Des in­for­ma­tions col­lec­tées à l’in­su de notre plein gré

Au fil de leurs na­vi­ga­tions sur In­ter­net, les ci­toyens laissent des traces. Tan­dis qu’ils se sentent as­sez dé­mu­nis pour pré­ser­ver leur confi­den­tia­li­té, la lé­gis­la­tion, elle, se met doucement en place.

La Recherche - - Sommaire /juin 2017 - N°524 - De­nis Del­becq

Quand c’est gra­tuit, c’est que vous êtes le pro­duit. » Ain­si pour­rait-on ré­su­mer la vague de gra­tui­té qui s’est abat­tue sur la planète nu­mé­rique, en sus­ci­tant une col­lecte de don­nées sans pré­cé­dent : sur nos ha­bi­tudes de consul­ta­tion de sites, nos achats en ligne, notre géo­lo­ca­li­sa­tion, nos mes­sages pu­blics voire pri­vés, nos pho­tos, etc. Notre vie de­vient peu à peu un livre ou­vert que peuvent consul­ter les four­nis­seurs de ser­vices, les fa­bri­cants d’ob­jets connec­tés, et par­fois même les gou­ver­ne­ments. Notre vie pri­vée l’est-elle en­core ? Comment la pré­ser­ver ? Pa­ra­doxa­le­ment, plus les ap­pé­tits pour nos don­nées s’ai­guisent, plus nous avons d’ou­tils pour en re­prendre le contrôle… à condi­tion de s’en em­pa­rer. « La pro­tec­tion de la vie pri­vée a per­du de son im­por­tance depuis longtemps pour les ci­toyens », re­grette Laurent Chem­la, l’un des pion­niers de l’In­ter­net fran­çais. Co­fon­da­teur de Gan­di, four­nis­seur de noms de do­maine, et l’un des pi­liers de la Qua­dra­ture du Net, une as­so­cia­tion fran­çaise de dé­fense des droits et des li­ber­tés en ligne, il pi­lote le pro­jet Ca­lio­pen, un ou­til des­ti­né à ai­der les in­ter­nautes à mieux ap­pré­cier la confi­den­tia­li­té de leurs échanges en ligne. « Si le pu­blic ne com­prend pas la va­leur de ses don­nées, les pu­bli­ci­taires l’ont fait depuis longtemps sans craindre de re­tour de bâ­ton. » Dif­fi­cile par exemple d’échap­per aux co­okies, ces pe­tits pa­quets d’in­for­ma­tions dé­po­sées dans nos ap­pa­reils pour mieux nous pis­ter au pré­texte d’amé­lio­rer notre confort de na­vi­ga­tion, et au sui­vi de nos adresses IP – l’iden­ti­fiant que nous at­tri­bue notre four­nis­seur d’ac­cès. Des ba­lises qui guident les géants de l’In­ter­net dans le la­by­rinthe de nos vies, ai­dés par la concen­tra­tion gran­dis­sante des ser­vices. Ain­si Al­pha­bet, mai­son mère de Google, contrôle-t-elle des ser­vices en ligne comme Gmail et YouTube, mais aus­si le fa­bri­cant de do­mo­tique connec­tée Nest, l’ap­pli­ca­tion de na­vi­ga­tion Waze et le lea­der mon­dial de la pu­bli­ci­té en ligne Dou­bleC­lick. Al­pha­bet peut ain­si nous pis­ter par­tout et pro­po­ser un ci­blage très pré­cis aux an­non­ceurs. Au­jourd’hui sur In­ter­net, et bien­tôt sur nos té­lé­vi­seurs. À no­ter que Google, tout comme Apple et Fa­ce­book, ont dé­cli­né nos de­mandes d’in­ter­views. Bien sou­vent, nous sommes de­ve­nus les ar­ti­sans de notre perte de vie pri­vée nu­mé­rique. « L’in­di­vi­du n’a pas vrai­ment le choix.

Soit il ac­cepte de don­ner les in­for­ma­tions qu’on lui de­mande, soit il est pri­vé du ser­vice qui les ré­clame, constate Ni­co­las An­ciaux, du centre de re­cherche Inria de Sa­clay. Et comme bien sou­vent l’uti­li­sa­tion prime sur la vie pri­vée, il ac­cepte de le faire. De plus, de nom­breuses don­nées sont col­lec­tées par nos ap­pa­reils et nos ap­pli­ca­tions, par­fois de ma­nière très in­si­dieuse. Ain­si, les édi­teurs ac­cèdent aux cap­teurs de notre té­lé­phone – son, image, géo­lo­ca­li­sa­tion, etc. –, ou au conte­nu de notre car­net d’adresses. » Le cher­cheur s’in­quiète des consé­quences de la col­lecte des in­for­ma­tions dans le cloud (*). « D’abord, l’uti­li­sa­teur est contraint de dé­lé­guer la sou­ve­rai­ne­té de ses don­nées à des tiers, sans avoir de re­tour pré­cis sur l’uti­li­sa­tion qui en est faite, et sans pou­voir de­man­der leur ef­fa­ce­ment, ce qui est pour­tant un prin­cipe de base de la pro­tec­tion des don­nées per­son­nelles. En­suite, la concen­tra­tion des don­nées pose un vrai pro­blème de sé­cu­ri­té. Un édi­teur de jeux sur ap­pa­reils mo­biles, comme Clash of Clans, pos­sède des in­for­ma­tions sur des mil­lions d’en­fants. » Or, même les ser­veurs les mieux pro­té­gés peuvent être pi­ra­tés. « La mo­ti­va­tion d’un as­saillant à pro­duire une at­taque so­phis­ti­quée est d’au­tant plus im­por­tante que le bé­né­fice qu’il peut en ti­rer est grand », confirme Ni­co­las An­ciaux. En­fin, ob­serve-t-il, « nous ne sommes pas maîtres de notre pa­tri­moine ». Nos don­nées sont frag­men­tées, sans pos­si­bi­li­té pour nous d’y ac­cé­der de ma­nière trans­ver­sale, et de com­pa­rer les traces de nos dif­fé­rents usages.

RÉ­COLTES MAS­SIVES ET SE­CRÈTES

Les in­dus­triels, eux, le peuvent. Dès qu’un nou­veau ser­vice trouve un large pu­blic, les géants se battent pour l’ac­qué­rir et ain­si nour­rir leurs bases de don­nées, dont la va­leur grimpe d’au­tant plus qu’ils peuvent croi­ser un nombre im­por­tant de don­nées in­di­vi­duelles. C’était l’une des mo­ti­va- tions de Fa­ce­book quand il s’est of­fert en 2014, pour 22 mil­liards de dol­lars (en­vi­ron 20,6 mil­liards d’eu­ros), l’ou­til de com­mu­ni­ca­tion What­sApp. Après avoir af­fir­mé aux au­to­ri­tés eu­ro­péennes de la concur­rence qu’il ne rap­pro­che­rait pas les don­nées des deux ser­vices, le géant du ré­seau so­cial a fi­ni par le faire l’an der­nier, avant de re­cu­ler de­vant les cri­tiques du G29, le groupe des au­to­ri­tés eu­ro­péennes de pro­tec­tion des don­nées, au­quel ap­par­tient la Com­mis­sion na­tio­nale de l’in­for­ma­tique et des li­ber­tés (CNIL). Les uti­li­sa­teurs peuvent dé­sor­mais re­fu­ser d’as­so­cier leurs pro­fils dans les deux ap­pli­ca­tions, ce qu’un tiers des uti­li­sa­teurs ont fait, se­lon la CNIL. « Ce­la montre bien que les ci­toyens ont de plus en plus conscience de la né­ces­si­té de se pro­té­ger », com­mente Mat­thieu Grall, res­pon­sable du ser­vice d’ex­per­tise tech­no­lo­gique de la Com­mis­sion. Les exemples de col­lectes de don­nées in­dues ne manquent pas. En mars, la firme ca­na­dienne Stan­dard In­no­va­tion vient d’ac­cep­ter de payer 3,75 mil­lions de dol­lars (en­vi­ron 3,5 mil­lions d’eu­ros)

à ses clients pour éteindre une ac­tion ju­di­ciaire en­ga­gée par deux plai­gnantes aux États-Unis. Des ha­ckers néo-zé­lan­dais avaient dé­cou­vert que leurs sex-toys connec­tés trans­met­taient des in­for­ma­tions d’usage au fa­bri­cant, via l’ap­pli­ca­tion as­so­ciée sur smart­phone ! En France, après s’être at­ta­quée aux condi­tions d’uti­li­sa­tion de Fa­ce­book, la CNIL a mis en de­meure Mi­cro­soft de res­pec­ter la lé­gis­la­tion fran­çaise, en juillet der­nier. Dans le col­li­ma­teur, son sys­tème d’ex­ploi­ta­tion Win­dows 10, ac­cu­sé d’une ré­colte mas­sive et se­crète de don­nées. La CNIL ins­truit les me­sures pro­po­sées depuis par l’in­dus­triel. Avec l’ar­ri­vée de l’In­ter­net des ob­jets, nos voi­tures, nos mai­sons, nos vê­te­ments, notre san­té, même les jouets, font l’ob­jet d’une vé­ri­table as­pi­ra­tion de don­nées. « On teste beau­coup de pro­duits pour com­prendre ce qu’ils col­lectent, ex­plique Mat­thieu Grall. Et on constate, par exemple, la mul­ti­pli­ca­tion d’ou­tils qui ne fonc­tionnent qu’à condi­tion de trans­mettre des in­for­ma­tions aux in­dus- triels, même si c’est sou­vent lé­gi­time. » Des ou­tils qui, tech­ni­que­ment, pour­raient sou­vent se pas­ser de ce lien. Par­fois, la col­lecte est l’oc­ca­sion, pour les uti­li­sa­teurs, de vendre leurs don­nées, à l’image des ris­tournes pro­po­sées par des as­su­reurs an­glo-saxons en échange de don­nées d’ac­ti­vi­té phy­sique ré­col­tées par les montres ou bra­ce­lets connec­tés. Beau­coup d’in­dus­triels jus­ti­fient aus­si leur col­lecte par la né­ces­si­té de pro­po­ser le meilleur ser­vice pos­sible. C’est le cas pour les équi­pe­ments de do­mo­tique, comme les ther­mo­stats connec­tés. Pré­cieux pour ré­duire la consom­ma­tion de chauf­fage ou pi­lo­ter le chauf­fage à dis­tance, ces ther­mo­stats trans­mettent des don­nées au fa­bri­cant qui peuvent in­di­quer si on est ab­sent de chez soi, en cons­ta­tant que le chauf­fage est cou­pé ou à l’aide de cap­teurs de pré­sence. Une in­for­ma­tion hau­te­ment sen­sible, qui pour­rait in­té­res­ser d’éven­tuels cam­brio­leurs. « Nous at­ta­chons un soin tout par­ti­cu­lier à pro­té­ger ces don­nées, in­siste Au­ré­lien Can­cian, res­pon­sable mar­ke­ting du fa­bri­cant fran­çais de ther­mo­stats connec­tés Qi­vi­vo. Les in­for­ma­tions des cap­teurs et les don­nées per­son­nelles de nos clients sont sto­ckées sur deux ser­veurs sé­cu­ri­sés dif­fé­rents. Mais sans cette col­lecte, qui per­met de faire pro­gres­ser notre tech­no­lo­gie, les éco­no­mies d’éner­gie se­raient amoin­dries et notre pro­duit per­drait son in­té­rêt. » Au­tre­ment dit, comme pour la plu­part des pro­duits concur­rents, il n’y a pas moyen d’évi­ter cette ré­colte.

GÉO­LO­CA­LI­SA­TION PER­MA­NENTE

Depuis 2012, la CNIL conduit un pro­jet bap­ti­sé Mo­bi­li­tics avec le centre Inria de Gre­noble. « On suit les flux de don­nées qui entrent et sortent des smart­phones d’un pe­tit groupe d’uti­li­sa­teurs vo­lon­taires, ex­plique Mat­thieu Grall. On constate une géo­lo­ca­li­sa­tion mas­sive, même dans des ap­pli­ca­tions dont on se de­mande pour­quoi elles le font. » Or la géo­lo­ca­li­sa­tion est une

mine de ren­sei­gne­ments. « Elle per­met de dé­cou­vrir où nous vi­vons, tra­vaillons ou dé­jeu­nons, ou si nous sommes al­lés à l’hô­pi­tal, rap­pelle Ni­co­las An­ciaux. De même, les don­nées GPS croi­sées per­mettent de re­pé­rer les per­sonnes de notre en­tou­rage. » Pour Ni­co­las An­ciaux, la mul­ti­pli­ca­tion des ob­jets et des cap­teurs fait pe­ser une vraie me­nace sur notre vie pri­vée. « L’as­sis­tant per­son­nel Alexa d’Ama­zon a des mi­cros re­liés en per­ma­nence au cloud puisque la re­con­nais­sance vo­cale s’ef­fec­tue sur ses ser­veurs. On pour­rait ima­gi­ner qu’Ama­zon en­tend tout ce qui se passe chez nous ! » Et si l’in­dus­triel s’en dé­fend – l’uti­li­sa­teur est bien obli­gé de lui faire confiance – que se pas­se­rait-il en cas de pi­ra­tage ? D’au­tant que ces ap­pa­reils connaissent des failles de sé­cu­ri­té. C’est par exemple le cas des ca­mé­ras connec­tées, des ob­jets qui se vendent par mil­lions pour sur­veiller le do­mi­cile ou veiller sur le som­meil d’un en­fant. Un dé­faut de l’ap­pa­reil ou, plus fré­quem­ment, l’ab­sence d’un mot de passe per­son­na­li­sé, rend ses images ac­ces­sibles sur In­ter­net. Il existe même des mo­teurs de re­cherche de ca­mé­ras de sur­veillance ac­ces­sibles ! « Ce pro­blème de vie pri­vée n’est pas in­so­luble, car il existe des so­lu­tions pour mieux la pro­té­ger », in­siste Ni­co­las An­ciaux. On trouve par exemple des ser­vices per­met­tant d’amé­lio­rer son ano­ny­mat sur In­ter- net, du ré­seau Tor aux ser­vices de ré­seau vir­tuel pri­vé ( VPN), qui chiffrent les connexions et em­pêchent les sites d’iden­ti­fier les adresses IP. « Mais l’usage de ces ser­vices, des blo­queurs de co­okies ou de pu­bli­ci­té, et des ou­tils de com­mu­ni­ca­tion chif­frée, ne concerne qu’une mi­no­ri­té de per­sonnes très sen­si­bi­li­sées à la ques­tion de la vie pri­vée et de l’ano­ny­mat », sou­ligne Laurent Chem­la. Des per­sonnes plu­tôt ex­pertes, car ces ou­tils sont puis­sants mais sou­vent com­plexes. C’est le cas des ou­tils de « cloud per­son­nel » comme le lo­gi­ciel libre et gra­tuit Own­cloud, qui per­met d’hé­ber­ger soi­même ses don­nées per­son­nelles, qu’elles pro­viennent d’un or­di­na­teur, d’une ta­blette et d’un smart­phone, pour évi­ter de les confier à un ser­vice du cloud… Ces ser­veurs per­son­nels font l’ob­jet d’ac­tives re­cherches, no­tam­ment au sein de l’équipe Pe­trus qui vient d’être créée à Inria, sous la di­rec­tion de Ni­co­las An­ciaux. Tous les ser­vices et ob­jets connec­tés sont bien évi­dem­ment te­nus de res­pec­ter

Avec les mi­cros de l’as­sis­tant per­son­nel Alexa, on pour­rait ima­gi­ner qu’Ama­zon en­tend tout ce qui se passe chez nous ! ” Ni­co­las An­ciaux, du centre de re­cherche Inria de Sa­clay

la lé­gis­la­tion en vi­gueur, sous peine d’être ré­pri­més. « La CNIL n’est pas là que pour sanc­tion­ner. Nous avons un rôle pé­da­go­gique de plus en plus im­por­tant. Pour sen­si­bi­li­ser les ci­toyens, et pour in­vi­ter les in­dus­triels à se rap­pro­cher de nous dès la concep­tion de leurs nou­veaux pro­duits, ex­plique Mat­thieu Grall. Il n’est pas ques­tion de bri­der l’in­no­va­tion, mais nous veillons à ce que l’usage des don­nées soit lé­gi­time, no­tam­ment lors­qu’il s’agit de don­nées uni­taires, que l’on peut re­lier à un in­di­vi­du. » Une pré­ven­tion qui se double d’un pou­voir de sanc­tion ren­for­cé par la loi Le­maire, en­trée en vi­gueur à l’au­tomne 2016. « Les bras de fer avec des in­dus­triels sont plus ou moins ten­dus, mais les échanges sont en tout cas de plus en plus fré­quents. » Ils risquent au­jourd’hui une sanc­tion de 3 mil­lions d’eu­ros, en at­ten­dant l’en­trée en vi­gueur, le 25 mai 2018, du nou­veau Rè­gle­ment eu­ro­péen sur la pro­tec­tion des don­nées (RGPD), qui por­te­ra la pé­na­li­té maxi­male à 20 mil­lions d’eu­ros, ou 4 % du chiffre d’af­faires mon­dial conso­li­dé. « Notre pou­voir de nui­sance ne se li­mite pas à la sanc­tion, pré­cise Mat­thieu Grall. Car une mise en de­meure de la CNIL peut aus­si abî­mer la confiance des consom­ma­teurs visà-vis d’une en­tre­prise. C’est un le­vier par­ti­cu­liè­re­ment ef­fi­cace, no­tam­ment pour convaincre les pe­tites so­cié­tés. » Cet ar­gu­ment de la confiance pèse aus­si sur les géants, très sou­cieux de leur image dans le pu­blic. Apple a ain­si re­fu­sé d’ai­der le FBI à ac­cé­der au conte­nu d’un iP­hone sai­si dans le cadre d’une enquête an­ti­ter­ro­riste aux États-Unis : le FBI a fi­ni par se dé­brouiller tout seul, pro­ba­ble­ment ai­dé par une faille de sé­cu­ri­té. À Londres, après l’at­taque à la voi­ture bélier près du Par­le­ment bri­tan­nique en mars der­nier, le gou­ver­ne­ment a de­man­dé à What­sApp de l’ai­der à dé­chif­frer des mes­sages échan­gés via l’ap­pli­ca­tion, juste avant l’at­taque. La firme s’est dite prête à co­opé­rer, sans qu’on sache de quelle ma­nière, puis­qu’elle a toujours af­fir­mé que son sys­tème de chif­fre­ment ne peut être contour­né par per­sonne, pas même ses in­gé­nieurs.

À par­tir du 25 mai 2018, les in­dus­triels ris­que­ront une pé­na­li­té pou­vant al­ler jus­qu’à 20 mil­lions d’eu­ros

DROITS REN­FOR­CÉS

Une coopération qui pour­rait in­ci­ter les uti­li­sa­teurs de What­sApp à se tour­ner vers des ou­tils pro­té­gés, tel Si­gnal. « La CNIL recom- mande à tous, ci­toyens, ad­mi­nis­tra­tions et en­tre­prises, d’uti­li­ser des ou­tils de sto­ckage et de com­mu­ni­ca­tion chif­frés, in­siste Mat­thieu Grall. Il y a bien sûr des be­soins lé­gi­times des au­to­ri­tés de po­lice et de jus­tice. Mais nous pen­sons que toute porte dé­ro­bée ins­tal­lée dans un ou­til de chif­fre­ment est sus­cep­tible d’être dé­tour­née à d’autres fins et d’af­fai­blir la pro­tec­tion des ci­toyens et des or­ga­ni­sa­tions. » Depuis la vague d’at­ten­tats sur­ve­nue en France et en Eu­rope, de nom­breuses voix po­li­tiques exigent un en­ca­dre­ment des ou­tils de chif­fre­ment. En at­ten­dant que ce dé­bat soit tran­ché, le cadre ju­ri­dique de la pro­tec­tion des don­nées per­son­nelles connaît une vé­ri­table mu­ta­tion. Les en­tre­prises se pré­parent à l’en­trée en vi­gueur du RGPD eu­ro­péen, qui ren­force les droits des usa­gers, no­tam­ment en leur don­nant la pos­si­bi­li­té d’ac­cé­der aux don­nées col­lec­tées pour les conser­ver eux-mêmes ou les confier à un tiers. « Un ac­cès sous forme nu­mé­rique et uti­li­sable ! » in­siste Mat­thieu Grall. Car les in­dus­triels ne sont pas toujours co­opé­ra­tifs : en 2011, en ré­ponse à une pro­cé­dure en­ga­gée par un in­ter­naute au­tri­chien, Fa­ce­book lui avait adres­sé un CD-Rom conte­nant l’in­té­gra­li­té de ses don­nées pu­bliées sur le ré­seau so­cial (y com­pris celles qu’il avait sup­pri­mées), soit 1 222 pages d’images nu­mé­ri­sées, donc dif­fi­ciles à ex­plo­rer ra­pi­de­ment ! De plus, le RGPD au­to­ri­se­ra les as­so­cia­tions à en­ga­ger des ac­tions col­lec­tives en cas d’in­frac­tion. En contre­par­tie, les for­ma­li­tés ad­mi­nis­tra­tives et dé­cla­ra­tives se­ront as­sou­plies pour les en­tre­prises, qui se­ront res­pon­sables de la confor­mi­té de leur ac­ti­vi­té et de celle de leurs sous-trai­tants. Il fau­dra bien leur faire confiance. Pour en sa­voir plus www.ca­lio­pen.org Un pro­jet d’ou­til de com­mu­ni­ca­tion as­so­ciant nos mes­sa­ge­ries et les réseaux sociaux, pour re­prendre le contrôle sur la confi­den­tia­li­té de nos échanges. www.cnil.fr Le site de la com­mis­sion fran­çaise char­gée de veiller au res­pect de la vie pri­vée en ligne.

Le 8 juin 2015, à Pa­ris, as­so­cia­tions et ci­toyens ma­ni­festent contre le pro­jet de loi sur le ren­sei­gne­ment. À la veille du vote au Sé­nat, il s’agit d’aler­ter les sé­na­teurs sur les risques d’at­teinte à la li­ber­té in­di­vi­duelle que com­porte le texte.

Le cloud, ou in­for­ma­tique en nuage, est un en­semble de ser­vices ac­ces­sibles par In­ter­net, sans que l’uti­li­sa­teur ne puisse sa­voir où ses don­nées sont phy­si­que­ment hé­ber­gées.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.