Tendances 2018 : données personnelles dans une nouvelle ère technologique et législative

Tendances 2018 : données personnelles dans une nouvelle ère technologique et législative

Tour d'horizon des changements technologiques et législatifs en matière de protection des renseignements personnels ainsi que des menaces à leur endroit.

Tour d’horizon des changements technologiques et législatifs en matière de protection des renseignements personnels ainsi que des menaces à leur endroit.

La vie privée constitue un droit fondamental de la personne, ou du moins, elle devrait l’être. De nos jours, on interprète les implications des termes « vie privée » pour l’utilisateur final dans le sens de la protection des données ou de la confidentialité de l’information. Cet écart rend de plus en plus complexe le maintien de la position neutre souhaitée pour l’utilisateur final. D’une part, il y a des passionnés de protection de la vie privée extrêmement motivés par la technologie qui cultivent une empreinte numérique nulle part ailleurs, d’autre part – dans la vraie vie, la grande majorité des utilisateurs finaux laissent une empreinte partout; ce qui donne aux cybercriminels un site Web rempli de données personnelles sensibles qui ressemble à une plage de sable fin lors d’une journée occupée.

Les données sont à l’origine de la prochaine révolution technologique et alimentent les vastes systèmes  d’intelligence artificielle (AI) en construction. La question est la suivante: lorsque des données sensibles entrent dans l’un des systèmes, combien de processus de prise de décision pilotés par des machines seront en mesure de faire respecter le droit à l’effacement et le droit d’être oublié, et les sociétés qui collectent ces données sauront-elles où et comment elles sont utilisées par leurs systèmes d’IA?

Bien que la majorité des utilisateurs finaux comprennent qu’ils transmettent leurs données aux réseaux sociaux ou aux entreprises par le biais de formulaires et d’applications, il existe de nombreux autres fournisseurs et services dont la collecte de données peut ne pas être aussi transparente.

Logiciels et services gratuits

Puisque les consommateurs s’attendent à profiter des logiciels sans frais ou à un coût très faible, certains fournisseurs ont pris la décision de se lancer dans la collecte et le partage des données. Les fournisseurs de logiciels libres n’ont que quelques méthodes pour monétiser leurs produits et le moins intrusif, du moins du point de vue de ce que l’utilisateur final voit réellement, pourrait être la collecte et la vente de données à des tiers.

Au cours de la dernière année, nous avons vu des fournisseurs de sécurité de confiance décider d’offrir des produits antivirus gratuitement. Bien qu’ils n’aient pas déclaré ouvertement leurs intentions quant à la façon dont la monétisation de leurs nouveaux produits gratuits fonctionnera, nous pouvons nous attendre à ce que certains d’entre eux utilisent des méthodes indirectes de monétisation comme la collecte de données personnelles.

Les logiciels de cybersécurité gratuit ou à faible coût poursuivront leur lancée au cours de la prochaine année.

La tendance d’offrir des anti-logiciels malveillants gratuits et la monétisation probable de ceux-ci par des moyens indirects, semble s’être accélérée depuis que Microsoft a commencé à proposer Windows Defender Antivirus en tant qu’option par défaut, gratuitement. Bien sûr, puisqu’un pourcentage des utilisateurs choisissent l’option offerte par Microsoft, cela laisse moins d’opportunités pour les fournisseurs existants de vendre des logiciels. Ceci peut donc expliquer l’appétit de certains d’entre eux pour la monétisation alternative via l’offre de leurs propres logiciels libres, plutôt que pour la concurrence directe.

Les logiciels de cybersécurité gratuit ou à faible coût poursuivront leur lancée au cours de la prochaine année. Les risques liés à la confidentialité des données personnelles poursuivront eux-aussi leur croissance. En effet, puisqu’en général, les logiciels gratuits n’utilisent pas de méthodes traditionnelles de monétisation, plusieurs utilisent généralement des déclarations de divulgation complexes, en partie conçues pour obscurcir leurs intentions quant à savoir quelles données sont collectées et si elles peuvent être vendues. Ce phénomène s’est notamment observé par les nombreuses entreprises qui offrent des politiques de confidentialité longues et illisibles qui ne sont compréhensibles que pour les avocats.

Ainsi, comme pour tout produit gratuit, chaque utilisateur doit pouvoir comprendre de quelle façon l’entreprise parvient-elle à récolter de l’argent. Par exemple, un jeu mobile peut afficher des publicités ou vendre l’accès à des niveaux ou des ressources dans le jeu. Si le moyen par lequel la société peut faire de l’argent semble difficile à comprendre, il est très probable que vos données personnelles et votre vie privée soient monétisées.

Internet des Objets

Internet des Objets

Alors que les produits et les applications gratuits connaissent parfaitement nos habitudes en ligne, l’adoption des dispositifs de l’Internet des Objets (IdO) permet de collecter et d’exploiter des données personnelles encore plus sensibles.

Lorsque vous rentrez du travail en voiture, votre téléphone transmet les conditions de circulation partagées avec d’autres conducteurs, ce qui vous permettra, nous l’espérons, de faire des détours intelligents ou de prendre des décisions de conduite pour vous ramener plus tôt. Le thermostat connecté à la maison communique avec votre téléphone, relayant votre position et l’heure de la journée. Actuellement, vous êtes connecté à votre environnement. Lorsque vous entrez dans la rue de banlieue où vous vivez, la porte de garage s’ouvre automatiquement, utilisant votre proximité pour prendre une décision. Les lumières s’allument et votre choix actuel de musique est automatiquement transféré de la voiture à votre domicile. Les dispositifs connectés sont conçus pour travailler ensemble, afin de nous simplifier la vie.

Chaque appareil a une histoire à raconter,  à travers les données personnelles qu’il recueille. En combinant ces différents flux de données, n’importe quel attaquant peut être en mesure de brosser un tableau complet de votre vie: où nous travaillons, où nous mangeons, quand nous allons au gymnase, quel cinéma nous visitons, où nous faisons du shopping, etc. La combinaison de ces données et des progrès de l’apprentissage machine et de l’intelligence artificielle pourrait faire en sorte que nous devenions des marionnettes de la technologie au fur et à mesure qu’elle prend des décisions pour nous tous.

Les analystes de Gartner prévoient qu’en 2018, on trouvera 11,2 milliards d’appareils connectés dans le monde, pour atteindre 20,4 milliards d’ici 2020. L’éveil des machines est à nos portes, attention! Chaque fois qu’un appareil demande à être connecté, nous devons éduquer l’utilisateur final sur l’importance de lire la politique de confidentialité et de prendre des décisions éclairées quant à l’acceptation ou non des conditions de collecte de données telles qu’elles sont énoncées dans la politique de confidentialité.

Législations

À partir de mai 2018, le Règlement général de la Commission européenne sur la protection des données (RGPD), une directive qui donne aux citoyens plus de pouvoir sur la manière dont leurs informations sont traitées et utilisées, entre en vigueur. La législation s’applique à toute entreprise qui traite ou collecte les données d’un citoyen de l’Union européenne, quel que soit le lieu de son siège social.

 Les profils de clients pourraient devenir la cible de pirates informatiques et nous avons constaté des violations de données personnelles provenant de sites de données, de magasins et d’autres sites.

La non-conformité à ces standards pourrait entraîner des amendes importantes, mais nous n’avons pas d’indications précises quant à la manière dont ces amendes seront infligées aux entreprises situées en dehors de l’UE pour le moment. La Commission peut estimer qu’elle doit donner l’exemple d’une entreprise située en dehors de ses frontières territoriales et, potentiellement, très rapidement après la date de mise en œuvre du 25 mai. Sans un tel exemple d’application, de nombreuses entreprises internationales pourraient prendre le risque d’une non-conformité, ce qui pourrait inciter la Commission européenne à intensifier ses efforts et à prendre des mesures en 2018.

Aux États-Unis, la protection de la vie privée a fait un pas en arrière en 2017, lorsque la nouvelle administration a abrogé la législation en suspens qui empêchait les fournisseurs d’accès Internet (FAI) de recueillir des données sur les clients sans autorisation. Bien que certains FAI se soient engagés volontairement à ne pas autoriser le marketing par des tiers, cela ne signifie pas qu’ils n’utiliseront pas ces données à des fins commerciales.

La taille des données recueillies à partir de nos habitudes en ligne pourrait facilement permettre la construction de profils, montrant ce qui peut être considéré comme des intérêts extrêmement personnels, en s’appuyant sur des informations que nous ne réalisons pas que quelqu’un est en train de recueillir.

Les profils de clients pourraient devenir la cible de pirates informatiques. Nous avons de plus observé des violations de données personnelles provenant de sites de données, de magasins et d’autres sites. Voler des données générées par l’observation de tout ce que nous faisons en ligne pourrait être le prix ultime d’un cybercriminel, offrant la possibilité de faire du chantage aux utilisateurs en fonction de leurs habitudes en ligne.

La capacité de manipuler d’énormes quantités de données comme décrit ci-dessus et de les utiliser ensuite pour quelque chose de significatif est une option relativement nouvelle pour de nombreux fournisseurs de logiciels et de services, car les coûts de stockage et de traitement associés ont chuté massivement. L’écosystème des mégadonnées, ou « big data », implique que beaucoup plus d’entreprises ont dorénavant la capacité de recueillir, de corréler et de vendre leurs données.

La facilité avec laquelle les entreprises peuvent collecter et vendre des données, notre volonté d’accepter les paramètres par défaut et notre dédain à lire une politique de confidentialité peuvent impliquer que notre identité, notre mode de vie et nos données personnelles deviennent un atout pour l’entreprise.

J’espère que 2018 amènera une plus grande sensibilisation des utilisateurs, mais plus réalistement, je doute qu’il y aura une plus grande quantité de données collectées avec peu de sensibilisation de la part de l’utilisateur. Chaque appareil qui se connecte sans décision ou choix éclairé, érode encore davantage notre vie privée, jusqu’ à ce qu’à un certain point la vie privée sera quelque chose que seuls nos ancêtres appréciaient.

Discussion