La protection des données et de la vie privée sur internet, on en entend souvent parler, surtout depuis le mois de mai avec le nouveau règlement RGDP*. Mais pourquoi est-ce si important ? Après tout, si mon enfant ne fait rien de répréhensible, il n’y a rien à craindre…
Un matin, vous recevez un email vous annonçant que, si vous ne payez pas 10 000 euros dans la journée, toutes vos photos osées seront envoyées à vos collègues, amis et famille…
Vous n’avez jamais fait de photos osées ? Parfait, un tel coup de bluff vous ferait bien rire. Mais comment le maître chanteur a-t-il obtenu votre adresse email ? En piratant un site comme LinkedIn, par exemple. En 2012, des pirates informatiques se sont emparés des données de milliers d’utilisateurs : leur adresse email, leur mot de passe, leur liste de contacts. LinkedIn a averti ses utilisateurs du piratage et leur a demandé de changer leur mot de passe de toute urgence.
Imaginez qu’un pirate informatique puisse, via votre profil LinkedIn, très facilement connaître votre email, votre lieu de travail, tout votre historique de carrière, ainsi que la liste de vos collègues. C’est déjà inquiétant.
Mais si votre ado utilise Snapchat, que faire si des pirates s’emparent de ses photos ? Qui sait où elles pourraient atterrir, et à quoi elles pourraient servir ?
C’est ce qui s’est passé en 2014 : environ 90 000 photos volées à des utilisateurs ont été répandues un peu partout sur la toile suite à un piratage, alors même que Snapchat promet que les photos sont éphémères. Imaginons que votre ado se prenne en photo via Snapchat avec ses amis, au collège, devant la maison, ou d’autres endroits reconnaissables, il devient relativement facile pour un criminel persévérant de l’identifier très précisément.
Avec le RGDP, les entreprises ne peuvent pas « laisser traîner » vos données
Quel rapport avec la protection des données, et le règlement européen RGDP ? Un pirate informatique est dans l’illégalité, et ce n’est pas une réglementation européenne qui va l’arrêter. Certes, mais avec le règlement RGDP, la compagnie qui gère un site internet est tenue par la loi de protéger les données de ses utilisateurs contre le piratage, entre autres obligations.
L’entreprise est ainsi obligée de s’assurer que les données sont en sécurité, qu’elle collecte uniquement le minimum de données nécessaires à un bon fonctionnement du service, et elle est obligée, en cas de piratage, de prendre des mesures efficaces immédiatement et d’avertir les utilisateurs concernés au plus vite.
C’est ce qu’a fait LinkedIn : dès que l’entreprise a eu connaissance du piratage, elle a averti les utilisateurs concernés. Un peu comme une banque, qui est tenue de prendre bien soin de l’argent que lui confient ses clients, les entreprises qui collectent des données en ligne sont tenues de prendre très grand soin de ces données. Elles sont aussi précieuses que vos économies.
Les données personnelles, le miel des publicitaires
De façon moins spectaculaire, le règlement RGDP protège un peu mieux nos données personnelles, notamment en matière de marketing. C’est une pratique courante que de récolter les adresses emails de ses utilisateurs pour les revendre à des bases de données de marketing.
Cela n’est que la version moderne du démarchage par téléphone ou par courrier. Votre adresse postale, votre numéro de téléphone, et votre email sont des données très intéressantes pour les publicitaires: s’ils disposent de ces informations, ils peuvent inonder votre boîte aux lettres de courriers publicitaires, ou vous appeler à l’heure des repas pour vous enquiquiner avec des offres d’assurance ou des fenêtres en alu à des prix défiant toute concurrence…
Ces pratiques étant intrusives, elles sont réglementées, et le consommateur peut exprimer son opposition.
Protéger le consommateur à l’ère numérique
C’est la continuation de cette logique qui est à l’oeuvre dans le RGDP : désormais, les entreprises ne peuvent pas collecter tout et n’importe quoi comme données, sans le consentement des usagers, et elles ne peuvent pas non plus disposer de ces données à leur guise.
En effet, avec les derniers développements de la technologie, il est devenu très facile de récupérer un faisceau de données sur les utilisateurs: votre adresse email, certes, mais aussi vos heures de connexion (depuis le bureau, ou dans la soirée?), vos habitudes internet (quel site visitez-vous avant et après être allé sur Facebook?), vos habitudes d’achat (payez-vous par Paypal ou par carte de crédit?), vos habitudes de déplacement (le GPS de votre téléphone vous suit à la trace).
Même lorsque ces données sont anonymisées, elles donnent un portrait très fidèle de l’utilisateur. Il est possible pour un algorithme de tout savoir de vos moindres habitudes, même s’il ignore votre nom et votre adresse exacte.
Est-ce que ça n’est pas un peu exagéré, cette paranoïa des données personnelles ?
Dans le cas du marketing et des publicités, c’est agaçant. Et c’est tellement efficace que ça peut vous pousser à faire des achats dont vous n’aviez pas forcément besoin. Est-ce bien la peine pour autant de légiférer et de multiplier les lois, tout ça pour éviter l’équivalent numérique d’un courrier publicitaire ? Le problème est que, entre de mauvaises mains, ces données deviennent une arme redoutable: pour un pirate, une entreprise sans scrupules, ou un régime autoritaire.
Imaginez que, parce que votre ado a critiqué son prof de maths sur Facebook, vous ne puissiez pas l’inscrire dans le lycée ou la fac de son choix. C’est ce qui pourrait bientôt se passer en Chine.
En effet, un nouveau système de surveillance à grande échelle croise toutes les données des citoyens chinois et décide s’ils sont méritants. S’ils ont eu le malheur de fumer dans un endroit non-fumeur, ou de bloquer une piste cyclable en se garant en double file, il leur devient impossible d’acheter un billet de train ou d’obtenir un prêt bancaire.
Le système rassemble toutes les données disponibles à leur sujet : paiements, relevés bancaires, habitudes Internet, historique de tous leurs achats, déplacements, etc. S’ils ont tendance à trop jouer aux jeux vidéo, ils perdent des points : ils ne sont probablement pas très responsable, selon l’algorithme. S’ils achètent des couches, ils en gagnent: père ou mère de famille, ils participent au taux de natalité du pays, et sont donc des citoyens dignes de confiance.
Votre nombre de point, en Chine, décidera très bientôt de l’école dans laquelle vous pourrez inscrire vos enfants. Même s’ils ne sont pas encore nés.
Il n’est jamais trop tôt pour bien faire
Ces dérives peuvent sembler très lointaines. Pour le moment, la collecte de données semble plutôt inoffensive : vous regardez une boutique de vêtements en ligne, et dans les jours qui viennent, des publicités pour cette marque vous suivent partout où vous allez sur Internet. Après tout, est-ce si grave ?
La logique du RGDP est qu’il n’est jamais trop tôt pour se préoccuper de cette collecte de données tous azimuts, et que, si on ne protège pas le consommateur, il sera bientôt trop tard pour mettre le holà.
C’est aussi un rappel pour les parents qu’il est nécessaire d’éduquer leurs enfants lorsqu’ils partagent des contenus sur le Net : comment réagir à un formulaire d’acceptation de cookies, quelles informations donner ou refuser de donner, comment régler ses paramètres de confidentialité…
Mais les parents aussi ont besoin de s’informer : ils sont encore trop nombreux à partager des photos de leurs enfants à tout-va sur les réseaux sociaux, et ce, sans le consentement des principaux intéressés.
*RGPD : règlement général sur la protection des données.