PROJET AUTOBLOG


Pixellibre.net

Site original : Pixellibre.net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Les cartes bancaires sans contact et la confidentialité des données

jeudi 16 novembre 2017 à 14:40

Le paiement sans contact est une fonction disponible sur plus de 60% des cartes bancaires en circulation. Les données bancaires étant des éléments sensibles, elles doivent naturellement être protégées.

Est-ce vraiment le cas ?

Evolution du paiement sans contact

Cette fonctionnalité est apparue en France aux alentours de 2012. Depuis, elle n’a cessé de se développer. Selon le GIE Cartes bancaires, 44,9 millions de cartes bancaires sans contact étaient en circulation en septembre 2017, soit 68% du parc français.

données GIE Bancaire sur l'usage des cartes sans contact
(source : GIE Cartes Bancaires)

Dans son bilan 2016 (PDF, page 11), ce même GIE déclare que 605 millions de paiements ont été réalisés via du sans contact. Si ce chiffre semble énorme, l’évolution de ce dernier l’est encore plus : +158% de paiements par rapport à 2015, et la tendance ne faiblit pas.

Le paiement sans contact est fait pour des petites transactions, celles de « la vie quotidienne », le montant des échanges étant plafonné à maximum 30€ depuis octobre 2017.

Fonctionnement du paiement sans contact

Le principe est relativement simple, la personne détentrice d’une carte sans contact souhaite payer sa transaction (inférieure à 30€ donc), elle pose sa carte à quelques centimètres du terminal de paiement sans contact et « paf », c’est réglé.

Le paiement sans contact est basé sur la technologie NFC, ou Near Field Communication (communication en champ proche) via une puce et un circuit faisant office d’antenne, intégrés à la carte bancaire.

Le NFC est caractérisé par sa distance de communication, qui ne dépasse pas 10 cm avec du matériel conventionnel. Les fréquences utilisées par les cartes sans contact sont de l’ordre de la haute fréquence (13,56 MHz) et peuvent utiliser des protocoles de chiffrement et d’authentification. Le pass Navigo, les récents permis de conduire ou certains titres d’identité récents utilisent par exemple de la NFC.

Si la technique vous intéresse, je vous invite à lire en détail les normes ISO-14443A standard et la norme ISO 7816, partie 4.

Paiement sans contact et données personnelles

On va résumer simplement le problème : il n’y a pas de phase d’authentification ni de chiffrement total des données. En clair, cela signifie que des informations relativement sensibles se promènent, en clair, sur un morceau de plastique.

De nombreuses démonstrations existent çà et là, vous pouvez également trouver des applications pour mobile qui vous permettent de récupérer les informations non chiffrées (votre téléphone doit être compatible NFC pour réaliser l’opération).

exemple application lecture carte bancaire

Pour réaliser l’opération, avec du matériel conventionnel, il faut être maximum à quelques centimètres de la carte sans contact, ce qui limite fortement le potentiel d’attaque et interdit, de fait, une « industrialisation » de ces dernières.

Cependant, avec du matériel plus précis, plus puissant et plus onéreux, il est possible de récupérer les données de la carte jusqu’à 1,5 mètre et même plus avec du matériel spécifique et encore plus onéreux (il est question d’une portée d’environ 15 mètres avec ce genre de matériel). Un attaquant doté de ce type d’équipement peut récupérer une liste assez impressionnante de cartes, puisqu’elles sont de plus en plus présentes… problématique non ?

En 2012, le constat était plus alarmant qu’aujourd’hui, puisqu’il était possible de récupérer le nom du détenteur de la carte, son numéro de carte, sa date d’expiration, l’historique de ses transactions et les données de la bande magnétique de la carte bancaire.

En 2017… il est toujours possible de récupérer le numéro de la carte, la date d’expiration de cette dernière et, parfois, l’historique des transactions, mais nous y reviendrons.

Que dit la CNIL sur le sujet ?

J’ai demandé à la CNIL s’il fallait considérer le numéro de carte bancaire comme étant une donnée à caractère personnel, sans réponse pour le moment. J’éditerai cet article lorsque la réponse arrivera.

Si le numéro de carte bancaire est une donnée à caractère personnel, alors le fait qu’il soit disponible, et stocké en clair, me semble problématique, cela ne semble pas vraiment respecter la loi informatique et libertés.

En 2013, cette même CNIL a émis des recommandations à destination des organismes bancaires, en rappelant par exemple l’article 32 et l’article 38 de la loi informatique et libertés. Les porteurs de carte doivent, entre autres, être informés de la présence du sans contact et doivent pouvoir refuser cette technologie.

Les paiements sans contact sont appréciés des utilisateurs car ils sont simples, il suffit de passer sa carte sur le lecteur. Ils sont préférés aux paiements en liquide et certains vont même jusqu’à déclarer que « le liquide finira par disparaître dans quelques années ». Son usage massif fait que votre organisme bancaire vous connaît mieux, il peut maintenant voir les paiements qui lui échappaient avant, lorsque ces derniers étaient en liquide.

La CNIL s’est également alarmée, dès 2012, des données transmises en clair par les cartes en circulation à l’époque. Ainsi, il n’est plus possible de lire le nom du porteur de la carte, ni, normalement, de récupérer l’historique des transactions… ce dernier point étant discutable dans la mesure où, pas plus tard que la semaine dernière, j’ai pu le faire avec une carte émise en 2014.

Comme expliqué précédemment, il est encore possible aujourd’hui de récupérer le numéro de carte ainsi que la date d’expiration de cette dernière.

Dans le scénario d’une attaque ciblée contre un individu, obtenir son nom n’est pas compliqué. Le CVV – les trois chiffres indiqués au dos de la carte – peut être forcé, il n’existe que 1000 combinaisons possibles, allant de 000 à 999.

Si la CNIL a constaté des améliorations, elle n’est pas rassurée pour autant. En 2013, elle invitait les acteurs du secteur bancaire à mettre à niveau leurs mesures de sécurité pour garantir que les données bancaires ne puissent pas être collectées ni exploitées par des tiers.

Elle espère que ce secteur suivra les différentes recommandations émises [PDF, page 3], notamment par l’Observatoire de la Sécurité des Cartes de Paiement, quant à la protection et au chiffrement des échanges. Les premières recommandations datent de 2007 [PDF], mais malheureusement, dix ans après, très peu de choses ont été entreprises pour protéger efficacement les données bancaires présentes dans les cartes sans contact.

S’il existe des techniques pour restreindre voire empêcher la récupération des données bancaires via le sans contact, le résultat n’est toujours pas satisfaisant, le numéro de carte est toujours stocké en clair et lisible aisément, les solutions ne garantissent ni un niveau de protection adéquat, ni une protection permanente.

Une solution consiste à « enfermer » sa carte dans un étui qui bloque les fréquences utilisées par le NFC. Tant que la carte est dans son étui, pas de risques… mais pour payer, il faut bien sortir ladite carte, donc problème.

L’autre solution, plus « directe », consiste à trouer – physiquement – sa carte au bon endroit pour mettre le circuit de la carte hors service. Attention cependant, votre carte bancaire n’est généralement pas votre propriété, vous louez cette dernière à votre banque, il est normalement interdit de détériorer le bien de votre banque.

DCP ou pas DCP ?

J’en parlais précédemment : est-ce que le numéro de carte bancaire constitue à lui seul une donnée à caractère personnel, ou DCP ?

Cela semble un point de détail mais je pense que c’est assez important en réalité. Si c’est effectivement une DCP, alors le numéro de carte bancaire doit, au même titre que les autres DCP, bénéficier d’un niveau de protection adéquat, exigence qui n’est actuellement pas satisfaite.

Si vous avez la réponse, n’hésitez pas à me contacter ou à me donner quelques références.

Cet article Les cartes bancaires sans contact et la confidentialité des données est apparu en premier sur Pixellibre.net.

Les « boites noires » de la loi renseignement semblent désormais fonctionnelles

mardi 14 novembre 2017 à 14:41

Plus de deux années après leur création dans la loi, les équipements permettant aux services de renseignement d’analyser de grands volumes de données semblent fonctionnels.

Lors d’un colloque organisé par l’université de Grenoble ce mardi 14 novembre, Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement – ou CNCTR – a déclaré que les « boites noires » étaient à présent opérationnelles, et ce depuis environ un mois.

Ces équipements, surnommés ainsi pendant les débats sur la loi renseignement, doivent permettre aux services de renseignement d’analyser de grands volumes de données afin de détecter toute trace d’une menace terroriste… et c’est tout ce qu’on sait, officiellement.

Le principe et son problème

Pour vous résumer les débats de l’époque, il était question de créer des algorithmes permettant de détecter les terroristes, le tout sans aller lire le contenu des échanges ou des communications, les algorithmes n’utilisant que les métadonnées et pas le contenu direct.

La CNCTR a donné son feu vert à la mise en place desdits algorithmes :

« Nous avons examiné le projet d’algorithme sur le plan juridique. Est-il adapté ? Remplit-il les critères de proportionnalité ? Mais aussi un contrôle technique.

Nous avons des ingénieurs, ce qui permet de le faire. »

A l’époque du projet de loi, en 2015, ces dispositions faisaient débat. Des associations protectrices des libertés individuelles et numériques, comme La Quadrature du Net, dénonçaient la mise en place d’un système de surveillance de masse et une absence de mécanismes de contrôles clairs et adaptés.

Problème n°1 : les métadonnées parlent plus que « la donnée ».

La loi sur le renseignement autorise l’exploitation des métadonnées, c’est-à-dire des informations qui gravitent autour de la donnée sans être de la donnée… exemple : dans un e-mail, l’heure d’envoi, l’expéditeur, le destinataire et tout ce qui n’est pas directement le contenu du mail sont des métadonnées.

Si la loi interdit d’analyser les données, le contenu du mail dans notre exemple, il n’en reste pas moins que ces boites noires posent un vrai problème de confidentialité, les métadonnées étant bien plus parlantes que les données.

En soi, sauf dans des cas de surveillance ciblée, le contenu n’intéresse que très peu les renseignements, ils souhaitent savoir qui communique avec qui, quand, où, comment, à quelle fréquence. Ils souhaitent savoir qui visite quoi, quelle adresse, à quelle heure, combien de fois, etc.

Prenons un exemple très concret, qui ne va utiliser que des métadonnées. Aujourd’hui, un individu a :

J’arrête l’exemple ici mais vous l’aurez compris, une journée entière serait bien trop longue. Les métadonnées sont très précises et, par croisement, elles permettent d’identifier une personne assez rapidement.

Ce qui nous amène au…

Problème n°2 : on ne sait pas comment ça fonctionne

Selon M. Delon, pour des « raisons évidentes », les algorithmes des boites sont secrets. On ne sait donc rien d’eux. On peut déjà s’interroger sur les raisons qui font que cet algorithme est secret. Si les critères de l’algorithme peuvent être sensibles, l’algorithme en soi n’a, normalement, rien de cela. Je trouve toujours étonnant que les gouvernements préfèrent la sécurité par l’obscurité à la transparence d’un code, mais passons…

On peut tout de même imaginer que ces derniers ne sont pas en mesure d’intercepter et de casser du trafic chiffré. On peut aussi imaginer que les jeux de données doivent être très larges, afin de permettre aux algorithmes d’avoir assez de matière pour faire le boulot.

On renverse donc un peu plus la logique de surveillance actuelle, en passant d’une surveillance ciblée pour obtenir des informations à l’obtention d’informations sur une population très large pour trouver des individus qui répondent à des critères précis. Autrement dit, on bascule davantage dans la surveillance de masse de tout le monde que dans la surveillance ciblée. Ce qui n’est pas sans poser de nombreux problèmes, comme l’ONU s’en inquiétait à l’époque.

Les algorithmes, ce n’est pas « automagique », des personnes ont travaillé sur ces choses, ont produit du code. Qui ? Comment ? On ne sait pas. On peut donc s’interroger quant à l’impartialité des algorithmes. Sur quels critères ces derniers déclarent que telle ou telle personne a un comportement étrange, voire suspect ? Est-ce que les algorithmes sont assez efficaces pour éviter tout faux positif ? Et même dans ce cas, est-ce que ces techniques ne seraient pas disproportionnées ? Combien de milliers de données passent dans les moulinettes des algorithmes alors qu’elles ne devraient rien y faire ?

La CNCTR déclare que, pour le moment, une seule machine a été déployée, dans un endroit tenu évidemment secret, comme le reste… mais est-ce un test ou une généralisation ?

Vous l’aurez compris, je suis sceptique quant à l’usage et l’efficacité de ces outils, et vous ?

Cet article Les « boites noires » de la loi renseignement semblent désormais fonctionnelles est apparu en premier sur Pixellibre.net.

Informatique et Libertés, RGPD, CIL et DPO, du pareil au même ?

lundi 6 novembre 2017 à 23:30

Continuons à présenter quelques détails relatifs au Règlement Général sur la Protection des Données. Aujourd’hui, nous allons parler des postes de CIL et de DPO. Le sujet est abordé suite à des choses trop fréquemment entendues, exemple : « le DPO c’est l’exact copie du CIL, mais pour le RGPD ».

Vrai ou faux ?

CIL, DPO, RGPD, c’est à dire ?

Il y a plus d’abréviations que de texte dans les premières lignes de ce billet, quelques définitions s’imposent.

RGPD, comme DPO, sont déjà présentés dans le précédent billet, CIL en revanche, vous ne connaissez peut-être pas.

Le CIL, ou Correspondant Informatique et Libertés, est le référent des questions relatives à la protection des données à caractère personnel (ou DCP).

Ses missions sont de garantir la conformité de l’organisme à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus communément appelée loi Informatique et Libertés.

Cette loi sert de référence à tout ce qui touche, de près comme de loin, à la collecte, l’usage et la protection des données personnelles (collecte, analyse, traitement, définitions des collectes licites, modalités de collecte, sécurisation, anonymisation, etc.).

D’une certaine façon, le CIL est l’interlocuteur entre la CNIL et l’entreprise. Il est l’acteur incontournable entre le responsable de traitements de l’entreprise et l’autorité de contrôle.

Pour information, la loi Informatique et Libertés a évolué au fil du temps pour tenir compte de l’évolution des technologies et des nouveaux usages. Sa dernière modification remonte au 20 janvier 2017. La prochaine date à noter, pour ladite loi, sera le 25 mai 2018, moment à partir duquel le RGPD sera applicable.

Les points communs entre le CIL et le DPO

Le CIL et le DPO sont indirectement des représentants des réglementations, l’un pour Informatique et Libertés, l’autre pour le RGPD. Ils sont tous deux attachés à la protection des données personnelles et aux usages qui sont faits de ces dernières au sein des entreprises et administrations.

Les deux doivent être hors de tout conflit d’intérêt et ne peuvent donc pas exercer d’autres fonctions qui entreraient en conflit avec leurs rôles de CIL ou de DPO.

Ils doivent globalement être informés des traitements effectués sur les données personnelles et tenir des registres relatifs à ces derniers, même si les missions diffèrent sur ce point.

Le point numéro 3 de l’article 38 du RGPD confère au DPO le même type de protection que le CIL. Ainsi, le DPO « ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions ». Il va de soi que si le DPO est complice d’activités illicites menées par le responsable de traitement, cela ne tient pas.

Enfin, l’article 39 (son point 1), confèrent au DPO des missions similaires à certaines du CIL : coopérer avec l’autorité de contrôle et faire office de point de contact pour l’autorité de contrôle.

Globalement, les similarités s’arrêtent là.

Les différences entre le CIL et le DPO

Les qualifications requises

En soi, il n’existe pas de réelles obligations de compétences dans le poste de CIL, même si la logique fait qu’on ne place pas n’importe qui à ce poste. Dans la loi Informatique et Libertés, tout au mieux, le CIL doit « avoir les compétences nécessaires pour exercer ses missions ».

L’article 37 du RGPD, et plus particulièrement son point 5, explique la chose suivante :
« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Alors oui, cela peut sembler logique voire évident, mais c’est une différence assez importante. Cela signifie que si le CIL peut avoir le profil qui lui permet d’exercer ses missions, le DPO doit avoir les compétences nécessaires pour ses missions. Le considérant 97 du texte va dans ce sens également, considérant que vous pouvez retrouver ici (non référencé directement par la CNIL).

Obligation de formation continue

Le point 2 de l’article 38 explique que « le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ».

Cette obligation de maintien des compétences dans le temps n’est pas présente dans la loi Informatique et Libertés, elle permet au DPO de pouvoir bénéficier de parcours de formation continue afin de maintenir ses compétences à jour.

Si les entreprises permettent aux CIL d’accéder à la formation, elles n’en ont pas l’obligation actuellement, ce qui ne sera plus vrai avec le DPO. Il faut y voir l’opportunité de maintenir un niveau d’expertise à jour,  plutôt qu’une contrainte de formation pour les entreprises.

Obligation de confidentialité

L’article 38, via son point 5, souligne le caractère de confidentialité des missions du DPO, qui est soumis au secret professionnel ou à une obligation de confidentialité. Il me semble évident que les missions du CIL sont, elles aussi, sensibles et confidentielles… mais il n’existe pas d’obligation de confidentialité dans la loi Informatique et Libertés.

L’article 39 du règlement confère des missions étendues au DPO, dont celles de la répartition des responsabilités ainsi que la formation et la sensibilisation du personnel qui participe aux opérations de traitement.

Obligation de nommer un DPO

Si le poste de CIL n’est pas une obligation, il reste fortement recommandé pour de nombreuses entreprises. Il permet, au passage, de « s’affranchir » d’un certain nombre de déclarations auprès de l’autorité de contrôle.

Dans certains cas, la nomination d’un DPO est obligatoire. L’article 37 précise les cas où la nomination d’un DPO est nécessaire :

Par exemple, les banques, les opérateurs téléphoniques ou les grosses agences publicitaires sont, selon le règlement, dans l’obligation de nommer un DPO, là où cette nomination n’est pas obligatoire avec le CIL.

Revenons à la question de ce billet : est-ce que le CIL et le DPO font le même métier et ont les mêmes obligations ? La réponse est manifestement non.

S’il existe forcément des points communs aux deux postes, ils diffèrent, tant dans les missions que dans les obligations relatives au poste. L’évolution « logique » du CIL est effectivement le poste de DPO, mais cela ne signifie pas pour autant que c’est le même poste, le même périmètre d’intervention, ni même qu’une personne au poste de CIL passera obligatoirement DPO.

J’espère, avec ce billet, que vous aurez compris que non, avoir un CIL, ce n’est pas la même chose qu’avoir un DPO et que cela ne signifie pas « être conforme ».

Cet article Informatique et Libertés, RGPD, CIL et DPO, du pareil au même ? est apparu en premier sur Pixellibre.net.

C’est quoi, un DPO ?

jeudi 2 novembre 2017 à 15:03

Si vous suivez ce blog depuis longtemps, vous savez une chose : je m’intéresse tout particulièrement à la protection des données à caractère personnel et à tout ce qui touche au domaine de la vie privée en ligne. Que cela soit via la publicité, les applications ou les projets de loi présentés et détaillés ici.

Aujourd’hui,  nous allons nous intéresser à un métier en pleine création, en lien avec la loi européenne 2016/679, plus connue sous le nom de « Règlement Général sur la Protection des Données », ou RGPD (GDPR en anglais). 

C’est quoi, le RGPD ?

Vous l’avez déjà vu ailleurs mais un rappel est toujours bon. Le Règlement Général sur la Protection des Données est une loi supranationale, adoptée en 2016 et qui entrera en vigueur en mai 2018. Cela signifie que la loi est déjà effective, en soi.

Ce règlement devrait, à long terme, permettre d’homogénéiser les différentes lois des pays États Membres relatives à la protection des données à caractère personnel, abrégées en DCP dans la suite de l’article.

Point important : il ne concerne pas les entreprise européennes, mais les entreprises qui travaillent avec les données des citoyens de l’union. Cela signifie donc qu’une entreprise américaine, par exemple, devra être conforme dès lors qu’elle collecte, traite, analyse ou plus globalement, travaille avec des DCP.

L’objet de cet article n’est pas de rentrer dans le détail du règlement mais de parler d’un métier qui arrive en même temps que le règlement, le Data Protection Officer, ou DPO. Entrons donc dans le vif du sujet.

Quelles sont les missions d’un DPO ?

Nous pourrions vulgariser en disant que le DPO a pour objectif de s’assurer de la conformité de l’entreprise au RGPD mais, en pratique, c’est un peu plus que ça.

Un DPO doit mettre en place un environnement de travail qui soit en phase avec le RGPD. Pour cela, il doit être en capacité d’identifier les traitements, applications, flux de données, sites internet et autres qui nécessitent l’utilisation de DCP.

Il doit également être en capacité d’expliquer des choses compliquées de façon simple. Avant d’attaquer la phase d’audit nécessaire à l’exécution de ses missions, il doit d’abord expliquer le règlement, identifier et sensibiliser les différents acteurs qui sont concernés. Les personnes du service informatique, le marketing ou encore les ressources humaines, toutes ces personnes sont différentes, elles ne parlent pas forcément le même langage… au DPO de faire en sorte que ces derniers soient capables de se comprendre pour travailler ensemble.

Une fois cette phase de sensibilisation faite, le DPO peut commencer par faire un état des lieux de ce qui existe, des bonnes et des mauvaises pratiques, ceci afin de prioriser ses missions à venir. S’il ne fait pas cette distinction, il y a fort à parier qu’il passera du temps sur des points éventuellement importants, mais pas critiques.

Le DPO, en soi, ne décide pas directement. Il forme, informe, conseille, fait l’état des lieux, conduit les audits, produit les analyses, des rapports et des constats relatifs aux façons qu’a l’entreprise de travailler avec les DCP puis il coopère avec les administrations, comme la CNIL. Il doit, à mes yeux, être rattaché aux postes de direction, voire à la direction générale de l’entreprise, dans la mesure où c’est à elle que revient la tâche de mettre les moyens nécessaires (temps, budget, outils, etc.) en place.

Une fois ces moyens alloués et mis en place, le DPO suit et accompagne la mise en oeuvre des plans d’actions, il est le point de référence des autres métiers, des compétences et des directions reliées à ces plans. Il joue, ici, autant le rôle de chef de projet que celui de facilitateur.

Le règlement impose aux entreprises de tenir un registre des traitements relatifs aux DCP (qui est le responsable de traitement, quelles données sont collectées, pour quelles finalités, combien de temps, etc.). C’est au DPO de créer et maintenir ces registres. Cela permet à l’entreprise de savoir ce qui est fait, par qui, quand, comment et pourquoi et ce à tout moment. Cela permet également, en cas de contrôle, de mettre à disposition une cartographie complète des traitements relatifs aux DCP.

D’une façon simple et résumée, voici les différentes missions du DPO.

Quelles sont les compétences requises pour être DPO ?

C’est une question qui mérite qu’on s’y attarde. Comme vous allez le voir, la réponse n’est pas si évidente que ça.

Le RGPD, en soi, ne nous donne que très peu d’informations quant aux compétences requises pour le poste, tout au plus il nous dit que le profil doit être adapté, doté d’une sensibilité à la protection des données, à la complexité des traitements et à la masse d’informations qui seront traitées. C’est une définition assez vague.

De son côté, la CNIL française est un peu plus précise :

En résumé : il faut être un peu touche à tout, comprendre la philosophie du texte, de la loi, savoir conduire des projets, être indépendant, patient, technique, pédagogique, curieux, savoir s’adapter, se remettre en question et être capable de penser en 3, 4, 5 ou 42 dimensions différentes en même temps.

J’ajoute à cela ma petite touche : pour moi, le DPO est d’abord un accompagnateur. Il doit guider l’entreprise vers la mise en application du règlement, mais cette mise en application traduit de nombreuses choses :

On ne parle pas simplement d’un règlement, à mes yeux. On parle d’une transformation des entreprises, de leurs procédures, de leurs façons de faire, on peut parler d’un profond changement pour certains et… le changement, en entreprise, c’est souvent compliqué.

A mes yeux, le DPO doit être passionné par la protection des données personnelles, on dépasse le simple cadre d’un contrat de travail, il faut, pour être DPO, avoir « la philosophie qui va bien ». Si vous vous moquez de vos propres données, si pour vous, ce n’est « qu’un métier comme un autre », alors vous échouerez.

C’est une définition plus précise que celle donnée par le règlement, non ?

Et vous, qu’en pensez-vous ? Est-ce que vous partagez cet avis ? Un peu, beaucoup, à la folie ou pas du tout ?

Enfin, si vous cherchez un DPO et que vous vous dites « mais oui, c’est exactement cela qu’il me faut, saperlipopette », j’ai deux choses à vous dire :

Cet article C’est quoi, un DPO ? est apparu en premier sur Pixellibre.net.

Vie privée, smartphones et applications

vendredi 27 octobre 2017 à 15:51

« Vous achetez votre baguette et, pendant ce temps là, votre boulanger fouille dans vos affaires pour mieux vous connaitre. »

C’est la question que j’ai posé via la fonction de sondage Twitter, il est temps de passer aux explications.

Partie 1, remise en contexte et données

Comme expliqué précédemment, j’ai posé, via Twitter, la question suivante :

« Vous achetez votre baguette et, pendant ce temps là, votre boulanger fouille dans vos affaires pour mieux vous connaitre. »

A cette question était attachée une batterie que quatre réponses possibles :

La fonction de sondage de Twitter permet de poser une question et de proposer plusieurs réponses, le tout sur une durée allant de 5 minutes à sept jours maximum. Cela permet de récupérer l’avis des personnes qui voient le sondage et potentiellement, de récupérer une fraction d’opinion.

Attention cependant, on ne peut pas parler de sondage représentatif, même si beaucoup de personnes répondent. Les personnes qui répondent ne sont pas triées, les premières à répondre sont celles qui vous suivent, qui partagent sans doute des intérêts communs avec vous et il en est de même avec leurs abonnés et ainsi de suite. Il n’en reste pas moins que plus de personnes répondent, plus c’est pertinent pour obtenir un avis.

Dans mon « sondage », 1532 personnes se sont prononcées, voici leurs réponses.

Réponses au sondage Twitter

84% des personnes seraient dérangées par cette pratique, soit environ 1286 personnes. 12% des personnes n’y seraient pas opposées si, en échange, elles ont quelque chose à gagner, gain manifesté ici par l’éventuelle réduction appliquée par le boulanger. Les deux autres chiffres sont assez anecdotiques et ne feront pas l’objet d’une analyse ici.

Même si, je le rappelle, ce sondage n’est pas totalement représentatif (puisque la population interrogée n’est pas connue) on constate deux tendances : globalement, les gens refusent que le boulanger fouille leurs affaires personnelles, mais certains y consentent en échange d’une faveur.

Le commerce physique a ses propres règles, la quasi totalité des gens s’opposent à ce qu’on fouille dans leurs affaires ou leurs vies respectives dans cette configuration. Imaginons que votre boulanger regarde ce que vous avez dans votre sac, vous demande qui sont les cinq dernières personnes contactées, vous demande où vous étiez hier, à huit heures du matin ou vous demande ce que vous avez envoyé comme message à votre sœur, hier soir. Inconcevable n’est-ce pas ? J’imagine que certains, en lisant ces lignes, imaginent la scène et ressentent une forme de malaise, non ?

J’ai une question. Pourquoi autorisez-vous cela avec votre smartphone ?

Les autorisations des applications, la publicité et le tracking mobile

La vidéo que vous venez de visionner est à l’origine de mon sondage. Je suis tombé dessus par hasard et je trouve que c’est un très bon exemple du problème que je souhaitais souligner : nous donnons, volontairement ou non, beaucoup de données à des plateformes ou à des vendeurs… chose que nous refuserions pourtant de faire si le vendeur était en face de nous, à nous les demander.

A titre d’exemple, prenons les autorisations demandées par l’application Facebook, sur Android (source Facebook).

Prenons maintenant la version complète, détaillée dans les autorisations requises par l’application, toujours sur Android.

Liste des autorisation Facebook, version complète
C’est un peu plus long, non ?

Je ne sais pas pour vous, mais personnellement, la liste des autorisations m’effraie, tant par sa longueur que par son contenu. L’application est en droit de savoir où vous êtes, ce que vous faites, de voir les messages, SMS comme MMS, de voir avec qui vous parlez, quand, comment, combien de fois… tout ça pour, grosso-modo, une application pour poster des messages, réagir à des publications et discuter avec vos contacts… données qui sont, au passage, également collectées par Facebook.

Vous imaginez votre boulanger vous en demander autant ?

Twitter n’est pas en reste, même si l’application est bien moins gourmande, elle n’en reste pas moins intrusive.

Il existe d’autres choses plus étranges, comme des réveils qui demandent votre localisation GPS approximative ou fine. Des applications de modification de fond d’écran qui demandent l’accès en lecture et en écriture à votre agenda et à vos contacts. Des applications de suivi de consommation, proposées par des fournisseurs d’accès à Internet, qui demandent l’accès à vos contacts, votre position précise, l’accès à vos SMS, MMS et bien d’autres choses encore, sans qu’on sache vraiment pourquoi.

La situation est moins dramatique qu’il y a des années, Google ayant fait quelques efforts pour repenser sa gestion des autorisations, mais le constat reste insatisfaisant.

Notre approche du monde numérique

Nous sommes plus que méfiants face à une personne qui nous demande des informations privées, comme expliqué au début de ce billet. Rarement, ou jamais, vous n’irez confier des informations privées à votre boulanger, et encore moins des informations privées qui ne sont pas les vôtres. Pourtant, dans le monde numérique, cette hygiène et ces réflexes n’existent pas, ou très peu.

Pourquoi ?

Il existe, pour moi, deux raisons qui expliquent ce problème. La première raison est que, fondamentalement, l’Humain est un fainéant. Ce n’est ni une critique, ni un reproche, c’est humain. Nous cherchons toujours à dépenser le moins d’énergie possible, à faire le moins d’efforts, c’est en partie pour cela qu’un ensemble de services existent, services que nous pourrions faire directement… mais vu qu’on propose, autant accepter. Résultats des courses, lire les conditions d’utilisation d’une application, vérifier les autorisations requises par cette dernière, « c’est chiant. Je veux utiliser mon application, c’est tout. » Beaucoup se sentent concernés par la sécurité de leurs données, mais peu prennent le temps de lire des documents indigestes ou des pages d’autorisations (pour information, les autorisations requises sont visibles tout en bas du bas de la page d’une application, sur le play store d’Android, autant dire que c’est rarement ouvert). Le problème est d’autant plus présent si le mécanisme est basé sur une récompense (nos 12% de tout à l’heure, nous y reviendrons).

La seconde, c’est que c’est « magique », comme Internet. Nous n’avons pas le même comportement dans le monde physique car nous voyons nos interlocuteurs, nous savons ce qu’ils demandent, nous avons conscience de certaines techniques de communications, nous savons globalement nous protéger, etc.

Tout ceci nous amène à être plus vigilants que sur Internet. Un exemple simple pour illustrer mon propos : dans le monde physique, si une personne vous demande votre numéro de téléphone, vous lui demandez « Pourquoi ? », la plupart du temps.

Dans ce monde numérique, nous appuyons sur un bouton, nous tapons une adresse et « paf », juste ça marche. Beaucoup ne savent pas comment fonctionne ce monde et même les plus experts du sujet ne savent pas tout, tant il est riche et évolue rapidement.

Dans le monde numérique, non seulement on ne vous demande pas votre accord pour récupérer votre numéro de téléphone, mais en plus, vous le donnez plus facilement si jamais on vient à vous le demander, rares sont ceux qui cherchent à savoir pourquoi.

Nous accusons un manque de connaissances et de culture de la protection des données personnelles, manque qui sied parfaitement aux éditeurs et sociétés qui font un marché de nos données.

Très modestement, j’essaye d’expliquer simplement, de vulgariser et de transmettre cette culture, j’espère donc que la prochaine fois que vous irez acheter une baguette de pain, vous repenserez à ce paradoxe.

Le bonus

12% des personnes seraient d’accord, en échange d’une réduction, souvenez-vous.

C’est une technique marketing relativement vieille, la carte de fidélité est par exemple une excellente représentation du principe. En échange de quelques faveurs, un programme fidélité, un cadeau, des points ou des réductions, nous sommes plus enclins à donner des informations personnelles. Une étude de 2017 aborde d’ailleurs le problème (en anglais, accès payant, 5$, résumé de l’étude fait par Numérama, en français). Cette tendance qui existe aussi bien dans le monde physique que numérique est peut-être liée au fait que nous n’estimons pas correctement la valeur de nos données personnelles.

A l’heure où tout est connecté, partout, tout le temps, que nous sommes pistés jusque dans nos maisons par des objets connectés, l’heure est peut-être venue de travailler sur ce point, qu’en pensez-vous ?

Cet article Vie privée, smartphones et applications est apparu en premier sur Pixellibre.net.