PROJET AUTOBLOG


Pixellibre.net

Site original : Pixellibre.net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Facebook et le Règlement Général sur la Protection des Données

lundi 23 avril 2018 à 15:16

Attention, cet article n’est pas une analyse juridique, ce n’est que le fruit d’une analyse personnelle, certes détaillée, mais personnelle. Faites attention.

Le 25 mai, c’est bientôt ! A ce titre, Facebook est en train de finaliser sa bascule pour se mettre en conformité avec la loi, le fameux RGPD ou GDPR en anglais, règlement dont tout le monde ou presque parle en ce moment.

Disposant d’une page Facebook et donc d’un compte Facebook, j’ai dû, comme beaucoup d’autres, lire et accepter les conditions pour pouvoir continuer à utiliser le réseau social. Je vous propose un petit retour sur ces nouvelles conditions d’utilisation et, plus globalement, sur la mise en conformité de Facebook au RGPD.

L’accompagnement de Facebook dans la lecture de la loi

Si vous disposez d’un compte Facebook, vous avez reçu un e-mail de chez eux, e-mail qui exige que vous acceptiez, ou non, les conditions générales d’utilisation du réseau social.

On découvre un lien « vérifier maintenant », qui, à titre d’information, se présente sous la forme suivante :

https://www.facebook.com/n/?gdpr%2Fconsent%2F&consent_mode=0&consent_region=0&entry_product=notification_email&aref=xxxxxxxxxxxxxxxx&medium=email&mid=xxxxxxxxxxxxxxxxxxxx&bcode=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&n_m=adresse_e-mail_du_compte_facebook

J’ai modifié mon URL pour vous représenter le type de donnée dont je vais parler.

En résumé, Facebook forge donc un lien spécifique pour vous, où il sait :

 

Ce sont des métadonnées liées au lien proposé, nous noterons simplement qu’elles sont assez précises et vous identifient formellement, puisque liées à votre e-mail.

C’est un point de détail, mais en cliquant sur ce lien, vous ne pourrez pas dire que vous ne saviez pas, Facebook disposant, à votre clic, d’un élément de preuve sur son obligation d’information à votre égard.

Ce lien vous renvoie sur une révision des conditions générales d’utilisation, que nous allons découvrir ensemble.

Première étape : la publicité ciblée

La première étape proposée dans cette révision des conditions générales porte sur les publicités ciblées.

Vous pouvez donc accepter ou refuser le pistage publicitaire, mais de façon partielle.

En désactivant ce paramètre, Facebook s’engage à ne plus utiliser de données de ses partenaires pour vous afficher de la publicité… mais Facebook continuera de s’en servir pour « fournir, personnaliser et améliorer » ses produits. Cf. image ci-dessous.

De la même façon, comme vous pouvez le lire, ne pas consentir à la publicité ciblée n’empêche pas Facebook d’utiliser ces données à des fins d’analyses et pour des services commerciaux.

Comprenez par-là que Facebook se réserve le droit d’utiliser vos données, vous n’aurez juste plus de publicité ciblée affichée à l’écran.

Il est impossible, en l’état, d’interdire à Facebook de se servir des données de ses partenaires, la limitation du traitement est donc … limitée. Tout comme le changement de fonctionnement, qui a une portée très limitée. Cela a le mérite d’exister, mais la portée de la modification est bien peu de choses face à la collecte instaurée par Facebook.

Le problème de la publicité ciblée n’est pas tant l’affichage de ladite publicité, Facebook le sait très bien. Le vrai problème de la publicité ciblée est davantage lié aux techniques et mécaniques de collecte et de croisement de données. Et Facebook ne permet pas,  volontairement selon moi, d’intervenir à ce niveau.

Pour une majorité de personnes, le fait de ne plus voir de publicité ciblée devrait suffire, certains penseront peut-être « Chouette, Facebook ne fait plus n’importe quoi avec mes données », à tort.

Facebook n’affiche plus de publicité ciblée, mais continue de faire n’importe quoi avec vos données. Il ne l’affiche simplement plus.

Seconde étape : la reconnaissance faciale

Seconde étape de la mise à jour des conditions générales d’utilisation, la reconnaissance faciale. Proposée par Facebook, elle est, pour le coup, assez claire. Facebook nous explique le principe de la reconnaissance faciale, son fonctionnement (votre photo est analysée et, de cette photo, on calcule une empreinte qui correspond à vous et uniquement à vous. On compare ensuite cette empreinte aux autres calculées et s’il y a correspondance, alors, c’est vous).

Ici, vous pouvez autoriser ou interdire à Facebook de vous reconnaître sur des photos ou des vidéos

Le paramétrage est clair et la formulation de l’interdiction d’usage est formelle. En refusant, Facebook n’est pas autorisé à vous reconnaître sur des photos ou des vidéos. Point.

Troisième étape : les conditions générales

Le problème épineux arrive. Après les deux premières étapes, Facebook vous demande d’accepter les conditions générales d’utilisation.

Dans ces conditions d’utilisation, on retrouve :

Ces conditions sont, dans l’ensemble, relativement claires. Regardons plus en détail la politique d’utilisation des données.

La politique d’utilisation des données

Dans cette politique, on retrouve les données que Facebook collecte (« vos activités, les activités des autres personnes, vos réseaux de contact, les informations relatives aux paiements, les informations relatives à vos appareils, les informations des sites web et applications qui ont recours à nos services, les informations des partenaires tiers et les informations en provenance des sociétés de Facebook »).

Je n’irai pas plus loin dans le détail des différentes politiques de Facebook, elles sont trop nombreuses pour être toutes traitées dans un seul article. Nous allons nous arrêter sur quelques points, et en particulier : « les informations des sites web et applications qui ont recours à nos services »

Le problème des produits Facebook

Les différentes politiques couvrent l’ensemble des produits Facebook… mais les produits Facebook, qu’est-ce que c’est ?

La réponse de Facebook est, à nouveau, assez claire sur le sujet :

Les Produits Facebook comprennent Facebook (notamment l’app mobile Facebook et le navigateur intégré), Messenger, Instagram (notamment les apps telles que Direct et Boomerang), tbh, Moments, Bonfire, Facebook Mentions, AR Studio, Audience Network et tout(e) autre fonctionnalité, app, technologie, logiciel, produit ou service proposé(e) par Facebook Inc. ou Facebook Ireland Limited, conformément à notre Politique d’utilisation des données. Les Produits Facebook comprennent également les Outils professionnels Facebook, des outils utilisés par les propriétaires de site web, les éditeurs, les développeurs d’applications ainsi que les partenaires commerciaux (notamment les annonceurs) et leurs clients, pour assurer des services commerciaux et échanger des informations avec Facebook, telles que les Social Plugins (par ex. : le bouton « J’aime » ou « Partager »), nos SDK et nos API.

(https://www.facebook.com/help/1561485474074139?ref=tos)

Spoiler : l’information qui sera traitée ici est la suivante : « des outils utilisés par les propriétaires de site web, les éditeurs, les développeurs d’applications ainsi que les partenaires commerciaux (notamment les annonceurs) et leurs clients, pour assurer des services commerciaux et échanger des informations avec Facebook, telles que les Social Plugins (par ex. : le bouton « J’aime » ou « Partager ») »

Ce qu’il faut comprendre, c’est que si vous acceptez les conditions générales, alors vous autorisez Facebook à effectuer un pistage massif de votre activité sur ses produits… dont le bouton j’aime ou celui de partage… boutons présents sur un nombre incalculable de sites web qui n’appartiennent pas à Facebook.

Ce point à lui seul mériterait un traitement à part, du côté de Facebook.

La problématique est la suivante : comment ne pas être pisté sur des sites web qui intègrent des services Facebook ?

La réponse proposée par Facebook est relativement simple : si vous n’êtes pas d’accord, vous devez arrêter d’utiliser Facebook.

La base légale

L’activité de Facebook repose essentiellement, pour ne dire exclusivement, sur des algorithmes, du calcul, du rapprochement de données et de l’analyse de ces dernières. Le business model de Facebook se base intégralement sur ce principe, c’est ce qui fait la pertinence du site et c’est ce que les sociétés qui travaillent avec Facebook recherchent : des informations fiables, qualifiées, un profil riche en information.

L’approche choisie par Facebook fait tout pour préserver son business model, ce n’est d’ailleurs sans doute pas pour rien que Facebook a décidé de proposer un modèle de conformité RGPD aux personnes identifiées comme étant concernées et uniquement à ces dernières.

Seulement, le business model n’est pas une base légale de traitement, au sens du RGPD.

La première partie de l’article 6 du règlement définit 6 bases légales de traitement, que voici :

  1. a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
  2. b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci;
  3. c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
  4. d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
  5. e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  6. f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Il apparait évident que la base légale du traitement opéré par Facebook n’est pas le point C, ni le point D, ni le point E.

En ce qui concerne le point A, c’est plus nuancé : via la mise à jour des conditions générales d’utilisation et l’obligation des les accepter, je donne un acte de « consentement » à Facebook quant à ce qu’ils font de mes données.

Le point B pourrait être invoqué, Facebook pourrait très bien dire que l’ensemble de ses mesures de pistage sont nécessaires à l’exécution d’un contrat.

Le point F pourrait également être invoqué par Facebook, qui pourrait faire savoir que le pistage est nécessaire aux intérêts légitimes de l’entreprise.

En ayant ce niveau de lecture, pas de problèmes… mais qu’en est-il si on entre vraiment dans le détail ?

NDLR : c’est à ce moment qu’on va vraiment entrer dans « la loi ».

La base légale du consentement (Art. 6-1.a)

L’article 6-1.a doit être rapproché de l’article 4, point 11, qui donne la définition du consentement :

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Il doit également être rapproché de l’article 7, qui définit les conditions applicables au consentement, en particulier son point 4 :

Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Enfin, il doit également être rapproché du considérant 43 :

Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Les passages soulignés sont de mon fait, pour vous faciliter la lecture.

Facebook vous informe donc d’une actualisation de ses conditions générales d’utilisation, à laquelle vous devez consentir, et je n’ai aucun problème avec ça. C’est même parfaitement logique, comme partout : si vous n’êtes pas d’accord, vous n’utilisez pas, point.

En revanche, dans ces conditions générales d’utilisation, il est fait référence à la politique d’utilisation des données, dans laquelle on parle de l’ensemble des produits de Facebook.

Et il n’est pas possible d’accepter partiellement les conditions générales d’utilisation de Facebook. Par exemple, il n’est pas possible d’accepter la finalité de traitement de données issues exclusivement de Facebook et de refuser les traitements de données en provenance des sites tiers qui embarqueraient le script du bouton « j’aime ».

Partant de ce point, nous pouvons décemment nous interroger quant à la notion de liberté dans le consentement. Je n’ai pas un réel choix, si je veux continuer à utiliser Facebook, je dois accepter, sauf qu’en acceptant, je donne un accès très large à mes données, et que cet accès large présente un potentiel déséquilibre entre les personne concernée, à savoir moi, et le responsable de traitement, à savoir Facebook.

Partant de là, la base légale du consentement est fortement compromise.

La base légale de l’exécution contractuelle (Art 6-1.b)

L’article 6-1.b doit être rapproché du considérant 44, qui dit :

« Le traitement devrait être considéré comme licite lorsqu’il est nécessaire dans le cadre d’un contrat ou de l’intention de conclure un contrat. »

Il est question de nécessité. La nécessité commerciale ne pouvant être invoquée, on parlera de la nécessité technique… qui, elle aussi, est discutable.

Pour proposer de la publicité, Facebook peut faire de la pub dite « contextualisée », c’est-à-dire en référence à la page que vous êtes en train de visiter, au groupe d’intérêt par exemple.

Facebook peut également limiter les données utilisées dans son algorithme. Il sera moins pertinent, encore que cela reste à prouver, mais techniquement, c’est quelque chose d’imaginable, et pas quelque chose de nécessaire à l’exécution du contrat.

Comprenez par-là que, si demain, Facebook limite son algorithme, le réseau social continuera de fonctionner. Ils feront potentiellement moins d’argent, mais la base « on fait des sous » ne rend pas un traitement conforme à la loi pour autant.

La base légale des intérêts légitimes du responsable de traitement (Art. 6-1.f)

L’article 6-1.f est, lui, à rapprocher du considérant 47 :

Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. Étant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

Les passages soulignés sont de mon fait, afin de vous faciliter la lecture.

Les affaires liées à Facebook, qu’elles soient anciennes ou récentes, comme celle de Cambridge Analytica, nous démontrent qu’il existe un danger pour les intérêts et les droits fondamentaux de la personne concernée. Partant de ce principe, nous pouvons nous interroger quant à l’intérêt légitime que Facebook pourrait invoquer pour justifier l’exploitation de nos données personnelles.

Je ne fais pas partie de la CNIL, mais il serait intéressant d’avoir son avis sur la question. En qualité d’autorité gardienne de la protection de nos données et d’autorité de contrôle, en France, son retour sur la question serait précieux.

Mesdames et messieurs de la CNIL… ma porte est ouverte.

Mon avis est le suivant : invoquer l’intérêt légitime pour justifier la collecte de nos données personnelles n’est pas une garantie suffisante et ne représente pas une base légale de traitement sérieuse pour Facebook.

Partant de là, je ne vois pas de base légale de traitement vraiment solide.

Hormis la justification financière (« c’est notre business model »), il n’existe pas, selon moi, de base légale assez solide, ni d’acte de consentement assez libre pour justifier l’activité de Facebook et sa conformité au prochain RGPD. Et puisque, comme nous l’avons dit précédemment, la justification « c’est notre business » n’est pas une base légale…

Conclusion

Facebook est en train de se mettre en conformité au RGPD. Mon avis est qu’ils tentent d’établir des bases légales, qui, toujours selon moi, seront méticuleusement inspectées après le 25 mai.

Ces observations iront peut-être dans mon sens, ou peut-être pas, nous allons devoir encore patienter pour savoir si Facebook fait les choses correctement ou non.

Facebook n’est pas une petite entreprise, on peut légitimement supposer qu’ils ont été accompagnés par une armée d’avocats et de conseillers pour établir leurs nouvelles politiques et se mettre en conformité au règlement. Reste à voir si ces avancées seront jugées suffisantes au regard de la protection des données personnelles, surtout quand ce dernier a démontré et démontre encore qu’il n’est en mesure de protéger lesdites données.

L’article Facebook et le Règlement Général sur la Protection des Données est apparu en premier sur Pixellibre.net.

En Bref : la sécurité des données dépend toujours du maillon le plus faible

dimanche 15 avril 2018 à 14:54

Comme dirait LinksTheSun, j’aimerais ouvrir une (

Si vous travaillez dans le monde de la sécurité, le titre du billet vous parlera forcément. Pour les autres, nous allons aborder un point relatif à la sécurité de l’information voire à la sécurité, de façon générale.

Il est important de comprendre que le monde de la sécurité n’est pas quelque chose à part, qui arrive à la fin d’un projet, d’un développement, de l’ouverture d’une activité. Il doit être présent à chaque étape, de quasiment, chaque projet. De la même manière, il est important de comprendre que le monde de la sécurité ne se résume pas à des programmes et des lignes de codes, des services et processus relatifs aux différents systèmes d’informations des sociétés.

Un bon niveau de sécurité s’intéresse à l’ensemble des éléments qui peuvent représenter un danger potentiel, un risque avéré, un point de faiblesse ou, pour résumer, à toute chose ou personne qui accède, utilise ou touche à de la donnée.

Vous vous demandez peut-être où je souhaite en venir ? La réponse arrive d’ici quelques paragraphes, encore un peu de patience.

Votre système d’information est potentiellement très sécurisé, vous avez un système d’identification et d’authentification robuste, les actions des personnes qui accèdent au système sont enregistrées, le matériel qui le compose est identifié, ses failles aussi, les ordinateurs les plus exposés sont mis à jour, sécurisés, chiffrés peut-être, bref… vous disposez d’un niveau de sécurité convenable, ou bon.

Mais est-ce assez ?

La sécurité doit toujours être évaluée en se basant sur le maillon le plus faible de la chaîne.

Et le maillon le plus faible de la chaîne, c’est vous. Pas plus tard qu’hier, une personne qui parlait, non loin de moi, était en train d’expliquer à ses interlocuteurs tout ce qu’elle faisait chaque jour, en donnant des noms d’applications, des problèmes de sécurité, des interlocuteurs et des fonctions au sein d’une entreprise, qui, soyons clairs, exige un niveau de sécurité maximal.

Les exemples sont hélas nombreux, que cela soit dans les transports en commun, les restaurants, dans une file d’attente, au self de la cantine collective ou dans tout autre lieu où, potentiellement, les informations que vous échangez ne sont pas en sécurité.

Comprenez par là la chose suivante : vous aurez beau sécuriser votre système de la meilleure des façons, si votre personnel n’est pas formé ou sensibilisé au risque qu’il représente et, que par inadvertance, il laisse fuiter des données, votre sécurité ne vous sera d’aucune utilité.

Fin de là ).

L’article En Bref : la sécurité des données dépend toujours du maillon le plus faible est apparu en premier sur Pixellibre.net.

Pourquoi revendre ses données personnelles est une énorme c…

mardi 30 janvier 2018 à 14:03

Le Think-tank Génération Libre vient de publier un rapport sur les données personnelles. Dans ce dernier, particulièrement libéral, les auteurs proposent « d’instaurer une patrimonialité des données personnelles », un « droit de propriété sur les données », afin de pouvoir vendre, ou non, ses données personnelles.

Nous allons nous demander si l’idée de monétiser ses données personnelles est bonne ou pas. Spoiler : c’est une aberration.

Données personnelles, c’est-à-dire ?

Pour commencer, il est nécessaire de se demander à quoi « données personnelles » se réfère. La réponse, vous allez le voir, n’est pas si simple.

On retrouve la définition des données personnelles « réglementaire », à savoir « toute donnée qui permet directement ou indirectement d’identifier un individu ». Pêle-mêle, on parle de votre âge, votre sexe, du lieu de naissance, de votre adresse, de tout ce qui a un rapport direct ou indirect à vous.

Indirect signifie qu’il est également question des métadonnées, qui sont, pour rappel, « toutes les données qui gravitent autour du contenu principal, de la donnée » : l’heure d’envoi d’un sms, le temps passé à un endroit, la fréquence de contact avec une personne, le temps d’un appel, la destination d’un message, vos données de navigation, etc. Ces éléments permettant une identification indirecte.

Le caractère indirect des données personnelles doit nous faire prendre conscience d’une chose : certaines données « personnelles » sont davantage des données « communes », reliées à d’autres personnes que vous.

Partant de ce principe, revendre des données personnelles revient, parfois, voire souvent, à vendre aussi celles des autres. Or, vous n’êtes pas en droit de décider pour d’autres personnes, encore moins quand-il est question de revente…

Une donnée personnelle, ça vaut combien ?

C’est une question à laquelle il n’y a pas de réponse. Certains s’accordent à dire que la revente de vos données personnelles rapporterait une dizaine d’euros par ans, au mieux.

Il faut comprendre que vos données, seules, et sauf votre respect, ne sont pas intéressantes. Non pas qu’on se fiche de votre vie, mais c’est la somme des données et le croisement de ces dernières qui est intéressant, rien d’autre. Un système devient intéressant s’il est basé  sur des milliers de données, alors bon, vos données et uniquement vos données, « on s’en moque ». Pensez global et non individuel.

Définir la valeur d’une donnée personnelle est d’autant plus compliqué qu’en fonction de l’usage ou de l’instant, elle peut avoir plus ou moins de valeur : votre géolocalisation n’intéressera que très peu un acteur X, mais énormément un acteur Y.

Faudrait-il vendre deux fois ses données, à deux prix différents, à deux entreprises différentes ?

On commence à entrevoir l’énorme problème technique créé par cette idée de revente des données personnelles.

Qui dit revente, dit contractualisation de l’échange, donc acte inscrit « dans le marbre ». Or, qui rédigera le contrat ? Sera-t-il possible de le modifier ? Existera-t-il des clauses permettant de revenir en arrière et, si oui, seront-elles vraiment efficaces ? Et que faire si je ne veux plus que mes données soient utilisées ?

Il est encore possible de se demander si la cession des données personnelles à, disons, Facebook, ne vas pas aussi concerner Instagram ou WhatsApp.

Que faire si je décide de vendre mes données à Facebook mais pas à Instagram ou WhatsApp ?

Bref, un gros problème insoluble, si ce n’est en multipliant les contrats partout, en direct ou via des intermédiaires, avec les marques et les GAFA.

N’oublions pas non plus que contractualiser cette revente signifie lire des documents. La majorité des utilisateurs ne lisent pas les conditions générales d’utilisations, faute de temps et parfois, de capacité, certaines CGU étant imbuvables.

Pourquoi cela serait différent avec un contrat qui ne sera sans doute pas à notre avantage ?

Clôturons cette partie en parlant de la valeur « morale » ou « sentimentale » d’une donnée : la vie privée, l’intimité, est composée d’un ensemble de facteurs et de données personnelles.

Chaque personne accorde une importance différente aux pans ce cette intimité. Ainsi, certains ne voient pas de problèmes à exposer leurs scores dans des jeux vidéo, là où d’autres si. Certains ne voient pas de problèmes à exposer des aspects extrêmement intimes de leurs vies, là où d’autres s’y opposent fermement.

Un contrat, par définition, ne s’attache pas à la valeur qu’on donne à une donnée. Il est impensable que les GAFA (ou les autres) éditent des contrats sur-mesure, donc individuels. Un prix sera fixé par donnée, probablement arbitrairement, point.

Une boite de Pandore à ne pas|jamais ouvrir

Si ces idées de monétisation venaient à devenir la norme, la loi, alors il y a fort à parier que d’autres s’engouffreraient dans le précédent créé par ce changement.

Pour illustrer le propos, parlons un peu des assurances : le principe des assurances et la mutualisation des risques. En tant qu’assuré, vous payez une cotisation, ou prime d’assurance.

Cette cotisation vous protège financièrement des risques ou des dommages qui touchent ce qui est assuré (maison, voiture, etc.). Ce sont les cotisations qui font que vous êtes remboursé, non pas en fonction de qui vous êtes, mais en fonction du contrat auquel vous avez souscrit. Vous payez donc pour les autres, et les autres payent pour vous pour que, le jour venu, l’assurance puisse vous aider. C’est un principe de solidarité fondamental dans le monde de l’assurance.

Seulement, il y a fort à parier que les assurances seraient extrêmement intéressées par la revente des données personnelles, qui pourrait les conduire à un principe d’individualisation des assurances.

Vous pensez que c’est une bonne chose ? Détrompez-vous.

Votre hygiène de vie n’est pas exemplaire 24h/24 et l’information est transmise par votre montre connectée ? L’assureur pourrait vous faire payer plus cher. Vous vous appelez Mohamed et pas Julien ? L’assureur pourrait également vous faire payer plus cher, comme le démontre cet exemple. C’est une rupture franche de l’égalité que nous avons dans ces systèmes assurantiels.

On peut certes se dire que le principe n’est pas mauvais, puisqu’il tend à prendre « soin » de nous… mais en faisant cela, il mène aussi à une forme très violente d’autocensure, où (ne pas) faire certaines activités reviendrait à prendre des risques. Comme je l’ai dit de nombreuses fois ici, avoir quelqu’un qui vous observe constamment modifie obligatoirement votre comportement, même inconsciemment.

Ce n’est pas un problème d’argent

Enfin, et surtout, ce rapport laisse penser que l’exploitation des données personnelles n’est, au final, qu’un banal problème de rémunération des producteurs de données, à savoir nous.

L’exploitation des données personnelles, l’intrusion brutale dans les composantes de nos vies privées, n’est pas un problème d’argent. C’est un problème éthique et éminemment politique. La vision de Génération Libre est partielle, voire erronée. En ne solutionnant que l’aspect financier dans la gestion des données personnelles, on ramène l’utilisateur final, nous, à une simple question d’acceptation ou de refus de signer. Et Génération Libre de confirmer le propos en filigrane, dans son rapport :

« Mais au regard des faits actuels, est-ce que la soi-disant non patrimonialisation des données empêche une quelconque exploitation abusive de ses données ? Voyons-nous une baisse du nombre d’usurpations d’identité ? Force est de constater que non. On voit au contraire que le cyber-citoyen est désapproprié de son droit d’abusus. »

Nous sommes désappropriés de nos droits, nos données ne nous appartiennent déjà plus, fin du game ?

Exit les combats politiques, les propositions de loi, amendements, les luttes sur le terrain, les appels et les mails, les billets de blog, les personnes expertes, tout cela ne sert à rien puisque le combat est déjà perdu ?

Je ne peux être qu’en désaccord avec la vision de Génération Libre, la simple existence de ce billet exprime la force de mon désaccord.

Effectivement, le contrôle de nos données personnelles est de plus en plus difficile, les menaces qui pèsent sur notre intimité sont de plus en plus nombreuses et il n’y a pas une semaine sans une nouvelle découverte d’un abus, d’un problème ou d’une faille relative à nos données personnelles. Pour autant, quitte à marteler, la réponse à cela n’est pas, et ne peut pas être, purement et simplement financière.

Je vous invite à lire, et à partager, l’excellent billet « Revendre ses données « personnelles », la fausse bonne idée », de Mais où va le WEB. Son analyse est détaillée, avec des sources et elle est bien plus neutre que la mienne, bien que nos points de vue se rejoignent.

Je vous invite également à lire le tout aussi excellent article d’Olivier Ertzscheid, sur son blog : Faut pas prendre les usagers des GAFAM pour des Datas sauvages.

Et vous, vous en pensez quoi ?

PS : le rapport est téléchargeable… en échange d’une adresse mail. A qui j’envoie la facture ?

L’article Pourquoi revendre ses données personnelles est une énorme c… est apparu en premier sur Pixellibre.net.

En Bref : Strava, ou un exemple simple du besoin de sensibilisation à la protection des données personnelles.

lundi 29 janvier 2018 à 13:30

Strava, vous connaissez ? Si vous faites du sport, de la course plus précisément, sans doute. Pour les autres : Strava est une application qui permet d’enregistrer son parcours en se servant du GPS du Smartphone sur lequel l’application est installée. L’entreprise propose une carte mondiale des trajets enregistrés… et on y retrouve des données plutôt sensibles.

Si, dans nos contrées, l’application ne nous apprend rien de particulier, dans des zones moins denses avec moins de parcours, c’est sensiblement différent. On apprend de Tobias Schneider   qu’il est possible de localiser des bases militaires et des sites sensibles, dessinés par les trajets enregistrés et publiés sur la « Global Heatmap » de Strava.

J’ai rapidement parcouru cette carte et à l’heure actuelle, on retrouve toujours des trajets qui semblent délimiter des zones d’activité humaine. On retrouve des trajets autour de Mossoul (en Irak), au Niger, en Syrie et à chaque fois, ils semblent correspondre à des rondes ou à des sites militaires.

Ces trajets étant précis, on peut délimiter des zones de faible passage, de passage moyen et de passage intense, puis en déduire les contours des bases militaires.

Strava image localisation 2
Des contours, en plein milieu de rien…

Ces deux images nous donnent un aperçu du problème rencontré. La première image est relativement claire et on devine une base, avec ou sans les trajets disponibles sur Strava. La seconde, en revanche, est perdue en plein milieu du désert, il n’y a absolument rien autour. Sans la carte des trajets, il est très compliqué voire impossible de deviner qu’il existe une activité humaine. Les trajets sont précis et semblent définir ce qui ressemble à une base (le jaune) et des contours, ou des rondes militaires (le chemin violet, donc le périmètre de sécurité).

Le problème peut vous sembler anodin mais il est en réalité dramatique. L’affichage de ces trajets peut donner des indications précises sur des bases stratégiques, des indications sur des bases tenues secrètes ou encore permettre à des attaquants de cibler aisément des lieux et d’effectuer une première reconnaissance très facilement.

Potentiellement, cela met en danger de nombreuses personnes, qu’elles utilisent ou non l’application. Elles se retrouvent exposées à un défaut créé par d’autres personnes. Défaut qui aurait pu être évité si ces mêmes personnes avaient refusé le partage de leurs données, Strava permettant l’usage en « mode privé », sans partage sur la carte globale.

Ce cas met en évidence un problème important : le manque de formation et de sensibilisation à la protection des données personnelles. La faute n’est pas imputable à l’entreprise éditrice, en soi, elle propose un mode « privé ».

La faute n’est pas entièrement imputable aux militaires, des personnes extérieures entrent et sortent des bases (diplomates, personnel de santé, …). Il suffit d’une seule personne pour exposer toutes les autres, ce qui est autant critique que compliqué à gérer.

On peut également s’interroger sur la mise à jour des données : est-il possible d’avoir un suivi en temps réel ? Est-ce que les données nouvelles remontent sur la carte immédiatement ? Si c’est le cas, le problème est d’autant plus grave car il devient possible de suivre des mouvements, des troupes, des patrouilles… et donc de planifier des actions au bon moment.

Bref, vous l’aurez compris, de nombreuses troupes, tous pays confondus, vont entendre parler de ce problème.

L’article En Bref : Strava, ou un exemple simple du besoin de sensibilisation à la protection des données personnelles. est apparu en premier sur Pixellibre.net.

Un monde sans neutralité du net

mercredi 10 janvier 2018 à 11:18

Ce billet s’adresses à celleux qui se disent « La neutralité du net ? Rien à foutre. », ainsi qu’a celleux qui ne comprennent pas forcément, par manque de temps, de moyens ou de savoirs, les implications concrètes d’une absence de neutralité du net.

Je ne vais pas expliquer ce que c’est, d’autres le font très bien, ici, ici, ici, ici ou encore . Non, je vais simplement vous donner des projections sur ce que serait un monde sans neutralité du net.

Réfléchissez à un instant à votre connexion, à ce que vous ainsi que les personnes qui utilisent cette connexion font de cette connexion, de cet accès pour ainsi dire illimité.

En vrac :

Enfin, vous ferez des choses dans six mois, ou un an, qui n’existent pas à l’heure actuelle, parce que vous pouvez le faire. Vous irez jeter un œil à des sites qui n’existent pas encore, vous irez tester des applications qui n’existent pas encore, parce que vous pouvez le faire.

De la même façon qu’on ne parlait pas deWhatsApp ou de Snapchat il y a encore quelques années, vous découvrirez un nouveau réseau social ou une nouvelle application pour PC, tablette ou smartphone.

Ces choses, vous pouvez les réaliser car votre accès Internet n’est pas bridé. Nous pouvons faire plus ou moins toutes ces choses et cela nous semble parfaitement naturel, logique et évident, parce que notre accès Internet n’est pas bridé.

La Neutralité du Net, c’est ça. C’est cette chose tellement évidente, tellement logique, que vous n’y songez absolument pas. C’est ce confort qui semble naturel, confort dans lequel nous évoluons en permanence.

C’est ce qui fait que vous pouvez actuellement arriver sur mon site « normalement », aussi vite que sur d’autres sites, que vous pouvez me lire, sans pour autant devoir payer plus que votre connexion Internet.

Un monde sans neutralité, c’est un monde où l’ensemble de vos usages, ainsi que le confort d’utilisation de ces derniers, sont menacés par des politiques de restrictions ou des politiques commerciales différentes de celles qui existent actuellement.

Parce qu’une image est plus parlante qu’un long texte, un monde sans neutralité du net, potentiellement, c’est ça :

Et si ce n’est pas ça, comprenez « un monde où vos usages sont facturés, en plus de votre abonnement internet », ou pour faire encore plus clair « ce que vous faites aujourd’hui pour une trentaine d’euros en coûtera une centaine plus tard », alors cela sera votre confort d’utilisation.

L’option « Youtube » ne sera pas obligatoire, mais sans cette option, regarder des vidéos sera difficile, elles seront de mauvaise qualité et mettront du temps à charger.

Votre confort d’utilisation, c’est réellement tout ce qui vous semble normal : le fait qu’un site s’ouvre vite, qu’une vidéo sur Youtube se charge globalement aisément, toutes ces choses qui vous semblent naturelles quoi…

Vous pensez que c’est une fiction ? Voici une offre Internet, au Portugal, sans neutralité du net.

Alors, important ou pas ?

 

L’article Un monde sans neutralité du net est apparu en premier sur Pixellibre.net.