Garry Kasparov

Les actions individuelles et la réglementation doivent aller de pair en termes de confidentialité

Garry Kasparov, 11 juillet 2018

La protection de vos données en ligne nécessite l'association d'une réglementation, de normes et d'actions individuelles. Avec le premier pas des sites Web conformes au RGPD, les consommateurs devraient maintenant prendre le temps de mettre en œuvre des pratiques de sécurité de base pour assurer la sécurité de leurs données et informations en ligne.

Le Règlement général sur la protection des données, dit RGPD, est entré en vigueur fin mai en grande pompe. Enfin une organisation multilatérale prenait au sérieux le défi de la protection de la confidentialité à l'ère numérique. Le bricolage de lois nationales, de la protection de la confidentialité agressive à une absence totale de réglementation, a été jusqu'à présent inefficace dans la multi-juridiction du monde en ligne. Bien que la réglementation comporte toujours des risques, ces dernières années, il est devenu évident que le cyberespace exige des mesures publiques afin d'assurer la sécurité des utilisateurs et la responsabilité des entreprises.

Plus généralement, le RGPD exige des entreprises qui traitent des données personnelles des citoyens de l'Union européenne (ces données incluent un large spectre d'informations, allant du nom de la personne à ses données biométriques) de mettre à jour leurs pratiques en termes de collecte, stockage et divulgation de ces données sensibles. Par exemple, les organisations doivent maintenant obtenir le consentement des consommateurs avant de stocker leurs renseignements dans une base de données. C'est la raison pour laquelle votre boîte de réception est littéralement inondée de demandes de consentement de la part de toutes les entreprises dont vous utilisez les produits et services étant donné que quasiment toutes les grandes sociétés possèdent des clients en Europe. Les entreprises doivent également informer les régulateurs de l'Union européenne dans les 72 heures lorsque les données des utilisateurs ont été compromises. Dans les cas où la violation s'avère plus sérieuse, les clients doivent être avertis rapidement. Si les utilisateurs veulent avoir accès à leurs données personnelles (et ce, à tout moment) ou désirent les effacer en vertu de la clause du droit à l'oubli du RGPD, les entreprises doivent s'y conformer (à condition qu'il n'y ait aucune raison légale de conserver les données en question).

Les sanctions encourues en cas de non-respect de ces règles sont très sévères. Les entreprises peuvent écoper d'une amende pouvant atteindre 4 % de leur chiffre d'affaires annuel pour les violations les plus graves. Effectivement, dès le premier jour de l'entrée en vigueur de la loi, Facebook et Google ont reçu des amendes de plus de quatre milliards de dollars chacune en raison de l'absence de mise à jour de leurs politiques conformément au RGPD. La mise en place des protections requises exige un travail de titan : selon la taille de l'entreprise, un Délégué à la protection des données dédié voire un service entier est nécessaire. Mettre en œuvre ces mesures induit des coûts importants pour les entreprises, d'où les critiques des détracteurs du RGPD qui jugent le règlement « anti-entreprise ». Mais pour que la civilisation en ligne s'épanouisse, la loi et l'ordre doivent régner afin qu'Internet ne deviennent pas le Far West.

Compte tenu de sa portée et de ses mécanismes d'application, le RGPD promet d'avoir des effets retentissants sur le commerce mondial. La protection des données sera désormais encouragée dès les premières étapes du développement des produits, transformant de ce fait les technologies qui arrivent sur le marché. Les entreprises devront ajuster leurs stratégies publicitaires au vu des nouvelles restrictions sur le partage des données, ce qui pourrait entraîner une explosion du marketing d'influenceurs et d'autres publicités de type bouche-à-oreille.

Toute cette situation représente certainement un pas dans la bonne direction, mais cela ne signifie pas que l'Union européenne a résolu les problèmes de cybersécurité au sein de ses frontières ou qu'elle a établi un modèle infaillible pour le reste du monde. La transparence et la responsabilisation que le RGPD exige des entreprises auront leur efficacité, mais les consommateurs ont toujours un rôle à jouer concernant leur propre protection. Il ne faut en aucun cas interpréter ces améliorations comme une décharge de ses responsabilités personnelles quant à ses informations confidentielles. Comme je le répète souvent, l'éducation et la vigilance sont les maîtres mots. Par ailleurs, aucune agence gouvernementale, aucun département d'entreprise et aucune entité juridique ne peut remplacer un consommateur averti et proactif. Connaître ses droits, savoir comment les programmes et les appareils que vous utilisez interagissent avec vos données et prendre le temps de mettre en œuvre les pratiques de base vous permettra de protéger vos informations (au moins dans la mesure du possible).

Utiliser l'authentification à deux facteurs pour l'intégralité de vos comptes est un exemple évident de pratique de base. Il suffit de seulement quelques minutes pour la mettre en place et elle offre une sécurité accrue par rapport à un simple mot de passe. Elle présente le double avantage de rendre les comptes plus difficiles à pirater et donc moins attractifs aux yeux des pirates qui se contentent généralement des comptes qui ne disposent pas de l'authentification à deux facteurs. Évidemment, l'authentification à deux facteurs implique que vous deviez effectuer cette étape supplémentaire de vérification d'identité dès que vous vous connectez à un nouvel appareil, que ce soit par le biais d'une application d'authentification, un SMS (l'option la moins sécurisée) ou une clé USB physique (l'option la plus avancée). Pour de nombreux utilisateurs, ce petit inconvénient est suffisamment important pour ne pas opter pour l'authentification à deux facteurs. D'autres utilisateurs ne connaissent même pas cette possibilité. Résultat : plus de 90 % des utilisateurs de comptes Gmail n'utilisent pas l'authentification à deux facteurs.

Comment inverser la tendance ? S'agit-il uniquement d'un problème d'ignorance et de suffisance à régler du côté des utilisateurs ? Même si je viens d'insister sur l'importance de la responsabilité personnelle, je pense également que des changements généraux peuvent tirer profit de certains aspects de la psychologie humaine pour améliorer notre sécurité collective. Le RGPD a permis d'élever les normes du côté des entreprises mais les normes des utilisateurs finaux sont tout aussi importantes. Et si l'authentification à deux facteurs devenait le paramètre par défaut pour les comptes Gmail ? Allons plus loin dans notre réflexion : et si elle devenait obligatoire ? (Ce cas de figure serait impossible pour certains utilisateurs qui n'ont pas accès à une méthode d'authentification pratique mais c'est une hypothèse intéressante pour notre article.)

Les comptes de messagerie d'entreprise nécessitent généralement des niveaux de sécurité par défaut plus élevés que ceux des comptes personnels en raison du rapport risque/avantage différent. Les pilotes de Formule 1 font appel à des fonctionnalités de sécurité plus performantes dans leurs voitures que le conducteur lambda même s'il serait techniquement plus sûr que nous utilisions tous des casques et des harnais de rallye cinq points dans nos véhicules. En revanche, de nos jours, nous mettons tous nos ceintures de sécurité (ou du moins, nous devrions). Je l'ai appris à mes dépens après un coup sur la tête cette année : même si vous êtes coincés dans les bouchons sur une courte distance, attachez votre ceinture !

Google et d'autres fournisseurs de services pourraient au moins vous faire savoir à quel point chaque paramètre que vous activez ou désactivez affecte la sécurité de votre compte. Ils pourraient éventuellement proposer une note de sécurité globale, comme le proposent de nombreux sites pour les mots de passe avec une échelle de rouge (faible) à vert (fort). Cette note simplifierait-elle trop la sécurité, nous donnant de ce fait un sentiment erroné de tranquillité ou constituerait-elle une étape utile vers la standardisation de la sécurité ?

Ces suggestions doivent servir de point de départ pour imaginer toutes les façons dont nous pourrions structurer l'expérience utilisateur. Si des lois de la taille et de l'envergure du RGPD visaient les normes des utilisateurs finaux, les résultats pourraient s'avérer exceptionnels. Tout comme en matière de partage des données, les intérêts des entreprises ne sont pas nécessairement les mêmes que ceux de leurs clients. L'authentification à deux facteurs étant l'exception et non la règle, le fait d'obliger de façon trop agressive les utilisateurs à l'adopter peut les pousser à changer de plateforme. Les rappels constants peuvent vite devenir pénibles voire donner l'impression que l'entreprise a des problèmes de sécurité. À l'image des banques qui se sont débarrassées des vigiles armés et des locaux dignes d'une forteresse, les entreprises en ligne n'aiment pas la sécurité visible car elles craignent que les utilisateurs soient plus effrayés que rassurés. Mais si les normes en termes d'authentification à deux facteurs étaient uniformes et faciles à utiliser, on assisterait à une adoption plus générale de cette sécurité.

La méthode la plus efficace est donc une association entre réglementation, normes et actions individuelles. En d'autres termes, nous devons travailler à restructurer l'architecture qui guide nos décisions tout en nous appliquant à nous protéger dans un système qui ne sera jamais parfait. Il est peut-être donc utile d'accéder à votre boîte de réception et de rouvrir certains de ces e-mails que vous avez reçus au moment de l'entrée en vigueur du RGPD. Avez-vous pris le temps de consulter les conditions générales mises à jour envoyées par les divers sites et programmes que vous utilisez ? Les entreprises devaient rendre ces informations plus claires et plus compréhensibles pour les clients. Il est cependant de votre responsabilité de prendre le temps de les lire.

L'introduction du numérique dans chaque aspect de notre vie est relativement nouvelle et les normes de notre société mettront un certain temps avant de s'adapter. Nous savons qu'il est important de bien se laver les dents et de manger cinq fruits et légumes par jour pour être en bonne santé ; de la même façon, il est important de mettre en œuvre des pratiques de « cyber-hygiène » pour préserver notre sécurité en ligne. Bien sûr, tous les problèmes ne se régleront pas avec des bonnes pratiques. Les dentistes sont toujours en activité parce que certaines personnes ne se lavent pas les dents. Nous avons un siècle d'expérience avec nos véhicules particuliers et nous avons toujours des accidents. (Vivement les voitures autonomes !) Mais même si nous ne pouvons contrôler chaque facteur, nous pouvons être davantage protégés grâce aux bonnes habitudes et, lentement mais sûrement, nous serons tous plus en sécurité.

Vous qui lisez cet article, j'espère que vous montrerez l'exemple en adoptant de meilleures pratiques en termes de sécurité. Plus l'utilisateur moyen sera informé et exigera davantage en matière de confidentialité et de sécurité, plus les entreprises et les gouvernements répondront avec de meilleurs systèmes et lois plus innovants. Ainsi, nous obtiendrons un système qui fonctionne en synergie avec des utilisateurs qui feront de meilleurs choix et des institutions qui mettront tout en œuvre pour garantir que ces choix contribuent à un monde numérique sûr et transparent.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour connaître les dernières actualités, pensez à nous suivre sur FacebookTwitter et Google+.