Le travail, premier vecteur de socialisation à la protection des données ?

Rédigé par Antoine Courmont

 - 

25 février 2022


Comment les personnes acquièrent des connaissances et des compétences relatives à la protection des données ? Si l'éducation, les médias et les proches y participent, le travail joue un rôle majeur dans la socialisation à la protection des données. 

Outre les savoirs pratiques à mobiliser, le recours socialement différencié aux droits de protection des données s’explique également par les trajectoires de socialisation des individus et la variété de leurs expériences sociales. Certains contextes sociaux sont en effet plus favorables que d’autres à l’acquisition, consciente ou inconsciente, de connaissances et de dispositions relatives à la protection des données. Quelles sont les instances sociales qui participent à la sensibilisation aux risques liés aux données personnelles et à leur protection ?

Le cadre professionnel – et les formations universitaires dans une moindre mesure – semble être un espace central d’apprentissage et de socialisation au numérique et à la protection des données. Par le biais de leur parcours professionnel, certains enquêtés ont pu développer des pratiques techniques et acquérir des connaissances juridiques en matière de protection des données. D’autres, peu coutumier de ces usages dans le cadre professionnel, sont plus éloignés de ces questions. Leurs connaissances en la matière découlent souvent dès lors des médias, d’échange avec des proches ou de recherches d’informations sur Internet. Enfin, l’environnement familial semble jouer un rôle plus limité : rares sont les personnes qui discutent de ces sujets en famille. Les exceptions concernent l’aide apportée à une personne de son entourage en difficulté ou l’éducation de ses enfants aux risques du numérique.

 

Les affaires médiatiques : révélations des pratiques numériques et vigilance face aux risques

Les médias constituent un vecteur important de socialisation à la protection des données. Nombreux sont ceux à avoir entendu parler de la CNIL « aux infos ». Ce traitement médiatique des données personnelles contribue à un discours général de vigilance face aux risques. Certains vont alors adopter certaines pratiques quotidiennes pour « faire attention », parce qu’ils « ont entendu que ».

Le RGPD ? Je connais à peu près, pas en détail. Et puis, sur le plan perso, on en parle de plus en plus, sur Internet, dans les médias, tous les jours, il y a des reportages et des articles sur le sujet. C’est très documenté. Jusqu’à hier soir avec le reportage d’Envoyé spécial diffusé sur France 2. (Homme, 40-49 ans, Bac+2/Licence, Cadre et profession intellectuelle supérieure)

L’évolution de ma sensibilité sur la protection des données s’est faite en parallèle avec l’évolution de la situation. Au départ, on fait confiance. Puis on entend, 100 000 mots de passe ont été volés ; telle personne s’est faite usurpée son identité ; telle autre ne touche plus sa retraite parce que son numéro de compte a été changé, etc. Donc, ma sensibilité est montée en puissance parallèlement au constat que personne n’est à l’abri ! (Homme, 60-69 ans, Master et +, Cadre et profession intellectuelle supérieure)

Les médias composent un premier cadre de sensibilisation aux risques liés aux données personnelles. Plusieurs plaignants citent certaines affaires médiatisées de piratage de données ou de documentaires décrivant les pratiques prédatrices d’entreprises de l’économie numérique. L’exposition à ces informations peut conduire à des postures de vigilance et à la transformation de pratiques quotidiennes, sans certitude sur leur efficacité (changement de mots de passe, paramétrage, etc). Il est cependant rare qu’elle entraîne les individus dans un parcours d’exercice de leurs droits, même si la CNIL peut constater un certain nombre de plaintes après des révélations médiatiques sur des pratiques menées par des entreprises.

 

Le cadre professionnel, instance centrale de socialisation à la protection des données

Le milieu professionnel apparaît comme une instance centrale de socialisation à la protection des données. Il permet d’acquérir une connaissance du cadre règlementaire de protection de données, tout en étant également susceptible de fournir divers types de ressources, utiles pour mettre en œuvre les droits (capacité rédactionnelle, compréhension technique, etc.). Les plaignants transfèrent ainsi dans leur sphère personnelle des savoirs et des compétences acquis au cours de leurs pratiques professionnelles.

En premier lieu, plusieurs personnes ont mentionné avoir été confrontées à la mise en œuvre du RGPD au sein de leur entreprise, d’autres avoir suivi des formations sur le droit de protection des données ou encore d’avoir fait l’objet d’un contrôle de la CNIL. Il s’agit dans une large majorité de professions (commerciaux, informaticiens, juristes, etc.) ou de secteurs d’activité (marketing, santé, relation clients, etc.) traitant des données personnelles au quotidien.

Je suis dans le e-commerce, dans le tourisme, les locations de vacances. Donc je connais la CNIL et les questions de traitement des données personnelles. On est très attentif là-dessus, quand les clients nous font une demande, on la prend en compte, on n’attend pas un trimestre ! (Homme, 40-49 ans, Master et +, Cadre et profession intellectuelle supérieure)

Je pense avoir une connaissance de base des droits. Je travaille dans le secteur bancaire donc on est très informé de la protection des données. (Femme, 30-39 ans, Master et +, Cadre et profession intellectuelle supérieure)

Je travaille dans la com et le marketing. Durant mes études, j’ai appris ce qu’était la CNIL, le RGPD et les droits en matière de protection des données. Depuis, dans le cadre de mon travail, la gestion des données personnelles est quelque chose de très important, donc je fais très attention à la question des données personnelles. (…) Je n’ai pas aimé la loi dans le cadre de mon travail. C’était long, compliqué et coûteux à mettre en place. Mais en tant que particulier, c’est un plus, c’est vraiment bénéfique. (Femme, 30-39 ans, Bac+2/Licence, Employé)

Je suis informé du RGPD parce que je travaille dans la sécurité informatique, donc, la protection des données, on est informé. Je n’ai pas eu de formation particulière mais je travaillais déjà là-dedans en 2018, donc, je me suis auto-formé, j’ai lu des trucs, j’ai consulté le site de la CNIL. (Homme, 40-49 ans, BAC+2 / licence, Cadre et profession intellectuelle supérieure)

J’ai été en charge de la vidéosurveillance pendant 5 ans dans un de mes précédents jobs comme agent de sécurité. Donc, je connais plutôt bien la réglementation. Je savais que c’était encadré et qu’il fallait être habilité. N’importe qui ne peut pas regarder les vidéos, ça doit être déclaré en préfecture. (Homme, 30-39 ans, CAP-BEP, Employé)

Au-delà de la connaissance du cadre règlementaire, le cadre professionnel est également un vecteur de sensibilisation aux risques liés aux données personnelles. « Ma sensibilisation à la question s’est clairement faite par le monde de l’entreprise. Je travaille dans une entreprise qui a trait aux systèmes d’information. On nous a beaucoup sensibilisé sur les mots de passe, il faut qu’ils soient complexes, il faut les changer régulièrement, il ne faut pas que l’on ait les mêmes pour le pro et le perso, etc. On a eu une campagne de sensibilisation là-dessus, et, aussi, surtout depuis le confinement, sur le fait de faire attention aux emails reçus, etc. Donc à travers un prisme professionnel, j’ai été sensibilisée. » (Femme, 30-39 ans, Master et +, Cadre et profession intellectuelle supérieure). Plusieurs indiquent notamment être vigilants à la suite de formations reçues par les services informatiques de leurs entreprises. « Je sais qu’il ne faut pas cliquer sur des trucs bizarres. Quand je travaillais à l’hôpital, les gars de l’informatique nous prévenait qu’il ne fallait pas cliquer, ouvrir n’importe quoi dans des boîtes mails, les pièces jointes, les images, etc. Donc je ne le fais pas. » (Homme, 60-69 ans, CAP-BEP, Retraité). Les discours inculqués pour protéger les systèmes d’information professionnels imprègnent les individus qui, incorporent dans le cadre personnel ces tendances à agir.

A l’inverse, d’autres milieux professionnels ne sont pas propices au développement de ces connaissances et ressources. Cela peut expliquer le faible recours à la CNIL par des personnes de certaines catégories socio-professionnelles. Les individus se tournent alors vers d’autres structures. Par exemple, dans ces cas de surveillance au travail, les personnes qui ont sollicité la CNIL, ont eu connaissance du cadre règlementaire par le biais de leur famille ou au travers de l’aide juridique fournie par l’antenne locale d’un syndicat. « Je n’avais jamais entendu parler de la CNIL ! C’est une amie, qui travaille dans les ressources humaines, à qui j’ai parlé de mon problème [de surveillance abusive sur son lieu de travail] qui m’a conseillé de déposer une plainte auprès de la CNIL. Depuis, j’en ai parlé à mes collègues qui ne connaissaient pas non plus la CNIL. » (Femme, 30-39 ans, Bac, Employée en EHPAD). Le rapport à la protection des données est ainsi socialement marqué. Toutes les professions ne mènent pas à une acculturation au cadre règlementaire et aux pratiques informatiques de protection des données.

 

Un sujet absent des discussions avec les proches

Les cercles familiaux ou amicaux ne semblent pas être des vecteurs majeurs de socialisation à la protection des données. En effet, à l’exception de militants engagés sur ce sujet, cette thématique n’est pas au cœur des réseaux de sociabilité des individus. La protection des données personnelles est rarement un sujet de discussion entre proches. Il est très rare de parler explicitement de ce sujet dans le cadre familial ou amical. « C’est un sujet dont je ne parle pas car ça ne vient pas ou peu sur la table. » (Homme, 50-59 ans, CAP-BEP, Employé) ; « Avec mes proches, je ne parle pas du tout de ces sujets. Ça n’arrive jamais ! » (Femme, 30-39 ans, Master et +, Cadre et profession intellectuelle supérieure).

La faible connaissance de ce sujet, considéré comme technique et complexe, explique selon les plaignants cette absence de discussion : « Pour beaucoup, ça leur semble tellement loin, ça ne leur parle pas. » (Homme, 30-39 ans, Master et +, Employé) ; « personne n’est alerté sur ces questions. Tout le monde a une connaissance superficielle du sujet : personne ne connaît l’ampleur de nos données qui sont collectées et qui circulent » (Homme, 25-29 ans, BAC+2 / licence, Cadre et profession intellectuelle supérieure). En règle générale, le RGPD et la CNIL, « ils ne connaissent pas du tout. » (Femme, 25-29 ans, Master et +, Cadre et profession intellectuelle supérieure).

Le manque d’intérêt supposé de leurs proches pour la question est une des principales justifications avancées. Par exemple, quand on l’interroge, ce plaignant rit à l’idée de parler de ces sujets ou de ses plaintes avec ses proches : « Je doute qu’ils trouvent ça très intéressant ! » (Homme, 25-29 ans, Master et +, Cadre et profession intellectuelle supérieure). « Ça m’arrive d’en discuter avec des proches. Mais ça ne les intéresse pas trop, ils me coupent vite (rires). » (Homme, 18-24 ans, Bac+2 / Licence, Employé)

Au contraire, comme l’affirment certaines personnes très engagées, leurs pratiques numériques ou le recours aux droits est relativement déconsidéré au sein de leurs cercles de sociabilité familiaux ou amicaux. Ainsi, ces plaignants déclarent : « quand j’en ai parlé, je suis passé pour un ovni ! » (Homme, 30-39 ans, Bac, Employé) ; « Même mes copains geek me trouvent un peu taré d’avoir pris du temps pour porter plainte auprès de la CNIL. » (Homme, 30-39 ans, Master et +, Cadre et profession intellectuelle supérieure) ; « Quand j’évoque certains sujets avec [mes filles], c’est clairement le vieux qui radote. » (Homme, 60-69 ans, Master et +, Cadre et profession intellectuelle supérieure) ; « Ma fille disait que c’était la CIA mon PC, qu’il fallait vérifier plein de trucs avant de pouvoir l’utiliser ! » (Homme, 60-69 ans, CAP-BEP, Retraité). Une autre plaignante plaisante sur le fait d’être généralement considérée comme « extrémiste » sur ces sujets par ses proches (Femme, 30-39 ans, Master et +, Cadre et profession intellectuelle supérieure).

Cette déconsidération conduit certaines personnes à ne pas évoquer leurs pratiques à leur proche pour éviter de se voir accoler une étiquette qu’ils assument peu, à l’instar de cette plaignante, qui se considère comme très sensible à la protection de sa vie privée : « J’ai un peu l’impression d’être une vieille avec ses manies là-dessus ! Et quand mes amis utilisent mon ordinateur, ça me rend folle, ça m’hérisse parce qu’ils acceptent tout ! Je n’en parle pas trop avec mes amis parce que je sais que mon comportement est marginal, j’ai l’impression d’être une cinglée, donc ce n’est pas un aspect de ma personnalité que je mets trop en avant ! » (Femme, 25-29 ans, Master et +, Autre). Les pratiques individuelles de protection des données sont ainsi très peu valorisables dans leurs différentes sphères sociales, ce qui amène ces personnes à ne pas mettre en scène dans les discussions avec leurs proches ce qu’ils font en coulisse pour protéger leurs données.  

On observe toutefois deux exceptions à l’évitement de ce sujet. Tout d’abord, la protection des données peut s’inviter dans les discussions entre proches en cas de mauvaises expériences vécues par les uns ou les autres. « Je parle de temps en temps de données personnelles avec mon conjoint. Bon, pas à chaque fois qu’on se voit, mais c’est un sujet qui revient. Si on a eu un déboire, on s’en parle. » (Femme, 30-39 ans, Bac+2/Licence, Employé) ; « Ma sœur a eu ses données personnelles qui ont fuité. Elle a trouvé sur un réseau social un sosie complet avec ses informations et elle a fait le nécessaire. D’avoir des éléments comme ça dans son cercle proche, ça sensibilise. » (Femme, 18-24 ans, Master et +, Employé). Ces déboires sont souvent un vecteur efficace de sensibilisation à la protection des données. En particulier, le piratage des comptes de réseaux sociaux ou de la messagerie, et l’envoi de messages non souhaités à ses contacts, met le sujet au cœur des discussions. « J’ai aussi des amis qui se font régulièrement pirater leurs comptes de réseaux sociaux, parce qu’ils ne les paramètrent pas.  (…) J’en parle un peu avec mes proches, certains ont eu des mauvaises expériences, avec des piratages de leur boîte mail. Un message malveillant a été envoyé à tous ses contacts avec du contenu et du vocabulaire pornographique » (Femme, 50-59 ans, Master et +, profession intermédiaire).

La deuxième exception concerne le rôle d’éducation et de sensibilisation aux risques qu’entendent jouer certains auprès de leurs proches, en particulier ceux considérés comme vulnérables comme les enfants ou les personnes âgées. « J’échange avec mes enfants, collègues, amis, : j’ai un discours d’éducation des miens à ces problématiques, sans dire que c’est le mal. J’envisage la protection des données sereinement, j’éduque mes enfants. J’y suis plus sensible avec des discussions familiales avec ado qui veut accéder à Tik Tok, on en discute, elle doit lire les mentions légales » (Homme, 40-49 ans, Master et +, Cadre et profession intellectuelle supérieure) ; « J’échange de temps en temps avec mes proches sur la protection des données. J’ai peur surtout pour les personnes âgées qui sont un peu plus innocentes et peu sensibles aux dérives. J’en parle à mes grands-parents pour leur dire de ne pas ouvrir ce qu’ils ne connaissent pas ou de ne pas répondre. » (Femme, 18-24 ans, Master et +, Employé).

 

*

* *

Cette présentation des espaces de socialisation à la protection des données offre une piste d’explication complémentaire aux inégalités identifiées dans le recours aux droits auprès de la CNIL. Les expériences, professionnelles ou personnelles, vécues par les individus, participent à faire évoluer la perception d’une situation et à adopter un regard plus ou moins critique vis-à-vis de celle-ci. Cela invite également à investir d’autres lieux, ancrés dans le quotidien des individus, pour développer des programmes d’éducation aux enjeux du numérique et à la protection des données.


Illustration (CC BY-NC 2.0) - Pulpolux !!! : Cofee Break


Article rédigé par Antoine Courmont , Chargé d’études prospectives