Comment concilier la protection des données privées et le développement du marché numérique en Europe ?

En moins de dix ans, la collecte des données personnelles et leur exploitation ont explosées. Vecteurs de business, elles offrent des potentiels de valorisation incroyables pour les entreprises, en particulier pour les entreprises du numérique.

Les géants du web ont d’ailleurs construit leur modèle (et leur richesse) sur cette fameuse donnée. En 2013, la vie d’un Européen valait plus de 600 euros, selon une étude du Boston Consulting Group et trois fois plus d’ici 2020. Cependant, dans le même temps, les consommateurs et internautes ont appris (parfois à leurs dépens) à se protéger, et surtout à se méfier d’Internet. Dans le contexte économique actuel, de plus en plus tourné vers le numérique et donc vers la donnée, comment redonner confiance pour que ce marché poursuive sa croissance, en particulier en Europe ?

Données personnelles : consommateurs et entreprises, deux visions divergentes

Une récente étude de KPMG a démontré que « plus de la moitié des consommateurs dans le monde ne concrétisent pas leur acte d’achat, inquiets pour leurs données personnelles, et moins de 10% des consommateurs estiment avoir le contrôle sur l’utilisation de ces dernières ».

Même si cela n’a rien de surprenant, cela démontre qu’aujourd’hui l’utilisation des données personnelles soulève un certain nombre de questions au sein des consommateurs (quid de la sécurité des données, quid de leur exploitation ou encore pourquoi mes données sont-elles monétisées à mon insu, quid de mon revenu sur ce qui m’appartient…). Et face à ce constat de méfiance, une partie des utilisateurs se protègent en adoptant l’anonymisation ou encore la pseudonymanisation.

La première technique consiste « à supprimer tout caractère identifiant à un ensemble de données », un processus par lequel les informations personnelles sont irréversiblement altérées. La seconde est de remplacer un attribut par un autre enregistrement. Cette dernière ne gomme en aucune manière le caractère nominatif des informations exploitées. Alors que la pseudonymisation se pose comme une barrière face aux informations nominatives, l’anonymisation, elle, efface l’attribut même des informations.

Si l'anonymat semble une vraie barrière de protection contre la captation des informations, ce n'est pas un moyen d'établir une relation de confiance. Par contre, dans la mesure où un tiers peut rétablir le lien entre l'identité et le pseudonyme, et inversement garantir que cette liaison est privée, le pseudonymat permet de donner foi au système. Ce sont donc deux visions qui se font face. D'un côté entre les consommateurs qui souhaitent garder le contrôle, et de l'autre, les entreprises qui n’ont de cesse de collecter, exploiter leurs données. Comment réconcilier ces deux mondes ?

eIDAS et GDPR, la base d’une confiance retrouvée

La protection des données peut-elle brimer l’innovation et la croissance au sein du marché numérique ? La réponse est non, sous réserve que les entreprises replacent la confiance et le consommateur au cœur même de leur stratégie numérique. Pour ce faire, de nombreuses solutions sont aujourd’hui à leur disposition, dont les réglementations mises en place récemment.

Depuis juillet 2014, le Parlement européen et le conseil ont adopté l’eIDAS (electronic IDentification, Authentication and trust Services), règlement qui vise à renforcer la confiance dans les transactions électroniques au sein du marché européen, en établissant une fédération des identités sur le sol européen et des autorités et des moyens de confiance.

Le Règlement Général sur la Protection des Données (RGPD), dont la vocation est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises », est un autre facteur qui renforcera la confiance des consommateurs européens dans les plateformes numériques.

Le RGPD est pleinement applicable depuis mai 2018, après deux ans de transition, aux entreprises collectant, traitant et stockant des données personnelles au sein de l’Europe, dont l’utilisation peut, directement ou indirectement, identifier une personne. Plus qu’une contrainte pour les entreprises, c’est une réelle opportunité pour elles d’établir avec leurs publics un nouveau lien de confiance, élément décisif dans le développement des marchés numériques.

Le RGPD prévoit explicitement l'usage du pseudonymat comme un moyen de sécuriser les données personnelles. Ce qui n'est pas explicite dans eIDAS. D'un côté une identité numérique publique, aussi lisible qu'une carte d'identité, de l'autre des moyens de réduire l'exposition de nos attributs personnels. Afin de résoudre cette apparente contradiction, il faudrait un moyen de déposer des preuves permettant de garantir l'authenticité et l'unicité des attributs présentés sous un pseudonyme. C'est ce que nous proposons pour les objets connectés.

Et demain avec les IoT, qu’en sera-t-il de nos données personnelles ?

Nous savons que nous sommes observés sur Internet, avec nos quelques achats par semaine, notre centaine de recherche sur Google, nos dizaines de statuts. Mais  qu’en sera-t-il des milliers de pas que nous faisons par jour, des centaines de localisations GPS… Nos objets connectés vont produire une quantité astronomique d'informations trahissant nos habitudes, mouvements, états.

Pour autant ces objets peuvent être nos ambassadeurs, voire des agents efficaces dans des négociations fastidieuses : faut-il 3 ou 6 rouleaux d'essuie-tout ? Avec 3 je prends le risque de manquer, avec 6 cela bloque de l'argent et je n'aurai pas la place de les ranger.

Un système de pseudonymat pour l'IoT doit inclure un certain nombre d'acteurs :

  • Il faut une identité qui sera à l'origine d'une demande de pseudonyme,
  • Il faut un garant publique de cette demande sans pour autant connaître la destination de cette demande,
  • Il faut un dépositaire légal de l'objet du pseudonyme et ses attributs, mais qui ne pourra pas s'arroger des dépôts par lui-même,
  • Il faut que les porteurs des états des objets (broker) persistent le pseudonyme et ses attributs pour eux-même et les autres,
  • Il faut que le dépositaire légal du pseudonyme puisse être enquêté en cas de litige sur un pseudonyme

 

Thumbnail

 

Thumbnail

Source : Stéphane Popoff

Pour aller plus loin

Sécuriser vos contenus numériques
Les ateliers du FIC2017 : quelles normes à développer en matière d'IOT ?
Orange Cyberdefense Academy : former les futurs talents de la cybersecurité
La boîte à outil du SOC : de la détection à la gestion des incidents
[Infographie] Baromètre Cybersécurité 2017 : où en est l'industrie française ?

Stéphane Popoff

Architecte des systèmes d'identité et d'accès, je dispose d'une bonne culture de développement. Proche des utilisateurs je défends bec et ongle leurs intérêts dans les projets d'intégration.