Votre vie privée, leur business…
Stéphane Sabbague, Calipia

• Print
• Twitter
• Linkedin

J’ai forcément choisi un titre un peu provocateur pour aborder le sujet du respect de la vie privée. Ce titre n’est pas sans rappeler la « tag line » qu’avait Microsoft il y a quelques années : « Votre potentiel, notre passion ». Je pense que ce titre pourrait servir en fait de slogan à bon nombre d’acteurs, encore faudrait-il qu’ils ne fussent pas hypocrites…

C’est un secret de polichinelle, de nombreuses sociétés fournissant du « gratuit » se rémunèrent en vendant à des annonceurs vos habitudes, et la connaissance qu’ils peuvent avoir de votre vie privée. C’est une nécessité pour eux afin de faire prospérer leur business, un business qui se chiffre parfois à plusieurs dizaines de milliards de dollars, une paille ! Alors on peut s’en émouvoir, s’en étonner encore, s’insurger, mais on peut également s’en moquer, arguant du fait qu’après tout ce n’est pas si grave que cela car « nous n’avons rien à cacher ! ». Nous ne sommes pas un terroriste, un prédateur sexuel, ou un grand délinquant. Nous pouvons tout au plus confesser des pensées parfois assassines devant ce conducteur qui s’obstine à nous faire des appels de phares alors que nous sommes déjà à 130 Km/h sur la voie du milieu. Pas de quoi en tout cas s’attirer les regards de la NSA ou les foudres de la DCRI. Pas de grande différence pour les utilisateurs dans l’entreprise : après tout, nous ne détenons pas de secrets industriels, nous ne conversons pas avec le concurrent chinois. Nous espionner serait donc pour ces fournisseurs une perte de temps. Alors pourquoi ne pas considérer ceci comme un simple échange de bons procédés : « Il vous donne des outils et services gratuitement et vous lui donnez des éléments « insignifiants et sans valeur » sur vous …

Les choses sont-elles si simples ? Et si, en fait, vous aviez bien quelque chose à cacher…

Lorsque l’on aborde le sujet du respect de la vie privée, de nombreuses personnes pensent en effet que c’est un faux problème, que si Facebook ou Google lisent leurs messages, ce n’est pas si grave car « ils n’ont rien à cacher ». Et qu’il faut se méfier des personnes qui ne sont pas de leur avis : si elles ont quelque chose à cacher, c’est suspicieux !

Comment aborder ce sujet sans commencer par définir ce que l’on appelle « vie privée » et surtout « vie privée numérique ». C’est beaucoup plus compliqué qu’il n’y paraît. Si l’on s’en tient au Larousse, nous obtenons : « vie privée : qui concerne quelqu’un dans sa personne même, dans sa vie personnelle » hum… mais encore ?

Quelques éclaircissements peuvent venir de la sociologie. Ainsi le sociologue Pierre Demeulenaere1 aborde les difficultés de la caractérisation de la notion de vie privée :

« La notion de vie privée s’est imposée progressivement dans les esprits, et dans les moeurs, sans qu’elle ait d’abord été́ véritablement l’objet d’une conceptualisation précise qui ait précédé́ ce déploiement multiforme. En conséquence, son usage demeure une source d’équivoques et de confusions.

D’un point de vue historique, on peut considérer que la promotion de la notion de vie privée accompagne la formation d’une société́ de type individualiste. »

Apparait ainsi le lien entre vie privée, individualisme et individu. On peut aussi tenter d’élaborer une ébauche de définition de « la vie privée numérique ». Ce serait par exemple : un ensemble d’éléments, matériels ou immatériel qui possède un caractère considéré comme « intime » pour une personne. Problème avec cette définition, cela dépend de chaque personne ! Ce qui est « intime », du ressort de « la vie privée » pour l’une, ne l’est pas forcément pour l’autre ! Cela dépend de ce que les sociologues nomment le « cadre de référence ».

Prenons un exemple : que diriez-vous si une conversation privée que vous avez avec tel ou telle personne était rapportée par cette dernière à un tiers ? Peut-être que cela ne vous dérangerait pas le moins du monde, peut-être qu’au contraire cela vous heurterait profondément. Il en va de même si une vidéo entre amis se retrouve demain sur Youtube, cela peut vous gêner, simplement vous  agacer ou encore ne vous faire ni chaud ni froid, tout dépend du contexte propre à chacun et sa propre définition de son espace privé.

Il y a également une grosse différence entre la vie privée physique et la vie privée numérique. Chez vous si vous êtes en train de lire un livre (physique) personne n’est derrière votre dos en train de vous observer, de repérer tous les passages qui attirent le plus votre attention. Si c’était le cas, cela vous énerverait à coup sûr ! Et puis cette personne a sans doute autre chose à faire de toute façon ! Sur Internet les choses sont bien différentes, tout ce que vous faites est à priori observé par des programmes, des logs, des processus dont c’est le rôle… Et c’est toute la différence : par défaut dans le monde numérique votre comportement est observé.

Vous avez quelque chose à préserver : votre intimité

Les réflexes que nous avons dans notre vie physique, comme la protection « par défaut » de notre espace privé, ne sont pas entrés dans les mœurs de notre vie numérique. Si vous croisez des inconnus dans la rue qui vous proposent des objets bien physiques gratuitement : une montre, un livre, etc. vous ferez preuve sans aucun doute d’une grande méfiance… Dans la vie numérique, si tels ou tels vous proposent un service gratuit, (dont vous savez pertinemment que sa mise en place lui a couté des millions de $) seriez-vous aussi suspicieux ? Pas sûr…

On peut aisément comprendre que la protection de notre vie privée puisse se heurter à la sécurité dont les états sont garants. Comment ne pas être d’accord avec la mise sous surveillance des terroristes, des pédophiles, des bandits de tous poils ? C’est bien sûr avec ces arguments, en exploitant la peur des concitoyens que les communes s’équipent souvent massivement de caméras vidéo, que PRISM peut exister et que la mise sous surveillance numérique est organisée légalement (parfois illégalement lorsque cela déborde du territoire : ce qui est néanmoins une des caractéristiques des moyens de communication d’aujourd’hui qui ne s’arrêtent pas aux frontières des états).Eternel antagonisme entre sécurité et liberté !

Mais pas besoin de chercher si loin, de se faire peur en imaginant des états « Big Brother » (même si ce danger peut être bien réel). Nous avons à coté de nous des services qui menacent notre vie privée sans se cacher : les réseaux sociaux bien sûr.

Les réseaux sociaux : ces grands pourfendeur de notre vie privée.

Ce n’est sans doute pas une surprise pour nos lecteurs, Facebook, Instagram, Google+ et consort sont de grands consommateurs de notre vie privée. Ils s’en nourrissent, s’en régalent, leur appétit est toujours un peu plus grand, les obligeant à acquérir à grands coups de millions de dollars de nouveaux « collecteurs ».

Mais pourquoi diable, donne-t-on autant d’informations personnelles à ces sociétés ? Souvent pour une chose : le lien qu’ils permettent de fluidifier avec nos amis, nos connaissances. En contrepartie du service offert, et surtout des moyens considérables d’un point de vue technique qu’ils mettent en oeuvre pour assurer ce service, nous leur permettons, parfois consciemment, lorsque nous sommes bien informés de ces mécanismes (ce qui est loin d’être le cas de tout le monde), de regarder par-dessus notre épaule ce que nous faisons. Et finalement cela ne nous dérange pas tant que cela, pensant le plus souvent : « en quoi les photos du dernier barbecue avec les voisins peuvent avoir de la valeur pour eux ? ». Il nous arrive aussi de penser que ce n’est pas équitable, que nous profitons plus du service qu’ils nous offrent que les bénéfices qu’ils peuvent tirer de notre usage. Comment peuvent-ils rentabiliser la dernière audition de musique de chambre des enfants que j’ai posté sur Dailymotion ? Des serveurs vidéo, de la bande passante, cela coute très cher, et moi qui utilise tout cela gratuitement, cela en deviendrai presque indécent !

Dans la vie réelle, ces services seraient quoi ? Imaginez un peu quelqu’un qui fait un reportage sur vous, qui vous suit en permanence, vous filme (gratuitement), mais vous propose aussi d’acheter tout un tas de truc qu’il vend et qui peuvent bien sur vous intéresser (normal il vous suit sans arrêt, il connaît donc vos goûts le bougre !). Il y a fort à parier qu’il finirait à la porte avec, passez-moi l’expression, « un coup de pied au… ». C’est pourtant comme cela que fonctionnent ces réseaux sociaux et par extension un bon nombre de services. On pense bien entendu à Facebook, mais que dire demain des Google Glass ou d’une Xbox One qui vous écoute, vous filme en permanence dans l’attente de répondre à vos sollicitations ?

Même chose bien entendu côté messagerie gratuite (voir faiblement payante), on pense bien sûr à Gmail, mais pas seulement. Le courrier est lu, exploité pour y détecter de précieuses informations alimentant (merci au passage les technologies et solutions Big Data) la connaissance que le fournisseur aura de vous, connaissance qu’il pourra à loisir revendre à des fins publicitaires.

Les propos des avocats de Google dans une procédure de type class action qui oppose le géant aux Etats-Unis sont très clairs sur le sujet ainsi que le relate The Guardian2 :

« Personne n’a le droit de s’attendre au respect de sa vie privée dès lors qu’il donne ses informations à un tiers. » ou encore de justifier : « Comme quand vous envoyez une lettre à un collègue, vous ne devriez pas être surpris que son assistant l’ouvre, et bien les gens qui utilisent des webmails ne doivent pas être surpris si leurs communications sont analysées par le fournisseur de service du destinataire. », Le patron de Google Eric Schmidt avouant même cet exercice d’équilibriste : « Notre politique est de frôler la ligne rouge sans jamais la dépasser. »

Imaginez là encore dans la vie réelle qu’une personne lisant en permanence toute votre correspondance, la facture que vous venez de recevoir d’EDF par exemple, il sera peut-être tenté de vous proposer de changer de fournisseur énergétique disposant de tarifs soit disant plus adaptés à vos besoins. Le supporteriez-vous ? Alors qu’on ne parle même pas ici de correspondance intime (c’est assez rare en fait avec le service de facturation d’EDF). Bien entendu cela s’applique aussi à cette correspondance plus intime…

Alors oui, vous n’avez peut-être pas beaucoup de choses à cacher, mais voir des tiers qui exploite des données que vous considérez comme « privées ou intimes », les revendre à des tiers, à minima, c’est assez dérangeant… Mais vous n’avez encore rien vu !

Les plus grands fléaux : l’agrégation de données et les « métadonnées »

Un des mécanismes les plus intéressants est celui de l’agrégation de données. Les données qui sont collectées sur vous à droite et à gauche par différents services en ligne, ne sont sans doute pas très importantes unitairement ; elles le deviennent lorsqu’ elles sont agrégées. Lorsque l’on voit la consolidation de différents acteurs, le partage organisé de données, on comprend que l’enjeu est de taille. Prenez par exemple Youtube, racheté pour 1,65 milliard de dollars en 2006 par Google. Savez-vous que le service n’est pas « rentable » à lui seul, et que ce ne sont pas les publicités que vous voyez au début d’une vidéo qui le finance, mais le fait qu’il collecte, lorsque vous choisissez de regarder un vidéo, de petits éléments de votre comportement qui iront enrichir les autres informations que détient Google à votre sujet. Et cela devient ainsi rentable pour le géant de Mountain View. Si vous avez échangé quelques mails au sujet de la difficulté de trouver un plombier, que vous avez regardé une vidéo explicative sur la soudure à l’étain et que vous venez de vous balader des forums d’outillages, ne vous étonnez pas de recevoir une publicité d’enseigne de magasin de bricolage vous proposant leurs promotions actuelles pour les robinets et coudes en cuivre !

L’agrégation fait aussi la force de ces services. Comment reprocher aux acteurs informatiques de collecter et d’agréger ces données personnelles, alors qu’ils nous offrent un service « personnalisé » ? Dans la vie réelle, peut-on être à la fois un intime sans connaître l’intimité ? Proche et attentif sans proximité ? Google Chrome, Internet Explorer et Safari vous propose par exemple de synchroniser tous vos favoris avec toutes vos machines (y compris vos Smartphones et tablettes) : utile, pratique, mais techniquement comment faire cela sans récupérer toutes ces informations, les associer à un compte pour ensuite les synchroniser ? Que penser d’un service qui demain vous suggèrera automatiquement des nouveaux pointeurs pertinents en s’appuyant aussi sur vos habitudes de consultation ? Utile, non ? Où se trouve votre frontière de l’intrusif ?

A minima les « Métadonnées » permettent d’obtenir un portrait rapide d’une personne, elles dressent en quelques sorte le résumé de la collecte et de l’agrégation pour un traitement de masse. Nous avons vu cet été que les autorités américaines se sont justifiées en indiquant que la collecte et le stockage de ces métadonnées ne sont pas à proprement parler de l’espionnage mais de l’analyse comportementale permettant d’identifier des écarts, des aberrations…

Pas besoin d’avoir de gros moyens, pour tester ces possibilités : une équipe du Massachusetts Institute of Technology (MIT) a développé une application3 qui permet de visualiser ses propres métadonnées basées sur la seule analyse de votre boite aux lettres Gmail ou Exchange Online (avec votre consentement cette fois).

Ce programme baptisé « Immersion » balaye l’ensemble des messages échangés et l’application crée un simple graphique interactif et dynamique qui analyse pour vous les relations entre les différents interlocuteurs. Si vous imaginez ce que l’on peut faire en plus en agrégeant les données des réseaux sociaux, cela fait froid dans le dos !

Les technologies au service de l’exploitation des données personnelles

Une des plus grosses révolutions technologiques qui s’est opérée lors de la dernière décennie est que les technologies permettant l’exploitation de masse des données (Big Data) ont fortement progressé. La baisse du coût de la puissance de calcul combiné à la basse du coût du stockage allié au formidable progrès de la Business Intelligence ont rendu possible et « rentable » l’exploitation massive des données.

Pour la surveillance mais surtout pour la publicité Il est inimaginable qu’une société paye des millions de personnes qui viendraient physiquement chez tous les individus pour enregistrer leurs habitudes comportementales. Grâce au progrès technologique, il est maintenant économiquement possible de réaliser ceci à distance. Autant le dire tout de suite, les choses ne risquent pas de s’arrêter avec les évolutions en cours ! Le facteur d’accroissement puissance par capacité de stockage risque bien d’être exponentiel. On peut bien entendu s’en réjouir pour le décryptage du génome, la connaissance du fonctionnement du corps humain pour demain le réparer, la réalisation possible de nouveaux processus industriels, etc. Mais concernant le respect de la vie privée, nous pouvons et nous avons toutes les raisons de nous en inquiéter.

Et après ? Que peut-on faire ?

L’exploitation à des fins à minima commerciales de notre vie privée n’est-elle pas inéluctable ? Avons-nous les moyens de nous en prémunir ?

Ces questions sont très importantes. Bonne nouvelle, il y a à mon avis des premières pistes pour y répondre positivement.

En guise de conclusion, en voici au moins trois :

Premièrement : il faut expliquer le mode de rémunération des acteurs du « gratuit », expliquer les bénéfices que l’on peut en tirer mais aussi les risques.

Nous sommes sensibilisés dès notre plus jeune âge aux dangers de la vie réelle, à gérer la confidentialité de certaines informations : « ne pas parler à un inconnu, ne pas accepter des bonbons de sa part ne pas lui dévoiler notre lieu d’habitation, les horaires de travail de nos parents, le fait que nous sommes seuls à la maison entre 17h30 et 18h30, que nous partons en vacances entre le 12 et le 28 juillet, etc… » Autant d’informations pourtant parfois si facile à trouver sur le net en consultant quelques pages Facebook mal protégées de nos enfants…Certes ces derniers doivent être les premiers concernés par cette éducation, mais avouez que beaucoup d’adultes auraient bien besoin de séances de rattrapage ?

Deuxièmement : il faut continuer de faire pression sur les différents fournisseurs (comme le fait actuellement la CNIL avec Google en France par exemple – voir encadré ci-dessous) pour qu’ils affichent plus de transparence sur la collecte des données qu’ils font à notre insu, et l’agrégation qu’ils réalisent parfois avec des tiers. Mais aussi qu’ils nous donnent un droit de regard sur la totalité de ces informations et nous permettent le cas échéant de les détruire sur simple demande. Cerise sur le gâteau, si ils pouvaient en plus nous permettre de choisir ou non si nous souhaitons la collecte de données (type Do-not-Track) moyennant en cas de refus, bien entendu, une dégradation possible (et expliquée) des services offerts.

 ________________________

La CNIL a récemment mis en demeure Google de se conformer à la loi Informatique et Libertés sous 3 mois. Cette mise en demeure s’inscrit dans le cadre d’une action européenne concertée visant à garantir la protection de la vie privée des utilisateurs des services de Google.
La mise en demeure adressée par la CNIL à Google, le 20 juin dernier, fait suite à un travail d’analyse mené en commun avec les autorités de protection européennes, réunies au sein du G29.
Le même jour, l’autorité espagnole a formellement ouvert une procédure de sanction à l’encontre de la firme de Mountain View et l’autorité italienne a indiqué avoir adressé une demande d’explications à Google pouvant déboucher sur des sanctions.

D’autres autorités européennes ont également entamé des procédures visant à évaluer formellement la conformité des services de Google par rapport à leur loi nationale et à obtenir une mise en conformité si nécessaire. Ainsi l’ICO, l’autorité britannique, et l’autorité de protection des données allemande du Land de Hambourg ont demandé officiellement à Google, le 4 juillet, de revoir sa politique de confidentialité afin de la mettre en conformité avec les législations nationales concernées. L’autorité néerlandaise poursuit également son analyse et devrait communiquer dès que sa procédure le lui permettra.

Bien que basés sur une même directive européenne, les lois de protection des données diffèrent d’un pays à l’autre. Toutefois les griefs formulés à l’encontre de Google par les autorités européennes sont similaires :

Un manquement à l’obligation d’information : Google n’informe pas suffisamment ses utilisateurs des traitements qui sont effectués sur leurs données.

Des durées de conservation pas ou mal définies : Google n’a pas défini de façon claire la durée de conservation des données issues des profils de ses utilisateurs.

Des combinaisons de données illimitées : Google s’autorise à combiner les données issues de ses différents services de façon illimitée.
______________________________________

 

La CNIL s’attaque ici à Google, n’y voyez pas un acharnement particulier de leur part, d’autres acteurs pourraient sans problème être concernés par de telles demandes. Mais il est vrai qu’avec plus de 95% de parts de marché sur les recherches en France, Google est une cible privilégiée.

 

Et enfin, troisièmement : ne pas hésiter de lire les clauses des conditions d’usages des différents services. La principale difficulté venant du fait qu’en pratique, c’est tout sauf simple. Nous ne sommes pas juriste, les juristes ne sont eux-mêmes pas toujours spécialistes de la chose informatique. Alors à défaut, voici une bonne nouvelle en forme de site Web : http://tosdr.org. Ce site dépouille pour nous les différentes clauses des différents acteurs et note ces dernières suivant leur « dangerosités » en termes de vie privée. Tous les principaux acteurs y sont, et c’est très bien fait pour un profane.

 

Quelques pointeurs si le sujet vous passionne :

• · L’Académie des Sciences Morales et Politiques : www.asmp.fr
• · Le Guide d’autodéfense numérique : guide.boum.org
• · Le blog Pixellibre.net
• · La Quadrature du net : www.laquadrature.net
• · Et bien sur le site de la CNIL : www.cnil.fr

 

 

Stéphane Sabbague

Stéphane Sabbague est Président et co-fondateur du cabinet d’études Calipia. Au travers des activités de Calipia, Il anime de nombreuses formations et conférences. 

 

 

 

1 Académie des sciences Morales et politiques – travaux sur Internet et la notion de vie privée.

(http://www.asmp.fr/travaux/gpw/internetvieprivee/rapport3/chapitr11.pdf)

2 http://www.theguardian.com/technology/2013/aug/14/google-gmail-users-privacy-email-lawsuit

3 https://immersion.media.mit.edu