Archives de catégorie : Vie privée

Affaire Benjamin Griveaux / Petit rappel à destination des adolescents : une fois envoyé, un contenu numérique est irrattrapable !

 
 
Inutile, ici, de revenir sur la nature de la vidéo tournée par un candidat à la mairie de Paris. Ni de détailler les conséquences de sa diffusion. Les média les ont largement évoquées.
 
Je voudrais juste répéter le conseil que je donne aux adolescentes et adolescents au cours de mes interventions dans les collèges ou les lycées :  une fois envoyé par voie numérique (SMS, email, réseaux sociaux, plateformes de partage de fichiers…), un contenu est irrattrapable !
 
Les raisons qui nous poussent à avoir tel ou tel échange avec une autre personne sur les réseaux sociaux sont multiples : répondre à une invitation ou à une provocation, attirer l’attention des autres, profiter de la dématérialisation des relations qu’offre le numérique pour vaincre sa timidité…
 
Mais, quel que soit ce motif, mieux vaut réfléchir à deux fois avant d’envoyer un contenu au format numérique.
 
Avant, la sagesse enseignait de « tourner sept fois sa langue dans sa bouche avant de parler ».
 
Je dis aux jeunes d’aujourd’hui :
 
       mieux vaut tourner sept fois son doigt autour de son smartphone, de sa tablette ou de son ordinateur avant de cliquer sur le bouton “envoyer” et d’expédier dans le cyberespace une photo, un vidéo ou un texte. Une fois lâché, ce contenu sera irrattrapable. Vous pourrez toujours l’effacer de votre appareil ou du réseau social sur lequel vous l’avez publié. Mais vous ne pourrez pas empêcher un de ses destinataires d’en avoir réalisé, entre temps, une copie qu’il pourra diffuser à son tour.
 
       Avant d’envoyer quoi que ce soit au format numérique, il faut se poser deux questions : cela ne risque-t-il pas de se retourner contre moi dans quelques jours, quelques semaines, quelques mois, quelques années ? Et cela ne risque-t-il pas de faire du mal à quelqu’un dans quelques jours, quelques semaines, quelques mois, quelques années ?
 
Et je donne un exemple aux adolescentes et adolescents. Il y a quelques années je suis intervenu, quelque part en France, dans un lycée agricole, doté d’un pensionnat. À la fin de ma conférence, la conseillère principale d’éducation a connecté son ordinateur portable au vidéo projecteur et s’est adressé à un des pensionnaires :
 
       regarde les photos de toi que j’ai trouvées !
 
Cet élève s’était photographié buvant de l’alcool dans sa chambre d’interne – ce qui constituait un motif de renvoi – et avait publié ces clichés sur un réseau social.
 
         Que cela te serve de leçon !, a repris la CPE. Cette fois-ci, je passe l’éponge mais ce soir tu effaces ces images !
 
J’ai aussitôt repris la parole :
       Ah, non ! Il ne va pas les effacer ce soir, mais maintenant : nous allons le laisser sortir et il va les effacer tout de suite ! Sinon, d’ici à ce soir, un de ses camarades va réaliser des copies de ces photos et elles seront irrattrapables !
 
 
 
 
 
 
 
 
 
 
 

Bientôt un identifiant numérique pour tous ?

J’ai publié ce matin dans le quotidien Les Échos une enquête sur l’idée émise par quelques Etats, organismes internationaux ou entreprises de proposer une identité numérique unique qui permettrait à tout le monde de s’identifier, partout. Le support de cette identité pourrait être électronique (sous forme de carte à puce ou sans contact…) ou purement digital (une suite de chiffres). L’identifiant serait validé grâce à des données biométriques, financières (compte bancaire) ou à un profil Internet (compte Facebook, Google…). Il donnerait accès à l’état civil, aux informations de santé, financières, etc., de son propriétaire.

Vous pouvez lire la suite de cet article sur le site des Échos : https://www.lesechos.fr/idees-debats/sciences-prospective/bientot-un-identifiant-numerique-pour-tous-1016724 ou Lesechos.fr > Idées > Sciences & Prospectives > Bientôt un identifiant numérique pour tous ?

Saviez-vous que vos remboursements de Sécurité Sociale pouvaient aider la recherche médicale ?

J’ai publié ce matin dans le quotidien Les Échos une enquête sur les données de santé et les recherches médicales menées avec des algorithmes d’Intelligence Artificielle …

Vous connaissez le Sniiram ? Sans doute pas, mais lui vous connaît ! Le Système national d’information inter-régimes de l’Assurance-maladie est en effet une gigantesque base de données qui collecte tous les remboursements de la Sécurité sociale. Il couvre 99 % de la population française et comprend 20 milliards de lignes de prestations ! Rassurez-vous, votre nom n’y figure pas ; il a été remplacé par un pseudonyme……

Vous pouvez lire la suite de cet article ( « Les données de santé, la mère des batailles  »,  « Cryptage et tatouage pour protéger les données de santé », « La France dispose d’un fichier de données de santé unique au monde ») ainsi que le reste du dossier spécial consacré par Les Échos à l’intelligence artificielle et à la santé sur https://www.lesechos.fr/intelligence-artificielle/dossiers/IA-sante-hopital-medecine-infirmier-radiologie-CHU-informatique-AI/

Le RGPD ne serait-il qu’une passoire ?

Vous vous croyez, en tant qu’Européens protégés par le RGPD ? Vous pensez que ce fameux Règlement Général sur la Protection des Données, applicable depuis le 25 mai dernier, met vos données personnelles à l’abris de tout abus ?  Pas si simple : RGPD ou pas, les plateformes d’« ad exchange », qui servent d’intermédiaires entre les annonceurs et les sites ou les applications sur smartphone qui veulent vendre leur espace publicitaire, communiquent allègrement nos données aux annonceurs…
Connaissez-vous les plateformes d’« ad exchange » ? Non ? Vous devriez vous y intéresser car ces plateformes sont au cœur du marché de la publicité sur Internet : ces programmes informatiques de vente et d’achat d’espaces publicitaires sur Internet mettent en relation des acheteurs (agences de publicité, agences médias ou annonceurs directement) et des vendeurs (sites Web, réseaux ou régies publicitaires) : les espaces publicitaires sont mis aux enchères et vendus aux plus offrants. Mais les vendeurs ne mettent pas que leurs espaces publicitaires à la disposition des acheteurs : ils proposent aussi des informations sur les internautes qui pourront voir les publicités des acheteurs. C’est ainsi que nos données de géolocalisation peuvent se retrouver “en vente” sur ces plateformes (lire ci-dessous les explications d’Armand Heslot, expert à la CNIL, la Commission Nationale de l’Informatique et des Libertés)
Résultat ? Nos données de géolocalisation se retrouvent entre des mains inconnues…  Le créateur d’une société spécialisée dans l’exploitation des données de géolocalisation à des fins statistiques et de marketing s’est récemment vanté dans un grand quotidien économique français de pouvoir « observer les trajets d’une personne via une publicité sur mobile, grâce aux accords passés avec certaines plates-formes. »
Comment cela est-il possible alors que le fameux RGPD (règlement général sur la protection des données) est applicable depuis le 25 mai 2018 ? En fait, ce règlement doit être encore accompagné de textes dits « spéciaux » qui vont préciser son application dans certains domaines spécifiques. C’est ainsi qu’une nouvelle directive « ePrivacy » va définir l’application du RGPD aux traitements réalisés dans le contexte des communications électroniques : elle va encadrer la collecte des données sur mobile et sur Internet.
Une première version de la directive ePrivacy existe depuis 2002 et a été modifiée en 2009. « Dans les faits, elle n’est pas appliquée », constate un spécialiste du sujet. Elle n’a été traduite et transcrite dans le droit français qu’en août 2011 et cette transcription laissait substituer de nombreuses zones d’ombre. De plus, la directive est en pleine réécriture au niveau européen ; la nouvelle version devrait entrer en vigueur au cours de l’année 2019. « Dans ce contexte, il est difficile d’appliquer une politique de contrôle », poursuit ce spécialiste.
Le futur texte ePrivacy devrait prévoir « comme principe le recueil du consentement des utilisateurs avant toute utilisation de traceur au sein des terminaux (téléphone, tablette, ordinateur, etc.). La notion de traceur s’entend ici au sens très large puisqu’il s’agit de toutes techniques permettant de suivre les utilisateurs : cookies, empreintes numériques (fingerprinting), pixels invisibles (web bugs) »… (Rapport d’activité 2017 de la CNIL, p. 31).
Autant dire qu’en coulisse les lobbyistes des grands groupes de communication électronique (Cisco, Facebook, Google, IBM, Microsoft, SAP, mais aussi l’IAB, l’Interactive Advertising Bureau, une organisation regroupant les principaux acteurs de la publicité en ligne…) s’activent auprès de la Commission Européenne pour que ce texte soit le moins contraignant possible…
En attendant, les plateformes d’« ad exchange » communiquent la nature de l’appareil que nous utilisons (marque et modèle, nom de l’éventuel opérateur de téléphonie mobile, dimension de l’écran…), notre géolocalisation, notre âge, notre sexe, notre adresse habituelle… Les entreprises peuvent ainsi poursuivre la “réification” de leur stratégie de pouvoir : faire de nous des objets, mesurables et manipulables à distance…
Jacques Henno

 

Armand Heslot (CNIL) : « Une application que vous avez installée sur votre smartphone peut transférer aux annonceurs vos données de géolocalisation »

 
Armand Heslot (service de l’expertise technologique de la CNIL)
 Armand Heslot est ingénieur au service de l’expertise technologique de la CNIL (Commission Nationale de l’Informatique et des Libertés)
  • Comment nos données de géolocalisation sont-elles partagées par les plateformes d’« ad exchange » ?
  • Armand Heslot : La plupart des espaces publicitaires sur les mobiles ou le Web sont effectivement vendus aux enchères par l’intermédiaire de réseaux de commercialisation de publicités, appelés plateformes d’« ad exchange ». Les échanges d’informations ayant lieu au sein de ces plateformes sont régis par des spécifications techniques élaborées par l’Interactive Advertising Bureau, une organisation regroupant les principaux acteurs de la publicité en ligne. J’invite d’ailleurs tous vos lecteurs à consulter la spécification « open RTB » (pour « real-time bidding », enchère en temps réel) de l’IAB. Ils y verront quels formats sont utilisés et surtout quels types d’information sur leur géolocalisation peuvent être transmises : leurs coordonnées GPS, leur adresse IP ou une localisation qu’ils ont eux-mêmes communiquée à un site ou une application.
  • Quelles sont les conséquences pour l’utilisateur d’une application sur smartphone ?
  • Armand Heslot : Une application que vous avez installée sur votre smartphone peut transférer aux annonceurs qui lui achètent des espaces publicitaires vos données de géolocalisation très précises, obtenues par l’intermédiaire du GPS de votre téléphone. Si vous désactivez la géolocalisation sur votre mobile ou si vous ne donnez pas les autorisations d’accès à la géolocalisation à une application, celle-ci ne pourra plus accéder à vos coordonnées GPS, mais elle pourra utiliser d’autre moyens pour avoir une estimation de votre localisation comme votre adresse IP ou l’adresse physique que vous avez déclarée en vous inscrivant sur cette application…
  • Ces transferts d’informations de géolocalisation ne sont pas encadrés par la loi ?
  • Armand Heslot : Si, la CNIL considère que la collecte de données de géolocalisation précises nécessite le consentement des personnes. Par ailleurs, la directive européenne  du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques, appelée également directive « ePrivacy » encadre la collecte des données sur mobile et sur le web (Cette directive est en pleine réécriture au niveau européen et devrait être transformée en un règlement). Elle a été traduite et transcrite dans le droit français en août 2011, et a donné lieu à la recommandation du 5 décembre 2013, dans laquelle la CNIL a estimé que la collecte et le transfert de telles données devaient faire l’objet d’un consentement de la part des internautes. Ce que la CNIL constate au travers de ses contrôles, c’est que même si des mécanismes de demande d’autorisation des utilisateurs sont mis en place, l’information est trop souvent incomplète, ce qui rend le consentement des personnes non valable.

Propos recueillis par Jacques Henno

 

 

Les principaux acteurs de l’« ad exchange »

  • AppNexus
  • DoubleClick (Google/Alphabet…)
  • Oath (marque réunissant AOL, Yahoo!…)
  • OpenX
  • Rubicon Project Exchange
  • Smaato

 

Sur RTL pour parler de Facebook et de nos données, qu’il utilise pour gagner de l’argent

J’étais l’invité lundi dernier, 18 septembre 2017, de la seconde partie de La curiosité est un vilain défaut, l’émission que Sidonie Bonnec et Thomas Hugues animent tous les jours de la semaine sur RTL, entre 14H et 15H.

Au programme : comment Facebook s’empare des données que nous lui confions en nous inscrivant et en utilisant ce réseau social  ; comment ils nous suit à la trace sur tous les sites Web disposant d’un bouton « J’aime » ; comment Facebook gagne de l’argent avec ces informations ; et pourquoi il est régulièrement pointé du doigt par la CNIL et d’autres agences européennes de protection des données…

Une émission à réécouter sur http://ift.tt/2jCkz8N (cliquez sur le fichier Facebook, en dessous de la photo des deux animateurs).

 

Les implants médicaux, futures cibles pour les pirates

Capture Les Echos 29 novembre 2016J’ai publié ce matin dans le quotidien Les Echos une enquête sur les appareils médicaux implantés dans le corps et qui  sont de plus en plus facilement piratables, comme l’ont révélé plusieurs études scientifiques. Les parades restent à mettre au point.

 

Très mauvaise nouvelle pour les millions de porteurs à travers le monde d’un stimulateur cardiaque, d’une pompe à insuline, d’électrodes pour la stimulation cérébrale profonde (utilisées pour soulager des douleurs chroniques ou pour atténuer les tremblements provoqués par la maladie de Parkinson) : ces implants sont facilement piratables. Avec des conséquences potentiellement dramatiques… La suite sur http://www.lesechos.fr/idees-debats/sciences-prospective/0211451070124-les-implants-medicaux-futures-cibles-pour-les-pirates-2046323.php

Cet article comprend également un encadré sur la discrétion observée par les fabricants de ces implants sur les risques de piratage qu’encourent leurs porteurs : http://www.lesechos.fr/idees-debats/sciences-prospective/0211451118962-des-fabricants-tres-discrets-2046307.php

Facebook : la CNIL inflige un camouflet à son équivalent irlandais

COUV_PREDATEURS_VALLEE_130x200_BAT_2Dès mai 2012, j’avais signalé à la CNIL que Facebook collectait des données sensibles (opinion politique, religion, pratiques sexuelles…) en toute illégalité. En réalité, à travers Facebook, c’est l’équivalent irlandais de la CNIL qui semble visé. Quelques jours après qu’Isabelle Falque-Pierrotin, la présidente de la CNIL, ait été réélue à la tête du G29, le groupe de travail qui rassemble les CNIL européennes…

La CNIL (Commission Nationale de l’Informatique et des Libertés) a, hier, publiquement mis en demeure Facebook de se conformer à la loi Informatique et Libertés.

La CNIL a relevé  cinq manquements à la législation française : 

• grâce à des cookies, le réseau social est capable de « suivre la navigation des internautes, à leur insu, sur des sites tiers [contenant un bouton Facebook même si ces Internautes] ne disposent pas de compte Facebook ». 

• Facebook dépose sur l’ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement.

• pour mieux connaître les centres d’intérêt de ses membres et leur afficher de la publicité ciblée, le réseau social « procède à la combinaison de toutes les données personnelles qu’il détient sur eux, [qu’elles soient] fournies par les internautes eux-mêmes, collectées par le site, par les autres sociétés du groupe ou transmises par des partenaires commerciaux. » Mais les Internautes ne peuvent pas s’opposer à cette regroupement de données.

• le site « transfère les données personnelles de ses membres aux Etats-Unis sur la base du Safe harbor », ce qui n’est plus possible depuis octobre 2015.

• Enfin, Facebook « ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. » 

Je suis étonné que la CNIL ne s’attaque à ce dernier problème que maintenant. En effet, dès mai 2012, j’avais signalé à la CNIL que Facebook collectait des données sensibles (opinion politique, religion, pratiques sexuelles…) en toute illégalité : « Facebook permet aux annonceurs de cibler les Internautes en fonction de leurs centres d’intérêt – déclarés ou supposés – pour certaines pratiques sexuelles ou pour la drogue. »

Contactée à l’époque, Sophie Nerbonne, directeur adjoint des affaires juridiques de la CNIL, m’avait alors confirmé qu’ «il s’agit d’une utilisation de données sensibles à des fins publicitaires. L’accord préalable des internautes à l’utilisation de ces données aurait dû être recueilli par Facebook. Et le réseau social ne peut pas s’abriter derrière les conditions générales d’utilisation que doit approuver tout nouvel Internaute qui s’inscrit à ses services : ce document ne peut pas suffire pour recueillir le consentement préalable à l’utilisation de données sensibles.»

Pourquoi a-t-il fallu attendre près de quatre ans pour que la CNIL réagisse ?

Le siège social de Facebook Europe étant en Ireland, c’est « the Office of the Data Protection Commissioner », l’équivalent irlandais de la CNIL, qui est plus particulièrement chargé du dossier Facebook. En mai 2012, j’avais d’ailleurs transmis à cet organisme les mêmes remarques qu’à la CNIL. Il s’en était suivi un long échange de mails avec the Office of the Data Protection Commissioner, échange qui s’était achevé en mars 2014 par un dernier message où je demandé aux représentants du Commissioner pourquoi la CNIL irlandaise était aussi indulgente avec le réseau social et quelles sanctions étaient prévues si celui-ci ne se respectait pas leurs demandes… 

En désespoir de cause, j’avais transmis tous ces documents à la CNIL française.

La mise en demeure de Facebook par la CNIL française constitue donc un sérieux camouflet pour le  Data Protection Commissioner irlandais, qui est, normalement, en charge de ce dossier.

Sollicité par courrier électronique, le  Data Protection Commissioner irlandais m’a répondu qu’il « n’avait pas de commentaire à faire sur cette affaire. »

L’assurance et les défis des objets connectés

Les assureurs veulent utiliser les informations collectées par les capteurs de nos voitures ou de nos maisons pour personnaliser les contrats. Mais n’osent pas toucher à leur offre santé. Pour l’instant

J’ai publié ce matin dans le quotidien les Echos une enquête sur l’intérêt que les compagnies d’assurances portent aux objets connectés :

« Grâce aux capteurs dont ils sont équipés, ces objets produisent des données, beaucoup de données […] Ces objets, et les informations qu’ils transmettent sur nos comportements, intéressent au premier chef les assureurs, désireux de toujours mieux évaluer nos profils : jeune conducteur prudent, homme de cinquante-cinq ans sédentaire, citadin qui ne branche jamais l’alarme de son domicile, etc. »

Vous pouvez lire la suite sur http://www.lesechos.fr/idees-debats/sciences-prospective/0204190147952-pourquoi-les-objets-connectes-font-rever-les-compagnies-dassurances-1098284.php?fyoLBWxD24wTtpw3.99

Cet article compote également un encadré sur une start-up américaine qui invite les propriétaires de smartphones à se fixer des objectifs hebdomadaires en termes d’alimentation ou de pratique du sport : si les objectifs sont atteints, l’internaute perçoit une récompense de quelques dollars ; sinon, il doit verser une amende ! Ce système de « carotte/bâton » préfigure-t-il nos futures relations avec la Sécurité Sociale ou notre mutuelle ? Vous pouvez lire « Punir ou récompenser » en cliquant sur le lien suivant : http://www.lesechos.fr/journal20150303/lec1_idees_et_debats/0204193507679-punir-ou-recompenser-1098152.php

Comment Uber tente de faire taire les critiques sur sa collecte de données

La start-up était critiquée pour les données qu’elle collectait sur ses clients ? Ses dirigeants répliquent par un plan de communication démontrant que les informations recueillies par Uber peuvent aider à améliorer le fonctionnement des grandes villes.

A la fin de l’année dernière, Uber, la société de San Francisco, spécialisée dans les véhicules avec chauffeur, a dû faire face à de très nombreuses critiques sur sa collecte d’information (lire : « Uber en sait-il plus sur nous que Facebook ? Ou une autre raison d’apprendre à nos enfants à respecter la vie privée »).

Quelques semaines plus tard, les dirigeants de la start-up californienne pensent avoir trouvé la parade sous la forme d’un plan de communication mettant en avant l’intérêt, pour la gestion des villes, de données recueillies par Uber.

Le Wall Street Journal (http://blogs.wsj.com/digits/2015/01/13/uber-offers-trip-data-to-cities-starting-in-boston/), le Washington Post (http://www.washingtonpost.com/blogs/wonkblog/wp/2015/01/13/uber-offers-cities-an-olive-branch-its-valuable-trip-data/), le New York Times (http://www.nytimes.com/aponline/2015/01/14/us/ap-us-boston-uber.html?_r=0), le Monde (http://siliconvalley.blog.lemonde.fr/2015/01/14/uber-accepte-de-fournir-les-donnees-de-navigation-aux-autorites/), entre autres, ont relaté au cours des derniers jours, comment Uber allait mettre à la disposition des grandes villes américaines des données anonymisées. Ces informations (heure et code postal de départ, heure et code postal d’arrivée) sont censées aider les mairies à mieux planifier leurs travaux (construction de nouvelles infrastructures – routes, transports en commun… – entretien de la voirie…).

En communication de crise, cela s’appelle prendre son interlocuteur à contre-pied : « Vous nous critiquez pour notre collecte de données ? Voyez comment ces données peuvent être utiles à la collectivité ». Le pire c’est que cela semble marcher !

 

Rendez-nous nos données !

J’ai publié ce matin dans les Echos une enquête sur la protection des données personnelles sur le Web, un enjeu crucial pour les années à venir, les internautes se montrant de plus en plus sensibles à l’utilisation de ces informations. Réseaux sociaux, entreprises et chercheurs travaillent à des solutions.

En savoir plus sur http://www.lesechos.fr/journal20141125/lec1_idees_et_debats/0203904882078-proteger-la-vie-privee-un-business-davenir-1067705.php?YRkPceERb6D2HP16.99

Cet article comprend également deux encadrés :

• une interview de la présidente de la CNIL (Commission Nationale de l’Informatique et des Libertés), Isabelle Falque-Pierrotin : « Ceux qui pensent être propriétaires de nos données se trompent »

En savoir plus sur http://www.lesechos.fr/idees-debats/sciences-prospective/0203937716964-isabelle-falque-pierrotin-ceux-qui-pensent-etre-proprietaires-de-nos-donnees-se-trompent-1067857.php?h37KD1tc88re4wRA.99

• Héberger ses données chez soi

En savoir plus sur http://www.lesechos.fr/journal20141125/lec1_idees_et_debats/0203904882396-heberger-ses-donnees-chez-soi-1067774.php