La faisabilité des schémas de certification de protection de la vie privée

(II) Les limites des modèles économiques

Il y a encore peu de travaux sur le coût des violations de vie privée comparativement aux analyses économiques portant sur le coût des failles de sécurité et sur les modèles économiques liés aux dépenses de sécurité.

Les décisions d'investissement dans la protection des DP et de la vie privée restent relativement faibles en raison de l'incertitude sur la nature et la sévérité des menaces et des vulnérabilités mais aussi du fait de l'incertitude sur l'efficacité des mesures de sécurité et de protection.

Modèles économiques de cyber sécurité : divers modèles ont cherché à aider les décideurs dans l'allocation des ressources de sécurité

Des modèles macro-économiques « input- output» afin d'évaluer la sensibilité de l'économie nationale aux cyber-attaques, des analyses plus traditionnelles sur la perte de capitalisation après un incident de sécurité, des modèles « comptables » cherchant à déterminer le taux marginal de retour sur investissement en sécurité «return on security investment» (Geer 2001; Gordon and Loeb 2005; Willemson 2006) ; des approches réalistes basées sur des études de cas concrets ; des modèles d'allocation de ressources fonction des coûts, bénéfices et stratégies de risques (Gal-Or and Ghose 2005; Gordon, Loeb, and Sohail 2003). Partant du postulat qu'entreprises et attaquants potentiels sont adversaires, les chercheurs se sont aussi inspiré de la « théorie des jeux » (Gal-Or and Ghose 2005; Horowitz and Garcia 2005; Irvine and Thompson; Irvine, Thompson, and Allen 2005).

Mais aucun modèle économique ne suffit à lui seul pour guider les choix des décideurs, d'autant plus que la manière d'appliquer en pratique un modèle n'est pas très claire.

La base d'une politique de protection de sécurité et d'une politique de protection des données personnelles dépend des objectifs stratégiques, de l'approche, de la taille et de l'environnement, ainsi que de l'urgence de la prise de mesures de chaque organisation.

Les modèles simplifient les hypothèses de travail et raisonnent selon une linéarité théorique.

Les hypothèses de ces modèles sont basées sur les postulats suivants :

ï Une estimation de la valeur de chaque série d'informations :

Mais quel doit être le critère d'évaluation ? Gordon and Loeb suggèrent que cela aurait un sens de diviser l'information en valeur basse, moyenne et haute.

ï Une estimation de la vulnérabilité,

Mais quels critères utiliser pour évaluer la vulnérabilité, le degré de menace ou bien d'accessibilité ? 

La vulnérabilité dépend de facteurs multiples. Une des critiques récurrente aux modèles économiques dans ce domaine est que si les investissements en sécurité peuvent réduire la vulnérabilité ils ne permettent pas de maitriser le degré de la menace ou l'apparition de nouvelles menaces.

ï la fonction mathématique de sécurité

Fonction selon laquelle toute augmentation des dépenses de sécurité engendrerait une augmentation de la sécurité .C'est en fait une simplification non fondée. L'augmentation des dépenses de sécurité n'augmente pas forcément le niveau de sécurité. L'environnement de la sécurité est un élément changeant qui demande de s'adapter en permanence ce qui empêche toute planification des dépenses sur le long terme.

ï Les théories économiques supposent une information complète :

Lors de la divulgation de DP, l'information est incomplète sur les possibilités d'action de chacun, les gains résultants de ces actions, les motivations des autres joueurs. Avec les TIC, l'invasion de la vie privée est souvent invisible et partout. De plus, les hypothèses économiques font des estimations à partir de l'environnement connu à un instant « t » alors que l'environnement des TIC est trop dynamique pour connaitre la nature et l'ampleur des risques futurs.

Quand bien même l'individu disposerait de toutes les informations, l'auteur considère qu'un individu qui diffuse des DP en perd immédiatement le contrôle pour un temps indéterminé ; se retrouvant dans une position asymétrique, il est alors obligé de prendre des décisions à partir d'évaluations stochastiques.

S'ajoutent aussi des distorsions psychologiques qui affectent non seulement les individus  « naïfs » mais aussi les plus « sophistiqués » qui deviennent « privacy myopic » (cf.sous estimation hyperbolique des coûts et des bénéfices, biais de self contrôle, satisfaction immédiate, biais optimiste « cela n'arrive qu'aux autres », sous assurance...).

Les individus se heurtent à des difficultés d'appréciation du risque cumulatif. Ainsi, une fois que des DP sont libérées par une personne, elles peuvent rester disponibles pendant un temps suffisamment long pour être mises en corrélation avec d'autres données. Le risque est plus élevé que la somme des DP collectées.

Le coût de protection est immédiat mais les résultats peuvent se révéler soit invisibles (absence d'intrusion) soit étalés dans le futur.

C'est aussi la métaphore du « chèque en blanc » qui peut revenir un jour sous forme de Spam, de simple gêne ou de vol d'identité (Knight 1921), ainsi que l'illustre A.Acquisti.

ï Rationalité des individus

Tout au contraire, les individus pourraient avoir tendance à se sous protéger quand ils perçoivent un risque et à fournir d'avantage de DP même s'ils en devinent le risque ;

L'ampleur des risques perçus sous certaines conditions ne sera pas dissuasif ;

La gravité « ressentie » d'une situation augmente la vision que l'individu a d'un risque selon qu'il se considère plus ou moins concerné. Le risque estimé est comparé avec un «  risque acceptable» : sachant que le «  risque zéro » n'existe pas d'une part, et d'autre part qu'un bénéfice ne peut s'acquérir qu'en courant un risque, chaque personne évalue implicitement un risque acceptable, qui est le danger qu'elle accepte de courir, l'incident qu'elle trouve normal de subir, par exemple comme fatalité. Cette notion de risque acceptable comporte des dimensions sociales et psychologiques. Cette double source d'irrationalité interfère avec la prise de risque : irrationalité de l'estimation du risque et irrationalité de la référence (risque acceptable).

Fournir plus d'information et augmenter la sensibilisation ne suffit pas dans un système d'auto régulation. Les technologies pourront surement aider mais A.Acquisti préconise aussi de trouver des réponses tournées vers les comportements humains pour espérer protéger la vie privée.

Protection de la vie privée et théories de la gratification immédiate : l'individu éprouve des difficultés à s'auto contrôler (biais de self contrôle) face à la poursuite d'une gratification immédiate (théories basées sur la consistance du temps). Protéger son intimité peut parfois signifier de prendre une assurance contre un risque futur et hypothétique.

En outre, même en présence de coûts immédiats, les individus incohérents avec le temps tendent à temporiser. Ils ont une vision à court terme.

Malheureusement, « la valeur de l'intimité est réellement appréciée une fois perdue ». ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

Enfin, Samuelson (2003) avance également des coûts liés aux pertes sociales dues aux « politiques incohérentes en matière de protection de la vie privée » parmi un choix complexe d'initiatives législatives et autorégulatrices, les consommateurs et les sociétés sont incertains au sujet du niveau de protection permis ou exigé selon les circonstances.

On le voit, la contestation des hypothèses de départ de ces modèles remet en cause les résultats qui en découlent. ^{(*)REF _Ref278271812 \r \h \* MERGEFORMAT}

La question de savoir si d'un point de vue économique la protection des DP vaut la peine, reste ouverte. Mais la valeur de la vie privée et des DP doit être appréhendée au-delà du raisonnement économique et de l'analyse coûts-bénéfices, par rapport à ses propres conceptions de la liberté et de la société.

Même si, du seul point de vue économique, le coût de l'atteinte à la vie privée est élevé et croissant (spam, vol d'identité, perte de C.A., intrusions).

* REF _Ref278271812 \r \h \* MERGEFORMAT
Privacy in Electronic Commerce and the Economics of Immediate Gratification Alessandro Acquisti

* REF _Ref278271812 \r \h \* MERGEFORMAT
A Framework for Classifying and Comparing Models of Cyber Security Investment to Support Policy and Decision-Making1, Rachel Rue, Shari Lawrence Pfleeger and David Ortiz