À l’heure où la donnée est l’un des moteurs centraux de la performance économique, la promesse d’une protection effective de la vie privée des individus semble toujours entrer en tension avec les réalités du marché.
Pourquoi, alors même que les consommateurs se disent préoccupés par l’usage de leurs données personnelles, continuent-ils à les céder massivement ? Et comment les entreprises arbitrent-elles entre la conformité, les risques de sanctions qui en découlent, une compétitivité toujours accrue en période de crise économique et les bouleversements technologiques provoqués par l’intelligence artificielle ?
Ces questions étaient au cœur d’une table ronde initiée par la Chaire Internationale sur les Usages et Pratiques de la Ville Intelligente (Cit.Us) et animée par Dr. Anne-Sophie Cases, Professeur des Universités à l’IAE de Montpellier, réunissant chercheurs et acteurs du web pour interroger ce que l’on appelle désormais le privacy paradox.
.png?width=1600&height=900&name=App%20Mobile%20Summer%20(1).png)
Le privacy paradox, ce grand écart entre les intentions et les pratiques des utilisateurs
Le privacy paradox réside dans le fait que, bien que les individus affirment leur attachement à la protection de leurs données, ils continuent néanmoins d'adopter des comportements qui vont à l’encontre de cette préoccupation.
Dans les bandeaux cookies, cette contradiction se matérialise par la non-utilisation de l’option de granularité du consentement.
Le choix binaire reste de très loin le plus utilisé, c’est-à-dire qu’en moyenne, environ 60 % des utilisateurs donnent un consentement positif global au site qu’ils visitent, tandis que seulement 0,05 % prennent vraiment le temps d’opter pour un choix granulaire, et sélectionner les partenaires auprès desquels ils acceptent ou refusent de transmettre leurs données.” observe Romain Bessuges-Meusy, co-fondateur d’Axeptio.
Pour les chercheurs, ce décalage entre intention et pratique réside dans le poids de l’effort cognitif et temporel.
Comprendre ce que recouvre un choix granulaire, anticiper ses conséquences sur son expérience, tout cela demande des compétences et du temps que peu de consommateurs sont prêts à mobiliser.” explique Dr. Audrey Portes, Enseignante-Chercheuse et Assistant Professor à MBS.
À cela s’ajoute aussi la résignation de toute une génération.
Quand on a grandi avec Google, Snapchat ou Instagram, l’idée que ses données circulent est déjà intégrée. Le sentiment que “c’est déjà trop tard” nourrit finalement une forme de fatalité.”, complète Alexandre Cougnenc, CEO d’Ailix.ai.
Romain Bessuges-Meusy et Dr. Audrey Portes évoquent aussi un mécanisme plus insidieux : l’apprentissage par l’échec. Les fameux dark patterns, les cookie walls ou les expériences dégradées en cas de refus créent finalement une sorte de conditionnement durable de l’utilisateur à accepter mécaniquement la collecte et le traitement de ses données.
La peur de la répercussion en cas de refus influence finalement les choix futurs de l’utilisateur . Dans ce contexte, on peut même débattre du caractère “libre” et “éclairé” du consentement, pourtant exigé par la CNIL.” précise Romain Bessuges-Meusy
Laisser s’installer la routine (et la consent fatigue) ou enfin provoquer la rupture ?
Dans le cadre de mes travaux, nous avons observé un phénomène d’habituation à la surveillance numérique. Deux étudiants volontaires ont vécu, pour les besoins de la recherche, dans un appartement dit “du futur”, truffé de capteurs (sol connecté, caméras...). Les premières semaines ont été marquées par une forte inquiétude : ils cherchaient à se rassurer auprès des chercheurs, voire à contourner certains dispositifs. Puis, progressivement, le stress a laissé place à des stratégies plus émotionnelles : la collecte de données a été réinterprétée de manière positive, acceptée, jusqu’à ce que la présence des capteurs soit oubliée. Cette évolution du comportement, que nous appelons “habituation”, entraîne à terme la disparition des stratégies de protection face à la collecte.“ explique Dr. Pauline Roques, Docteure en Sciences de Gestion au Laboratoire MRM.
Face à ce phénomène d’habituation, comment briser la routine et faire que l’utilisateur puisse à nouveau se sentir concerné et protégé ?
Pour certains intervenants, la réponse passe par une conception différente des solutions. Alexandre Cougnenc plaide ainsi pour des systèmes sécurisés par défaut dans les paramètres, capables de limiter l’exposition des données sans effort supplémentaire pour l’utilisateur.
Dr. Audrey Portes explore avec d’autres chercheurs de la Chaire Cit.Us la piste d’un privacy score, comparable au célèbre Nutri-Score dans le secteur alimentaire. Cet indicateur permettrait à l’utilisateur de comprendre rapidement les risques pour ses données au cours de sa navigation. Dans un parcours transactionnel, les premiers résultats de ces travaux montrent que cet indicateur a un impact différent selon la relation à la marque et l’intention d’achat.
Lorsqu’un consommateur n’a pas encore développé de confiance envers la marque, le privacy score influence réellement la décision : un privacy score rouge sera réellement pris en considération dans l’achat comme un signal d’alarme. À l’inverse, lorsque la confiance envers la marque est déjà présente, la rationalité cède le pas, et l’utilisateur ses données sans accorder d’importance à un signal de risque. Aussi, le silence nourrit la méfiance : ne pas communiquer sur ses pratiques est perçu comme un signal négatif pour l’utilisateur. ” explique Dr. Audrey Portes.
Romain Bessuges-Meusy rappelle toutefois les limites structurelles de ces dispositifs. Le consentement reste un signe de confiance envers la marque. Mais dans un écosystème publicitaire fragmenté faisant intervenir une multitude d’outils tiers, peu d’acteurs ont intérêt à exposer publiquement leurs partenaires les moins vertueux. D’où l’idée que ces outils de notation ne peuvent réellement émerger que sous l’impulsion d’acteurs publics ou d’un législateur.
Transférer la confiance vers l’intelligence artificielle : une perspective pertinente mais pas sans risques
La dernière partie des échanges a ouvert une perspective plus prospective, centrée sur l’essor des agents IA qui accepteront, pour nous, des conditions d’utilisation ou des bandeaux cookies afin d’accéder à l’information la plus pertinente.
“Ces agents, appelés à naviguer et décider à la place des utilisateurs, reposent finalement sur l’accès aux données. En effet, dire non à tout rendrait ces modèles économiquement et fonctionnellement intenables. Mais alors comment définir les critères qui feront que l’agent choisira si oui ou non l’utilisateur donne accès à ses données, et surtout qui doit les définir ?” questionne Romain Bessuges-Meusy.
Au-delà de la question technique et juridique, c’est surtout un déplacement de la confiance qui se profile.
“Dans ce futur proche, la confiance ne se portera plus sur les CGU elles-mêmes, mais sur l’IA qui les lit et les accepte pour nous. Cette délégation soulève de nouveaux enjeux, d’autant plus sensibles que les données traitées par ailleurs par ces agents sont de plus en plus émotionnelles, voire intimes.”, explique Dr. Audrey Portes.
Enfin, Dr. Pauline Roques interroge aussi la responsabilité juridique dans ce nouveau paysage. Si une IA accepte un traitement de données à notre place, qui est responsable en cas de litige ? L’utilisateur, l’entreprise, ou le concepteur de l’agent ?
Autant de questions encore largement ouvertes, mais qui rappellent que la protection des données ne pourra pas reposer uniquement sur la bonne volonté individuelle. Elle appelle des cadres collectifs, des signaux lisibles et une redéfinition continue de la confiance au rythme des innovations technologiques.
Ne manquez aucune actualité sur la protection des données en vous inscrivant à notre newsletter.
