Faire confiance ?

Le 11 mars 2010, l’Association de l’économie numérique (Acsel) et la Caisse des Dépôts présentaient leur premier baromètre sur « la confiance des Français dans le numérique » (.pdf). L’étude confirme et établit un phénomène que l’on constate depuis longtemps sans trop savoir se l’expliquer : le niveau perçu de risque associé à un usage de l’internet joue somme toute assez peu sur le niveau d’usage. Ainsi, seuls 51 % des internautes français considèrent que l’on peut acheter en ligne sans risque, mais 85 % d’entre eux le font ; 86 % ne perçoivent pas de risque à se mettre en relation avec une administration via l’internet, et 89 % le font.

Quand on lit l’étude de manière plus approfondie, on s’aperçoit que la différence entre les niveaux de risque associé aux entreprises et aux administrations tient moins au degré de sécurisation technique de leurs systèmes réciproques, qu’à ce que l’on imagine que les unes et les autres vont faire des données dont elles disposent. Autrement dit : on peut agir même si on n’a pas trop confiance ; et la sécurisation technique n’est qu’un facteur de confiance parmi d’autres. L’étude dit beaucoup d’autres choses, mais focalisons-nous sur ces deux-là.

Les étonnements de la confiance numérique

Ce qui n’empêche pas, depuis plus d’une décennie, les professionnels, les chercheurs et les régulateurs, de se focaliser sur deux équations visiblement fragilisées par la réalité des pratiques : les pratiques numériques ont besoin de « confiance » pour se développer ; la « confiance » est le produit naturel de la sécurisation technique et juridique des systèmes, des réseaux et des transactions.

Or les perceptions et les pratiques concrètes des acteurs pointent bien souvent dans des directions différentes.

La rencontre entre les dispositifs d’authentification forte (certificat/signature électronique, carte à mémoire, voire biométrie) et les services en ligne, annoncée depuis des années, n’a toujours pas eu lieu. Au contraire, les utilisateurs (et même beaucoup de professionnels) arbitrent depuis des années en faveur de la simplicité et de la commodité, plutôt que de la sécurité, comme on le constate par exemple dans le domaine du paiement en ligne. Les dizaines de systèmes de paiement plus sécurisés les uns que les autres qui ont été proposés depuis les années 1990, parfois avec le soutien des plus grands réseaux bancaires ou des institutions publiques, à l’échelle nationale ou internationale, n’ont pas pu empêcher la victoire presque sans appel du… premier en lice (SSL), qui se contente de chiffrer les échanges et d’authentifier (plus ou moins sérieusement) le commerçant.

Les dispositifs de sécurité suscitent même de plus en plus souvent… de l’inquiétude, voire de la méfiance. Il suffit de lire les débats qui accompagnent le développement des titres d’identités biométriques et sans contacts, des nouveaux portiques aux aéroports ou des grands réseaux de vidéosurveillance. Trop de sécurité peut nuire à la confiance.

Dans le même temps, de très grands systèmes de confiance se créent et s’étendent sans aucune sécurité formelle : les sites de petites annonces et de ventes aux enchères, Wikipedia, les réseaux de patients, des systèmes de recommandation d’hôtels et de restaurants… Alors que les « tiers de confiance » qui se définissent comme tels, appuyés pour l’essentiel sur des systèmes de sécurité, peinent à rencontrer leur marché, d’autres émergent ainsi d’une manière plus organique. Certes, ils ont tous mis en œuvre des dispositifs souterrains de contrôle, modération, détection d’anomalies, etc. – mais ceux-ci interviennent a posteriori, et non comme des barrières à l’usage.

Les individus eux-mêmes s’immiscent dans l’organisation des « cercles de confiance », en faisant référence les uns aux autres, en capitalisant sur leur réputation dans des sites de réseaux sociaux, en s’organisant en communautés…

En revanche, et contrairement à ce qui avait pu être avancé il y a quelques années, la « réputation » sur ces sites ne fonctionne pas comme une valeur transférable : votre cote en tant que vendeur d’eBay, ou que critique de livres sur Amazon, votre compétence de « guildleader » sur un jeu en réseau, n’ont encore acquis aucune valeur, en tout cas formelle, dans d’autres sites ou univers.

Qu’est-ce donc que la confiance ?

Alors qu’elle joue un rôle central dans le fonctionnement d’une société, d’une économie ou plus quotidiennement, d’une relation personnelle ou commerciale, la confiance est difficile à saisir. Elle est « une espérance ferme en une personne ou une chose » (dictionnaire francophone Hachette), une perception qui autorise à agir. Il s’agit donc d’une relation, mais qui n’est ni réflexive, ni symétrique, ni transitive. Elle peut être générale, vis-à-vis d’un système (« confidence » en Anglais) ou particulière, vis-à-vis d’un interlocuteur (« trust »). Elle s’appuie sur des institutions (au sens large : une communauté informelle peut être un espace de confiance), des techniques, des pratiques communes ou des expériences individuelles, des habitudes aussi. La capacité à la générer constitue un actif immatériel que chacun s’efforce de créer, défendre et valoriser.

Dans le monde numérique, où la relation s’établit souvent entre des acteurs qui ne se connaissent pas et par le truchement de dispositifs techniques, la confiance peut porter – éventuellement à des degrés divers – sur le système technique (tenu pour fiable), l’interlocuteur (tenu pour bienveillant) et l’institution (tenue pour juste – cette typologie provient de l’économiste Laurent Gille). La confiance n’est pas la même selon ce qui est échangé – et également le propre comportement, les propres valeurs de celui qui va pratiquer l’échange. Des « tiers de confiance » tentent d’émerger pour assurer cette confiance, en se focalisant plus ou moins sur certains de ces facteurs.

Mais les économistes nous rappellent que la sécurité est autant un substitut à la confiance, qu’un agent de la confiance. Pour Laurent Gille, de Télécom ParisTech, la confiance est « non (ou pré-)marchande » et s’oppose au contrat, qu’il soit explicite ou traduit par des dispositifs techniques. Pour l’économiste Eric Brousseau, elle sert précisément à diminuer les coûts de transaction associés à la négociation, l’établissement et la vérification de contrats : plus il y a de confiance, moins on a besoin de formaliser (on retrouvera certaines de ces analyses dans la synthèse du groupe « Confiance et sécurité sur les réseaux » (.pdf) qu’organisait la Fing en 2004).

Les nouveaux mécanismes de la confiance numérique

Ces questions sont beaucoup moins étudiées par les acteurs de la « confiance numérique » que les dispositifs cryptographiques ou biométriques. C’est un manque. Les industriels de la confiance ne peuvent plus continuer de produire des systèmes que les marchés n’adoptent pas. Les grands intermédiaires commerciaux, techniques et financiers, les acteurs publics également, doivent contribuer plus activement à définir des édifices de confiance qui répondent à la réalité des pratiques, des aspirations et des risques.

Cela requiert une approche nouvelle, qui complète, voire corrige, l’agenda de la recherche et de l’innovation sur les dispositifs de confiance. Comment la confiance se génère-t-elle, se détruit-elle, s’entretient-elle ? Quel niveau, quel type de confiance, et vis-à-vis de qui, attend-on dans différents contextes numériques ? Par exemple, la confiance en autrui peut-elle compenser l’absence de confiance dans les motivations de l’opérateur d’un réseau social ? Quelles sont les menaces réelles vis-à-vis de la confiance ? Quelle valeur la confiance crée-t-elle, ou bien (si on l’accepte comme « non marchande ») détruit-elle ? Quel rôle les individus eux-mêmes jouent-ils désormais dans les systèmes de confiance ? En définitive, assistons-nous à des ruptures dans les pratiques, les attentes, les jeux d’acteurs – voire à l’émergence de nouveaux modèles de confiance ? Et si oui, quels en seront les acteurs, et comment les pratiques des acteurs existants devront-elles évoluer pour s’y adapter ?

Comment s’y prendre ?

Sur un thème de cette ampleur, une approche allant du général au particulier court le risque de s’égarer dans les généralités. Il s’agit donc d’explorer de manière délibérée un certain nombre de ruptures, pour en dégager des pistes nouvelles qui pourront, dans un second temps, se combiner avec les directions actuelles de la recherche et de l’innovation.

Première rupture : se placer du point de vue des utilisateurs. La confiance est une perception relative à un autre, à une relation, qui conduit à agir. Le point de vue des utilisateurs n’est pas équivalent à celui des professionnels. Le besoin de « confiance » peut varier selon les contextes, les moments, les objectifs, les individus.
Seconde rupture : dissocier sécurité et confiance. Il peut y avoir confiance sans sécurité, c’est le cas le plus fréquent dans le monde physique, mais il se rencontre aussi dans le monde numérique. La sécurité peut également détruire la confiance et inversement la confiance permet dans certains cas de pallier l’absence de sécurité. Enfin, les systèmes de sécurité peuvent, ou non, susciter et mériter la confiance de leurs utilisateurs, tant en ce qui concerne leur fiabilité que les principes sur lesquels ils sont bâtis : on ne « sécurise » jamais au même titre tous les acteurs d’un système de sécurité.
Troisième rupture : explorer d’autres approches de la confiance : aller observer sur le marché, ou chez des innovateurs, des approches fondées sur la réputation, ou l’assurance, ou la résilience, ou l’échange entre les individus ; des dispositifs d’anonymisation ou de pseudonymisation ; des outils destinés aux individus qui visent à les aider à décider, négocier, voire contester les formes de relation, que leur proposent les organisations… Ces pistes (non exhaustives) ne s’opposent pas aux approches classiques, mais elles les complètent, produisent de la confiance et représentent autant d’opportunités innovantes.

C’est autour de ces ruptures que la Fing et la Fondation Télécom engagent un travail commun. Vos contributions y sont les bienvenues !

Francis Jutand, directeur scientifique de l’Institut Télécom
Daniel Kaplan, délégué général de la Fing
Henri Verdier, directeur du Think Tank Futur Numérique (Fondation Télécom)

_____

Comment contribuer à cette expédition ? Un site sera très prochainement ouvert pour partager idées, veille, projets. Des rencontres ouvertes auront également lieu en juin et septembre. Dans l’immédiat, vous pouvez :

Nous proposer vos « rapports d’étonnement » : avez-vous observé des situations inattendues où vous avez trouvé de la confiance là où vous ne l’attendiez pas ? Ou l’inverse ? Nous en publierons une synthèse fin juin et confronterons cette situation à des acteurs et chercheurs capables de nous aider à les « décoder ».
Partager votre veille sur le sujet : insérez simplement le mot-clé « confiancenumerique » dans votre veille partagée sur Delicious, suivez ce que les autres ont repéré (fil RSS).
Ou pour aller plus loin, vous inscrire sur le réseau social de la Fing et rejoindre le groupe « Confiance », co-animé par la Fondation Télécom et la Fing

A bientôt sur la confiance !

Mobilité (807)
Territoires (639)
Interfaces (616)
Médias (574)
Confiance et sécurité (531)
Economie et marchés (472)
eDémocratie (440)
Education et formation (419)
Innovation, RD (333)
Jeu (306)

(...)

Toute l'actualité des TIC

Notre selection de livres