Chapitre 6. Risque numérique et confiance1

La confiance est à la base de la plupart des relations et transactions numériques et dépend de la perception et de la gestion du risque. Ce chapitre s’intéresse aux inquiétudes qui nuisent à la confiance, notamment celles qui concernent le respect de la vie privée et la sécurité numérique, dans la mesure où elles font obstacle à l’adoption des technologies numériques ; il analyse l’évolution des incidents touchant ces deux domaines et des fraudes en ligne, et étudie comment renforcer la confiance dans l’économie numérique, y compris par la protection des consommateurs. Les politiques et réglementations visant à améliorer la confiance dans l’économie numérique sont étudiées au Chapter 2.

Introduction

Le développement de la connectivité et des activités économiques à forte intensité de données – en particulier celles qui reposent sur de grands flux de données (les données massives) ainsi que sur le recours généralisé à la connectivité mobile et l’utilisation émergente de l’internet pour connecter des ordinateurs et des appareils équipés de capteurs (l’internet des objets, IdO) – sont à même de favoriser l’innovation dans les produits, les procédés, les services et les marchés, et d’aider à relever des défis économiques et sociaux de grande ampleur. Ces évolutions se sont accompagnées d’un changement dans l’échelle et la portée d’un certain nombre de risques, liés notamment à la sécurité numérique et au respect de la vie privée, ce qui pourrait avoir des conséquences notables sur les activités sociales et économiques. Par ailleurs, à mesure que de nouveaux modèles économiques font leur apparition pour tirer profit des possibilités émergentes, les consommateurs peuvent avoir de plus en plus de difficultés à se repérer dans un marché du commerce électronique toujours plus complexe. Cette combinaison souligne la nécessité de faire évoluer les politiques et les pratiques de façon à susciter et à entretenir la confiance.

Les incidents de sécurité numérique sont certes délicats à mesurer, mais il semblerait que leur technicité, leur fréquence et leur ampleur soient en augmentation. Ils peuvent toucher la réputation d’une organisation, ses finances et même ses actifs corporels, sapant sa compétitivité, sa capacité à innover et sa place sur le marché. Les individus peuvent subir des préjudices matériels, économiques et même physiques, mais aussi immatériels, tels qu’une atteinte à leur réputation ou une intrusion dans leur vie privée. En outre, les incidents de sécurité numérique sont parfois source de coûts importants pour l’économie dans son ensemble, en perte de confiance notamment, et ces coûts ne se limitent pas aux organisations concernées, mais s’étendent à tous les secteurs. En mai 2017, des ordinateurs de plus de 150 pays ont été infectés par le rançongiciel WannaCry, un logiciel malveillant qui bloquait l’accès de ses victimes à leurs données tant qu’une rançon n’avait pas été payée. Cette attaque a sérieusement perturbé le fonctionnement d’organisations du monde entier, telles que le Service national de santé (National Health Service) du Royaume-Uni ou l’opérateur espagnol Telefónica, le logisticien américain FedEx et la Deutsche Bahn (BBC, 2017 ; Wong et Solon, 2017). Des entreprises manufacturières, comme Nissan Motor et Renault, ont même dû interrompre momentanément la production sur plusieurs de leurs sites (Sharman, 2017).

L’interdépendance croissante des activités à forte intensité de données ajoute à la complexité, à l’instabilité et à la dépendance des infrastructures et des processus existants. En particulier, l’extension de la portée géographique des services numériques et leur réticularité toujours plus vaste, au-delà du contrôle d’une instance et d’une organisation unique, remettent en cause les cadres de gouvernance actuels des entreprises et des administrations. Lorsque ces services numériques font partie de réseaux d’infrastructures vitales, on se trouve face à un risque croissant que les défaillances systémiques s’accumulent, avec de multiples incidences sur la société, ce qui fait de ce risque, dans une économie numérique, un enjeu interterritorial, intersectoriel et multipartite. Ce qui se passe dans une petite entreprise peut avoir une incidence sur une plus grande et sur tous les autres acteurs d’une chaîne de valeur ; l’action d’un acteur (individu ou groupe) peut se répercuter sur de nombreux autres. Cela étant, il est incontestable que les organisations, publiques comme privées, tirent profit d’une réticularité accrue – moteur d’innovation, d’efficience et de performance. L’écosystème que représente une chaîne de valeur peut aussi servir à prévenir le risque de sécurité numérique en imposant, par exemple, un certain niveau de gestion de ce risque à tous les acteurs d’une chaîne logistique.

La confiance est essentielle dans des situations d’incertitude et d’interdépendance (Mayer, Davis et Schoorman, 1995), et il est manifeste que l’environnement numérique réunit ces deux aspects. Mais, alors que les technologies numériques évoluent rapidement, les politiques et les pratiques qui en découlent en matière de confiance font trop souvent l’hypothèse d’un monde statique. En 2016, l’internet des objets, les données massives et l’intelligence artificielle (IA) étaient considérés par les responsables politiques comme les défis majeurs à relever pour définir des cadres d’action favorables (voir Chapter 2). Aux taux de croissance actuels, on estime qu’à l’horizon 2020, il y aura 50 milliards d’« objets » connectés à l’internet (OCDE, 2016a). Des entreprises comme Amazon, Apple et Google ont déjà beaucoup avancé pour offrir des services fondés sur l’intelligence artificielle, comme l’utilisation de la reconnaissance vocale dans l’interaction avec les machines, et Facebook a lancé une opération d’IA, intitulée DeepText, qui vise à comprendre les grands traits des échanges et les centres d’intérêt d’utilisateurs individuels.

Les avantages potentiels de ces évolutions technologiques sont importants, mais celles-ci peuvent aussi s’accompagner de nouveaux risques susceptibles de saper la confiance dans les nouvelles technologies et dans l’économie numérique tout entière. Les données analysées dans le présent chapitre indiquent que les utilisateurs (particuliers et entreprises, et notamment les petites et moyennes entreprises [PME]) sont de plus en plus inquiets des risques qui les menacent dans ce nouvel environnement numérique. Une enquête du Centre for International Governance Innovation (CIGI) et d’Ipsos sur la sécurité en ligne et la confiance à l’égard de l’internet, réalisée en 2014 auprès des internautes de 24 pays, constate que 64 % des répondants sont plus préoccupés par la protection de leur vie privée qu’ils ne l’étaient l’année précédente. Ce qui est peut-être plus frappant encore, c’est qu’ils doutent d’avoir le contrôle de leurs données personnelles.

On examine ici les évolutions liées aux risques numériques et à la confiance dans cet environnement, en s’intéressant tout particulièrement aux enjeux suivants : 1) sécurité numérique ; 2) respect de la vie privée et 3) protection des consommateurs. Les risques numériques à prendre en compte pour la protection de la propriété intellectuelle ou d’autres risques auxquels les entreprises doivent faire face, comme les risques de verrouillage technologique ou ceux liés aux investissements dans les technologies de l’information et des communications (TIC), sortent du cadre du présent chapitre. Celui-ci est organisé de la façon suivante :

La première section montre que les inquiétudes qui minent la confiance, en particulier celles qui concernent les risques d’atteinte à la vie privée et de sécurité numérique, font souvent obstacle à l’adoption des technologies et applications numériques, comme l’infonuagique, le commerce électronique et les services publics en ligne destinés à la fois aux particuliers (y compris aux consommateurs) et aux entreprises (notamment aux PME).
La deuxième section analyse ensuite l’évolution des incidents qui constituent des atteintes à la sécurité numérique et à la vie privée, et celle de la fraude en ligne, ainsi que leurs effets sur le plan social et économique. Elle examine parallèlement dans quelle mesure les inquiétudes mises en évidence à la section précédente sont justifiées.
La troisième section étudie les tendances concernant la façon d’instaurer et de renforcer des relations de confiance, du point de vue des individus (y compris des consommateurs) et des entreprises. Ces moyens peuvent être, par exemple, des avis publiés en ligne de façon transparente, pour les consommateurs, ou des pratiques de gestion du risque, pour les entreprises. En revanche, cette section n’aborde pas le rôle des politiques publiques visant à améliorer la confiance dans l’économie numérique, qui est examiné au Chapter 2.

Les principales constatations de ce chapitre indiquent que l’intensité croissante de l’utilisation des TIC est source de risques accrus pour les entreprises et les particuliers sur le plan de la sécurité numérique et du respect de la vie privée. Les PME, en particulier, doivent adopter des pratiques de gestion du risque de sécurité numérique ou renforcer celles déjà en place. Dans le même temps, les inquiétudes des consommateurs quant au respect de leur vie privée viennent s’ajouter aux craintes qu’ils nourrissaient déjà à propos de la cyberfraude, des mécanismes de recours et de la qualité des produits vendus en ligne, ce qui pourrait limiter la confiance et ralentir la croissance du commerce électronique entre entreprises et consommateurs (B2C). Plus généralement, les préoccupations relatives à la sécurité numérique et au respect de la vie privée freinent l’adoption des TIC et réduisent les débouchés commerciaux qu’offrent ces technologies. Enfin, les nouveaux marchés des plateformes mettant en relation les particuliers créent des problèmes de confiance, mais ouvrent aussi des possibilités d’y remédier.

Rôle des risques numériques et de la confiance dans l’adoption des technologies et applications numériques

La progression continue de l’accès des consommateurs et des entreprises à l’internet haut débit, en particulier au moyen des appareils mobiles et de leurs applications, a ouvert de nouveaux débouchés. Ainsi, on observe une nette progression de l’utilisation de services infonuagiques parmi les internautes (Chapter 4). La proportion d’individus qui utilisent les services de l’administration électronique (c’est-à-dire qui visitent les sites mis en place par les pouvoirs publics ou interagissent avec ceux-ci en ligne) a également augmenté ces dernières années. Quant au commerce électronique, il n’a cessé de progresser avec l’utilisation de l’internet (OCDE, 2014), et ce, plus rapidement que l’ensemble du commerce de détail (Box 6.1).

Encadré 6.1. Évolution du commerce électronique entre entreprises et consommateurs

De 2013 à 2018, la part de la région Asie et Océanie dans l’ensemble du commerce électronique entre entreprises et consommateurs (B2C) devrait passer de 28 % à 37 %, et la République populaire de Chine (ci-après « la Chine ») apparaît déjà comme le plus vaste marché mondial de commerce électronique B2C. La pénétration des cartes de crédit est un facteur essentiel du succès de ce mode d’échange, en particulier dans les pays en développement et parmi la jeune génération (CNUCED, 2015 ; 2016). De façon plus générale, l’innovation sur le marché du commerce électronique fournit désormais aux consommateurs un meilleur accès à une gamme plus vaste de biens et de services à un prix compétitif, un accès plus large à des contenus matériels et numériques, des mécanismes de paiement aisés à utiliser et plus sûrs, et un nombre croissant de plateformes facilitant les transactions entre consommateurs.

Dans les pays de l’OCDE, le commerce électronique B2C a crû de façon continue, et plus rapidement que l’ensemble du commerce de détail. Des chiffres récents publiés pour les États-Unis montrent une augmentation annuelle de 15.8 % pour le premier, contre 2.3 % pour le second. Les ventes par internet y représentent aujourd’hui 8.1 % de l’ensemble des ventes au détail (US Department of Commerce, 2016) ; huit Américains sur dix font des achats en ligne, et ils sont 15 % à le faire à une fréquence hebdomadaire (Smith et Anderson, 2016). Dans l’Union européenne (UE), la proportion d’individus ayant commandé des biens ou des services en ligne est passée de 30 % en 2007 à 53 % en 2015, dépassant les cibles visées par l’UE elle-même (CE, 2015a). Le Tableau de bord de l’UE pour 2015 indique que les raisons les plus fréquemment avancées pour faire ses achats en ligne sont la commodité, le prix et le choix. Quelque 49 % des consommateurs interrogés ont indiqué qu’ils appréciaient de pouvoir faire leurs achats à n’importe quelle heure, tandis que 42 % ont souligné le temps économisé grâce à ce mode d’achat. Sur la question du prix, 49 % ont déclaré trouver des produits moins chers en ligne, tandis que 37 % citaient la facilité avec laquelle il est possible de comparer les prix sur le web. Les avantages en matière de choix comprenaient à la fois la gamme des biens et des services disponibles et le fait que certains produits sont proposés uniquement en ligne. Les autres raisons mentionnées dans l’enquête concernaient l’information : possibilité de trouver des avis de consommateurs (21 %), de comparer facilement les produits (20 %), de trouver aisément davantage d’information (18 %) et de se faire livrer à l’endroit le plus commode (24 %), notamment. Dans le cas de transactions transnationales, il semble que les principales raisons d’acheter en ligne aient trait à la qualité et au choix (Commission européenne, 2015a).

Certaines données fournies par l’Administration du commerce international (International Trade Administration) des États-Unis font ressortir des différences régionales dans les tendances du commerce électronique. D’après une étude de Morgan Stanley, 41 % des internautes qui achètent en ligne aux États-Unis le font en raison de prix plus bas, alors que la proportion est de 49 % à l’échelle mondiale. Autre exemple, la capacité de comparer facilement les prix : 25 % des personnes interrogées aux États-Unis avancent cet argument, contre 32 % au niveau mondial. La proportion de personnes qui achètent dans un autre pays des produits non disponibles dans le leur est similaire dans les économies émergentes, en Europe et dans la région Amériques et Asie-Pacifique (74 %, 74 % et 72 % respectivement), mais elle varie grandement si l’on considère la recherche de produits de meilleure qualité à l’étranger (49 % dans les économies émergentes, 8 % en Europe et 15 % pour la région Amériques et Asie-Pacifique) (US International Trade Administration, 2016).

Les types de biens et de services achetés en ligne par les consommateurs sont de plus en plus variés. En Australie, les secteurs industriels les plus couramment concernés par les achats en ligne sont les biens électroniques/électriques ; l’habillement, les chaussures, les cosmétiques et autres produits de soin personnel ; les chèques cadeaux et les services de voyage et de divertissement (Australian Government, 2016). Dans l’Union européenne, les vêtements et les articles de sport (60 % au total et 67 % pour les 16-24 ans) sont les biens les plus couramment achetés en ligne, suivis par les voyages et logements de vacances (52 %), les produits ménagers (41 %), les billets pour manifestations diverses (37 %), et les livres, magazines et journaux (33 %). Une grande proportion des 16-24 ans achètent également des logiciels de jeux et autres logiciels et mises à niveau (26 %), ainsi que du matériel d’apprentissage électronique (8 %) (CE, 2015a), ce qui porte à croire que le commerce électronique comprend désormais les contenus numériques.

L’utilisation des technologies numériques varie néanmoins dans une très large mesure selon les individus et les entreprises, et selon les pays, notamment lorsque l’on considère les plateformes les plus avancées (Chapter 4 ; OCDE, 2016b). La majorité des individus et des entreprises emploient encore ces technologies pour des applications assez simples, comme la messagerie électronique et la recherche documentaire sur les sites web. L’adoption du commerce électronique, par exemple, demeure inférieure à ce qu’elle pourrait être, bien que cette forme de commerce progresse à un rythme nettement plus soutenu que les ventes au détail prises globalement. En moyenne, la part des ventes en ligne représente 18 % seulement du chiffre d’affaires total dans les pays déclarants, et une proportion pouvant atteindre 90 % de la valeur du commerce électronique provient de transactions entre entreprises exécutées par l’intermédiaire d’applications d’échange électronique de données (Chapter 4)2 . En outre, 57 % seulement des internautes des pays de l’OCDE ont déclaré utiliser l’internet pour commander des produits en ligne et 22 % pour vendre des produits en ligne, des chiffres que l’on peut comparer à la part des internautes déclarant utiliser l’internet pour échanger des courriels (90 %) ou rechercher des informations sur des biens et services (80 %)3 . De même, si plus de 90 % des entreprises sont connectées à l’internet et près de 80 % ont un site web, elles ne sont que 40 % à utiliser les technologies numériques pour acheter des produits et sont encore moins nombreuses (20 %) à vendre des produits en ligne.

Le commerce électronique n’est pas une exception. L’adoption d’autres technologies et applications numériques demeure particulièrement faible, en particulier pour ce qui concerne les particuliers et les PME. Ainsi, l’adoption des services d’administration électronique varie grandement d’un pays à l’autre. Plus important, la part des individus utilisant des formulaires électroniques (au lieu de simplement télécharger des informations fournies par le secteur public) reste particulièrement basse, puisqu’elle ne représente que 35 % des internautes de la zone OCDE en 2016. Parallèlement, de nombreuses entreprises, et en particulier des PME, sont encore en retard dans l’adoption de technologies et d’applications numériques plus avancées telles que l’infonuagique, la gestion de la chaîne logistique, les progiciels de gestion intégrés et la radio-identification. Ainsi, 20 % seulement des entreprises avaient adopté l’infonuagique en 2016 et moins de 10 % s’étaient engagées dans l’analytique de données massives, malgré les possibilités d’amélioration de la productivité qu’offrent ces technologies (Chapter 4).

Tout indique que les risques numériques suscitent de plus en plus d’inquiétudes chez les internautes (les individus comme les entreprises, et notamment les PME) et que ces inquiétudes pourraient s’être muées en une sérieuse entrave à l’adoption des technologies et des applications numériques. Une enquête CIGI-Ipsos sur la sécurité en ligne et la confiance à l’égard de l’internet, réalisée en 2014 auprès des internautes de 24 pays, constate que 64 % des répondants sont plus préoccupés par la protection de leur vie privée qu’ils ne l’étaient l’année précédente. Dans un rapport Eurobaromètre spécial de 2014 sur la cybersécurité, les consommateurs de l’Union européenne (UE) qui utilisent l’internet pour leurs achats indiquent que l’utilisation abusive des données à caractère personnel et la sécurité des paiements en ligne sont leurs deux préoccupations principales (CE, 2015b). Le degré de préoccupation s’est accru dans ces deux domaines depuis 2013 : la proportion de personnes exprimant leur crainte d’une utilisation abusive de leurs données personnelles a augmenté de 37 % à 43 % et celle des personnes se déclarant préoccupées par la sécurité en ligne est passée de 35 % à 42 %.

La faible adoption de certaines technologies et applications numériques ne s’explique pas uniquement par un manque de confiance. D’autres facteurs entrent en jeu, le plus important étant l’écart dû au niveau d’instruction (OCDE, 2014 ; 2016c). Alors que les personnes ayant fait des études supérieures pratiquent en moyenne plus de sept activités par le biais de l’internet, ce chiffre tombe à moins de cinq pour les internautes dont le niveau d’études ne dépasse pas le premier cycle du secondaire (OCDE, 2014). La situation est similaire pour les entreprises, pour lesquelles le manque de compétences sur le marché du travail est l’un des principaux obstacles à l’adoption des technologies numériques (OCDE, 2016c). Il est à noter toutefois que les applications dont l’adoption est lente sont, dans une large mesure, celles auxquelles sont associés les risques les plus élevés pour les individus, pour les entreprises ou pour les deux. Elles impliquent généralement la collecte à grande échelle et le traitement de données personnelles, notamment des données financières (commerce électronique, par exemple), ou peuvent conduire à un haut niveau de dépendance (infonuagique, par exemple).

Les sections qui suivent présentent les éléments probants disponibles qui indiquent dans quelle mesure le manque de confiance – et notamment les inquiétudes quant à la sécurité et au respect de la vie privée – est préoccupant et constitue un obstacle potentiel à l’adoption des technologies numériques par les particuliers et les entreprises.

Les inquiétudes quant à la sécurité numérique et au respect de la vie privée peuvent empêcher les consommateurs d’effectuer des opérations en ligne

Les risques numériques et le manque de confiance sont souvent cités comme les raisons les plus courantes pour lesquelles des individus (consommateurs) ayant accès à l’internet n’utilisent pas certaines technologies et applications numériques et n’effectuent pas d’opérations en ligne. Les craintes portent notamment sur le risque croissant de cyberfraude et l’utilisation abusive des données personnelles ainsi que sur la complexité grandissante des opérations en ligne, et des modalités et conditions qui s’y rapportent. La situation est encore aggravée par les incertitudes qui pèsent sur les mécanismes de recours disponibles en cas de problème sur un achat en ligne. Ces questions sont examinées en détail dans les sections qui suivent.

Les individus sont de plus en plus préoccupés par la sécurité numérique et le respect de leur vie privée, mais la situation varie largement selon les pays et selon les technologies et applications numériques concernées

La sécurité numérique et la protection de la vie privée font partie des questions les plus délicates soulevées par les services numériques, y compris le commerce électronique. Les internautes accordent une très grande importance à la question de la sécurité, en particulier lorsqu’il existe un risque notable de violation des données personnelles et d’usurpation d’identité. Les inquiétudes portent donc sur la profusion de données personnelles générée par les activités en ligne, qui certes permet aux organisations de dresser des profils détaillés des usagers, mais crée aussi des risques, que ce soit pour les individus ou pour les organisations. D’après les enquêtes Eurobaromètre spéciales (CE, 2015c ; 2013), par exemple, la principale crainte des internautes qui effectuent des achats ou des opérations bancaires en ligne est que quelqu’un s’empare ou fasse un usage abusif de leurs données personnelles (cité par 43 % des internautes de l’Union européenne, contre 37 % l’année précédente), cette crainte surpassant celle liée à la sécurité des paiements en ligne (42 %, contre 35 % l’année précédente). Ce résultat va dans le sens de l’observation selon laquelle 70 % environ des internautes en Europe redoutent toujours que leurs données personnelles en ligne ne soient pas conservées de façon sûre par les sites web. Cela étant, les inquiétudes des individus en matière de sécurité ne se limitent pas à la confidentialité de leurs données personnelles. Elles portent aussi souvent sur la disponibilité des services numériques. Ainsi, en 2014, la moitié environ des internautes européens craignaient de ne pas pouvoir accéder aux services en ligne en raison d’incidents de sécurité numérique (contre 37 % l’année précédente).

Les inquiétudes à propos de l’utilisation abusive des données personnelles ne s’arrêtent pas aux questions de sécurité (violation des données personnelles, par exemple), mais s’étendent aussi à la perte de contrôle de ces données. D’après un sondage de 2014 du Pew Research Center, par exemple, 91 % des Américains sont d’accord avec l’idée que les consommateurs ont perdu le contrôle de leurs informations et données personnelles (Madden, 2014). Pas moins de 88 % des personnes interrogées sont « d’accord » ou « tout à fait d’accord » pour dire qu’il est devenu très difficile de supprimer des informations en ligne erronées les concernant. La part des utilisateurs de sites de réseaux sociaux aux États-Unis qui s’inquiètent d’un accès possible d’entreprises ou de services gouvernementaux à leurs données est estimée à 80 % et 70 % respectivement. Cela étant, 55 % des personnes interrogées sont « d’accord » ou « tout à fait d’accord » avec l’affirmation suivante : « J’accepte de partager certaines informations me concernant avec des entreprises pour utiliser gratuitement des services en ligne » (Madden, 2014). De la même manière, dans l’Union européenne, « deux tiers (67 %) des répondants s’inquiètent de ne pas avoir le contrôle total des informations qu’ils fournissent en ligne » (CE, 2015b). Plus de la moitié (56 %) indiquent qu’il est très important que les outils de suivi de leurs activités en ligne ne soient utilisés qu’avec leur permission. Parallèlement, « sept personnes sur dix environ s’inquiètent d’une utilisation de leurs informations à des fins différentes de celles pour lesquelles celles-ci avaient été collectées ». Dans l’Union européenne, en 2016, plus de 60 % de l’ensemble des individus étaient préoccupés par le fait que l’on enregistre leurs activités en ligne pour pouvoir leur proposer des publicités ciblées (Figure 6.1). En Allemagne, en France et au Danemark, cette proportion était encore plus élevée : 82 %, 70 % et 68 %, respectivement.

L’inquiétude des consommateurs pourrait inciter ceux-ci à modifier leur comportement en ligne, ce qui pourrait freiner l’adoption des services numériques

L’inquiétude des internautes pour leur vie privée et leur sécurité numérique les a rendus plus réticents à communiquer leurs données personnelles, et parfois même à utiliser les services numériques. Aujourd’hui, par exemple, 34 % des internautes de l’Union européenne déclarent être moins susceptibles de donner des informations personnelles sur les sites web. Six répondants sur dix ont déjà changé les paramètres de confidentialité de leur navigateur (contre trois sur dix en 2013 ; voir OCDE, 2014). Plus d’un tiers (37 %) utilise un logiciel qui les protège contre l’affichage de publicités en ligne et plus d’un quart (27 %), un logiciel qui empêche le suivi de leurs activités en ligne. Au total, 65 % des répondants ont pris au moins une de ces mesures. Les individus sont également plus exigeants sur le niveau de sécurité des services numériques qu’ils utilisent. Une enquête auprès des particuliers dans l’UE montre que « plus de sept personnes interrogées sur dix (72 %) déclarent qu’il est très important que la confidentialité de leurs courriels et de leurs messages instantanés soit garantie » et « près de deux tiers des répondants (65 %) sont tout à fait d’accord pour dire qu’ils devraient pouvoir crypter leurs messages et leurs appels, de façon que ceux-ci ne puissent être lus que par le destinataire » (CE, 2016b). Ce changement de comportement est confirmé par une étude menée en 2014 sur 24 000 utilisateurs dans 24 pays et commandée par le CIGI, étude qui fait apparaître que 17 % seulement des utilisateurs déclarent ne pas avoir changé leur comportement en ligne ces dernières années. Les autres témoignent de divers changements de comportement, qui peuvent aller d’une utilisation moins fréquente de l’internet (11 %) à une réduction du nombre d’achats et d’opérations financières effectués en ligne (25 % environ dans les deux cas). La fréquence croissante des violations de données peut être considérée comme un facteur déterminant, mais d’aucuns font observer que « certains utilisateurs pourraient être préoccupés par d’autres facteurs, comme la surveillance tentaculaire dont ils font l’objet et la façon dont leurs données sont collectées et utilisées par les entreprises » (Internet Society, 2016).

À mesure que croît l’inquiétude à propos de la sécurité numérique et du respect de la vie privée, certains individus commencent à éviter d’utiliser les services numériques. Le changement de comportement des consommateurs en réaction aux questions de sécurité numérique et de respect de la vie privée pourrait avoir une incidence défavorable sur le commerce électronique B2C. De fait, les données recueillies confirment que de nombreux consommateurs demeurent réticents à acheter en ligne pour ces raisons (OCDE, 2014). Les motifs exacts varient toutefois considérablement, même lorsqu’on ne considère que les problèmes de confiance. Certains déclarent redouter une utilisation abusive de leurs données personnelles et des paiements en ligne mal sécurisés ; dans de nombreux cas, en outre, l’usurpation d’identité représente une source d’inquiétude majeure. Parmi les internautes européens, par exemple, en 2015, près de la moitié s’abstenaient d’effectuer certaines activités en ligne parce qu’ils redoutaient des problèmes de sécurité (Figure 6.2). Les activités les plus fréquemment concernées étaient associées au risque d’utilisation abusive des données personnelles et de pertes économiques, du fait d’une usurpation d’identité par exemple. Cela comprenait (par ordre d’importance) : la communication d’informations personnelles aux communautés en ligne des réseaux sociaux et professionnels (presque 30 % des internautes), la banque en ligne et le commerce électronique (20 % environ des internautes pour ces deux activités)4 . Si l’on ajoute à cela les inquiétudes quant au respect de la vie privée, la proportion est plus élevée. En 2015, un quart des internautes de l’UE citaient les problèmes de protection de la vie privée et de sécurité comme principale raison de leur refus d’acheter en ligne. En 2014, toujours dans l’Union européenne, près de 15 % de toutes les personnes n’utilisaient pas l’infonuagique pour ces mêmes raisons (Figure 6.3). En Allemagne, en Autriche, en France, au Luxembourg, en Norvège, aux Pays-Bas, en Slovénie et en Suisse, la proportion peut s’élever à 20 % ou 25 %. Aux États-Unis, l’enquête de 2015 du Bureau du recensement (US Census Bureau) indiquait que 63 % des ménages utilisant l’internet redoutaient une usurpation d’identité et que 35 % d’entre eux s’étaient abstenus d’effectuer des opérations financières en ligne durant l’année précédant l’enquête. De même, sur les 45 % de ménages connectés redoutant une utilisation frauduleuse de leur carte de crédit ou de leur compte bancaire en ligne, 33 % se refusaient à acheter des biens ou des services sur l’internet (NTIA, 2016), soit l’équivalent de 15 % des ménages connectés. Étant donné les grandes différences de perception des risques d’atteinte à la sécurité et à la vie privée entre des pays présentant des niveaux analogues de répression des infractions et de compétences technologiques, il semblerait que les attitudes culturelles à l’égard des opérations effectuées en ligne jouent en rôle essentiel.

Le manque de confiance à l’égard des entreprises de l’internet et des services numériques n’est toutefois pas nécessairement synonyme d’obstacle à l’adoption de ces services. S’il est vrai qu’une majorité de personnes peuvent ne pas se sentir très à l’aise à l’idée que les entreprises de l’internet se servent d’informations sur leur activité en ligne pour moduler les publicités à afficher, ou peuvent s’inquiéter de l’enregistrement de leurs activités à travers les cartes de paiement et les téléphones portables, une grande majorité d’individus pourraient toutefois accepter cette situation. Dans l’Union européenne, par exemple, la question de la protection de la vie privée préoccupe plus de la moitié des individus, mais « une large majorité de personnes (71 %) affirment quand même que la communication d’informations personnelles fait de plus en plus partie de la vie moderne et acceptent l’idée qu’il n’existe pas d’autre solution que de fournir ces informations si l’on veut obtenir des produits ou des services » (CE, 2015b). Parallèlement, l’enquête constate également que « plus de six répondants sur dix disent ne pas faire confiance aux compagnies de téléphonie fixe ou mobile ni aux fournisseurs d’accès à l’internet (FAI) (62 %) pas plus qu’aux entreprises en ligne (63 %) ». Pourtant, la part des ménages européens sans accès à l’internet qui donnent pour principale raison de leur absence de connexion leur inquiétude quant au respect de la vie privée ou à la sécurité est faible, quoiqu’en augmentation, de 5 % en 2008 à 9 % en 20165 . Notons toutefois que la proportion de cette catégorie de personnes a également augmenté aux États-Unis (de 1 point de pourcentage par rapport à 2009), bien que partant d’un niveau encore plus faible (1.4 % de l’ensemble des ménages en 2015). La même tendance est sensible au Brésil, où la part des ménages sans connexion internet citant le respect de la vie privée et la sécurité comme principale raison de leur choix a augmenté et atteint 12 %6 .

L’incertitude qui entoure les mécanismes de recours et la qualité des produits vendus en ligne pourrait également ralentir la croissance du commerce électronique entre entreprises et consommateurs

Pour les consommateurs d’aujourd’hui, la complexité croissante de l’environnement en ligne et l’émergence de nouveaux modèles économiques dans le commerce électronique présentent autant de difficultés que de possibilités. Dans sa révision de 2016 de la Recommandation du Conseil sur la protection du consommateur dans le commerce électronique (OCDE, 2016d), le Comité de la politique à l’égard des consommateurs de l’OCDE a recensé un certain nombre d’évolutions clés du commerce électronique qui constituent des défis pour les consommateurs. Il s’agit notamment de la progression des mécanismes de paiement non traditionnels, comme l’imputation sur la facture de téléphonie mobile ou les cartes à prépaiement ; les nouveaux types de produits de contenu numérique tels que les applications mobiles (applis) ou les livres électroniques ; et les nouveaux types de modèles économiques en ligne, comme ceux qui impliquent la facilitation de transactions entre consommateurs ou entre particuliers au moyen de plateformes en ligne et ceux qui proposent des biens et services « gratuits » moyennant la communication de données personnelles.

La propension des consommateurs à effectuer des opérations en ligne au niveau national ou international peut être encouragée ou freinée non seulement par les avantages et les risques que ces consommateurs attribuent au commerce électronique, mais aussi par leur sensibilisation à leurs droits fondamentaux en ligne et par leur capacité à demander réparation si ces droits ne sont pas respectés. Lorsqu’on a demandé aux consommateurs australiens s’ils estimaient avoir les mêmes droits lors d’achats en ligne que lors d’achats en magasin, plus d’un tiers des répondants ont dit qu’ils ne pensaient pas avoir les mêmes droits en ligne ou qu’ils n’étaient pas sûrs de connaître la réponse. Parmi les problèmes qui se posaient effectivement aux consommateurs australiens, 23 % étaient liés à des achats en ligne (Australian Government, 2016). Certaines études semblent indiquer que la connaissance des droits des consommateurs augmente avec l’âge : ainsi, les consommateurs italiens de plus de 54 ans sont plus au fait de leurs droits et sont aussi plus actifs et plus compétents que ceux de la tranche 15-24 ans (CE, 2016a). Les inquiétudes mentionnées par les consommateurs de l’UE dépassaient la protection et la sécurité des données puisqu’un quart d’entre eux environ ont dit redouter que leurs droits ne soient pas respectés dans les procédures permettant d’obtenir réparation en cas de problèmes avec les produits. En outre, 19 % des consommateurs de l’UE interrogés se sont dits préoccupés par le risque d’acheter des produits dangereux ou contrefaits (CE, 2015a).

Les agences chargées de faire respecter les mesures de protection des consommateurs sont une source essentielle d’informations sur les problèmes auxquels ces derniers doivent faire face en ligne. Elles coopèrent au sein du Réseau international de contrôle et de protection des consommateurs (RICPC) dans lequel plus de 60 pays sont représentés. En 2015, les membres du RICPC ont reconnu que l’un des principaux problèmes rencontrés par les consommateurs en ligne était la communication d’informations tarifaires mensongères et insuffisantes. À l’occasion d’une opération de ratissage coordonnée à l’échelle internationale sur le web portant sur les pratiques de tarification en ligne dans les voyages et le tourisme, les membres du RICPC ont recensé des agissements mensongers ou trompeurs tels que la pratique des majorations furtives, qui consiste à retarder la communication complète et définitive du prix, des commissions et des modalités aux consommateurs ; les fausses allégations quant aux prix de référence et au meilleur prix ; les remises et rabais inexistants, et les informations à validité éphémère ; et le manque d’information sur les conditions d’annulation et de remboursement.

Le grand nombre de produits dangereux proposé par le commerce électronique est un autre facteur de détérioration de la confiance des consommateurs dans un contexte mondial, comme l’a révélé l’investigation surprise sur la sécurité des produits vendus en ligne menée en avril 2015 par l’OCDE et coordonnée par la Commission australienne de la concurrence et de la consommation (Australian Competition and Consumer Commission, ACCC). À cette occasion, les autorités chargées de la sécurité des produits de 25 pays ont inspecté 3 catégories de biens qui avaient été identifiés dans leur pays comme : 1) interdits ou ayant fait l’objet d’un rappel ; 2) comportant un étiquetage et des mises en garde de sécurité insuffisants ; et 3) ne répondant pas aux normes de sécurité facultatives ou obligatoires (OCDE, 2016e).

Après avoir inspecté presque 700 produits interdits ou ayant fait l’objet d’un rappel, on a pu constater que 68 % d’entre eux étaient disponibles à la vente en ligne. Sur les 880 produits qui ont été inspectés afin d’y détecter un étiquetage et des mises en garde de sécurité insuffisants, 57 % manquaient d’un étiquetage adapté sur les sites marchands et 22 % présentaient des informations incomplètes. Enfin, sur les 136 produits inspectés à la recherche de produits entrant dans la catégorie 3, une petite majorité n’était effectivement pas conforme aux normes de sécurité facultatives ou obligatoires applicables. Cette investigation surprise fait apparaître un problème crucial, à savoir la part des produits dangereux achetés en ligne depuis l’étranger : les produits interdits dans un pays pour des questions de sécurité sont accessibles aux acheteurs d’un autre pays, ignorants de l’interdiction. Autre exemple, les étiquettes et les avertissements exprimés dans une langue étrangère, ou les produits ne répondant pas aux normes de sécurité facultatives ou obligatoires, plus fréquents dans un contexte transnational (OCDE, 2016e).

Les débouchés commerciaux manqués par crainte des risques de sécurité numérique demeurent importants

Les enquêtes actuelles sur la diffusion des outils et des activités des TIC dans les entreprises indiquent que les sociétés, et en particulier les PME, ne tirent pas pleinement parti des débouchés commerciaux qu’offre l’environnement en ligne. Les raisons avancées pour expliquer cela sont les problèmes techniques liés à l’utilisation des technologies numériques, comme la réorganisation des processus et des systèmes de l’entreprise ; les compétences, et notamment le manque de connaissances ou de capacités spécialisées ; et, de plus en plus fréquemment, les questions de confiance. Les PME en particulier, qui constituent, et de loin, la plus grande part des entreprises dans les pays de l’OCDE, n’ont toujours pas pleinement confiance dans les solutions numériques qu’on leur propose. À la base de ces inquiétudes se trouvent, entre autres, la perte de la confiance des clients, l’atteinte à la réputation et la baisse du chiffre d’affaires qui pourraient résulter d’un incident de sécurité numérique. Les sections qui suivent abordent plus en détail les grands problèmes de confiance liés aux inquiétudes quant à la sécurité numérique que suscite l’utilisation accrue de services en ligne externes.

Le risque de sécurité numérique est devenu une préoccupation pour les organisations de tous types

Les entreprises reconnaissent que les technologies numériques sont essentielles pour une plus grande productivité, mais la plupart d’entre elles se disent très préoccupées par le risque de sécurité, ce qui rend l’adoption délicate. Les inquiétudes liées à la sécurité numérique varient selon la taille de l’entreprise et le pays, et vont aussi dépendre des technologies et applications numériques, les plus avancées suscitant les craintes les plus vives. L’adoption du commerce électronique, par exemple, et en particulier du commerce électronique mobile, demeure inférieure à son potentiel, et les inquiétudes liées à la sécurité sont fréquemment citées comme un obstacle par une part significative des entreprises. D’après les données d’Eurostat, par exemple, plus d’un tiers de toutes les entreprises ont déclaré que les risques associés à la sécurité avaient empêché ou limité leur utilisation de l’internet mobile en 2013, alors que, pour près d’un tiers d’entre elles, cette connexion mobile à l’internet était nécessaire à leur fonctionnement. En Finlande, en France et au Luxembourg, plus de 50 % de toutes les entreprises n’utilisent pas l’internet mobile autant qu’elles le pourraient pour des raisons de sécurité alors même, comme c’est le cas pour la Finlande, que plus d’un tiers de l’ensemble des entreprises auraient besoin d’une connexion mobile pour leur fonctionnement.

Le fait que les problèmes de confiance sont devenus un obstacle à l’adoption est encore plus flagrant dans le cas de l’infonuagique. Dans la zone OCDE, 20 % seulement des entreprises avaient utilisé l’infonuagique en 2014, les PME marquant une réticence plus forte que les grandes entreprises (40 % des entreprises employant 250 personnes ou plus, contre 20 % de celles employant de 10 à 49 personnes). Dans certains pays, cet écart entre petites et grandes entreprises est considérable. Au Royaume-Uni, par exemple, 21 % des petites entreprises (employant de 10 à 49 personnes) utilisent des services infonuagiques, contre 54 % des plus grandes entreprises. Une fracture similaire s’observe dans d’autres pays (voir le Chapter 4). Le risque de violation de la sécurité est perçu par les entreprises comme un obstacle majeur à l’adoption de l’infonuagique. Près de 30 % de l’ensemble des entreprises de l’Union européenne n’utilisent pas l’infonuagique en raison de craintes liées à la sécurité. La proportion varie de presque 45 % en Autriche, en Hongrie, au Luxembourg et au Portugal à une valeur comprise entre 10 % et 15 % dans les pays nordiques (Danemark, Finlande, Irlande, Islande, Norvège et Suède), qui sont aussi ceux où le taux d’adoption de l’infonuagique est le plus élevé de la zone OCDE (Figure 6.4).

La perte du contrôle des données est perçue comme un risque numérique majeur par les entreprises qui envisagent d’utiliser des services basés sur l’internet

Dans une enquête explorant le point de vue des PME européennes sur l’infonuagique, la sécurité des données de l’entreprise et la perte de contrôle possible se classaient très haut dans la liste des inquiétudes des dirigeants (ENISA, 2009). Dans le cas de l’infonuagique, la question de la perte de contrôle est partiellement liée à l’incertitude quant au lieu de stockage des données, perçue dans tous les pays comme un obstacle à l’adoption aussi important que le risque de rencontrer des incidents de sécurité (Figure 6.4). Un autre défi de taille s’ajoute à cela, qui tient à l’absence de standards ouverts appropriés et au risque de se retrouver captif d’un fournisseur du fait de l’utilisation de solutions propriétaires : souvent, les applications développées pour une plateforme ne peuvent pas être facilement transférées sur une autre plateforme (OCDE, 2015b).

L’absence de standards ouverts est un problème majeur, en particulier en ce qui concerne le modèle de « plateforme-service » (PaaS) et les services numériques fondés sur ce modèle, car les interfaces de programmation d’application (API) qu’il utilise font généralement l’objet de droits exclusifs. Les applications développées pour une plateforme sont le plus souvent difficiles à faire migrer vers une autre plateforme du nuage. Bien que les données ou les composants d’infrastructure qui rendent l’infonuagique possible (par exemple, les machines virtuelles) puissent aujourd’hui être transférés de certains fournisseurs à d’autres, l’opération nécessite de déplacer d’abord manuellement les données, les logiciels et les composants vers une plateforme qui n’est pas dans le nuage et/ou de les convertir d’un format exclusif dans un autre. Cela veut donc dire qu’une fois qu’une organisation a choisi un prestataire de services, ce choix est verrouillé, tout du moins pour l’instant (OCDE, 2015b). Certains clients ont cité la difficulté de passer d’un prestataire à un autre comme raison majeure de la non-adoption des services d’infonuagique. Presque 30 % de l’ensemble des entreprises de l’Union européenne, par exemple, n’ont pas utilisé l’infonuagique autant qu’elles l’auraient pu en 2014 parce qu’elles avaient le sentiment qu’il leur serait difficile de se désengager ou de changer de prestataire (Figure 6.5). L’autre inquiétude de taille dans ce domaine est que les utilisateurs peuvent devenir extrêmement vulnérables aux augmentations de prix des fournisseurs. Cette préoccupation se justifie d’autant plus qu’il se peut que certains fournisseurs d’infrastructures informatiques observent leurs utilisateurs afin de dégager des profils auxquels ils associeront des prix différenciés, maximisant ainsi leurs profits (OCDE, 2015b). On se reportera à la section ci-après sur l’autonomisation des individus et des entreprises pour voir comment évolue l’utilisation des mécanismes qui permettent aux consommateurs de contrôler leurs données personnelles, et au Chapter 2 pour savoir vers quels types d’initiatives les pouvoirs publics s’orientent en vue de promouvoir la portabilité des données.

Évolution des incidents préjudiciables à la confiance dans l’économie numérique

Les inquiétudes quant aux pertes et dommages possibles liés à l’utilisation des technologies numériques sont bien souvent le résultat d’incidents subis directement ou indirectement par les utilisateurs de ces technologies. Une grande part peut être attribuée à des incidents de sécurité, c’est-à-dire à des atteintes à la confidentialité, à l’intégrité et à la disponibilité7 de l’environnement numérique qui sous-tend les activités sociales et économiques. Dans le même temps, il semble que la technicité, la fréquence et l’ampleur de ces incidents soient en augmentation. Ainsi, une violation de données personnelles8 – plus précisément, une atteinte à la confidentialité de ces données du fait d’activités malveillantes ou d’une perte accidentelle – peut entraîner des pertes économiques importantes pour l’entreprise concernée (perte de compétitivité et de réputation notamment), mais fera aussi un tort certain aux individus victimes de la violation, qui porte atteinte à leur vie privée. D’autres préjudices peuvent aussi s’ensuivre pour ces personnes, tels que ceux qu’entraîne l’usurpation de leur identité.

Cela étant, les pertes et préjudices enregistrés dans l’économie numérique ne sont pas toujours causés par des incidents de sécurité. Ainsi, des individus, y compris des consommateurs, peuvent être victimes d’une violation de leur vie privée en raison d’une utilisation trompeuse, mensongère, frauduleuse ou déloyale de leurs données personnelles par les organisations. Ce pourrait être l’une des raisons du nombre croissant de plaintes déposées auprès des autorités nationales chargées de la protection de la vie privée (hors plaintes relatives à des violations de données personnelles). Le Commissariat à la protection de la vie privée du Canada, par exemple, a accepté 309 plaintes en 2015, soit une augmentation de 49 % par rapport aux 207 enregistrées cinq ans plus tôt9 . Les consommateurs peuvent aussi subir un préjudice important du fait d’informations mensongères ou insuffisantes sur l’entreprise, les produits ou les transactions, ou de la disponibilité en ligne de produits de piètre qualité, voire dangereux, comme nous l’avons souligné précédemment. En outre, les entreprises qui dépendent de l’environnement numérique peuvent subir des pertes et des dommages causés non par des incidents de sécurité, mais par la violation de leurs droits de propriété intellectuelle, et notamment de leurs droits d’auteur, sur des produits mis à disposition au format numérique10 . Parallèlement à ces risques, des interdépendances se nouent, à mesure que l’interconnexion des organisations et des sociétés se densifie, créant un risque systémique plus élevé, et ce, d’autant plus que des infrastructures critiques y sont associées.

La technicité et l’ampleur des incidents de sécurité numérique sont en augmentation

Depuis quelques années, les organisations, petites ou grandes, et les individus semblent en butte à des incidents de sécurité numérique plus fréquents et plus graves (OCDE, 2016f)11 . Ces incidents sont susceptibles de perturber la disponibilité, l’intégrité ou la confidentialité des informations et des systèmes d’information dont les activités économiques et sociales dépendent, et peuvent être intentionnels (c’est-à-dire malveillants) ou involontaires (résulter par exemple d’une catastrophe naturelle, d’une erreur humaine ou d’un dysfonctionnement). D’un point de vue économique et social, ils peuvent avoir une incidence sur la réputation d’une organisation, ses finances et même ses activités physiques, nuisant à sa compétitivité, sapant ses efforts d’innovation et sa place sur le marché.

Les incidents de sécurité numérique prennent des formes variées. Le crime organisé sévit de plus en plus dans l’environnement numérique. À mesure que croît la place du numérique dans l’innovation, l’espionnage industriel dans ce domaine risque de s’intensifier. Certains gouvernements mènent aussi des opérations de renseignement et des offensives en ligne. Parfois, les motifs sont d’ordre politique, et parfois, les attaques sont conçues pour porter atteinte à une organisation ou à une économie. Tel a été le cas, par exemple, de l’attaque qui a ciblé Sony Pictures Entertainment fin 2014 et qui a rendu publics des films qui n’étaient pas encore distribués, des données relatives au personnel, des courriels internes et des informations commerciales sensibles telles que les chiffres de vente et les plans de marketing (BBC, 2015).

Le risque d’incidents de sécurité numérique augmente avec l’intensité d’utilisation des TIC

Sur l’ensemble des enquêtes menées ces dix dernières années, la part des entreprises et des individus interrogés qui déclarent ne pas avoir connu d’incident de sécurité numérique de quelque sorte que ce soit est régulièrement apparue supérieure à la moitié. En revanche, les différences entre pays sont considérables. La proportion des entreprises qui subissent des incidents de sécurité numérique, par exemple, varie d’un tiers environ au Japon et au Portugal à moins de 10 % en Corée, en Hongrie et au Royaume-Uni12 en 2010 ou ultérieurement (Figure 6.6)13 . La situation se présente de façon similaire pour les personnes physiques : dans l’Union européenne, entre 20 % et 30 % de tous les individus ont déclaré avoir subi un incident de sécurité numérique en 2015, contre moins de 5 % au Mexique et en Nouvelle-Zélande (Figure 6.7)14 .

Des données probantes laissent penser que la proportion réelle varie de façon plus significative en fonction de la population visée. Si l’on prend les entreprises qui ont connu un incident, par exemple, le nombre d’incidents détectés augmente avec la taille de l’entreprise. Dans le cas des individus, le taux d’incidents détectés tend à croître avec le niveau d’instruction. L’une des explications pourrait être que les plus grandes entreprises et les individus plus instruits disposent de meilleures capacités de détection. Le taux plus élevé d’incidents dans les grandes entreprises pourrait aussi simplement s’expliquer par le fait que celles-ci possèdent des infrastructures informatiques plus étendues, qui ont donc plus de risques de connaître au moins un incident. De la même manière, les données recueillies montrent que plus les individus sont instruits et plus ils sont susceptibles d’utiliser les technologies et applications numériques de façon intensive (Chapter 4). Or, la probabilité de subir un incident de sécurité numérique augmente avec l’intensité d’utilisation.

Des enquêtes récentes confirment que les grandes entreprises courent un risque plus élevé d’être confrontées à des incidents de sécurité numérique que les petites. L’enquête de 2016 sur les violations de sécurité numérique (Cyber Security Breaches Survey 2016) qui visait en particulier le Royaume-Uni a montré que la proportion d’entreprises ayant connu un incident au cours des 12 mois précédents augmentait avec la taille des entreprises. Alors que 24 % de toutes les entreprises interrogées avaient connu un incident dans les 12 derniers mois, cette proportion variait de 17 % seulement pour les microentreprises à 33 % pour les petites entreprises, 51 % pour les moyennes et 33 % pour les grandes. Cela étant, de nombreuses PME ne sont pas suffisamment sensibilisées aux risques réels de sécurité numérique et aux incidents dont elles pourraient avoir été victimes. L’enquête menée en 2016 par le Ponemon Institute sur l’état de sécurité numérique des petites et moyennes entreprises (2016 State of Cybersecurity in Small and Medium-Sized Businesses), par exemple, a révélé que 55 % des répondants avaient essuyé une cyber-attaque dans les 12 mois précédents, mais que d’autres entreprises interrogées (16 %) n’étaient pas sûres que tel ait été le cas. Il faut donc être prudent dans l’interprétation des statistiques existantes et s’efforcer d’enrichir la base de données factuelles sur la sécurité numérique et le respect de la vie privée.

La fréquence et l’ampleur des incidents de sécurité diffèrent nettement selon le type d’incidents

Les données probantes disponibles indiquent que virus et maliciels demeurent les types d’incidents de sécurité les plus courants15 . Certaines études font également ressortir l’augmentation de ceux liés à l’hameçonnage et à l’ingénierie sociale. D’autres enquêtes montrent que les entreprises qui subissent des attaques par déni de service16 tendent à diminuer en nombre, mais représentent toujours une part notable. Plus important, la technicité et l’ampleur de ce type d’attaques augmentent rapidement, avec un nombre croissant d’incidents fondés sur l’exploitation d’appareils IdO pour générer des flots de paquets et inonder les machines visées (Box 6.2). En 2015, plusieurs attaques avaient utilisé plus de 300 gigabits par seconde (Gbit/s), une autre avait atteint 500 Gbit/s, soit dix fois plus qu’en 2009 (Arbor Networks, 2016). L’année suivante, en 2016, l’attaque la plus importante rapportée a été de 800 Gbit/s, tandis que plusieurs organisations interrogées faisaient état d’attaques comprises entre 500 et 600 Gbit/s (Figure 6.8) (Arbor Networks, 2017). La fraude fait également partie des problèmes signalés, mais davantage par les grandes entreprises que par les petites. Cela étant, il faut noter que tous ces incidents peuvent être étroitement liés. Ainsi, les attaques sur le web, l’hameçonnage ou l’ingénierie sociale et les maliciels plus généralement peuvent être utilisés pour ouvrir un accès à des serveurs ou à des appareils IdO, lesquels peuvent ensuite participer à une attaque par déni de service distribuée.

Encadré 6.2. L’internet des objets va-t-il changer la donne en matière de risque de sécurité numérique ?

L’essor de l’internet des objets (IdO) va probablement s’accompagner d’un accroissement du risque d’incidents numériques, et ce, non seulement parce que les composants de l’IdO peuvent devenir la cible d’incidents de cette nature, entraînant des perturbations dans les systèmes physiques, mais aussi parce que ces mêmes composants peuvent être instrumentalisés pour cibler des systèmes numériques, notamment dans le cadre d’attaques par déni de service distribuées. En 2016, par exemple, des sites internet de premier plan, comme Netflix, Google, Spotify et Twitter, se sont retrouvés inaccessibles, victimes d’attaques par déni de service distribuées utilisant des milliers d’appareils IdO – enregistreurs vidéo numériques et caméras connectées, entre autres – qui avaient été piratés (Hautala, 2016 ; Smith, 2016).

Tout comme les systèmes de commande industriels, l’IdO fait le lien entre les mondes physique et numérique : utilisant différents types de capteurs, les objets connectés collectent, sur le monde physique, des données qui viennent alimenter des applications et des logiciels ; ils peuvent aussi recevoir des données pour agir sur leur environnement par l’intermédiaire d’actionneurs tels que des moteurs, des vannes, des pompes, des dispositifs d’éclairage, etc. Les incidents de sécurité numérique faisant intervenir l’IdO peuvent donc avoir des conséquences physiques : après une violation d’intégrité ou de disponibilité, il peut arriver qu’un véhicule ne réponde plus aux actions du conducteur, qu’une vanne libère trop de fluide, entraînant une augmentation de pression dans un système de chauffage, ou qu’un appareil médical fasse état de données de suivi de patients inexactes ou injecte une dose incorrecte de médicament. Comme c’est déjà le cas pour les systèmes de commande industriels qui fonctionnent depuis longtemps dans certains secteurs, il est possible que des incidents de sécurité numérique touchant des dispositifs IdO entraînent des conséquences physiques telles que des dommages aux personnes ou la désorganisation d’une chaîne logistique. En 2015, par exemple, des chercheurs ont pris le contrôle d’une Jeep Cherokee à distance, sans avoir eu accès au véhicule précédemment. Ils ont ainsi pu agir par voie hertzienne sur l’accélérateur, les freins et le moteur. À la suite de cette expérimentation, Fiat Chrysler a rappelé 1.4 million de véhicules (Greenberg, 2015a ; 2015b).

Il est rare qu’un dispositif IdO forme un module autonome, isolé des autres composants numériques. On doit plutôt considérer tous les composants numériques d’une organisation ou d’un réseau personnel comme interconnectés et interdépendants. Les vulnérabilités ou les incidents qui touchent des parties du système d’information d’une organisation apparemment sans lien avec l’IdO peuvent interférer avec celui-ci, tout comme l’exploitation de composants IdO peut avoir des conséquences sur d’autres parties d’un système. Ainsi, en 2015, une entreprise spécialisée dans la sécurité a fait une enquête sur le système d’information d’un hôpital : des pirates informatiques exploitaient une vulnérabilité d’un analyseur de gaz du sang relié au réseau pour, au final, infecter tous les postes de travail du service informatique de l’établissement (Storm, 2015). Autre exemple, en octobre 2016, des sites web de premier plan, dont Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud et The New York Times, sont restés inaccessibles au public après l’attaque d’une société gérant des parties critiques de l’infrastructure internet. Cette attaque reposait sur des centaines de milliers d’appareils IdO tels que des caméras, des appareils de surveillance des bébés et des routeurs pour la maison sur lesquels les pirates avaient installé un logiciel leur permettant de commander ces dispositifs pour inonder une cible en générant un trafic massif (Perlroth, 2012).

Source: D’après OCDE (2016a), « The Internet of Things: Seizing the benefits and addressing the challenges », https://doi.org/10.1787/5jlwvzz8td0n-en .

Dans l’enquête de l’ICSPA menée en 2012 au Canada, par exemple, la catégorie enregistrant le plus grand nombre moyen d’incidents par entreprise était la catégorie « hameçonnage, harponnage, ingénierie sociale ». Autre exemple, l’enquête menée en 2016 par le Ponemon Institute sur l’état de sécurité numérique des petites et moyennes entreprises a établi que les attaques les plus courantes (pour les PME) étaient les attaques fondées sur le web, l’hameçonnage/l’ingénierie sociale et les maliciels généraux. Quant aux rapports économiques de fin d’année 2014 et 2015 de l’association nationale des petites entreprises (National Small Business Association) (NSBA, 2015 ; 2016), ils indiquaient que la plus forte proportion d’entreprises ayant subi une interruption de service la devait à des incidents de sécurité numérique. L’effet le plus courant de ces incidents, d’après l’étude, était une « interruption du service », aussi bien en 2014 qu’en 2015. Une proportion relativement faible des répondants a signalé des effets évoquant une violation de données (« des données et informations sensibles ont été volées » ou « des informations sur et/ou provenant de mes clients ont été volées ») ou une fraude (« l’attaque a permis aux pirates d’accéder aux comptes bancaires/cartes de crédit de l’entreprise »).

Le coût des incidents de sécurité numérique est important, mais encore difficile à évaluer

Comme nous l’avons noté précédemment, les incidents de sécurité numérique peuvent avoir différents types de conséquences pour les organisations : réputation ternie lorsque la marque est citée, perte de compétitivité si des secrets de fabrique sont dérobés ou perte financière résultant de l’attaque proprement dite (notamment dans les escroqueries très élaborées)17 , d’une perte de chiffre d’affaires, de la désorganisation des opérations (en cas de sabotage, par exemple), du coût de la restauration ou du coût des procédures judiciaires et des amendes18 . Il est difficile d’estimer le coût effectif des incidents : les organisations sont souvent réticentes à confier des informations qui peuvent leur être dommageables, les actifs intellectuels sont difficiles à évaluer et, souvent, les organisations ne signalent même pas les incidents si elles n’ont aucune obligation légale de le faire, comme dans les cas de vol de secrets de fabrique et de sabotage. Il est également difficile d’évaluer le coût de ces incidents en dehors de l’organisation, pour les individus ou la société par exemple. De plus, des incidents différents n’auront pas le même coût. Or, les estimations sont rarement désagrégées par type d’incidents.

Il s’ensuit qu’il n’existe aucune statistique officielle ni source de données ni méthode largement reconnue pour mesurer le coût complet des incidents. Les données recueillies sont donc en grande partie empiriques. Certaines études fournissent des estimations agrégées qui sont intéressantes, mais doivent néanmoins être utilisées avec précaution. On peut ainsi citer l’étude conjointe du Centre d’études stratégiques et internationales des États-Unis (US Center for Strategic and International Studies) (CSIS, 2014) et d’Intel McAfee, qui estime que le coût annuel probable de la cybercriminalité pour l’économie mondiale se situe entre 375 milliards et 575 milliards USD. D’après cette source, le coût de la cybercriminalité irait de 0.02 % du produit intérieur brut au Japon à 1.6 % en Allemagne, et serait de 0.64 % aux États-Unis et de 0.63 % en Chine. D’autres études donnent des estimations au niveau de l’entreprise sur la base d’enquêtes, mais celles-là aussi doivent être considérées avec précaution, car elles n’échappent pas aux problèmes propres aux enquêtes et, en particulier, au biais introduit par la sélection. En outre, le coût estimé sur la base de certaines de ces enquêtes fluctue parfois considérablement au fil des années, du fait de la distribution « à queue épaisse ». Cette caractéristique fait que les coûts moyen ou médian sont difficiles à interpréter, en particulier quand les statistiques sont décomposées par taille d’entreprises ou quand il manque des secteurs. Dans les études NSBA (2015, 2016), par exemple, le coût estimé des incidents de sécurité numérique pour une entreprise moyenne fluctue considérablement d’une année sur l’autre, passant de 8 700 USD en 2013 à 20 750 USD en 2014, puis à 7 115 USD en 2015.

L’enquête sur les violations de sécurité numérique menée en 2016 au Royaume-Uni a constaté que le coût moyen de l’ensemble des violations, en valeur absolue, était plus élevé pour les microentreprises et les petites structures que pour les entreprises de taille moyenne. La moyenne restait assez stable, indiquant qu’une petite proportion d’incidents dans une petite proportion d’entreprises était vraisemblablement responsable d’une large part du coût total (Table 6.1). L’enquête menée en 2016 par le Ponemon Institute sur l’état de sécurité numérique des petites et moyennes entreprises confirme que, de façon générale, les petites entreprises perdent moins que les grandes. Elle montre en particulier que le coût/la perte moyen(ne) associé(e) aux incidents augmente avec la taille de l’entreprise. Il n’en reste pas moins vrai que les conséquences de certains incidents peuvent être plus difficiles à surmonter pour les PME, même si le coût ou la perte qu’ils entraînent est plus faible que ce que les grandes entreprises enregistrent19 . D’après une étude de 2011 citée par la sous-commission Santé et technologie de la commission des petites entreprises à la Chambre des représentants des États-Unis (US House Small Business Subcommittee on Health and Technology), par exemple, 60 % environ des petites entreprises mettent la clé sous la porte dans les six mois qui suivent une attaque de sécurité numérique (Kaiser, 2011).

Tableau 6.1. Coût de l’ensemble des incidents et des incidents les plus perturbateurs subis au cours des 12 derniers mois, Royaume-Uni, 2016
	Toutes les entreprises	Micro/petites	Moyennes	Grandes
Coût de l’ensemble des incidents
Moyenne	3 480	3 100	1 860	36 500
Médiane	200	200	180	1 300
Coût des incidents les plus perturbateurs
Moyenne	2 620	2 300	837	32 300
Médiane	100	100	48	323
Source: UK Department for Culture, Media & Sport (2016), 2016 Cyber Security Breaches Survey.

Les risques d’atteinte à la vie privée s’amplifient avec la collecte de données massives et l’utilisation de l’analytique de données

Un nombre croissant d’entités – commerçants en ligne, FAI, prestataires de services financiers (banques, sociétés de cartes de crédit, etc.) et pouvoirs publics, par exemple – collectent un volume de données personnelles de plus en plus important20 . Cette tendance s’accompagne d’un risque de violation de la vie privée qui croît également. En 2015, 3 % environ de l’ensemble des individus des pays de l’OCDE pour lesquels des données étaient disponibles ont déclaré avoir été victimes d’une violation de leur vie privée dans les trois mois précédents (Figure 6.9). Dans certains pays, cette proportion est beaucoup plus forte, comme en Corée (plus de 7 %), au Chili (presque 6 %) et au Luxembourg (plus de 4 %). Dans de nombreux pays, tels que la Norvège, le Portugal, la Suède et la Turquie, elle a augmenté de façon significative par rapport à 2010. La violation de données personnelles – plus précisément, la violation de la confidentialité de ces données du fait d’activités malveillantes ou d’une perte accidentelle – représente une cause majeure de violation de la vie privée. Cette dernière peut aussi être atteinte par l’extraction d’informations complémentaires obtenues en exploitant les données disponibles pour y détecter des schémas et des corrélations, sachant qu’il n’est pas nécessaire que ces données, pour une grande partie, aient un caractère personnel. Les deux risques, violation de données personnelles et violation de la vie privée résultant d’une utilisation abusive de l’analytique de données massives, sont étudiés plus loin.

Les violations de données personnelles prennent de l’ampleur et retiennent de plus en plus l’attention

Les incidents de sécurité numérique portant atteinte à la confidentialité des données personnelles, couramment désignés par l’expression « violations de données »21 , ont augmenté à mesure que les organisations collectaient et traitaient des volumes plus importants de données personnelles. En 2005, ChoicePoint, une société spécialisée dans le regroupement de données relatives aux consommateurs, a été la cible de l’une des premières violations de données à faire les gros titres, portant sur plus de 150 000 enregistrements personnels22 . Au final, la société a dû s’acquitter de plus de 26 millions USD de frais et d’amendes. En 2007, un géant de la distribution, TJX, a annoncé qu’il avait été victime d’une intrusion dans son système informatique ; celle-ci concernait plus de 45.7 millions de consommateurs et a coûté à la société plus de 250 millions USD. Depuis lors, les violations de données sont presque devenues monnaie courante. D’après une étude commanditée par le gouvernement britannique, 81 % des grandes organisations du Royaume-Uni ont subi une violation de leur sécurité en 2014 (UK Department for Business Innovation and Skills, 2014)23 . Les violations de données ne se limitent pas au secteur privé, comme l’ont montré, en 2015, le vol de plus de 21 millions d’enregistrements, y compris 5.6 millions d’empreintes digitales, conservés par le Bureau de gestion du personnel de l’Administration fédérale des États-Unis (US Office of Personnel Management), ainsi que l’intrusion dont a été victime le Service des pensions au Japon et qui concernait 1.25 million de personnes (Otake, 2015).

Il est difficile d’estimer avec précision le coût total des violations de données personnelles. Comme on l’a expliqué plus haut, les estimations disponibles doivent être utilisées avec précaution, étant donné que toutes les violations ne sont pas détectées et que toutes celles qui le sont ne sont pas entièrement divulguées. L’ordre de grandeur donné par ces estimations incite fortement à croire que les violations de données personnelles font peser sur la société un coût économique certain. Une étude menée au niveau de l’entreprise par le Ponemon Institute indique que le coût total moyen d’un incident de ce type était de 4 millions USD en 2016 (une augmentation de 29 % par rapport à 2013). D’après cette étude, cela correspondrait à un coût moyen de 158 USD par enregistrement perdu, quoique ce chiffre varie considérablement d’un pays et d’un secteur à l’autre. De fait, il a été estimé à 221 USD aux États-Unis et à 61 USD seulement en Inde. Par ailleurs, il atteint généralement un niveau très élevé dans des secteurs particuliers comme la santé ou les transports.

L’élément de coût le plus important pour les entreprises est le plus souvent la perte de chiffre d’affaires, autrement dit : « Cela confirme l’effet d’une violation de données sur la fidélité des consommateurs » (Internet Society, 2016). Vient ensuite le coût de restauration. Sur la base de données empiriques, il apparaît que les actions en justice sont de plus en plus courantes en cas de violation de données. Les émetteurs de cartes de paiement cherchent à faire supporter aux entreprises victimes d’intrusion le coût de l’émission de nouvelles cartes, et les personnes affectées engagent des actions collectives en justice. Les organisations piratées peuvent alors se retrouver à payer des amendes, des frais de justice et des réparations. Aux États-Unis, par exemple, ChoicePoint a déboursé plus de 26 millions USD en frais et amendes à la suite de l’action en justice engagée par la Federal Trade Commission (FTC, 2006). En 2008, une violation des données détenues par l’une des plus grandes sociétés de traitement de cartes de crédit des États-Unis, Heartland Payment Systems, a touché plus de 600 établissements financiers, pour un coût total en amendes et en frais de plus de 12 millions USD (McGlasson, 2009). En 2015, AT&T a accepté de payer 25 millions USD en règlement d’une procédure engagée par la FTC à propos de violations de données ayant touché près de 280 000 clients aux États-Unis (FTC, 2016).

L’analytique de données massives présente de nouveaux risques pour la vie privée des individus

Aujourd’hui, les progrès de l’analytique de données permettent de déduire des informations sensibles à partir de données qui pourraient sembler insignifiantes à première vue, comme les comportements d’achat passés ou la consommation d’électricité d’un individu. Cette capacité accrue de l’analytique de données est illustrée par deux articles de Duhigg (2012) et Hill (2012) respectivement, qui décrivent comment la chaîne de grandes surfaces Target, aux États-Unis, « a deviné qu’une adolescente était enceinte avant que le père de celle-ci ne le découvre » en se fondant sur des signaux bien précis dans l’historique de ses achats24 . L’utilisation abusive de ces indications peut porter atteinte aux valeurs et principes fondamentaux que la protection de la vie privée cherche à promouvoir, comme l’autonomie des individus, l’égalité et la liberté d’expression, et avoir plus largement des répercussions à l’échelle de la société.

Dans certains cas, les données personnelles sont fournies ou divulguées : 1) volontairement, par l’intermédiaire des médias sociaux et de courriels, par exemple ; ou, dans d’autres cas, parce que la divulgation est obligatoire pour obtenir certains services, par exemple ; ou 2) à l’insu de la personne ou sans son consentement, au moyen d’un dispositif de suivi du survol des pages web, par exemple. Dans l’Union européenne, plus de 60 % de l’ensemble des individus ont fourni leurs données personnelles sur l’internet (Figure 6.10). La plupart d’entre eux donnent des éléments permettant de les identifier (nom, date de naissance, numéro de carte d’identité) ainsi que leurs coordonnées, mais un tiers environ de ces personnes ont transmis d’autres informations personnelles, comme des photos, des données de géolocalisation et des renseignements sur leur santé et leur revenu. Les autres données personnelles sont collectées au moyen des capteurs qui équipent les smartphones, les tablettes, les ordinateurs portables, les technologies portables et même les vêtements, les automobiles, les habitations et les bureaux. En outre, de plus en plus souvent, de nouvelles données sont dérivées ou inférées sur la base de corrélations relevées dans les données existantes (Abrams, 2014). Les types de données personnelles collectés et les moyens utilisés pour ce faire peuvent varier d’un secteur à l’autre (Figure 6.11). Les services d’utilité publique, par exemple, auront plutôt tendance à recueillir leurs données massives à l’aide de capteurs et à utiliser les données de géolocalisation des appareils mobiles. Ces derniers sont également mis à contribution dans le secteur des transports. Les données des médias sociaux, quant à elles, sont utilisées en grande partie par les secteurs du logement et de l’alimentation, principalement à des fins commerciales.

En collectant et analysant d’importants volumes de données sur les consommateurs, les entreprises sont à même de prédire des tendances globales, telles que des variations de la demande, et des préférences individuelles, réduisant ainsi au minimum les risques de stock et maximisant le rendement des investissements de marketing. L’observation des comportements individuels permet en outre aux entreprises de comprendre comment améliorer leurs produits et services, ou comment redéfinir ceux-ci, de façon à tirer parti du comportement observé. Ces pratiques peuvent aussi bénéficier aux consommateurs : un marketing ciblé peut leur apporter des informations utiles, puisque les messages publicitaires sont adaptés à leurs centres d’intérêt (Acquisti, 2010). Cependant, cette capacité de profilage des individus pour leur servir des messages et des offres marketing ciblés peut aussi avoir des effets préjudiciables : certains consommateurs ne seront pas nécessairement d’accord avec cette observation de leurs activités en ligne ; ils peuvent se retrouver à payer plus cher du fait d’une différenciation des prix ; ou être manœuvrés et incités à acheter des produits ou des services dont ils n’auraient pas besoin (OCDE, 2015b).

Le risque de cyberfraude augmente avec l’importance du commerce électronique

Les cas de cyberfraude déclarés se sont multipliés et diversifiés dans de nombreux pays. Au Danemark, en France, au Luxembourg, en Norvège et en Suède, par exemple, 2 % environ de l’ensemble des individus ont subi une perte financière due à un paiement frauduleux en ligne au cours du dernier trimestre de 2015, et cette proportion a augmenté par rapport à 2010 dans beaucoup de pays (Figure 6.12). Aux États-Unis uniquement, plus de 3 millions de plaintes (hors démarchage téléphonique indésirable – « do-not-call ») ont été enregistrées dans la base de données Consumer Sentinel Network (CSN) en 2016. Les sous-catégories de plaintes liées à l’utilisation de l’internet qui reviennent le plus fréquemment – et qui gagnent en importance – sont notamment les suivantes : « escroquerie par un imposteur » (13 %), « usurpation d’identité » (13 %) et « services téléphoniques et mobiles » (10 %)25 . Cela étant, le nombre croissant de plaintes déposées n’est que partiellement imputable à des opérations effectuées sur l’internet ; il pourrait aussi résulter d’incidents téléphoniques (hors voix par IP). Des données supplémentaires sont donc nécessaires pour évaluer le phénomène de façon plus approfondie. Il faut noter que les plaintes qui figurent dans la base CSN sont auto-déclarées et non vérifiées, et qu’elles ne représentent pas nécessairement un échantillon aléatoire des préjudices subis par les consommateurs sur tel ou tel marché. Les sections qui suivent présentent l’évolution actuelle de l’usurpation d’identité et des pratiques commerciales frauduleuses et trompeuses.

Comme on l’a souligné précédemment, les violations de données personnelles, en plus d’entraîner des pertes économiques importantes pour les entreprises qui en sont victimes, causent aussi un préjudice aux individus auxquels appartiennent les données compromises, du fait de la violation de leur vie privée. D’autres préjudices peuvent aussi s’ensuivre pour ces personnes, tels que ceux qu’entraîne l’usurpation d’identité. Les données dont on dispose semblent indiquer que les incidents d’usurpation d’identité, en particulier ceux consécutifs à un hameçonnage ou à un clonage de sites, ont augmenté ces dernières années. Sur plus de 3 millions de plaintes reçues par le CSN aux États-Unis en 2016, par exemple, plus de 13 % avaient trait à une usurpation d’identité. Entre 2008 et 2016, le nombre de plaintes pour ce motif a progressé en moyenne de plus de 30 % par an, pour atteindre un pic en 2015, avec plus de 490 000 plaintes26 . Toutes n’étaient cependant pas liées à des activités en ligne : « Les fraudes en matière d’emploi ou d’imposition (34 %) ont été la forme la plus courante d’usurpation d’identité déclarée, suivies des fraudes relatives aux cartes de crédit (33 %), de celles portant sur les services téléphoniques ou autres services publics (13 %) et des fraudes bancaires (12%) » (FTC, 2017). En 2015, on a également observé une forte augmentation de la proportion d’individus ayant subi une perte financière après un hameçonnage ou un clonage de sites dans de nombreux pays de l’OCDE, et principalement en Belgique, au Luxembourg, en Suède, en Norvège, au Danemark et en France (Figure 6.13). Cette proportion n’a diminué de façon significative que dans un petit nombre de pays, comme l’Autriche, l’Italie, l’Irlande et la Lettonie. Un examen plus approfondi est nécessaire pour évaluer dans quelle mesure les politiques publiques ont été déterminantes dans cette baisse.

Les pratiques commerciales frauduleuses et trompeuses peuvent aussi causer un réel préjudice aux consommateurs et réduire leur confiance dans le commerce électronique27 . D’après les données du site econsumer.gov, une initiative du RICPC réunissant 36 pays qui permet aux consommateurs de déposer des plaintes transnationales, les trois premières catégories de plaintes pour 2016 ont été les suivantes : 1) « Ventes à domicile/ventes sur catalogue » ; 2) « Imposture : gouvernements » ; et 3) « Voyages et vacances ». De la même manière, les données disponibles pour l’Union européenne montrent que les consommateurs sont de plus en plus souvent confrontés à des pratiques frauduleuses et trompeuses de cette nature. Les principales difficultés rencontrées lors des achats en ligne dans le groupe de pays UE27, hormis les problèmes techniques, étaient liées à un délai de livraison plus long que celui indiqué. Approximativement 20 % de l’ensemble des consommateurs de l’UE qui achètent en ligne en ont fait l’expérience en 2016 (contre 5 % en 2009). La livraison du mauvais produit ou d’un produit endommagé, une situation rencontrée par 10 % environ de l’ensemble des consommateurs de l’UE en 2016 (contre 4 % environ en 2009), est une autre difficulté majeure. Les autres problèmes, chacun touchant entre 3 % et 6 % de tous les consommateurs de l’UE, sont la fraude, les difficultés à trouver des informations sur les garanties et autres droits reconnus par la loi, des prix plus élevés au final que ceux initialement annoncés et une gestion insatisfaisante des réclamations et des réparations. Tous ces problèmes ont augmenté de façon significative par rapport à 2009.

Instaurer et renforcer la confiance dans l’économie numérique

Si la confiance peut s’effriter au fil du temps lorsqu’elle est abusée, elle peut aussi être instaurée et renforcée. Les individus (y compris les consommateurs) et les entreprises disposent de moyens différents pour renforcer leur confiance. Les consommateurs, par exemple, peuvent tirer profit des avis et témoignages déposés en ligne – à condition que ceux-ci soient véridiques et transparents – ainsi que des outils de comparaison de produits pour compenser l’asymétrie de l’information entre particuliers et entreprises (OCDE, 2016e). Par ailleurs, les pratiques de gestion du risque, et en particulier le processus d’évaluation des risques, fournissent aux organisations les informations nécessaires pour déterminer s’il leur est possible d’investir dans une technologie numérique et d’utiliser celle-ci avec un niveau de risque acceptable. Enfin, certaines technologies ont pour objet de renforcer la confiance, comme les technologies protectrices de la vie privée et les outils de sécurité numérique. Plus récemment, on a beaucoup parlé du chaînage par blocs, une technologie émergente qui permettrait aux utilisateurs d’être plus en confiance lors d’opérations, sans qu’il soit besoin de recourir à un tiers de confiance (Chapter 7). Ces moyens de renforcement de la confiance sont examinés plus en détail ci-après. En revanche, cette section n’aborde pas le rôle des politiques publiques visant à améliorer la confiance dans l’économie numérique, qui est examiné au Chapter 2.

L’autonomisation des individus et des entreprises demeure nécessaire pour mieux aborder les problèmes de confiance

Être conscient des risques en matière de sécurité numérique et de respect de la vie privée et être correctement informé sur ces risques sont les conditions de base pour pouvoir aborder les grands problèmes de confiance dans l’économie numérique. D’après l’enquête Eurobaromètre spéciale (CE, 2015c), « les répondants qui ont le sentiment d’être correctement informés sur les risques liés à la cybercriminalité sont plus susceptibles d’utiliser l’internet pour l’ensemble de leurs activités que ceux qui se sentent sous-informés ». Ils sont également plus susceptibles de prendre des mesures pour faire face à ces risques. Ainsi, 32 % des répondants bien informés changent régulièrement leurs mots de passe, contre 19 % pour ceux qui ne se sentent pas suffisamment informés. Les individus vivant au Danemark, aux Pays-Bas et en Suède ont davantage de chances d’être bien informés sur les risques liés à la cybercriminalité et de ne pas redouter d’en être victimes. Dans des pays tels que la Grèce, la Hongrie, l’Italie et le Portugal, la situation est inverse : les individus ont moins de chances de se sentir bien informés et aussi d’utiliser des services numériques, comme la banque ou le commerce en ligne. Cela indique qu’il pourrait y avoir une corrélation inverse entre le fait d’être correctement informé sur les risques de sécurité numérique et d’atteinte à la vie privée, et celui de redouter d’être victime d’incidents de ce type. Cela souligne également l’importance de la sensibilisation, des compétences et de l’autonomisation comme il ressort, par exemple, de la Recommandation du Conseil de l’OCDE sur la gestion du risque de sécurité numérique pour la prospérité économique et sociale (OCDE, 2015a)28 .

Il y a longtemps également que l’on reconnaît l’importance de la sensibilisation, des compétences et de l’autonomisation pour la protection de la vie privée (OCDE, 2015b). Des moyens permettant d’offrir aux individus des mécanismes plus performants pour garder le contrôle de leurs données personnelles ont notamment été débattus, comme la portabilité des données (Chapter 2). Ainsi que le montre le Figure 6.14, par exemple, 60 % des internautes de l’Union européenne gèrent déjà l’accès à leurs données personnelles. Pour ce faire, ils : 1) limitent l’utilisation de leurs données personnelles à des fins publicitaires (40 % de l’ensemble des internautes) ; 2) limitent l’accès à leur profil sur les réseaux sociaux (35 %) ; 3) restreignent l’accès à leur situation géographique (30 %) ; et 4) demandent aux sites web de mettre à jour ou de supprimer les informations qu’ils détiennent sur eux. Il est intéressant de noter que, dans des pays comme le Danemark, les Pays-Bas et la Suède, où la probabilité d’être correctement informé sur les risques liés à la cybercriminalité est plus forte, les individus sont aussi plus susceptibles de gérer leurs données personnelles sur l’internet. À l’inverse, les pays où les gens se sentent insuffisamment informés sur ces mêmes risques se classent aussi en dessous de la moyenne pour la proportion d’individus gérant l’utilisation de leurs données personnelles sur l’internet. Les sections qui suivent examinent l’évolution des moyens permettant d’autonomiser les individus et les entreprises, comme l’utilisation de technologies de renforcement de la confiance, la réduction de l’asymétrie de l’information et le renforcement des compétences en matière de sécurité numérique et de protection de la vie privée (gestion du risque).

Les technologies de renforcement de la confiance sont nécessaires mais non suffisantes pour autonomiser les individus et les entreprises

Quantité de données attestent d’une utilisation croissante des technologies de renforcement de la confiance, mais on constate également de nettes variations selon les pays, la taille des entreprises et les secteurs. D’après l’enquête menée en 2016 par le Ponemon Institute sur l’état de sécurité numérique des petites et moyennes entreprises, les dispositifs de neutralisation des logiciels malveillants, les pare-feux installés sur les postes clients et la protection/gestion des mots de passe sont les outils de sécurisation les plus utilisés. En Corée, l’enquête de 2015 sur la sécurité des informations dans les entreprises a révélé que la plus grande partie, et de loin, des répondants avaient investi ou envisageaient d’investir dans la sécurité de leur réseau local sans fil.

À mesure que les produits (biens et services) et les procédures opératoires des entreprises deviennent plus gourmands en données et que ces données se propagent dans un nombre croissant de lieux de stockage – tels que les appareils mobiles et le nuage –, le chiffrement est de plus en plus souvent considéré comme un complément indispensable aux mesures de protection existantes, centrées sur l’infrastructure. D’après une étude de l’évolution des applications de chiffrement menée en 2016 par Thales e-security sur plus de 5 000 répondants dans 14 secteurs industriels majeurs et 11 pays, le chiffrement n’avait jamais été aussi intensivement utilisé dans les 11 années d’historique de l’enquête qu’après l’accélération enregistrée en 2014. Les entreprises sont aussi plus nombreuses à opter pour une stratégie de chiffrement à l’échelle de l’organisation. En 2015, 41 % des entreprises interrogées indiquaient avoir largement déployé cette stratégie, contre 34 % en 2014 et 16 % en 2005 (Figure 6.15). L’Allemagne, les États-Unis, le Japon et le Royaume-Uni se classent au-dessus de la moyenne pour la part des entreprises ayant déployé ou déployant une stratégie de chiffrement à l’échelle de l’entreprise (avec 61 %, 45 %, 40 % et 38 % respectivement). Les principales raisons avancées par les entreprises interrogées pour expliquer l’adoption rapide du chiffrement ces dernières années sont la réglementation relative au respect de la vie privée29 , les menaces pesant sur la sécurité numérique et ciblant la propriété intellectuelle en particulier, ainsi que la protection des données des salariés et des clients. Ce sont surtout les entreprises des secteurs fortement réglementés manipulant de gros volumes de données (données massives) qui arrivent en tête du classement des utilisateurs intensifs du chiffrement. Cela comprend notamment : les services financiers, le secteur de la santé et l’industrie pharmaceutique, et les entreprises spécialisées dans les technologies et les logiciels.

Les communications internet (le protocole TLS [Transport Layer Security] ou son prédécesseur SSL [Secure Socket Layer]) se classent toujours en tête de l’utilisation d’applications de chiffrement tous secteurs confondus, avant les bases de données et les appareils mobiles. SSL est un protocole de sécurité utilisé par les navigateurs internet et les serveurs web pour échanger des informations sensibles, comme des mots de passe et des numéros de carte de crédit. Il s’appuie sur une autorité de certification, comme celle fournie par des sociétés telles que Symantec et GoDaddy, qui émettent un certificat numérique contenant une clé publique et des informations sur son propriétaire, et confirment qu’une clé publique donnée appartient bien à un site particulier. Ce faisant, les autorités de certification agissent comme un tiers de confiance. Par le passé, toutefois, les autorités de certification ont été la cible d’une série d’incidents de sécurité (voir, par exemple, l’incident de 2001 qui a touché DigiNotar, une société basée aux Pays-Bas).

Netcraft mène des enquêtes mensuelles de serveurs sur les sites web publics sécurisés (à l’exclusion des serveurs de messagerie sécurisés, des intranets et des sites extranets non publics). D’après l’enquête de mars 2017, plus de 27 millions de serveurs sécurisés ont été mis en place dans le monde. Cela correspond à un taux de croissance moyen composé de 65 % par an (comparé à 2.2 millions en 2012). Les taux de croissance ont connu une accélération en 2014. Avant cela, le nombre de serveurs progressait de 20 % environ d’une année sur l’autre30 . En mars 2017, le nombre de serveurs sécurisés hébergés dans la zone OCDE était légèrement supérieur à 14 millions, soit 83 % du parc total mondial de serveurs sécurisés31 . Les États-Unis représentaient la plus large proportion de ces serveurs (6.2 millions), soit 38 % du parc mondial. Venaient ensuite l’Allemagne (1.7 million) et le Royaume-Uni (953 000) (Figure 6.16). Comparé au nombre total de sites hébergés, cependant, la plupart des pays enregistrent encore des résultats médiocres si l’on considère la proportion des serveurs sécurisés sur le nombre total de serveurs que ces pays hébergent. Aux États-Unis, par exemple, moins de 1 % de l’ensemble des serveurs hébergés utilisent le protocole SSL ou TLS32 .

L’emploi du chiffrement s’est également intensifié sur le marché des biens et services de consommation, où des sociétés comme Apple et Google continuent d’accroître leur utilisation implicite de cette technique (OCDE, 2015b). Les plus récents systèmes d’exploitation mobiles de ces entreprises chiffrent systématiquement presque toutes les données stockées (en plus des données en transit). En outre, la demande de chiffrement de bout en bout a considérablement augmenté ces dernières années, avec l’adoption croissante d’applications telles que Signal Private Messenger et Threema et le fait que des applications populaires telles que WhatsApp s’emploient également à déployer ce mode de protection33 . L’intérêt croissant des utilisateurs pour le chiffrement apparaît également dans l’adoption de technologies protectrices de la vie privée telles que OpenPGP (Pretty Good Privacy), un logiciel de chiffrement des données plus couramment utilisé pour sécuriser les courriels. D’après les données collectées par Fiskerstrand (2017), plus de 1 100 nouvelles clés PGP sont ajoutées quotidiennement. Les données montrent en particulier que, dans les mois qui ont suivi les révélations d’Edward Snowden (3^e trimestre 2013), la création de clés PGP a atteint un pic historique ; au troisième trimestre 2017, près de 101 000 nouvelles clés ont été ajoutées (Figure 6.17). Cette corrélation n’implique pas une relation de cause à effet et demanderait à être analysée plus en détail.

L’autre exemple de technologie protectrice de la vie privée présentant un profil d’adoption similaire est Tor (à l’origine, l’acronyme de The Onion Router), un réseau d’anonymisation qui permet à tout un chacun d’utiliser l’internet sans dévoiler l’endroit où il se trouve ni son identité34 . Le Figure 6.18 indique clairement que le nombre total d’utilisateurs de Tor dans le monde a augmenté de façon spectaculaire dans la seconde moitié de 2013, à la suite des révélations d’Edward Snowden35 . Bien que cet essor ait été tout aussi rapidement suivi d’une baisse, le nombre d’utilisateurs quotidiens est demeuré à un niveau supérieur à ce qu’il était précédemment, 2 millions environ après les révélations d’Edward Snowden, contre moitié moins avant. La plus grande part des utilisateurs quotidiens se trouve aux États-Unis (environ 20 %), suivis par l’Allemagne, la République islamique d’Iran, la France, l’Italie, la Corée et la Fédération de Russie.

Les consommateurs attachent de plus en plus d’importance aux avis, témoignages et outils de comparaison de produits

Les consommateurs préparent de plus en plus leurs décisions d’achat en consultant les avis et témoignages laissés en ligne par d’autres consommateurs. Une enquête web menée en 2013 par le Réseau des centres européens des consommateurs indique que 82 % des répondants consultent les avis formulés par d’autres consommateurs avant leurs achats en ligne (ECCN, 2015). Dans son rapport sur les avis et témoignages en ligne (online reviews and endorsements), l’autorité chargée de la concurrence et des marchés (Competition & Markets Authority) a constaté qu’au Royaume-Uni, plus de la moitié des adultes utilisaient les avis en ligne et a estimé à 23 milliards GBP (28.5 milliards USD) le montant annuel des achats influencés par ces avis (CMA, 2015a). L’influence des avis et des témoignages s’accroît plus encore du fait du développement du marché des plateformes mettant en relation des particuliers, où la confiance que l’on accorde à des vendeurs inconnus repose souvent sur ces éléments d’information. Les entreprises font aussi une utilisation croissante des avis pour assurer la publicité de leurs produits. Il est donc encore plus important de s’assurer que les avis et témoignages publiés sur les plateformes mettant en relation des particuliers ne sont pas mensongers (RICPC, 2016).

Lorsqu’ils sont authentiques, les avis sont utiles aux consommateurs, car ils leur apportent des informations non biaisées et l’opinion d’autres utilisateurs sur la qualité des produits et des services. Ils peuvent donner aux consommateurs le sentiment qu’ils ont leur mot à dire en leur offrant une possibilité de contester l’information fournie par les entreprises. Ils apportent aussi à celles-ci un retour d’informations qui peut les aider à améliorer leurs produits et services. L’augmentation rapide de l’adoption et de l’utilisation de ces outils et l’influence qu’ils peuvent avoir sur les décisions des consommateurs ont cependant éveillé des inquiétudes quant à leur véracité. Des voix se sont élevées pour interroger le fait que ces avis soient véritablement représentatifs des expériences faites par les consommateurs (CE, 2017). L’un des problèmes est celui des faux avis, qui peuvent tromper les consommateurs et les inciter à prendre une décision qu’ils n’auraient pas prise sans cela, entraînant une perte financière et une moindre jouissance des biens et services concernés. Les consommateurs ont tendance à supposer que les données fournies sont fiables. Une enquête de 2014 sur les avis de consommateurs montre que les consommateurs canadiens et américains ont plutôt tendance à se fier à ce qu’ils lisent, puisque 88 % ont déclaré avoir autant confiance dans les avis en ligne que dans les recommandations reçues personnellement. À l’inverse, des travaux de recherche de 2016 semblent indiquer que les trois quarts des consommateurs interrogés dans 10 pays de l’UE n’accordent pas une confiance sans réserve aux avis en ligne (CE, 2017). Il est difficile d’évaluer l’étendue du problème des faux avis ; on estime qu’ils représenteraient entre 1 % et 16 % de l’ensemble (Valant, 2015).

Les témoignages sur les produits sont étroitement liés aux avis ; ces déclarations s’appuient sur l’expérience qu’un individu a eue d’un produit ou d’un service. Là encore, la question de la véracité se pose, car certains témoignages résultent de relations commerciales que les entreprises taisent aux consommateurs. Ainsi, il arrive que des célébrités fassent la promotion d’un produit dans les médias sociaux, sans préciser qu’elles ont été payées pour le faire ou qu’elles ont reçu d’autres compensations, comme des produits gratuits ou des voyages (Frier et Townsend, 2016). La Recommandation du Conseil sur la protection du consommateur dans le commerce électronique publiée en 2016 par l’OCDE (OCDE, 2016d) aborde ce point et dit notamment : « Les témoignages utilisés dans la publicité et le marketing devraient être véridiques, fondés et refléter l’avis et l’expérience effective de leurs auteurs. L’existence d’un quelconque lien substantiel entre les entreprises et ceux qui livrent leur témoignage en ligne, dans la mesure où ce lien est susceptible d’influer sur la valeur ou la crédibilité que les consommateurs accordent à ce témoignage, devrait être indiquée de façon claire et ostensible. » Comme le prévoit cette recommandation, un certain nombre de pays de l’OCDE ont pris des mesures coercitives pour régler ce problème.

Les sites web de comparaison des prix et des produits sont un autre aspect du cadre d’information des consommateurs, en pleine transformation. Ces comparateurs sont devenus des outils très populaires auprès des consommateurs dans de nombreux secteurs, comme l’assurance, l’énergie, les services de télécommunication et les cartes de paiement. Une enquête de 2015 menée par la UK Competition & Markets Authority révèle que 71 % des répondants ayant fait des achats en ligne au cours des trois années précédentes avaient utilisé un site web de comparaison des prix et des produits pour rechercher des informations (CMA, 2015b). Ces sites de comparaison peuvent aider les consommateurs à se sentir mieux informés et mieux armés en leur facilitant l’accès à différentes offres et en réduisant leur temps de recherche. Ils permettent également aux consommateurs de prendre une décision sur la base de ces informations, en leur fournissant une analyse très personnalisée du meilleur rapport qualité-prix pour les biens et les services qu’ils achètent (UKRN, 2016).

Malgré quelques avantages pour les consommateurs, l’efficacité des sites de comparaison peut être amoindrie par des publicités mensongères et trompeuses. Une étude financée par la Commission européenne a constaté que deux tiers des consommateurs qui utilisaient des comparateurs avaient rencontré un problème, comme l’indisponibilité du produit dont le site du vendeur faisait la publicité (32 %) ou des prix incorrects (21 %). La plupart des outils de comparaison testés ne donnaient aucune information sur leur modèle économique ni sur leur relation avec les fournisseurs (ECME Consortium, 2013). Une étude de 2014 des avis déposés en ligne sur des hôtels pointait plusieurs problèmes de transparence, les sites web n’étant que 30 % environ à expliquer comment leur système d’évaluation ou de notation fonctionnait (CE, 2014).

Les compétences en matière de sécurité et de protection de la vie privée sont essentielles et la demande de telles compétences croît rapidement

L’importance et la visibilité croissantes des risques de sécurité et d’atteinte à la vie privée ont augmenté le nombre des nouveaux emplois possibles pour les spécialistes de ces domaines. La demande de compétences spécialisées en sécurité continue de croître régulièrement, comme elle l’a fait au cours de la dernière décennie, tandis que la demande de spécialistes de la protection de la vie privée s’est nettement intensifiée ces dernières années (Figure 6.19). Néanmoins, parvenir à localiser les professionnels disponibles et dotés des compétences requises en matière de sécurité et de protection de la vie privée reste un défi pour les organisations qui cherchent à renforcer leurs capacités dans ces domaines (OCDE, 2015a).

L’organisation International Information Systems Security Certification Consortium – (ISC)² – estime le chiffre total de la population active travaillant dans la sécurité numérique en 2014 à 3.4 millions de personnes et prévoit un taux de croissance moyen composé de près de 6 % sur les cinq ans jusqu’à 2019. D’après la distribution des répondants à l’enquête, 46 % sont des praticiens (principalement des analystes de la sécurité de l’information) et les autres sont des cadres : directeurs de la sécurité de l’information et cadres de direction (12 %), cadres (20 %), auditeurs (5 %), architectes et conseillers stratégiques (17 %) ((ISC)², 2015). Les chiffres de l’emploi des différents pays sont encore rares, mais des données probantes sur la Corée et les États-Unis permettent d’illustrer certaines tendances mondiales. L’enquête menée par la Corée en 2014 sur la population active travaillant dans la sécurité de l’information (Information Security Workforce Survey) fait état de 94 224 spécialistes employés dans ce domaine à la fin 2013, et leur nombre continue de croître dans ce pays. On compte 10 000 travailleurs supplémentaires employés dans ce domaine en 2013 et le nombre de nouvelles recrues devrait être supérieur à 11 000 dans les années qui suivent. Cette croissance résulte principalement d’embauches effectuées aux niveaux moyen et supérieur, tandis qu’on estime que les recrutements au niveau d’entrée resteront constants, confirmant l’effet de la politique nationale de la Corée concernant les directeurs de la sécurité de l’information. Aux États-Unis, on ne dispose de données officielles que pour les analystes de la sécurité de l’information, un sous-ensemble des spécialistes de la sécurité numérique. On dénombrait 80 180 de ces analystes dans les entreprises américaines en 2014, dont 18 % de femmes seulement. L’emploi a crû de 3 % cette même année comparée à 2013.

S’agissant des professionnels de la protection de la vie privée, on peut utiliser comme mesure indirecte de l’évolution de l’emploi dans ce domaine le nombre de membres de l’Association internationale des professionnels de la protection de la vie privée (IAPP, International Association of Privacy Professionals), la plus importante association de cette nature et celle dont l’extension mondiale est aussi la plus grande36 . Le nombre de membres de l’IAPP n’a cessé de croître, passant de plus de 10 000 en 2012 à plus de 26 000 en 2016, dans près de 90 pays dans le monde. Le moteur de cette évolution récente est la réglementation qui a fixé les paramètres du développement d’une main-d’œuvre spécialisée, notamment les directeurs de la protection des données à caractère personnel et leur personnel (Clearwater et Hughes, 2013). Les entreprises concernées par le nouveau Règlement général de l’Union européenne sur la protection des données, qui entrera en vigueur le 25 mai 2018 en remplacement de la directive de l’UE sur la conservation des données, ont manifesté une demande croissante de spécialistes dans ce domaine. On estime que ce sont approximativement 30 000 à 75 000 postes qui seront créés dans les années qui viennent du fait de cette nouvelle réglementation, compte tenu notamment de l’obligation pour les responsables du traitement et les sous-traitants de désigner un délégué à la protection des données dans certains cas37 (Ashford, 2016a ; 2016b). L’Union européenne n’est pas la seule à adopter des politiques et des règlements qui stimulent la demande de professionnels de la protection de la vie privée ; le Canada, la Corée et les États-Unis, pour ne citer qu’eux, s’y emploient également (Chapter 2)38 .

De nombreuses prévisions indiquent que la demande de spécialistes de la sécurité numérique va également continuer de croître dans le monde. Aux États-Unis, le Bureau des statistiques sur l’emploi (Bureau of Labor Statistics) prévoit que la demande d’analystes de la sécurité de l’information va augmenter beaucoup plus rapidement (37 %) que la moyenne des professions informatiques (18 %) (Bureau of Labor Statistics, 2014)39 . Cette évolution apparaît dans le nombre total d’emplois non pourvus d’analyste de la sécurité de l’information, qui augmente de façon générale aux États-Unis, comme dans d’autres pays de l’OCDE. D’après les données de Burning Glass, la durée moyenne de vacance des professions (des compétences) liées à la cybersécurité aux États-Unis en 2016 était supérieure de 33 % (44 %) à celle observée pour l’ensemble des spécialistes (des compétences) informatiques. Les emplois non pourvus ont atteint leur niveau le plus élevé au cours du dernier trimestre 2014 (plus de 17 000 offres publiées aux États-Unis). Si l’on excepte les évolutions quelque peu différentes observées en 2013, où les emplois non pourvus d’analyste de la sécurité de l’information ont crû beaucoup plus rapidement que l’emploi (aux premier et troisième trimestres de 2013), les vacances de poste et le nombre de personnes employées ont progressé au même rythme depuis le début de 2014 (Figure 6.20). La relative stabilité de ce ratio ces dernières années montre qu’il y a effectivement une demande d’analystes de la sécurité de l’information, mais que, dans une certaine mesure, les employeurs parviennent à pourvoir ces postes.

Cela étant, le sentiment général est qu’il subsiste une pénurie de main-d’œuvre. Le nombre croissant d’incidents de sécurité numérique et le souhait des employeurs que les candidats aient fait des études supérieures, ainsi que le besoin grandissant de diplômes et d’une plus longue expérience sur le terrain, sont considérés comme les raisons essentielles de la pénurie. (ISC)² observe que les spécialistes de la sécurité de l’information sont de plus en plus nombreux, mais qu’ils ne satisfont toujours pas entièrement la demande du marché au regard des défis à relever. Les principales raisons des difficultés de recrutement demeurent les suivantes : 1) une compréhension insuffisante de la nécessité de gérer le risque de sécurité numérique, en particulier chez les dirigeants d’entreprise ; 2) un manque de ressources financières ; 3) une pénurie de spécialistes de la sécurité numérique sur le marché du travail, avec pour corollaire 4) une difficulté à retenir ces spécialistes40 .

Les défis précédemment mentionnés concernent particulièrement les PME, qui ne disposent (ne peuvent disposer) que rarement d’une personne s’occupant exclusivement de la gestion du risque numérique, telle qu’un directeur de la sécurité de l’information, un responsable de la protection des données ou l’équivalent. Cette situation n’est peut-être pas surprenante étant donné que, par définition, les petites entreprises fonctionnent avec un effectif inférieur à celui des moyennes ou grandes entreprises et sont donc moins susceptibles d’employer une personne exclusivement responsable de la gestion du risque numérique. L’enquête sur les violations de sécurité numérique menée en 2016 au Royaume-Uni a établi que la proportion de membres du conseil d’administration assumant des responsabilités en matière de sécurité numérique était plus faible dans les plus petites entreprises (21 % dans les microentreprises, 37 % dans les petites, 39 % dans les moyennes et 49 % dans les grandes). L’étude nationale sur les petites entreprises menée en 2012 aux États-Unis par la National Cyber Security Alliance (NCSA) et Symantec a constaté que 90 % des répondants n’avaient pas, en interne, de responsable informatique dont la fonction serait exclusivement centrée sur les questions liées à la technologie. En outre, 11 % des répondants avaient le sentiment qu’il n’y avait aucun responsable de la sécurité en ligne et de la sécurité numérique dans leur entreprise. De même, dans l’enquête menée en 2016 par le Ponemon Institute sur l’état de sécurité numérique des petites et moyennes entreprises, 35 % des répondants estimaient que « les priorités de sécurité informatique [n’étaient] pas définies par une fonction dédiée » dans leur entreprise41 . Si l’on combine cette constatation avec celles de l’étude NCSA/Symantec, on pourrait inférer que, globalement, entre 10 % et 30 % des PME n’ont aucune personne exclusivement chargée des questions de gestion du risque numérique. Pour ce qui est des responsabilités en matière de protection de la vie privée, les enquêtes confirment que les grandes entreprises sont plus susceptibles d’employer de nombreux professionnels assumant des fonctions dans ce domaine, à temps plein ou à temps partiel, que les plus petites entreprises qui n’en emploient que peu, voire aucun. L’enquête de l’IAPP (2016) montre que les entreprises dont le chiffre d’affaires est supérieur à 25 milliards USD emploient en moyenne 15 professionnels de la protection de la vie privée, alors que celles dont le chiffre d’affaires est inférieur à 100 millions USD n’en emploient généralement qu’un.

Attirer des jeunes et des femmes dans le domaine de la sécurité et de la protection de la vie privée demeure un défi. Concernant les professions relatives à la sécurité de l’information, des efforts ont été faits pour les rendre plus attrayantes et plus enrichissantes. Les emplois de ce type ont toujours été très techniques, mais les compétences techniques ne suffisent plus à résoudre les situations complexes de gestion du risque auxquelles les dirigeants d’entreprise et les décideurs font face aujourd’hui et feront face dans les temps à venir (OCDE, 2015a). Comme nous l’avons dit, les compétences demandées aux spécialistes de la sécurité de l’information ont amorcé une lente évolution. Celle-ci est particulièrement flagrante pour les chefs de file, qui considèrent que les rôles managériaux et ceux intéressant la gouvernance, le risque et le respect des normes vont prendre une importance croissante. D’après une enquête de PricewaterhouseCooper sur les chefs de file de la sécurité de l’information, les trois principaux rôles d’un directeur de la sécurité de l’information42 . sont les suivants : 1) informer le conseil d’administration des risques et des stratégies ; 2) envisager la sécurité de l’information comme un enjeu de gestion du risque de l’entreprise ; 3) comprendre une conjoncture économique complexe et concurrentielle. Les responsabilités et les compétences des directeurs de la sécurité de l’information sont de plus en plus visibles et cruciales (PwC, 2015). Globalement, cela conduira à une progression de la demande de compétences en matière de risque de sécurité numérique.

L’un des moyens largement adoptés pour renforcer les compétences en matière de risques de sécurité numérique est la formation (sur le lieu de travail). Dans l’ensemble des enquêtes, entre 15 % et 30 % des entreprises dispensent une forme ou une autre de formation ou d’amélioration des compétences dans ce domaine. L’étude nationale sur les petites entreprises menée en 2012 aux États-Unis par la NCSA et Symantec a constaté que 29 % des petites entreprises formaient leurs employés aux moyens de préserver la sécurité de leur ordinateur. L’enquête de 2015 menée en Corée sur la sécurité de l’information et les entreprises a, quant à elle, établi que 15 % des entreprises dispensaient une formation à la sécurité de l’information, soit 2 % de plus environ qu’en 2014. Au Royaume-Uni, l’enquête menée en 2014 par le ministère de l’Innovation et des Compétences des entreprises (Department for Business Innovation and Skills) sur les capacités numériques des PME a indiqué que 14 % des répondants avaient reçu un soutien ou des conseils en matière de sécurité numérique au cours des 12 mois précédents. Toujours au Royaume-Uni, l’enquête sur les violations de sécurité numérique menée en 2016 a permis de constater que les petites entreprises étaient moins susceptibles de dispenser une formation sur la sécurité numérique que les plus grandes (Klahr et al., 2016). Ainsi, 12 % des microentreprises avaient dispensé une formation dans ce domaine au cours des 12 mois précédents, contre 22 % des petites, 38 % des moyennes et 62 % des grandes entreprises.

Les organisations ont aussi singulièrement augmenté leurs investissements liés à la protection de la vie privée, y compris aux fins de renforcement des politiques, de formation, de certification et de communication, mais aussi d’audit et d’inventaire des données. Les données recueillies montrent d’ailleurs clairement que les investissements continueront de croître dans un futur proche. D’après l’enquête de l’IAPP (2016), par exemple, l’investissement total médian dans la protection de la vie privée a augmenté de presque 50 % dans l’ensemble des organisations interrogées, passant de 277 000 USD en 2015 à 415 000 USD en 2016. Cela correspond à un investissement moyen de 1.7 million USD par organisation, dépensé, toujours en moyenne, dans les salaires de l’équipe chargée de la protection de la vie privée (35 % de l’investissement total), dans les dépenses externes de cette équipe (27 %) et dans les salaires et dépenses du reste de l’organisation (38 %)43 . Il faut noter que, s’il est évident que les plus grandes organisations consacrent généralement un budget plus important à la protection de la vie privée, elles ont aussi tendance à investir des sommes plus élevées en dehors de l’équipe chargée de ce domaine, à la différence des plus petites entreprises, qui allouent une plus grande part de leur budget à l’équipe chargée de la protection de la vie privée.

Les associations de professionnels de la protection de la vie privée jouent aussi un rôle essentiel d’encouragement du renforcement des compétences. Hormis l’IAPP, les hauts responsables de la protection de la vie privée participant à la mise en œuvre concrète d’initiatives dans ce domaine peuvent se rencontrer et échanger au sein d’associations, telles que le Privacy Officers Network, et d’organismes nationaux, comme l’Association française des correspondants à la protection des données à caractère personnel et l’Asociación Profesional Española de Privacidad. Ces associations fournissent à leurs adhérents – en nombre croissant – formation et certification des compétences, conférences, publications, ressources professionnelles et accès à des études spécialisées.

La gestion du risque peut aider à assurer la protection et le soutien des activités économiques et sociales

La gestion du risque est devenue le paradigme recommandé pour relever les défis liés au risque et à la confiance dans le domaine numérique. La Recommandation du Conseil de l’OCDE sur la gestion du risque de sécurité numérique pour la prospérité économique et sociale, par exemple, met l’accent sur un cadre d’action en matière de gestion du risque pour faire face aux problèmes de sécurité numérique44 . Les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’OCDE préconisent également d’adopter une approche fondée sur le risque pour appliquer les principes relatifs à la protection de la vie privée et améliorer cette protection (OCDE, 2013)45 . Les sections qui suivent examinent l’adoption par les organisations d’une approche fondée sur le risque en matière de sécurité et de protection de la vie privée.

Les organisations, et en particulier les petites et moyennes entreprises, sont en retard dans la mise en œuvre de pratiques de gestion du risque de sécurité numérique

De plus en plus, les organisations abordent les questions de sécurité selon une approche fondée sur le risque, qui se traduit, entre autres, par une demande croissante de compétences en gestion du risque de sécurité numérique, comme évoqué plus haut. Cela étant, la part des organisations appliquant aux questions de sécurité des méthodes efficaces de gestion du risque est encore bien trop faible. En outre, la proportion d’entreprises dotées d’un plan officiel de sécurité numérique varie largement selon les pays et la taille des entreprises. Les résultats de l’Enquête communautaire d’Eurostat sur l’utilisation des TIC et du commerce électronique dans les entreprises indiquent invariablement, dans tous les pays déclarants de l’UE en 2015, que les PME sont moins susceptibles d’avoir une politique de sécurité des TIC définie de façon formelle. Dans presque tous les pays, l’écart entre PME et grandes entreprises était approximativement de 30 points de pourcentage (Figure 6.21). De plus, pour qu’un plan de sécurité et les mesures d’atténuation du risque associées demeurent efficaces au fil du temps, il est impératif d’effectuer un suivi ainsi qu’un audit ou une évaluation périodique. Parmi les entreprises qui avaient mis en place un plan de sécurité numérique, soit entre un tiers et deux tiers des entreprises, la majorité effectuaient au moins un audit interne périodique. Les résultats de l’Enquête communautaire d’Eurostat sur l’utilisation des TIC et du commerce électronique dans les entreprises indiquent qu’en 2015, parmi les entreprises qui avaient effectivement un plan de sécurité des TIC, les PME étaient moins susceptibles d’avoir fait le point sur leur stratégie durant l’année écoulée que les grandes entreprises.

L’écart observé entre les grandes et les petites entreprises est cohérent avec les résultats de l’enquête sur les violations de sécurité numérique menée en 2016 au Royaume-Uni. Cette enquête a déterminé que, parmi les plus petites entreprises, peu disposaient de politiques formelles couvrant les risques de sécurité numérique en général ou ceux consignés dans leurs plans de continuité des opérations, leurs audits internes ou leurs registres des risques. Cette tendance se vérifiait aussi pour la proportion d’entreprises qui s’étaient dotées de processus formels de gestion des incidents de sécurité numérique. Par ailleurs, une enquête de 2013 sur les dirigeants d’entreprise réalisée par l’Economist Intelligence Unit (2013) indique que la plupart des sociétés, et particulièrement les PME, ne parviennent pas à créer une culture de la sensibilisation au risque. Ces constatations sont confirmées par les données d’une étude de 2012, cofinancée par la NCSA et Symantec, et par celles de l’Étude des effets de la cybercriminalité sur les entreprises au Canada (Study of the Impact of Cyber Crime on Businesses in Canada) menée en 201346 .

On peut isoler un certain nombre d’obstacles à l’utilisation efficace de la gestion du risque pour remédier aux problèmes de confiance. Dans l’ensemble des enquêtes qui interrogent les répondants sur ce qui s’oppose à une plus grande efficacité des pratiques de gestion du risque numérique, l’obstacle qui obtient régulièrement la note la plus élevée est l’insuffisance des budgets. Le manque de personnel qualifié arrive également en bonne place. L’enquête coréenne de 2015 sur la sécurité des informations dans les entreprises a montré qu’« obtenir le budget nécessaire à la sécurité de l’information » était l’obstacle qui obtenait la note la plus élevée auprès des répondants. Venaient ensuite « trouver les professionnels de la sécurité de l’information » et « exercice des fonctions du personnel chargé de la sécurité de l’information ». L’étude nationale sur les petites entreprises des États-Unis, réalisée en 2012 par la NCSA et Symantec, a également mis en évidence que le principal obstacle à la mise en place de solutions de sécurité numérique plus robustes était « aucun fonds supplémentaire à investir », et ce, avant le manque de compétences ou de connaissances techniques. L’enquête menée en 2016 par le Ponemon Institute sur l’état de sécurité numérique des petites et moyennes entreprises aboutit à un résultat similaire.

Appliquer la gestion du risque à la protection de la vie privée demeure délicat pour la plupart des organisations

Comme indiqué précédemment, le risque d’atteinte à la vie privée peut avoir une incidence directe sur la réputation de l’entreprise, son chiffre d’affaires et la confiance qui lui est accordée sur le marché, que ce soit par ses clients, ses salariés ou d’autres parties prenantes. Les clients hésitent souvent à traiter avec une organisation qui ne protège pas correctement ses données, et les atteintes à la réputation d’une entreprise peuvent dissuader suffisamment de clients pour compromettre la viabilité de celle-ci47 . Les conséquences financières d’une violation de la confidentialité lorsque celle-ci porte aussi sur des données personnelles peuvent également être considérables. Une petite entreprise, en particulier, qui ne dispose pas des ressources suffisantes pour financer l’assistance juridique, les enquêtes techniques, les notifications nécessaires, les mesures de remédiation et les amendes, pénalités et décisions de justice susceptibles de découler d’une violation de la confidentialité, peut tout à fait se retrouver en cessation d’activité.

Bien que l’on reconnaisse la nécessité de traiter la protection de la vie privée comme un risque économique et social et que l’on soit conscient des possibilités qu’ouvre le fait de considérer cette question comme stratégique, susceptible d’apporter un avantage concurrentiel sur le marché, nombre d’organisations ont encore tendance à aborder la protection de la vie privée comme une question de respect des normes légales uniquement. De nombreuses PME, même si elles admettent que la protection de la vie privée est une bonne chose pour leur activité, manquent souvent des ressources et de l’expertise nécessaires pour gérer efficacement les risques associés décrits précédemment. Lorsqu’elles disposent des ressources suffisantes, elles ne font souvent pas la différence entre risque de sécurité et risque d’atteinte à la vie privée, même lorsque ce dernier peut être sans lien avec la sécurité – par exemple, lorsque les données personnelles sont traitées par l’organisation d’une façon qui empiète sur les droits des individus. Cette constatation est cohérente avec celles découlant d’une étude des pratiques des entreprises canadiennes, financée par le Commissariat à la protection de la vie privée du Canada, qui note que la gestion du risque en matière de respect de la vie privée est un sujet largement débattu, mais peu mis en œuvre dans la pratique (Greenaway, Zabolotniuk et Levin, 2012).

L’étude menée par Greenaway, Zabolotniuk et Levin (2012) pourrait indiquer un manque de compréhension de la façon dont il convient d’appliquer les exigences réglementaires relatives à la protection de la vie privée, mais elle pourrait aussi dénoter, de la part des organisations, un manque de stratégies définissant comment maîtriser le risque d’atteinte à la vie privée, ainsi qu’une lacune dans l’attribution des responsabilités. Cela concorde avec les données probantes qui montrent que nombre d’entreprises, et de PME en particulier, n’ont aucune politique formelle de gestion des risques liés à la protection de la vie privée. Sur l’ensemble des pays de l’OCDE pour lesquels des données sont disponibles, 10 % à 40 % seulement de toutes les entreprises avaient une politique formellement définie de cette nature en 2015 (Figure 6.22). Greenaway, Zabolotniuk et Levin (2012) concluent que « la prise en compte du risque d’atteinte à la vie privée dans la stratégie de gestion du risque d’une organisation nécessite une bonne compréhension du type ou de la catégorisation du risque et de la place que celui-ci devrait occuper dans la structure de gestion des risques ». Cela ne coule pas de source car, souvent, les gestionnaires des risques ne considèrent pas la protection de la vie privée comme faisant partie de leurs domaines de compétence et les responsables informatiques envisagent la gestion du risque sous l’angle de la sécurité numérique technique (Greenaway, Zabolotniuk et Levin, 2012). Ces responsables du respect de la vie privée voient la gestion du risque comme étant prise en compte par des activités telles que l’évaluation des effets sur la vie privée, ou comme ne relevant pas de leur responsabilité. La protection de la vie privée est considérée soit comme un enjeu de sécurité numérique, soit comme une question de respect de la légalité. Tout cela fait que la gestion du risque en la matière est souvent vue comme « relevant de la responsabilité de quelqu’un d’autre ».

Des marchés de l’assurance permettant le transfert du risque numérique commencent à se former

Du point de vue d’une entreprise, une assurance contre le risque numérique est principalement envisagée comme un moyen de transférer ce risque à l’extérieur de l’entreprise. L’augmentation progressive du coût financier résultant d’une violation, du fait de la charge supplémentaire que représente l’obligation de notification, rend l’option de l’assurance contre le risque numérique plus séduisante pour de nombreuses entreprises, petites ou grandes. Peut-être plus important encore, la promesse majeure de l’assurance contre le risque numérique pourrait résider dans le fait d’aider les entreprises, les organisations et les individus à mieux comprendre et évaluer ce risque et à saisir les occasions d’en améliorer les pratiques de gestion. De surcroît, l’assurance contre le risque numérique pourrait générer de précieuses données d’observation qui constitueraient une base importante pour appuyer les politiques de gestion de ce risque, comme c’est déjà le cas des obligations de notification.

En pratique, cependant, les compagnies d’assurance se sont montrées quelque peu réticentes à couvrir les risques liés à l’utilisation généralisée des TIC dans les entreprises ou ceux associés à des actifs immatériels comme les données personnelles. Aujourd’hui, les polices d’assurance types ne sont pas conçues pour couvrir les risques liés à la sécurité numérique ou au respect de la vie privée. Cette situation est imputable à plusieurs facteurs : l’incertitude qui entoure les définitions du risque numérique, fondées sur des causes et des conséquences différentes ; l’absence de données pertinentes sur les incidents et les pertes passés ; les informations actuarielles limitées dont on dispose sur la fréquence et l’ampleur des incidents réels et potentiels en matière de sécurité numérique et de respect de la vie privée ; et la nature en évolution constante des risques numériques qui représentent des défis majeurs pour le secteur de l’assurance. Tout cela explique pourquoi l’assurance contre le risque numérique est encore un marché émergent.

Aujourd’hui, les compagnies fournissant ce type de couverture se trouvent principalement aux États-Unis et au Royaume-Uni. Aux États-Unis, le marché de l’assurance contre le risque numérique représentait 2 milliards USD environ en 2014. Des rapports récents indiquent que le marché continue de s’élargir, en particulier dans le secteur des soins de santé et sur les segments des PME (Betterley, 2015). Le marché européen demeure beaucoup plus petit, avec seulement 150 millions USD environ de primes souscrites brutes, mais un taux de croissance annuel compris entre 50 % et 100 %. Les États commencent à étudier les possibilités de l’assurance contre le risque numérique, mais le potentiel de celle-ci demeure largement inexploité, même sur les marchés les plus avancés comme les États-Unis et le Royaume-Uni. L’enquête sur les violations de sécurité numérique menée en 2016 au Royaume-Uni, par exemple, montre qu’une minorité de répondants pensent avoir une forme de couverture d’assurance contre les risques de sécurité numérique (37 %). De même, l’enquête de 2014 de la fédération des associations européennes de gestion du risque (FERMA, Federation of European Risk Management Associations) a révélé que la majorité des répondants (72 %) n’avaient aucune couverture. Lorsqu’ils étaient couverts, leur couverture, pour la plus grande proportion d’entre eux (19 % de tous les répondants), était inférieure à 50 millions48 . De façon générale, la proportion d’entreprises déclarant être couvertes augmentait avec la taille des structures, pour l’ensemble des catégories d’incidents, excepté « le vol ou la perte de matériel ».

Les marchés des plateformes mettant en relation les particuliers créent des problèmes de confiance, mais ouvrent aussi de nouvelles possibilités d’y remédier

Il y a longtemps que les transactions directes entre particuliers jouent un rôle dans le commerce traditionnel, mais elles prennent aujourd’hui une dimension sans précédent avec les plateformes électroniques. Selon une estimation, 191 millions de consommateurs de la zone UE28 ont effectué une opération sur un marché de plateforme entre mai 2015 et mai 2016 (CE, 2017). Les premières plateformes étaient dédiées à la vente de produits (à l’instar des sites d’enchères en ligne, par exemple). Plus récemment sont apparus de nouveaux modèles, spécialisés dans la location d’hébergements de courte durée ou dans les services de transport ou de mobilité. Exploitant des données de géolocalisation en temps réel, accessibles via des applications mobiles, les services de mobilité proposent à la location des véhicules privés, des VTC ou des emplacements de stationnement. D’autres domaines sont également en pleine transformation, comme les petits travaux, les services de restauration et les services financiers. On parle souvent de l’« économie du partage » ou de la « consommation collaborative » pour désigner les modèles économiques qui sous-tendent ces activités, mais ces expressions ne saisissent pas la dimension d’échange commercial très répandue sur ces marchés.

Ces modèles ouvrent des débouchés économiques aux personnes qui fournissent les biens ou les services (« particuliers fournisseurs ») et aux plateformes assurant l’interface (« plateformes mettant en relation les particuliers »). Les données fiables sur les opérations conclues par ce biais sont encore rares, mais pour les plateformes les plus importantes, les estimations sont impressionnantes. Fondée en 2008, Airbnb estimait son chiffre d’affaires de 2015 à 900 millions USD, ce qui signifierait que la plateforme a exploité un marché de 7.5 milliards USD environ cette année-là (Kokalitcheva, 2015). Uber, fondée en 2009, a estimé que ses réservations à l’échelle mondiale allaient se monter à 10 milliards USD en 2015 (Zhang et Shih, 2015). La participation des consommateurs est tout aussi significative. Ainsi, on constate que 72 % des adultes aux États-Unis ont utilisé au moins un des 11 « services partagés et à la demande » et que 17 % des Européens ont fait appel au moins une fois aux services de « plateformes collaboratives » (OCDE, 2016g).

Les motifs qui poussent les consommateurs à réaliser des transactions sur ces marchés tournent principalement autour des considérations financières ainsi que de la qualité des services et produits, et de l’expérience. Les consommateurs peuvent bénéficier d’un large choix de biens ou de services à un meilleur prix ou d’une meilleure qualité, de la commodité et de la simplicité d’utilisation de services fondés sur des plateformes mettant en relation les particuliers, et d’une expérience sociale améliorée (loger chez l’habitant plutôt qu’à l’hôtel donne un cachet plus authentique à un séjour et peut grandement enrichir l’expérience culturelle du voyage) (OCDE, 2016e).

Si les avantages des marchés des plateformes mettant en relation des particuliers commencent à faire l’objet de travaux de recherche, les problèmes potentiels que ces marchés créent pour le consommateur n’ont guère été étudiés jusqu’ici. La détermination et la mesure de la nature et de l’ordre de grandeur d’un possible préjudice pour le consommateur dans ce domaine – aspect essentiel d’une action publique fondée sur des éléments probants – reposent donc principalement sur des données limitées et des témoignages. Néanmoins, un certain nombre de préjudices possibles ont été détectés, comme un manque d’information adéquate, le coût afférent aux produits défectueux ou aux services inadaptés, des prix gonflés ou inéquitables, un préjudice physique ou des effets nocifs sur la santé, la compromission des données à caractère personnel des consommateurs et une restriction des choix (OCDE, 2016e). Certains de ces problèmes ne sont pas nécessairement spécifiques des marchés de plateformes, mais peuvent se poser de façon plus aiguë sur ces marchés du fait de la diversité et du nombre des particuliers fournisseurs. Dans une étude de 2016, plus de la moitié (55 %) des consommateurs de dix pays de l’UE ont déclaré avoir rencontré un problème sur l’une de ces plateformes, le plus fréquent étant la mauvaise qualité ou le caractère mensonger des descriptions. Les problèmes afférents à la qualité des produits ou des services semblent presque deux fois plus fréquents sur les marchés des plateformes mettant en relation des particuliers (29 %) que dans le cas d’achats en ligne de façon générale (15 %). Cependant, les mêmes consommateurs notent le préjudice personnel subi comme faible ou moyen (CE, 2017). Malgré la publicité autour des plateformes bien connues citées précédemment, les débats et les travaux de recherche récents se sont principalement intéressés aux avantages que les consommateurs peuvent trouver à réaliser des transactions sur ces marchés plutôt qu’aux problèmes potentiels que ces mêmes consommateurs pourraient rencontrer. Les préjudices peuvent être de différentes natures, financières ou non financières, ou peuvent ne pas être facilement découverts, quand ils le sont. Ainsi, l’information relative à la nature du produit ou du service et aux conditions de livraison peut ne pas toujours être adéquate. Cela n’est pas spécifique des marchés de plateformes, mais peut être aggravé par la diversité et le nombre des particuliers fournisseurs. Les autres difficultés possibles sont notamment : le coût afférent aux produits défectueux ou aux services inadaptés, des prix gonflés ou inéquitables, un préjudice physique ou des effets nocifs sur la santé, la compromission des données à caractère personnel des consommateurs et une restriction des choix (OCDE, 2016e).

En outre, les consommateurs peuvent faire face à des problèmes de confiance dans leur utilisation des plateformes mettant en relation des particuliers, et ce, à plusieurs titres : confiance dans la fiabilité et les qualifications du particulier fournisseur ; confiance dans le bien ou le service ; et confiance dans les garanties et protections offertes par la plateforme. Les plateformes ont donc élaboré un certain nombre de mécanismes pratiques et innovants pour répondre aux inquiétudes et éliminer les facteurs d’empêchement qui limitent l’engagement du consommateur. Les catégories les plus courantes de mécanismes élaborés par les marchés des plateformes mettant en relation des particuliers pour renforcer la confiance sont les suivantes (OCDE, 2016e) :

Systèmes d’avis et de réputation. Ils représentent un élément clé du dispositif destiné à aider les particuliers consommateurs à prendre des décisions éclairées. Outre leur fonction essentielle de renforcement de la confiance, ils peuvent également contribuer à réguler le comportement des intervenants grâce aux systèmes de suivi et de retour d’informations, et à la pression exercée par les pairs.
Garanties ou assurance. Face aux expériences négatives – accidents, vols et fraudes –, un certain nombre de plateformes ont mis en place des garanties. Airbnb, par exemple, propose aux voyageurs comme aux hôtes des garanties couvrant les accidents, les vols et les actes de vandalisme intentionnels. eBay, Uber, et d’autres encore, ont également mis en place de tels dispositifs, tous assortis de conditions variables.
Vérification de l’identité des acteurs. Certaines plateformes exercent une action pour vérifier l’identité des particuliers concernés. L’une des causes de préjudice tient au fait que les consommateurs ne sont pas toujours en mesure de contacter le particulier fournisseur en cas de problème, et le fait de vérifier les identités peut être utile pour résoudre les différends.
Préfiltrage. Certaines plateformes proposent des fonctions de préfiltrage des particuliers fournisseurs ; il s’agit généralement de vérifier les enregistrements de bases de données externes – telles que le registre des véhicules ou le fichier des casiers judiciaires.
Systèmes de paiement sécurisé. De nombreuses plateformes proposent ce type de service, souvent en coopération avec des systèmes de paiement externes établis. Il importe de souligner que la plupart de ces systèmes sont eux-mêmes réglementés et soumis au contrôle des pouvoirs publics.
Sensibilisation, listes de contrôle et formulaires. De nombreuses plateformes investissent dans la sensibilisation de leurs utilisateurs ; elles les informent notamment sur les éventuelles obligations légales ou autres qui incombent aux marchands, aux conducteurs ou aux hôtes. De toute évidence, ces informations sont d’une utilité variable, qui dépend notamment de leur exactitude.

La progression rapide des plateformes mettant en relation des particuliers pourrait indiquer que les mécanismes censés renforcer la confiance des consommateurs, tels que ceux décrits dans ce qui précède, atteignent effectivement leur but. Pourtant, de nombreux observateurs se sont demandé dans quelle mesure ces mécanismes constituaient un substitut efficace à la réglementation (en particulier dans le cas de règlements afférents à la santé et à la sûreté) et ont souligné des problèmes de partialité ainsi que de faux avis ou d’avis mensongers. Ils ont également noté que, de fait, nombre de ces mécanismes de renforcement de la confiance, en particulier les systèmes de réputation, faisaient peser la charge de la surveillance sur les consommateurs, ce qui n’était pas sans conséquence pour les plus vulnérables. Aussi l’OCDE mène-t-elle des travaux de recherche supplémentaires pour mieux cerner le dispositif qui fonctionne le mieux et dans quelles circonstances.

Références

Abrams, M. (2014), « The origins of personal data and its implications for governance », document de référence pour la discussion d’experts de l’OCDE, 21 mars, http://informationaccountability.org/wp-content/uploads/Data-Origins-Abrams.pdf .

Acquisti, A. (2010), « The economics of personal data and the economics of privacy », document de référence n° 3, table ronde conjointe WPISP-WPIE, 1^er décembre, www.oecd.org/sti/ieconomy/46968784.pdf .

Arbor Networks (2017), Worldwide Infrastructure Security Report Volume XII, Arbor Networks, www.arbornetworks.com/insight-into-the-global-threat-landscape .

Arbor Networks (2016), Worldwide Infrastructure Security Report Volume XI, Arbor Networks, www.arbornetworks.com/images/documents/WISR2016_EN_Web.pdf .

Ashford, W. (2016a), « GDPR will require 28,000 DPOs in Europe and US, study shows », ComputerWeekly, 20 avril, www.computerweekly.com/news/450283253/GDPR-will-require-28000-DPOs-in-Europe-study-shows .

Ashford, W. (2016b), « GDPR will require 75,000 DPOs worldwide, study shows », ComputerWeekly, 10 novembre, www.computerweekly.com/news/450402719/GDPR-will-require-75000-DPOs-worldwide-study-shows .

Australian Government (2016), « Australian Consumer Survey 2016 », Commonwealth of Australia, http://consumerlaw.gov.au/australian-consumer-survey .

BBC (2017), « NHS cyber-attack: GPs and hospitals hit by ransomware », BBC, 13 mai, www.bbc.com/news/health-39899646 .

BBC (2015), « Sony Pictures computer system hacked in online attack », BBC, 25 novembre, www.bbc.com/news/technology-30189029 .

Betterley, R. (2015), « The Betterley report: Cyber/Privacy Insurance Market Survey 2017 », Betterley Risk Consultants, Inc., Sterling, Massachusetts, www.irmi.com/online/betterley-report-free/cyber-privacy-media-liability-summary.pdf .

Bureau of Labor Statistics (2014), Occupational Outlook Handbook, US Department of Labor, janvier, www.bls.gov/ooh/computer-and-information-technology/information-security-analysts.htm .

CE (2017), « Exploratory study of consumer issues in online peer-to-peer platform markets: Executive summary », Commission européenne, Bruxelles, http://ec.europa.eu/newsroom/document.cfm?doc_id=45246 .

CE (2016a), « Consumer vulnerability across key markets in the European Union: Final Report », rapport rédigé par London Economics, VVA Consulting et Ipsos MORI consortium, Commission européenne, Bruxelles, janvier, http://ec.europa.eu/consumers/consumer_evidence/market_studies/docs/vulnerable_consumers_approved_27_01_2016_en.pdf .

CE (2016b), « E-privacy », Eurobaromètre Flash n° 443, Union européenne, décembre, http://ec.europa.eu/COMMFrontOffice/publicopinion/index.cfm/ResultDoc/download/DocumentKy/76377 .

CE (2015a), Tableau de bord de la consommation : Les consommateurs et le marché unique, Édition de 2015, Commission européenne, Luxembourg, http://ec.europa.eu/consumers/consumer_evidence/consumer_scoreboards/11_edition/docs/ccs2015scoreboard_fr.pdf .

CE (2015b), « Data protection », Eurobaromètre spécial n° 431, Commission européenne, juin, http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_431_en.pdf .

CE (2015c), « Cyber security », Eurobaromètre spécial n° 423, Commission européenne, février, http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_423_en.pdf .

CE (2014), Study on Online Consumer Reviews in the Hotel Sector: Executive Summary, une étude de Risk & Policy Analysts (RPA) Ltd, CSES and EPRD, Commission européenne, https://doi.org/10.2772/32069 .

CE (2013), « Cyber security », Eurobaromètre spécial n° 404, Commission européenne, novembre, http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_404_en.pdf .

Cisco (2016), Annual Security Report 2016, www.cisco.com/c/dam/assets/offers/pdfs/cisco-asr-2016.pdf .

CMA (2015a), « Online reviews and endorsements: Report on the CMA’s call for information », Competition & Markets Authority, Londres, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/436238/Online_reviews_and_endorsements.pdf .

CMA (2015b), « Energy market investigation », rapport rédigé par GfK NOP pour la Competition & Markets Authority, Londres, février, https://assets.publishing.service.gov.uk/media/54e75c53ed915d0cf700000d/CMA_customer_survey_-_energy_investigation_-_GfK_Report.pdf .

CNUCED (2016), « UNCTAD B2C E-commerce Index 2016 », UNCTAD Technical Notes on ICT for Development, n° 7, Conférence des Nations Unies sur le commerce et le développement, Genève, avril, http://unctad.org/en/PublicationsLibrary/tn_unctad_ict4d07_en.pdf .

CNUCED (2015), Information Economy Report 2015: Unlocking the Potential of E-commerce for Developing Countries, Conférence des Nations Unies sur le commerce et le développement, Genève, http://unctad.org/en/PublicationsLibrary/ier2015_en.pdf .

CSIS (2014), « Net losses: Estimating the global cost of cybercrime: Economic impact of cybercrime II », McAfee, Inc., Santa Clara, Californie, www.mcafee.com/jp/resources/reports/rp-economic-impact-cybercrime2.pdf .

Duhigg, C. (2012), « How companies learn your secrets », The New York Times, 16 février, www.nytimes.com/2012/02/19/magazine/shopping-habits.html .

ECCN (European Consumer Centres Network) (2015), The European Consumer Centres Network: 10 Years Serving Europe’s Consumers: Anniversary Report 2005-2015, Union européenne, Luxembourg, http://ec.europa.eu/consumers/solving_consumer_disputes/non-judicial_redress/ecc-net/docs/ecc_net_-_anniversary_report_2015_en.pdf .

ECME Consortium (2013), « Study on the coverage, functioning and consumer use of comparison tools and third-party verification schemes for such tools », EAHC/FWC/20138507, Commission européenne, Bruxelles, http://ec.europa.eu/consumers/consumer_evidence/market_studies/docs/final_report_study_on_comparison_tools.pdf .

Economist Intelligence Unit (2013), « Information risk: Managing digital assets in a new digital landscape », The Economist Intelligence Unit.

Edwards, B., S. Hofmeyr et S. Forrest (2014), « Hype and heavy tails: A closer look at data breaches », Atelier sur l’économie de la sécurité de l’information, www.econinfosec.org/archive/weis2015/papers/WEIS_2015_edwards.pdf .

ENISA (2009), « An SME perspective on cloud computing », enquête, Agence européenne chargée de la sécurité des réseaux et de l’information, 20 novembre, www.enisa.europa.eu/publications/cloud-computing-sme-survey .

Fiskerstrand, K. (2017), « sks-keyservers.net – key development », https://sks-keyservers.net/status/key_development.php (consulté le 15 avril 2017).

Frier, S. et M. Townsend (2016), « FTC to crack down on paid celebrity posts that aren’t clear ads », Bloomberg, 5 août, www.bloomberg.com/news/articles/2016-08-05/ftc-to-crack-down-on-paid-celebrity-posts-that-aren-t-clear-ads .

FTC (2017), « Consumer Sentinel Network Data Book for January-December 2016 », Federal Trade Commission, Washington, DC, mars, www.ftc.gov/system/files/documents/reports/consumer-sentinel-network-data-book-january-december-2016/csn_cy-2016_data_book.pdf .

FTC (2016), « Consumer Sentinel Network Data Book for January-December 2015 », Federal Trade Commission, Washington, DC, février, www.ftc.gov/system/files/documents/reports/consumer-sentinel-network-data-book-january-december-2015/160229csn-2015databook.pdf .

FTC (2006), « ChoicePoint settles data security breach charges; to pay $10 million in civil penalties, $5 million for consumer redress », communiqué de presse, Federal Trade Commission, 26 janvier, www.ftc.gov/news-events/press-releases/2006/01/choicepoint-settles-data-security-breach-charges-pay-10-million .

Goodin, D. (2015), « Pay or we’ll knock your site offline: DDoS-for-ransom attacks surge », Ars Technica, http://arstechnica.com/security/2015/11/pay-or-well-knock-your-site-offline-ddos-for-ransom-attacks-surge .

Greenaway, K., S. Zabolotniuk et A. Levin (2012), « Privacy as a risk management challenge for corporate practice », Ted Rogers School of Management, Ryerson University, Privacy and Cyber Crime Institute, www.ryerson.ca/content/dam/tedrogersschool/privacy/privacy_as_a_risk_management_challenge.pdf .

Greenberg, A. (2015a), « Hackers remotely kill a Jeep on the highway – with me in it », Wired, juillet, www.wired.com/2015/07/hackers-remotely-kill-jeep-highway .

Greenberg, A. (2015b), « After Jeep hack, Chrysler recalls 1.4M vehicles for bug fix », Wired, juillet, www.wired.com/2015/07/jeep-hack-chrysler-recalls-1-4m-vehicles-bug-fix .

Harford, T. (2014), « Big data: Are we making a big mistake? », Financial Times, 28 mars, www.ft.com/cms/s/2/21a6e7d8-b479-11e3-a09a-00144feabdc0.html .

Hautala, L. (2016), « Why it was so easy to hack the cameras that took down the web », c|net, 24 octobre, www.cnet.com/how-to/ddos-iot-connected-devices-easily-hacked-internet-outage-webcam-dvr .

Hill, L. (2012), « How Target figured out a teen girl was pregnant before her father did », Forbes, 16 février, www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did .

IAPP (2016), « IAPP-EY annual privacy governance report 2016 », International Association of Privacy Professionals, https://iapp.org/media/pdf/resource_center/IAPP-2016-GOVERNANCE-SURVEY-FINAL2.pdf .

ICPEN (2016), Online Reviews & Endorsements: ICPEN Guidelines for Review Administrators, International Consumer Protection and Enforcement Network.

International Cyber Security Protection Alliance (2013), « Study of the impact of cyber crime on businesses in Canada », International Cyber Security Protection Alliance, Buckinghamshire, United Kingdom, https://www.icspa.org/wp-content/uploads/2014/12/ICSPA-Canada-Cyber-Crime-Study-Report.pdf .

Internet Society (2016), « Global Internet report 2016: The economics of building trust online: Preventing data breaches », Internet Society, www.internetsociety.org/globalinternetreport/2016 .

(ISC)² (2015), « The 2015 (ISC)² global information security workforce study », Livre blanc, Frost & Sullivan, (ISC)² et Booz Allen Hamilton, https://www.boozallen.com/content/dam/boozallen/documents/Viewpoints/2015/04/frostsullivan-ISC2-global-information-security-workforce-2015.pdf .

ISO/CEI (2009), Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Vue d’ensemble et vocabulaire, ISO/CEI 27000:2009, Organisation internationale de normalisation et Commission électrotechnique internationale.

Jardine, E. (2015), « Global cyberspace is safer than you think: Real trends in cybercrime », Global Commission on Internet Governance, Paper Series, n° 16, juillet, www.cigionline.org/sites/default/files/no16_web_0.pdf .

Kaiser, M. (2011), Prepared testimony of the National Cyber Security Alliance on the State of Cybersecurity and Small Business before the Committee on House Small Business Subcommittee on Healthcare and Technology, United States House of Representatives, 1^er décembre, http://smallbusiness.house.gov/uploadedfiles/kaiser_testimony.pdf .

Klahr, R. et al. (2016), « Cyber Security Breaches Survey 2016 », Ipsos MORI Social Research Institute, Londres, mai, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/521465/Cyber_Security_Breaches_Survey_2016_main_report_FINAL.pdf .

Kokalitcheva, K. (2015), « Here’s how Airbnb justifies its eye-popping $24 billion valuation », Fortune, 17 juin, http://fortune.com/2015/06/17/airbnb-valuation-revenue .

Madden, M. (2014), « Public perceptions of privacy and security in the post-Snowden era », Pew Research Center, 12 novembre, www.pewinternet.org/files/2014/11/PI_PublicPerceptionsofPrivacy_111214.pdf .

Mayer, R.C., J.H. Davis et F.D. Schoorman (1995), « An integrative model of organizational trust », The Academy of Management Review, vol. 20, n° 3, pp. 709-734, www.jstor.org/stable/258792 .

McGlasson, L. (2009), « Heartland Payment Systems, Forcht Bank discover data breaches », Bank info Security, 21 janvier, www.bankinfosecurity.com/heartland-payment-systems-forcht-bank-discover-data-breaches-a-1168 .

NSBA (National Small Business Association) (2016), « 2015 year end economic reports », National Small Business Association, Washington, DC, février, www.nsba.biz/wp-content/uploads/2016/02/Year-End-Economic-Report-2015.pdf .

NSBA (2015), « 2014 year end economic reports », National Small Business Association, Washington, DC, février, www.nsba.biz/wp-content/uploads/2015/02/Year-End-Economic-Report-2014.pdf .

NTIA (2016), « Lack of trust in Internet privacy and security may deter economic and other online activities », National Telecommunications and Information Administration, United States Department of Commerce, Washington, DC, 13 mai, www.ntia.doc.gov/blog/2016/lack-trust-internet-privacy-and-security-may-deter-economic-and-other-online-activities .

OCDE (2016a), « The Internet of Things: Seizing the benefits and addressing the challenges », OECD Digital Economy Papers, n° 252, Éditions OCDE, Paris, https://doi.org/10.1787/5jlwvzz8td0n-en .

OCDE (2016b), « Décloisonner pour stimuler la confiance en ligne », L’Obervateur de l’OCDE, n° 307, OCDE, Paris, http://oecdobserver.org/news/fullstory.php/aid/5589/Bridging_policy_silos_to_boost_trust_online.html .

OCDE (2016c), « Stimulating digital innovation for growth and inclusiveness: The role of policies for the successful diffusion of ICT », OECD Digital Economy Papers, n° 256, Éditions OCDE, Paris, https://doi.org/10.1787/5jlwqvhg3l31-en .

OCDE (2016d), Recommandation du Conseil sur la protection du consommateur dans le commerce électronique, OCDE, Paris, https://www.oecd.org/fr/sti/consommateurs/ECommerce-Recommendation-2016-FR.pdf .

OCDE (2016e), « Protecting Consumers in Peer Platform Markets: Exploring The Issues », OECD Digital Economy Papers, n° 253, Éditions OCDE, Paris, https://doi.org/10.1787/5jlwvz39m1zw-en .

OCDE (2016f), « Managing Digital Security and Privacy Risk », OECD Digital Economy Papers, n° 254, Éditions OCDE, Paris, https://doi.org/10.1787/5jlwt49ccklt-en .

OCDE (2016g), « New Forms of Work in the Digital Economy », OECD Digital Economy Papers, n° 260, Éditions OCDE, Paris, https://doi.org/10.1787/5jlwnklt820x-en .

OCDE (2015a), La gestion du risque de sécurité numérique pour la prospérité économique et sociale : Recommandation de l’OCDE et document d’accompagnement, Éditions OCDE, Paris, https://doi.org/10.1787/9789264246089-fr .

OCDE (2015b), Data-Driven Innovation: Big Data for Growth and Well-Being, Éditions OCDE, Paris, https://doi.org/10.1787/9789264229358-en .

OCDE (2014), Measuring the Digital Economy: A New Perspective, Éditions OCDE, Paris, https://doi.org/10.1787/9789264221796-en .

OCDE (2013), Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, OCDE, Paris, www.oecd.org/fr/sti/ieconomie/lignesdirectricesregissantlaprotectiondelaviepriveeetlesfluxtransfrontieresdedonneesdecaracterepersonnel.htm .

OCDE (2011), « The evolving privacy landscape: 30 years after the OECD privacy guidelines », OECD Digital Economy Papers, n° 176, Éditions OCDE, Paris, https://doi.org/10.1787/5kgf09z90c31-en .

OCDE (2003), Lignes directrices de l’OCDE régissant la protection des consommateurs contre les pratiques commerciales transfrontières frauduleuses et trompeuses, Éditions OCDE, Paris.

Otake, T. (2015), « Japan Pension Service hack used classic attack method », The Japan Times, 2 juin, www.japantimes.co.jp/news/2015/06/02/national/social-issues/japan-pension-service-hack-used-classic-attack-method .

Perlroth, N. (2012), « Cameras may open up the board room to hackers », The New York Times, 22 janvier, www.nytimes.com/2012/01/23/technology/flaws-in-videoconferencing-systems-put-boardrooms-at-risk.html .

Piatetsky, G. (2014), « Did Target really predict a teen’s pregnancy? The inside story », KDnuggets, 7 mai, www.kdnuggets.com/2014/05/target-predict-teen-pregnancy-inside-story.html .

PwC (2015), « 2015 Information Security Breaches Survey », PricewaterhouseCoopers, www.pwc.co.uk/services/audit-assurance/insights/2015-information-security-breaches-survey.html .

Sharman, J. (2017), « Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France », The Independent, 13 mai.

Smith (2016), « IoT security camera infected within 98 seconds of plugging it in », NetworkWorld, 20 novembre, www.networkworld.com/article/3143133/security/iot-security-camera-infected-within-98-seconds-of-plugging-it-in.html .

Smith, A. et M. Anderson (2016), « Online shopping and e-commerce », Pew Research Center, 19 décembre, http://assets.pewresearch.org/wp-content/uploads/sites/14/2016/12/16113209/PI_2016.12.19_Online-Shopping_FINAL.pdf .

Storm, D. (2015), « MEDJACK: Hackers hijacking medical devices to create backdoors in hospital networks », ComputerWorld, juin, www.computerworld.com/article/2932371/cybercrime-hacking/medjack-hackers-hijacking-medical-devices-to-create-backdoors-in-hospital-networks.html .

Thales (2016), Encryption Application Trends Study 2016, Thales e-security, Inc.

The Japan Times (2015), « Japan Pension Service hack used classic attack method », The Japan Times, 2 juin, www.japantimes.co.jp/news/2015/06/02/national/social-issues/japan-pension-service-hack-used-classic-attack-method .

UK Department for Business, Innovation and Skills (2015), 2015 Information Security Breaches Survey: Technical Report, Department for Business Innovation and Skills, Londres, www.pwc.co.uk/assets/pdf/2015-isbs-technical-report-blue-digital.pdf .

UK Department for Business Innovation and Skills (2014), « Digital capabilities in SMEs: Evidence review and re-survey of 2014 Small Business Survey respondents », BIS Research Papers, n° 247, Department for Business Innovation and Skills, Londres, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/457750/BIS-15-509-digital-capabilities-in-SMEs-evidence-review-and-re-survey-of-2014-small-business-survey-respondents.pdf .

UK Department for Culture, Media & Sport (2016), « 2016 Cyber Security Breaches Survey », Gouvernement britannique, Londres.

UKRN (UK Regulators Network) (2016), « Price comparison websites: Final report », UK Regulators Network, 27 septembre, www.ukrn.org.uk/wp-content/uploads/2016/09/201609027-UKRN-PCWs-Report.pdf .

US Department of Commerce (2016), « Quarterly retail e-commerce sales – 2nd quarter 2016 », US Census Bureau News, US Department of Commerce, Washington, DC, août, www.census.gov/retail/mrts/www/data/pdf/ec_current.pdf .

US International Trade Administration (2016), eCommerce Guide, https://www.export.gov (consulté le 1^er décembre 2016).

Valant, J. (2015), Online Consumer Reviews: The Case of Misleading or Fake Reviews, exposé, Parlement européen, octobre, www.europarl.europa.eu/RegData/etudes/BRIE/2015/571301/EPRS_BRI(2015)571301_EN.pdf .

Wong, J.C. et O. Solon (2017), « Massive ransomware cyber-attack hits nearly 100 countries around the world », The Guardian, 12 mai, www.theguardian.com/technology/2017/may/12/global-cyber-attack-ransomware-nsa-uk-nhs .

Zhang, S. et G. Shih (2015), « Uber seen reaching $10.8 billion in bookings in 2015: Fundraising presentation », Reuters, 21 août, www.reuters.com/article/2015/08/21/us-uber-tech-fundraising-idUSKCN0QQ0G320150821 .

Notes

← 1. Les données statistiques concernant Israël sont fournies par et sous la responsabilité des autorités israéliennes compétentes. L’utilisation de ces données par l’OCDE est sans préjudice du statut des hauteurs du Golan, de Jérusalem-Est et des colonies de peuplement israéliennes en Cisjordanie aux termes du droit international.

← 2. Les profils observés reflètent la domination économique des grandes entreprises, dont les ventes en ligne représentent en moyenne 22 % du chiffre d’affaires, contre 9 % pour les petites. En outre, les activités de commerce électronique demeurent en grande partie à l’intérieur des frontières nationales, malgré les récentes initiatives prises à l’échelon national et international pour développer les transactions transnationales en ligne (Chapter 5).

← 3. En moyenne, 90 % des ménages de la zone OCDE ont une connexion internet à domicile.

← 4. En 2009, plus d’un tiers des internautes de l’Union européenne qui n’avaient jamais rien acheté sur l’internet citaient la sécurité comme principal frein à l’achat en ligne. Les inquiétudes touchant à la vie privée arrivaient juste derrière (30 % environ) (Figure 6.2).

← 5. Il est important de noter que ce chiffre est bien inférieur (1 %) et en baisse si l’on rapporte les ménages avançant l’inquiétude à propos du respect de la vie privée et de la sécurité comme raison de leur absence d’accès à l’internet à l’ensemble des ménages. D’ailleurs, en 2015, c’est lorsqu’on aborde la question de la connectivité mobile que 10 % des individus citent leur inquiétude quand à la sécurité comme principale raison de ne pas utiliser des appareils mobiles (y compris des ordinateurs portables) pour établir des connexions sans fil à partir de lieux autres que leur domicile. Cette proportion varie de plus de 20 % aux Pays-Bas à 1 % en Grèce.

← 6. Cela étant, dans la plupart des pays, l’inquiétude quant au respect de la vie privée et à la sécurité sont parmi les raisons les moins citées pour expliquer l’absence de connexion à l’internet à domicile ; le désintérêt, le manque de compétences et le coût élevé de l’accès (en y incluant les appareils) sont des explications bien plus fréquentes.

← 7. La norme ISO/IEC (27000:2009) définit la sécurité de l’information comme la « protection de la confidentialité, de l’intégrité et de la disponibilité de l’information ». Elle ajoute la note suivante : « En outre, d’autres propriétés, telles que l’authenticité, l’imputabilité, la non-répudiation et la fiabilité peuvent également être concernées. » La confidentialité est la « propriété selon laquelle l’information n’est pas diffusée ni divulguée à des personnes, des entités ou des processus non autorisés » (ISO/CEI, 2009). L’intégrité signifie que l’exactitude et la complétude des données sont préservées durant tout leur cycle de vie. Quant à la disponibilité, elle signifie que l’information est « accessible et utilisable à la demande par une entité autorisée ».

← 8. La « violation de données » désigne « la perte, l’accès non autorisé à ou la divulgation non autorisée de données à caractère personnel dû à l’inaptitude d’une organisation à protéger efficacement les données » (OCDE, 2011).

← 9. Cela ne comprend que les plaintes acceptées au titre de la loi sur la protection des renseignements personnels et les documents électroniques.

← 10. Le document OCDE (2015b) souligne que l’internet « a parfois favorisé les comportements malhonnêtes, notamment la violation de la propriété intellectuelle » et reconnaît que, dans le cas de la violation du droit d’auteur, « il est cependant difficile d’obtenir des données précises et objectives sur l’ampleur réelle du phénomène ».

← 11. Voir aussi l’ouvrage d’Eric Jardine (2015) qui montre que, proportionnellement, l’augmentation n’est pas si forte étant donné que les activités liées à l’internet progressent aussi.

← 12. En 2015, au Royaume-Uni, par exemple, 90 % des grandes entreprises et 74 % des petites ont fait état d’un incident de sécurité (UK Department for Business, Innovation and Skills, 2015).

← 13. Dans l’enquête de 2012 de l’ISCPA, au Canada, les entreprises déclarant ne pas avoir subi d’incident touchant à la sécurité des informations sur les 12 derniers mois représentaient la plus grande part (31 %). Parmi celles qui avaient effectivement été confrontées à ce type d’incidents, 23 % n’en avaient subi qu’un seul et 23 % également en déclaraient plus de dix.

← 14. Une grande part des variations entre pays est due à des différences méthodologiques entre régions – en particulier entre les États membres de l’UE et d’autres pays de l’OCDE (Canada, Corée, Japon, Mexique et Nouvelle-Zélande). Il est important de noter en outre que les répondants sont susceptibles de minorer le nombre d’incidents effectivement subis durant une période donnée. Ainsi, sur une année, une entreprise a pu être la cible d’un certain nombre d’incidents de sécurité numérique sans pour autant les détecter tous. Ces incidents passés inaperçus ne seront pas pris en compte dans les réponses des personnes interrogées sur les incidents passés. Pour compliquer encore la situation, si les répondants ont le sentiment que leurs réponses ne resteront pas confidentielles, ils peuvent être tentés de ne pas parler de tous les incidents qu’ils ont effectivement détectés (afin de préserver leur réputation, par exemple). Il n’existe aucune estimation ferme de la part d’incidents qui passe inaperçue. En revanche, plusieurs enquêtes ont indiqué que la proportion d’incidents de sécurité non déclarés pouvait aller de 60 % à 90 % (Edwards, Hofmeyr et Forrest, 2014). Cela signifie qu’une part substantielle de l’ensemble des incidents constitue un « inconnu inconnu ».

← 15. Le taux élevé d’infections par des virus ou maliciels dont les personnes interrogées font état pourrait être dû aux progrès que les outils de détection plus évolués ont permis de réaliser.

← 16. Dans un incident lié à un déni de service, les services ou la bande passante d’une organisation sont inondés de demandes pourrielles qui mettent celle-ci hors ligne pour des heures, voire des jours (Goodin, 2015).

← 17. Comme la perte de 45 millions USD enregistrée par une banque dans une opération mondiale de cybercriminalité. Voir par exemple : www.reuters.com/article/us-usa-crime-cybercrime-idUSBRE9AH0YZ20131118 .

← 18. Deux mesures courantes sont donc utilisées pour évaluer l’effet des incidents sur les entreprises : le coût/la perte financière causé(e) par l’incident et les heures d’arrêt de l’activité ou les heures que le personnel a consacrées à remédier à l’incident (qui peuvent ensuite être converties en valeur monétaire).

← 19. Les PME qui subissent un incident portant atteinte à la sécurité numérique ou au respect de la vie privée, que celui-ci soit accidentel ou résulte d’un acte d’espionnage commercial, peuvent en pâtir davantage qu’une entreprise de plus grande taille, mieux armée pour engager des poursuites judiciaires afin de protéger ses investissements. Certaines PME comptent beaucoup sur la force et la portée de leur propriété intellectuelle pour générer l’investissement qui leur permettra d’atteindre la phase de commercialisation de leurs technologies. La propriété intellectuelle revêt une importance vitale pour de nombreuses petites entreprises innovantes à forte intensité de recherche-développement, et le vol ou la divulgation de cette propriété intellectuelle peut gravement dégrader leur avantage concurrentiel et leur fondement économique. Les start-ups œuvrant aux premiers stades de la recherche, dans le domaine des biotechnologies ou des nanotechnologies par exemple, peuvent être particulièrement vulnérables au vol de propriété intellectuelle.

← 20. Les données personnelles correspondent à « toute information relative à une personne physique identifiée ou identifiable (personne concernée) » (OCDE, 2013).

← 21. Cette publication utilise le terme de « violation de données » pour désigner un incident impliquant « la perte, l’accès non autorisé à ou la divulgation non autorisée de données à caractère personnel dû à l’inaptitude d’une organisation à protéger efficacement les données » (OCDE, 2011). Elle utilise le terme « incident de sécurité numérique » pour désigner des incidents qui peuvent ou non mettre en jeu des données personnelles.

← 22. L’incident dont a été victime ChoicePoint est devenu public en raison d’une loi californienne de 2003 qui fait obligation d’avertir un individu lorsque ses données à caractère personnel ont été divulguées à tort. Cet incident a contribué à l’adoption de lois similaires dans de nombreuses autres juridictions. Les Lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, révisées en 2013, appellent les maîtres de fichier à aviser les autorités compétentes en cas d’atteintes significatives à la sécurité qui affectent des données à caractère personnel (OCDE, 2013, paragraphe 15c).

← 23. La gravité et les conséquences des violations de données aussi ont augmenté. D’après une étude publiée en 2015 par l’organisation de recherche sur la sécurité des données Ponemon Institute, le coût total moyen d’une violation de données s’élevait désormais à 3.8 millions USD, contre 3.5 millions l’année précédente. L’étude précisait également que le coût d’une violation de données était de 154 USD par enregistrement perdu ou volé, contre 145 USD l’année précédente, et que celui résultant de la baisse de chiffre d’affaires consécutive à un recul de la confiance des consommateurs après une intrusion pouvait être encore plus élevé. L’étude britannique mentionnée plus haut a estimé que les incidents de grande envergure coûtaient aux grandes organisations entre 600 000 et 1.15 million GBP.

← 24. Duhigg (2012) décrit comme suit le processus d’analyse : « […] Beaucoup de gens achètent des lotions, mais un des collègues de Pole avait remarqué que les femmes ayant ouvert une liste de naissance achetaient de plus grandes quantités de lotion sans parfum vers le début du deuxième trimestre de leur grossesse. Un autre analyste avait noté qu’à un certain moment au cours des 20 premières semaines, les femmes enceintes faisaient une consommation accrue de compléments alimentaires comme le calcium, le magnésium et le zinc. Beaucoup de consommateurs achètent du savon et des tampons d’ouate, mais, quand une femme se met soudain à acheter beaucoup de savon sans parfum et des tampons d’ouate en paquets géants, en plus de désinfectants manuels et de gants de toilette, cela indique qu’elle pourrait être proche du terme ». L’analytique de données n’étant pas parfaite, il peut y avoir des faux positifs (Harford, 2014). C’est pourquoi Target mélange ses offres avec des coupons qui ne concernent pas spécifiquement la grossesse (Piatetsky, 2014).

← 25. Au total, les consommateurs qui ont déposé ces plaintes pour fraude ont déclaré avoir payé plus de 744 millions USD, le montant médian étant de 450 USD. Sur l’ensemble des consommateurs qui ont enregistré une plainte liée à la fraude aux États-Unis, 51 % ont également déclaré un montant payé.

← 26. Les plaintes qui figurent dans la base CSN sont auto-déclarées et non vérifiées, et ne représentent pas nécessairement un échantillon aléatoire des préjudices subis par les consommateurs sur tel ou tel marché. Pour ces raisons, les variations annuelles du nombre de fraudes et/ou d’usurpations d’identité ne sont pas nécessairement indicatrices d’une augmentation ou d’une diminution de la fraude et/ou de l’usurpation d’identité réelle(e) ou supposée(e) sur le marché.

← 27. Les Lignes directrices régissant la protection des consommateurs contre les pratiques commerciales transfrontières frauduleuses et trompeuses (OCDE, 2003) mettent en évidence les trois types de pratiques commerciales frauduleuses et trompeuses suivants : « i) Toute pratique consistant à donner des informations inexactes, et notamment des informations susceptibles d’induire en erreur, qui porte atteinte de façon significative aux intérêts économiques de consommateurs abusés. ii) Toute pratique consistant à ne pas livrer des produits ou ne pas fournir des services aux consommateurs après que ceux-ci les ont payés. iii) Toute pratique consistant à débiter les comptes financiers, téléphoniques ou autres des consommateurs sans leur autorisation. »

← 28. En vertu de ce premier principe, les parties prenantes « devraient être conscientes que le risque de sécurité numérique peut compromettre la réalisation de leurs objectifs économiques et sociaux, et que la gestion de ce risque peut avoir des incidences sur autrui. Elles devraient bénéficier de l’éducation et des compétences nécessaires pour comprendre ce risque, pour aider à le maîtriser et pour évaluer l’impact que pourraient avoir leurs décisions en matière de gestion du risque de sécurité numérique, tant sur leurs activités que sur l’ensemble de l’environnement numérique » (OCDE, 2015a).

← 29. À titre d’exemple, le Règlement général de l’Union européenne sur la protection des données considère la pseudonymisation et le chiffrement comme des mesures appropriées à utiliser par les responsables du traitement et les sous-traitants afin d’assurer la sécurité du traitement des données personnelles.

← 30. L’utilisation de serveurs sécurisés a également été stimulée par le fait que les prestataires de services de recherche sur l’internet ont privilégié les accès sécurisés par SSL/TLS chaque fois que c’était possible (voir aussi www.google.com/transparencyreport/https).

← 31. Sur les 16 millions dans le monde, 10 % seulement ont un emplacement connu.

← 32. Voir aussi Cisco (2016), Annual Security Report, www.cisco.com/c/dam/assets/offers/pdfs/cisco-asr-2016.pdf .

← 33. WhatsApp utilise le protocole Signal (anciennement connu sous le nom de protocole TextSecure), un protocole cryptographique non fédéré développé par Open Whisper Systèmes en 2013 et introduit pour la première fois dans l’application open source TextSecure (désormais appelée Signal Private Messenger)

← 34. Tor est un logiciel libre qui protège la vie privée, la confidentialité des communications et la liberté d’expression des internautes en leur offrant l’anonymat en ligne. À l’origine, le projet a été financé par le laboratoire de recherche de la marine des États-Unis (US Navy Research Lab), puis par l’Electronic Frontier Foundation ; il est aujourd’hui soutenu par le Tor Project, une organisation à but non lucratif de recherche et d’éducation installée aux États-Unis dont les différentes sources de financement sont listées sur le site web. Le Tor Project publie les « éléments d’analyse du réseau Tor, y compris des graphiques présentant la bande passante disponible et une estimation de la base d’utilisateurs » (voir https://metrics.torproject.org).

← 35. Voir aussi le document OCDE (2015a), selon lequel « [l]’inquiétude suscitée par les demandes d’accès des pouvoirs publics – en particulier aux données confiées à des fournisseurs de services infonuagiques – est antérieure aux révélations d’Edward Snowden en 2013 et ne concerne pas uniquement les activités de renseignement. Néanmoins, ces révélations ont mis en exergue le besoin de transparence. Désormais, une pression croissante s’exerce sur les entreprises de l’internet et des communications afin qu’elles fassent la lumière sur la façon dont elles traitent ces demandes. »

← 36. Il faut aussi mentionner le Privacy Officers Network, qui permet à de hauts responsables de la protection de la vie privée s’occupant de la mise en œuvre concrète d’initiatives en ce domaine de se rencontrer et d’échanger via un réseau de soutien professionnel ; on peut aussi citer des organismes nationaux, comme l’Association française des correspondants à la protection des données à caractère personnel et l’Asociación Profesional Española de Privacidad.

← 37. Voir l’article 37 du Règlement général sur la protection des données.

← 38. Pour n’en citer que quelques-uns : aux États-Unis, la demande de la Maison blanche en juillet 2016 que chaque organisme du gouvernement fédéral nomme un haut fonctionnaire chargé, pour l’organisme, de la protection de la vie privée a été un autre facteur déterminant. Au Canada, la loi fédérale sur la protection des renseignements personnels et les documents électroniques exige des organisations qu’elles désignent un ou plusieurs individus responsables des activités de traitement des données à caractère personnel. En Nouvelle-Zélande, la loi sur la protection de la vie privée fait obligation à toutes les entités du secteur public et du secteur privé de nommer un responsable de la protection de la vie privée. En Corée, les deux lois sur ce thème exigent des entreprises qu’elles désignent une personne responsable de la gestion de l’information à caractère personnel. Globalement, l’IAPP (2016) estime donc que l’emploi dans les métiers liés à la protection de la vie privée augmentera de façon significative au cours de l’année à venir, et ce, à deux titres : « le nombre de postes à plein temps de professionnels de la protection de la vie privée devrait croître de 37 % au sein des unités spécialisées dans ce domaine, et on attend une croissance supplémentaire de 39 % des responsabilités liées à la protection de la vie privée dans les autres unités ».

← 39. Ce constat est cohérent avec le rapport Burning Glass (2015), selon lequel la demande d’emplois liés à la cybersécurité progresse dans l’ensemble de l’économie américaine : en 2014, on dénombrait près de 238 158 offres publiées pour ce type d’emplois. Les emplois liés à la cybersécurité représentent 11 % de l’ensemble des emplois informatiques. Burning Glass (2015) définit les emplois liés à la cybersécurité comme ceux dont le titre se rapporte à la cybersécurité, qui requièrent une certification dans ce domaine ou qui demandent des compétences propres à ce domaine.

← 40. Il est intéressant de noter la manière différente dont les hommes et les femmes perçoivent ces défis dans l’enquête (ISC)² : alors que les hommes en particulier (plus de 50 %) estiment qu’il est plus difficile de trouver des personnes qualifiées que durant les années précédentes, les femmes considèrent que le problème majeur est le manque de compréhension des exigences en matière de sécurité de la part des cadres dirigeants.

← 41. Cela étant, les répondants devaient sélectionner deux options, ce qui complique l’interprétation de ce résultat (le fait de choisir cette réponse rendait la sélection d’un second choix fortement improbable). Une interprétation plus large pouvait aussi conduire à lire cette option comme signifiant que les priorités de sécurité informatique étaient établies par plusieurs fonctions.

← 42. Ou d’autres cadres supérieurs chargés de la sécurité de l’information.

← 43. Cela correspond en moyenne à plus de 350 USD par salarié. On notera toutefois que les entreprises employant un très grand nombre de personnes influent (mathématiquement) sur les résultats moyens, mais pas sur les résultats médians ; ces derniers sont donc plus faibles.

← 44. L’accent mis par la Recommandation du Conseil de l’OCDE sur la gestion du risque de sécurité numérique s’appuie sur trois messages : 1) Il est impossible d’éliminer totalement le risque de sécurité numérique lors de l’exécution d’activités qui dépendent de l’environnement numérique. Cependant, ce risque peut être géré, c’est-à-dire réduit à un niveau acceptable compte tenu des intérêts et avantages en jeu, et du contexte ; 2) les dirigeants et les décideurs devraient s’intéresser au risque de sécurité numérique qui menace les activités économiques et sociales, et pas uniquement à celui qui vise l’infrastructure numérique ; et 3) les organisations devraient intégrer la gestion du risque de sécurité numérique dans leurs processus de prise de décisions économiques et sociales et dans leur cadre global de gestion du risque au lieu d’aborder ce risque uniquement comme un problème technique (OCDE, 2015a).

← 45. Pour sa part, le nouveau Règlement général de l’Union européenne sur la protection des données impose d’évaluer les risques qui pourraient menacer les droits et les libertés des individus lorsqu’on prend des mesures visant à garantir le respect des obligations découlant du règlement, y compris sur les aspects liés à la sécurité. D’après le considérant 75 du Règlement, des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral.

← 46. L’étude de 2012, cofinancée par la NCSA et Symantec, rapporte que 23 % seulement des petites entreprises américaines ont une politique de sécurité de l’internet formellement définie, 59 % n’ont pas de plan d’action en cas d’urgence et tout juste 35 % dispensent à leurs salariés une quelconque formation sur la sûreté et la sécurité de l’internet. De la même manière, l’Étude des effets de la cybercriminalité sur les entreprises au Canada menée en 2013 indique que 22 % seulement des entreprises canadiennes appliquent un processus d’évaluation des risques pour déterminer leurs points de vulnérabilité (International Cyber Security Protection Alliance, 2013).

← 47. Il faut noter qu’abstraction faite de la possibilité d’acquérir un avantage concurrentiel en traitant le risque numérique comme un enjeu stratégique, il est également arrivé qu’une entreprise qui avait dévoilé un incident de sécurité numérique constate un effet positif sur sa réputation à la suite de cette révélation, parce que celle-ci avait montré que l’entreprise était consciente des risques en la matière et qu’elle y faisait face de façon professionnelle.

← 48. L’enquête ABACUS (Australian Business Assessment of Computer User Security), réalisée en 2009 auprès des entreprises australiennes pour évaluer les incidents de sécurité auxquelles celles-ci étaient confrontées, a également demandé aux répondants quels étaient les incidents qui étaient couverts par des polices d’assurance. Les résultats ont été décomposés par taille d’entreprise. Le type d’incident contre lequel la plus grande proportion des entreprises ont déclaré être couvertes était « le vol ou la perte de matériel ».