Couverture de RFG_224

Article de revue

Entreprise et vie privée

Le « privacy paradox » et comment le dépasser ?

Pages 87 à 94

1 En 2011, dans son ouvrage La vie privée en péril, l’ancien président de la Cnil, Alex Türk, lance un cri d’alarme. Les avancées technologiques des outils d’information et de communication, dont les applications se développent à grande vitesse, permettent un traçage généralisé des individus : citoyens, utilisateurs, consommateurs ou salariés. Les systèmes d’information mis en place par les entreprises et les administrations, à la recherche d’une efficacité accrue, risquent de porter atteinte à la vie privée, voire aux libertés individuelles ou publiques : « les caméras nous filment, les lecteurs biométriques nous identifient et nous reconnaissent, les dispositifs de géolocalisation nous repèrent et nous suivent, les applications Internet nous profilent, analysent nos goûts et enregistrent nos habitudes, les micros nous écoutent, l’arsenal des fichiers nationaux, européens et internationaux se déploie, le nuage numérique enveloppe la planète, l’informatique contextuelle comblera peu à peu les espaces disponibles entre nos pensées respectives, les nanotechnologies rendront les systèmes invisibles et donc innombrables et irréversibles » (p. 261).

2 Ces questions sont-elles nouvelles ? On s’interrogeait déjà il y a une dizaine d’années sur les menaces d’intrusion dans leur vie privée ressenties par les citoyens du fait des nouvelles technologies de l’information, du regroupement des fichiers, de la télésurveillance et de l’évolution de la téléphonie, dans des domaines aussi divers que la santé, la sécurité, le comportement des salariés, les pratiques commerciales ou de consommation, ou celui de la vie privée au sens strict. La base de ces intrusions était déjà de caractère économique et social, avec la recherche de productivité, d’efficacité, et de rentabilité accrue de la part des administrations et des entreprises. Par exemple, l’amélioration de la productivité par un certain « contrôle » ou « monitoring » des salariés, avec la surveillance du courrier électronique, du comportement effectif (téléphone, etc.), ou encore la possibilité de joindre facilement le salarié « hors les murs ». Et presque tous les pays développés cherchaient à trouver un équilibre entre l’accès ouvert à l’information – nécessaire en termes d’efficacité et d’efficience des entreprises – et un droit légitime à la protection de la vie privée. Les traitements variaient fortement selon les cultures, certaines privilégiant l’approche règlementaire, d’autres l’autorégulation, les entreprises adoptant une stratégie réactive dans un premier temps, attendant qu’une menace extérieure se manifeste avant de mettre en place des stratégies et des politiques plus volontaristes qui remettent en cause leurs pratiques sur la gestion de l’information (Milberg, 2000).

3 Quels sont les éléments majeurs d’évolution au cours de ces dix dernières années ? On pensera naturellement à l’accélération impressionnante des évolutions technologiques comme dans les domaines de l’informatique dématérialisée, de la reconnaissance faciale, de l’utilisation de techniques d’anonymisation, des systèmes de suivi par capture d’empreintes numériques, des applications pour Smartphones. Mais les phénomènes les plus marquants sont ceux de l’avènement des réseaux sociaux et de l’utilisation généralisée des nouvelles technologies par les consommateurs comme par les entreprises ou les administrations. Ces phénomènes amènent à se poser les problèmes en des termes nouveaux comme celui du « privacy paradox », celui des frontières de plus en plus poreuses entre vie privée, données publiques et entreprise, celui du déséquilibre accentué entre entreprise et individu, qui appellent à une prise de conscience accrue des parties prenantes.

I – LE « PRIVACY PARADOX »

4 Tous les individus sont affectés par ces évolutions technologiques et nul retour en arrière n’est envisageable ni envisagé. C’est le « privacy paradox » qui marque les années 2000 (Barnes, 2006 ; Hoadley et al., 2009) : les individus sont partagés entre le souci du respect de leur vie privée, accompagné du désir de faire en sorte que leurs données personnelles ne soient pas indûment exploitées, stockées ou diffusées, et le désir de jouir des bénéfices de ces nouvelles technologies qui sont de réels marqueurs de leur style de vie personnel et relationnel. Mais dans la pratique, les bénéfices l’emportent sur les craintes et les individus laissent libre accès à leurs données personnelles sans réellement se protéger, en particulier chez les plus jeunes. En 2010, une enquête internationale menée par Consumers & Convergence indiquait que 79 % des personnes interrogées étaient soucieuses de ne pas voir leurs données personnelles utilisées par des organismes sans leur autorisation, mais que 58 % étaient d’accord pour autoriser l’accès si cela leur permettait de réduire les coûts d’accès à l’internet mobile. Et les utilisateurs sont globalement d’accord pour demander plus de transparence sur l’utilisation des données et en matière de sécurité (KPMG, 2010).

5 Dans ce contexte un phénomène a marqué ces dix dernières années, celui de l’explosion des réseaux sociaux qu’il s’agisse de Facebook, Twitter, Linkedln, MySpace (etc.) que plus de 60 % des internautes utilisent. Le succès de ces réseaux est à l’image des bénéfices que les utilisateurs en retirent. La question du « privacy paradox » est particulière pour les utilisateurs de ces réseaux et notamment pour les jeunes générations. La majorité des 850 millions d’utilisateurs de Facebook début 2012 est composée de jeunes ; par exemple aux États-Unis la moitié des utilisateurs a de 13 à 24 ans et un quart de 25 à 34 ans. Pour la génération Y, la société numérique fait partie intégrante de sa vie depuis toujours, ce qui s’accompagne d’une grande habileté dans l’utilisation du numérique et d’une plus grande vulnérabilité de par l’exploitation qui peut en être faite. Mais même si 78 % des 18-24 ans estiment que leur vie privée n’est pas suffisamment protégée sur internet (Net-Iris, 2012), ils n’entendent pas s’en détourner et prennent peu de précautions.

6 Ainsi, Alex Türk s’interroge (2011) sur le rôle et l’importance de la formation et de l’information en particulier des jeunes, par rapport aux possibilités d’intrusion dans la vie privée. À l’étranger, d’aucuns prônent aussi la « privacy awareness » pour sensibiliser les utilisateurs d’outils d’information et de communication à ces dangers, en les accompagnant d’outils de protection appropriés.

7 Ces questionnements méritent d’être replacés dans le cadre des relations entre entreprises et salariés, et en particulier en ce qui concerne le caractère privé ou non des informations sur certains réseaux sociaux, les limites de ce qui peut être dit sur son entreprise, l’utilisation de son profil par d’éventuels recruteurs, autant de problématiques qui ont fait l’objet de litiges entre entreprises et salariés. Les litiges éventuels résultent souvent de la définition mal connue ou mal précisée entre le caractère privé ou professionnel des informations échangées et des outils utilisés. Mais les frontières sont de plus en plus poreuses entre entreprise et vie privée.

II – LES FRONTIÈRES DE PLUS EN PLUS POREUSES ENTRE VIE PRIVÉE, DONNÉES PUBLIQUES ET ENTREPRISE

8 Force est de constater que les frontières sont de plus en plus poreuses pour nombre de salariés entre travail et loisirs, que les possibilités de stockage et de croisement de bases de données sont plus fortes du fait des avancées technologiques et de leur pénétration dans la population et dans les organisations. Un sondage réalisé par OpinionWay (2011) indique que, en France, 73 % des cadres déclarent travailler hors de leur bureau ; que 58 % de ces derniers continuent à travailler chez eux le soir, 50 % pendant le week-end et 38 % pendant les vacances, ceci étant lié à l’avancée des nouvelles technologies (internet, messagerie, ordinateur portable, Smartphone). Et l’individu, « salarié » ou « privé » est directement joignable, à tout instant. Dans certains cas, il s’agit du même outil utilisé à des fins professionnelles ou privées, pris en charge totalement ou partiellement par l’entreprise (BYOD : Bring Your Own Device). Cela pose le problème de cohabitation de données personnelles et professionnelles, de risques de fuite, de traçabilité de l’activité du salarié.

9 Parmi les nombreuses technologies, le Smartphone mérite quelques mots particuliers car il a marqué ces dernières années. Il est à la fois un concentrateur de données mais aussi un producteur de données personnelles. La M-technologie et les nombreuses applications conduisent à renforcer encore les bénéfices perçus par l’individu. Le « privacy paradox » joue à plein, le mobile faisant partie intégrante de la vie et de l’intimité de l’individu, l’accompagnant dans toutes ses activités dématérialisées ou non. Cela conduit à une traçabilité possible aussi bien de ses activités professionnelles que privées, sept personnes sur dix n’éteignant jamais leur Smartphone (Net-Iris, 2011). En 2012, le service innovation et prospective de la Cnil met en garde contre l’intrusion possible dans la vie privée par l’intermédiaire du Smartphone, réelle boîte noire pour ses utilisateurs, outil de traçabilité, mais aussi source de fuite de données personnelles. Des études dont l’une du Wall Street Journal (2012) ont révélé que de nombreuses données, à partir des applications les plus populaires sur Smartphone, sont transmises à l’insu des utilisateurs.

10 C’est ce type de danger qui s’accroît. À cette concentration d’informations avec certains outils, à ce risque de fuite, s’ajoute le risque de croisement de bases de données diverses. La fusion de données publiques (en provenance d’administrations : santé, police, etc.) et privées n’est pas autorisée, sauf à la demande expresse de l’administration pour des questions de sécurité ou de fraude. Aux États-Unis, l’ensemble des données privées peut être communiqué aux autorités gouvernementales sans contrôle judiciaire au titre de la cybersécurité (CISPA : Cyber Intelligence Sharing and Protection Act). Les informations concernant la santé, la localisation, l’utilisation d’électricité, l’activité en ligne, les pratiques de consommation, les informations personnelles partagées avec ses amis, font l’objet de plus en plus d’attention, de profilage, voire de discrimination, et leur exploitation n’est le plus souvent pas contrôlée par les individus, voire pas connue.

11 La réponse passe là aussi par la sensibilisation des individus, la formation et l’apprentissage techniques ; ainsi que par les incitations et coercitions auprès des entreprises, et la vigilance citoyenne avec des instances de régulation. Les individus peuvent toujours se protéger techniquement, comme autrefois, contre les intrusions physiques (images, sons, cookies) ou concernant la sécurité (interception des communications, divulgation des numéros de carte de crédit) sur le web ou sur le Smartphone, à condition de suivre les précautions préconisées par les spécialistes (Net-Iris, 2011), ce qui est assez rarement le cas, du fait du « privacy paradox ». La réponse est aussi juridique (surveillance au travail, droits de la personne sur les informations les concernant) et contractuelle : c’est la question du consentement préalable et du retrait qui est posée avec plus d’acuité qu’autrefois, la question de l’« opt-in » et de l’« opt-out ». Quelles sont les évolutions des pratiques des entreprises par rapport à ces questions ?

III – UN DÉSÉQUILIBRE CROISSANT ENTRE INDIVIDUS ET GRANDES ORGANISATIONS

12 Les organisations peuvent utiliser diverses méthodes de de-identification dans leurs bases de données (anonymisation, utilisation de pseudo, cryptage, etc.) pour mettre une distance, un écran, entre les données exploitées et l’identité réelle. Mais les avancées techniques permettent la re-identification et l’attribution à des individus spécifiques de données anonymisées, si on le souhaite (Tene et Polonetsky, 2012). La question de la confiance vis-à-vis des entreprises et des organisations privées et publiques, et des administrations est donc posée et importante.

13 Plusieurs éléments amènent à une certaine prudence, voire un certain scepticisme. Nous prendrons deux exemples.

14 Tout d’abord, de grands acteurs internationaux du système, en position forte, voire dominante, comme Google ou Facebook ont du mal à respecter les exigences de la Directive européenne sur la protection des données (95/46/CE). Ainsi, en mars 2012, malgré les mises en garde de la Cnil et les inquiétudes des associations de consommateurs, Google a mis en place sa nouvelle politique de confidentialité, qui lui permet de regrouper des informations sur ses utilisateurs issues de services autrefois séparés. Rappelons que Google représente plus de 80 % du marché européen des moteurs de recherche, environ 30 % du marché européen des Smartphones, 40% du marché mondial de la vidéo en ligne et plus de 40 % du marché mondial de la publicité en ligne. De la même façon, l’autorité chargée de la protection des données en Irlande, lieu où se trouve le siège européen de Facebook, a dû demander à ce dernier début 2012 d’effectuer des modifications dans ses paramètres de confidentialité et autres conditions d’utilisation. Par ailleurs, les changements de présentation des profils avec l’introduction de la Timeline sont aussi effectués sans consultation au risque de faire ressurgir dans le journal de l’utilisateur des informations non désirées s’il n’est pas vigilant. Les entreprises en position dominante semblent donc encore plus lentes à réagir aux pressions qu’autrefois. Ensuite, les contre-pouvoirs ne gagnent pas en influence. Malgré l’intérêt croissant pour le numérique, le thème de la vie privée n’est pas toujours à l’honneur. En France, lors de l’e-G8 organisé à Paris, la Cnil publie un communiqué intitulé : « La protection de la vie privée absente de l’e-G8 : oubli ou rejet ? », les questions des libertés fondamentales, des enjeux du traçage des personnes, du droit à l’oubli n’étant pas évoquées en présence des plus grandes entreprises du web et des représentants des gouvernements. Par ailleurs, les questions de l’autonomie et du financement d’organismes comme la Cnil restent posées. Et les administrations sont parfois les plus lentes à répondre positivement aux injonctions de la Cnil. Enfin, la Directive européenne a vieilli face aux bouleversements technologiques et sociétaux, avec une transposition de la Directive dans les États membres faisant apparaître des disparités importantes, et des lourdeurs administratives (Enisa, 2012).

IV – POUR UNE PRISE DE CONSCIENCE DE PLUS EN PLUS FORTE DES PARTIES PRENANTES

15 Face à ce « privacy paradox », à l’accélération des innovations et de leur mise en œuvre, et à leur large adoption par les individus comme par les organisations, la Directive européenne datait et une prise de conscience des divers acteurs afin d’œuvrer dans le même sens semble nécessaire.

16 C’est dans ce contexte qu’a commencé en mai 2009 le processus de révision de la Directive européenne pour aboutir en 2012. Il s’agit, entre autres, de moderniser certaines pratiques, de limiter les contraintes bureaucratiques, d’encadrer plus efficacement les transferts internationaux de données. La Directive européenne est destinée à devenir un Règlement, le règlement ayant un caractère obligatoire dans son application par les États membres, ce qui lui confère une portée plus forte qu’une directive. Le champ d’application va au-delà des frontières européennes et abolit donc les frontières géographiques dès lors qu’il s’agit de données et de vie privée. Enfin, le « Correspondant informatique et libertés » devient obligatoire et la fonction renforcée dans les organismes publics et les administrations, dans les organismes privés de plus de 250 personnes et dans tout organisme dont l’activité principale consiste ou implique une surveillance des personnes concernées. Les entreprises doivent s’organiser.

17 La réglementation et son adaptation sont nécessaires, mais ne sauraient suffire. C’est ainsi que depuis septembre 2011 la Cnil a mis en place un processus de labellisation ; le label Cnil étant décerné aux produits, services et procédures assurant la protection des personnes à l’égard du traitement des données à caractère personnel. On se situe alors plus dans une logique d’incitation et de régulation que de réglementation. De leur côté, des groupements d’entreprises délivrent leur propre label et disent avoir une attitude proactive par rapport au respect de la vie privée, qu’il s’agisse des consommateurs ou des salariés. Ainsi Hewlett Packard HP fait partie des fondateurs du programme de protection de la vie privée en ligne du conseil du BBB (Better Business Bureau). Les pratiques des membres sont conformes au code de pratiques professionnelles du BBB et alignées sur les principes du « Safe Harbor » conclu entre les États-Unis et l’Union européenne : avertissement, choix, transmission, accès et exactitude, sécurité et surveillance/exécution.

18 Cette prise de conscience et cette attitude volontariste et active doit être aussi celle des consommateurs et salariés et de leurs représentants, y compris syndicaux.

19 Le « privacy paradox » mérite donc d’être dépassé, en protégeant les individus des dangers du numérique, que ce soit par la formation, par des techniques de protection, ou par la réglementation, mais aussi par le haut, c’est-à-dire en collaborant dans un esprit proactif (lorsque faire se peut), car ce paradoxe part de l’intérêt certain que consommateurs, salariés, entreprises retirent au départ de ces avancées technologiques en matière d’information et de communication. Mais dans quels cas les intérêts des parties prenantes convergent-ils ? C’est ce que montre le dossier qui suit.

20 Ce dossier, « Entreprise et vie privée », coordonné par Régis Dumoulin et Caroline Lancelot Miltgen traite donc de l’évolution des problématiques concernant la relation entre l’entreprise et les consommateurs d’une part, l’entreprise et les salariés d’autre part. Il met en avant les évolutions récentes en ce domaine.

21 Dans leur article, les coordonnateurs du dossier, Régis Dumoulin et Caroline Lancelot Miltgen dressent un tableau très complet des préoccupations croissantes des consommateurs pour le respect de leur vie privée et, à l’opposé, de la volonté grandissante des entreprises de connaître chaque jour davantage leurs clients. Ils analysent la manière dont l’entreprise doit appréhender ces enjeux et montrent l’intérêt de définir une réelle stratégie relationnelle dans un contexte institutionnel ambigu, allant de l’usage autorisé à l’utilisation souhaitable des données personnelles.

22 Mais est-ce qu’investir dans le respect de la vie privée est réellement rentable ? Ne risque-t-on pas de moindres performances ? Grazia Cecere et Fabrice Rochelandet se penchent sur cette question. Dans leur article, ils identifient les catégories de sites pour lesquelles le degré d’intrusion est significatif par rapport au modèle économique, en particulier les réseaux sociaux. Et ils montrent que les sites avec une forte audience sont plus enclins à adopter des stratégies moins respectueuses de la vie privée. Les trois autres articles portent sur les salariés. Laïla Benraïs-Noailles et Catherine Viot s’interrogent sur les conséquences en matière de respect de la vie privée de l’utilisation des réseaux sociaux dans le processus de recrutement. et ils analysent les résultats de deux études – l’une conduite auprès de jeunes diplômés de la génération Y et l’autre auprès de recruteurs issus de la génération X. Les résultats sont conformes à ce que l’on peut attendre du « privacy paradox » évoqué ci-dessus. Sami Guesmi et Alain Rallet étudient la diffusion des « social software » dans les entreprises françaises dans le contexte d’effacement des sphères privée et professionnelle. Ils constatent entre autres, l’absence de transfert d’usage des « social software » du privé vers le professionnel et la pervasivité du Smartphone qui s’impose au salarié. Enfin, Dominique Peyrat-Guillard se penche sur la question du respect de la vie privée des salariés et les enjeux pour les entreprises et les organisations syndicales, qui semblent encore en retrait sur ce thème, malgré son importance. On voit que ce dossier donne toute sa place aux consommateurs comme aux salariés, en particulier aux jeunes générations, aux réseaux sociaux et aux nouvelles technologies, qui ont marqué l’évolution de la problématique « Entreprise et vie privée » depuis une dizaine d’années.

Bibliographie

BIBLIOGRAPHIE

  • Barnes S.B. (2006). “A privacy paradox : Social networking in the United States”, First Monday, vol. 11, n° 9, Retrieved from http://firstmonday.org/htbin/cgiwrap/bin/ojs/index.php/fm/ article/view/1394/1312
  • Enisa (2012). “Study on data collection and storage in the EU”, European Network and Information Security Agency, February 8.
  • Hoadley C.M., Heng X., Joey J.L., Rosson M.B. (2009). “Privacy as information access and illusory control : The case of the Facebook News Feed privacy outcry”, Electronic Commerce Research and Applications, vol. 9, n° 1, p. 50-60.
  • KPMG (2010). “Convergence goes mainstream : Convenience edges out consumer concerns over privacy and security”, Consumers & Convergence IV, July, http://www.kpmg.com/BE/en/IssuesAndInsights/ArticlesPublications/Documents/Consumers-Convergence-IV-july-2010.pdf
  • Milberg SJ., Smith HJ. et Burke SJ. (2000). “Information privacy : Corporate management and national regulation”, Organization Science, vol. 11, n° 1, p. 35-57.
  • Net-Iris (2011). La CNIL met en garde sur la non-sécurité du Smartphone, le 14/12/2011, par la Rédaction de Net-iris, dans Technologies / Sécurité & Protection, http://www.net-iris.fr/veille-juridique/actualite/28887/la-CNIL-met-en-garde-sur-la-non-securite-du-smartphone.php
  • Net-Iris (2012). Les données personnelles et la protection de la vie privée à l’heure des nouvelles technologies, Révisé le, par la, dans, http://www.stanfordlawreview.org/online/privacy-paradox/big-data
  • OpinionWay (2011). « La frontière entre vie professionnelle et vie privée », Sondage Tissot – OpinionWay, janvier.
  • Tene O. et Polonetsky J. (2012). “Privacy in the Age of Big Data”, Stanford law Review, February 2, 64 Stan. L. Rev. Online 63, http://www.stanfordlawreview.org/online/privacy-paradox/big-data
  • Türck A. (2011). La vie privée en péril – Des citoyens sous contrôle, Ed. Odile Jacob.
  • Wall Street Journal (2012). “What They Know – Mobile”, http://blogs.wsj.com/wtk-mobile

bb.footer.alt.logo.cairn

Cairn.info, plateforme de référence pour les publications scientifiques francophones, vise à favoriser la découverte d’une recherche de qualité tout en cultivant l’indépendance et la diversité des acteurs de l’écosystème du savoir.

Avec le soutien de

Retrouvez Cairn.info sur

18.97.9.172

Accès institutions

Rechercher

Toutes les institutions