Cyber espionnage et surveillance électronique la responsabilité des entreprises en question

Cybersécurité, surveillance électronique : le RGPD ne résoud pas les questions de responsabilité des entreprises

Cet article mis à jour a été initialement publié sur Le Cercle Les Echos ici

Le Règlement Général sur la Protection des Données (RGPD) entré en application en mai 2018 est un tournant majeur dans la révolution numérique en cours. Le RGPD a mis fin à une décennie durant laquelle le business model triomphant était celui s’asseyant sur les règles les plus élémentaires de protection des données personnelles. Pour autant, dans un monde régit toujours plus par le Big Data, l’Intelligence Artificielle et les objets connectés, la responsabilité des entreprises reste énorme. La vigilance est de mise.

Le RGPD offre enfin un cadre juridique égalitaire et compétitif pour développer des activités numériques en Europe avec des règles du jeu clarifiées

L’affaire Snowden nous avait utilement rappelé le réel enjeu que constitue la protection des données personnelles. La mise en application d’un texte réglementaire comme le RGPD a été le fruit d’une longue bataille rangée entre l’Union Européenne et les Etats-Unis qui se sont affrontés, du fait d’intérêts économiques divergents, sur deux conceptions différentes du rôle des données dans l’innovation des produits et services.
• En Europe, il existe un vieux socle réglementaire de moins en moins adapté du fait des convergences des technologies et de la mondialisation des données, mais qui, néanmoins, pousse au respect des données. La CNIL en France en est un parfait exemple.
• Aux Etats-Unis, des géants du web ont longtemps prospéré grâce à l’utilisation des données personnelles et leur exploitation. Ce véritable business model a permis l’émergence d’entreprises d’envergure mondiale comme Google ou Facebook. On comprend alors plus aisément la réticence des américains à adopter des mesures coercitives en matière de respect des données personnelles et cette plus grande facilité à aller « piocher » les informations jugées nécessaires.

J’ai pu directement travaillé sur la complexité de ces questions. J’ai notamment participé à la création d’initiatives multipartites comme la Global Network Initiative, dont l’objectif avait été de créer justement une plateforme réduisant l’assymétrie d’information entre parties prenantes (entreprises de télécommunication, ONG défenseurs de droits notamment) sur ces questions de gestion de la protection des données personnelles et d’éviter toute intervention étatique néfaste à la confidentialité des informations privées. Pour avoir travaillé directement sur ces questions avec des européens comme Deutsche Telekom, Telefonica, Telia, Telenor et Vodafone, j’ai aussi bien vu la distorsion de concurrence majeure avec les GAFA pour faire preuve de responsabilité en matière de protection des données. Le RGPD offre enfin un cadre juridique égalitaire et compétitif permettant à toute entreprise basée dans l’Union Européenne ou ailleurs d’y développer des activités numériques avec les mêmes règles du jeu.

L’ampleur et la complexité des transformations digitales en cours appelle pourtant à toujours davantage de vigilance

Mais le cadre réglementaire a sans nul doute déjà un train de retard. Le développement à grande vitesse de produits et services s’appuyant sur la réalité virtuelle, des algorithmes utilisant de l’intelligence artificielle ou de l’Internet des Objets Connectés laisse complètement entières et pratiquement vierges les questions de respect de la vie privée, de traitement discriminatoire des individus, et même de liberté d’information. A plus forte raison dans un contexte de développement exponentiel d’enjeux de cybercriminalité ou bien d’espaces parallèles de cryptomonnaie non contrôlés. Ainsi, les transformations digitales en cours et sur lesquelles s’appuient les entreprises pour innover, s’adapter ou renforcer leurs positions sur les marchés posent des questions auxquelles gouvernements et entreprises vont devoir rendre des comptes à leurs électeurs et consommateurs avec toujours plus d’accuité

Garantir les conditions d’équité et transparence dans l’offre de services
Le scandale Parcoursup et la défiance des familles quant à l’affectation équitable de leurs enfants – sujet hautement émotionnel – rend ces éléments aussi limpides qu’indispensables: comment faire preuve de transparence dans l’utilisation de données, le fonctionnement d’algorithmes, tout en gérant les risques associées à la vulgarisation d’informations complexes? On peut évoquer deux pistes essentielles:
– L’utilisation de procédures revues sous format de revue périodique de qualité dans la conception produit, permettant de tester et valider les critères mis en oeuvre dans l’équité de traitement des profils et données contextuelles traitées par les algorithmes
– L’intégration d’échantillons de populations cibles test permettant de tester par exemple la présentation méthodologique et d’en valider la compréhension et la perception de transparence par ces utilisateurs potentiels

Suivi des effets induits. Mettre en place une diligence raisonnable
L’innovation digitale pose encore deux questions majeures associée à l’adoption et l’appropriation des solutions par les utilisateurs. Ces questions éthiques demandent un suivi constant traitant des effets induits et de la manière d’améliorer l’agrégation et utilisation de données autant que les algorithmes fournissant l’offre de service. Une diligence raisonnable de suivi est indispensable:
– L’adoption concerne la manière dont les utilisateurs vont réellement utiliser le service. Différents gouvernements, par exemple dans les Républiques d’Asie Centrale anciennement soviétiques ont utilisé les données permettant de savoir où les téléphones portables bornaient à l’heure et à l’endroit où des manifestations contre les gouvernements se tenaient, afin d’identifier les manifestants puis d’aller les arrêter chez eux. L’adoption de la solution technologique par les gouvernements permettant de pister des opposants a été évidemment différente de l’intention initiale qui était de donner un moyen de communication portable à des utilisateurs…
– L’appropriation concerne la manière dont les utilisateurs vont comprendre le fonctionnement du service et tenter de le manipuler en conséquence. Facebook avait été développé initialement pour créer une communauté virtuelle d’amis. L’appropriation pour les utilisateurs en a fait aussi et par la suite un outil de propagande politique susceptible d’avoir influencé différentes élections.
Il existe d’ores et déjà de nombreuses lois encadrant la relation avec les clients situés dans des endroits à haut risque (par exemple les lois de contrôle des exportations), mais que faire des relations commerciales légales mais immorales ou qui violent les règles de confidentialités et de liberté d’expression ? Le suivi des questions d’adoption et d’appropriation est indispensable pour corriger et améliorer les solutions digitales, et in fine en assurer non seulement l’acceptabilité, mais également la conformité avec les principes de droits fondamentaux

Cybersécurité: L’engagement des employés, des utilisateurs et d’experts techniques comme exigence primordiale
De nombreux scandales ont démontré la force avec laquelle les questions de Cybersécurité et par exemple le vol de données clients peuvent sérieusement affecté le fonctionnement, voire la pérennité de n’importe quelle entreprise. Deloitte, Sony ont été sérieusement bousculés. Ashley Madison, site sulfureux de rencontres extra-conjugales ne s’en est évidemment jamais remis. Cet univers en constante innovation invite là encore les entreprises se développement dans le numérique (et les autorités) à maintenir actif le dialogue avec trois communautés clés:

– La formation et le suivi des pratiques des employés permet de maîtriser nombre d’enjeux cybersécurité au coeur même de nombreuses entreprises. Les employés et leur vigilance reste la plus grande faille et le meilleur maillon de sécurité. Rien de plus facile que d’introduire une clé USB dans un système quand on travaille dans l’organisation par exemple…
– L’étude et le dialogue avec les clubs utilisateurs et les communautés dédiées permet de garder un oeil sur les questions d’adoption et d’appropriation, afin de voir comment les utilisations des produits et services est susceptible de créer des failles nouvelles à corriger
– Enfin, le dialogue continue avec les experts techniques, parfois pirates dans une autre vie, reste évidemment un axe majeur de veille

Ainsi, si le RGPD est venu enfin créer un espace collectif mieux réglementé en matière de traitement des données et de respect de vie privée, on voit bien combien la révolution digitale en cours offre encore de nombreux boulevards sur lesquels les questions de responsabilité des entreprises pourvoyeuses de solutions et services digitaux vont s’accroître.

Farid Baddache auteur de ce blog sur les thématique de résilience, d'impact et d'inclusion
Site Web | Autres articles

Auteur de différents ouvrages sur les questions de RSE et développement durable. Expert international reconnu, Farid Baddache travail à l’intégration des questions de droits de l’Homme et de climat comme leviers de résilience et de compétitivité des entreprises. Restez connectés avec Farid Baddache sur Twitter @Fbaddache.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *