Risques émergents dans le secteur technologique

La technologie prend une place de plus en plus grande dans notre vie quotidienne et l’Internet des Objets (IdO) apportera la connectivité à une myriade de produits, tels que les voitures, les appareils électroménagers et les vêtements. La façon dont ces données seront utilisées et protégées aura une importance majeure pour toutes les sociétés impliquées et les autorités de régulation responsables de la création et de l’application des règles.

IBM estime que 90 % des données présentes aujourd’hui  dans le monde ont été créées pendant les deux dernières années, un processus qui ne fera que s’accélérer. Les risques inhérents à la prolifération de ces données, en termes de protection de la vie privée, de sécurité, de discrimination et de fragmentation,  ont un impact sur la confiance des consommateurs. Bien que les autorités de régulation hésitent à imposer des charges inutiles sur ce qui reste un marché naissant, elles seront probablement plus proactives que par le passé dans la mise en place des règles. Toutefois, une forte régulation pourrait être court-circuitée si les sociétés introduisent volontairement les principes appropriés à leurs services.

Respect de la vie privée : Donner le contrôle à l’utilisateur

Les premières règles relatives à la protection des données, qui ont été introduites pour donner un répit aux utilisateurs quand le marketing par téléphone et porte-à-porte était devenu un marché de masse, sont aujourd’hui en cours de mise à jour. Les problèmes relatifs à la protection de la vie privée ne sont pas nouveaux, mais la présence de plus en plus importante de la technologie permet aux sociétés de recueillir, suivre et regrouper beaucoup plus facilement les données privées des personnes afin de mettre au point des produits et services plus ciblés. Les règles n’ayant pas été mises à jour pour qu’elles soient adaptées au contexte d’un monde en ligne, il est clair que les conditions actuelles ne répondent pas aux besoins et que de nouvelles règles de protection des données sont requises.

La Commission européenne et la Federal Trade Commission (FTC) ont créé chacune leur propre ensemble de nouvelles règles, mais il existe un dénominateur commun entre les deux.  Datant de 2012, les règles de la FTC sont fondées sur trois principes : la protection de la vie privée au niveau de la conception, le choix simplifié, tel que le mécanisme « Ne pas suivre », et une plus grande transparence. Les règles européennes de 2016 comprennent des dispositions sur les aspects suivants : le droit à l’oubli, le consentement clair et explicite, un droit au transfert, un droit de connaître les données qui ont été piratées et la nécessité que les politiques relatives à la protection de la vie privée soient claires et compréhensibles.

Les règles visent à donner aux utilisateurs un contrôle sur leurs données et à améliorer la transparence en apportant des réponses claires aux questions suivantes : qui utilise les données ?, où circulent-elles ? et à quelles fins sont-elles utilisées ? Ceci n’est pas négatif en soi pour les sociétés dont le modèle économique repose sur les données, puisque de nombreux utilisateurs continueront heureusement à partager leurs données personnelles. Cependant, les règles peuvent créer pour les sociétés un travail bureaucratique supplémentaire afin qu’elles puissent s’acquitter de leurs obligations et offrir le bon choix aux utilisateurs finaux. Cela pourrait affecter surtout les petites entreprises, malgré quelques exceptions, telles que la nécessité d’avoir un directeur de la protection des données ou de mettre en œuvre les évaluations d’impact en Europe.

90 % des données présentes aujourd’hui dans le monde ont été créées pendant les deux dernières années

L’introduction de la protection de la vie privée au niveau de la conception, dans laquelle la protection de la vie privée se trouve au centre de chaque étape du développement du produit au service, et la minimisation des données, qui vise à déterminer clairement les fins auxquelles les données sont utilisées, qui les utilise et comment elles seront éliminées après l’utilisation, permettront de réduire les risques de non-conformité, mais ne les élimineront pas complètement. Ni les règlementations ni les pratiques ou mécanismes des sociétés ne sont infaillibles, mais la responsabilité incombe aux sociétés de démontrer leur bonne foi et prendre les mesures nécessaires en cas de violation de la vie privée. La mise en application reste floue car il s’agit d’un nouveau domaine d’activités, mais les enquêtes seront longues et pourraient entraîner une surveillance plus étroite, car beaucoup de sociétés ne parviennent pas à prendre les précautions nécessaires.

Sécurité : tout ce qui est connecté peut être piraté

Tout ce qui peut être piraté le sera. En matière de protection de la vie privée, il est impératif que les sociétés se focalisent sur la sécurité de leurs produits, via la sécurité par défaut. Cela permettra de minimiser le risque, mais ne l’éliminera pas complètement ; bien que les risques restent constants dans les questions relatives à la protection de la vie privée, ils augmentent au fil du temps en termes de sécurité. Quand un produit est lancé sur le marché, il devrait être complètement sécurisé. Pour assurer la conformité continue, les fabricants mettent généralement en œuvre des mises à jour logicielles OTA (over-the-air) pour que leurs produits restent à l’abri des nouvelles menaces. Ces mises à jour peuvent avoir une durée de vie maximale et cette vulnérabilité peut exposer le système entier aux risques dus à l’interconnexion. Un seul maillon faible peut ouvrir la porte aux pirates vers tous les dispositifs connectés au réseau.

Cela soulève la question de la responsabilité. Pendant combien de temps une société doit-elle fournir des mises à jour pour assurer la sécurité de son produit ? Pendant combien de temps un client devrait-il s’attendre à utiliser un produit connecté ? Quand l’autorité de régulation doit-elle intervenir ? Certains produits peuvent être mis à jour manuellement, ce qui signifie que la responsabilité incombe à l’utilisateur final, mais beaucoup d’entre eux manquent des fonctionnalités nécessaires (n’ayant pas d’écran tactile, par exemple) pour que ce soit viable. C’est là qu’il incombe au fabricant de protéger la sécurité de son produit. Le problème principal sera la période pendant laquelle un produit doit être sécurisé en vertu d’un nouveau type de garantie, tout en gardant à l’esprit qu’il ne peut s’agir ici d’approche standard. En ajoutant la connectivité à un produit, le fabricant doit savoir que la vente ne s’arrête pas au point de vente et que l’obsolescence programmée a un impact plus important que la simple mise à niveau à un nouveau dispositif.

Les voitures sont un bon exemple du niveau de responsabilité accru demandé aux fabricants. Bien que la sécurité représente également un problème crucial, le conducteur est généralement au centre de toute réclamation d’assurance. Les voitures devenant de plus en plus connectées à Internet, autonomes (la voiture peut se conduire par elle-même, mais nécessite un conducteur responsable) et enfin sans conducteur, la responsabilité passera du conducteur au fabricant. Volvo, Mercedes et Google ont déjà déclaré qu’elles assumeront la responsabilité pour les accidents éventuels de leurs véhicules sans conducteur quand ils seront commercialement disponibles, et d’autres fabricants dans tous les secteurs doivent se demander s’ils doivent suivre ce chemin.

La CNIL souhaite que le droit à l’oubli soit appliqué à l’échelle mondiale

Discrimination et fragmentation : Internet, c’est la vie réelle

La protection de la vie privée et la sécurité sont les deux risques les plus directs pour l’industrie technologique émergente et ceux qui feront probablement l’objet de règlements. Cependant, l’ajout de la connectivité et Internet apportent également des risques indirects, notamment la discrimination et la fragmentation.

Les données de masse présentent certains avantages, tels que les solutions ciblées et personnalisées qui peuvent être déduites de l’analyse, mais aussi certains risques car elles pourraient transformer les hommes en algorithmes. Le regroupement de différents points de données à propos d’un individu pourrait dessiner de celui-ci une certaine image, notamment quand d’autres données, comme son entourage ou ses fréquentations, sont ajoutées au mélange. Mais cette image peut être trompeuse. La FTC a déjà souligné les problèmes potentiels que représente l’accès inégal basé sur les points de données, qui peut entraîner une discrimination à l’encontre de certains utilisateurs selon les personnes auxquelles ils sont associés et non selon leurs propres actions. Cela peut entraîner une réduction du choix et une augmentation des prix pour les mêmes services.

La fragmentation désigne la tension constante entre un écosystème Internet mondial et les autorités de régulation nationales. Évidemment, il n’y a là rien de nouveau, car les sociétés technologiques ont dû se conformer aux règles nationales depuis leur création. La Grande muraille électronique de Chine est un exemple clair de ce type de souveraineté nationale dans un monde connecté. Mais les règles chinoises ne s’appliquent qu’au niveau intérieur et certaines autorités de régulation voudraient que leurs décisions nationales aient un impact mondial. La CNIL, l’autorité française de protection des données, souhaite que le droit à l’oubli soit appliqué à l’échelle mondiale, et pas seulement en France et en Europe, alors qu’un tribunal canadien a émis un jugement selon lequel les sites Web qui vendent des marchandises contrefaites devaient être supprimés non seulement au Canada, mais dans le monde entier. Internet étant un phénomène mondial qui ignore les frontières, une autorité nationale qui cherche à appliquer ses règles en dehors de son territoire sans consultation préalable se trouve confrontée à la question de savoir quelle juridiction et quelle autorité devraient s’appliquer.

La meilleure façon pour les sociétés de gérer ces risques émergents et d’éviter que les autorités de régulation ne prennent un rôle trop grand consiste à s’assurer de développer leurs services en gardant à l’esprit les problèmes liés à la protection de la vie privée, la sécurité et la discrimination. Cela non seulement renforcera leur conformité, mais leur donnera également un avantage concurrentiel sur les rivaux moins innovants.

About Fredrik Motzfeldt

Fredrik is the Regional Industry Leader for Willis Towers Watson in Great Britain.  Fredrik has more than 26 years…
Categories: Cyber-risques, Français, media et télécommunications, Technologies | Tags: , , , , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *