En 2012, un recours collectif est déposé contre Facebook (désormais Meta) devant une Cour fédérale américaine concernant la collecte de données personnelles. Facebook, qui s’était engagé à ne pas suivre ses utilisateurs lorsque ces derniers quittaient le réseau social, se servait du bouton « j’aime » sur des sites tiers utilisant des cookies afin de retracer l’historique de navigation des utilisateurs et le vendre à des annonceurs publicitaires. En 2017, ce recours a été rejeté au motif que les plaignants n’avaient pas réussi à démontrer qu’ils avaient une atteinte raisonnable en matière de vie privée ou qu’ils avaient subi des dommages financiers. En 2020, une Cour d’appel fédérale américaine s’est cependant prononcée sur le fait que les plaignants avaient subi un préjudice économique et que les pratiques de Facebook contrevenaient au Wiretap Act, une loi américaine portant sur l’écoute téléphonique. Facebook a fait appel de ces décisions devant la Cour suprême qui a refusé de se saisir de l’affaire l’année dernière, laissant en place la décision précédente. Ce 10 février 2022, Meta a finalement accepté de payer 90 millions de dollars afin d’indemniser les victimes, ce qui doit encore être acceptée par la juridiction saisie

Pourquoi cette actu :
Alors que Meta est de plus en plus dans la tourmente en Europe après les révélations de la lanceuse d’alerte Frances Haugen et les nombreuses condamnations sur le fondement du RGPD, les procès se multiplient également aux États-Unis. S’il est approuvé, l’accord que vient de passer Meta figurera parmi l’un des plus importants de l’histoire des États-Unis en matière de confidentialité des données. Meta a déjà été confronté à des sanctions encore plus importantes par le passé pour des violations présumées de la confidentialité des données. En février dernier, un juge fédéral a approuvé l’accord passé avec Meta de 650 millions de dollars dans le cadre d’un recours collectif concernant plus de 1,6 million de membres. L’action en justice accusait Facebook d’avoir violé la loi de l’Illinois sur la confidentialité des informations biométriques en raison de l’utilisation par la plateforme de la reconnaissance faciale dans le marquage des photos. Faisant suite à l’affaire Cambridge Analytica, on rappellera également l’amende de 5 milliards de dollars prononcée par l’agence américaine de protection des consommateurs contre Meta à qui été reproché d’avoir « trompé » ses utilisateurs sur leur capacité à contrôler leurs informations personnelles, amende validée par le juge en avril 2020.
Si la Californie a été précurseur en 2018 en adoptant sa propre loi sur la protection des données personnelles, le California Consumer Privacy Act (CCPA), entré en vigueur le 1er janvier 2020, d’autres États ont suivi et des sénateurs américains ont même proposé l’adoption d’une loi fédérale en 2021 sur le sujet, soutenu par …Meta lui-même ! La période d’impunité dont les géants du numérique ont joui est peut-être en train de se clore, une page va peut-être se tourner.

Comment concilier performance marketing et protection des données personnelles de ses clients ? Face à des usagers de plus en plus méfiants sur l’usage qui peut être fait de leurs données personnelles, deux jeunes sociétés HubSpot et Didomi spécialisées dans les solutions marketing en matière de gestion de ces données proposent, au travers d’un livre blanc, de redonner le contrôle aux utilisateurs et de renforcer leur confiance.

Pourquoi cette actu :

L’idée de Didomi et Hubspot est de susciter la confiance du consommateur et de se démarquer des concurrents en misant sur la transparence dans l’utilisation de ses données et recommandent l’utilisation de données « zero » ou « first-party », ce qui permet de collecter légalement des données à la fois pérennes, fiables et plus précises. Rappelons que les données « zero-party » sont celles que le client accepte de partager, créant ainsi une relation de confiance entre ce dernier et l’entreprise. Ces données peuvent être très détaillées et inclure par exemple des intentions d’achat ou des informations relatives aux préférences du client. Mais le client garde la main sur ces données ; il peut à tout moment décider d’arrêter de les partager, les modifier. Quant aux données « first-party », elles désignent l’ensemble des informations détenues par l’entreprise, générées lors des interactions entre elles et leurs clients : par exemple, leur date de naissance, leurs achats… Elles s’opposent aux « second-party data » qui sont les données que les entreprises échangent. S’en tenir aux zero ou first-party data revient pour une entreprise à établir un lien exclusif avec son client en lui garantissant de ne pas transmettre à d’autres les informations que ce dernier a bien voulu donner, directement ou indirectement.
Pour que cela soit possible, il faut quand même que le client fasse confiance à l’entreprise quant au stockage des données qu’il lui confie. Cette solution est certes, un moyen de gagner davantage la confiance des utilisateurs, toutefois elle n’est véritablement applicable que si les entreprises ont acquis une réputation solide. Les entreprises vont en tout cas devoir rivaliser d’inventivité pour créer les conditions d’une confiance retrouvée avec leur clientèle online…

Le 15 février, le Comité européen de la protection des données (CEPD), institué par le RGPD pour veiller à sa bonne application au sein de l’UE, a annoncé le lancement d’une procédure commune à 22 autorités européennes de protection des données, dont la CNIL. Cette procédure dont les résultats seront donnés par le CEPD avant fin 2022, vise à s’assurer que les services de cloud utilisés par les services publics respectent le RGPD car la protection des données relatives à des secteurs essentiels comme la santé, la finance ou encore l’éducation est jugée primordiale.

Pourquoi cette actu :
À l’heure où la lutte pour la protection des données personnelles s’intensifie, il est important de noter qu’il s’agit d’un enjeu fort pour l’Union Européenne. En effet, cette dernière aspire à devenir un modèle en matière de protection des données face aux géants du numérique outre-Atlantique. Cette mesure intervient à la suite de la mise en demeure par la CNIL d’un gestionnaire de site faisant usage de Google Analytics à qui il est reproché lors du transfert des données personnelles réalisé vers les États-Unis de ne pas garantir suffisamment le respect du RGPD. Depuis l’invalidation par la Cour de justice de l’UE du Safe Arbor puis du Privacy Shield à la demande de l’avocat-activiste Max Schrems, l’association NoyB (my Privacy is None of Your Business) qu’il a créé a déposé de nombreuses plaintes au sein de l’UE pour contester le transfert des données par le biais de Google Analytics. Ces actions en justice mettent à l’évidence Google en difficulté mais également toutes les Big tech qui procèdent à l’identique. Force est de constater que désormais deux visions du monde s’opposent : celle européenne fondée sur des valeurs démocratiques et humanistes qui privilégient la personne humaine et le contrôle par elle de ses données personnelles, celle américaine de l’ultracapitalisme où la donnée est considérée comme un bien économique commercialisable sans l’accord des intéressés. Ce faisant, l’Europe devient progressivement un porte-étendard en matière de protection des données reposant sur des normes strictes. Ainsi s’agit-il désormais d’un enjeu global qui nécessite davantage de mesures coordonnées pour tenter de mettre fin à ce que d’aucuns considèrent comme la « vassalisation » de l’UE par les mastodontes du numérique américains.

Le 15 février 2022, le gouvernement Ukrainien a déploré plusieurs attaques par DDos à l’encontre de sites internet du Ministère de la Défense et des forces armées d’une part et de deux banques d’autre part Privatbank et Ochtchadbank. Dans les deux cas, les serveurs de requêtes de ces organisations ont été saturés dans l’objectif de dégrader le fonctionnement d’un service. Le gouvernement russe nie toute implication dans cette attaque alors que les tensions entre les deux pays se sont accrues. Une enquête est en cours afin de déterminer la provenance de ces attaques dont l’Ukraine est régulièrement la cible.

Pourquoi cette actu :
Depuis le début de la crise entre la Russie et les pays de l’OTAN, l’Ukraine est devenue une terre d’expérimentations en termes de cyber-menaces. Ces dernières prennent des formes variées et ont diverses cibles. La dernière cyber opération de janvier, visant des institutions gouvernementales, aurait pu être fatale en cas de conflit ouvert car le pays aurait perdu, au moins partiellement, le contrôle de ses forces armées. S’ajoutent à cela de multiples attaques informationnelles via les réseaux sociaux pour toucher directement la population. Rappelons que procéder à une cyberattaque ciblée est un geste politique assimilable à une agression. Avec la multiplicité des cyberattaques, le conflit Ukraine-Russie s’accélère, sans pour autant qu’il fasse encore l’objet d’un combat militaire, même si certains l’anticipent. Cependant, depuis plus de trois mois, Vladimir Poutine agite une épée de Damoclès au-dessus de l’Ukraine afin de bloquer l’extension de l’OTAN en Europe de l’Est. Aujourd’hui l’hypothèse d’une intervention militaire russe n’est plus à écarter. On se trouve alors dans une situation que les stratèges appellent désormais une « guerre hybride », c’est-à-dire des tensions voire des conflits qui mêlent différentes formes de conflictualités. L’Ukraine est peut-être le laboratoire des guerres de demain.

La BCE (Banque Communautaire Européenne) souhaite lancer d’ici le 1er janvier 2024 une monnaie numérique à l’instar du bitcoin. Elle a ainsi constitué une équipe chargée du design de cette monnaie. La principale contrainte à la création de cette cryptomonnaie, qui aurait vocation à être utilisée quotidiennement, est de respecter la vie privée des utilisateurs tout en limitant le risque de création d’un levier de blanchiment et/ou de détournement de fonds.

Pourquoi cette actu :
Le développement d’une cybermonnaie européenne démontre la volonté de l’UE d’être en phase avec l’évolution des modes de paiements. Le paiement en espèces et la monnaie fiduciaire sont, en effet, en déclin. Cette tendance de fond a été accentuée par la crise sanitaire : déjà en 2019 une étude de la BCE montrait que les paiements en espèce ne représentaient plus que 25% des paiements en France. Toutefois il y a loin d’ici à ce que cet e-euro remplace nos pièces et nos billets : « Cash is still king ».
Les enjeux liés à la création d’une e-monnaie européenne sont grands. La BCE a lancé une consultation citoyenne à propos de l’euro numérique. Le rapport rendu à l’issue de cette consultation a démontré que les citoyens européens craignaient que cette monnaie mette en péril le droit au respect de leur vie privée. Pour 43% des citoyens, la confidentialité est un critère plus important que la sécurité. Le respect de la vie privée est donc une problématique majeure pour les instances européennes qui ne peuvent autoriser la fuite massive de données personnelles. Notons qu’en Chine, la Bank of China peut suivre en temps réel les transactions des 140 millions de chinois utilisent le e-yuan.
Si tracer les échanges monétaires comporte un risque, les anonymiser complétement en comporte d’autres. Une monnaie qui ne laisse pas de trace, laisse libre court à toute sorte de transactions : trafics d’armes, drogues, financement de réseaux terroristes… « Chaque jour, un peu plus, le crime va se financer par les monnaies virtuelles », estimait le ministre de l’Intérieur, Gérard Collomb en 2018. C’est entre Charybde et Scylla que l’histoire de l’histoire de l’euro numérique va s’ouvrir.