Ressentez-vous une préoccupation des citoyens concernant leur vie privée ?

Ce n’est pas vraiment une préoccupation à ce stade, sauf pour une minorité, environ 5 à 10% de la population d’après certains sondages. Cette minorité comprend la manipulation commerciale dont elle est l’objet et, conséquemment, le poids du ciblage dans son comportement. Le constat intéressant est qu’aujourd’hui ce ne sont plus spécifiquement les « geeks » qui prennent conscience de cette manipulation, mais des profils de plus en plus variés. Cela se traduit pour la grande majorité par un agacement de la population, parfois même une exaspération liée à la sensation d’être un produit. La puissance des géants devient dérangeante, les big tech sont en train de devenir les méchants.

Comment cette évolution se traduit-elle depuis l’entrée en vigueur du RGPD ?

Je ressens une meilleure compréhension des enjeux de protection de la vie privée, notamment lorsque je donne mon pitch. Je pense que les réactions que je récolte sont un bon échantillonnage de l’ère du moment. Il y a 4 ans, je passais parfois pour un fou : « la confidentialité, ça n’intéresse personne », « le modèle GAFA c’est le seul qui fonctionne pour internet », etc. Aujourd’hui, ce n’est plus du tout le cas : c’est un marqueur énorme, très tangible.

Que propose Cozy Cloud pour les aider ?

Aujourd’hui, nos données ne sont déjà pas sous notre contrôle, mais elles sont également dispersées. Ainsi, l’usage que l’on peut en tirer est limité, voire freiné. La vie numérique se fragmente du fait de sa diversification : vie scolaire, parcours de santé, interactions avec les pouvoirs publics, objets connectés, etc. Toutes ces données circulent dans des écosystèmes étanches les uns par rapport aux autres, et cela crée une friction : c’est l’enfer des mots de passe, téléchargements, synchronisations, back-ups, etc. De ce fait, la force d’Apple consiste à créer une intégration, un maillage entre toutes ces données : l’utilisateur reçoit une invitation dans ses mails, elle est ajoutée sur son agenda, qui se synchronise avec son smartphone, lequel conduira bientôt sa voiture à destination… En interconnectant toutes ces données, Apple est devenue l’une des premières valeurs boursières !

Le fait d’ôter de la friction entre ces écosystèmes étanches et d’ajouter de la simplicité aux usages numériques a donc une valeur énorme. Une barrière persiste : l’isolation des données les unes par rapport aux autres. Pour un numérique utile, pratique, commode et personnalisé, il faut réunir les données.

En Europe, le système politique donne à l’individu une place centrale : aujourd’hui, grâce au RGPD, l’individu dispose d’un droit à la portabilité. C’est un droit fort pour l’usager, ainsi qu’un véritable levier pour Cozy Cloud et pour tous ceux qui se veulent des tiers de confiance. Il ne s’agit pas d’un droit de téléchargement, mais véritablement d’un droit au transfert pour l’utilisateur. Ce droit modifie totalement les règles du jeu.

Grâce à ce droit, l’individu est rendu légitime pour réconcilier les données : il dispose, d’une part des logins et mots de passe, d’autre part de la légitimité légale. En appuyant Cozy Cloud sur cette double légitimité, nous offrons à l’individu une plateforme numérique personnelle, dont il garde le contrôle, et dans laquelle il peut centraliser toutes ses données et accéder à de nouveaux services numériques.

Concrètement, quels services proposez-vous aux individus ?

Cozy Cloud, ce n’est pas seulement un coffre-fort « statique » comme on en voit beaucoup. L’utilisateur centralise ses données sur un cloud personnel pour pouvoir y adosser ses services, rajouter des usages et effectuer des croisements entre ses données. Nous appelons cela du « transverse data » : croiser les données issues de sources diverses. L’utilisateur peut par exemple faire le lien entre sa facture d’électricité et un débit sur son compte en banque : nous créons ainsi une véritable fluidité.

De plus, la plateforme permet à l’utilisateur de communiquer avec ses divers fournisseurs, qui se trouvent aujourd’hui dans des univers séparés : désormais, un login et un mot de passe uniques permettent d’échanger avec les différents fournisseurs.

Enfin, la solution permet la mise en place de services numériques à domicile. A l’heure actuelle, il faut laisser collecter la donnée pour pouvoir bénéficier d’un service ; par exemple, EDF envoie chaque mois des centaines de prélèvements automatiques sans savoir lesquels vont être bloqués in fine. L’information qui permettrait d’anticiper ces prélèvements infructueux existe mais EDF ne peut y accéder car cela reviendrait à accéder aux soldes bancaires de ses clients. Cela représente un coût important en frais de gestion, de traitement, de suivi et provoque des frictions dans la relation client. Avec la solution de Cozy Cloud, l’utilisateur récupère et consolide dans sa plateforme ses données bancaires, sa facture et la date de son prochain prélèvement ; de son côté, Cozy Cloud développe un protocole permettant de faire des calculs sur les données présentes dans la plateforme. Ainsi, l’algorithme d’EDF, qui a accès à la donnée mais ne la collecte pas, peut prédire que le prélèvement va être bloqué. De son côté, la banque peut par exemple faire une offre commerciale, et différer le prélèvement. Cette offre se base sur l’accès à une donnée très personnelle, qui relève de notre intimité numérique. Pourtant, jamais EDF ne reçoit la donnée : celle-ci ne sort pas du coffre numérique de l’individu et n’est donc pas dévoilée.

Comment sont gérés les accès et habilitations dans Cozy Cloud ?

C’est un peu similaire à ce que l’on peut retrouver sur nos smartphones : une fenêtre pop-up s’ouvre, par exemple pour demander l’accès à notre liste de contacts. L’accès d’une application à nos données facilite alors de nombreuses actions, par exemple la saisie d’un mail en local. Mais le transfert de données vers l’extérieur pose un véritable problème.

La fenêtre pop-up de Cozy Cloud propose deux options à l’usager : soit un usage local, soit un usage partagé de la donnée.

Quel est l’apport de votre solution pour les organisations ?

Cozy Cloud se fonde sur deux business models successifs.

Tout d’abord, nos clients ce sont de grands comptes, les « brick and mortars », qui bénéficient d’une confiance historique, menacés par les puissances du numérique. Ils veulent se repositionner à l’ère du numérique et valoriser cet asset de confiance : c’est donc du B2B2C. Cozy Cloud est aux « brick and mortars » ce qu’est Android pour le serveur, soit un service valorisant un hardware.

Le second business model interviendra une fois que la plateforme conciliera plusieurs acteurs-clés, tels que les banques ou les opérateurs de télécommunications : Cozy Cloud pourra s’adresser à une partie significative de la population. Il deviendra alors opérateur d’interactions digitales, dans une logique de partage de revenu avec les différents clients. En effet, Cozy Cloud gère l’écosystème et les contrats : lorsqu’un « brick and mortar » signe un contrat, tous les clients de Cozy peuvent bénéficier de sa donnée, avec l’accord de l’utilisateur. Le revenu lié à un client en particulier est matérialisé par la donnée apportée et la commission payée à Cozy Cloud.

Plus concrètement, quelle valeur ajoutée leur proposez-vous ?

On peut valoriser la donnée sans la monétiser pour autant : ce qui a de la valeur, ce n’est pas la donnée en tant que telle, c’est plutôt l’interaction créée entre les données, lorsque celle-ci est pertinente. Les organisations doivent le comprendre. Nous nous positionnons comme un opérateur d’interactions digitales.

Par exemple, lorsqu’un utilisateur achète une télévision à la Fnac, il reçoit la facture dans son cloud personnel ; ainsi son assurance peut lui communiquer des informations utiles, de type « votre nouvelle télé est bien assurée pour le dégât des eaux ». Cette interaction crée de la valeur pour l’assuré, mais également pour l’assureur. Dans ce contexte, l’organisation valorise son rôle de tiers de confiance en offrant davantage de services, mais peut également développer un nouveau métier. Celui-ci consiste, non plus à sécuriser de la donnée, mais à créer un écosystème de services à valeur ajoutée pour l’entreprise, mais aussi utile pour l’utilisateur. Si nous reprenons l’exemple d’EDF et de la banque, l’interaction rendue possible par Cozy Cloud engendre pour EDF un gain d’argent et de temps, qui se monétise. La plateforme Cozy devient ainsi un opérateur d’interactions digitales, somme toute plus intelligentes, tout en restant sous le contrôle des particuliers.

Cette solution pourrait sembler aller à l’encontre de technologies telles que le big data ou le machine learning de prime abord ; en réalité, jamais les entreprises n’auraient pu collecter de telles données et les ajouter à leur base de données. Cela leur permet de ne pas être définitivement désintermédiées, mais au contraire d’accéder à davantage de données.

Cela ne paraît pas nécessairement évident au premier abord : comment les convaincre ?

Il ne s’agit définitivement pas de convaincre les 30 000 PME et grands groupes français. Notre solution s’adresse à des acteurs qui sont aujourd’hui challengés par les nouveaux entrants du numérique. Aujourd’hui, le constat est sans équivoque : les GAFA connaissent mieux les clients des « brick and mortars » que les « brick and mortars » ne les connaissent eux-mêmes. Quand Facebook dépose un brevet sur l’évaluation de risque de crédit bancaire, ce n’est pas parce que Facebook est devenu un banquier : c’est simplement que Facebook a compris qu’il connaissait mieux les clients des banques que les banques elles-mêmes. Et ainsi, Facebook peut devenir banquier, tout comme il peut devenir opérateur d’énergie, de mobilité, de médias, etc. Du fait de l’intimité numérique qu’entretiennent les GAFA avec leurs usagers, ils s’approprient progressivement des verticales métiers.

En revanche, les « brick and mortars » bénéficient d’une confiance historique : banques, télécommunications, assurances mutualistes, pouvoir publics, etc. Nos clients sont des grands comptes, menacés par les puissances du net, qui veulent se repositionner à l’ère du numérique et valoriser cet asset qu’est la confiance. Nous leur proposons de tenir cette position de tiers de confiance, mais également de tirer de nouveaux usages de cette capacité de stockage.

Dans un premier temps, les organisations peuvent avoir la fausse impression de se faire prendre leurs données. Dans la réalité, Cozy Cloud vient les aider à développer des outils et usages plus intelligents. Soit ces organisations ouvrent le pas, et c’est une bonne chose pour elle, soit c’est Google qui le fera…

Cet article Vie Privée à l’ère du Numérique – Interview de Benjamin ANDRE (Cozy Cloud) est apparu en premier sur RiskInsight.

« Qwant, le moteur de recherche qui respecte votre vie privée »

Qu’est-ce que Qwant ?

Qwant est une société française avec des capitaux franco-allemands, dont le premier produit est un moteur de recherche possédant deux particularités. La première est qu’il respecte la vie privée de ses utilisateurs : il ne laisse pas de cookies et ne collecte aucune donnée personnelle. La deuxième est qu’il est souverain et européen. Il couvre les langues européennes et répond à la nécessité stratégique d’avoir un moteur de recherche en Europe car chacune des grandes puissances mondiales possède son propre moteur de recherche. En somme, Qwant se positionne comme un acteur numérique responsable avec un business model raisonnable et éthique.

Qui sont les utilisateurs de Qwant ?

Il est forcément difficile de les identifier. Nous avons des fichiers de logs, pour savoir quelles sont les requêtes qui sont envoyées, savoir là où ont cliqué les utilisateurs et pour comptabiliser les requêtes. Mais parce que nous ne collectons pas de données personnelles, nous ne pouvons pas savoir, par exemple, si une visite sur un site correspond à une première visite ou non.

Globalement, la connaissance que nous avons sur nos utilisateurs provient de sondages. Nous nous rendons ainsi compte que nos utilisateurs sont plus souvent des hommes que des femmes et sont plutôt avancés techniquement. En revanche, les âges des utilisateurs de Qwant sont très disparates.

Quelle était la genèse du projet ?

Je suis arrivé il y a seulement un an mais je connais le président Éric Léandri depuis 4 ans. Avec ses associés, il a d’abord établi le constat d’un important manque de souveraineté numérique alors même que notre économie numérique est basée sur la récolte de données personnelles. Celles-ci permettent de fournir des services personnalisés et de le financer par une publicité ciblée. Qui dit publicité ciblée dit collecte d’un maximum d’information sur la personne connectée.

De notre côté, nous estimons que cette solution n’est pas viable ! Pour instaurer une société numérique éthique et pérenne, il est nécessaire d’établir une relation de confiance avec les utilisateurs. L’exemple de l’affaire Cambridge Analytica tend à montrer que le numérique est aujourd’hui toxique pour nos sociétés.

En utilisant uniquement de la publicité non ciblée, comment vous rémunérez-vous ?

Nous proposons des publicités contextuelles : lorsqu’un utilisateur recherche le terme « vélo », une publicité liée au « vélo » va apparaître. Les informations personnelles, telles que le genre ou l’âge, ne sont pas connues. Paradoxalement, nous observons que le nombre de clics sur la publicité est plus élevé ; le gain lié aux publicités est donc proportionnellement plus élevé. Google a suivi ce business model jusqu’en 2006, époque à laquelle sa valorisation était de 10 milliards d’euros.

Aujourd’hui Qwant n’est pas dans une position de leader par rapport au reste des acteurs ; qu’est-ce qui pourrait changer la donne demain ?

Je vais répondre à côté volontairement : nous cherchons évidemment à obtenir davantage de part de marché. Pour être économiquement pérenne, nous avons besoin d’obtenir 15% du marché en France et 10% sur l’ensemble de l’Europe. Ça serait déjà formidable parce que le marché est énorme et que ça nous suffirait amplement pour vivre et pour que nos actionnaires soient ravis. Je pense que c’est essentiel de rappeler ça ; nous ne pouvons pas dire avec assurance que Qwant n’arrivera jamais à détrôner Google, mais nous pouvons toujours essayer.

Un business model respectueux de la vie privée, est-ce nécessairement un modèle sans aucune collecte de données à caractère personnel ?

Pas nécessairement. Ce qui est certain, c’est qu’il y a avant tout un besoin de repenser le système. Il a des innovations nécessitant la collecte de données qui ne fonctionneront pas sans un changement de dispositif. Je pense par exemple à notre filiale, Qwant Care, qui utilise l’IA sur des données médicales. Nous avons misé sur l’importance du médecin comme intermédiaire de confiance. Le patient va confier ses données médicales au médecin qui va les anonymiser grâce à un identifiant aléatoire avant de les envoyer à Qwant Care pour les faire analyser. Nous renvoyons un résultat et c’est au médecin de réécrire le nom du patient sur le dossier puis de le remettre au patient lors du diagnostic. L’existence d’un tiers de confiance peut constituer un premier pas dans ce sens.

Qwant ne mémorise pas l’historique de navigation, mais seulement les requêtes sans distinction de l’utilisateur. Il peut donc tout de même faire des suggestions dans la barre de recherche. Si vous tapez Donald, vous allez avoir Donald Duck et Donald Trump. Ce système peut cependant s’avérer handicapant car très peu d’utilisateurs utilisent les marques pages et les favoris. C’est néanmoins ce qui permet de ne stocker aucune donnée personnelle. Pour y remédier, nous mettons en place le « learning to rank » : en comptabilisant le nombre de clics par résultat de recherche nous parvenons à réorganiser l’ordre d’apparition des résultats de recherche selon les préférences utilisateurs. Sur la page de recherche Qwant, les résultats n’affichent que le titre et un extrait du contenu : l’amélioration de l’algorithme est donc basée sur l’intuition de l’utilisateur et l’intelligence collective. Par ailleurs, nous travaillons sur un nouvel outil, appelé Masq, qui enregistre les recherches en local sur l’ordinateur ou le mobile. Avec cet outil, l’utilisateur pourra avoir également des suggestions personnalisées, basées sur son propre historique de navigation, sans que Qwant ne l’enregistre sur ses serveurs.

Le problème est qu’en tant qu’utilisateur, nous ne sommes pas vraiment éduqués à l’utilisation de nos appareils. Lorsque vous achetez un Android, vous avez l’impression qu’il faut immédiatement un compte Gmail : ce n’est pas vrai mais c’est prévu pour que vous ouvriez un compte Gmail et rentriez dans l’engrenage. En réalité, nous pouvons faire plein de choses sans compte Gmail. De notre côté, nous avons annoncé un partenariat avec Wiko pour proposer un smartphone équipé de Firefox mais dont le moteur de recherche par défaut est Qwant au lieu de Chrome. Avec ce smartphone, vous pourrez initier votre Wiko sans aucune donnée personnelle. Seul l’opérateur saura qui vous êtes.

RGPD et prise de conscience collective

Le RGPD et la multiplication des scandales autour du respect de la vie privée ont-ils généré une prise de conscience des citoyens ?

Bien sûr, nous remarquons une certaine prise de conscience : le RGPD est un sujet de discussion et les derniers scandales ont eu une véritable valeur pédagogique (ce que nous avons d’ailleurs pu constater avec la hausse importante de fréquentation de Qwant suite à la médiatisation de l’affaire Cambridge Analytica). Néanmoins, la sensibilité au respect de la vie privée numérique reste encore trop peu développée à mon sens.

Dans ce cas, qu’est-ce qui a évolué dans la perception des citoyens ?

Les gens commencent à mieux percevoir ce que font les géants du numérique et les problèmes que cela pose, mais de façon encore trop timide. J’ai publié un livre dans ce sens il y a deux ans et demi (N.D.R.L. : Surveillance:// : Les libertés au défi du numériques : comprendre et agir, aux éditions C&F). Dans ce livre, je faisais œuvre d’éducation : faire comprendre le business model des géants du numérique, définir le logiciel libre et expliquer comment se protéger de la surveillance.

Ma démarche consiste, non pas à faire peur aux gens, mais à leur expliquer les choses. Je donne plus d’une centaine de conférences par an où j’explique de façon quasi-systématique le business model des géants de l’internet. Ce que les individus ne réalisent pas, c’est qu’ils sont utilisateurs des services proposés par ces entreprises et non pas les clients : le véritable client est l’annonceur publicitaire.

Comment aller plus loin dans cette prise de conscience ?

Malheureusement, très peu de gens sont formés au numérique alors même que le passage de l’administration au numérique apporte une pression sur toutes les tranches de la société. Tout le monde est obligé de s’y mettre malgré ce manque d’accompagnement. Par exemple ils ont souvent des difficultés à différencier un navigateur d’un moteur de recherche. L’application Qwant est un navigateur avec un moteur de recherche ; c’est comme confondre TF1 et Panasonic…

Je suis toujours étonné que l’on me pose des questions sur le compteur Linky par exemple. Cela ne représente rien en termes de vie privée par rapport à la collecte de données personnelles par les géants d’internet. Globalement, la notion de numérique est abstraite pour beaucoup. J’aime faire le parallèle avec les travaux de Louis Pasteur sur les microbes. Des micro-organismes invisibles à l’œil nu présents dans l’air sont à l’origine de maladies. Cette découverte a pu faire grandement baisser le nombre de décès dans les hôpitaux par l’adoption de simples gestes d’hygiène. Et bien aujourd’hui, ce qu’il nous manque dans le numérique, c’est la compréhension des concepts qui se cachent derrière et l’adoption généralisée de réflexes d’hygiène numérique…

Quel avenir pour les moteurs de recherche avec cette prise de conscience ?

Je pense personnellement que le numérique tel qu’il est aujourd’hui est dangereux : nous préparons un big Brother, ou dans le meilleur des cas un big Mother, c’est-à-dire une maman dont nous serions dépendants car elle saura tout de nous. J’ai un très fort attachement à la liberté individuelle et au libre choix de chacun ; il ne me paraît pas bon que quelqu’un ou une entreprise sache tout sur tout le monde et l’utilise via l’intelligence artificielle pour faire des suggestions aux individus. Des nombreuses dystopies découlent de ce modèle.

Facebook connaît par exemple l’opinion exacte de chacun de ses utilisateurs sur les Gilets Jaunes : vous n’en parlez pas forcément mais vous avez été confrontés à du contenu dont Facebook sait si vous l’avez liké, commenté positivement ou négativement, partagé, regardé jusqu’au bout. Leur business model consiste à faire passer de la publicité engageante, éventuellement politique, et d’analyser les réactions. Facebook a ainsi permis à la fois l’émergence de ce mouvement et de ses opposants, car c’est un endroit qui facilite le fait de se plaindre ou de critiquer. En revanche, rien n’y est fait pour apaiser et trouver des solutions raisonnables, car le contenu ne serait pas assez engageant pour l’algorithme de recommandation de Facebook. Dans un contexte d’élections, la capacité de Facebook de cibler les personnes selon des critères très précis, initialement pour leur vendre des produits ou de la publicité adaptée à leurs préférences, en devient même effrayante. Cumulé à cela, notons qu’il n’y a aucune obligation de véracité sur le contenu proposé par Facebook ; les manipulations sont donc aisées et courantes…

Quel avenir pour la vie privée dans le numérique ?

A titre personnel, quel est votre rapport à la vie privée et au numérique ?

Je suis informaticien, j’ai appris à programmer seul à 14 ans, j’en ai 52 aujourd’hui. J’ai commencé plus tôt que les autres, je suis en fait un vieux natif du numérique. Etant passionné, je suis resté longtemps aveugle sur les enjeux liés à la vie privée. Je voyais tout le potentiel de l’informatique : j’ai découvert le micro-ordinateur personnel à partir de 1980, qui a été un outil de libération dont nous ne pouvons plus nous passer aujourd’hui. Puis internet est arrivé avec cette capacité à mettre les personnes en relation, à leur donner accès au savoir. Au début, je n’ai pas cru à Wikipédia ; aujourd’hui je suis contributeur aussi bien en termes financiers qu’en contenu : ce n’est pas un outil parfait mais il rend des services incroyables. Puis le smartphone est arrivé : nous avons notre ordinateur en poche, connecté à Internet sans fil. Et, enfin, nous assistons à la révolution du logiciel libre : par exemple avec un code développé par des bénévoles, Firefox a atteint les 500 millions d’utilisateurs. Bref, le numérique est l’aventure de ma vie.

Plus tard, j’ai découvert la problématique des données personnelles. Chez Google, les salariés ont toujours eu une responsabilité écrasante et l’obligation de générer un revenu sans cesse croissant. Puis, Facebook est arrivé avec un produit différent mais en utilisant le même business model à destination des mêmes clients : les annonceurs. Pour moi, Google a une culture éthique et morale que nous ne retrouvons pas du tout chez Facebook, mais ils se sont laissé entrainer dans une logique de course au bénéfice constante contre Facebook. Il faut tirer la sonnette d’alarme pour contrer cette dérive.

Je reste persuadé qu’Internet, le micro-ordinateur, le numérique avec le smartphone, ont un potentiel fabuleux, mais la décentralisation est la condition pour protéger la vie privée. Je pense également que logiciel propriétaire n’est pas dans l’intérêt du citoyen ; pourtant Qwant en propose aussi. Il n’y a aucun contrôle sur les logiciels propriétaires, ils fonctionnent selon une logique de marché qui ne laisse pas de vraie possibilité de choisir, surtout lorsque nous ne sommes pas suffisamment éduqués pour le faire.

C’est pour cette raison que j’ai lancé les « meet-ups » pour la décentralisation d’Internet, il y a cinq ans maintenant. Aujourd’hui, les gens ne sont pas éduqués sur le numérique. Lorsque vous allez choisir un téléphone, vous devriez hésiter entre un iPhone, relativement cher pour une sécurité maîtrisée, et un Android, beaucoup moins sécurisé vis-à-vis de Google. Dans la réalité, la plupart d’entre nous focalisent leurs critères de choix sur des détails esthétiques sans prendre en compte le respect de la vie privée et la sécurité de ses données.

A votre sens, quelles sont les clés pour redonner confiance aux citoyens dans les services que le numérique peut leur proposer ?

Notre volonté est de positionner Qwant dans une nouvelle génération de service, éthique et, je l’espère, pérenne, grâce à la collecte d’un minimum de données. La minimisation de la quantité de données collectées est une notion très intéressante du RGPD. Sur votre smartphone, Facebook vous demande l’accès à vos contacts, à vos SMS, à votre agenda et télécharge tout instantanément. Pourquoi ont-ils besoin de savoir qui j’appelle par téléphone ? Nous en sommes même arrivés à créer une application « privacy flashlight » car beaucoup d’applications « flashlight » demandaient l’accès à vos contacts ! Je pense que nous sommes dans une crise de confiance, et chez Qwant, nous voulons vraiment incarner une nouvelle génération de services respectueux de la donnée en suivant une optique de minimisation dans l’esprit du RGPD.

La collecte généralisée et systématique des données, telle que l’effectue Google, va à l’encontre des principes de minimisation de la collecte et de décentralisation du stockage de la donnée. En réalité, les nouvelles technologies peuvent être rendues compatibles avec la protection de la vie privée : en opérant des changements d’architecture, en développant des outils en open source, en stockant les données de façon chiffrée et locale, rien n’empêche de continuer à synchroniser entre eux de façon chiffrée les appareils d’un même utilisateur.

 « Un citoyen sur trois dit qu’il est prêt à payer pour des services protecteurs de la donnée ». Est-ce que nous nous dirigeons vers des outils proposant une version payante qui respecte votre vie privée et une version indirectement payante via la collecte des données personnelles ? Nous ferions alors face à deux mondes s’écartant progressivement l’un de l’autre…

Ce risque existe déjà. En raison du prix très élevé des iPhones, Apple n’a pas besoin de monétiser et de rentabiliser nos données personnelles. A l’inverse, Android est un mouchard de poche, un cheval de Troie voué à la collecte de la donnée personnelle, via les applications Google Maps, Google Contact, Gmail, etc.

A côté de cela, Dan Ariely démontre dans ses études l’attrait irrésistible de la gratuité. Au sein de l’université dans laquelle il enseigne, il a mené l’expérience de proposer à un stand des truffes Lindt à 26 centimes et des chocolats bon marché à 1 centime : par défaut la majorité choisissent la truffe Lindt même si elle est plus chère car c’est un meilleur rapport qualité/prix. En revanche, quand il a diminué le prix d’un centime, et que le chocolat bon marché est alors devenu gratuit, la grande majorité des personnes l’ont alors choisi au détriment de la truffe à prix cassé. Il est très difficile de lutter contre la gratuité ; si Qwant était payant, il n’y aurait pas beaucoup d’utilisateurs…

Cet article Vie Privée à l’ère du Numérique – Interview de Tristant NITOT (Qwant) est apparu en premier sur RiskInsight.

Bilan d’un an de RGPD

Wavestone : Le RGPD a-t-il permis la prise de conscience escomptée ?

Gwendal Le Grand : Le RGPD est entré en application le 25 mai 2018 et c’est un texte que tout le monde s’est approprié : les organisations, les particuliers et les autorités de protection des données.

Les citoyens ont tiré parti de leurs droits et les ont davantage exercés auprès des organisations. En résulte une augmentation significative du nombre de plaintes : si on regarde les chiffres publiés dans notre rapport annuel, la CNIL a reçu 11 077 plaintes sur l’année dernière, soit une augmentation de 32% par rapport à l’année précédente, qui se poursuit cette année encore.

Du côté des entreprises, il est obligatoire d’avoir un DPO dans certains cas. Avant l’entrée en application du RGPD, on avait 5 000 correspondants informatique et libertés ; aujourd’hui on a déjà 16 000 DPO, représentant 50 000 organismes au total et il existe environ 700 structures en France qui proposent des prestations de DPO mutualisé. Pour citer un chiffre emblématique : en un mois, « L’atelier RGPD », notre MOOC, a vu la création de plus de 27 000 comptes, dont plus de 10% ont reçu l’attestation de réussite. Cela signifie qu’ils ont regardé toutes les vidéos et ont passé un petit test avec succès à la fin. Le nombre de visites sur le site de la CNIL est également marquant : il est passé à 8 millions en 2018, un chiffre non négligeable pour une autorité administrative indépendante, et une augmentation de 80% par rapport à l’année précédente.

Du coté des organisations professionnelles, nous avons reçu le 25 mai 2018 une plainte collective de la part de La Quadrature du Net et de NOYB et de l’association NOYB de Max Schrems qui travaille sur les grands acteurs de l’internet. Ces plaintes collectives ont donné lieu à la plus grosse sanction infligée par la CNIL en janvier 2019. On peut donc dire que tous, particuliers, entreprises, organismes de représentation des utilisateurs, se sont approprié le texte.

Nous travaillons également avec nos homologues au niveau européen. Un système d’information nous permet notamment d’échanger sur les cas transfrontaliers nécessitant de la coopération entre autorités nationales.

Du côté de l’adaptation du cadre national, tout s’est mis en place progressivement : la loi qui vient en préciser les marges de manœuvres, le décret d’application qui vient préciser la loi et l’ordonnance de réécriture de la loi.

Wavestone : Quel est le niveau d’avancement des entreprises dans la mise en conformité de votre prisme ?

Gwendal Le Grand : Au niveau des entreprises, la question de la protection des données a tendance à monter au plus haut niveau de la gouvernance, comme les COMEX ou les conseils d’administration. Un nombre important d’organisations a également désigné des DPO (délégués à la protection des données) ; certaines petites structures découvrent la protection des données à l’occasion du coup de projecteur donné par le RGPD et notamment l’effet dissuasif des sanctions qui peuvent désormais aller jusqu’à 20M€ ou 4% du chiffre d’affaire mondial de l’entreprise.

Wavestone : D’ailleurs, quels sont les sujets qui suscitent le plus de plaintes de la part des individus ?

Gwendal Le Grand : A date, les plaintes reçues par la CNIL restent assez « traditionnelles ». Elles sont surtout liées à la volonté de maîtrise des données à disposition en ligne (déréférencement, suppression de contenu sur des blogs, sur des sites de presse, ou sur des réseaux sociaux, etc.). On réceptionne aussi beaucoup de plaintes liées à la prospection commerciale et aux questions RH. Sur ce dernier point, ce sont en particulier les activités de surveillance qui font l’objet de plaintes : surveillance au travail, surveillance d’activité ou vidéosurveillance sur le lieu de travail. Petit à petit les problématiques relatives à ces nouveaux droits montent mais c’est quelque chose qui se fait doucement avec une courbe d’apprentissage au niveau des plaintes.

Wavestone : Au niveau des contrôles et sanctions, quel bilan tirez-vous ?

Gwendal Le Grand : La CNIL a des missions d’accompagnement, mais également des pouvoirs de contrôle et de sanction renforcés avec le RGPD ; ces deux missions sont complémentaires. En 2018, nous avons effectué 310 contrôles (en ligne, sur place, sur pièces).

En réalité, les possibilités de se mettre en conformité sont assez nombreuses avant d’arriver à la sanction elle-même. Celle-ci intervient uniquement en dernier recours. Habituellement, lorsqu’un organisme est contrôlé, on collecte ses pièces numériques, on les analyse. La plupart des contrôles donnent lieu à des échanges avec les organismes concernés et des clôtures. En cas de manquement de mise en conformité, une mise en demeure est envoyée à l’organisme. Puis il dispose d’un certain temps, à l’issue duquel, s’il ne s’est toujours pas mis en conformité, la CNIL rentre dans une procédure de sanction, qui peut aboutir notamment à une sanction pécuniaire. Il existe également une procédure de sanction accélérée.

En 2018, 11 sanctions ont été prononcées. À la suite du RGPD, le montant des sanctions est devenu plus important . Ainsi, pendant très longtemps la sanction pécuniaire maximale que pouvait infliger la CNIL s’élevait à 150 000€ ; elle est passée à 3 millions d’euros avec la loi pour une république numérique en 2016 ; puis à 20 millions d’euros ou 4% du chiffre d’affaires mondial avec le RGPD en 2018.

Wavestone : Les sanctions ont augmenté mais restent dans des volumes se comptant en dizaines ou centaines de milliers d’euros. Peut-on envisager de voir des sanctions de plusieurs millions d’euros dans les prochaines années ?

Gwendal Le Grand : Il y a eu en janvier une sanction de 50 millions d’euros, qui concernait un grand acteur de l’internet (NDLR : Google). Les autorités activent progressivement les nouveaux plafonds permis par le RGPD, au fur et à mesure que la procédure de contrôle se développe.

Wavestone : Comment ce type de sanction va-t-il être géré au niveau européen ? Est-ce qu’une sanction peut être répétée par les autorités des autres pays ?

Gwendal Le Grand : Le RGPD prévoit un système de guichet unique ; les organisations peuvent donc s’organiser pour avoir un établissement principal de référence, c’est-à-dire une autorité de protection des données unique en tant qu’interlocuteur au niveau européen. Concernant la sanction du mois de janvier, nous avons échangé avec nos homologues au moment des contrôles : il n’y avait pas d’établissement principal de cet organisme-là sur le territoire européen, ce qui permettait de dire que chaque autorité était compétente en ce qui la concernait sur son territoire. La CNIL était donc légitime à prendre une décision de sanction vis-à-vis de cet acteur-là. Le montant de la sanction a ensuite été ajusté, notamment en fonction de l’assiette des utilisateurs français.

Wavestone : Justement, à l’international, quel bilan ?

Gwendal Le Grand : Le but est de réussir la diplomatie de la donnée avec nos homologues au niveau CEPD, groupe des CNIL européennes, comme sur le plan international. On discute d’ores et déjà avec un certain nombre d’Etats ou de régions du monde, qui, dans la vague du RGPD, cherchent à se doter aussi de lois nationales ou régionales. Nous avons notamment travaillé avec des partenaires asiatiques, avec les Etats-Unis, et dans le cadre de la convention 108 du conseil de l’Europe. Ce sont des travaux qui sont bien évidemment amenés à se poursuivre.

Wavestone : Ce qu’on anticipe c’est un texte qui fasse référence pour des textes à venir dans le monde ?

Gwendal Le Grand : En matière de champ territorial, le RGPD s’applique aux organisations en Europe ou ciblant des utilisateurs européens. C’est une sorte de standard pour la confiance sur la question de la protection des données personnelles. En dehors du territoire européen, beaucoup d’acteurs s’intéressent au RGPD, car les européens sont leurs premiers clients. Derrière, c’est évidemment un gage de confiance pour eux vis-à-vis des échanges qu’ils peuvent avoir avec les acteurs dans leur région du monde.

Wavestone : Selon vous, le RGPD a-t-il modifié la relation entre les entreprises et leurs clients historiques (exercice de droits, modifications des usages, etc.) ?

Gwendal Le Grand : Au niveau de la CNIL, on ne voit pas forcément l’intégralité de la chaîne. On peut cependant constater qu’un certain nombre d’entreprises affichent la protection des données comme un avantage concurrentiel. Au-delà des aspects de conformité et de sanction potentielle, l’enjeu de ce texte est également de renforcer la confiance dans les services proposés par les entreprises, et indirectement de leur ouvrir des opportunités de développement économique.

Perspectives

Wavestone : Quels sont selon vous les points clés pour les entreprises afin de conserver une dynamique de conformité dans le temps ?

Gwendal Le Grand : Nous allons vraiment chercher à mettre en place une gouvernance de la donnée au niveau des entreprises : c’est une opportunité pour elles, aussi bien pour protéger les données que pour restaurer la confiance vis-à-vis de tout l’écosystème de leurs clients et de leurs entreprises partenaires. Le RGPD a mis en lumière les enjeux de cybersécurité : la gestion efficace et la sécurisation des données sont autant de questions essentielles à l’heure où nos sociétés sont devenues dépendantes de l’économie numérique. Dans ce sens, c’est également une opportunité pour les entreprises. Le RGPD mentionne ainsi la nécessité de mettre en place des mesures de sécurité techniques, organisationnelles, proportionnées au risque pesant sur les données personnelles.

Désormais, avec le RGPD, les entreprises doivent, dans certains cas, notifier la CNIL et les personnes concernées des éventuelles violations de données à caractère personnel. Pour y parvenir, les entreprises ont mis en place un système à trois niveaux. Premièrement, elles doivent tenir un registre de tous les incidents de sécurité qui touchent à la donnée personnelle.

Ensuite, elles doivent notifier à la CNIL sous 72h toute violation de données. Ces notifications servent essentiellement à faire monter le niveau de maturité des entreprises sur les questions de cybersécurité, et à leur apprendre à se préparer, à mettre en place un système de détection et de prise de décision, à maîtriser leurs risques et à réagir efficacement en cas d’incident.

Enfin elles sont tenues de les notifier aux personnes concernées en cas de risque élevé. Cette dernière obligation a des conséquences opérationnelles : appels de clients en masse, impact réputationnel. Ces notifications servent notamment à ce que les personnes se protègent, soient plus vigilantes (par exemple aux attaques de phishing), ou modifient leur mot de passe. L’objectif de ce système à trois niveaux est donc réellement d’aider les personnes à se protéger et les entreprises à améliorer leur niveau de maturité sur les questions de cybersécurité.

L’article 35 du RGPD concerne également les questions de cybersécurité ; il indique que la réalisation d’analyses d’impact sur la protection des données est nécessaire pour tous les traitements susceptibles d’engendrer des risques élevés pour les personnes. L’analyse d’impact est une analyse de risque évaluant les impacts sur les personnes et sur les entreprises, de façon formalisée et incluant un plan d’action. Le RGPD initie vraiment le passage d’une logique de formalités administratives préalables (déclarations) à une logique de conformité en continu avec une amélioration constante et une réévaluation, révision et mise à jour régulière du plan d’action.

Wavestone : Nous réfléchissons beaucoup sur le droit à la portabilité. C’est un des droits dont on a le plus parlé quand le texte a été voté, pourtant aujourd’hui c’est peut-être le droit qui est le moins exercé au quotidien chez nos clients. Partagez-vous ce constat ? Comment l’expliquez-vous ?

Gwendal Le Grand : Le droit à la portabilité est l’un des nouveaux droits du RGPD ; il est donc normal de constater une courbe d’apprentissage.

De plus, ce n’est pas un droit absolu. Il ne s’applique donc pas pour toutes les bases légales du traitement, mais seulement lorsque celui-ci se base sur le consentement de la personne ou sur un contrat. Les autres bases légales sont écartées du droit à la portabilité.

Il s’applique aux données que vous avez fournies à un service direct ou indirect. Les lignes directrices du CEPD (N.D.R.L. Comité Européen de la Protection des Données, qui a pris la suite du G29), expliquent dans quelles conditions s’applique le droit à la portabilité. Nous avions communiqué l’année dernière au mois de mai 2018 sur le fait que notre priorité dans les actions de contrôle et de mise en conformité se concentrait plutôt sur les droits existants, car nous étions conscients qu’il y aurait une courbe d’apprentissage sur les nouveaux droits. Mais nous commençons à recevoir des plaintes de personnes ayant des difficultés à exercer leur droit à la portabilité. Il faut comprendre que la CNIL intervient en bout de chaîne : en général, les personnes s’adressent d’abord au responsable de traitement, puis à nous quand ils n’ont pas de réponse ou que celle-ci ne leur semble pas satisfaisante.

Wavestone : Avez-vous des exemples de bonnes pratiques ou de bons élèves autour de la manière d’utiliser les données à caractère personnel de manière conforme ?

Gwendal Le Grand : On en voit bien sûr. Nous proposons sur le site linc.cnil.fr une cartographie d’outils et de pratiques. Ce n’est pas de la certification de produit, mais de l’analyse des pratiques annoncées par plusieurs acteurs. Nous cherchons à capitaliser sur les bonnes pratiques que nous voyons au quotidien, afin de pouvoir les citer en exemple. Nous proposons aussi un site sur le design de la protection des données (design.cnil.fr), qui a pour objectif de créer une communauté des designers et d’échanger les bonnes pratiques sur la protection des données. Il contient un kit de développement respectueux de la loi informatique et libertés, avec des exemples anonymisés et génériques : « j’ai besoin d’informer les personnes sur le traitement de données … », « ce n’est pas une bonne manière de faire parce que… », « avec ce type de présentation-là, c’est une bonne manière d’informer les personnes parce que… ». Des instruments de certification pourront être activés ultérieurement.

Wavestone : A votre sens, quels sont les défis à venir pour vous dans les mois et les années à venir ?

Gwendal Le Grand : Dans notre rapport annuel, la mise en œuvre opérationnelle du RGPD apparaît comme l’enjeu majeur à venir pour la CNIL, notamment pour rehausser le niveau de confiance dans l’économie numérique.

Nous proposons un plan d’action de sensibilisation  des petites collectivités comprenant l’édition d’un guide, la partiicpation de la CNIL au salon de smaires en novembre 2019 et la création d’un module complémentaires de cours en ligne gratuit pour les collectivités . nous allons également renforcer l’inter-régulation avec d’autres autorités sur les questions de régulation du numérique : l’autorité de la concurrence, le CSA, l’ARCEP, l’HADOPI. De notre point de vue, la priorité est le développement d’une expertise sur les contrôles de la CNIL. Notre régulation est pluridisciplinaire : technologique, juridique, mais également éthique. Nous voulons notamment être en capacité d’anticiper et de maîtriser toutes les évolutions technologiques. Les sujets cruciaux pour nous sont les droits des personnes, les sous-traitants et la collecte de données bancaires. Nous communiquons sur ces sujets, en nous adressant à la fois aux personnes en garantissant leurs droits et aux entreprises en leur expliquant les règles à suivre.

Nous produirons également de nouveaux outils. Sur le plan réglementaire, nous voulons proposer de nouveaux cadres de référence, c’est-à-dire de nouveaux instruments compatibles avec le RGPD et les différentes réglementations. Sur le plan technique, nous travaillons déjà beaucoup sur les questions de design de service innovant, notamment sur l’inscription des utilisateurs à un service : finalement, pour que le consentement soit valide, il faut que la personne soit bien informée de la façon dont vont être traitées ses données. En janvier 2019, nous avons créé un cahier « Innovation et prospective » intitulé « La forme des choix », disponible sur notre site ; nous voulons poursuivre ces travaux avec les designers. Ils ont un rôle très important à jouer dans la qualité de l’information des personnes dont les données vont être traitées.

Cet article Vie Privée à l’ère du Numérique – Interview de Gwendal Le Grand (CNIL) est apparu en premier sur RiskInsight.

Retour sur ce règlement et sur ce projet de mise en conformité avec Didier Lefèvre (DSI, CSN) et Yannick Thomassier (DSSI, Real.Not, opérateur de l’IGC du CSN).

Que pensez-vous de ce nouveau règlement ?

Yannick Thomassier : Avant ce règlement, il existait la directive 1999/93/CE mais un audit effectué dix ans après sa mise en place a mis en lumière ses limites. La réflexion initiée alors par la Commission au Parlement européen dans sa communication du 26 août 2010 (Une stratégie numérique pour l’Europe) est claire : « […] la Commission a désigné la fragmentation du marché du numérique, le manque d’interopérabilité et l’augmentation de la cybercriminalité comme les principaux obstacles au cercle vertueux de l’économie numérique ». Le règlement européen se veut remédier à certaines lacunes de la directive 1999/93/CE en imposant une même base légale à tous les États membres. Cependant le règlement n’a pas été pour le moment assorti des actes d’exécution nécessaires à une transposition technique unique au sein de l’Europe. Chaque État membre doit donc décider de la façon dont il l’appliquera et ainsi fixer ses propres règles. Ceci correspond finalement au schéma d’implémentation que nous connaissons actuellement avec la directive 1999/93/CE. En cela le règlement n’a pas encore complètement rempli ses promesses.

Didier Lefèvre : Néanmoins, une des vertus d’eIDAS est qu’il vise à établir une référence sur l’ensemble de la chaine de confiance. Ceci est une amélioration par rapport à la directive 1999/93/CE qui n’adressait qu’un spectre réduit, à savoir la signature électronique.

Pourquoi vous lancez-vous aujourd’hui dans cette mise en conformité eIDAS ?

YT : Nous sommes dans l’obligation de nous mettre en conformité dans la mesure où la signature des notaires est une signature qualifiée.

Quelles sont les opportunités que représente ce règlement pour vous ?

YT : Nous y voyons un intérêt pour le développement de la signature dans le Cloud. L’utilisation de la carte à puce pour signer des actes notariés est un premier pas vers la dématérialisation, mais celle-ci reste encore très contraignante. Or aujourd’hui, l’usage informatique ne se limite plus à un ordinateur, mais il inclut les smartphones, les tablettes, etc. Le notaire est de plus en plus mobile, et il doit être capable de signer via ces dispositifs afin de se démarquer et répondre aux besoins de ses clients. Le règlement eIDAS est une formidable opportunité d’offrir d’autres moyens de signature qualifiée.

Quelles sont la/les principale(s) difficulté(s) que vous avez rencontrée(s) ?

YT : Le planning. Nous avons opté pour une anticipation maximale de cette mise en conformité, car le changement est un processus fastidieux et très long : il faut compulser de nombreux documents, définir de nouveaux processus, mettre en œuvre parfois de nouveaux produits et faire concorder le tout dans un planning qui respecte les jalons fixés dans le règlement lui-même. D’autant plus qu’en tant que professionnel du droit, nous nous devons d’être prêts au bon moment.

Quels conseils donneriez-vous à ceux qui souhaiteraient se lancer dans un projet de conformité similaire ?

YT : Il y a principalement deux points sur lesquels il faut être vigilant. D’une part, il est nécessaire de faire preuve d’agilité face à un nouveau règlement, soumis à de potentielles évolutions. Le corpus documentaire technique français par exemple n’est pas encore figé. D’autre part il faut se mettre en ordre de marche assez rapidement afin de préparer l’audit de certification dans de bonnes conditions.

Comment voyez-vous le futur concernant ce règlement européen ?

YT : L’implémentation technique du règlement eIDAS est sujette à l’interprétation de la part des organes de contrôle nationaux. Cela pourrait impacter son déploiement. Il pourrait donc il y avoir une phase 2 au règlement afin d’en clarifier l’implémentation et rendre ainsi son déploiement homogène au sein de l’Europe.

Et pour la suite ?

YT : Nous espérons obtenir notre qualification eIDAS dans les temps. Rendez-vous le 1er juillet 2017 !

Cet article Nouveau règlement eIDAS : retour sur un projet de mise en conformité est apparu en premier sur RiskInsight.