La 5G nous rappelle l’importance de la vie privée des consommateurs

With Bill Wirtz

Previously published by La Tribune (15 April 2019) and World Economic Forum (16 April 2019).

Renforcer la responsabilité des opérateurs de réseaux pour les vulnérabilités technologiques et créer un cadre de certification souple permettront de garantir à la fois le choix du consommateur et le respect de sa vie privée. Par Mikołaj Barczentewicz, chercheur associé au Consumer Choice Center, et Bill Wirtz, analyste de politiques publiques au Consumer Choice Center.

Presque tous les jours, nous entendons parler de nouveaux cas de vol d'identité, de criminalité financière et d'autres formes d'attaques ou d'ingérence malveillante. Les manquements de sécurité chez British Airways et Marriott/Starwood en 2018 ont compromis les données privées de centaines de millions de clients.

Tout récemment, nous avons appris que des hackers avaient réussi à manipuler une mise à jour logicielle du fabricant ASUS, ce qui leur a permis d'installer des portes secrètes dans des centaines de milliers d'ordinateurs.

De tels incidents prouvent que la sécurité des données des consommateurs et la protection de leur vie privée ne sont pas prises au sérieux. L'adoption des solutions type "Internet des objets" (des objets quotidiens de plus en plus connectés à Internet) et le déploiement très attendu du réseau 5G, rendront la vie privée des consommateurs encore plus vulnérable. C'est pourquoi nous devons faire preuve de prudence.

Besoin d'une réponse politique intelligente

Certains fabricants et développeurs de logiciels ont tendance à se préoccuper surtout de la compétitivité par le biais de prix bas, ce qui est important pour les consommateurs. Toutefois, nous savons que les consommateurs se soucient de la protection de la vie privée et de la sécurité des données. Nous avons donc besoin d'une réponse politique intelligente qui inciterait les acteurs du marché à accorder suffisamment de poids à la sécurité des données des consommateurs en Europe, tout en atteignant cet objectif sans distorsions indues du marché, ni limitation du choix des consommateurs.

Il a été largement rapporté que certains États exercent des pressions légales ou extralégales sur les entreprises privées pour qu'elles incluent des portes dérobées dans leurs logiciels ou dispositifs, qui peuvent être exploitées soit par des fonctionnaires tout seuls, soit avec l'aide d'un fabricant. En réponse à de telles menaces, l'Australie est allée jusqu'à interdire le fabricant chinois Huawei de son réseau 5G. Bien que certains États considèrent les interdictions comme le meilleur moyen de protéger la sécurité nationale et la vie privée des consommateurs, nous savons qu'il n'existe pas de solution miracle unique pour protéger la vie privée et la sécurité des données. Une combinaison de solutions est nécessaire et cette combinaison changera probablement avec le temps.

Un mécanisme de saine concurrence

Une saine concurrence entre les juridictions et entre les entreprises privées est le meilleur mécanisme pour trouver les bons outils. Mais ceux qui travaillent sur les solutions de cybersécurité devraient également tenir compte des intérêts des consommateurs. La neutralité technologique de la nouvelle réglementation, et donc le fait de ne pas décider par la loi quelle est la meilleure solution technologique permet un cadre agile pour la protection de la vie privée des consommateurs.

Les règles juridiques actuelles de l'Union européenne, telles que la réglementation RGPD, par exemple, ne sont pas suffisamment claires en ce qui concerne la responsabilité des exploitants de réseaux pour les violations de la vie privée rendues possibles par des vulnérabilités matérielles. Il faut donc définir une norme claire en matière de sûreté de la chaîne d'approvisionnement.

Mettre l'accent sur les règles de responsabilité pour l'utilisation ou la revente de logiciels ou de dispositifs présentant des vulnérabilités, donnerait plus d'importance à ces règles et inciterait ainsi les opérateurs de télécommunications (et autres) à tenir compte de la vie privée de leurs clients. Cela devrait, à son tour, exercer une pression sur les fournisseurs non européens pour qu'ils adoptent l'approche sécurité par conception.

Les normes technologiques doivent être neutres

Pour résoudre le problème des règles juridiques peu claires et inefficaces en matière de sécurité des données, nous devons tenir compte du fait que les normes techniques doivent être aussi neutres que possible sur le plan technologique. En particulier, ils ne devraient pas exiger l'utilisation de produits ou de services spécifiques, car cela constituerait un obstacle à l'entrée sur le marché et au développement technologique futur.

Les règles devraient plutôt être axées sur les résultats et être aussi générales que possible, tout en fournissant des orientations suffisantes. Ces normes devraient pouvoir être identifiées et adoptées non seulement par les principaux acteurs du marché qui peuvent facilement consacrer des ressources importantes à la conformité réglementaire.

Les interdictions catégoriques motivées par des préoccupations de sécurité ont les mêmes effets que les restrictions commerciales dans le contexte d'une guerre commerciale. Les premières victimes de toute guerre commerciale sont les consommateurs du pays qui impose les taxes douanières et les barrières non tarifaires. À moins qu'il n'y ait pas d'autre solution viable et à moins que la preuve d'un risque grave pour la sécurité ne soit claire, nous devrions être réticents à recourir à des interdictions.

Des consommateurs vulnérables

Le débat autour de la 5G nous rappelle à quel point les consommateurs sont vulnérables dans un monde technologiquement et politiquement complexe.

Une réglementation intelligente est donc nécessaire pour protéger les consommateurs contre les atteintes à la protection des données et pour empêcher les États autocratiques de nous espionner. En renforçant la responsabilité des opérateurs de réseaux pour les vulnérabilités technologiques et en créant un cadre de certification souple, il est possible de garantir à la fois le choix du consommateur et le respect de sa vie privée. Les interdictions totales fondées sur le pays d'origine ou la sélection des innovations technologiques par les régulateurs devraient être considérées comme des mesures de dernier recours.