De nos jours, nous vivons dans un monde où le numérique envahit de plus en plus notre quotidien. L’usage des objets connectés se répand à une vitesse très rapide et, désormais, fait partie intégrante de la pratique quotidienne. Face à cette montée croissante de l’internet des objets et l’exploitation des masses importantes de données qui s’ensuit, l’éthique devient un enjeu majeur. Les objets connectés, certes, facilitent la vie, mais nous surveillent en permanence. Ils communiquent des données à caractère sensible et personnel à des serveurs qui ne sont pas à l’abri d’attaques malsaines ou encore à des sociétés vendeuses de ces données.
Dans tous les cas, un certain nombre de questions méritent d’être posées : Quels sont les enjeux éthiques des objets connectés ? Quels sont les effets pervers liés à l’internet des objets ? Quid du cadre juridique et réglementaire ? Existe-t-il une alternative ?
Dans ce cadre, l’objectif de notre travail est de contribuer à ce débat en apportant quelques éléments de réponses aux questions posées mais également en attirant l’attention sur quelques pistes de solutions.
Pour ce faire, nous proposons de scinder notre travail en deux parties. Dans la première, il s’agira de présenter les enjeux éthiques et de discuter de la pertinence des solutions réglementaires. Dans la seconde, nous lancerons une réflexion autour de la charte éthique comme solution et ce en nous inspirant du cas de la profession d’audit et de comptable.
- Enjeux éthiques des objets connectés
1.1 Les défis éthiques de l’internet des objets
Les objets connectés prennent de plus en plus une place importante dans notre quotidien. Ils rendent un grand service aux utilisateurs et facilitent en grande partie quelques-unes de leurs tâches quotidiennes. Toutefois, leur utilisation n’est pas sans conséquences sur la vie privée et les données personnelles. Pour nous, un objet connecté est, en réalité, un objet-espion par excellence dans la mesure où il est équipé d’un capteur de données permettant de renseigner des informations sur son environnement en général et son utilisateur en particulier. De ce fait, il transmet une masse importante de données dont on ignore souvent la destination et surtout l’usage et l’utilisation. D’où le risque d’en faire un usage destiné à des fins commerciales ou non conformes à l’éthique.
Ce risque d’usage non éthique est d’autant plus grand que (i) les systèmes d’information présentent des vulnérabilités, (ii) les manœuvres d’espionnage, de vol et de piratage de données se multiplient[1], (iii) les fabricants des objets connectés externalisent et confient la gestion de ces données à des sous-traitants ou à des services externes, et que (iv) les producteurs, souvent des PME voire des start-up, risquent de se faire racheter par des entreprises géantes et donc d’être contraints de partager ces données avec les acquéreurs.
Cela pourrait avoir donc des conséquences néfastes sur les usagers. Tel serait le cas par exemple d’un conducteur qui se sert habituellement de son capteur pour l’alerter au risque d’endormissement au volant. En transmettant des données sur son comportement en matière de conduite ou sur son degré de vigilance et de prudence directement ou indirectement à une compagnie d’assurance, le conducteur pourrait se voir obligé de payer sa redevance plus cher. De même concernant les objets de la télémédecine et d’auto-mesure dont les données transmises apparaissent précieuses aux yeux des assureurs, des pharmaciens, des banquiers, etc. pouvant refuser ou renchérir des prestations à des clients s’ils s’avèrent que ces derniers présentent des données médicales, ou autres, inférieures ou supérieures aux standards en vigueur.
En outre, les utilisateurs peuvent ne pas avoir suffisamment conscience des dangers que cela représente et pourraient même s’amuser à publier ou à comparer sur Facebook leurs performances, scores, courbes, poids, etc. Là encore, la question éthique se pose et s’impose. Car, si d’un point de vue juridique le problème n’est pas posé puisque les données sont publiées par l’utilisateur et avec son consentement, il ne l’est pas nécessairement d’un point de vue éthique au regard des conséquences et des risques précédemment évoqués.
Ainsi, il est de l’ordre de l’éthique de s’interroger sur l’exploitation de ces données lorsque l’on sait que l’usager, dans certains cas, ne peut utiliser un objet connecté donné que s’il en approuve entièrement les conditions d’utilisation et qu’il n’a pas le choix de discuter de ces dernières[2].
Enfin, la question éthique est aussi posée du moment que l’on sait que les utilisateurs placent ces objets-espions, qui participent désormais à leur vie, au rang des biens de confiance et qu’ils sont prêts, de ce fait, à leur renseigner toute information quel que soit son degré de sensibilité ou d’intimité !
1.2 Les limites des solutions réglementaires
En effet, comme les données fournies par les objets connectés relèvent du «privé» ou du « personnel», la loi trouve toute sa justification dans la régulation et l’encadrement de leur utilisation[3]. L’importance d’une infrastructure juridique en la matière n’est pas à démonter et son rôle n’est point contestable. Cependant, dans le cas précis de l’internet des objets, il semble qu’il y ait au moins trois raisons qui limitent l’apport de telles solutions réglementaires.
La première est que le niveau actuel d’évolution du numérique est à un rythme, puisqu’on parle de révolution numérique, que le droit ne peut pas suivre. Cela explique d’ailleurs pourquoi certaines lois sont venues en retard par rapport aux pratiques des acteurs. Réglementer donc un environnement en cours d’évolution ou évolutif en permanence revient à réglementer le passé. C’est donc le caractère non-exhaustif de la réglementation qui constitue sa première limite puisqu’elle ne peut pas tout prévoir et a fortiori tout réglementer.
La deuxième limite est relative au principe de souveraineté et de territorialité de la législation et du droit. En effet, admettons que la loi soit plus adaptée aux enjeux actuels de l’internet des objets, son pouvoir coercitif reste malgré tout limité aux frontières du pays. Or, les enjeux précédemment cités dépassent bel et bien ces frontières et se jouent au niveau international. Dès lors, il devient difficile, voire impossible de soumettre des multinationales non résidentes à la juridiction nationale ou même des entreprises résidentes si celles-ci optent pour des stratégies d’externalisation ou de type optimisation : sous-traiter, faire transiter et gérer les données là où il fait beau, juridiquement.
Faut-il alors se tourner vers l’adoption de lois communautaires, européennes par exemple ?
Bien entendu, la réponse est non. En effet, il n’y a qu’à voir le cas de l’optimisation fiscale, une question plus prioritaire et qui fait perdre des recettes énormes aux Etats et, pourtant, il n’y a pas de consensus entre les pays en question. En outre, les pays européens, et bien d’autres, n’ont pas le même rapport et la même sensibilité à la protection des données et, globalement, chaque culture a sa propre attitude à l’égard de l’information.
La troisième limite, quant à elle, tient au fait de savoir comment la loi peut s’assurer que les données soient confinées à l’objet initial et, surtout, comment elle compte sanctionner une exploitation non éthique ? Comme nous l’avons montré un peu plus haut sur le cas de Facebook, une exploitation des données peut ne pas être éthique, mais légale du moment qu’elle obtient le consentement de l’usager non sensibilisé aux enjeux de la question et prêt à tout approuver pour une vie plus facile. Autrement dit, la loi ne sanctionne que ce qui est illégal et non « non éthique ». De ce point de vue, le comportement de l’utilisateur pose lui aussi problème et limite la pertinence de la loi.
Cela nous amène à dire qu’une base juridique est importante dans la protection des données et des droits des individus, mais elle n’est pas bien placée pour s’attaquer aux défis liés à l’éthique fondés davantage sur les valeurs et la libre adhésion et non sur la contrainte ou la coercition.
- Pistes de réflexion
- Vers l’adoption d’une charte éthique professionnelle
Bien entendu, la question de l’éthique dans l’internet des objets est avant tout une question de valeurs et de comportements adoptés par les différentes parties prenantes. Cette question appelle alors une réponse d’une même nature, tout aussi fondée autour des valeurs et des comportements. Il s’agit, en effet, de l’adoption d’une charte éthique qui consiste à encadrer l’usage des données à travers l’adoption d’un ensemble de pratiques et d’engagements communs et réciproques entre tous les acteurs, en particulier les fabricants et producteurs des objets connectés.
L’objectif est de (i) définir d’abord et encourager ensuite les best practices en la matière, (ii) décourager les usages malsains des données et surtout (iii) atténuer les effets pervers liés à l’internet des objets.
A la différence d’une loi juridique, une charte éthique professionnelle présente, entre autres, quatre principaux avantages. Premièrement, une charte ou un code de conduite est produit par les fabricants et les professionnels eux-mêmes qui, de ce fait, s’y reconnaissent parfaitement. Deuxièmement, tous les autres acteurs ou parties prenantes dans la production et la fabrication des objets connectés trouveront intérêt à y adhérer puisque l’adoption d’une telle charte pourrait jouer en faveur de l’image de l’entreprise au même titre que les certifications. Troisièmement, l’adoption d’une charte éthique par une entreprise des objets intelligents rassure ses clients-utilisateurs et constitue un élément crucial pour gagner leur confiance et leur fournir des garanties quant à la protection et l’utilisation de leurs données. Enfin, le quatrième avantage tient à sa souplesse, à sa flexibilité et, donc, à sa capacité à évoluer et à suivre le rythme d’évolution des communautés de pratiques.
A cela s’ajoute le fait que son adoption au niveau communautaire ou international ne se heurtera pas aux mêmes complexités juridiques liées à l’adoption d’une loi réglementaire.
Les fabricants des objets connectés pourraient faire adhérer leurs sous-traitants à cette charte et ainsi de suite tous les acteurs intermédiaires comme les gestionnaires et fournisseurs de données, sans que cela nécessite de longs débats, discussions et protocoles politiques, parlementaires et autres.
Enfin, il convient de souligner que l’adhésion à une charte éthique pour la promotion de l’usage éthique des données, d’une part, fera partie de la Responsabilité Sociétale de l’Entreprise (RSE) par laquelle l’entreprise en question se doit d’adhérer à des valeurs à caractère sociétal. D’autre part, elle dépendra de la culture liée à la sécurité des données et du degré de sensibilisation des utilisateurs aux enjeux en question[4].
2.2 Le cas de la profession comptable et d’audit
En effet, le cas de la profession comptable et d’audit fournie un meilleure exemple des solutions que pourrait apporter une charte professionnelle d’éthique. Ces deux professions qui se chevauchent ont été confrontées aux mêmes problématiques et questions éthiques liées à l’utilisation des données et à la divulgation du secret. La seule différence, sur la forme, est que dans le cas de l’internet des objets c’est surtout l’individu ou l’utilisateur et ses données personnelles qui suscitent l’aspect éthique, alors que dans le cas de l’audit et de comptabilité il s’agissait plutôt de l’entreprise et ses données privée dont l’exploitation posait un problème éthique.
S’agissant du fond, la question d’éthique dans le domaine d’audit et comptable est plus complexe et ses conséquences sont plus sérieuses. L’information que détient un comptable ou un auditeur sur l’entreprise est plus sensible, voire stratégique par rapport à celle que les objets intelligents peuvent renseigner sur nos habitudes ou nos pratiques.
Le comptable et l’auditeur ont accès chaque jour à des informations sur les affaires de l’entreprise, sa santé économique et financière et toutes les données les plus intimes la concernant. Ils interviennent à la fois auprès d’entreprises concurrentes, auprès d’entreprises «amies», ou encore auprès des parties prenantes dans ces entreprises. Dès lors le problème éthique se pose et s’impose : comment offrir une image fidèle, fiable et commune de l’état de l’entreprise à tous ces différents acteurs: entreprises, salariés, actionnaires, etc. ?
Pourtant, il est peu courant, voire pas du tout, d’entendre parler des scandales liés à des pratiques non éthiques de la part des acteurs de cette profession. A l’origine de ce professionnalisme, on retrouve la déontologie professionnelle qui était à la base une charte éthique adoptée par les professionnels libéraux et qui se résume ainsi : «science, conscience et indépendance»[5] que l’on peut interpréter dans notre cas par la distinction de trois types de donnés : les données communes (grand public), les données client (particulier) et les données professionnelles (des entreprises elles-mêmes).
C’est exactement ce cloisonnement triptyque de données que la charte se proposerait d’encadrer : les données privées qu’il faudrait protéger et sécuriser, et les données professionnelles et d’utilité publique -comme les données sur des maladies particulières qu’il faudrait étudier et analyser pour servir la société[6].
Que pouvons-nous en conclure ?
Il apparaît que la question d’éthique constitue un véritable enjeu. Elle ne se résume pas à l’utilisation ou non des données mais questionne également les valeurs et les comportements que doivent adopter les différents acteurs, en particulier les producteurs et les utilisateurs. Les premiers se doivent de définir un code de conduite pour promouvoir l’usage éthique et responsable et pour gagner la confiance des usagers. Les derniers ont besoin d’être sensibilisés aux dangers et aux risques de partage des données.
Il ressort de notre analyse que les défis éthiques peuvent avoir des conséquences néfastes sur les individués. Ces derniers peuvent se voir refuser un emploi, un prêt ou un service quelconque si le prestataire estime qu’ils ne répondent pas aux normes en vigueur. Ainsi, les solutions réglementaires ne pourront pas apporter leurs pleins effets étant donné que l’éthique échappe déjà au champ d’application d’une juridiction et que plusieurs difficultés apparaissent lorsqu’il s’agit de contrôler des entreprises supranationales. Cependant, cela ne réduit en rien la nécessité d’un cadre réglementaire pour au moins imposer un certain nombre de bases et/ou de restrictions liées à l’exploitation des données.
Ainsi, une revue de la pratique comptable et d’audit laisse suggérer que l’adoption d’une charte éthique professionnelle puisse apporter des éléments de réponse aux défis éthiques.
D’une part, elle présente plusieurs avantages par rapport à la loi et, d’autre part, elle a montré sa pertinence dans le cas de la profession comptable, confrontée par le passé aux mêmes enjeux éthiques que ceux de l’internet des objets. En outre, la RSE et la diffusion d’une culture de sécurité des données pourraient servir de vecteurs de propagation de la charte aussi bien au niveau national, qu’international.
Enfin, la charte éthique gagnerait à cloisonner les données pour pouvoir répondre et satisfaire aux intérêts de toutes les parties prenantes. Un cloisonnement triptyque de type donnée grand public, donnée professionnels et donnée particuliers pourrait harmoniser les rapports et les intérêts des acteurs en question. Il reste, cependant, à enrichir cette réflexion et à définir le champ de chaque type, ce qui pourrait peut-être faire l’objet de contributionset de réflexions futures. Dans ce cadre, redéfinir les frontières de ce qui est de l’éthique et de ce qui n’en est pas et discriminer les domaines des objets connectés en fonction de ces enjeux nous semble un bon point de départ.
Par Sarah Domun etudiante promotion 2015-2016 du Master 2 IESC d’Angers
Références
CHERBIT, C. « La relation éthique autour des objets connectés », Billet d’étonnement, Association lyonnaise d’éthique économique et sociale (ALEES), le 13 mai 2014, Lyon.
Entretien avec Caroline Laverdet : Les enjeux juridiques de l’internet des objets, la semaine juridique, Edition Générale – N° 23 – 9 juin 2014.
KLEINPETER. E., « Quatre enjeux éthiques de la e-santé », Institut des sciences de la communication, Paris.
PESQUEUX, Y. Comptabilité et éthique. Encyclopédie de comptabilité, contrôle de gestion et audit, Economica, pp.494-507, 2000. <hal-00477709>.
PESQUEUX, Y. La comptabilité peut-elle être éthique ?
Rapport de l’Institut National des Hautes Etudes de la Sécurité et de la Justice (IHESJ), « Sécurité des objets connectés », décembre 2014.
YAICH, A. « Ethique et compétences comptables », Edition, Raouf Yaich.
[2] C’est le cas de certaines applications IOS ou Androïd liées à un objet connecté et qui exigent que l’utilisateur accepte les conditions pour y avoir accès
[3] Cela étant par exemple le cas de la Loi Informatique et Libertés en France.
[4] Cela étant le cas des cultures proactives, comme aux Etats-Unis par exemple où les autorités publiques avertissent les sociétés et les individus des risques d’attaque et de cybercriminalité.
[5] Dans le jargon comptable, la formule désigne la distinction de trois types de biens : bien commun, bien du client et bien du professionnel lui-même