11 Skip to content

Confidentialité après COVID – The World Financial Review

Par James A. Lewis

Par James A. Lewis

La pandémie de COVID a mis en évidence la confidentialité. Les blocages et les restrictions sur les réunions en personne ont fait des réseaux numériques un outil essentiel. Cette dépendance aux réseaux numériques a mis en évidence le problème le plus important de la vie privée – le méli-mélo de règles qui s’appliquent à l’utilisation commerciale des données personnelles. La manière dont les données personnelles sont collectées et utilisées nécessite des règles gouvernementales, mais il existe un désaccord sur la forme que ces règles devraient prendre.

Ta pandémie de COVID a mis en évidence la confidentialité de deux manières. Premièrement, les blocages et les restrictions sur les réunions en personne mis en place en réponse à COVID ont fait des réseaux numériques l’outil central pour les affaires, l’éducation et la vie sociale et ont conduit à une augmentation significative de leur utilisation. Chaque connexion crée des données qui peuvent être collectées et analysées. Comme la plupart des gens le savent, chaque action sur un réseau laisse une trace numérique de données qui sont enregistrées par les fournisseurs de services selon les termes de leur contrat avec les utilisateurs. Ces contrats, et les règles régissant cette collecte de données (et leur utilisation ultérieure), sont ambigus et peuvent imposer peu de limites, notamment aux États-Unis.

Deuxièmement, les gouvernements ont cherché à utiliser cette dépendance numérique comme un outil pour avertir de l’exposition au COVID et (dans certains pays) surveiller le respect des règles d’isolement. La surveillance de la santé soulève les mêmes problèmes de confidentialité que l’utilisation commerciale des données du réseau, à savoir si le consentement est requis pour la collecte de données personnelles et quelles règles régissent l’utilisation de ces données collectées. Pour être franc, la plupart de ces efforts liés au COVID ont eu un succès mitigé, bien que certains se soient améliorés au fil du temps.

La leçon immédiate à tirer de cela est que les pays ont besoin à la fois d’une meilleure technologie et d’une meilleure acceptation par le public de la surveillance de la santé pour qu’elle fonctionne. Le plus gros problème est qu’à mesure que les sociétés deviennent de plus en plus dépendantes de la technologie des réseaux numériques, nous aurons besoin de règles plus strictes et plus claires sur l’utilisation des données, mais – et c’est une mise en garde cruciale – ces règles ne peuvent pas être si strictes qu’elles pétrifient l’innovation technologique.

Une question clé pour les décideurs sera de savoir s’il faut maintenir une surveillance de la santé en place après la disparition de COVID. Les données d’enquête suggèrent que les gens accepteront une surveillance intrusive pendant une pandémie, mais hésitent à la voir devenir permanente. Le sentiment public semble préférer que les mesures intrusives pour une surveillance numérique améliorée créées en réponse à COVID soient temporaires. Des groupes de protection de la vie privée se sont déjà alignés pour s’opposer au changement permanent ou au maintien des systèmes de surveillance de la santé.

Ni la technologie ni les incitations commerciales ne protégeront automatiquement la vie privée. Il n’y a pas de solution de marché pour la confidentialité. La raison en est que le « modèle commercial » d’Internet est basé sur l’échange d’« informations personnelles identifiables » (PII) contre des services.

L’utilisation par le gouvernement des données de santé ne touche cependant pas directement au problème le plus important de la vie privée – utilisation commerciale des données personnelles. Il y a plus d’un siècle, le juge de la Cour suprême Louis Brandeis, l’un des pères de la politique de confidentialité, a défini la confidentialité comme le droit d’être laissé seul. Mais dans un environnement numérique, vous n’êtes jamais vraiment seul, et toujours sujet à observation dès que vous vous connectez à un réseau. Le développement d’outils d’analyse de données (« big data ») a augmenté la valeur des données collectées. L’avènement des technologies d’intelligence artificielle telles que l’apprentissage automatique, qui sont « formées » sur d’énormes ensembles de données, rend la date encore plus précieuse. L’accès et l’analyse des données collectées en ligne offrent un réel avantage commercial.

Ni la technologie ni les incitations commerciales ne protégeront automatiquement la vie privée. Il n’y a pas de solution de marché pour la confidentialité. La raison en est que le « modèle commercial » d’Internet est basé sur l’échange d’« informations personnelles identifiables » (PII) contre des services. L’utilisation de PII dans ces « métiers » est informelle et manque de marchés ou de mécanismes de tarification qui apporteraient de la clarté et créeraient de la concurrence, mais franchement, les données d’un individu ne valent que quelques centimes et ne justifient pas un marché complexe. Il ne devient précieux que lorsque les données de millions d’utilisateurs sont agrégées.

Les choix des consommateurs suggèrent que les gens sont prêts à permettre aux entreprises de collecter des données personnelles lorsqu’elles visitent un site Web en échange de services en ligne «gratuits». Ce n’est pas gratuit, le paiement se fait en données personnelles, pas en argent. L’acceptation de la surveillance commerciale intrusive peut être due au fait que les consommateurs ont peu de choix, mais même avant COVID, il y avait un malaise avec cette surveillance commerciale, dans le cadre d’un débat plus large sur la question de savoir si les entreprises technologiques géantes qui fournissent des services (comme les moteurs de recherche, le divertissement en streaming ou les médias sociaux connexions) à des centaines de millions de consommateurs devraient être réglementés comme les services publics. La manière dont les données personnelles sont collectées et utilisées lorsque vous vous connectez à un réseau ne peut être façonnée que par des règles qui contrôlent le comportement des sites Web et des fournisseurs de services, et il existe un désaccord sur la forme que ces règles de confidentialité devraient prendre.

Les opinions à ce sujet varient d’un pays à l’autre. De nombreux pays n’ont pas de politique de confidentialité ou s’ils le font, elle n’est pas appliquée. Ces pays se concentrent de plus en plus sur la « souveraineté des données » et la « localisation des données », que chaque nation devrait contrôler les informations personnelles de ses citoyens et entreprises. En Chine et en Russie, les entreprises doivent respecter les règles de confidentialité, mais il n’y a aucune contrainte pour le gouvernement. La situation aux États-Unis est à l’opposé : le gouvernement est fortement contraint alors que les entreprises ont actuellement peu de limitations sur la collecte et l’utilisation des données.

L’Union européenne (UE) a le régime de confidentialité le plus avancé et considère la confidentialité comme un droit fondamental, mais il existe des inquiétudes raisonnables que les règles européennes de confidentialité) créent un fardeau réglementaire étouffant. L’UE a adopté une approche réglementaire globale, avec des exigences en matière de consentement des consommateurs et de divulgation par les entreprises de la manière dont les données sont utilisées. Alors que les responsables de l’UE disent avoir appris la leçon qu’une réglementation excessive est mauvaise pour la croissance économique, il est trop tôt pour dire si le RGPD atteint le bon équilibre.

Les États-Unis ont une approche fragmentée de la réglementation de la confidentialité, avec des règles spécifiques pour certains secteurs comme la santé ou les services financiers, et peu ou pas de règles pour d’autres secteurs, comme les services aux consommateurs en ligne. Des règles strictes s’appliquent uniquement à la collecte et à l’utilisation des données personnelles par le gouvernement. Le déséquilibre entre la collecte et l’utilisation de données gouvernementales hautement réglementées et l’utilisation de la collecte commerciale légèrement réglementée remonte aux années 1980, avant l’existence d’Internet, et est désormais insuffisant pour régir les réseaux numériques.

La confidentialité crée des problèmes d’extraterritorialité, car les gouvernements tentent de réglementer l’utilisation des données par des entreprises non soumises à leur juridiction, car elles ont leur siège social dans un pays différent. L’extraterritorialité et la diversité des points de vue sur la réglementation sont un obstacle à un accord mondial sur la vie privée, conduisant à un mélange de réglementations nationales différentes. Il n’y a pas d’accord mondial sur la confidentialité (bien que l’UE souhaite que le règlement général sur la protection des données (RGPD) devienne une norme mondiale pour les autres pays), ni de processus pour obtenir un accord mondial, les règles de confidentialité varient donc considérablement d’un pays à l’autre. .

COVID a mis en évidence « la dépendance numérique. Cela a renforcé les demandes d’un environnement réseau plus stable et plus juste. La confidentialité et la protection des données font partie du problème plus large de la gouvernance numérique.

Dans une situation compliquée impliquant des règles extraterritoriales, les tribunaux européens déclarent que les protections de la vie privée offertes par les entreprises américaines sont inadéquates pour les exigences du RGPD. Restreindre les flux de données nuirait au commerce transatlantique et l’UE et les États-Unis négocient un accord qui permettrait aux entreprises américaines de dire qu’elles répondent aux exigences de confidentialité du RGPD si elles remplissent certaines conditions. Il s’agirait du troisième accord de ce type (le dernier s’appelait « Safe Harbor ») et il est également susceptible d’être contesté devant les tribunaux européens. La négociation de cet accord, l’intérêt du Congrès pour la législation nationale et le travail au sein de l’UE pour mettre en œuvre le RGPD signifient que leur image de la vie privée changera à nouveau.

COVID a mis en évidence « la dépendance numérique. Cela a renforcé les demandes d’un environnement réseau plus stable et plus juste. La confidentialité et la protection des données font partie du problème plus large de la gouvernance numérique. Covid est arrivé à un moment où les gouvernements accordaient une attention accrue à la façon dont la technologie remodèle les sociétés et les entreprises technologiques géantes avaient acquis une immense richesse. Ces tendances créent un malaise et les pays du monde cherchent à régner sur les géants de la technologie, notamment dans leur collecte de données et leur utilisation. Bien qu’il existe des contradictions dans les attitudes du public sur la collecte et l’utilisation des données, les contours d’une nouvelle approche de la vie privée se dessinent qui équilibre les besoins commerciaux avec les règles d’utilisation.

Ce que nous avons appris (espérons-le) de l’expérience COVID, c’est à quoi ressembleront les éléments d’une nouvelle approche. Cette nouvelle approche devra se situer quelque part entre le minimalisme commercial américain et la réglementation européenne. Les batailles antitrust entre les géants de la technologie et l’UE et les États-Unis façonneront également la politique de confidentialité. La perception d’un comportement anticoncurrentiel par les géants de la technologie dans la collecte et l’utilisation des données personnelles est l’un des moteurs de la législation antitrust à Washington et à Bruxelles.

Le noyau sera constitué d’exigences en matière de transparence et de consentement obligatoires. La transparence s’applique à ce qui est collecté et à la manière dont il est utilisé. Il ne peut pas s’appuyer sur des déclarations de confidentialité encombrantes et déroutantes que peu de gens peuvent comprendre et qui, aux États-Unis, ne sont généralement pas contraignantes. Les remplacer par des règles juridiquement contraignantes pour la collecte et l’utilisation qui permettent aux consommateurs et aux utilisateurs de « s’inscrire » et de consentir à la collecte de données en tant que prix d’accès à un service devrait être un objectif de la législation sur la protection de la vie privée. Le consentement est l’acceptation par l’utilisateur du « commerce » de données personnelles pour les services en ligne. Les entreprises technologiques craignent que de nombreux utilisateurs rejettent ce commerce une fois qu’ils auront appris les détails, et si cela n’est pas fait correctement, les exigences de consentement pourraient imposer des charges lourdes, mais ce n’est pas une raison pour rejeter une exigence de consentement. Il peut y avoir différents niveaux de service offerts par les entreprises qui varient en fonction de la quantité de données qu’un consommateur est prêt à partager.

Avant COVID, le leadership en matière de confidentialité en matière de politique de confidentialité était passé de Washington aux législatures des États et à l’Union européenne. La Californie, la Virginie et, récemment, le Colorado ont tous adopté des lois sur la protection de la vie privée de l’État dérivées en partie du RGPD. Aucun ne remplace la politique fédérale. Bien qu’il soit peu probable que le Congrès adopte un projet de loi national sur la protection de la vie privée l’année prochaine, la nécessité de modifier les lois existantes pour tenir compte de la surveillance de la santé, les implications antitrust de quelques sociétés géantes dominant l’espace de l’information, la pression de l’Europe et le mécontentement croissant à l’égard de vie privée finira par l’obliger à adopter une loi.

A propos de l’auteur

James A. Lewis

James A. Lewis est vice-président principal et directeur de programme au Centre d’études stratégiques et internationales (CSIS). Avant de se joindre au SCRS, il était diplomate et membre de la haute direction. Lewis était le rapporteur de trois groupes d’experts gouvernementaux des Nations Unies sur la sécurité de l’information. Il a été membre du Comité consultatif sur la gestion du spectre du commerce et du Comité consultatif du Département d’État sur la politique internationale de communication et d’information. Il est l’auteur de nombreuses publications depuis son arrivée au SCRS, est fréquemment cité dans les médias et a témoigné à plusieurs reprises devant le Congrès. . Il a obtenu son doctorat. de l’Université de Chicago.

Les opinions exprimées dans cet article sont celles des auteurs et ne reflètent pas nécessairement les opinions ou les politiques de The World Financial Review.