Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Nos données personnelles sont-elles commercialisables ?

auteur de l'article Jerome Saiz , dans la rubrique Cyber Pouvoirs

Commentaires Commentaires fermés sur Nos données personnelles sont-elles commercialisables ?

docteur_maboul

La question a de quoi surprendre : nos données personnelles sont-elles vraiment à l’image d’un foie, d’un rein ou d’un coeur : protégées par le droit de la personne et donc interdites à la vente ?

Le débat n’est pas neuf et le terme consacré est « la patrimonialisation des données personnelles » . A quelques jours à peine du baccalauréat de philosophie cette question ne pouvait que séduire les participants au dernier SecurityTuesday d’ISSA France. Pour cette édition la rencontre était animée par Diane Mullenex, avocate au cabinet Pinsent Masons.

Déterminer le statut de la donnée personnelle n’est pas anodin, car de là peut dépendre un pan entier de notre économie : « Tous les businesses deviennent numériques, et ils deviennent donc consommateurs de données personnelles. Sans oublier ceux dont le métier est précisément la donnée personnelle, comme les brokers spécialisés qui alimentent certains sites de e-commerce » , rappelle Diane Mullenex.

Aux Etats-Unis le problème ne se pose pas : la donnée personnelle est valorisable, cédable et commercialisable, ce qui a d’ailleurs déjà donné lieu à un marché. La seule obligation, comme dans toute transaction, est de recevoir une contre partie.

En France, à l’inverse, les données personnelles sont attachées au droit à la personne, donc inaliénables et théoriquement non-commercialisables (en vertu du principe de non-commercialisation du corps humain). Ainsi donc lorsqu’un marchand achète une liste de prospects, il n’achète pas tant les données qu’elle contient que son format et le travail de collecte et de mise en forme de ces données, ou leur mise à jour régulières. On peut certes y voir une certaine hypocrisie, mais c’est avant tout la preuve que la loi n’est peut-être plus tout à fait adaptée aux pratiques de la société.

« On peut estimer que cette notion n’est plus adaptée non seulement au monde actuel, mais également à la concurrence face aux Etats-Unis et aux pratiques des générations montantes, qui n’ont aucun problème à partager leurs données personnelles en fonction de leurs propres intérêts » , explique Diane Mullenex. L’exemple le plus extrême de cette évolution des moeurs est qu’aux Etats-Unis certains sont même près à vendre une partie de leurs données personnelles pour 8$ par mois.

Il existe donc un écart entre la conception française ou européenne qui sacralise la donnée personnelle mais en rend de fait la « gestion » par l’individu lui-même quasi-impossible, et le modèle américain selon lequel chacun est propriétaire de ses données personnelles et peut en disposer comme il le souhaite, au même titre qu’un bien – mais avec tous les abus que cela peut engendrer. Sans préjuger du bien fondé de l’un ou de l’autre de ces modèles le constat semble être que la donnée personnelle devient, qu’on le veuille ou non, une commodité. Et cela y compris pour les entreprises françaises. Comment, dans ces conditions, leur permettre de travailler à armes égales avec leurs concurrents tout en préservant la valeur que l’on accorde à ces données et aux individus qu’elles représentent ?

L’un des effets de bords néfastes d’une législation trop stricte est souvent de contribuer à faire émerger des pratiques de contournement « bricolées ». Ainsi, par exemple, l’usage semble être pour le moment de faire accepter un maximum de choses dans des Conditions Générales d’Utilisation (CGU) que personne n’ose lire, dans l’espoir de couvrir les usages les plus larges possibles.

Une évolution souhaitable serait, à l’inverse, de permettre une meilleure granularité dans les données personnelles et dans les besoins exprimés par les services en ligne. Ces derniers demanderaient alors clairement et précisément les informations souhaitées, en expliquant pourquoi cela est nécessaire et quel serait le service offert en échange. L’utilisateur accepterait alors ou non de les communiquer. « On en viendrait à une situation dans laquelle j’ai un patrimoine et je le gère en personne responsable » , poursuit Diane Mullenex (une pratique qui a commencé à apparaître en partie dans les demandes de droits des applications mobiles ou sur Facebook).

S’il est déjà suffisamment difficile de se mettre d’accord sur le principe, son application promet cependant d’être encore plus complexe ! « Comment articuler cela avec le droit à l’oubli, par exemple ? On ne peut pas reprendre ce que l’on a vendu… » , s’amuse à faire remarquer Diane Mullenex. Mais la question, provocante, n’est pas anodine pour autant : dans le droit du commerce une fois qu’un produit est vendu, ou qu’un service est rendu, il n’est plus possible de récupérer son paiement. Or le droit à l’oubli, que doit notamment désormais respecter Google en Europe, permet précisément cela…

Le modèle pourrait alors être celui d’une licence, que l’on accorde sur un certain périmètre, pour un certain usage et pour une durée déterminée. Mais comment gérer alors une telle masse de licences ? « Faut-il créer une SACEM des données personnelles ?« , ironise Diane Mullenex.

L’un des participants suggère de lier l’usage des données personnelles au droit à l’image, déjà existant. Il estime même que cela pourrait donner naturellement une valeur différente aux données personnelles de chacun en fonction de la popularité de l’individu. Plus vous êtes populaire ou connu, et plus vous pourrez négocier cher l’utilisation de vos données personnelles. « Mais le droit à l’image est une exception française« , rétorque l’avocate. Exit, donc, la compétition internationale…

En définitive le débat – animé et très interactif, comme souvent – tourne surtout autour de trois notions importantes :

Granularité : une simple CGU fourre-tout ne suffit pas. Il est impératif de pouvoir distinguer tous les différents types de données personnelles afin de pouvoir donner son accord à leur utilisation de manière granulaire.

Périmètre : un tel accord doit concerner un périmètre d’usage très précis. Une entreprise, une application, voire même une fonctionnalité au sein d’une application. Aujourd’hui, ce n’est pas le cas.

Gestion : les internautes doivent pouvoir gérer eux-même l’exposition de ces données et l’usage qui en sera fait, et bien entendu en révoquer l’autorisation à tout moment (en perdant, évidemment, l’accès au service reçu en échange). Cela implique aussi de pouvoir consulter facilement un état à jour des données personnelles que l’on a communiquées au fournisseur en question.

Mais il y a un pré-requis à tout cela : encore faut-il que les utilisateurs soient capables de gérer « en bons pères de famille » leur patrimoine d’informations personnelles ! Or à observer les comportements sur les réseaux (sociaux, mais pas seulement !) l’on s’aperçoit que beaucoup de ces informations sont essentiellement partagées parce que leurs propriétaires n’en estiment pas la valeur correctement.

Le plan de route vers une prise en compte réaliste et juste des données personnelles sur Internet devient ainsi plus complexe. On pourrait imaginer l’évolution suivante :

  • D’abord sensibiliser les utilisateurs à la valeur de leurs données personnelles
  • Ensuite faire évoluer la section des données personnelles dans les CGU actuelles vers un modèle plus proche de celui d’une simple « liste à puces » qui détaillerait précisément les informations collectées ou demandées, mises directement en rapport avec l’usage prévu et le service reçu en échange
  • Puis rendre ces CGU interactives : permettre à l’internaute de cocher chacune des données personnelles qu’il accepte de partager et voir en retour le service se reconfigurer dynamiquement en fonction des choix de l’utilisateur
  • Enfin, migrer vers une notion de broker de confiance des informations personnelles. Celui-ci pourrait gérer ces informations pour le compte des utilisateurs, les fournir sélectivement aux services en ligne sur la base des choix réalisés par l’internaute. Cela permettrait à terme à chacun de disposer d’une console centralisée pour la gestion de ses données personnelles et d’une vue globale sur les services qui les utilisent (mais aussi des données extrapolées à son sujet, c’est à dire créées à partir des données personnelles communiquées)

De la science-fiction ? Peut-être. Mais le débat au sujet de l’utilisation commerciale des données personnelles, maîtrisée et sous le contrôle de l’individu, ne fait que commencer, et nous découvrirons certainement d’autres approches pour aborder ce problème.
Ce qui est certain, en revanche, c’est que la situation actuelle devra évoluer !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.