Privatisation des coûts de la sécurisation des données ?

Une tendance inquiétante et que je vois venir, gros comme un nez rouge au milieu d’un visage de clown (ou d’un bec sur la face d’un canard, pour rester dans le ton). Je vois poindre de plus en plus effrontément des publicités liées aux assurances pour particulier pour se préserver du danger du Net.

Oh, certes, ce genre de choses existe depuis plusieurs années dans les pays anglo-saxons, et de grands médias s’en faisaient l’écho pour celles à destination des entreprises et des risques liés à la Cybercriminalité (d’ordre général) ; voir La Tribune, les Echos, Business & Marchés… Après avoir jeté un œil à ce que proposait Axa aux particuliers et en épluchant le PDF des conditions générales, je ne suis pas rassuré du tout à moyen terme.

Publicité Axa

Pas tant pour les conditions d’utilisation du contrat évoqué, qui se borne essentiellement à une assistance juridique et à des avis de conseils en termes de démarches sur le territoire couvert par la législation européenne, et à la sous-traitance à des entreprises spécialisées pour le retrait, déférencement, ou noyage (sans obligations de résultats, sinon de moyens, si si c’est écrit en toutes lettres…), mais par la tendance générale que cela sous-entend.

Qu’est-ce à dire ? Les nombreuses affaires de fuite de données (qu’elles soient d’origine malveillante, du fait d’une action intrusive, d’origine d’incompétence du fait d’un défaut de moyens de sécurisation d’un service en ligne, ou encore d’origine imprudente du fait de l’internaute lui-même), et les atteintes à l’e-réputation ou à l’usurpation d’identité (par l’utilisation de données personnelles, bancaires, ou autres) sont nombreuses et témoignent d’un souci latent à sécuriser les données. Pour l’instant, la lumière est axée principalement sur les attaques à l’origine de ces fuites de données ; ce qui peut sous-entendre de fait un caractère inéluctable et « malgré nous » qui se glisse de façon de plus en plus prégnante je trouve dans l’esprit des consommateurs-internautes.

Or, pour prendre une métaphore parlante, si la maison prend feu à cause d’une étincelle, la faute en incombe bien sûr à l’étincelle (où l’étincelle est l’attaque). Mais il me semble très important de se demander comment il est possible que la maison prenne feu avec une étincelle, et de questionner le propriétaire sur ce défaut patent. Une prochaine législation européenne –évoquée le 25 janvier de cette année- devrait obliger les entreprises –sous diverses conditions contestables, on aurait aimé plus de fermeté- à révéler les atteintes à leurs données (et aux vôtres donc) lorsque cela peut engager un préjudice pour les utilisateurs (ce qu’aurait dû pouvoir exiger notre CNIL nationale depuis longtemps si le travail était correctement fait, mais bon…)

Article 29.1.

Les États membres prévoient que, lorsque la violation de données à caractère personnel est susceptible de porter atteinte à la protection des données à caractère personnel ou à la vie privée de la personne concernée, le responsable du traitement, après avoir procédé à la notification prévue à l’article 28, communique la violation sans retard indu à la personne concernée.

En nuançant ainsi cette obligation d’information, qui laisse toute latitude au « traitant » d’estimer le degré de gravité de la violation de données :

Article 29.3.

La communication à la personne concernée d’une violation de ses données à caractère personnel n’est pas nécessaire si le responsable du traitement prouve, à la satisfaction de l’autorité de contrôle, qu’il a mis en œuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données à caractère personnel concernées par ladite violation. De telles mesures de protection technologiques doivent rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès

Les publications et conseils en ligne pullulent pour apprendre aux internautes à préserver leurs données, à ne pas utiliser les services en lignes les plus intrusifs en matière de collecte de données, etc. En vain. Le nombre exponentiel d’utilisateurs Facebook le révèle, le nombre aussi croissant de « fuite », comme la récente affaire VISA/Mastercard (fr, en). Pourtant le constat est clair, plus de fichiers (institutionnels ou non) = plus de fuites (le dox UMP relativement récent l’illustre par exemple).

Fac-similé d’inscription FaceBook

Et ce que je vois venir donc, gros comme un camion, à moyen terme, c’est l’obligation à chacun de souscrire une assurance « internet » pour valider son inscription à un service en ligne. Pour l’instant ce sont les entreprises qui lorgnent vers ce type d’assurances, mais je vois bien demain Facebook et consorts imposer à l’inscription de souscrire une telle assurance, en son nom propre (et non plus l’entreprise) de sorte de se décharger des frais engendrés, et en mutualiser ainsi les coûts sur les utilisateurs, pour le bonheur des actionnaires et propriétaires des plateformes marchandes.

« Vous voulez utiliser notre service ? Vous avez l’obligation de souscrire une assurance, correspondant aux normes internationales machin, veuillez recopier le numéro de validation en ligne fourni par votre contrat d’assurance « internet » dans la case prévue à cet effet »

Et à long terme, pourquoi pas une obligation de souscrire une telle assurance directement à la souscription à un fournisseur d’accès, pourquoi pas l’obligation contractuelle d’avoir une telle assurance pour tout paiement en ligne, sinon la banque et le site marchand se déchargeraient de tout recouvrement de préjudice en cas d’utilisation frauduleuse du moyen de paiement en cas de fuite de données ultérieure… ? Etc. Bref, faire peser le coût de la sécurisation des données à chacun des utilisateurs plutôt qu’aux services vulnérables, en s’accommodant ainsi de la faiblesse des infrastructures plutôt que de s’efforcer de les consolider.

Ainsi tout irait pour le mieux comme d’habitude : les internautes continueraient à livrer des données personnelles vulnérables gratuitement, en paiement d’un service gratuit que les boîtes monétiseraient comme d’habitude… Un nouveau secteur dans les assurances privées se verrait consolider, avec obligation légale d’y souscrire pour utiliser un service –sinon leur responsabilité ne serait pas engagée juridiquement en cas d’atteinte aux données- et vive le marché qui est retombé sur ses pattes en faisant l’impasse sur une horrible obligation de sécurisation et d’information très onéreuse…

On arrêterait ainsi d’appeler à la responsabilisation et conscience des internautes en matière de protection de leurs données personnelles, plus besoin de pédagogie, « y a des assurances pour réparer tout ça » ; Et ils ne culpabiliseraient plus de ne pas s’en soucier (pour les quelques rares qui culpabilisaient). Il n’y aurait plus d’impératif à coller les organismes institutionnels de sécurité (police et gendarmerie spécialisée) sur les fuites de données personnelles puisqu’il y a des acteurs marchands et privés qui s’en occuperaient, permettant ainsi qu’ils concentrent leurs efforts et moyens sur des aspects plus criminels et organisés de la cybercriminalité qui nécessiterait déjà plus d’investissement en terme de coopération internationale et de personnels.

J’espère me tromper. Cette législation n’est pas encore effective et beaucoup d’acteurs du Net et d’organes nationaux législatifs en contestent certaines dispositions ; peut-être finiront-ils en revanche par s’en accommoder avec une filouterie comme supposée ici dans ce billet…

J’espère me tromper.

Crédit photo FlickR.

Liens de lecture non évoqués dans le billet (je ne les avais pas vus avant de l’écrire) :

Publié par

Gof

Canard boiteux numérique ; juste intéressé, juste passionné.

4 réflexions au sujet de « Privatisation des coûts de la sécurisation des données ? »

  1. Petite réflexion à chaud. Je supposais ici la crédibilité à moyen terme d’une cotisation privée, au titre d’une assurance individuelle. Je ne le souhaite pas, mais cela me semble plausible comme issue. Autre orientation possible, l’impôt dédié (qui-doit-normalement-ne-servir-qu’à-ça-mais-servira–autre-chose-un-an-plus-tard) comme l’envisage les canadiens.

    Bilan de cette idée, les policiers proposent, pour soutenir les FAI, une taxe Internet qui permettra de payer les frais de cette cyber-surveillance. Une solution proposée qui est baptisée « taxe sécurité du public ».

    => Un impôt pour protéger votre site Internet – Zataz 21/03

  2. L’assurance ne dispense pas forcement de prudence. Un gars qui devient paraplégique dans un accident de voiture, il a beau être assuré, il n’en reste pas moins paraplégique.

    C’est une analyse pertinente, j’espère bien qu’on en arrivera pas là, auquel cas, je devrai changer de pays…

    « permettant ainsi qu’ils concentrent leurs efforts et moyens sur des aspects plus criminels et organisés de la cybercriminalité qui nécessiterait déjà plus d’investissement en terme de coopération internationale et de personnels » – Ah, tu parles d’arrêter les grand criminels qui font du piratage culturel :) C’est certain qu’il faut plus d’équipe pour stopper ces gens là ! Mon analyse à moins est qu’un de ces 4 ils risquent de nous mettre comme des radars-auto du téléchargement.

    En tout cas, c’est certains, les vrais vrais cybercriminels, ceux qui infectent des centaines de milliers de machines avec des botnets, eux, ils dorment sur leur deux oreilles et risquent moins que le type qui a rippé 10 films et les a partagé sur bitorrent…

Les commentaires sont fermés.