Le data privacy paradox est un concept qui consiste à exposer les écarts et à décrire cette situation de divergence entre les préoccupations déclarées pour la vie privée et les comportements effectifs de protection de cette vie privée, voire des comportements, des dévoilements excessifs, qui conduisent à une vie privée surexposée. On parle d’un paradoxe entre ce que les gens disent et ce que les gens font concernant la protection de leur vie privée.

La question qui se pose pour nous c’est : comment l’expliquer ? Est-ce que nous sommes face à un humain qui serait irrationnel ? Bien sûr, l’homme n’est pas un ordinateur, donc forcément il est un petit peu irrationnel, ou du moins agit-il selon des logiques pas nécessairement et immédiatement explicables. Ou Est-ce que nous sommes face à un humain qui est contraint et dépassé ?

Les travaux qui existent en comportement de l’individu montre que l’humain est normalement et rarement irrationnel par rapport à des projets de ce type, dans la mesure où il a des croyances, il a des positions, une attitude qui est favorable et dès lors des intentions et normalement, si tout va bien, il va concrétiser cela en un comportement. Donc s’il ne le fait pas, c’est vraisemblablement que nous sommes plutôt dans une situation où l’humain est contraint et dépassé et qu’il y a quelque chose qui l’empêche de réaliser, d’atteindre, d’obéir à sa préoccupation initiale de protection de la vie privée.

Nous allons ici lister les différents écarts et les expliquer.

Ils concernent les conditions de légitimité et les situations d’usage cohérentes. Les écarts consentis, c’est lorsque l’on accorde le droit à une personne qui nous le demandera, d’avoir des informations très précises nous concernant et donc on va le faire parce qu’on est dans des situations où l’on estime qu’il est légitime de donner des informations.

C’est par exemple quand vous allez à la mairie pour vous inscrire sur les listes électorales, c’est par exemple quand il y a une grande problématique de terrorisme et qu’il faut absolument que tout le monde participe et donne des informations sur ces lieux via la géolocalisation, etc. C’est donc toutes ces situations où on estime qu’il est légitime de partager les informations qu’on a sur nous.

Il y a aussi des situations d’usages qui sont complètement cohérentes et qui impliquent, qui exigent que l’on donne des informations sur nous. C’est par exemple quand on va prendre l’avion, quand on va prendre le train et que l’on a réservé sa place. Il est normal que l’on donne ces informations précises, que l’on montre sa carte d’identité ou son passeport, avec toutes les informations qui vous décrivent, votre taille ou la couleur de vos yeux, votre date de naissance, etc.

D’ailleurs à ce propos la CNIL et la loi de manière générale, est très pointilleuse sur ces registres de « passenger name record », dans la mesure où il s’agit d’avoir des informations très précises sur qui entre et qui sort, et sur comment sont gérées ces informations de transit.

Donc les écarts consentis, c’est quand on estime que livrer des données personnelles, c’est juste et c’est logique.

Lorsque partager et se présenter sont les piliers de l'application ou du service.

Les écarts cohérents, c’est par exemple parce que vous allez aller sur vos réseaux sociaux numériques. Partager et se présenter sont les piliers de l’échange social. Il serait complètement incohérent de se cacher.

Vous pouvez peut-être être un voyeur, mais cela dit ça ne vous empêche pas, normalement le principe même, c’est d’aller et de communiquer, de participer un tant soit peu. Donc quand les pratiques visent au contraire à la mise en visibilité de soi, c’est le cas des réseaux sociaux, c’est le cas éventuellement d’Instagram, de ces nouveaux réseaux sociaux, avec les postures qui vont être bien à la mode, c’est la logique des selphies, etc. C’est finalement quand les pratiques visent à la visibilité de soi, dans la mise en place de relations avec autrui et donc on va faire des pouces, on va attendre des réactions des autres, et il faut qu’on se mette en scène pour obtenir des réponses.

Donc là il est normal que l’on parle de soi, que l’on dévoile éventuellement son intimité, si ça fait partie de la démarche.

Dans ces cas, l’information sur la captation et leurs utilisations ne sont pas claires et explicites.

Il y a en revanche des écarts qui sont plutôt subis. C’est quand l’information sur la captation et les inférences qui peuvent être faites, c’est-à-dire les traitements, ce n’est pas très clair et explicite, et ça veut dire que l’utilisateur ne sait pas bien, où ne sait pas du tout ce qui est réalisé, ce qui est réalisable et il va quand même accepter.

Alors pourquoi on va accepter ? Parce qu’on est pressés, parce que pour continuer à lire et parce qu’il y a une affiche une fenêtre pop-up qui s’affiche et que ça nous empêche de lire le texte, etc, et qu’on a absolument envie de lire l’article. Parce qu’on veut absolument accéder au site, on va faire j’accepte sans faire très attention.

Donc c’est parce qu’on est finalement un petit peu trop pressé d’obtenir de l’information, et qu’on accepte tous les cookies et qu’on se dit que finalement ça va peut-être simplifier la navigation sur ce site la prochaine fois, donc on va se dire ça parce que finalement c’est la manière d’obtenir ce que l’on veut.

Mais cela dit, il y a une certaine invisibilité de ce qui va être réalisé, c’est-à-dire que d’une part la liste des conditions générales d’utilisation est tellement longue, qu’on ne va pas avoir le courage de les lire.

De plus, il peut y avoir une liste en disant que vos données seront réutilisées par des tiers, «à nos partenaires», et ces partenaires on ne les connaît pas tous. Donc finalement c’est trop compliqué, on est trop pressés et ce n’est pas très clair non plus, mais on va dire «oui, j’accepte».

Et le suivi et le profilage peuvent se faire par le biais par exemple des cookies, mais sachez qu’il y a aussi des collectes qui sont faites et qui ne sont pas très claires, c’est par exemple les collectes qui sont faites en repérant votre adresse IP, l’adresse IP de votre machine, que ce soit votre téléphone portable ou votre ordinateur.

Dans ces cas-là, c’est ce qu’on appelle le fingerprinting, ça va consister non pas à mémoriser les actions d’un individu, mais ça va être l’idée de mémoriser toute l’information relative à la machine et comme chaque machine est différente en fonction des systèmes d’exploitation, des applications qu’elle a, de tout ce qu’elle va avoir comme paramétrages, on arrive à une identification particulièrement précise.

Pour se donner une idée de cette unicité des machines et outils que nous utilisons, le site AmIUnique vous propose une évaluation du degré d’originalité de vos appareils. Le fait que vous soyez unique ou pas.

Le souci toutefois de ces démarches où l’on va accepter sans vraiment réfléchir, c’est qu’on n’est absolument pas dans la règle du règlement général de la protection de la donnée, c’est-à-dire que l’utilisateur n’est pas face à une situation de consentement libre, spécifique, explicité et informé, libre et éclairé, bien loin du principe du consentement éclairé.

Un consentement éclairé normalement, c’est quand on peut vraiment dire, « je vous donne ces données et vous pouvez les utiliser pour faire ceci, vous pouvez les utiliser pour faire cela, pour faire truc, pour faire machin, mais vous ne pouvez pas les utiliser pour faire autre chose que ce que j’ai coché ». Or régulièrement la manière dont c’est formulé vous amène à accepter des choses que vous n’auriez peut-être pas souhaité accepter.

Il n'y a que peu (ou pas) de solutions efficaces et simples à utiliser.

Autre situation, c’est quand on a des écarts consécutifs au manque d’options, parce qu’il n’y a pas, ou peu de solutions que vous estimez efficaces et vraiment performantes, donc dans ces cas-là, n’ayant pas de solution alternative aisément accessible, vous allez choisir de donner vos informations. Éventuellement vous auriez peut-être pu vous en sortir autrement, mais il aurait fallu avoir un niveau de compétence technique vraiment élevé, comme par exemple savoir utiliser un système d’exploitation un peu plus complexe, faire un petit peu de codage, toutes choses qui font que vous êtes exclus, de facto, de la possibilité de ne pas utiliser ces options qui sont efficaces, existantes, simples, faciles d’accès et généralement partagées par tous.

On peut alors avoir le sentiment que s’opposer à la captation n’est ni vraiment possible, ni vraiment tenable. Ceci conduit finalement l’utilisateur à avoir l’impression que les écarts sont inévitables. Trois raisons expliquent ce sentiment :

• Premièrement, ce n’est pas vraiment possible parce qu’il y a un chantage à l’accès. C’est gratuit si vous donnez vos informations, si vous acceptez les cookies. Si vous ne les acceptez pas, vous n’avez pas le service or vous voulez avoir le service. C’est du chantage à l’accès et il faudrait donc accepter de ne pas avoir tous ses services, ce qui peut être assez handicapant, ou contraignant dans la vie de tous les jours.
• Deuxièmement, cela peut être aussi parce que vous ne savez pas trop comment mettre en œuvre vos droits et cela arrive assez régulièrement. Toutefois des efforts sont faits, entre autres par la CNIL et par l’ANSSI pour vous donner un certain nombre d’éléments, pour essayer de savoir comment utiliser au mieux certains outils et comment au mieux faire respecter vos droits, pour ne pas systématiquement cocher «j’accepte tout», mais être un petit peu plus limité dans cette démarche.
• Troisièmement, c’est que nous sommes aussi face à des mastodontes du web, donc à un moment ou un autre, comme ils achètent d’autres entreprises, d’autres services, si éventuellement, ils font patte blanche d’un côté, en disant «nous cessons de collecter telles et telles informations personnelles», de l’autre côté ils vont les récupérer et ils savent qu’ils ont 40% de leurs clients qui sont aussi bien sur les deux plateformes, et finalement ils arrivent à avoir les mêmes informations.

Donc, c’est l’idée que finalement on est peut-être face à des écarts inévitables, parce que s’opposer, ça rime avec un certain irréalisme pragmatique, ce n’est pas faisable sur le long terme.

Alors face à tout ça, on se retrouve avec un sentiment de résignation souvent, une forme de sou- mission factuelle aux règles technico-économiques, avec l’idée que Big Brother et « 1984 », c’est maintenant, « ça y est et puis on n’y peut rien ! ».

Et une espèce de soumission, un abattement qui laisserait à penser que finalement la sécurité libre et éclairée du cyber utilisateur, elle n’existerait plus.

Mais comme nous allons le voir dans la session 4, ce n’est pas tout à fait le cas. Heureusement il y a des pistes pour motiver les utilisateurs à se protéger.

◁ Précédent | ⌂ Sommaire | Suivant ▷