20 avril 2020
La révolution numérique façonne une conception élargie de la personne, à laquelle on peut désormais associer l’ensemble de ses activités virtuelles et de les traces qu’elle laisse sur la toile. Une nouvelle donne qui s’accompagne de son lot de nouveaux risques. Alors pour reprendre le contrôle de nos existences numériques, pourquoi ne pas les assurer au même titre que notre santé ou notre logement ?
Entre « vraie vie » et existence numérique, la distinction aura-t-elle encore un sens demain ? Avec l’hyper-digitalisation de la société et la démultiplication du nombre de données, notre activité virtuelle — des réseaux sociaux aux achats en ligne, en passant par les démarches administratives sur le net — apparaît de plus en plus clairement comme une extension de notre identité physique « IRL » (in real life). La preuve, les données personnelles (soit toute information se rapportant à une personne physique susceptible d’être identifiée, directement ou indirectement), mises en ligne tout au long de notre vie, nous survivent, et parfois nous précèdent. Aujourd’hui, d’après une étude réalisée par l’institut de sondage Gece, 30% des bébés ont déjà leur empreinte en ligne avant même de naître, à travers une photo de l’échographie ou une simple annonce de la grossesse sur les réseaux sociaux. Parallèlement, le temps passé sur nos smartphones ne cesse d’augmenter : d’après une étude menée par Hootsuite, en 2019, la moyenne mondiale était de 3h14 par jour, contre 3h06 en 2018,.
Une vie en ligne, à laquelle on ne pense pas en publiant un simple post sur Instagram et qui échappe souvent à notre contrôle et nous rend vulnérable. En 2016, selon le rapport annuel Breach Level Index (BLI) de la société Gemalto, 1,4 milliard d’identités ont été volées : des noms ou pseudos, des adresses IP, parfois des mots de passe... avec des conséquences parfois importantes telles que l’usurpation d’identité, la fraude ou encore le cyber harcèlement. Une menace qui dépasse donc largement ce que l’on partage volontairement ou non sur les réseaux sociaux, et elle est d’autant plus inquiétante que les données sensibles sont vouées à être digitalisées. Dans les années à venir, il n’est pas impossible que nos papiers d’identité soient utilisés sous forme 100% numérique : en France, deux régions-pilotes testent déjà une version dématérialisée de la carte Vitale.
Amplification des cyber-risques
Le risque est désormais global et généralisé, et concerne aussi bien les particuliers que les entreprises. Pour Laurent Heslault, directeur des stratégies de sécurité de Symantec, « on doit devenir cyber-résilient. La question n’est pas de savoir si l’on va être attaqué, mais plutôt quand. » Les chiffres livrés par le dernier rapport annuel de Symantec en 2019 indiquent en effet une intensification évidente de la cybercriminalité : + 33% de logiciels de rançons sur mobile, + 25% de groupes de hackers utilisant un malware destructif, +78% d’attaques visant les chaînes logistiques… Les objets connectés sont particulièrement touchés : en 2018, plus de 70 millions de dossiers y ont été volés ou divulgués.
Les techniques de hacking, quant à elles, ne cessent de s’affiner, du cryptojacking (un logiciel malveillant utilisant les ressources d’un ordinateur ou d'un appareil mobile pour « miner » de la cryptomonnaie) aux « fausses applis » (à l’instar de « Setup for Amazon Alexa », qui dérobait les données des utilisateurs à leur insu), en passant par le piratage de la supply chain, qui consiste pour les cybercriminels à s’attaquer directement aux entreprises de production de logiciels, comme récemment l'outil de nettoyage CCleaner.
Demain, tous cyberassurés ?
Autant de risques qui nourrissent un sentiment d’inquiétude bien réel : d’après le dernier baromètre confiance des français dans le numérique de l’Acsel, datant de début 2020, seuls 40% des Français ont confiance dans le numérique. Pour les aider à reprendre le contrôle de leur existence numérique, certains assureurs concoctent d’ores et déjà des offres de cyberassurance adaptées à cette nouvelle donne. Après avoir émergé dans le secteur bancaire dès les années 1990 et s’être progressivement répandues dans le monde de l’entreprise — en France, 67 % d’entre elles déclarent avoir subi au moins une cyberattaque en 2019, leur coûtant en moyenne 110 000 euros, selon le rapport Hiscox sur la gestion des cyberrisques —, celles-ci commencent tout juste à attirer les particuliers désireux de se prémunir des aléas de l’existence numérique.
D’après une étude publiée en mars par Optimind, le marché français de l’assurance cyber pour les particuliers est en plein essor, avec une petite dizaine d’acteurs proposant des contrats incluant des garanties relatives à l’atteinte à l’e-réputation, l’usurpation d’identité et la bonne livraison des achats en ligne. Ainsi, à travers son service de protection juridique, BNP Paribas Cardif propose depuis plusieurs années aux particuliers une protection juridique pour le vol d’identité et la protection des moyens de paiement. Dans cette offre lancée dans différents pays d’Europe (ex : Allemagne et Autriche), l’assureur fournit également une assistance pour observer et comprendre l’attaque afin de mieux l’arrêter, ainsi que d’éventuelles compensations aux préjudices subis.
Compléter l'arsenal juridique
Dans le futur, ce type d’offres pourrait bien apporter une réponse complémentaire au cadre juridique protégeant les internautes de ce type d’attaques. En France, la loi — renforcée par l’entrée en vigueur du RGPD en 2018 qui insiste sur l’importance du consentement « libre, spécifique, éclairé et univoque » de l’internaute — assure aux particuliers un certain niveau de protection, puisqu’ils ont la possibilité de porter plainte à la CNIL en cas de violation de leurs données personnelles, et au commissariat en cas de cyberattaque. Ces dispositifs sont toutefois limités : « La CNIL est submergée de plaintes, et ses moyens sont assez limités. Si le RGPD et la CNIL ne gagnent pas en efficacité, peut-être que l’on arrivera à l’idée qu’il faut assurer individuellement les risques sur Internet », avance le juriste Lionel Maurel, membre de la Quadrature du Net, une ONG française qui défend les droits des internautes.
Par ailleurs, malgré cet arsenal juridique, le rapport de force entre les internautes et les grandes plateformes (GAFA) captant leurs données, reste largement asymétrique, et le traitement de leurs données, souvent opaque, note Lionel Maurel. Pour rééquilibrer la balance, le juriste défend la mise en place d’une « protection sociale » des données à caractère personnel. S’inspirant de certains mécanismes du droit du travail, et notamment de la forme syndicale, il imagine « une organisation collective qui ferait l’intermédiaire avec des acteurs plus puissants par le biais de négociations, et pas seulement des actions en justice. »
D’autres, au contraire, voudraient faire émerger un droit de propriété sur les données personnelles ouvrant la voie à leur monétisation. Pour le think tank libéral Génération Libre, « c’est par l’introduction d’un système de prix, subtil équilibre entre marché et régulation, que l’on peut protéger la confidentialité des internautes tout en promouvant la concurrence dans un véritable marché. » Lancée début 2020, une appli, controversée, baptisée TaData propose de la même façon de rémunérer les 15-25 ans en échange de leurs données personnelles. Elle permet à ses « data killers » de choisir les informations personnelles qu’ils souhaitent lui confier, et promet de ne travailler qu’avec des annonceurs vertueux. Un exemple qui fait écho à toutes les questions traitées ci-dessus et en appelle d’autres comme celles-ci : Pourquoi ne pas céder ses données pour faire avancer la recherche ou l’innovation ?
Réseaux sociaux, objets connectés, achats en ligne, adresse email, consultation de sites internet, nous laissons tous des traces sur Internet. Comment mieux protéger notre identité numérique ? Une réponse en vidéo de Sonia Coudoux, Global product manager BNP Paribas Cardif.
Présenté par Le Cardif Lab', en partenariat avec Usbek & Rica