La réglementation en termes de protection des données va-t-elle continuer à considérer les données personnelles comme privées, ou pourrait-elle, en réponse au changement potentiel de l’opinion publique ou d’évidences empiriques, tenter de les libérer afin d’en faire bénéficier la société ?
James Tuplin, directeur Cyber & Télécommunication chez XL Catlin, se pose la question.

Aujourd’hui, les consommateurs apprécient et protègent leurs données de différentes manières et plusieurs attitudes existent vis-à-vis de l’utilisation qui en est faite.

Certains consommateurs sont prêts à se défaire de leurs données personnelles, à condition qu’ils en tirent quelque chose – la Data Marketing Association (DMA) au Royaume-Uni qualifie ces individus de « pragmatistes des données ». D’autres refusent systématiquement de partager leurs données – la DMA les qualifie de « fondamentalistes des données ». Entre les deux, les « indifférents » ne se soucient pas, ou peu, de la confidentialité et de la transmission de leurs données.

Ces dernières sont pourtant une denrée comme une autre, et une denrée précieuse qui plus est. Il existe trois principaux types d’informations personnelles :

• Les données « offertes » : toutes données fournies volontairement à un tiers, comme le nom ou le genre ;
• Les données « observées » : les données telles que la localisation ou l’historique de navigation, collectées par des programmes ou des sites internet, par exemple ;
• Les données « présumées », qui peuvent être déduites des deux autres types de données.

Les données présumées sont celles qui ont le plus de valeur. Et comme le veut l’adage : « si vous ne payez pas, vous êtes le produit ». En tant que consommateurs, des publicités nous sont « servies » de manière ciblée, en permanence, en fonction de nos recherches sur internet, de notre âge et de notre genre, ou bien encore en fonction de qui sont nos amis, en ligne.

Et si ces données étaient aussi utilisées pour la bonne cause ?

Nombre de consommateurs ne se déplacent jamais sans leurs cartes de fidélité, qui permettent à leurs magasins préférés de leur présenter des informations ou des offres promotionnelles correspondant à leurs goûts. Les données collectées grâce à ces cartes peuvent également contenir des informations concernant leurs dépenses de santé, entre autres choses. Or, les informations portant par exemple sur la fréquence d’achat d’antidouleurs, pour certains patients, pourraient être utilisées dans le cadre de recherches médicales afin d’identifier des facteurs contribuant à certaines maladies.

En Inde, un groupe d’opérateurs mobiles a lancé une initiative en collaboration avec l’Organisation mondiale de la santé (OMS) en vue de déterminer si les données de leurs réseaux pourraient permettre de discerner des tendances en termes de volume et de déplacement de populations, dans le but d’améliorer le contrôle de la propagation de la tuberculose, l’une des maladies les plus mortelles dans le pays.

Il existe bien d’autres manières, tout aussi profitables à la société, d’utiliser les données personnelles – par exemple pour prédire des tendances de criminalité, et les prévenir, ou pour analyser l’impact d’inondations sur les populations affectées.

Inquiétudes sur la confidentialité des données

Malgré cela, certains consommateurs sont de plus en plus préoccupés par l’utilisation qui est faite de leurs données.

Certains s’inquiètent de l’activité des entreprises de data analytics qui utilisent des données personnelles pour influencer le résultat d’élections. D’autres refusent d’être « ciblés » par la publicité. D’autres encore craignent que leurs données ne soient pas aussi privées qu’ils ne le souhaitent.

À titre d’exemple, de nombreux foyers disposent désormais d’assistants digitaux à commande vocale capables de répondre à des questions, de faire des courses en ligne, et de contrôler certains appareils, comme des interrupteurs ou des thermostats. Ces assistants peuvent certes être pratiques et divertissants mais certains de leurs utilisateurs s’inquiètent de la confidentialité des données collectées et stockées par ces applications.

Les fabricants de ces assistants digitaux insistent sur le fait que ces appareils n’écoutent ni n’enregistrent les conversations de leurs utilisateurs, à moins d’être activés. L’une de ces utilisatrices, aux États-Unis, affirme pourtant que son assistant digital aurait enregistré une conversation entre elle et son mari – sur le sujet, fascinant, du choix de leur nouveau parquet – et l’aurait envoyé à l’un de ses contacts, via le carnet d’adresses de son smartphone. L’assistant aurait été « activé » par erreur.

Pour les plus optimistes, il s’agit d’un incident isolé, complètement aléatoire et sans conséquence. D’autres y voient en revanche une preuve de l’intrusion croissante, au sein de nos vies privées, d’entreprises soucieuses d’utiliser nos données à leurs propres fins.

Une étude réalisée l’année dernière au Royaume-Uni révèle que seulement 20% des Anglais font confiance aux entreprises stockant leurs informations personnelles.  Et seul un Anglais sur dix estime comprendre comment ses données personnelles sont utilisées.

Que cela signifie-t-il pour l’avenir de la confidentialité des données ?

Deux scenarii sont envisageables et plausibles. Le premier est un monde dans lequel les données sont partagées de plein gré, dans le but de profiter à la société et au bien commun.

L’extrême inverse est une société dans laquelle la confidentialité est jugée plus importante que les avantages du partage des données, où les individus sont les seuls propriétaires de leurs données et défendent leurs informations personnelles becs et ongles. Et où les gouvernements imposent des mesures en termes de protection encore plus sévères qu’aujourd’hui, et des sanctions plus lourdes à l’encontre des entreprises qui ne les respectent pas.

La réponse est certainement au croisement de ces deux mondes, mais en tant qu’assureurs, nous devons nous préparer à toutes éventualités, et analyser les risques qui en découlent.

L’évolution de la réglementation en termes de protection des données aura sans aucun doute un impact majeur sur cette question. Continuera-t-elle à considérer les données personnelles comme exclusivement privées, tel que l’encourage le nouveau Règlement européen sur la protection des données (RGPD)? Ou bien pourrait-elle, en réponse au changement potentiel de l’opinion publique ou d’évidences empiriques, faire volte-face et tenter de « libérer » les données personnelles afin d’en faire bénéficier la société ?

L’intervention croissante des gouvernements et la réglementation dans ce domaine pourraient influencer encore davantage les besoins des entreprises en termes de gestion du risque lié à la sécurité des données. Des obligations de déclaration et des sanctions plus lourdes en cas de violation des données pourraient augmenter la responsabilité des entreprises et les risques liés à leur réputation.

Les implications en termes de risque auront un impact sur la manière de fonctionner de nombre d’entreprises: si les individus protègent davantage leurs données, ou si l’utilisation d’informations personnelles est restreinte, la capacité des entreprises à opérer tel qu’elles le font aujourd’hui pourrait être sévèrement perturbée.

Et même si les règles liées à l’utilisation des données personnelles venaient à s’assouplir, les risques de violation, de perte ou d’utilisation abusive de ces dernières ne disparaîtraient pas.

L’assurance cyber est un secteur en constante évolution. Nul n’est en mesure de prédire les attitudes des consommateurs et des gouvernements à cet égard dans les cinq, dix ou vingt années à venir. Nous autres assureurs devront rester vigilants et continuer à suivre les développements dans ce domaine.