Archives des étiquettes : vie privée

La protection de la vie privée : la menace réglementaire pour les géants du numérique

Apple était s’il on peut dire, précurseur dans ce domaine et pour cause, leur Business Model ne dépend pas de la collecte d’informations personnelles, même s’ils se montrent parfois assez laxistes dans le contrôle des applications réalisant cette tache sur leur store…

Depuis quelques semaines, c’est au tour de Facebook, Google et maintenant Amazon de se faire les champions de la protection de la vie privée. Autant le dire tout de suite, il y a pas mal de travail encore pour que cela soit crédible ! Car en dehors de ces déclarations , ils n’ont toujours pas réalisé même le plus petit des changements dans leur Business Model dépendant en très grande partie de la collecte d’informations…

Mais alors pourquoi de telles déclarations et pourquoi maintenant ? Pas plus tard que la semaine dernière c’est Amazon qui assurait que maintenant Alexa, son assistant vocal, ne conserverai plus les phrases énoncées par les utilisateurs sur simple demande… vocale. Ce qui est globalement plus pratique que d’aller sur l’application pour modifier ceci en se perdant dans les menus… Et globalement c’est une bonne nouvelle pour les personnes qui craignent qu’Alexa puisse partager par inadvertance leurs enregistrements vocaux avec d’autres personnes – comme cela s’est passé par le passé à plusieurs reprises.

La réponse à cette question se trouve, ce n’est pas une surprise, aux États Unis, ou pour être plus précis en Californie, la patrie de la technologie. En effet, l’état est en train de se doter d’une loi reprenant les grandes lignes du RGPD. Les géants de la technologie font donc face à des menaces de réglementation sur de nombreux fronts. Pour en revenir aux assistant vocaux, l’Assemblée de l’État de Californie a adopté la loi dite « anti-écoute ». Le projet de loi va maintenant être examiné par le Sénat de l’État de Californie. Les fabricants d’appareils d’écoute ambiante, tels que les enceintes intelligentes, devront systématiquement obtenir l’accord de leurs utilisateurs avant d’enregistrer leur voix et pourront demander l’effacement aussi simplement.

Lire la suite

Apple : Tim Cook vante les mérites de la RGPD à Bruxelles, mais est plus amnésique sur les pratiques d’Apple en Chine :)

Capture d_écran 2018-10-25 à 08.22.37Tim Cook, le PDG D’Apple était à Bruxelles pour dire tout le bien qu’il pense de la RGPD et de la confidentialité des données au sens large. Le modèle européen devrait être selon lui  être mis en place également aux Etats Unis pour éviter des dérives d’un certains nombres d’acteurs… Suivez son regard.

Sur le fond, Tim Cook a sans aucun doute raison et les sociétés qui exploitent les données personnelles devraient sans doute respecter plus de règles comme par exemple d’indiquer clairement ceci par des messages explicites lors de la souscription à leur services, indiquer par exemple comme première phrase : « Ici les services ne se payent pas en Euros mais avec l’exploitation de vos données personnelles« , ensuite à vous de juger.

Mais Tim Cook, qui n’hésite pas à se servir de cet argument pour lutter contre Google, Facebook et autres, reste beaucoup plus silencieux sur les pratiques d’Apple en Chine. C’est ce que fait remarquer à juste titre l’ancien chef de la sécurité de Facebook Alex Stamos qui vient de quitter il y quelques mois la société.

Lire la suite

[Lettre Calipia] Votre vie privée, leur business…

J’ai forcément choisi un titre un peu provocateur pour aborder le sujet du respect de la vie privée. Ce titre n’est pas sans rappeler la « tag line » qu’avait Microsoft il y a quelques années : « Votre potentiel, notre passion ». Je pense que ce titre pourrait servir en fait de slogan à bon nombre d’acteurs, encore faudrait-il qu’ils ne fussent pas hypocrites…

C’est un secret de polichinelle, de nombreuses sociétés fournissant du « gratuit » se rémunèrent en vendant à des annonceurs vos habitudes, et la connaissance qu’ils peuvent avoir de votre vie privée. C’est une nécessité pour eux afin de faire prospérer leur business, un business qui se chiffre parfois à plusieurs dizaines de milliards de dollars, une paille ! Alors on peut s’en émouvoir, s’en étonner encore, s’insurger, mais on peut également s’en moquer, arguant du fait qu’après tout ce n’est pas si grave que cela car « nous n’avons rien à cacher ! ». Nous ne sommes pas un terroriste, un prédateur sexuel, ou un grand délinquant. Nous pouvons tout au plus confesser des pensées parfois assassines devant ce conducteur qui s’obstine à nous faire des appels de phares alors que nous sommes déjà à 130 Km/h sur la voie du milieu. Pas de quoi en tout cas s’attirer les regards de la NSA ou les foudres de la DCRI. Pas de grande différence pour les utilisateurs dans l’entreprise : après tout, nous ne détenons pas de secrets industriels, nous ne conversons pas avec le concurrent chinois. Nous espionner serait donc pour ces fournisseurs une perte de temps. Alors pourquoi ne pas considérer ceci comme un simple échange de bons procédés : « Il vous donne des outils et services gratuitement et vous lui donnez des éléments « insignifiants  et sans valeur » sur vous …

Les choses sont-elles si simples ?
Et si, en fait, vous aviez bien quelque chose à cacher…

Lorsque l’on aborde le sujet du respect de la vie privée, de nombreuses personnes pensent en effet que c’est un faux problème, que si Facebook ou Google lisent leurs messages, ce n’est pas si grave car « ils n’ont rien à cacher ». Et qu’il faut se méfier des personnes qui ne sont pas de leur avis : si elles ont quelque chose à cacher, c’est suspicieux !

Comment aborder ce sujet sans commencer par définir ce que l’on appelle « vie privée » et surtout « vie privée numérique ». C’est beaucoup plus compliqué qu’il n’y paraît. Si l’on s’en tient au Larousse, nous obtenons : « vie privée : qui concerne quelqu’un dans sa personne même, dans sa vie personnelle » hum… mais encore ?

Quelques éclaircissements peuvent venir de la sociologie. Ainsi le sociologue Pierre Demeulenaere[1] aborde les difficultés de la caractérisation de la notion de vie privée :

« La notion de vie privée s’est imposée progressivement dans les esprits, et dans les mœurs, sans qu’elle ait d’abord été́ véritablement l’objet d’une conceptualisation précise qui ait précédé́ ce déploiement multiforme. En conséquence, son usage demeure une source d’équivoques et de confusions.

D’un point de vue historique, on peut considérer que la promotion de la notion de vie privée accompagne la formation d’une société́ de type individualiste. »

Apparait ainsi le lien entre vie privée, individualisme et individu. On peut aussi tenter d’élaborer une ébauche de définition de « la vie privée numérique ». Ce serait par exemple : un ensemble d’éléments, matériels ou immatériel qui possède un caractère considéré comme  « intime » pour une personne. Problème avec cette définition, cela dépend de chaque personne ! Ce qui est « intime », du ressort de « la vie privée » pour l’une, ne l’est pas forcément pour l’autre ! Cela dépend de ce que les sociologues nomment le « cadre de référence ».

article1Prenons un exemple : que diriez-vous si une conversation privée que vous avez avec tel ou telle personne était rapportée par cette dernière à un tiers ? Peut-être que cela ne vous dérangerait pas le moins du monde, peut-être qu’au contraire cela vous heurterait profondément. Il en va de même si une vidéo entre amis se retrouve demain sur Youtube, cela peut vous gêner, simplement vous agacer ou encore ne vous faire ni chaud ni froid, tout dépend du contexte propre à chacun et sa propre définition de son espace privé.

Il y a également une grosse différence entre la vie privée physique et la vie privée numérique. Chez vous si vous êtes en train de lire un livre (physique) personne n’est derrière votre dos en train de vous observer, de repérer tous les passages qui attirent le plus votre attention. Si c’était le cas, cela vous énerverait à coup sur ! Et puis cette personne a sans doute autre chose à faire de toute façon ! Sur Internet les choses sont bien différentes, tout ce que vous faites est à priori observé par des programmes, des logs, des processus dont c’est le rôle… Et c’est toute la différence : par défaut dans le monde numérique votre comportement est observé.

Vous avez quelque chose à préserver : votre intimité

Les réflexes que nous avons dans notre vie physique, comme la protection « par défaut » de notre espace privé, ne sont pas entrés dans les mœurs de notre vie numérique. Si vous croisez des inconnus dans la rue qui vous proposent des objets bien physiques gratuitement : une montre, un livre, etc. vous ferez preuve sans aucun doute d’une grande méfiance… Dans la vie numérique, si tels ou tels vous proposent un service gratuit, (dont vous savez pertinemment que sa mise en place lui a couté des millions de $) seriez vous aussi suspicieux ? Pas sûr…

On peut aisément comprendre que la protection de notre vie privée puisse  se heurter à la sécurité dont les états sont garants. Comment ne pas être d’accord avec la mise sous surveillance des terroristes, des pédophiles, des bandits de tous poils ? C’est bien sûr avec ces arguments, en exploitant la peur des concitoyens que les communes s’équipent souvent massivement de caméras vidéo, que PRISM peut exister et que la mise sous surveillance numérique est organisée légalement (parfois illégalement lorsque cela déborde du territoire : ce qui est néanmoins une des caractéristiques des moyens de communication d’aujourd’hui qui ne s’arrêtent pas aux frontières des états).Eternel antagonisme entre sécurité et liberté !

Mais pas besoin de chercher si loin, de se faire peur en imaginant des états « Big Brother » (même si ce danger peut être bien réel).  Nous avons à coté de nous des services qui menacent notre vie privée sans se cacher : les réseaux sociaux bien sûr.

Les réseaux sociaux : ces grands pourfendeur de notre vie privée.

Ce n’est sans doute pas une surprise pour nos lecteurs, Facebook, Instagram, Google+ et consort sont de grands consommateurs de notre vie privée. Ils s’en nourrissent, s’en régalent, leur appétit est toujours un peu plus grand, les obligeant à acquérir à grands coups de millions de dollars de nouveaux « collecteurs ».

article2Mais pourquoi diable, donne-t-on autant d’informations personnelles à ces sociétés ? Souvent pour une chose : le lien qu’ils permettent de fluidifier avec nos amis, nos connaissances. En contrepartie du service offert, et surtout des moyens considérables d’un point de vue technique qu’ils mettent en œuvre pour assurer ce service, nous leur permettons, parfois consciemment, lorsque nous sommes bien informés de ces mécanismes (ce qui est loin d’être le cas de tout le monde), de regarder par-dessus notre épaule ce que nous faisons. Et finalement cela ne nous dérange pas tant que cela, pensant le plus souvent : « en quoi les photos du dernier barbecue avec les voisins peuvent avoir de la valeur pour eux ? ». Il nous arrive aussi de penser que ce n’est pas équitable, que nous profitons plus du service qu’ils nous offrent que les bénéfices qu’ils peuvent tirer de notre usage. Comment peuvent-ils rentabiliser la dernière audition de musique de chambre des enfants que j’ai posté sur Dailymotion ? Des serveurs vidéo, de la bande passante, cela coute très cher, et moi qui utilise tout cela gratuitement, cela en deviendrai presque indécent !

Dans la vie réelle, ces services seraient quoi ? Imaginez un peu quelqu’un  qui fait un reportage sur vous, qui vous suit en permanence, vous filme (gratuitement), mais vous propose aussi d’acheter tout un tas de truc qu’il vend et qui peuvent bien sur vous intéresser (normal il vous suit sans arrêt, il connaît donc vos goûts le bougre !). Il y a fort à parier qu’il finirait à la porte avec, passez-moi l’expression, « un coup de pied au… ». C’est pourtant comme cela que fonctionnent ces réseaux sociaux et par extension un bon nombre de services. On pense bien entendu à Facebook, mais que dire demain des Google Glass ou d’une Xbox One qui vous écoute, vous filme en permanence dans l’attente de répondre à vos sollicitations ?

Même chose bien entendu côté messagerie gratuite (voir faiblement payante), on pense bien sûr à Gmail, mais pas seulement. Le courrier est lu, exploité pour y détecter de précieuses informations alimentant (merci au passage les technologies et solutions Big Datas) la connaissance que le fournisseur aura de vous, connaissance qu’il pourra à loisir revendre à des fins publicitaires.

Les propos des avocats de Google dans une procédure (class Action) qui oppose le géant aux Etats Unis sont très clairs sur le sujet ainsi que le relate The Guardian[2] :

« Personne n’a le droit de s’attendre au respect de sa vie privée dès lors qu’il donne ses informations à un tiers. » ou encore de justifier : « Comme quand vous envoyez une lettre à un collègue, vous ne devriez pas être surpris que son assistant l’ouvre, et bien les gens qui utilisent des webmails ne doivent pas être surpris si leurs communications sont analysées par le fournisseur de service du destinataire. », Le patron de Google Eric Schmidt avouant même cet exercice d’équilibriste : « Notre politique est de frôler la ligne rouge sans jamais la dépasser. »

Imaginez là encore dans la vie réelle qu’une personne lisant en permanence toute votre correspondance, la facture que vous venez de recevoir d’EDF par exemple, il sera peut-être tenté de vous proposer de changer de fournisseur énergétique disposant de tarifs soit disant plus adaptés à vos besoins. Le supporteriez-vous ? Alors qu’on ne parle même pas ici de correspondance intime (c’est assez rare en fait avec le service de facturation d’EDF ☺). Bien entendu cela s’applique aussi à cette correspondance plus intime…

Alors oui, vous n’avez peut-être pas beaucoup de choses à cacher, mais voir des tiers qui exploite des données que vous considérez comme « privées ou intimes », les revendre à des tiers, à minima, c’est assez dérangeant… Mais vous n’avez encore rien vu !

Les plus grands fléaux : l’agrégation de données et les « métadonnées »

Un des mécanismes les plus intéressants est celui de l’agrégation de données. Les données qui sont collectées sur vous à droite et à gauche par différents services en ligne, ne sont sans doute pas très importantes unitairement ; elles le deviennent lorsqu’ elles sont agrégées. Lorsque l’on voit la consolidation de différents acteurs, le partage organisé de données, on comprend que l’enjeu est de taille. Prenez par exemple Youtube, racheté  pour 1,65 milliards de dollars en 2006 par Google. Savez-vous que le service n’est pas « rentable » à lui seul, et que ce ne sont pas les publicités que vous voyez au début d’une vidéo qui le finance, mais le fait qu’il collecte, lorsque vous choisissez de regarder un vidéo, de petits éléments de votre comportement qui iront enrichir les autres informations que détient Google à votre sujet. Et cela devient ainsi rentable pour le géant de Mountain View. Si vous avez échangé quelques mails au sujet de la difficulté de trouver un plombier, que vous avez regardé une vidéo explicative sur la soudure à l’étain et que vous venez de vous balader des forums d’outillages, ne vous étonnez pas de recevoir une publicité d’enseigne de magasin de bricolage vous proposant leurs promotions actuelles pour les robinets et coudes en cuivre !

L’agrégation fait aussi la force de ces services. Comment reprocher aux acteurs informatiques de collecter et d’agréger ces données personnelles, alors qu’ils nous offrent un service « personnalisé » ? Dans la vie réelle, peut-on être à la fois un intime sans connaître l’intimité ? Proche et attentif sans proximité ? Google Chrome, Internet Explorer et Safari vous propose par exemple de synchroniser tous vos favoris avec toutes vos machines (y compris vos Smartphones et Tablettes des même éditeurs) : utile, pratique, mais techniquement comment faire cela sans récupérer toutes ces informations, les associer à un compte pour ensuite les synchroniser ? Que penser d’un service qui demain vous suggèrera automatiquement des nouveaux pointeurs pertinents en s’appuyant aussi sur vos habitudes de consultation ? Utile, non ? Où se trouve votre frontière de l’intrusif ?

A minima les « Métadonnées » permettent d’obtenir un portrait rapide d’une personne, elles dressent en quelques sorte le résumé de la collecte et de l’agrégation pour un traitement de masse. Nous avons vu cet été que les autorités américaines se sont justifiées en indiquant que la collecte et le stockage de ces métadonnées ne sont pas à proprement parler de
l’espionnage mais de l’analyse comportementale permettant d’identifier des écarts, des aberrations…

Pas besoin d’avoir de gros moyens, pour tester ces possibilités : une équipe du Massachusetts Institute of Technology (MIT) a développé une application[3] qui permet de visualiser ses propres métadonnées basées sur la seule analyse de votre boite aux lettres Gmail ou Exchange Online (avec votre consentement cette fois).

Ce programme baptisé « Immersion » balaye l’ensemble des messages échangés et l’application crée un simple graphique interactif et dynamique qui analyse pour vous les relations entre les différents interlocuteurs. Si vous imaginez ce que l’on peut faire en plus en agrégeant les données des réseaux sociaux, cela fait froid dans le dos !

Les technologies au service de l’exploitation des données personnelles

article3Une des plus grosses révolutions technologiques qui s’est opérée lors de la dernière décennie est que les technologies permettant l’exploitation de masse des données (Big Data) ont fortement progressées. La baisse du coût de la puissance de calcul combiné à la basse du coût du stockage allié au formidable progrès de la Business Intelligence ont rendu  possible et « rentable » l’exploitation massive des données. Pour la surveillance mais surtout pour la publicité Il est inimaginable qu’une société paye des millions de personnes qui viendraient physiquement chez tous les individus pour enregistrer leurs habitudes comportementales. Grace au progrès technologique,  il est maintenant économiquement possible de réaliser ceci à distance. Autant le dire tout de suite, les choses ne risquent pas de s’arrêter avec les évolutions en cours ! Le facteur d’accroissement puissance par capacité de stockage risque bien d’être exponentiel. On peut bien entendu s’en réjouir pour le décryptage du génome, la connaissance du fonctionnement du corps humain pour demain le réparer, la réalisation possible de nouveaux processus industriels, etc. Mais concernant le respect de la vie privée, nous pouvons et nous avons toutes les raisons de nous en inquiéter.

Et après ? Que peut-on faire ?

L’exploitation à des fins à minima commerciales de notre vie privée n’est-elle pas inéluctable ?  Avons nous les moyens de nous en prémunir ?

Ces questions sont très importantes. Bonne nouvelle, il y a à mon avis des premières pistes pour y répondre positivement. En guise de conclusion, en voici au moins trois :

Premièrement : il faut expliquer le mode de rémunération des acteurs du « gratuit », expliquer les bénéfices que l’on peut en tirer mais aussi les risques.

Nous sommes sensibilisés dès notre plus jeune âge aux dangers de la vie réelle, à gérer la confidentialité de certaines informations : « ne pas parler à un inconnu, ne pas accepter des bonbons de sa part ne pas lui dévoiler notre lieu d’habitation, les horaires de travail de nos parents, le fait que nous sommes seuls à la maison entre 17h30 et 18h30, que nous partons en vacances entre le 12 et le 28 juillet, etc… » Autant d’informations pourtant parfois si facile à trouver sur le net en consultant quelques pages Facebook mal protégées de nos enfants…Certes ces derniers doivent être les premiers concernés par cette éducation, mais avouez que beaucoup d’adultes auraient bien besoin de séances de rattrapage ?

Deuxièmement : il faut continuer de faire pression sur les différents fournisseurs (comme le fait actuellement la CNIL avec Google en France par exemple – voir encadré ci-dessous) pour qu’ils affichent plus de transparence sur la collecte des données qu’ils font à notre insu, et l’agrégation qu’ils réalisent parfois avec des tiers. Mais aussi qu’ils nous donnent un droit de regard sur la totalité de ces informations et nous permettent le cas échéant de les détruire sur simple demande. Cerise sur le gâteau, si ils pouvaient en plus nous permettre de choisir ou non si nous souhaitons la collecte de données (type Do-not-Track) moyennant en cas de refus, bien entendu, une dégradation possible (et expliquée) des services offerts.

22 juillet 2013La   CNIL a récemment mis en demeure Google de se conformer à la loi Informatique   et Libertés sous 3 mois. Cette mise en demeure s’inscrit dans le cadre d’une   action européenne concertée visant à garantir la protection de la vie privée   des utilisateurs des services de Google.La   mise en demeure adressée par la CNIL à Google, le 20 juin dernier, fait suite   à un travail d’analyse mené en commun avec les autorités de protection   européennes, réunies au sein du G29.Le   même jour, l’autorité espagnole a formellement ouvert une procédure de   sanction à l’encontre de la firme de Mountain View et l’autorité italienne a   indiqué avoir adressé une demande d’explications à Google pouvant déboucher   sur des sanctions.

D’autres   autorités européennes ont également entamé des procédures visant à évaluer   formellement la conformité des services de Google par rapport à leur loi   nationale et à obtenir une mise en conformité si nécessaire.

Ainsi   l’ICO, l’autorité britannique, et l’autorité de protection des données   allemande du Land de Hambourg ont demandé officiellement à Google, le 4   juillet, de revoir sa politique de confidentialité afin de la mettre en   conformité avec les législations nationales concernées. L’autorité   néerlandaise poursuit également son analyse et devrait communiquer dès que sa   procédure le lui permettra.

Bien   que basés sur une même directive européenne, les lois de protection des   données diffèrent d’un pays à l’autre. Toutefois les griefs formulés à   l’encontre de Google par les autorités européennes sont similaires :

Un   manquement à l’obligation d’information : Google n’informe pas suffisamment ses utilisateurs des   traitements qui sont effectués sur leurs données.

Des   durées de conservation pas ou mal définies : Google n’a pas défini de façon claire la durée de   conservation des données issues des profils de ses utilisateurs.

Des combinaisons de données illimitées : Google s’autorise à combiner les données issues de   ses différents services de façon illimitée.

La CNIL s’attaque ici à Google, n’y voyez pas un acharnement particulier de leur part, d’autres acteurs pourraient sans problème être concernés par de telles demandes. Mais il est vrai qu’avec plus de 95% de parts de marché sur les recherches en France, Google est une cible privilégiée.

Et enfin, troisièmement : ne pas hésiter de lire  les clauses des conditions d’usages des différents services. La principale difficulté venant du fait qu’en pratique, c’est tout sauf simple.  Nous ne sommes pas juriste, les juristes ne sont eux-mêmes pas toujours spécialistes de la chose informatique. Alors à défaut, voici une bonne nouvelle en forme de site Web : http://tosdr.org. Ce site dépouille pour nous les différentes clauses des différents acteurs et note ces dernières suivant leur « dangerosités » en terme de vie privée. Tous les principaux acteurs y sont, et c’est très bien fait pour un profane.

article4

Quelques pointeurs si le sujet vous passionne :

Google pris la main dans le pot de confiture :)

C’est officiel : Google  a été contraint (et a  accepté ) de payer une amende de 22,5 millions de dollars -une broutille- afin d’arreter  l’enquête de la FTC (Federal Trade Commission) relative au contournement de la protection du navigateur Safari d’Apple . Le géant de l’internet avait été pris en flagrant délit en procédant systématiquement à l’installation de cookies publicitaires.

Si l’affaire à fait grand bruit en début d’été aux Etats Unis, dont le mensonge est un crime de la plus haute importance, ce n’est guère une surprise pour de nombreux observateurs. Google, et il ne s’en cache pas, tire la plus grande partie de ses revenus de la publicité et donc du ciblage particulièrement pertinent des utilisateurs qu’il va exposer aux panneaux de publicité (plus de 97% de son CA et encore plus de ses bénéfices). Dans ces conditions l’anonymat est pour la Firme de Mountain View la plus grande menace sur l’essentiel de son business.

C’est comme ceci qu’il peut financer des tas d’outils « gratuits » dont bien sur Android et Chrome. L’utilisateur ne paye pas ces programmes avec des euros mais avec ses données personnelles qui sont ainsi à la disposition de Google, lequel se chargeant de revendre leur exploitation aux annonceurs.  C’est du donnant-donnant. Alors face à ceci ce n’est pas une petite option du navigateur qui doit lui mettre des batons dans les roues !

Concernant les entreprises les choses sont plus délicates, et même si les engagement de Google sont loin d’être clairs sur ce segment (quel Business Plan ?), le géant de la recherche marche sur des oeufs sur le thème du respect de la vie privée, alternant propos rassurants et contradictoires (tout au moins en France).

On comprend mieux aussi pourquoi Microsoft, en réponse à Google  (nous en avons eu la confirmation en début de semaine) positionne par défaut dans le navigateur de Windows 8 (IE 10) à « actif » le paramètre DoNotTrack empéchant tout pistage de l’utilisateur… quitte à diminuer lui aussi des revenus issus de sa propre régie publicitaire (avec il est vrai un impact très minime sur le business global de l’éditeur). Est-il besoin de le rappeler Google est très hostile à ce paramètre qu’il refuse d’intégrer à son navigateur Chrome