Derrière cette question un brin provocatrice apparaît un sujet régulièrement présent dans l'actualité. Prenons par exemple l'année 2016, la CNIL aura épinglé publiquement les manquements en termes de sécurisation des données d'un acteur du e-commerce (Cdiscount - 19 octobre 2016) et d'un parti politique (Parti Socialiste - 27 octobre 2016). Quant à l'association Que Choisir, elle aura aussi alerté sur la sécurité et les données personnelles de deux jouets connectés (6 décembre 2016). Dans chacun de ces cas, les faits mis en avant concernent le manque de sécurisation de la connexion reliant le jouet à internet ainsi qu'une collecte sans consentement express des utilisateurs.
De même, l'étude lancée par l'agence américaine de protection des usagers des services financiers (Consumer Financial Protection Bureau) vise à recueillir les avis des utilisateurs d'agrégateurs de services financiers ou des robo-advisors. Ces applications peuvent être illustrées notamment par les outils:
- analysant les mouvements sur les comptes bancaires et catégorisation des dépenses (assurances, nourritures, loisirs,…),
- optimisant la gestion du budget en fonction de l'historique de consommation et des mouvements sur les comptes proposant des stratégies d'épargne et des échéanciers,
- permettant de négocier les prêts en fonction de son profil bancaire.
S'agit-il d'une entorse dans le paradigme communément admis d'un abandon de ses données personnelles contre un service à valeur ajoutée ?
Si nous ajoutons à cela le résultat du baromètre de l'innovation signé Odoxa-Micosoft-L'Usine Digitale qui indique que 74 % des Français n'ont pas confiance dans l'utilisation de leurs données collectées par les applications mobiles, il semblerait que nous ayons une conjonction des planètes pour l'entrée en vigueur du règlement européen le 21 mai 2018 sur les données personnelles (Règlement Général sur la Protection des Données).
Ce règlement met notamment en exergue la mise en place de procédure de documentation et de sécurité autour des données. Il est à noter que son non respect pourra conduire à une amende allant jusqu'à 4 % du chiffre d'affaires mondial de la société. En outre, il induit de nouvelles notions comme la protection des données personnelles comme socle de conception des applications (Privacy by Design) ainsi que la capacité à démontrer l'efficacité des mesures a posteriori (Accountability). Des stratégies devront être définies pour analyser l'impact sur la vie privée des traitements identifiés comme sensibles, la sécurité des données à caractère personnel devra être renforcée dans le but de conserver leur intégrité et les accès devront être limités aux personnes autorisées. De plus, en cas de faille de sécurité conduisant à un vol ou à une perte de données, la CNIL et le consommateur (parfois) devront en être informés dans les 72 heures. Ceci impliquera la mise en place d'un plan de crise allant au-delà d'une simple gestion d'image.
Pour finir, la Directive communautaire et le droit français imposaient uniquement que le traitement soit « non excessif » alors que le prochain règlement indique de se « limiter au minimum nécessaire au regard des finalités du traitement ».
Pour finir, la Directive communautaire et le droit français imposaient uniquement que le traitement soit « non excessif » alors que le prochain règlement indique de se « limiter au minimum nécessaire au regard des finalités du traitement ».
Un futur possible consisterait à changer la logique de conception des applications en prenant une stratégie moins intrusive en termes de données personnelles que je nommerais « le slow data ». Cette logique pourrait reposer sur des briques liées à l'intelligence artificielle. Mais ce point fera l'objet d'un prochain post !