La confidentialité numérique est souvent présentée comme un problème pour les consommateurs, mais Ruslan Momot soutient que les entreprises doivent considérer le concept comme un élément clé de leur entreprise.

Momot, professeur adjoint à la Ross School of Business de l'Université du Michigan, a publié plusieurs articles sur les questions de confidentialité. Il partage des idées sur la façon dont les entreprises devraient commencer à aborder la confidentialité, y compris un changement majeur dans la façon dont les sites Web utilisent les cookies et comment considérer les données comme quelque chose qui doit être obtenu de manière durable.

Pourquoi les entreprises, ainsi que les consommateurs individuels, devraient-ils s'intéresser aux questions de confidentialité ?

Trois raisons viennent immédiatement à l'esprit.

Tout d'abord, cela peut affecter le résultat net. Nous, les consommateurs, sommes assez intelligents, et si nous savons qu'une entreprise n'utilise pas nos données de manière responsable, certains d'entre nous utiliseront moins ce produit ou cesseront de l'utiliser complètement. Cela signifie que l'entreprise tire moins de revenus de ses annonceurs.

Nous avons vu cela se produire avec Facebook et Cambridge Analytica, et avec WhatsApp révélant une utilisation peu responsable des données. Dans les deux cas, les consommateurs ont modifié leur comportement, ce qui a affecté les résultats des entreprises.

Deuxièmement, les toutes nouvelles lois et réglementations sur la confidentialité des données obligent les entreprises à agir sur cette question. Ces lois deviendront encore plus strictes et plus répandues dans un proche avenir.

De nombreux endroits n'ont actuellement aucune réglementation en matière de confidentialité, mais les réglementations les plus strictes, comme en Europe (le règlement général européen sur la protection des données) et en Californie (le California Consumer Privacy Act), disent des choses comme :"Vous ne pouvez pas gérer ces données dans ce ou de cette façon ; vous devez demander le consentement explicite du consommateur. Vous ne pouvez pas simplement saisir les données comme vous le faisiez il y a 10 ans. » Les entreprises ne veulent peut-être pas y prêter attention, mais ces nouvelles lois et réglementations les obligent à le faire.

Troisièmement, les entreprises peuvent être en mesure d'utiliser la confidentialité pour obtenir un avantage concurrentiel sur le marché. Si Apple pousse son programme de confidentialité assez largement et que je produis des téléphones Android, je devrais peut-être réagir et améliorer la confidentialité pour les utilisateurs d'Android. Un nombre important de consommateurs sont assez sensibles à ces problèmes - comme nous l'avons vu lorsque 96 % des utilisateurs d'Apple ont choisi d'utiliser la toute dernière fonctionnalité de confidentialité d'Apple et ont choisi de ne pas suivre leur comportement dans les applications - et nous verrons probablement des entreprises essayer rivaliser de plus en plus sur leurs efforts de confidentialité.

Est-il juste de dire qu'aujourd'hui la plupart des entreprises ne comprennent pas vraiment les problèmes de confidentialité ?

C'est très juste à dire. Dans la plupart des localités, il n'y a pas de réglementation appropriée. Dans les endroits où il existe au moins une réglementation, la plupart des entreprises essaient de se conformer afin de pouvoir simplement cocher une case. Mais ils vont rarement au-delà des exigences de base.

Une des raisons à cela est que la plupart des entreprises n'ont pas les ressources nécessaires. Seules les plus grandes entreprises ont les ressources nécessaires pour vraiment gérer la confidentialité. Par exemple, l'une des techniques informatiques les plus développées pour la préservation de la vie privée est appelée confidentialité différentielle.

C'est comme une garantie - si un algorithme utilisé par une entreprise est différentiellement privé, il n'y a qu'une petite chance pour qu'un adversaire/pirate infère quelque chose de significatif sur ses clients. Pour implémenter une confidentialité différentielle dans tous les algorithmes d'une entreprise, vous devez embaucher un groupe de scientifiques des données qui repenseront les algorithmes que vous utilisez et en concevront de nouveaux. Apple a la possibilité de le faire ; Google a la possibilité de le faire ; mais pas les petites entreprises.

En outre, les entreprises peuvent même ne pas être suffisamment incitées à mettre en œuvre des techniques de protection de la vie privée telles que la confidentialité différentielle. Aucune des réglementations existantes n'exige une confidentialité différentielle comme norme, et les gouvernements ne disposent pas de ressources suffisantes pour vérifier la conformité de chaque entreprise. Ainsi, il existe une tendance naturelle du point de vue des entreprises à échapper entièrement à la préservation de la vie privée en se relâchant et en ne faisant rien.

Si vous aviez l'attention de tous les PDG du monde pendant cinq minutes, quelle est la chose la plus importante que vous essaieriez de leur transmettre concernant la confidentialité ?

Vous devez commencer à y penser maintenant (ou, en fait, hier). Au cours des 20 dernières années environ, nous avons poussé ce programme de mégadonnées, collectant plus de données, utilisant les données, exploitant la puissance des données.

Nous avons maintenant un mouvement dans la direction opposée, ce que nous pourrions appeler des données provenant de sources durables. Le cycle ressemble à celui des questions de durabilité. Soudain, les consommateurs ont commencé à y prêter attention et les entreprises ont commencé à s'approvisionner de manière durable.

Nous avons maintenant tous ces produits biologiques et durables. Pourquoi n'avons-nous pas la même chose avec les données ? Le message est que vous devez commencer à réfléchir à la manière de sourcer durablement vos données et à l'utilisation responsable de ces données.

Cette idée de données durables est-elle en train de s'imposer ?

On commence à voir un peu ça. L'année prochaine, je pense que ce que nous verrons, c'est que les cookies tiers disparaîtront, ce qui signifie que nous nous retrouverons avec ce qu'on appelle les cookies zéro partie et les cookies propriétaires.

Ce sont des informations que les consommateurs donnent à une entreprise avec leur consentement explicite. Donc, dans un sens, il s'agit de données provenant de sources durables, car nous n'avons pas collecté ces données auprès de tiers tels que des courtiers en données. Au lieu de cela, les consommateurs donnent l'autorisation explicite d'utiliser ces données. Je pense que nous allons nous diriger vers cela.

Quelles mesures une entreprise peut-elle prendre si ses dirigeants veulent être intelligents et responsables et commencer à s'approvisionner durablement en données ?

Premièrement, les entreprises doivent être franches avec les consommateurs sur ce qui se passe avec leurs données. Seront-elles vendues aux courtiers au moment où ils recevront les données, ou seront-elles utilisées à des fins internes à l'entreprise, par exemple, pour améliorer le produit pour le consommateur ?

Une autre étape de départ consisterait à se conformer aux réglementations les plus strictes en matière de confidentialité. Jetez un œil au Règlement général européen sur la protection des données et essayez de vous y conformer, même si vous êtes une entreprise basée aux États-Unis, car c'est un bon cadre.

Ensuite, il y a des sociétés de courtage qui collectent ces données de première partie et de première partie, où les consommateurs fournissent explicitement les données aux entreprises. Vous pouvez obtenir vos données auprès de ces courtiers.

Vous pouvez également réfléchir à ce que vous faites avec les données. Où vont ces données ? Vous devez comprendre la chaîne d'approvisionnement des données, afin de vous assurer que les données ne sont pas transmises à des courtiers irresponsables et qu'elles sont utilisées de manière responsable.

So you think about data as a supply chain?

It is a supply chain. Let's say you use a weather application. The app tracks your GPS location, and this GPS location is sold to a data broker. The broker uses this location, matches it with other data and infers something about you. Then this list of inferences about you is sold to some other companies and so on. So the data travels.

What else should companies be aware of when they start thinking about privacy?

Many companies operate with a disconnect when it comes to privacy. A lot of companies think about privacy from the legal perspective; the people who are responsible for privacy are law people.

At the same time, we have a computer science community which has been developing all these concepts like differential privacy for many years. There has to be this bridge between the two. Improving consumer privacy has to be done by people who are familiar with both sides—with the regulations, but at the same time with the theoretical and engineering component.

Similarly, when we think about privacy, it should not be only about IT departments. Preserving consumer privacy should be embedded into the business model of the company, in the same way that sustainability should be part of the business model.

Management should be centered on consumer privacy. It should not be a patchwork, like, "Hey, yeah, we are creating this product, let's ask our IT guys to protect privacy." It will never work. For it to work, it has to be deep inside the business model of the company.