Alors que les réglementations et les lois se durcissent en matière de protection des informations personnelles, des entreprises telles que Amazon et Google continuent de recourir à des pratiques à contre-courant. Le géant du e-commerce a ainsi récemment proposé un avoir de dix dollars aux clients qui accepteraient d’installer sur leur navigateur web un logiciel permettant d’accéder à leurs parcours en ligne. Google a, pour sa part, proposé à des passants américains de prendre leur visage en photo, contre un bon d’achat de cinq dollars et le droit d’utiliser les clichés, en vue d’alimenter leur système de reconnaissance faciale. Avec de telles pratiques, un paradoxe s’installe.

Bien que les consommateurs semblent plus soucieux que jamais du respect de leur vie privée et de la protection de leurs données personnelles, ce type d’exemples démontre qu’ils sont également prêts à brader ces informations si la rétribution proposée parait attractive. Or, beaucoup n’ont probablement pas la moindre idée de l’usage qui est fait de leurs données personnelles par la suite, et certaines entreprises profitent de cette zone d’ombre.

Le respect de la vie privée – hors ou en ligne – est un droit fondamental, qui ne devrait pas être monnayable et doit être protégé à tout prix. Le principe de confidentialité des données permet en effet de s’assurer que les informations concernées ne sont accessibles qu’aux personnes autorisées et que leurs propriétaires conservent le contrôle sur l’utilisation de leurs données personnelles identifiables (DPI). Elle dépend, par conséquent, des procédures et réglementations qui régissent la collecte, le stockage et l’utilisation de ces dernières. Depuis un peu plus d’un an, les organisations sont soumises à une responsabilité pénale si elles les exposent de manière inappropriée, volontairement ou non.

Les organisations utilisent dès lors des biais pour soutirer les données, comme le montrent les exemples évoqués précédemment ; ces pratiques doivent cependant s’accompagner de transparence quant à la gestion des informations, conformément aux exigences de la CNIL et du RGPD, qui impose ainsi un ensemble d’exigences à toute entreprise qui stocke, ou traite, des informations personnelles des résidents de l’UE. En outre, les compromissions de données, et donc de leur confidentialité, ne sont plus seulement embarrassantes pour l’image des organisations ; à présent, des lois ou règlements, tels que le RGPD, prévoient des sanctions en cas de non-respect de la confidentialité des informations personnelles ou sensibles. Peuvent alors en découler des pénalités financières, voire des poursuites judiciaires.

La gestion de la confidentialité des données impose par conséquent aux organisations de former aux processus et règles de protection des données les collaborateurs de tous niveaux ayant accès à des données sensibles – du PDG, au directeur des ressources humaines en passant par les équipes marketing. Ainsi, les équipes internes et externes, auront pleinement conscience de l’importance de protéger les informations et de leur responsabilité dans cette tâche, et sauront quelle attitude adopter dans des initiatives similaires aux démarches de Google et Amazon.

Bien que le sujet soit martelé depuis de nombreuses années, et malgré l’entrée en vigueur du RGPD, le grand public ne maîtrise le principe de confidentialité que dans les grandes lignes, ce qui explique la propension de certaines enseignes à « acheter » leurs données personnelles, en vue d’utilisations floues. Or, ces zones d’ombre ne pourront durer qu’un temps avant que de nouvelles règlementations ne viennent durcir le ton. Il appartient aux organisations de jouer le jeu de la transparence, et d’inscrire la confidentialité des données au cœur de leurs priorités ; afin de rejoindre les experts de la cybersécurité et les organisations gouvernementales dans l’effort d’informer et de sensibiliser les consommateurs à leurs droits.

_________
Pierre-Louis Lussan est Country Manager France et Directeur South-West Europe chez Netwrix