoir un revenu supérieur à 25 millions de dollars, collecter des données auprès de plus de 50 000 utilisateurs et générer au moins la moitié de leurs revenus en vendant ces données. Ces chiffres deviendront très importants sous peu.

Les deux lois ont été citées comme des exemples de mesures pouvant être mises en œuvre dans tout le pays et dans le monde. En fait, plusieurs États utilisent les lois californiennes comme modèle pour leur propre législation et observent comment les choses sont mises en œuvre.

Encore une fois, sur le site Web public de l’étude : « Nos objectifs sont de décrire avec précision comment les sites Web ont opérationnalisé ces nouveaux droits d’utilisateur, si les sites Web étendent ces droits aux citoyens non européens et aux résidents non californiens, et si les sites Web authentifient efficacement les utilisateurs lorsqu’ils ils exercent ces droits.

À première vue, l’étude semble être une chose raisonnable à examiner. Surtout compte tenu des implications pour la plupart, sinon tous les utilisateurs, étudier ou établir les meilleures pratiques pour aller de l’avant est une bonne chose. Le problème réside dans l’exécution des paramètres de l’étude.

Tisser une toile de tromperie

Tout d’abord, permettez-moi de souligner que, pour une raison quelconque, le comité d’examen institutionnel de l’Université de Princeton a déterminé que l’étude sur la confidentialité ne constituait pas une recherche sur des sujets humains. Ils ne pourraient pas avoir plus tort.

Bien qu’il existe de nombreux aspects automatisés des sites Web – de plus en plus, à mesure que les robots d’intelligence artificielle offrent de mieux en mieux des « interactions d’apparence humaine » – derrière chaque site Web se trouve au moins un être humain impacté par l’approche de l’étude. Et comme je l’expliquerai dans un instant, la méthode spécifique utilisée par l’équipe pour recueillir leurs données a en fait affecté de nombreuses personnes sur chaque site interrogé – les tactiques utilisées en ont fait une étude de recherche sur des sujets humains.

Dans ce que je suppose être une tentative de simuler de vrais utilisateurs tout en préservant autant que possible la méthodologie clinique, les chercheurs de Princeton ont établi six serveurs de messagerie à utiliser pour contacter un échantillon de sites Web. Ceux-ci comprenaient des serveurs qui feraient apparaître les e-mails d’origine américaine, mais aussi française et russe.

Mais ils ne se sont pas arrêtés là. Des e-mails ont été envoyés, utilisant de faux noms, prétendant être des résidents de pays étrangers, avec « quelques questions sur votre processus de réponse aux demandes d’accès aux données du California Consumer Privacy Act (CCPA) ». Et dans une tournure étrange et ironique, au lieu de vérifier personnellement chaque site pour déterminer qui était la personne de contact appropriée, l’étude a utilisé l’automatisation pour envoyer des copies en double de ces e-mails à plusieurs e-mails sur chaque site Web sélectionné.

Une étude sur les tactiques effrayantes

Vous souvenez-vous des numéros CCPA que j’ai mentionnés auparavant ? Le CCPA ne s’applique qu’aux entreprises qui vendent leurs données utilisateur collectées pour un profit supérieur à 25 millions de dollars. Ainsi, malgré les multiples fenêtres contextuelles de cookies que vous voyez probablement sur chaque site Web que vous visitez, la loi californienne ne s’applique qu’à certaines entreprises. Google et Facebook doivent s’en préoccuper. Sites personnels, blogsles réseaux sociaux à but non lucratif et les sites caritatifs ne le font pas.

Mais les doctorants du département d’informatique de Princeton n’ont pas fait le travail de tri et n’ont contacté que les sites web qui semblaient répondre aux critères du CCPA (ou GDRP d’ailleurs). Au lieu de cela, ils ont saisi « un échantillon » de sites à partir d’une liste externe et ont explosé.

Les e-mails indiquaient clairement qu’ils ne soumettaient pas de demande, mais demandaient uniquement quel était le processus. Mais chaque e-mail se terminait par cette ligne plutôt menaçante : « J’attends avec impatience votre réponse sans retard injustifié et au plus tard dans les 45 jours suivant cet e-mail, comme l’exige la Article 1798.130 du Code civil de Californie.

Et permettez-moi de répéter à nouveau qu’un nombre important de sites Web contactés n’étaient PAS soumis aux codes ci-dessus – même si beaucoup d’entre eux ont publié une déclaration de confidentialité claire.

Le ton et la teneur des e-mails ne se sont pas contentés d’irriter ou de mettre la crainte de Dieu sur des sites Web indépendants pour lesquels la loi ne s’appliquait pas. Cela a également suscité des questions de la part des grandes entreprises soumises aux directives du CCPA. Des e-mails ont été transmis à des avocats, des gourous de la technologie et des webmasters. La demande était-elle légitime ? Les e-mails étaient-ils une sorte d’escroquerie par hameçonnage ? Y a-t-il eu une attaque codée destinée à paralyser le site ? Et comment doivent-ils réagir ?

Un commentateur sur Twitter fait remarquer que ses clients avait dépensé environ 10 000 $ pour essayer de déterminer la meilleure réponse aux e-mails. Un autre a mentionné leur « groupe de plus de 100 petites entreprises se sentaient TOUS menacées légalement et pensaient qu’elles seraient poursuivies ».

Plus loin, Jeff Kossef, l’un des principaux experts en droit de la cybersécurité, souligne que les e-mails de Princeton ont maintenant compliqué les choses d’une autre manière. Les entreprises peuvent ignorer les demandes légitimes, les interprétant à tort comme plus de l’étude.

Qui surveille les Watchmen ?

Le premier exemple que j’ai trouvé des e-mails délibérément trompeurs et déconcertants était un rapport de Joe Wein, ingénieur logiciel et militant anti-fraude. Il a publié tout le chemin du retour en avril sur la réception d’un e-mail dans sa société basée à Tokyo, posant des questions sur le GDRP, avec des avertissements similaires pour répondre ou autre. Il a retracé les en-têtes des e-mails jusqu’à l’un des serveurs désormais répertoriés sur le site de l’étude de Princeton – enregistré en mars 2021. Autre fait amusant – les e-mails eux-mêmes ont collecté des données qui seraient considérées comme une violation du RGPD, sinon du CCPA.

L’étude a été suspendue et, au 31 décembre 2021, les chercheurs, dont le professeur Jonathan Mayer, affirment supprimer toutes les informations recueillies. À part quelques mises à jour et des excuses sans enthousiasme du chercheur principal Mayer, Princeton a été assidûment silencieux sur le sujet de l’étude et ses implications éthiques.

L’équipe d’intégrité et d’assurance de la recherche de Princeton n’a pas jugé bon de commenter du tout. Chad Pettengill et Susan Keisling, qui dirigent Princeton’s, sont également silencieux. Comité d’examen institutionnel (IRB). Ils ont approuvé l’étude et ont décidé qu’il était éthiquement acceptable de représenter faussement le mécanisme de collecte de données de l’université parce qu’il n’affectait pas les gens, ce qui était clairement le cas. Leur pause hivernale s’est terminée le 10 janvier 2022, mais ils ne se sont pas encore manifestés ou n’ont pas encore pris la parole.

La balle est dans votre camp, Princeton

La question demeure donc : quelles sont les responsabilités éthiques de l’équipe de recherche ? Pour l’IRB ? Et que dire des coûts – en temps et en argent – ​​encourus par des centaines de blogueurs essayant de décoder le but des communications par e-mail. Qui est responsable du paiement de leurs frais d’assistance juridique et technique, sans parler du gaspillage de centaines d’heures de travail, alors que l’objectif de l’étude aurait pu être atteint en étant honnête ?

Ces entreprises, dont beaucoup, encore une fois, les lois ne s’appliquent pas, doivent-elles tout simplement sucer, ou l’équipe de recherche doctorale de l’Université de Princeton sera-t-elle tenue financièrement responsable ? Et quelles mesures doivent être mises en place pour prévenir des problèmes éthiques similaires dans le passé ?

Étaient toujours en attente, l’Université de Princeton. Quelle sera votre réponse ?

Plus d’articles de Wealth of Geeks

40 idées de petites entreprises rentables pour vous inspirer

7 façons dont votre petite entreprise peut bénéficier d’un conseiller financier

Cet article a été produit et syndiqué par Wealth of Geeks.

Crédit image en vedette : Pexels.


paul rose jr auteur

Paul Rose Jr a travaillé comme producteur de nouvelles télévisées, analyste médico-légal et conducteur de train, entre autres. Il est l’ancien éditeur de télévision d’Infuzemag.com et possède plus de livres, de DVD et de bandes dessinées que la plupart des gens n’en ont vu au cours de leur vie. Lorsqu’il n’écrit pas d’articles, il exerce ses muscles créatifs en écrivant des scénarios et en jouant au cinéma et à la télévision à Los Angeles, en Californie.




[ad_2]

Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.