A consistent vision on an international scale

The countries selected for the survey, namely France, Italy, Germany, China, the United States and the United Kingdom, were selected on the basis of their socio-economic environments and the diversity of regulatory frameworks concerning privacy protection. These elements can influence the perception and opinion of citizens regarding the protection of personal data. However, despite initial contextual differences, we observed through collected responses that the theme of privacy is perceived in a relatively similar way across the surveyed countries.

Among the majority of respondents were younger generations, often perceived as “digital” citizens and more intrigued by the subject of privacy in a digital world.

Indeed, there are differences and particularities: notably in how German respondents place particular importance ahead of their counterparts on the definition of privacy relating to personal freedom. Responses from the United States demonstrate less confidence in public institutions. Generally, however, there is greater global awareness among individuals about privacy and personal data topics. This can be explained by the borderless nature of data and the digital world, with the digital citizen expecting his or her privacy to be respected regardless of borders. This observation reinforces the importance of respecting privacy in digital projects, regardless of the country and population in question.

From freedom to control: evolution of the meaning of “privacy”

Privacy is traditionally seen as the possibility for an individual to retain some form of anonymity in his or her activities and to have the ability to isolate oneself in order to best protect his or her interests. It is intimately linked to the notion of freedom. However, analysis of the survey results shows that this notion tends to disappear in favour of the control of information. We have proposed to our respondents to select one or more definitions that relate to either notion.

The most frequently selected responses relate to control. This pattern is confirmed by observing the intermediate proposals. For example, “having control over the type of information collected about you” is a more widely selected response (more than half) than “having moments alone, without being monitored by others”, relating to freedom.

It is also important to provide customers and employees with assurance that they have control over their data. This is possible by providing individuals with simple and autonomous means of access.

All personal data are viewed as sensitive in the eyes of citizens

When questioned about the level of sensitivity, the panel showed slight differences in their responses. Citizens considered most of the proposed types of data as sensitive. They did not perceive that leakage of certain data types could have serious or even irreversible consequences (e.g. health data), in contrast to other data types (e.g. financial data), for which most countries have already implemented regulatory frameworks which protect individuals (for example, rapid reimbursement in the event of fraud). This demonstrates that, regardless of the type of personal data handled by a project, special attention must be given at least to the communication of protection levels.

Trust varies greatly from one sector of activity to another

We asked respondents to indicate which type(s) of organisation(s) they trusted the most with regard to using their personal data for previously authorised use. We can differentiate between three main groups of actors.

• Firstly, the actors grouped under the category of “institutions” command the highest level of trust among respondents. / This includes public institutions, semi-public institutions or entities from the traditional economy with which individuals have historically shared a relationship of trust. This is particularly the case given how such institutions have processed sensitive data throughout their history (medical data, etc.). We also find significant differences within this category, with more than half of respondents claiming to trust banks with the processing of their data. Image and reputation are therefore crucial for banks, which serve to meet customer expectations in the aim of retaining their position as the number one trusted partner.
• Secondly, an intermediate category encompasses the actors of daily life such as transport operators and energy suppliers. Such B2C actors carry out swift digital transformation and benefit from the existing relationship of trust.
• Thirdly and finally are actors in the digital economy, whether web giants or technology firms.

Mistrust towards such companies can be attributed to the amount of data they collect and use on individuals, as well as recent high-profile prosecution cases related to such use. However, this result reveals a paradox. Despite this evident lack of trust, individuals continue to frequently use the services provided by these actors, due in part to a lack of alternative, as well as the information entrusted seeming to be, often wrongly, harmless and insignificant in the eyes of the individual.

New technologies raising fears

The panel highlights four technologies most likely to put their privacy in danger, according to respondents. What do they all have in common? Making it possible to collect data without this activity being under the control of the persons concerned. This would, for certain individuals, equate to a form of surveillance. On the other hand, technologies which provide citizens with the ability to choose the data they share, such as connected objects or Cloud services storing private information, are considered less risky in terms of privacy and therefore do not feature as any of the four technologies.

Although not traditionally thought of as “sensitive”, data on individual behaviours and actions are now viewed as a significant stumbling block between customer expectations about the respect for privacy and the increasingly personalised customer relationship.

Citizens who take action to protect their digital privacy

More than half of respondents claimed that they had made certain changes to their online behaviour in order to better protect their data. This illustrates a heightened level of awareness by individuals concerning the protection of their privacy. It is worth analysing how the means individuals take to ensure such protection. Our respondents described the measures they took, divided into two categories:

• Measures to limit the amount/ type of data provided: provision of inaccurate/incomplete information when creating an account, such as the use of a nickname or discarding non-mandatory fields or the use of anonymous accounts…
• Measures to improve the security of the data provided: increasing the level of security of online accounts such as strengthening passwords, changing passwords regularly, checking access rights and being more attentive when sharing personal information over the Internet…
• In addition to such measures, we find more extreme solutions. This ranges from the complete closure of accounts on social networks, exclusive use of trusted and tested sites or technologies, to deleting history and cookies with every use of search engines.

While these individual initiatives can contribute to increasing the protection of privacy, they may conflict with new uses and innovation promoted by organisations, thus limiting or even preventing the personalisation of the customer relationship.

The survey methodology

The survey was carried out among a 1587 respondents’ sample with people from 6 different countries: Germany, China, the United States, France, Italy and the United Kingdom. Answers have been analyzed by two Wavestone’s offices: Paris and Luxembourg. The respondents’ sample has been provided by a tierce organization (SSIS). The Wavestone research department is familiar with this structure because they used to work together on surveys on behalf of the European Commission. Before the emailing campaign, quizzes have been conceptualized and translated by Wavestone. The sample has been defined in order to ensure its representativeness. The panel needed to be representative of the targeted population without any gender and socio-professional category discrimination. Besides, the two selection criteria were that people need to be adults and they must have an Internet access. The survey was conducted from July to August 2016 and analysed from September to December of the same year. The final version has been finally published at the beginning of 2017. All the data from this survey have been anonymized. The data collection has been made for statistical purposes only.

Cet article What does privacy mean in a digital world? est apparu en premier sur RiskInsight.

L’économie comportementale

L’économie comportementale est un champ d’étude couramment utilisé en tant qu’outil de politique publique, qui cherche à comprendre le comportement humain. Au Royaume-Uni, cette attitude est désormais baptisée « Nudge theory 2 » ou « théorie du coup de pouce » – et le Cabinet du Premier ministre comprend même une unité « Nudge ». Elle est le fruit de la réalisation que la « carotte » n’est pas seulement plus puissante que le « bâton » : elle est également plus efficace du point de vue économique. Le but de cette théorie du « coup de pouce » est de faire en sorte que le changement de comportement ne soit pas simplement temporaire ; en le transformant en habitude, faisant de lui « la norme » et une action subconsciente. En substance, il s’agit du plus large éventail de mesures incitatives qui puissent être conçues pour accroître la probabilité des résultats souhaités.

Le nom, l’image et la réputation d’une personne sont, pour la plupart des gens, des atouts qu’ils apprécient et veulent maintenir à un niveau élevé. C’est là l’une des caractéristiques de la nature humaine sur laquelle joue la théorie du coup de pouce. Celle-ci s’efforce en effet de puiser parmi les méthodes qui ont un impact sur l’estime de soi d’une personne, les manières d’encourager les personnes à faire « ce qu’il faut » parce qu’elles le veulent et non pas parce qu’elles y sont forcées. L’autre facteur clé est que l’homme est un animal social. Nous avons tendance à rendre la pareille à nos semblables, à rivaliser pour attirer le partenaire et à imiter le comportement les uns des autres.

Les réseaux de personnes ont tendance à instancier et renforcer les comportements. La connectivité croissante du monde des médias sociaux numériques renforce l’importance de ces tendances comportementales et offre de nouveaux outils de réseau extrêmement puissants pour influencer et orienter les comportements.

Mais qu’est-ce que tout cela peut bien avoir à voir avec la protection de l’information ?

Le gouvernement et les entreprises cherchent activement à protéger leurs informations contre la perte, le vol ou la copie, et aussi contre les conséquences qui en découlent pour la valeur commerciale et la violation du droit. La protection est assurée par la technologie et les processus, mais l’un des facteurs essentiels de son efficience est le comportement humain. Traditionnellement, les professionnels de la sécurité ont eu tendance à mettre en évidence des comportements et des résultats médiocres pour illustrer un problème et ensuite recourir au renforcement négatif pour influencer le comportement. Si cela peut fonctionner dans certaines cultures, dans bon nombre de cas il s’agit d’une attitude contre-productive. La puissance de l’imitation et de la conformité tend à inciter les gens à accepter et à se laisser influencer par le comportement commun. Lorsqu’un comportement déplacé est cité comme étant la norme, les gens ont tendance à l’accepter, voire à l’imiter. De nombreuses expériences ont démontré cette tendance.

Quels outils existent pour contribuer aux programmes de protection de l’information ?

Notre but, avec un programme de protection de l’information, est de changer les valeurs des gens pour aboutir à une transformation du comportement quant à leur utilisation des documents, des dossiers et des fichiers. Ce sous-ensemble de supports est considéré comme important pour la valeur et la réputation des entreprises – et souvent pour la conformité au droit.

Le changement de valeurs se traduit ensuite en comportement acceptable qui constitue la norme qu’imitent les autres, de telle sorte que les comportements deviennent « ce qui se fait ici ».

Le défi est que les comportements qui présentent une valeur intrinsèque élevée n’ont aucune garantie de réussir, d’être choisis ou d’être imités. Il n’existe pas de relation automatique entre une initiative visant un objectif connu et l’ingénierie des réseaux sociaux cherchant à atteindre cet objectif. Par exemple, un comportement alternatif peut être perçu comme plus attirant.

Toutefois, la première étape de la démarche consiste à prendre la défense de la valeur de l’objectif que l’on s’est fixé – en protégeant l’information, qui constitue peut-être un « joyau de la couronne », sur les valeurs essentielles de l’entreprise et, par conséquent, les valeurs essentielles de ses salariés. Les hommes et les organisations ont tendance à vouloir faire « ce qu’il faut » et à se comporter de manière raisonnable. Le problème est plus de surmonter l’inertie initiale et de transformer le comportement de manière permanente. L’utilisation de solutions techniques qui ne sont ni simples ni faciles à utiliser est une démarche fortement dissuasive qui peut augmenter considérablement la probabilité d’un échec.

La plupart des individus ne sont pas précis et ne calculent pas les avantages en tant que tels. Ils ont plutôt tendance à approximer et à ressentir si une chose est attrayante et désirable et ne présente pas un trop grand nombre d’inconvénients. Nous devons tenir compte de ce mode de pensée intuitif et en tirer parti. Les réseaux sociaux sur lesquels ces individus sont présents jouent un important rôle d’influence. Voici quelques facteurs que nous jugeons importants :

– La réciprocité est très importante. Les vendeurs de voitures qui réussissent exploitent parfois cela en laissant entendre qu’ils vous ressemblent. S’ils remarquent que votre cravate est celle de votre club de golf, ils vous parlent de golf ; à la vue de la tenue de foot de votre fils, ils vous révèlent qu’ils soutiennent la même équipe. Il est donc important d’intégrer et de relier les résultats souhaités de la protection de l’information à d’autres aspects qui sont déjà recherchés au sein de l’entreprise.

– Identifiez les influenceurs des réseaux sociaux. Certaines personnes, du fait de leur position hiérarchique ou par consensus, sont très appréciées et suivies par tous. Ces personnes doivent adhérer aux idées et aux comportements. Les personnes qui exercent une réelle influence ne sont peut-être pas celles que vous pensez. Expérimentez cela et essayez différents réseaux, tant formels qu’informels, au sein de l’entreprise.

– Encouragez les comportements souhaités. Tout comportement que nous encourageons est jeté dans un océan d’idées et d’informations, qui toutes luttent pour la reconnaissance et la notoriété ; les idées doivent par conséquent être encouragées de manière stimulante. Cette affirmation est illustrée par un exemple récent : la Barclays utilisait un livret illustré écrit par des auteurs célèbres. S’agissant d’une approche nouvelle, cela suscitait fatalement l’intérêt.

– Classez les performances autour de certains résultats spécifiques. Par exemple :

• Exhaustivité de la classification des documents
• Exhaustivité de la protection des documents (documents d’un type donné / contenu protégé par chiffrement)
• Robustesse des mots de passe
• Résistance à l’ingénierie sociale – où les principaux détails sont donnés dans un  test d’ingénierie sociale
• Résistance aux attaques de phishing

– Utiliser les tableaux de classement au niveau du service ou de l’individu. Cela met à profit la tendance à la compétitivité, qui à son tour a été utilisée par des plates-formes de ludification pour identifier les personnes présentant les comportements souhaités. Il est important de remercier les personnes qui présentent les comportements souhaités, en puisant dans un mouvement de réciprocité. Les gens, même ceux qui a priori ne le souhaitent pas, ont tendance à retourner les faveurs qui leur sont accordées. Dans son livre Influence, Robert Cialdini explique comment les gens se sentiront redevables s’ils reçoivent un stylo bas de gamme dans un courrier sollicitant un don de bienfaisance, comment ils se montreront bienveillants s’ils arrivent à marquer un point dans une discussion et comment ils rendront la pareille à ceux qui les apprécient.

Conclusion

La transformation du comportement humain est une composante essentielle de tout programme de protection de l’information. Les facteurs qui suscitent un changement de comportement doivent être influencés par la réalité des tendances comportementales des êtres humains et deviennent le centre d’intérêt de nouveaux champs d’études basés sur l’économie comportementale et la psychologie évolutionniste.

Ces études et leur application pratique dans les politiques publiques et les programmes de formation ou d’entreprise, comportent de nombreux enseignements pertinents pour les professionnels de la sécurité de l’information.

[Article traduit de l’anglais] 

Cet article S’appuyer sur les comportements sociaux de groupe pour une protection de l’information plus efficace est apparu en premier sur RiskInsight.