Cybersécurité et confidentialité des données : entrer dans une logique de confiance mutuelle « win-win »

La préoccupation de confidentialité des données (data privacy concern)

Le Règlement Général sur la Protection des Données a remis en exergue cette préoccupation sur le territoire européen en encadrant de manière précise les données personnelles (nom, prénom, photographie…) et les données dites sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, informations de condamnations, biométriques ou génétiques…). Au-delà du cadre légal, certaines données relèvent du cadre privé, par exemple, l’endroit où nous allons déjeuner le midi ou la (les) personne(s) qui nous accompagne(nt). Quel qu’en soit le type, aucune donnée ne nous appartient : les données ne sont pas une propriété́ !

Le paradoxe de confidentialité des données (data privacy paradox)

On constate pourtant des écarts, parfois importants, entre la volonté déclarée de préservation de la vie privée et les pratiques digitales effectives des individus. Ces écarts sont de trois types.

Les écarts consentis caractérisent des situations de légitimité ou d’usage dans lesquelles livrer des données personnelles semble juste et logique, par exemple, s’identifier dans nos communications avec l’administration ou pour justifier un droit.

Les écarts subis concernent les situations où l’information sur la captation des données n’est pas suffisamment claire ou explicite, par exemple, cocher la case « j’accepte les cookies » simplement parce qu’une fenêtre de navigation est venue nous déranger et nous empêche de voir l’intégralité́ du site Internet, ou parce que nous sommes trop pressés pour lire la politique de confidentialité qui d’y rattache.

Enfin, les écarts inévitables sont les situations dans lesquelles il n’est pas vraiment possible ou durable de s’opposer à la captation des données, par exemple, en cas de verrouillage à l’accès d’un logiciel, lorsque les solutions alternatives proposées manquent ou sont moins performantes, ou encore lorsqu’on ne sait pas comment s’y prendre pour faire respecter ses droits.

Ainsi l’utilisateur d’un système informatique ou d’un téléphone portable est finalement mis à mal face à des techniques qui semblent le dépasser.

Les conséquences pour les entreprises

Les entreprises peuvent réagir stratégiquement à cette situation de deux manières :

soit elles s’engagent dans une stratégie de cybersécurité et de protection des données personnelles pour répondre aux exigences des utilisateurs et éviter les sanctions au regard de la législation (effet « push»)
soit elles vont au-delà des attentes des consommateurs et de la législation, et considèrent que l’engagement cybersécuritaire, notamment via la confidentialité des données, est un levier d’avantage concurrentiel qui leur permettra d’attirer de nouveaux utilisateurs (effet « pull»). Dans ce cas, l’entreprise améliore sa performance globale et la confidentialité des données est une garantie de confiance pour l’utilisateur. La cybersécurité et la confidentialité des données deviennent des labels que les entreprises peuvent mettre en avant pour se différencier.

En conclusion, la confidentialité des données représente à la fois une préoccupation majeure des cyber utilisateurs et une opportunité de transformation des entreprises. Il est indispensable pour toutes les parties d’adopter une hygiène numérique cybersécuritaire, qui se transmettra par porosité entre les sphères privée et professionnelle.

Références pour aller plus loin

ANSSI Guide d’hygiène informatique

ANSSI Guide des bonnes pratiques de l’informatique

ANSSI MOOC sur la sécurité numérique

ANTS Sécurité des postes de travail

C2i Être responsable à l’ère du numérique

L’auteur est : Nathalie Dagorn, nathalie.dagorn@icn-artem.com