En 2012, l’application Girls Around Me a fait la une des journaux lorsqu’il est apparu que les profils personnels de ses utilisatrices – inscrites sur ce réseau social pour rester en contact avec leurs amies – pouvaient être consultés par des inconnus sur une application de leur smartphone.
De tels incidents sèment la panique chez les internautes, qui cèdent à la paranoïa après avoir subi une violation de leur vie privée. Au cœur du problème : la « surprise » des consommateurs qui voient les informations personnelles qu’ils ont transmises dans un contexte donné refaire inopinément surface dans un autre.
Les particuliers se servent de plus en plus d’Internet pour travailler et se divertir, mais aussi pour entretenir leur réseau social et faire leurs achats. Il est très courant aujourd’hui de passer commande sur un site de commerce électronique ou de réserver un taxi à l’aide d’un smartphone sur une plateforme communautaire. Mais la monétisation des données personnelles a amené certains opérateurs à les collecter massivement. Chaque fois que nous surfons sur la Toile, nous laissons des traces qui ne sont autres que nos informations privées. Ces données sont recueillies, segmentées, vendues et utilisées sous prétexte d’améliorer notre qualité de vie et de mieux nous servir, mais il est évident que les motivations premières des opérateurs sont d’ordre mercantile et que, souvent, nous n’avons aucun contrôle sur l’utilisation qui en est faite.
La confiance en ligne est au plus bas : 89 % des internautes du Royaume-Uni – et même 92 % aux États-Unis – s’inquiètent pour leur vie privée sur Internet, d’après une étude de 2014 menée par la société mondiale TRUSTe, spécialisée dans les questions de confidentialité.
Obligation de divulgation
Souvent, les consommateurs ne se soucient pas des informations qui sont récupérées les concernant et de l’usage qui en est fait. Fournir des données personnelles est un mal nécessaire puisque sans cela, nous ne pourrions pas accéder aux biens et services en ligne, explique Norma McCormick, ancienne Présidente du Comité sur les intérêts des consommateurs et du public (CICP) du Conseil canadien des normes (CCN), membre de l’ISO pour le Canada. Mais les consommateurs sont constamment obligés de se plier aux demandes d’information et ils peuvent rarement choisir quelles informations ils acceptent de divulguer ou non.
« Une fois qu’il a fourni ses informations, prévient-elle, le consommateur a un contrôle plus limité sur leur exploitation, quand il n’est pas pieds et poings liés. » Il est néanmoins possible de réduire le risque de mésusage ou d’utilisation abusive des données personnelles au moyen de systèmes de vérification, qui accroissent la confiance des consommateurs dans le site qui recueille leurs informations.
Lorsqu’ils ont affaire à des sociétés en ligne, les usagers se plient à la politique de l’organisation à laquelle ils confient leurs données pour ce qui est de leur traitement et des dispositions de confidentialité. « Il n’y a rien de surprenant à ce que le temps passé en moyenne par les utilisateurs devant des accords de licence ne dépasse pas six secondes, d’autant que seuls 8 % des internautes lisent les accords dans leur intégralité », constate Richard Bates, Directeur, Initiatives numériques à Consumers International, une fédération d’associations de défense des consommateurs.
Le Big Data rapporte gros
D’après l’Union internationale des télécommunications (UIT), le nombre d’internautes dans le monde va bientôt franchir le cap des 3 milliards (soit 42 % de la population mondiale). Les quantités de données personnelles emmagasinées ainsi sur le Web sont ahurissantes, d’autant que pour 90 % d’entre elles, ces données ont été collectées au cours des deux dernières années. Face à l’ampleur du phénomène, les organismes de réglementation doivent prendre les devants, et mettre en place des cadres qui permettent de tirer un bénéfice sociétal de cette manne de données tout en calmant les inquiétudes légitimes des consommateurs.
Toute donnée diffusée sur le Web est par définition « hautement vulnérable ». Une fois récoltées, les informations sont archivées, décortiquées, traitées et parfois transmises à des bases de données tierces. Souvent, elles sont stockées dans des centres de données dans des régions où le climat est froid, pour des questions d’économie d’énergie. En outre, une donnée peut passer par bien des réseaux avant d’arriver à destination.
Parce que les données personnelles valent cher, elles sont soumises aux pressions du marché, et exposées à toutes sortes de comportements malhonnêtes et criminels. Étonnamment, d’après l’Organisation pour la coopération et le développement économiques (OCDE), une date de naissance rapporte deux dollars à l’unité, ce qui veut dire que les dates d’anniversaire des personnes ont une valeur marchande potentielle d’USD 6 milliards – une situation qui n’est pas sans poser des problèmes en matière de sécurité des données et de conflits de juridictions.
Les lois du territoire
Les affaires de vol de données en ligne se sont multipliées au fil des années. Beaucoup d’informations confidentielles peuvent être capturées et saisies par un site Internet, mais aussi grâce à un large éventail de dispositifs connectés intrusifs. « Dans un certain nombre de pays, les « éléments confidentiels saisis » sont classés dans la catégorie des données personnelles ou des renseignements permettant d’identifier une personne (PII) », explique Kernaghan Webb, Professeur associé, Département Droit et entreprises, à la Ryerson University, Toronto, Canada. Or, comme il le relève, « il n’existe toujours pas de définition internationale unifiée de ce que l’on entend par « éléments confidentiels saisis ».
Airbnb, Uber et Facebook sont des exemples de plateformes particulièrement gourmandes en données qui impliquent des « mécanismes interactionnels entre une multiplicité d’acteurs du marché en ligne ». Se posent alors les questions importantes de la responsabilité des consommateurs, des entreprises et des gouvernements dans le marché numérique, quant à savoir qui peut faire quoi, et comment. « Comprendre les particularités de ces mécanismes interactionnels est une étape importante pour déterminer les rôles et approches appropriés de chacune des parties pour protéger les intérêts des consommateurs tout en encourageant la création de produits et services innovants », explique Webb.
À la place de règlements trop restrictifs et normatifs imposés par les gouvernements, l’autorégulation peut être une stratégie efficace pour protéger la vie privée des consommateurs. C’est d’ores et déjà le cas, puisque la plupart des entreprises disposent à présent de politiques et de processus internes de confidentialité qui règlementent la collecte des données, l’usage qui en est fait et les préférences des consommateurs en la matière. Les consommateurs savent ainsi quelles données personnelles sont recueillies et comment elles sont utilisées, ce qui leur laisse la possibilité de quitter le processus marketing. C’est du bon sens, puisque la plupart des entreprises souhaitent rester en phase avec leurs clients pour éviter de les perdre et protéger leur marque.
Responsabilisation des consommateurs
Même si les acteurs industriels doivent prouver leur bonne disposition à l’égard des consommateurs, en veillant à la protection de leurs droits et en luttant contre les publicités mensongères, les consommateurs connectés ont eux aussi un rôle à jouer, avec des responsabilités spécifiques. Et les organismes de réglementation doivent envisager de nouvelles solutions pour leur donner plus de marge de manœuvre et les protéger.
Pour pouvoir assumer pleinement leurs responsabilités, les consommateurs doivent avoir accès à des informations valables, exhaustives et documentées leur permettant de se faire une idée des avantages et des inconvénients des produits et services en ligne. « La mise en place de mécanismes permettant aux consommateurs de poser leurs propres conditions et de sortir du modèle d’accord unique appliqué à tout le monde, serait une solution plus judicieuse », insiste Bates.
Alors, quels outils et services pourraient permettre aux consommateurs de mieux gérer leurs données ? Un nouveau marché pour des services de gestion des données émerge peu à peu, qui pourra aider les particuliers à mieux maîtriser la façon dont leurs données sont récupérées. Ces services peuvent se présenter sous différentes formes : il peut s’agir de modules d’extension (plug-in) intégrés au navigateur qui bloquent les applications intrusives, ou d’initiatives gouvernementales qui obligent les entreprises à rendre aux intéressés les informations qu’elles détiennent à leur sujet.
Confidentialité planifiée
Chaque pays a pris ses dispositions en matière de données personnelles, et cette fragmentation pèse sur les entreprises et n’offre aucune protection aux consommateurs. D’importantes pressions ont été exercées dans certains pays pour lever les restrictions relatives au traitement des données personnelles, mais sans normes largement reconnues et accréditées, il est problématique de s’en remettre uniquement à des programmes d’autorégulation et au jugement des clients. La normalisation semble être une bonne solution pour trouver le juste équilibre entre la gouvernance, les entreprises et les consommateurs.
« Les Normes internationales peuvent, à mon sens, appuyer l’interopérabilité entre les différents outils et systèmes sur lesquels repose cet écosystème de services qui permettra d’avoir la maîtrise sur les données. Et elles ont un rôle à jouer dans la définition et la promotion de ce que devrait être une approche laissant aux consommateurs plus de latitude dans la définition des conditions », déclare Bates. Les normes mondiales qui portent sur les questions de transparence et de protection des données, ainsi que sur les mécanismes de résolution des différends, peuvent donner un cadre d’ensemble qui facilite les échanges de données entre les pays, et le respect des obligations qui accompagnent un tel transfert.
Cela dit, les normes ISO restent d’application volontaire. Elles ne remplacent pas les réglementations traditionnelles mais les complètent pour aider les autorités de réglementation à apporter une réponse cohérente, par-delà les frontières, qui mobilise les capacités d’autorégulation des plateformes du secteur privé et la responsabilité conjointe des acheteurs et des vendeurs. Un processus solide qui devrait contribuer à résoudre les questions découlant des différentes législations en vigueur d’un pays à l’autre sur la protection des données.