Dans un monde de plus en plus numérisé, la protection des données personnelles est devenue un enjeu majeur.
À l’ère du numérique, les données à caractère personnel sont plus qu’une simple ressource ; elles sont un véritable levier de transformation pour les entreprises et les particuliers. Dans le domaine de la santé, l’exploitation intelligente de ces données permet de personnaliser les traitements médicaux et de prédire des épidémies, améliorant ainsi la qualité des soins. En matière de sécurité, les données personnelles jouent un rôle clé dans la prévention du terrorisme, aidant les agences de sécurité à identifier des menaces potentielles et à agir en conséquence. Quant à la simplification des services, pensez aux démarches administratives en ligne qui deviennent plus fluides grâce à la vérification d’identité numérique, réduisant ainsi les files d’attente et les délais.
Il est important de noter que dans la grande majorité des cas, l’objectif de la collecte de données est de faciliter notre quotidien. Par exemple, des applications financières analysent nos comptes bancaires pour répartir nos dépenses par catégorie, les réseaux sociaux nous permettent de donner de nos nouvelles à un large cercle d’amis et de famille en un seul clic, et même les administrations fiscales préremplissent nos déclarations d’impôts pour nous épargner du temps et des erreurs.
Cependant, ces avantages ne sont pas sans risques. Le mauvais usage ou la mauvaise gestion de ces données peuvent entraîner des conséquences graves, notamment des atteintes à la vie privée et des risques de sécurité. Il est donc crucial de comprendre les risques associés et de mettre en œuvre des mesures de protection adéquates pour garantir la sécurité et la confidentialité des données à caractère personnel.
🟠 Risques Concrets : exemples récents de vols massifs de données.
En 2021, l’Assistance Publique – Hôpitaux de Paris (AP-HP) a été victime d’un vol massif de données personnelles. Les informations volées par un étudiant en informatique peuvent ensuite être utilisées pour de nombreuses activités frauduleuses. Cet exemple n’est pas isolé dans l’actualité récente et on découvre presque chaque semaine de nouveaux vol massif de données (par exemple : L’équipementier automobile Continental touché par un vol massif de données, Microsoft publie accidentellement plus de 38 To de données privées, Airbus victime d’un vol de données par rebond, Un prestataire de Pôle Emploi laisse filer les données de 10 millions de personnes, Assurance-maladie : des données personnelles concernant plus de 500 000 Français volées, etc).
Conséquences les plus fréquentes :
- Hameçonnage : Les données volées peuvent être utilisées pour des attaques de phishing ciblées. Plus les informations sont précises et cohérentes, plus le phishing sera ciblé et susceptible de tromper sa victime.
- Usurpation d’identité : Les informations personnelles peuvent être utilisées pour usurper l’identité de la victime. Plus on dispose d’informations sur une personne, plus il est facile de l’usurper. Cela peut même conduire à découvrir les mots de passe ou les indices d’autres comptes appartenant à cette personne. De plus, selon un récent rapport de l’ITRC (Identity Theft Resource Center), les incidents liés au vol d’identité ont augmenté de plus de 41% en 2022, ce qui souligne l’importance cruciale de la protection des données personnelles dans la prévention de l’usurpation d’identité.
Exemple concret d’usurpation d’identité : L’histoire de Loïc, un Français de 39 ans, illustre de manière poignante les ravages que peut causer l’usurpation d’identité. Pendant 17 longues années, Loïc a été victime d’usurpation d’identité, une situation qui, selon ses propres termes, « détruit une vie ». L’usurpateur a commis de nombreux délits sous l’identité de Loïc, ce qui a conduit ce dernier à être constamment harcelé par les huissiers et à vivre dans la peur d’être arrêté pour des crimes qu’il n’avait pas commis. L’impact sur sa vie personnelle et professionnelle a été dévastateur, illustrant ainsi les conséquences à long terme et le traumatisme profond que peut engendrer l’usurpation d’identité. Cette histoire souligne l’importance cruciale de protéger ses données personnelles et de rester vigilant face aux risques d’usurpation d’identité. (Source : Europe 1).
- Réputation endommagée : Pour les entreprises et les institutions, un tel incident peut entraîner une perte de confiance et de réputation.
🟠 « Je n’ai rien à cacher » : Une illusion Dangereuse
L’argument « Je n’ai rien à cacher » est souvent utilisé pour minimiser l’importance de la protection des données personnelles. Cependant, cette perspective néglige plusieurs risques concrets.
Manipulation et Discrimination.
Les données personnelles peuvent être utilisées pour manipuler les opinions et les comportements des individus. L’affaire Facebook-Cambridge Analytica en est un exemple frappant, où les données de millions d’utilisateurs de Facebook ont été utilisées sans leur consentement pour influencer les élections américaines de 2016.
Violation de la Vie Privée
La collecte et l’analyse des données personnelles peuvent conduire à une violation grave de la vie privée. Les régimes autoritaires peuvent exploiter ces données pour surveiller, contrôler et réprimer les citoyens.
On se doute que ceux qui ont été victimes du scandale qui a touché Tesla où des employés ont partagé des vidéos intimes de clients, enregistrées par les caméras des véhicules (même moteur à l’arrêt) auraient peut-être préféré un plus grand respect de leur vie privée. Cette affaire, révélée par Reuters, s’inscrit dans une tendance plus large des géants tech, comme Microsoft, Amazon et Google, ayant accès à des données personnelles sans consentement explicite des utilisateurs. Une plainte collective a été déposée aux États-Unis contre Tesla pour atteinte à la vie privée, soulignant les dangers de la collecte et de l’accès non réglementé aux données des utilisateurs. Les contenus partagés par des employés de Tesla entre 2019 et 2022 incluaient des vidéos de nudité, un enfant à vélo heurté par un véhicule (La séquence où l’enfant est propulsé de son deux-roues s’est répandue ‘comme une traînée de poudre’ dans un bureau Tesla de San Mateo), et des vues intérieures des garages des clients. Ces contenus sensibles et invasifs illustrent le laxisme et le manque de contrôle adéquat sur l’accès et l’utilisation des données collectées. Sous le couvert de l’anonymat, un salarié de Tesla atteste en ce sens : “J’ai parfois vu des trucs scandaleux – des scènes d’intimité, beaucoup de choses que je ne voudrais pas qu’on voie sur ma propre vie ».
Détournement de Photos et Deepfakes
Un risque souvent négligé est le détournement de photos publiées en ligne. Par exemple, une IA a été développée pour « déshabiller » les femmes sur des photos. Les parents qui publient des photos de leurs enfants sur des forums privés, pensant qu’ils sont en sécurité, risquent de voir ces images détournées, créant de graves préjudices d’image pour ces derniers.
Un reportage de France 5 a mis en lumière les dangers des photos d’enfants publiées sur Internet par leurs parents. Il est mentionné qu’à l’âge de 13 ans, un enfant a en moyenne 1300 photos et vidéos de lui postées sur les réseaux sociaux par ses parents. L’article souligne que même des photos apparemment innocentes peuvent être exploitées par des prédateurs sexuels. Il est estimé qu’au minimum 50% des photos échangées sur des sites pédopornographiques proviennent des réseaux sociaux et ont été partagées par les parents eux-mêmes au départ. Cette réalité alarmante démontre que la négligence dans la protection des données personnelles peut avoir des conséquences dévastatrices et irréversibles, notamment pour les plus vulnérables dans notre société. (Source : France Info).
🟠 « Tu crois vraiment qu’ils n’ont pas que ça à faire » ?
L’argument selon lequel « les entreprises n’ont pas que ça à faire que de lire mes emails ou regarder mes documents » est une autre idée fausse courante. En réalité, les entreprises sont de plus en plus avides de données pour améliorer leur ciblage marketing, développer de nouveaux produits et augmenter leurs revenus.
- Cas de Vizio
Vizio, une entreprise de téléviseurs, a été prise en flagrant délit de suivi des habitudes de visionnage de ses utilisateurs sans leur consentement. Ces données étaient ensuite partagées avec des entreprises de publicité ciblée. Vizio a été poursuivi pour violation de la Video Privacy Protection Act.
- Cas de Verizon
Verizon a créé des « supercookies » pour suivre l’historique de navigation de ses clients d’une manière très difficile à effacer. La Federal Communications Commission a découvert ce stratagème et a infligé une amende à Verizon, tout en les forçant à changer leur politique.
- Cas de CVS
CVS, une chaîne de pharmacies, a été trouvée coupable de négligence dans la gestion des informations privées de ses clients. Plus de 200 instances de violation des lois sur la confidentialité des patients ont été découvertes en seulement quatre ans.
Ces exemples (source en fin d’article) montrent que les entreprises sont prêtes à aller très loin pour collecter et utiliser vos données, souvent sans votre consentement explicite. Là encore, l’utilisation de l’IA et de nombreux outils permettant la collecte et le recoupement d’informations massives rendent ces opérations extrêmement faciles et à un très faible coût. Est-ce réellement gênant ? Souvent non. Lorsque vous payez votre billet d’avion systématiquement plus cher que votre voisin et que votre mutuelle refuse de couvrir car elle a des statistiques qui lui laissent penser que vous ne serez pas « rentable » peut être. Tant que tout va bien, ce n’est pas un sujet, dans le cas contraire en revanche, il est souvent bien trop tard car les données captées sont rarement oubliées…
🟠 La Fragilité de la Démocratie
La démocratie, bien que robuste en apparence, reste fragile face à la manipulation des données personnelles. Les régimes autoritaires peuvent facilement exploiter les données pour réprimer l’opposition et contrôler la population. L’affaire Facebook-Cambridge Analytica a également révélé comment la manipulation des données peut influencer les élections et, par extension, le fonctionnement de la démocratie.
L’arrivé des IA et de leur capacité à traiter des informations massives devrait interroger…. Plus les IA ont de données personnelles sur une personne ou un groupe, plus facile sera la tâche pour orienter et manipuler en utilisant les sensibilités ainsi que les craintes des personnes que l’on souhaite influencer.
La Commission nationale de l’informatique et des libertés (CNIL) tire la sonnette d’alarme sur l’escalade des vols de données, enregistrant une augmentation de 79% des cas en 2021 (source : CNIL). Les petites et moyennes entreprises, notamment dans les secteurs des sciences et de la santé, sont devenues des cibles privilégiées pour ces actes malveillants. Par ailleurs, la CNIL a observé une hausse des plaintes concernant l’utilisation abusive de cookies et la surveillance illégale des salariés par les employeurs, reflétant une tendance inquiétante vers une intrusion accrue dans la vie privée des individus.
Les enseignements du cas de l’Afghanistan
En Afghanistan, les talibans ont accès à des systèmes qui contiennent des données biométriques telles que des scans de l’iris, des empreintes digitales, et d’autres informations personnelles. Une fois les troupes américaines parties, ces données ont été utilisées pour cibler des personnes considérées comme des opposants, et il y a des indications qu’ils ont déjà commencé à le faire. Ce cas démontre les risques extrêmes associés à la collecte et à la conservation de données biométriques sensibles.
Pour en savoir plus / sources :
- L’équipementier automobile Continental touché par un vol massif de données
- Microsoft publie accidentellement plus de 38 To de données privées
- Airbus victime d’un vol de données par rebond
- Un prestataire de Pôle Emploi laisse filer les données de 10 millions de personnes
- Assurance-maladie : des données personnelles concernant plus de 500 000 Français volées