La cybersécurité pour le citoyen : la Data Privacy comme levier d’engagement.

Quand on parle de data privacy, on est face à un sujet qui fâche. En effet, la vie privée, l’intime, le cercle familial, ce qui se passe au sein de la maison, c’est le sujet sur lequel on n’a pas forcément envie de partager. C’est donc le sujet qui fâche l’utilisateur lorsqu’il apprend que ces informations sont dévoilées et exploitées à son insu.

Pour en illustrer la situation rappelons un cas quelque peu emblématique : celui de la plateforme Ashley Madison qui proposait des expériences extra conjugales. Cette plateforme a fait l’objet d’une opération de hacking de la part d’un groupe qui trouvait immoral ce type de pratiques. C’est ainsi que 30 millions d’utilisateurs de cette plateforme se sont vus avoir leurs vies, leurs noms, leurs prénoms, leurs fantaisies sexuelles, les transactions financières qu’ils avaient faites, mis sur le devant de la scène. Toutes ces données personnelles ont fait l’objet de chantage à la divulgation publique.

Bien évidemment quand on parle vie privée et d’intime, il ne s’agit pas forcément que de telles situations où tout le monde comprendra bien la gêne que cela représente pour celui qui se voit ainsi mis sur la scène publique.

Il peut s’agir de cas beaucoup plus simples et anodins, comme simplement le fait de savoir que le prénom et des photos de ses enfants se trouve à la disposition de tous les regards. On peut souhaiter ne pas dire que l’on part en vacances à tel endroit, ne pas vouloir donner son adresse personnelle, etc. Au final, toute information que l’on juge comme personnelle.

Relativement à ces informations qui sont jugées comme personnelles, une étude qui a été menée par le Groupement d’Intérêt Scientifique d’analyse des usages du numérique (GIS Marsouin.org). Cette étude montre que 59 % des internautes expliquent avoir peur lorsqu’ils naviguent sur Internet. Quand on leur demande «De quoi avez-vous peur vraiment ?» et qu’on leur propose une liste de désagréments éventuels, la crainte la plus répandue et la plus exprimée est la peur que l’on collecte et que l’on vole des informations personnelles.

Ainsi 30% des internautes disent avoir peur qu’on leur vole de l’information sur leur vie privée, sur leur vie intime. Face à ces craintes, on notera que plus on a eu l’occasion de rencontrer proche de soi ou soi-même, des expériences préalables de ce type et plus on est sensible à cela. Ainsi un des éléments déterminants dans cette peur des internautes est le fait d’avoir été confrontés ou de connaître quelqu’un qui a été confronté à la situation.

C’est ainsi que 58% des personnes qui ont exprimé une ou plusieurs craintes expliquent avoir connu quelqu’un ou avoir eu eux-mêmes ces mêmes soucis préalablement. La préoccupation de protection de sa vie privée ce que l’on appelle le data privacy concern repose sur l’idée que la vie privée, l’intime, est une partie de soi que l’on ne veut pas voir présentée, divulguée sur la voie publique moderne qu’est internet, du moins sans avoir le contrôle de ce qui est diffusée.

Il s’agit d’un concept ancien de manière générale (la préoccupation pour la protection de la vie privée relève des droits fondamentaux), et ancien aussi quand on s’intéresse aux usages d’internet. En effet, les usagers d’internet et de toutes les technologies en lien avec internet, ont depuis longtemps craint de voir leur vie privée exposée sur l’agora.

Il s’agissait au préalable plutôt de s’inquiéter que l’on récolte de l’information personnelle, des informations sur leur vie privée, pour l’utiliser à des fins de profilage utilisable par le monde commercial.

Avec l’émergence du web collaboratif qui permet à tout le monde de produire du contenu, tout le monde peut écrire et publier sur tout, et sur tout le monde. Le danger de voir sa vie exposée est accrue car les producteurs de contenus sont démultipliés.

Fini le règne des médias reconnus, des journalistes, et des grandes entreprises, tout utilisateur personnel ou professionnel d’outils numériques simples, tout utilisateur d’un réseau social numérique, peut désormais liker, commenter, exprimer son point de vue, et donc éventuellement commenter ou divulguer de l’information personnelle sur quelqu’un d’autre. Chacun dispose d’un espace social à multiples plateformes pour s’exprimer.

Les usages sociaux permis et démultipliés sur le Net participe à cette crainte de voir les commentaires et avis, qui auparavant restaient dans des univers fermés physiques (l’espace de la maison, l’espace de convivialité au travail, l’espace de rencontre du café du commerce, etc.) et temporellement fugaces puisqu’il s’agissait surtout d’échanges verbaux, sont désormais rédigés et donc intemporalisés (« les paroles s’envolent, les écrits restent ») et possiblement consultables par tous (si un nouvel ami arrive sur la conversation, il peut remonter les historiques des échanges et trouver des commentaires faits il y a longtemps par exemple).

La transformation numérique de notre société est largement engagée. Manière de faciliter les échanges, de rendre disponible à tout moment des services, le numérique est perçu comme un moyen d’améliorer le quotidien de tous les usagers et citoyens. Avec le contexte sanitaire complexe de 2020, la transformation numérique de la société a été invitée à se généraliser, via la systématisation du télétravail et de la télé-éducation.

Ce phénomène favorise la production de nouvelles traces numériques sur chaque citoyen. Dès lors que des données sont produites, il se pose la question de leur collecte, de leur stockage et de leur utilisation (quels traitements, pour qui, par qui, pour quoi faire, et pour combien de temps).

Avec l’arrivée des techniques de deep learning et de machine learning, la masse d’information qui auparavant n’était pas exploitable, devient aujourd’hui un terrain de jeu pour des analyses utilisant les capacités de calculs de l’intelligence artificielle. Comme toutes ces traces peuvent être analysées, elles sont désormais de plus en plus systématiquement collectées et conservées.

Comme ces données pourront ou pourraient « servir » pour de futures analyses par IA et deep learning, il devient de plus en plus tentant pour les organisations de les collecter. En conséquence, il devient de plus en plus inquiétant pour les utilisateurs de savoir que tous leurs faits et gestes, les plus anodins soient-ils, impliquant l’usage d’un outil numérique et digital, peuvent être l’objet de collectes.

Cette notion de données à caractère personnel mérite toutefois d’être explicitée. De quoi parle-t-on exactement ?

La préoccupation pour la protection de la vie privée méritait donc d’être accompagné par la législation. C’est ainsi que le sujet de la préoccupation de protection de la vie privée est remis au goût du jour récemment avec l’accompagnement réglementaire européen. Le data privacy concern est devenu en France et dans toute l’Europe un sujet d’actualité avec le règlement européen, le RGPD, qui a été mis en place le 25 mai 2018 dans toute l’Europe. Ce règlement expose avec un certain nombre de précisions quels sont les nouveaux engagements et les droits principaux que les utilisateurs, les cyber utilisateurs, peuvent mettre en avant vis-à-vis des personnes qui peuvent collecter de l’information qui les concernent sur internet.

Via ce règlement, le législateur énonce désormais que toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel qui la concerne.

La définition courante des données personnelles correspond à « toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement par référence à un numéro précis, à un numéro d’identification ou à des éléments qui décrivent cette personne et qui lui sont propres ».

Parmi les données qui vont permettre de caractériser ou d’identifier cette personne, il y a bien sûr le nom, le prénom, sa photographie, son visage. Il peut aussi y avoir des informations sur la date de naissance, le lieu de naissance, son adresse actuelle, son adresse électronique, le pseudo utilisé, le numéro de téléphone, etc.

Toutes ces données, directement ou par recoupements, permettent de décrire et de savoir qui est actuellement en train de faire quoi sur internet, qui utilise son téléphone pour faire telle requête, en étant à tel endroit, à tel moment alors que cette personne devait peut-être être ailleurs sur ce même moment. Ces informations personnelles vont jusqu’à l’adresse IP du matériel utilisé.

Alors à côté de cette définition du RGPD, de la réglementation Européenne, il y a aussi l’évaluation personnelle (et profondément subjective) de ce qu’est une donnée à caractère personnel. Pour certains, expliquer qu’ils ont des enfants, qu’ils aiment la choucroute ou les crêpes ou la tarte tatin, c’est quelque chose qu’ils peuvent/veulent partager. Pour d’autres cela relèvera davantage de l’intime : « Je ne vous dis pas mes goûts, je n’ai pas envie de vous raconter, je n’ai pas envie de ça, que vous sachiez que j’ai des amis qui habitent à tel endroit, je n’ai pas envie que vous sachiez que j’ai des enfants, je ne veux surtout pas que vous ayez des photos de mes enfants ». Il y a donc une évaluation qui est complètement personnelle et subjective de ce que recouvre une donnée à caractère personnel.

Il y a une difficulté à cerner le périmètre de la donnée à caractère personnel.

Bien que le sujet des données personnelles soit très subjectif, chacun y allant de sa propre interprétation, la quasi-totalité des individus rejoignent la définition de la CNIL et des législateurs Européens sur la notion des données sensibles.

Ainsi, les données sensibles sont toutes les données qui permettent l’identification de vos origines ethniques, de vos opinions politiques, de votre philosophie de vie, de vos appartenances religieuses, de vos appartenances à des syndicats et de vos préférences sexuelles. Il s’agit aussi des données en lien avec votre santé et avec votre casier judiciaire. Ce sont des données sensibles au sein des données à caractère personnel.

Ces données sensibles sont définies de manière légale, législative. Mais dès lors que vous faites le choix par exemple de mettre un pouce « j’aime » sur un commentaire politique peut-être que vous là, vous êtes en train de faire le choix de divulguer des données à caractère personnel sensibles, mais c’est votre choix

Toutes ces données à caractère personnel sont une forme de mise en matérialité, de traces des actes les plus anodins, et de savoir qu’ils peuvent être collectés, mémorisés, est ce qui préoccupe dans la mesure où l’individu-citoyen ne souhaite pas forcément partager cela, du moins pas « à tout va » et sans un minimum de contrôle.

Il faut bien comprendre que la donnée à caractère personnel représente finalement la matérialité de ce à quoi le consommateur, l’individu, l’utilisateur, pense quand il parle de sa vie privée, de sa vie intime.

Une donnée à caractère personnel relate une partie, plus ou moins étendue, de la vie privée de l’individu. Et ce qui pose souci à l’individu citoyen est que cette externalité de sa privée soit physiquement visible et « palpable » via un fait, une mesure ou un code, qui est se trouve dans un fichier.

Du caractère palpable de la donnée (elles sont dans des fichiers qui me décrivent) au sentiment de propriété, il n’y a qu’un pas. Le citoyen peut donc avoir le sentiment qu’il s’agit de « ses » données. On dépasse le cadre des données à caractère personnel pour parler de « ses données personnelles » et on va même aller plus loin, en parlant de « mes données privées ».

Cependant, c’est un terme qui est impropre d’un point de vue légal. Les données privées : cela n’existe pas. Il n’y a pas de données privées, il y a des données personnelles. Il n’y a pas de données privées, il n’y a que la vie privée, il n’y a que de l’intimité que l’on peut protéger.

Les données se donnent avec votre accord, ou bien elle ne se donnent pas, mais elles ne sont pas une propriété. Toutefois, ce sentiment de propriété quand les gens parlent et s’expriment sur les données à caractère personnel, peut se comprendre. On observe l’idée d’une appropriation symbolique et d’une impression de possession. Quand on va vous dire « mes données personnelles », les données vont devenir « mes données privées » et il va y avoir cette impression de possession.

Puisque ces fichiers vous décrivent, ils sont perçus finalement comme une extension de soi : c’est un self-extended et donc à partir de là, pour chaque individu citoyen, c’est une partie de lui qu’il laisse être collecté et qu’il peut souhaiter récupérer.

Il y a cette idée de propriété, alors même que cela ne peut résonner avec une réalité juridique.

◁ Précédent | ⌂ Sommaire | Suivant ▷