Dans leur zèle pour freiner les grandes technologies par le biais de la loi sur les marchés numériques, les législateurs européens mettent en péril la vie privée et la sécurité de tous les Européens. Il est temps d’accepter la réalité que les mesures destinées à forcer les grandes plateformes à être plus ouvertes, les forceront à baisser leurs défenses et à ouvrir les données des Européens aux mauvais acteurs. Aucun vœu pieux ne changera le fait que l’ouverture forcée est en lutte acharnée avec la sécurité. Les dispositions de la DMA en matière de confidentialité et de sécurité sont loin de prendre le problème au sérieux et s’attendent déraisonnablement à ce que les entreprises technologiques résolvent une nouvelle classe de risques que la DMA créera.
Il est indéniable que certaines des idées phares de la DMA, comme celles sur l’interopérabilité forcée ou la portabilité des données, créeront de nouveaux risques pour la vie privée et la sécurité. Le vrai problème est de savoir à quel point ces risques sont traités de manière inadéquate dans la DMA. Les législateurs semblent penser qu’il leur suffit de dire aux entreprises technologiques : “Faites cette chose très risquée et difficile tout en vous assurant qu’elle ne pose pas de risques pour la vie privée et la sécurité”. Ou, en d’autres termes, “nerd plus dur”. Ce n’est pas une manière responsable de réglementer et met en péril les données des Européens et notre accès aux services sur lesquels nous comptons.
Exclure les acteurs malveillants et peu fiables est l’essence même de la sécurité
L’une des idées les plus discutées de la DMA, l’interopérabilité forcée, peut très facilement devenir l’un des plus grands échecs de la politique technologique. La proposition initiale de DMA était relativement raisonnable par rapport aux amendements radicaux adoptés par le Parlement européen, notamment en ce qui concerne les réseaux sociaux et les services de messagerie. Si elles étaient adoptées, ces règles ouvriraient les données des Européens à des exploitations par des acteurs malveillants à une échelle telle que Cambridge Analytica ne vaudrait même pas la peine d’être mentionnée.
Refuser d’échanger nos données avec des tiers non identifiés et non contrôlés est précisément ce que nous devons attendre des fournisseurs de services numériques. Pris au sérieux, « garantir un haut niveau de sécurité » signifierait que les données ne devraient être échangées qu’avec des entreprises qui offrent un niveau de sécurité au moins équivalent. Et voici le problème : le niveau de sécurité fourni par les grandes entreprises technologiques à leurs utilisateurs est largement inégalé dans le monde commercial et même la grande majorité des organisations gouvernementales ne pourraient pas les égaler.
Nous devons éviter une course vers le bas. Une interopérabilité sûre est possible, mais cela signifiera probablement des frictions notables et l’exclusion des start-ups “deux gars dans un sous-sol”. La DMA sera-t-elle interprétée d’une manière qui accepte cette réalité ou cette préoccupation sera-t-elle résolue en agitant davantage la main et en blâmant les grandes technologies pour les défaillances de leurs concurrents ? La réponse n’est pas difficile à deviner.
À l’instar de l’interopérabilité forcée, la DMA obligerait les entreprises concernées à partager les données des utilisateurs avec d’autres entreprises, y compris les données qui pourraient permettre de retracer les recherches individuelles des utilisateurs des moteurs de recherche. Comme même le Contrôleur européen de la protection des données l’a remarqué, de nombreuses informations sensibles sur n’importe qui peuvent être recueillies simplement en sachant ce qu’il a recherché en ligne.
Dire, comme le fait la DMA, qu’un tel partage devrait simplement être soumis à l’anonymisation trahit un manque de compréhension de la difficulté de partager des données au niveau de l’utilisateur d’une manière qui ne pourrait pas être anonymisée. Les techniques de désanonymisation ne font que gagner en sophistication. Il y a peu d’espoir qu’une règle sur le partage des données au niveau de l’utilisateur soit appliquée avec compétence, il serait donc beaucoup plus sûr pour nous tous si elle ne devenait jamais loi.
La combinaison des données est nécessaire pour la cybersécurité
Pour être efficaces, les cyber-défenseurs ont besoin d’informations. Plus ils disposent d’informations sur les actions des attaquants, mieux ils peuvent protéger les utilisateurs dont ils ont la charge. Par exemple, l’analyse des e-mails entrants à la recherche de menaces de sécurité peut nécessiter l’intégration de services de sécurité externes. Regarder simplement l’e-mail peut donner des indices, mais il est facile pour les attaquants de préparer des e-mails d’appât qui ne seront pas facilement identifiés de cette façon.
Le DMA interdirait de combiner les données personnelles de divers services, sauf si l’utilisateur donne son consentement spécifique. Pour continuer à fournir le niveau de sécurité actuel dans le cadre du DMA, les fournisseurs de services devront commencer à bombarder les utilisateurs avec un nouveau type de fenêtres contextuelles de consentement. Les fournisseurs risquent également des amendes massives pour avoir fourni à la fois trop d’informations et trop peu ou pour avoir présenté le consentement sous un jour positif. À l’heure où les cyberattaques deviennent de plus en plus dangereuses, il n’est pas judicieux pour les fournisseurs de services de protéger leurs utilisateurs.
Comment rendre le DMA plus sûr pour les utilisateurs ? Un pas dans cette direction a été proposé par certains gouvernements de l’UE, à savoir l’ajout d’une disposition générale à l’article 7 de la DMA selon laquelle les contrôleurs d’accès ne devraient être tenus d’agir que de manière proportionnée dans le cadre de la DMA, en tenant compte de la nécessité de protéger la vie privée, la sécurité des utilisateurs, la qualité et fonctionnalité des services.
Il est notoirement difficile d’accroître la confidentialité et la sécurité des informations par le biais de la loi, même si c’est l’objectif explicite de la législation. Cependant, nous devrions au moins nous attendre à ce que la loi ne diminue pas le niveau de confidentialité et de sécurité. Le DMA, en particulier dans la version du Parlement européen, sacrifie clairement la confidentialité et la sécurité des utilisateurs pour aider certaines entreprises à lutter contre les grandes technologies. La DMA doit se concentrer plus clairement sur les intérêts des utilisateurs.
La source: www.neweurope.eu