Depuis que le RGPD fait la Une, il flotte dans l’air une drôle d’impression. C’est un peu comme si tout à chacun découvrait la protection des données pour la première fois. Si pour la plupart des particuliers et certaines organisations ce n’est pas tout à fait faux, reste que le sujet ne date pas d’hier pour bien des entreprises. Mais c’est pourtant en usant d’une tactique de « belle ingénue », que se distinguent les entreprises les plus aguerries. En utilisant le RGPD comme une arme redoutable elles inversent le cours de leurs déboires, à l’image de Facebook.
Facebook suspend 200 applications. Et après ?
C’est en grande pompe, qu’à la mi-mai, Facebook déclarait avoir suspendu 200 applications de sa plateforme, soupçonnées après enquête de la firme californienne, d’utiliser les données personnelles de ses utilisateurs sans avoir consenti à leur demander leur consentement.
Cette annonce intervenait alors qu’à deux mois de l’entrée en application du RGPD, soit en mars dernier, a éclaté un gros scandale. Cambridge Analytica, un cabinet de stratégie en communication évoluant dans le big data à des fins notamment de publicité en ligne, est accusé d’avoir collecté et exploité à travers une application de « tests psychologiques » les données personnelles de près de 87 millions d’utilisateurs de Facebook. Les informations récoltées auraient été utilisées pour développer un logiciel prédictif capable d’influencer le vote des électeurs américains à l’élection présidentielle.
L’entreprise britannique assurant qu’il s’agit de pratiques tout à fait légales a préféré mettre la clé sous la porte, compte tenu du rush médiatique et des impacts, alors que dans le même temps Facebook dénonçait de son côté être victime d’un abus de confiance et affirmait ignorer tout de cette pratique. D’ordinaire si stratégique et innovant, Mark Zuckerberg, n’a pas eu d’autre choix que de s’expliquer devant le Congrès américain, et ainsi promettre de mieux protéger les données de ses utilisateurs, en en limitant leur utilisation.
Une stratégie de diversion parfaite ?
Peut-on croire de la part de Facebook qu’elle ne le connaissait pas les pratiques de Cambridge Analytica et des 200 autres applications blacklistées par elle ? Peut-être. Doit-on la croire quand elle parle d’abus de confiance ? C’est nettement plus discutable.
Difficile de ne pas penser à de la simple complaisance quand on sait que Facebook est loin de compter parmi les entreprises les plus préoccupées par la protection des données personnelles. Ne parle-t-on pas de cette firme dont le fondateur avait annoncé la mort du concept de la vie privée il y a déjà plusieurs années et qui l’a longtemps pensé avant quelques machines arrière ?
Loin de penser qu’il s’agisse de malveillance bien évidemment. Bien au contraire. Facebook fait partie de ces innovateurs, des essayeurs du numérique, des early adopters de nouvelles technologies. Et il en faut.
Mais pourquoi Facebook a-t-il attendu si longtemps pour lancer une telle initiative d’audit des applications ? La réponse est simple. La limite des activités de Facebook est concomitante à ce que peut accepter sa communauté d’utilisateurs et bien évidemment aux risques financiers, qui n’a plus rien d’hypothétique avec le RGPD.
Malgré les astuces de Facebook pour réduire les impacts de la réglementation, il y a en effet bel et bien un avant et après Cambridge Analytica, Le sujet devient de plus en plus sensible pour toutes les entreprises ou entreprises hors UE souhaitant faire des affaires dans / avec l'UE. Mais tenons le pour dit : Le RGPD reste une contrainte pour Facebook, non une valeur.
Face à changement d’ère, Facebook avait déjà mis en place, avant le scandale, des processus concernant les applications tierces : demandes d'accès aux applications / validation des droits, etc. Ces processus existaient mais sont désormais plus systématiques et rigoureux, car les utilisateurs ne pardonnent plus tout en bloc.
Et c’est bien ce changement qui a dicté la conduite de Facebook malmenée, en clouant au pilori des applications tierces sous couvert de respecter le RGPD, en se faisant passer pour un bon élève.
Valeur vs Contrainte : le prochain challenge de la protection des données
C'est une bonne nouvelle que ce scandale puisse inciter les entreprises à améliorer leur prise en compte de la vie privée et de la sécurité de leurs utilisateurs.
Mais ce dont nous avons besoin, c'est d'un changement en profondeur des mentalités comme des modèles économiques et de développement, où les données sont le modèle d'affaires. Cela doit être fait précisément par les principaux acteurs, les GAFA…. Ceux-là même dont le pourcentage d’utilisateurs qui acceptera sans trop broncher les politiques de développement sera bien supérieur à celui d’autres plateformes moins prédominantes. Sinon, qui le fera et sur quelle base d’égalité ? Mais tant qu'ils ne changeront pas leur modèle, le contexte restera le même et l'utilisation abusive des données restera une routine. Dans une récente interview, notre secrétaire en charge du numérique, Mounir Mahjoubi, a eu la formule suivante : « le FacebookGate est un appel de réveil sur la confidentialité / sécurité des données ».
Le GDPR sera en effet un véritable test : l'UE aura-t-elle la capacité de condamner fermement les contrevenants, surtout lorsqu'ils viendront de l'extérieur de l’UE ? Saura-t-elle ouvrir la voie des réflexions stratégiques de protection des données et de véritables virages ?
Cette question est d’autant plus importante qu’il convient de rappeler que le règlement n'interdit rien. Il ne fait que responsabiliser les entreprises et les invite à mieux prendre en compte les risques liés à l'utilisation des données personnelles, en ce qui concerne les droits fondamentaux et la liberté des utilisateurs.
Alors en attendant que les habitudes d’innover changent, que des modèles économiques accueillent le principe de précaution comme un nouveau pilier, il importe que les utilisateurs ne soient pas désensibilisés en leur laissant croire que le RGPD leur hachera menu tout le travail de la sécurisation de leurs données.
Pour protéger ses données : mieux vaut compter d’abord sur soi-même
Du côté des utilisateurs, il faut souligner qu’ils sont de plus en plus concernés par le sort de leurs données. Potentiellement victimes, ils doivent prendre plus de temps pour consulter les pages de politique de confidentialité.
Qu'en est-il de ces utilisateurs finaux ? Sont-ils acteurs de la sécurité en ligne de leurs données ? Quelques rappels ne seront pas inutiles à l’heure où certaines communications qu’avec le RGPD les utilisateurs sont protégés de tout et n’importe quoi.
Les dangers du Wi-Fi public
- Lorsque vous rejoignez un réseau Wi-Fi public ouvert à votre café préféré, vous pouvez obtenir plus qu'un expresso ... Vous pourriez potentiellement être victime d’un vol d’informations.
- En outre, un pirate peut avoir créé un faux réseau Wi-Fi qui semble réel (avec un nom similaire par exemple) ... l’utilisation d’un VPN est donc fortement recommandée.
Les dangers des applications
- Les applications sur votre smartphone peuvent vous espionner.
- Soyez très prudent lorsque vous sélectionnez des applications. Jetez un œil aux fonctionnalités dictées par le développeur.
- Maximisez les paramètres de confidentialité autant que possible
Les dangers des médias sociaux
- Évitez les quiz Facebook qui peuvent relever toutes vos données (Cambridge Analytica)
- Minimisez les informations que vous partagez sur les réseaux sociaux
- N’acceptez pas les demandes de personnes que vous ne connaissez pas.
Tout le monde peut prétendre être quelqu'un d'autre en ligne - prenez des mesures supplémentaires pour assurer votre sécurité et celle de votre famille.
En conclusion, n’hésitez pas à vous référer à des conseils, guides, vidéos de la part des professionnels du secteur et autres associations, sans oublier le site de la CNIL et ses guides qui fournissent de bons conseils et recommandations.