Archives de catégorie : Silicon Valley / Prédateurs Vallée ?

Deux livres à lire ou à relire pour comprendre le programme d'espionnage américain révélé par The Guardian et The Washington Post

The Guardian et The Washington Post viennent de révéler que la NSA (National Security Agency), l’agence américaine chargée des écoutes électroniques avait directement accès aux serveurs d’Apple, Facebook, Google, Microsoft, Skype et autre Yahoo! pour espionner des citoyens du monde entier. C’est-à-dire n’importe lequel d’entre nous !
Officiellement, ces écoutes visent à lutter contre le terrorisme, mais les données collectées pourraient tout aussi bien être utilisées pour l’espionnage économique ou la surveillance politique.
Les grandes oreilles de l’Oncle Sam ont accès à l’historique de nos recherches sur Google, aux courriers électroniques que nous échangeons sur Yahoo!, aux vidéos que nous publions sur YouTube ou aux photos que nous archivons sur Picasa dans le cadre d’un programme de surveillance appelé Prism, qui est le descendant du programme TIA (Total Information Awareness : Surveillance Totale) que je décris dans mon livre Tous Fichés : l’incroyable projet américain pour déjouer les attentats terroristes (Editions Télémaque novembre 2005).
Ce programme de «Surveillance totale», initié après les attentats du 11 septembre 2001, visait à constituer des fiches sur chaque habitant de la planète pour  détecter, dans nos agissements, les signes annonçant la préparation d’attentats terroristes.
Une des retombées de ce programme de recherche fut la réquisition par les autorités américaines des données des passagers : depuis novembre 2001, toutes les compagnies aériennes qui desservent ou qui survolent les Etats-Unis doivent communiquer toutes les informations qu’elles possèdent sur les passagers de chacun de leurs vols (nom, adresse, email, numéro de carte bancaire, passagers voyageant avec eux, préférences alimentaires…).
Puis les autorités américaines ont étendu ces réquisitions aux données des grands acteurs américains de l’Internet. Dans mon livre Silicon Valley / Prédateurs vallée ? Comment Apple, Facebook, Google et les autres s’emparent de nos données (Editions Télémaque novembre 2011), je raconte que ces entreprises savent… tout de nous !
Près d’un milliard de Terriens utilisent les services de Google ou de Facebook. A travers les mots clés que nous tapons lors de nos recherches, Google sait quelles maladies nous avons (il est capable de prédire les épidémies de grippe avec trois jours d’avance sur les observatoires officiels de la grippe qui existent dans les pays développés), pour qui nous votons, nos croyances, nos préférences alimentaires, etc.

Demain à Paris pour une table-ronde «Donner ses données ou vendre sa vie ?»

Je participerai demain lundi 18 mars 2013 à une table-ronde «Donner ses données ou vendre sa vie ?», animée par Nicolas Arpagian (Rédacteur en Chef, Prospective Stratégique), devant un public composé d’auditeurs de la session nationale « Sécurité Economique » de l’INHESJ (Institut National des Hautes Etudes de la Sécurité et de la Justice http://www.inhesj.fr/fr), ainsi que d’étudiants de l’école d’ingénieurs EPITA.

Notre navigation quotidienne sur le Net génère des données de connexion. Et notre participation à des médias sociaux nous incite à laisser des traces numériques, largement exploitées par les gestionnaires de sites Internet. Au point de leur permettre de constituer des bases de données à l’échelle planétaire. Quelle est la véritable valeur de ses données personnelles? Comment ces firmes multinationales ont-elles acquis en quelques années par la qualité de leurs services la puissance économique et technique autrefois réservées aux Etats? Quel avenir pour la sphère privée dans un univers omniconnecté? Sur Internet, sommes-nous devenus désormais le produit à vendre ?

Je serai aux côtés de :

• Benoît Tabaka, directeur affaires publiques, Google ;

• Gwendal Le Grand, Chef du service Expertise informatique, CNIL ;

• Alexandre Quintard-Kaigre, chargé de mission Affaires

publiques & juridiques, Mission Etalab – Service du Premier

ministre ;

• Marie Moin, Responsable des enseignements juridiques, EPITA.

Ecole Militaire – Amphithéâtre De Bourcet 1 place Joffre, 75007 Paris – M° Ecole Militaire

Demain soir à Valence (26) pour intervenir sur le thème «Facebook et les réseaux sociaux : amis ou ennemis des internautes et de leur vie privée ?»

Je serai demain soir, mardi 20 novembre 2012, 20H à Valence (26) pour intervenir sur le thème «Facebook et les réseaux sociaux : amis ou ennemis des internautes et de leur vie privée ?»

Avec plus d’un milliard d’utilisateurs dans le monde, Facebook est devenu un petit Internet à lui tout seul. Bien utilisé, c’est un formidable outil de communication. Mais c’est avant tout une entreprise commerciale qui vit de la publicité et qui n’a qu’un seul objectif : siphonner un maximum d’informations.

A l’invitation de l’Université Populaire de l’Agglomération Valentinoise.

La conférence aura lieu :

– à 20H00
– au Conseil Général de la Drôme‎, Hôtel du département
26 Avenue du Président Herriot, 26026 Valence


View Larger Map

« Facebook Ads and Sexuality / Drugs » – Part 2

The results of my investigation on Facebook ads, which target the interests of Facebook users in certain sexual practices or in drug.
Eleven days ago, I published an article about the strange discovery I had just made: Facebook allows advertisers to target users based on their interests – expressed or implied – in certain sexual practices or in drugs.

I reported my discovery to the CNIL (Commission Nationale de l’Informatique et des Libertés – an independent French administrative authority whose mission is to ensure that data privacy law is applied to the collection, storage, and use of personal data), which confirmed my concerns.  Sophie NerbonneDeputy DirectorLegal, IT and International AffairsCNIL, said during a telephone interview: «this is a use of sensitive data for advertising purposes. Facebook should have collected the approval of its users before using their sensitive data. And the social network cannot hide behind the terms and conditions that must be approved by any new user who signs up for its services: this document is not sufficient to obtain consent prior to the use of sensitive data.»

The Article 29 Data Protection Working Group (G29), which is made up of a representative from the data protection authority of each EU Member State, the European Data Protection Supervisor and the European Commission, recommends even banning all advertising using sensitive data.

I also contacted the Office of the Data Protection Commissioner (ODPC), which, in Ireland, is responsible for the enforcement and monitoring of compliance with data protection legislation. Among European Data protection authorities, the ODPC is specifically responsible for the Facebook case, as the European headquarters of the social network is located in Dublin. Catriona Holohan, Press Officer, Office of the Data Protection Commissioner, answered my questions by e-mail: «the issue of how Facebook-Ireland uses information provided by users to target advertisements was raised during our audit of the company.  […] The relevant extract from the audit report reads: « […] Facebook-Ireland undertakes to clarify its policy in this respect, which is to allow targeting on the basis of keywords entered by the advertiser but not allow targeting based upon the described categories of sensitive data ». * As indicated in the audit report (page 4), we will be formally reviewing implementation of this and other recommendations in July 2012.»

And I sent my text to the Center for Democracy & Technology (CDT) a Washington, D.C. based 501 non-profit organization, which campaigns to enhance free expression and privacy in communications technologies. For Justin Brookman, Director, Consumer Privacy, CDT, this issue is not clear cut. «In the US we really don’t have many substantive privacy laws, so unless Facebook affirmatively promises *not* to target based on these sensitive categories, it’s probably legal, at least from a privacy perspective. »
However, Facebook Advertising Guidelines say** (the emphases are mine):

«B.    Attribution

Ad text may not assert or imply, directly or indirectly, within the ad content or by targeting, a user’s personal characteristics within the following categories:

i.    race or ethnic origin;

ii.    religion or philosophical belief;

iii.    age;

iv.    sexual orientation or sexual life;

v.    gender identity;

vi.    disability or medical condition (including physical or mental health);

vii.    financial status or information;

viii.    membership in a trade union; and

ix.    criminal record.»

For Justin Brookman, Director, Consumer Privacy, CDT, Facebook Advertising Guidelines are ambiguous: «I’m not sure of the details of how Facebook advertising platform works, but it may be the case that it’s just a platform that Facebook doesn’t pre-screen all the potential categories of advertising — they just organically populate, and they leave it to the developers to *not* target based on potentially offensive categories.  I’m sympathetic to the idea that Facebook shouldn’t be legally obligated to pre-screen all potential keywords that might derive — as long as they don’t go out of their way to tell their users that they won’t be advertised based on those categories.  However, you could make the argument that by having developer rules in place, FB has some responsibility for enforcing those rules, even absent consumer-facing disclosures.»

____

Despite my repeated requests since May 16, 2012, Facebook has not answered my questions about this targeting based on sensitive categories.

Jacques Henno

____

Sources:

* Page 50 of audit report available on the ODPC website at
http://dataprotection.ie/viewdoc.asp?DocID=1182&m=f

**www.facebook.com/ad_guidelines.php

"Facebook Ads and Sexuality / Drugs" – Part 2

The results of my investigation on Facebook ads, which target the interests of Facebook users in certain sexual practices or in drug.
Eleven days ago, I published an article about the strange discovery I had just made: Facebook allows advertisers to target users based on their interests – expressed or implied – in certain sexual practices or in drugs.

I reported my discovery to the CNIL (Commission Nationale de l’Informatique et des Libertés – an independent French administrative authority whose mission is to ensure that data privacy law is applied to the collection, storage, and use of personal data), which confirmed my concerns.  Sophie NerbonneDeputy DirectorLegal, IT and International AffairsCNIL, said during a telephone interview: «this is a use of sensitive data for advertising purposes. Facebook should have collected the approval of its users before using their sensitive data. And the social network cannot hide behind the terms and conditions that must be approved by any new user who signs up for its services: this document is not sufficient to obtain consent prior to the use of sensitive data.»

The Article 29 Data Protection Working Group (G29), which is made up of a representative from the data protection authority of each EU Member State, the European Data Protection Supervisor and the European Commission, recommends even banning all advertising using sensitive data.

I also contacted the Office of the Data Protection Commissioner (ODPC), which, in Ireland, is responsible for the enforcement and monitoring of compliance with data protection legislation. Among European Data protection authorities, the ODPC is specifically responsible for the Facebook case, as the European headquarters of the social network is located in Dublin. Catriona Holohan, Press Officer, Office of the Data Protection Commissioner, answered my questions by e-mail: «the issue of how Facebook-Ireland uses information provided by users to target advertisements was raised during our audit of the company.  […] The relevant extract from the audit report reads: « […] Facebook-Ireland undertakes to clarify its policy in this respect, which is to allow targeting on the basis of keywords entered by the advertiser but not allow targeting based upon the described categories of sensitive data ». * As indicated in the audit report (page 4), we will be formally reviewing implementation of this and other recommendations in July 2012.»

And I sent my text to the Center for Democracy & Technology (CDT) a Washington, D.C. based 501 non-profit organization, which campaigns to enhance free expression and privacy in communications technologies. For Justin Brookman, Director, Consumer Privacy, CDT, this issue is not clear cut. «In the US we really don’t have many substantive privacy laws, so unless Facebook affirmatively promises *not* to target based on these sensitive categories, it’s probably legal, at least from a privacy perspective. »
However, Facebook Advertising Guidelines say** (the emphases are mine):

«B.    Attribution

Ad text may not assert or imply, directly or indirectly, within the ad content or by targeting, a user’s personal characteristics within the following categories:

i.    race or ethnic origin;

ii.    religion or philosophical belief;

iii.    age;

iv.    sexual orientation or sexual life;

v.    gender identity;

vi.    disability or medical condition (including physical or mental health);

vii.    financial status or information;

viii.    membership in a trade union; and

ix.    criminal record.»

For Justin Brookman, Director, Consumer Privacy, CDT, Facebook Advertising Guidelines are ambiguous: «I’m not sure of the details of how Facebook advertising platform works, but it may be the case that it’s just a platform that Facebook doesn’t pre-screen all the potential categories of advertising — they just organically populate, and they leave it to the developers to *not* target based on potentially offensive categories.  I’m sympathetic to the idea that Facebook shouldn’t be legally obligated to pre-screen all potential keywords that might derive — as long as they don’t go out of their way to tell their users that they won’t be advertised based on those categories.  However, you could make the argument that by having developer rules in place, FB has some responsibility for enforcing those rules, even absent consumer-facing disclosures.»

____

Despite my repeated requests since May 16, 2012, Facebook has not answered my questions about this targeting based on sensitive categories.

Jacques Henno

____

Sources:

* Page 50 of audit report available on the ODPC website at
http://dataprotection.ie/viewdoc.asp?DocID=1182&m=f

**www.facebook.com/ad_guidelines.php

“Publicités Facebook et Sexualité/Drogue” – Episode 2


Les suites de mon enquête sur les publicités Facebook qui permettent de cibler l’intérêt des internautes pour certaines pratiques sexuelles ou pour la drogue.


Il y a onze jours, j’ai publié ici même un article relatant l’étrange découverte que j’avais faite : Facebook permet aux annonceurs de cibler les internautes en fonction de leurs centres d’intérêt – déclarés ou supposés – pour certaines pratiques sexuelles ou pour la drogue.


J’avais transmis ces informations à la CNIL (Commission Nationale de l’Informatique et des Libertés) qui a confirmé mes inquiétudes. «Il s’agit d’une utilisation de données sensibles à des fins publicitaires, constate Sophie Nerbonne, directeur adjoint des affaires juridiques de la CNIL. L’accord préalable des internautes à l’utilisation de ces données aurait dû être recueilli par Facebook. Et le réseau social ne peut pas s’abriter derrière les conditions générales d’utilisation que doit approuver tout nouvel internaute qui s’inscrit à ses services : ce document ne peut pas suffire pour recueillir le consentement préalable à l’utilisation de données sensibles.» La CNIL insiste sur le fait que le G 29, un groupe de travail qui rassemble les CNIL européennes, voudrait aller encore plus loin : «Il recommande tout simplement l’interdiction des publicités utilisant des données sensibles», cite Sophie Nerbonne.

J’ai également contacté l’équivalent irlandais de la CNIL, the Office of the Data Protection Commissioner. Au sein du G 29, cet organisme est plus particulièrement chargé du dossier Facebook, puisque le siège social du réseau social, est, en Europe, installé à Dublin. «Le problème de la façon dont Facebook-Ireland utilise les informations fournies par ses utilisateurs pour cibler les publicités, a été soulevé lors de notre audit de l’entreprise, rappelle Catriona Holohan, du service communication du Office of the Data Protection Commissioner. […] Voici ce qu’en dit notre rapport : “Facebook a accepté de clarifier sa politique en ce sens, c’est-à-dire de permettre de cibler les publicités en fonction de mots-clés entrés par l’annonceur, mais de ne pas permettre le ciblage en fonction de catégories de données sensibles [définies par la CNIL irlandaise].”*»

Or, en Irlande, sont, entre autres, considérées comme données personnelles sensibles : «la santé ou la condition physique ou mentale de la personne ou sa vie sexuelle». Normalement, Facebook-Ireland a jusqu’en juillet pour se conformer à la demande du Office of the Data Protection Commissioner.

Enfin, j’ai soumis mes recherches au CDT (Center for Democracy & Technology) une ONG de Washington, qui milite pour le respect de la liberté d’expression et de la vie privée par les nouvelles technologies. Pour le CDT, le comportement de Facebook n’est pas clair. «Nous n’avons pas, aux Etats-Unis, beaucoup de lois de fond sur la confidentialité des données, déclare Justin Brookman, responsable, au sein du CDT, de la vie privée des consommateurs. Ce qui fait que, à moins que Facebook affirme qu’il s’engage à ne pas faire de ciblage à partir de ces catégories sensibles, c’est probablement légal, en tout cas du point de vue de la vie privée.»

Or, les règles de Facebook stipulent bien** :

«Le texte publicitaire ne doit pas faire valoir ou impliquer, directement ou indirectement, dans le contenu de la publicité ou en les ciblant, les caractéristiques personnelles d’un utilisateur entrant dans les catégories suivantes :

i. race ou origine ethnique ;

ii. religion ou croyances philosophiques ;

iii. âge ;

iv. orientation sexuelle ou vie sexuelle ;

v. identité sexuelle ;

vi. handicap ou état médical (notamment la santé physique ou mentale) ;

vii. état financier ou informations financières ;

viii. appartenance à un syndicat ; et

ix. casier judiciaire»

Pour l’instant, et malgré mes demandes répétées depuis le 16 mai 2012, Facebook n’a pas répondu à mes questions.

Sources :


Instagram : pourquoi Facebook s’offre un album-photo à 1 milliard de dollars

Hier Mark Zuckerberg, le patron de Facebook, a lui-même annoncé que son réseau social allait racheter Instagram, un site de partage de photos pour mobiles, pour 1 milliard de dollars (764 millions d’euros).

Cette acquisition entre parfaitement dans la stratégie de développement de Facebook que j’ai décrite dans mon livre « Silicon Valley / Prédateurs Vallée ? Comment Apple, Facebook, Google et les autres s’emparent de nos données« .

Dans cette enquête, je détaille le modèle économique de Facebook, basé sur la publicité ciblée et donc sur la nécessité pour cette entreprise d’accumuler le plus d’informations sur chacun d’entre nous en vue de connaître nos centres d’intérêts.

Cette stratégie met le réseau de Mark Zuckerberg :

  1. en concurrence frontale avec Google, dont le modèle économique est similaire et qui a lancé l’an dernier son propre réseau social, Google + ;
  2. dans l’obligation de développer ses services sur mobiles, car de plus en plus d’internautes utilisent Facebook à partir d’un smartphone ou d’une tablette : déjà sur 845 millions d’abonnés, la moitié s’y connecte depuis un « appareil mobile »
  3. dans la nécessité de pousser plus loin encore l’analyse des photos que nous publions. 250 millions de photos sont publiées tous les jours sur Facebook. Nous écrivons de moins en moins de textes sur le réseau social, mais nous y publions toujours plus de photos, en particulier à partir de notre téléphone portable. Cela signifie que si Facebook veut continuer à cerner nos centres d’intérêt (et, donc, pouvoir nous envoyer des publicités personnalisées), l’entreprise doit analyser ce qui se passe dans nos clichés : où ont-ils été pris, qui y figure, quelles marques apparaissent…

Le rachat d’Instagram cadre parfaitement avec cette stratégie et explique sans doute pourquoi Facebook a accepté de débourser 1 milliard de dollars pour une start-up qui n’a ni chiffre d’affaires, ni bénéfice, emploie une quinzaine de personnes, mais compterait une trentaine de millions d’utilisateurs dans le monde :

  1. jusqu’à la semaine dernière, Instagram n’était disponible que sous la forme d’une application pour les iPhone d’Apple. Mais début avril, la jeune pousse a sorti une application tournant sur les téléphones portables équipés de Google Android, le système d’exploitation pour smart phones mis au point par Google. Le géant de Mountain View, à la recherche de leviers pour accélérer le développement de Google +, s’intéressait, lui aussi, à Instagram. Mark Zuckerberg a sans doute voulu couper l’herbe sous le pied à son grand rival ;
  2. Instagram va permettre au célèbre réseau social d’enrichir instantanément son offre de services pour ses utilisateurs de téléphone mobile ;
  3. l’analyse des photos : Instagram fonctionne sur des smartphones (iPhone, Google Android) dotés de GPS qui enregistrent automatiquement l’endroit où a été prise la photo ; le filtre choisi pour retoucher les clichés pourrait peut-être en dire beaucoup sur l’humeur du moment de l’utilisateur ;
  4. Mark Zuckerberg et Kevin Systrom, le patron d’Instagram, se sont engagés à maintenir Instagram comme un service indépendant de Facebook, grâce auquel nous pourrons continuer à partager nos photos avec les abonnés d’autres réseaux sociaux (Twitter…). Facebook pourra-t-il se servir d’Instagram comme d’une sorte de Cheval de Troie pour espionner nos agissements sur les autres réseaux ?  Les règles de confidentialité d’Instagram précisent que la start-up peut partager nos informations personnelles avec des entreprises « partenaires » ou « associées » : «Instagram discloses potentially personally-identifying and personally-identifying information only to those of its employees, contractors and affiliated organizations that (i) need to know that information in order to process it on Instagram’s behalf or to provide services available at Instagram’s websites, and (ii) that have agreed not to disclose it to others.*»

*Source : http://instagram.com/legal/privacy/

Instagram : pourquoi Facebook s'offre un album-photo à 1 milliard de dollars

Hier Mark Zuckerberg, le patron de Facebook, a lui-même annoncé que son réseau social allait racheter Instagram, un site de partage de photos pour mobiles, pour 1 milliard de dollars (764 millions d’euros).

Cette acquisition entre parfaitement dans la stratégie de développement de Facebook que j’ai décrite dans mon livre « Silicon Valley / Prédateurs Vallée ? Comment Apple, Facebook, Google et les autres s’emparent de nos données« .

Dans cette enquête, je détaille le modèle économique de Facebook, basé sur la publicité ciblée et donc sur la nécessité pour cette entreprise d’accumuler le plus d’informations sur chacun d’entre nous en vue de connaître nos centres d’intérêts.

Cette stratégie met le réseau de Mark Zuckerberg :

  1. en concurrence frontale avec Google, dont le modèle économique est similaire et qui a lancé l’an dernier son propre réseau social, Google + ;
  2. dans l’obligation de développer ses services sur mobiles, car de plus en plus d’internautes utilisent Facebook à partir d’un smartphone ou d’une tablette : déjà sur 845 millions d’abonnés, la moitié s’y connecte depuis un « appareil mobile »
  3. dans la nécessité de pousser plus loin encore l’analyse des photos que nous publions. 250 millions de photos sont publiées tous les jours sur Facebook. Nous écrivons de moins en moins de textes sur le réseau social, mais nous y publions toujours plus de photos, en particulier à partir de notre téléphone portable. Cela signifie que si Facebook veut continuer à cerner nos centres d’intérêt (et, donc, pouvoir nous envoyer des publicités personnalisées), l’entreprise doit analyser ce qui se passe dans nos clichés : où ont-ils été pris, qui y figure, quelles marques apparaissent…

Le rachat d’Instagram cadre parfaitement avec cette stratégie et explique sans doute pourquoi Facebook a accepté de débourser 1 milliard de dollars pour une start-up qui n’a ni chiffre d’affaires, ni bénéfice, emploie une quinzaine de personnes, mais compterait une trentaine de millions d’utilisateurs dans le monde :

  1. jusqu’à la semaine dernière, Instagram n’était disponible que sous la forme d’une application pour les iPhone d’Apple. Mais début avril, la jeune pousse a sorti une application tournant sur les téléphones portables équipés de Google Android, le système d’exploitation pour smart phones mis au point par Google. Le géant de Mountain View, à la recherche de leviers pour accélérer le développement de Google +, s’intéressait, lui aussi, à Instagram. Mark Zuckerberg a sans doute voulu couper l’herbe sous le pied à son grand rival ;
  2. Instagram va permettre au célèbre réseau social d’enrichir instantanément son offre de services pour ses utilisateurs de téléphone mobile ;
  3. l’analyse des photos : Instagram fonctionne sur des smartphones (iPhone, Google Android) dotés de GPS qui enregistrent automatiquement l’endroit où a été prise la photo ; le filtre choisi pour retoucher les clichés pourrait peut-être en dire beaucoup sur l’humeur du moment de l’utilisateur ;
  4. Mark Zuckerberg et Kevin Systrom, le patron d’Instagram, se sont engagés à maintenir Instagram comme un service indépendant de Facebook, grâce auquel nous pourrons continuer à partager nos photos avec les abonnés d’autres réseaux sociaux (Twitter…). Facebook pourra-t-il se servir d’Instagram comme d’une sorte de Cheval de Troie pour espionner nos agissements sur les autres réseaux ?  Les règles de confidentialité d’Instagram précisent que la start-up peut partager nos informations personnelles avec des entreprises « partenaires » ou « associées » : «Instagram discloses potentially personally-identifying and personally-identifying information only to those of its employees, contractors and affiliated organizations that (i) need to know that information in order to process it on Instagram’s behalf or to provide services available at Instagram’s websites, and (ii) that have agreed not to disclose it to others.*»

*Source : http://instagram.com/legal/privacy/