2LRN4 security awareness platform
← Retour à la base de connaissances

La différence entre sensibilisation à la sécurité et à la protection des données

La science décompose la sensibilisation à la sécurité en connaissances, attitude et comportement, et la sensibilisation à la protection des données en perception, compréhension et application. C'est précisément cette différence qui explique pourquoi la sécurité exige un changement de comportement et la protection des données l'application de connaissances, et pourquoi un format de formation unique ne suffit pas pour les deux sujets.

Récemment mis à jour

De l'analyse à l'action

Découvrez comment transformer ce sujet en un programme de sensibilisation concret avec formation, simulations de phishing et reporting management clair.

Réserver une démo Voir la page solution principale
Alain Rees
Fondateur & spécialiste de la sensibilisation à la sécurité · 2LRN4

En bref

  1. La sensibilisation à la sécurité et la sensibilisation à la protection des données proviennent de traditions de recherche différentes. Depuis vingt ans, la sensibilisation à la sécurité se mesure comme un triptyque de connaissances, d'attitude et de comportement (Kruger et Kearney, 2006 ; Parsons et al., 2014), tandis que la sensibilisation à la protection des données est plutôt décrite comme une conscience situationnelle : percevoir qu'une situation appelle l'application des règles, puis appliquer ces règles correctement (Correia et Compeau, 2017).
  2. Pour la sécurité, l'écart entre savoir et faire est bien documenté : la formation accroît surtout les connaissances et l'attitude, tandis que le comportement évolue beaucoup moins. Cela tient à ce qu'un attaquant exploite précisément le traitement rapide et automatique ; à cet instant, la connaissance n'aide que si le bon comportement est déjà devenu une habitude (Vishwanath et al., 2011 ; Prümmer, van Steen et van den Berg, 2024).
  3. L'hypothèse selon laquelle la sensibilisation à la protection des données relève de l'application de connaissances, et la sensibilisation à la sécurité du changement de comportement, est largement étayée par la littérature, mais comme une différence d'accent et non comme une séparation absolue. Pour la protection des données aussi, savoir et faire divergent (le paradoxe de la vie privée), et une grande part des violations déclarées sont des erreurs de routine, comme un courrier ou un courriel envoyé au mauvais destinataire (DLA Piper, 2026).

Dans les programmes de formation, la sensibilisation à la sécurité et la sensibilisation à la protection des données sont souvent citées d'un même souffle. Les organisations les achètent ensemble, les planifient dans la même campagne annuelle et les inscrivent dans le même format, le plus souvent un module e-learning assorti d'un test. Pourtant, les deux sujets demandent quelque chose de fondamentalement différent à un collaborateur. L'hypothèse de cette étude est que la protection des données consiste avant tout à appliquer au bon moment des connaissances sur les règles et les procédures, tandis que la sécurité consiste avant tout à modifier son propre comportement, jusque dans les réflexes.

Ce rapport met cette hypothèse à l'épreuve de la recherche scientifique. Il fait suite à deux rapports antérieurs de cette série : Le problème d'attention, sur ce que les simulations d'hameçonnage accomplissent ou non, et Les premiers mois vulnérables, sur le moment de la première formation. Ces rapports portaient sur la sécurité ; celui-ci place la sécurité et la protection des données côte à côte.

À propos de ce rapport

Type
Étude bibliographique fondée sur des travaux scientifiques évalués par les pairs et sur des publications d'instances faisant autorité.
Question principale
La sensibilisation à la sécurité et la sensibilisation à la protection des données appellent-elles une approche différente, dans laquelle la protection des données revient surtout à appliquer des connaissances et la sécurité surtout à modifier des comportements ?
Sous-questions
  1. Comment la littérature définit-elle les deux notions, et de quels éléments se composent-elles ?
  2. Dans quelle mesure les connaissances se traduisent-elles, pour la sécurité, par un comportement sûr ?
  3. La protection des données présente-t-elle le même écart entre savoir et faire, et vaut-il aussi pour les salariés qui traitent les données d'autrui ?
  4. La nature de la situation dans laquelle chaque forme de sensibilisation doit faire ses preuves diffère-t-elle ?
  5. Qu'est-ce que cela implique pour la conception d'un programme de formation ?
Sources
Instruments de mesure de la sensibilisation à la sécurité (le modèle KAB, le HAIS-Q), des études de synthèse et une méta-analyse sur la formation à la sécurité, la recherche sur le paradoxe de la vie privée, des travaux conceptuels sur la sensibilisation à la protection des données, ainsi que des chiffres d'autorités européennes de protection des données et de l'ENISA.
Données arrêtées au
juin 2026.

01 · CADREDeux notions issues de traditions différentes

Quand on place côte à côte la littérature scientifique consacrée aux deux formes de sensibilisation, une différence d'origine apparaît aussitôt. La recherche sur la sensibilisation à la sécurité s'enracine dans la question de savoir comment une organisation obtient que ses collaborateurs respectent la politique de sécurité. Le fondement le plus utilisé à cet égard est le modèle KAB, qui conçoit la sensibilisation comme un triptyque de connaissances (ce que l'on sait), d'attitude (ce que l'on pense) et de comportement (ce que l'on fait) (Kruger et Kearney, 2006). L'instrument de mesure le plus solidement validé, le Human Aspects of Information Security Questionnaire (HAIS-Q), repose explicitement sur ce modèle et mesure les trois couches sur sept domaines d'attention, des mots de passe à la déclaration des incidents (Parsons et al., 2014). Dans cette tradition, le comportement n'est donc pas un sous-produit de la sensibilisation, mais une part constitutive de la définition. La très influente étude de conformité de Bulgurcu, Cavusoglu et Benbasat (2010) aborde elle aussi la sensibilisation à travers la question de savoir si les collaborateurs se comportent, au bout du compte, conformément à la politique.

La recherche sur la sensibilisation à la protection des données est plus jeune et de nature différente. La large synthèse de Smith, Dinev et Xu (2011) montre que la recherche sur la vie privée s'est de tout temps concentrée sur les préoccupations, les attitudes et les arbitrages liés au partage de données, et beaucoup moins sur le comportement en milieu professionnel. Là où la notion est développée, elle prend très souvent la forme d'une connaissance. L'Online Privacy Literacy Scale (OPLIS) conçoit explicitement la culture de la vie privée comme un savoir, à la fois connaissance factuelle des règles et des pratiques et connaissance des moyens de protéger les données (Trepte et al., 2015). Correia et Compeau (2017) vont plus loin et décrivent la sensibilisation à la protection des données comme une forme de conscience situationnelle, d'après le modèle d'Endsley : percevoir une situation, comprendre ce qu'elle signifie et anticiper ce qui peut advenir. Dans cette lecture, la sensibilisation à la protection des données est la capacité de voir que des données personnelles sont en jeu et de comprendre quelle norme s'applique, après quoi la connaissance peut être mise en œuvre.

Deux traditions, chacune avec son centre de gravité

Comment la littérature construit chaque forme de sensibilisation

SENSIBILISATION SÉCURITÉ trois niveaux, d'après Kruger et Kearney (2006) Connaissances ce que l'on sait Attitude ce que l'on pense Comportement ce que l'on fait SENSIBILISATION DONNÉES conscience situationnelle, d'après Correia et Compeau (2017) Percevoir des données personnelles sont en jeu Comprendre quelle norme s'applique ici Appliquer traduire le savoir en actes

Figure 1 Comment la littérature construit chaque notion. Pour la sensibilisation à la sécurité, le comportement est une part constitutive de la définition et, dans la pratique, le maillon le plus faible ; pour la sensibilisation à la protection des données, l'accent porte sur la reconnaissance de la situation et l'application des connaissances. D'après Kruger et Kearney (2006) et Correia et Compeau (2017).

02 · CONSTATPour la sécurité, le goulet d'étranglement n'est pas le savoir

Que connaissances et comportement ne coïncident pas pour la sécurité, la toute première application du modèle KAB le montrait déjà. Dans l'étude de cas de Kruger et Kearney (2006) au sein d'une entreprise minière internationale, les collaborateurs obtenaient 77 pour cent en connaissances et 76 pour cent en attitude, mais seulement 54 pour cent en comportement. Ce que les collaborateurs savaient et pensaient était donc plus que suffisant, mais ce qu'ils faisaient en pratique restait loin derrière. Des études de validation ultérieures confirment ce constat. Chez cinq cents salariés australiens, la connaissance des règles et des procédures était plus fortement liée à l'attitude qu'au comportement de sécurité lui-même, ce dont les chercheurs concluent que la formation doit expliquer non seulement ce qui est attendu, mais aussi pourquoi cela importe (Parsons et al., 2014).

La recherche de synthèse va dans le même sens. Une revue systématique de 142 études sur la formation à la sécurité constate que la plupart d'entre elles mesurent leur effet à l'aune des connaissances ou des intentions plutôt que du comportement réel, que les effets sont généralement mesurés après une seule séance de formation, sans mesure de suivi, et qu'un changement de comportement durable ne peut donc être établi avec certitude, alors même que ce changement exige de la répétition, puisque les habitudes ne se forment que par la répétition (Prümmer, van Steen et van den Berg, 2024). La méta-analyse correspondante montre que la formation améliore nettement les connaissances et la sensibilisation des utilisateurs finaux, mais que l'effet sur le comportement à plus long terme est plus modeste (Prümmer, van Steen et van den Berg, 2024). Dès 2015, Bada, Sasse et Nurse concluaient que l'information à elle seule ne change pas le comportement : les personnes doivent aussi pouvoir appliquer le conseil et être motivées à le faire. L'ENISA en tire la même leçon et plaide pour un glissement de l'information vers le changement de comportement et la culture (ENISA, 2019).

Pour la partie de l'hypothèse qui concerne la sécurité, les preuves sont donc solides : le goulet d'étranglement ne réside pas dans ce que les collaborateurs savent, mais dans ce qu'ils font sous la pression de l'instant. Dans Le problème d'attention, nous décrivions déjà que l'hameçonnage est davantage un problème d'attention qu'un problème de connaissances, et qu'un taux de clic en baisse dit peu de chose de ce que les collaborateurs ont réellement appris.

Savoir, penser et faire divergent

Scores par dimension dans l'étude de cas de Kruger et Kearney (2006)

Connaissances 77% Attitude 76% Comportement 54% 0% 50% 100%

Figure 2 Scores sur les trois dimensions de la sensibilisation à la sécurité dans l'étude de cas de Kruger et Kearney (2006) : connaissances 77 pour cent, attitude 76 pour cent et comportement 54 pour cent. L'écart entre savoir et faire a depuis été retrouvé dans de nombreux travaux.

03 · CONSTATPour la protection des données aussi, savoir et faire divergent

Qui prend l'hypothèse au pied de la lettre s'attendrait à ce que savoir et faire coïncident pour la protection des données. La recherche montre autre chose, et le phénomène a même son propre nom : le paradoxe de la vie privée. Dans l'expérience qui lui a donné son nom, les participants ont divulgué nettement plus d'informations personnelles qu'ils n'avaient annoncé le faire (Norberg, Horne et Horne, 2007). Pötzsch (2009) décrit le même écart : celui qui est sensible à la protection des données n'adapte bien souvent pas son comportement en conséquence. Des études de synthèse confirment que les attitudes et les préoccupations relatives à la vie privée ne prédisent que faiblement ce que les personnes font réellement lorsqu'elles partagent des données, et l'expliquent notamment par des arbitrages de commodité et d'avantage, par l'incertitude et par la forte influence du contexte sur les préférences en matière de vie privée (Kokolakis, 2017 ; Gerber, Gerber et Volkamer, 2018 ; Acquisti, Brandimarte et Loewenstein, 2015).

Il existe pourtant une différence importante avec le milieu professionnel. La quasi-totalité de ces travaux portent sur des personnes qui décident de leurs propres données, en tant que consommateurs partageant quelque chose en échange de commodité, d'une remise ou d'un contact. Solove (2021) souligne en outre qu'on ne peut guère déduire d'attitudes d'un tel comportement, parce que les personnes arbitrent autrement dans une situation concrète que face à une question générale. Un collaborateur qui traite les données personnelles de clients, de patients ou de collègues occupe un rôle fondamentalement différent : il ne s'agit pas de ses propres données, l'avantage personnel de l'échange disparaît en grande partie, et la question n'est pas de savoir combien il veut partager, mais si le traitement respecte les règles de l'organisation et la loi. Ce rôle appelle avant tout à reconnaître et à appliquer : voir que quelque chose est une donnée personnelle, savoir s'il existe une base légale, reconnaître une demande émanant d'une personne concernée et déclarer une violation à temps. Ce rôle des salariés a été remarquablement peu étudié, et la délimitation de la notion de sensibilisation à la protection des données varie de surcroît d'une étude à l'autre (Smith, Dinev et Xu, 2011 ; Correia et Compeau, 2017).

Une nuance mérite ici d'être soulignée. Les chiffres de terrain montrent que les incidents de protection des données ne sont de loin pas toujours des incidents de connaissances. À l'échelle européenne, les autorités de contrôle reçoivent désormais en moyenne 443 déclarations de violation de données par jour, une hausse de 22 pour cent en une seule année (DLA Piper, 2026). Une part substantielle de ces violations ne sont pas des cyberattaques sophistiquées, mais des erreurs humaines de routine : un courrier ou un courriel envoyé au mauvais destinataire figure régulièrement parmi les types de violations les plus fréquemment déclarés, et l'erreur humaine est l'une des principales causes de violations en Europe (ENISA, 2019). Une lettre dans la mauvaise enveloppe n'est pas un défaut de connaissance du RGPD, mais une simple erreur de routine, et donc un problème de comportement par excellence. Dans la pratique de la protection des données, l'application de connaissances et l'ancrage de routines soigneuses vont ainsi de pair.

Pour la sécurité, un comportement ancré doit tenir tête à un adversaire qui mise sur les réflexes automatiques ; pour la protection des données, il faut reconnaître la situation et y appliquer la bonne connaissance.

D'après la littérature examinée

04 · EXPLICATIONL'adversaire et le moment décisif diffèrent

Le schéma des deux chapitres précédents s'explique bien par la nature de la situation dans laquelle chaque forme de sensibilisation doit faire ses preuves. La sécurité a pour objet de protéger l'information et les systèmes contre une atteinte délibérée (von Solms et van Niekerk, 2013). Un adversaire pensant fait donc face au collaborateur, et cet adversaire choisit le moment, la forme et la pression. La recherche sur l'hameçonnage montre que la plupart des messages d'hameçonnage sont traités par la voie rapide et superficielle : les personnes décident sur la base d'indices simples présents dans le message, sans réflexion approfondie, surtout lorsque l'expéditeur joue sur l'urgence et l'autorité (Vishwanath et al., 2011). À un tel moment, il n'y a pas d'occasion d'appliquer le savoir posément. Ce qui compte alors, c'est le comportement que la personne a fait sien : marquer une pause, vérifier la demande par un autre canal et signaler ce qui sort de l'ordinaire. C'est pourquoi la sensibilisation à la sécurité est au fond une question de comportement, et c'est pourquoi une formation courte, répétée et qui fait s'exercer les collaborateurs dans le contexte de leur travail agit mieux qu'une transmission de connaissances ponctuelle (Prümmer, van Steen et van den Berg, 2024).

Pour la protection des données, le moment décisif se présente autrement. La norme ne vient pas d'un attaquant, mais de la loi et de la politique de l'organisation, et les questions surgissent le plus souvent dans le travail ordinaire : puis-je partager ce fichier avec ce collègue, combien de temps conservons-nous ces données, cette demande relève-t-elle du droit d'accès, et cet événement est-il une violation à déclarer ? Devant de telles questions, il y a presque toujours l'occasion de réfléchir, de vérifier quelque chose ou de consulter le délégué à la protection des données. Le goulet d'étranglement n'est pas ici la pression temporelle d'un adversaire, mais la reconnaissance de la situation : qui ne voit pas que quelque chose est une donnée personnelle ou une violation n'en vient jamais à appliquer ses connaissances. Cela rejoint exactement la description de la sensibilisation à la protection des données comme conscience situationnelle (Correia et Compeau, 2017).

Les deux domaines se recoupent néanmoins. L'hameçonnage cible souvent précisément des données personnelles, de sorte qu'une attaque réussie est du même coup une violation, et les erreurs d'envoi figurant dans les chiffres de déclaration des autorités de contrôle sont un comportement de routine qui appelle la même approche centrée sur le comportement que les habitudes de sécurité. À l'inverse, la connaissance compte bel et bien pour la sécurité : qui obtient un score plus élevé au HAIS-Q, composante de connaissances comprise, obtient de meilleurs résultats à un test d'hameçonnage expérimental (Parsons et al., 2017). La différence entre les deux domaines n'est donc pas une ligne de partage nette entre connaissance et comportement ; elle réside dans la question de savoir lequel des deux est déterminant dans la situation décisive.

05 · CONCLUSIONUne différence d'accent

La réponse à la question principale est la suivante : l'hypothèse est largement étayée, pourvu qu'on l'entende comme une différence d'accent. La sensibilisation à la sécurité est au fond une question de comportement : la connaissance est nécessaire, mais la recherche montre à chaque fois que connaissances et attitude devancent largement le comportement, et que les moments décisifs sont si brefs et si délibérément exploités par l'attaquant que seules des habitudes ancrées offrent une prise. La sensibilisation à la protection des données en milieu professionnel est en revanche surtout une affaire de reconnaissance et d'application : voir qu'une situation relève des règles, savoir quelle norme s'applique et agir en conséquence, avec le temps et les ressources généralement disponibles dans ces situations.

Pour la conception d'un programme de formation, cela signifie qu'une forme unique ne suffit pas pour les deux sujets. La formation à la sécurité appelle un entraînement court, répété et centré sur le comportement, dans le contexte du travail, afin que des habitudes puissent se former. La formation à la protection des données appelle des cas concrets reconnaissables, des règles de décision claires et des références et voies de signalement faciles à trouver, afin que la connaissance soit disponible au moment où la situation se présente. Pour l'une comme pour l'autre vaut ce que la recherche dit depuis longtemps : se contenter de diffuser de l'information ne change pas grand-chose, car les collaborateurs doivent aussi pouvoir et vouloir appliquer le conseil (Bada, Sasse et Nurse, 2015 ; ENISA, 2019).

En même temps, la modestie s'impose. Le paradoxe de la vie privée montre que, pour la protection des données aussi, savoir et faire ne vont pas de soi ensemble, et les chiffres de déclaration montrent qu'une part importante des incidents de protection des données consiste en erreurs de routine qui, elles, appellent un changement de comportement. Qui se sert de la distinction de ce rapport fera donc bien de l'entendre comme une différence d'accent et non comme un classement strict : un programme mûr forme surtout le comportement pour la sécurité tout en entretenant la connaissance, et forme surtout à reconnaître et à appliquer les règles pour la protection des données, sans perdre de vue les routines soigneuses.

Limites

  • Ce rapport est une étude bibliographique qui résume des travaux existants et ne contient pas de recherche propre nouvelle.
  • La recherche sur le paradoxe de la vie privée porte presque exclusivement sur des consommateurs décidant de leurs propres données ; la transposition aux salariés qui traitent les données d'autrui est en partie raisonnée plutôt que directement mesurée.
  • De nombreux travaux sur la sensibilisation à la sécurité mesurent un comportement autodéclaré ou des effets de court terme, ce qui limite la vue d'ensemble sur un changement de comportement durable.
  • Les notions de sensibilisation à la sécurité et de sensibilisation à la protection des données ne sont pas définies de façon uniforme dans la littérature ; la comparaison de ce rapport dépend des définitions retenues.
  • Les chiffres de déclaration comptabilisent les violations déclarées ; tout incident n'est pas reconnu ni déclaré, et l'obligation de déclaration pèse différemment selon le type d'incident.

Sources

  1. Acquisti, A., Brandimarte, L., et Loewenstein, G. (2015). Privacy and human behavior in the age of information. Science, 347(6221), 509-514. doi.org/10.1126/science.aaa1465
  2. Bada, M., Sasse, A. M., et Nurse, J. R. C. (2015). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? International Conference on Cyber Security for Sustainable Society. arxiv.org/abs/1901.02672
  3. Bulgurcu, B., Cavusoglu, H., et Benbasat, I. (2010). Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly, 34(3), 523-548. aisel.aisnet.org/misq/vol34/iss3/9
  4. Correia, J., et Compeau, D. (2017). Information Privacy Awareness (IPA): A Review of the Use, Definition and Measurement of IPA. Hawaii International Conference on System Sciences (HICSS-50). aisel.aisnet.org/hicss-50
  5. DLA Piper (2026). GDPR Fines and Data Breach Survey: January 2026. dlapiper.com
  6. Gerber, N., Gerber, P., et Volkamer, M. (2018). Explaining the privacy paradox: A systematic review of literature investigating privacy attitude and behavior. Computers & Security, 77, 226-261. doi.org/10.1016/j.cose.2018.04.002
  7. Kokolakis, S. (2017). Privacy attitudes and privacy behaviour: A review of current research on the privacy paradox phenomenon. Computers & Security, 64, 122-134. doi.org/10.1016/j.cose.2015.07.002
  8. Kruger, H. A., et Kearney, W. D. (2006). A prototype for assessing information security awareness. Computers & Security, 25(4), 289-296. doi.org/10.1016/j.cose.2006.02.008
  9. Norberg, P. A., Horne, D. R., et Horne, D. A. (2007). The Privacy Paradox: Personal Information Disclosure Intentions versus Behaviors. Journal of Consumer Affairs, 41(1), 100-126. doi.org/10.1111/j.1745-6606.2006.00070.x
  10. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., et Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165-176. sciencedirect.com/.../S016740481300179X
  11. Parsons, K., Calic, D., Pattinson, M., Butavicius, M., McCormac, A., et Zwaans, T. (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66, 40-51. doi.org/10.1016/j.cose.2017.01.004
  12. Pötzsch, S. (2009). Privacy Awareness: A Means to Solve the Privacy Paradox? In The Future of Identity in the Information Society, IFIP AICT 298. doi.org/10.1007/978-3-642-03315-5_17
  13. Prümmer, J., van Steen, T., et van den Berg, B. (2024). A systematic review of current cybersecurity training methods. Computers & Security, 136, 103585. doi.org/10.1016/j.cose.2023.103585
  14. Prümmer, J., van Steen, T., et van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
  15. Smith, H. J., Dinev, T., et Xu, H. (2011). Information Privacy Research: An Interdisciplinary Review. MIS Quarterly, 35(4), 989-1015. aisel.aisnet.org/misq/vol35/iss4/11
  16. Solove, D. J. (2021). The Myth of the Privacy Paradox. George Washington Law Review, 89, 1-51. gwlr.org
  17. Trepte, S., Teutsch, D., Masur, P. K., et al. (2015). Do People Know About Privacy and Data Protection Strategies? Towards the “Online Privacy Literacy Scale” (OPLIS). In Reforming European Data Protection Law. doi.org/10.1007/978-94-017-9385-8_14
  18. Vishwanath, A., Herath, T., Chen, R., Wang, J., et Rao, H. R. (2011). Why do people get phished? Testing individual differences in phishing vulnerability within an integrated, information processing model. Decision Support Systems, 51(3), 576-586. doi.org/10.1016/j.dss.2011.03.002
  19. von Solms, R., et van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97-102. doi.org/10.1016/j.cose.2013.04.004
  20. ENISA (2019). Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. European Union Agency for Cybersecurity. enisa.europa.eu
Étape suivante

Utilisez cet article comme base puis voyez comment 2LRN4 traduit ce sujet en segmentation d'audiences, formation et reporting.

Réserver une démo Télécharger le guide Plus d'articles