Les nombreux scandales de vols ou d’utilisation inappropriée de données qui ont secoué le paysage médiatique ces dernières années soulignent l’importance de leur protection. En Europe, la mise en place du Règlement général sur la protection des données (RGPD) est censée y subvenir, grâce à quatre mesures phares : les labels de confiance, l’« accountability », la portabilité des données et le pseudonymat. Décryptage.
Les données, des externalités négatives potentielles
Les données utilisées à mauvais escient peuvent conduire à des vols d’identité, à du harcèlement en ligne, à la divulgation d’informations intimes, à l’utilisation frauduleuse de coordonnées bancaires ou, moins grave mais néanmoins condamnable, à de la discrimination par les prix, ou à l’affichage de publicités indésirables, qu’elles soient ciblées ou non.
Toutes ces pratiques peuvent être assimilées à des « externalités négatives ». En économie, une externalité négative résulte d’une défaillance du marché. Celle-ci survient lorsque les actions d’un agent économique exercent un effet négatif sur d’autres agents, sans compensation liée à un mécanisme de marché.
Dans le cas de l’utilisation de données à mauvais escient, les externalités négatives pour le consommateur sont causées par des entreprises qui collectent trop de données par rapport à l’optimum social. Leur existence justifie, économiquement, la protection des données personnelles.
La société de la boîte noire
L’utilisateur n’a pas toujours conscience des conséquences des traitements effectués par les entreprises du numérique, et la collecte de données personnelles peut créer des risques, dans le cas où un internaute laisse des traces involontaires dans son historique de navigation.
En effet, le numérique bouleverse les conditions de l’échange à travers l’asymétrie d’information qu’il engendre, dans ce que Frank Pasquale, juriste à l’Université du Maryland, appelle la « black box society » : les utilisateurs d’outils numériques ne connaissent ni l’utilisation qui est faite de leurs données personnelles, ni le volume des données échangées par les entreprises qui les collectent, et ce pour trois raisons.
Premièrement, il est difficile pour un consommateur de vérifier comment ses données sont utilisées par les entreprises qui les collectent et les traitent, et encore plus de savoir si cette utilisation est conforme ou non à la législation. Ceci est encore plus vrai à l’ère du « big data » où des bases de données indépendantes contenant peu d’informations personnelles peuvent être combinées facilement pour identifier une personne. Deuxièmement, un individu est difficilement capable d’évaluer techniquement le niveau de sécurité informatique dont font l’objet ses données pendant leur transmission et leur stockage. Troisièmement, les asymétries d’information affaiblissent l’équité et la réciprocité dans la transaction, et créent un sentiment d’impuissance des internautes isolés face aux grands groupes du numérique (ce que les sociologues appellent le capitalisme informationnel).
Labels et signes de confiance
Les enjeux économiques sont de taille. Dans les travaux qui lui ont valu le prix Nobel d’économie, George Akerlof a montré que des situations d’asymétrie d’information pouvaient conduire à la disparition de marchés. L’économie numérique n’échappe pas à cette théorie, et la détérioration de la confiance crée des risques qui peuvent conduire certains internautes à se « débrancher ».
Dans ce contexte, le RGPD encourage fortement (mais ne les rend pas obligatoires) les labels et marques de confiance qui permettent aux internautes de mieux appréhender les risques de la transaction. Très fréquents dans l’industrie agroalimentaire, les labels sont des signes, tels des emblèmes ou des codes couleurs en encore des lettres, traduisant le respect de la réglementation en vigueur. Peut-on escompter un impact économique positif de ces labels pour l’économie numérique ?
Quels impacts pour les labels ?
De manière générale, on peut distinguer trois effets économiques positifs des labels : un effet signal, un effet prix et un effet sur les quantités.
En économie, les labels et autres signes de confiance sont appréhendés par la théorie du signal. Celle-ci cherche à résoudre les problèmes d’asymétrie d’information en émettant un signal coûteux, que les consommateurs pourront interpréter comme un gage de bonne pratique. Ainsi, plus le signal est coûteux plus son impact sera important.
Les études économiques sur les labels montrent qu’ils ont généralement un impact positif sur le prix, qui correspond à une prime à la réputation, et sur les quantités vendues. Dans le cas des marques de confiance et des labels de protection des données personnelles, on peut s’attendre à un effet plus important sur le volume que sur les prix, en particulier pour des sites non marchands ou pour les services gratuits.
Cependant, les études existantes sur les labels montrent également que les effets économiques sont d’autant plus forts que les risques perçus sont importants. Dans le cas de labels agroalimentaires, les risques de santé peuvent être majeurs, mais les risques liés au vol des données sont encore méconnus du grand public. De ce point de vue, les effets des labels risquent d’être mitigés.
D’autres d’interrogation subsistent également : cette labellisation doit-elle être le fait d’organismes publics ou privés ? Comment financer le processus de labellisation ? Comment vont cohabiter les différents labels ? N’y a-t-il pas un risque de confusion pour l’internaute ? Si le label est trop coûteux, les petites entreprises risquent-elles de ne pas pouvoir être labellisées ?
Au final, moins de 15 % des sites du TOP 50 des audiences les plus importantes sur Internet affichent actuellement un label de protection des données personnelles. Le RGPD changera-t-il cette situation ?
« Accountability » et amendes
Les révélations de l’affaire Snowden sur la surveillance généralisée par les États ont également créé un sentiment de défiance envers les acteurs de l’économie numérique. À tel point qu’en 2015, 21 % des internautes étaient prêts à ne partager aucune information ; ils n’étaient que 5 % en 2009. N’y a-t-il pas un coût sociétal au « tout gratuit » sur Internet ?
On compte désormais par millions les vols de données des clients de compagnies telles que Yahoo, Equifax, eBay, Sony, LinkedIn, ou encore plus récemment Cambridge Analytica ou Exactis. Ces incidents sont trop peu souvent suivis de sanctions. Le RGPD instaure un principe d’« accountability » (obligation de responsabilité), qui force les entreprises à être en mesure de démontrer que leurs traitements de données sont conformes aux obligations fixées par le RGPD. Le règlement instaure également une amende significative pouvant aller jusqu’à 4 % du chiffre d’affaire mondial consolidé en cas de manquement.
Ces mesures vont dans le bon sens, car on a confiance dans un système économique si l’on sait que les mauvais comportements seront punis.
Portabilité des données
Le RGPD établit un autre principe avec un objectif économique : la portabilité des données. À l’instar du secteur de la téléphonie mobile où la portabilité du numéro a permis de dynamiser la concurrence, le règlement espère générer des effets bénéfiques similaires pour les internautes. Cependant, il existe une différence majeure entre l’industrie de la téléphonie mobile et l’économie de l’Internet.
Les économies d’échelles dans le stockage et l’exploitation des données, l’existence d’externalités de réseaux sur les plates-formes en ligne à plusieurs versants (plates-formes qui servent d’intermédiaires entre plusieurs groupes d’agents économiques) ont créé des monopoles sur Internet. Par exemple, Google représentait en 2017 plus de 88 % des recherches sur Internet dans le monde.
Par ailleurs, un utilisateur de services numériques bénéficie des informations stockées en ligne lui permettant d’automatiser sa connexion, d’enregistrer ses préférences et son historique de navigation. Ceci crée une situation de « data lock-in » (enfermement des données) résultant d’une captivité des utilisateurs fidélisés au service et caractérisée par des coûts de changement élevés. Où aller si l’on quitte Facebook ? Cette situation permet aux entreprises en monopole d’imposer des conditions d’utilisation de leurs services facilitant une exploitation massive des données de leurs clients, parfois à leurs dépens. Dès lors, la relation entre portabilité des données et concurrence ressemble à un « catch-22 » : la portabilité est supposée créer de la concurrence, mais il n’y a pas de portabilité possible sans concurrence.
Pseudonymat et consentement explicite
La question de la confiance dans l’utilisation des données porte également sur la valeur économique de l’anonymat. Une théorie simpliste postule qu’il existe un arbitrage entre valeur économique d’une part, et protection de la vie privée et anonymat d’autre part. Il y aurait ainsi deux situations extrêmes : une situation où une personne est parfaitement identifiée et susceptible de recevoir des offres ciblées, et une autre situation où la personne serait anonyme. Dans le premier cas, la valeur économique serait maximale, dans le second les données n’auraient pas de valeur.
Si l’on déplace le curseur vers le ciblage, on augmente la valeur économique au détriment de la protection de la vie privée. Inversement, si l’on protège la vie privée, on réduit la valeur économique des données. Cette théorie ignore les enjeux de confiance dans l’utilisation des données. Pour développer une relation client sur le long terme, on doit raisonner en termes de risques et d’externalités pour le client. Il existe donc une valeur économique à la protection de la vie privée, qui tourne autour de la relation de long terme et de la notion de confiance, de la garantie du libre arbitre, de l’autonomie et de l’absence de discrimination.
Les principes de pseudonymisation et de consentement explicite du RGPD vont dans ce sens. Encore faut-il que les principaux acteurs jouent le jeu et s’y conforment, ce qui ne semble pas encore acquis : à peine un mois après l’entrée en vigueur du réglèment, le conseil des consommateurs de Norvège (Forbrukerrådet), une organisation indépendante financée par le gouvernement norvégien, accuse Facebook et Google de manipuler les internautes pour les inciter à partager leurs informations personnelles.