> Voir la vidéo de la rencontre
La 18e Rencontre de la Chaire Valeurs et Politiques des Informations Personnelles, qui s'est tenue le 31 octobre 2019 dans les locaux de BNP Paribas, avait pour objet la publication de l'enquête Données personnelles et Confiance – Évolution des perceptions et des usages post-RGPD, 
réalisée en association avec Médiamétrie en mai 2019.
Les 2h30 de cette Rencontre ont fait l'objet d'un enregistrement vidéo, à présent publié.
L'assistance, accueillie par Olivier Vandenbilcke, Regulatory and Innovation, BNP Paribas, et Didier Trutt, Président-directeur général, IN Groupe, avait été conviée dans un lieu emblématique, un ancien coffre-fort devenu salle de conférences. Ces deux fondateurs historiques de la Chaire (créée en avril 2013) ont souligné l'importance des travaux de recherche, pluridisciplinaires, qui s'attache à l'étude des enjeux de transformation de la société et éclaire les entreprises, les pouvoirs publics et les citoyens. Dans le cadre de ses travaux, la Chaire a été notamment et reste de façon significative pionnière sur les identités numériques.
Cette Rencontre était l’occasion de faire le point, et un retour au public, sur l'étude menée par la Chaire Valeurs et Politiques des Informations Personnelles, la seconde de ce type, les données personnelles et la confiance. Cette enquête est un élément fort de l'activité de la Chaire et permet désormais de s’inscrire dans une continuité qui « photographie » les usages et leur évolutions ainsi que leurs pratiques et leurs perceptions.
Claire Levallois-Barth, Coordinatrice de la Chaire, a ainsi présenté le programme de la Rencontre : une restitution des résultats de l'enquête par Xavier Lemuet, Directeur du pôle Digital et Médias, Médiamétrie, suivie d'un propos liminaire de Jean Lessi, Secrétaire général de la CNIL, et enfin une table-ronde analysant les sujets évoqués ainsi que leur périmètre d’évolutions.
Cette journée s'est clôturée par la cérémonie de prolongation des conventions de mécénat et de partenariats de la Chaire.
Nous reportons ci-dessous quelques-uns des propos tenus ainsi que les repères de temps pour faciliter l'accès aux points abordés et aux échanges. Vous pouvez ainsi accéder directement (via le lien vidéo fourni) aux éléments cités.
La présentation des résultats de l'enquête par Xavier Lemuet (6'30) débute, par un rappel de la méthodologie adoptée (2 000 internautes de 15 ans et plus, méthode des quotas) et diverses données de cadrage. Un an après la mise en œuvre du RGPD, la population étudiée est celle d'internautes largement équipés, en progrès significatif sur les ordinateurs et les smartphones, ces derniers utilisés pour se connecter à Internet de manière très régulière.
L’étude est organisée en six parties, chacune d'entre elles étant précédée d'un transparent résumant la précédente.
-
[9'45] Identité numérique et sa protection. La quasi-totalité des types d'informations proposées dans l'étude sont considérées par les sondés comme étant personnelles. L'État est vu comme l'acteur avec lequel on peut le plus facilement partager avec confiance ses données personnelles, suivi de près par la banque. Une décote des niveaux de confiance est observée sur les sites d'achat en ligne étrangers par rapport aux sites marchands français. 10% des internautes (plutôt seniors) souhaiteraient ne rien avoir à partager (crainte de l'usage frauduleux). La proportion de ceux qui utilisent pour se connecter des mots de passe différents a fortement augmenté.
-
[17'00] Usages spécifiques d'Internet. L'achat en ligne est devenu une pratique largement répandue. Le premier moyen est la carte bancaire, en progression, suivi du portefeuille numérique, également en progression. La perception des systèmes de recommandations est ambivalente, entre trop d'intrusion perçue, un vrai gain de temps et une aide jugée bienvenue, pertinente et appréciée. Cette perception varie cependant en fonction des services. Quelle que soit la plateforme utilisée, les internautes renforcent leurs actions de paramétrage, avant tout pour mieux protéger leurs informations, une pratique là aussi en progression.
-
[21'30] Perception par rapport à la publicité en ligne. On constate une progression de l'installation et de l'utilisation des bloqueurs de publicité, en premier lieu pour stopper des publicités jugées intrusives et pour ne plus perdre de temps à cliquer pour les faire disparaître. Vient ensuite une prise de conscience que les bloqueurs ont un effet en matière de sécurité, et participent à la protection des informations personnelles.
-
[24'00] Évolutions du comportement. Les internautes sont beaucoup plus vigilants (taux en progression de 6 points, à 60% ; la moitié à la suite de problèmes qu'ils ont vécus directement ou par tiers interposés ; 10% grâce au RGPD). Deux refus de partage majeurs sont cités : la localisation et l'historique de navigation. L’utilisation des systèmes VPN et des moteurs de recherche alternatifs est aussi en progression. Un très fort taux (88%) d'internautes se sentent surveillés. Très peu en revanche lisent en intégralité les informations relatives aux politiques de confidentialité. Il existe ainsi une posture ambivalente entre le souhait de contrôler ses données et la résignation constatée.
-
[30'20] Assistants Vocaux. 30% des internautes utilisent cette technologie au moins une fois par mois, avec là également une certaine résignation quant au partage des données. La majorité (2/3) règle leurs paramètres à des degrés divers (par exemple les sources d'information). Pour les non utilisateurs, ces assistants sont considérés comme un gadget, avec de fortes craintes d'un détournement de leurs données.
-
[33'00] Perception du RGPD. Le règlement bénéficie, un an après son entrée en application, d'une large notoriété (globalement) ce qui est très satisfaisant. Sa mise en place est évaluée de manière positive. Le droit à la portabilité (en vigueur depuis le 25 mai 2018) est connu par deux internautes sur cinq. 1/3 des internautes sont réfractaires à donner leur consentement. 56% accepteraient que leurs données soient utilisées dans un objectif d'intérêt général, par exemple à des fins statistiques, pour la recherche médicale, ou encore pour l'amélioration des services publics.
[39'40] Cette présentation des résultats de l'enquête s'est poursuivie par quelques commentaires du Secrétaire général de la CNIL, Jean Lessi. Celui-ci remercie les organisateurs de la Rencontre et souligne l'intérêt de l'étude qui corrobore en partie des éléments déjà pressentis, et ouvre la voie à de nouvelles pistes. Il réagit en préambule sur le paradoxe, étonnant dans un monde aussi neuf, qui a été souligné entre la conscience des enjeux et la résignation. Son propos s'articule ensuite autour de trois remarques :
-
On observe tout d'abord une montée en maturité des comportements et de la compréhension des enjeux. Ces problématiques ne sont du reste pas individuelles, mais collectives. Le RGPD est un instrument qui permet de reconnaître cette dimension collective.
-
Il existe toujours une nécessité d'éducation au numérique, un besoin de connaître le dessous des cartes. Le cas de la reconnaissance faciale est emblématique à cet égard.
-
On constate également un besoin de simplifier. Il ne s'agit pas de modifier le texte lui-même du RGPD (49'), car il est essentiel de disposer de textes stables. Mais ces textes murissent par l’intermédiaire de leur interprétation et la pratique. Mettre un tel règlement à la portée de tous va au-delà de la pédagogie. Il faut par exemple publier des contenus pratico-pratiques, ce qui contribue à éviter de nourrir le fatalisme et la résignation. Ce n'est que le début de la mise à disposition de ce type d'informations. Et cette simplification ne s'adresse pas qu'aux citoyens, mais également aux professionnels, par exemple pour les aider à mieux informer le public sur leurs politiques en matière de cookies.
Réduire la complexité, fluidifier les parcours constitue l’un des enjeux. Cette tâche nécessite un temps long, et bénéficiera de « la preuve par l'exemple ».
La table-ronde [53’]
Claire Levallois-Barth lance les discussions en s'adressant à Jean Lessi. « Des entreprises ont été sanctionnées par la CNIL, des enquêtes sont menées par l’autorité de protection des données irlandaise. Quid de l'approche collective de la non-conformité et des sanctions en ce qui concerne les mauvais acteurs ? Y a-t-il eu beaucoup de plaintes reçues ?». La parole est ensuite donnée à Didier Trutt (56'45) : « Que vous inspirent les résultats du sondage, et quels sont les enseignements à tirer ?». Laurent Battais, DGA Médiamétrie, [1h00'40] cite d'autres études menée pour la CNIL ou d'autres acteurs, et les enseignements complémentaires qu'on peut y trouver. Puis Olivier Vandenbilcke (1h04) revient sur les spécificités de la confiance vis-à-vis des banques, et une mise en perspective plus fine (Privacy in context). Ce premier tour de table se poursuit avec Patrick Waelbroeck, Professeur d'économie industrielle et d'économétrie à Télécom Paris, co-fondateur de la Chaire, qui introduit les notions fondamentales d'externalités négatives et d'asymétries d'information. Francis Jutand (1h20), Directeur général adjoint de l'IMT, apporte des éclairages sur les dynamiques à l’œuvre en ces périodes de métamorphose ou d'avalanche que nous vivons, en précisant qu’il va nous falloir prendre en compte, en tant que société, les Communs, tous acteurs confondus (États, entreprises, citoyens). Olivier Vandenbilcke poursuit à ce propos en indiquant qu’il faut prendre en compte le temps nécessaire pour transformer l'existant.
Interrogés sur les questions d'innovation responsable, les intervenants soulignent également que le RGPD offre aux acteurs une capacité d'innovation et de différentiation. Didier Trutt et Jean Lessi, [1h26'40] évoquent chacun le secteur de la santé, en particulier le Health Data Hub, Francis Jutand exprimant à cet égard l’importance de l'innovation responsable [1h33].
Les échanges abordent la dimension internationale avec une question de Claire Levallois-Barth [1h36'10], s'appuyant sur la proposition de règlement ePrivacy actuellement en cours de négociation, la troisième revue du Privacy Shield et les débats sur la biométrie : « Quels sont les autres sujets sur lesquels porter notre attention, en prenant en compte notamment le contexte européen ? ». Jean Lessi [1h39] illustre sa réponse avec le cas du transfert de données internationales, la notion de niveau de protection adéquate et le data free flow. Ce sont là des enjeux démocratiques majeurs, avec au moins trois enjeux en ce qui concerne la coopération internationale en matière de protection des données personnelles.
Concernant la biométrie, la CNIL a demandé un débat sur les nouveaux usages de la vidéo il y a un an et demi déjà [1h42'10]. Olivier Vandenbilcke distingue plusieurs usages de la biométrie et revient sur l'importance de l'éducation et de la vulgarisation autour de ces sujets. Pour Didier Trutt, notre identité n'est pas un service, c'est un droit.
Les échanges se poursuivent sur la question du design de l'information en matière de respect de la vie privée [1h51'30], et quelques mots sur les questions de contre-mesures constatées de part et d'autre.
La parole est donnée à la salle [1h57]. Une première question porte sur les discussions entre la CNIL et les startups. Les intervenants sont également interrogés sur Alicem : pourquoi cette solution d'identité numérique mobile a-t-elle tant cristallisé ces derniers temps [2h01'20] ? Une question [2h08'20] sur les publicités ciblées permet d'aborder la problématique des usages et du KYC (Know Your Customer). Une personne revient sur les dimensions individuelle et collective en établissant un parallèle avec les enjeux climatiques [2h14]. Une autre intervention permet d'échanger sur les difficultés à expliquer les différents niveaux d'information, par strate, et sur la « fatigue » lié aux demandes nombreuses de consentement [2h21]. Les échanges se terminent sur les divers projets de standardisation en matière de transferts de données, entre ceux portés par l'Union européenne et ceux proposés par les grands acteurs de l'Internet [2h24'20].
La Rencontre, et la vidéo, s'achève sur la cérémonie de prolongation des conventions de mécénat et de partenariat de la Chaire, introduite par Audrey Loridan-Baudrier, Directrice des programmes à la Fondation Mines-Télécom. IN Groupe, BNP Paribas, QWANT, Dassault Systèmes et la CNIL ont ainsi publiquement renouvelé leur partenariat pour 3 ans, au côté d’Orange et de Sopra Stéria, sous l’égide de la Fondation Mines-Télécom.