Archives de catégorie : Vie privée

"Facebook Ads and Sexuality / Drugs" – Part 2

The results of my investigation on Facebook ads, which target the interests of Facebook users in certain sexual practices or in drug.
Eleven days ago, I published an article about the strange discovery I had just made: Facebook allows advertisers to target users based on their interests – expressed or implied – in certain sexual practices or in drugs.

I reported my discovery to the CNIL (Commission Nationale de l’Informatique et des Libertés – an independent French administrative authority whose mission is to ensure that data privacy law is applied to the collection, storage, and use of personal data), which confirmed my concerns.  Sophie NerbonneDeputy DirectorLegal, IT and International AffairsCNIL, said during a telephone interview: «this is a use of sensitive data for advertising purposes. Facebook should have collected the approval of its users before using their sensitive data. And the social network cannot hide behind the terms and conditions that must be approved by any new user who signs up for its services: this document is not sufficient to obtain consent prior to the use of sensitive data.»

The Article 29 Data Protection Working Group (G29), which is made up of a representative from the data protection authority of each EU Member State, the European Data Protection Supervisor and the European Commission, recommends even banning all advertising using sensitive data.

I also contacted the Office of the Data Protection Commissioner (ODPC), which, in Ireland, is responsible for the enforcement and monitoring of compliance with data protection legislation. Among European Data protection authorities, the ODPC is specifically responsible for the Facebook case, as the European headquarters of the social network is located in Dublin. Catriona Holohan, Press Officer, Office of the Data Protection Commissioner, answered my questions by e-mail: «the issue of how Facebook-Ireland uses information provided by users to target advertisements was raised during our audit of the company.  […] The relevant extract from the audit report reads: « […] Facebook-Ireland undertakes to clarify its policy in this respect, which is to allow targeting on the basis of keywords entered by the advertiser but not allow targeting based upon the described categories of sensitive data ». * As indicated in the audit report (page 4), we will be formally reviewing implementation of this and other recommendations in July 2012.»

And I sent my text to the Center for Democracy & Technology (CDT) a Washington, D.C. based 501 non-profit organization, which campaigns to enhance free expression and privacy in communications technologies. For Justin Brookman, Director, Consumer Privacy, CDT, this issue is not clear cut. «In the US we really don’t have many substantive privacy laws, so unless Facebook affirmatively promises *not* to target based on these sensitive categories, it’s probably legal, at least from a privacy perspective. »
However, Facebook Advertising Guidelines say** (the emphases are mine):

«B.    Attribution

Ad text may not assert or imply, directly or indirectly, within the ad content or by targeting, a user’s personal characteristics within the following categories:

i.    race or ethnic origin;

ii.    religion or philosophical belief;

iii.    age;

iv.    sexual orientation or sexual life;

v.    gender identity;

vi.    disability or medical condition (including physical or mental health);

vii.    financial status or information;

viii.    membership in a trade union; and

ix.    criminal record.»

For Justin Brookman, Director, Consumer Privacy, CDT, Facebook Advertising Guidelines are ambiguous: «I’m not sure of the details of how Facebook advertising platform works, but it may be the case that it’s just a platform that Facebook doesn’t pre-screen all the potential categories of advertising — they just organically populate, and they leave it to the developers to *not* target based on potentially offensive categories.  I’m sympathetic to the idea that Facebook shouldn’t be legally obligated to pre-screen all potential keywords that might derive — as long as they don’t go out of their way to tell their users that they won’t be advertised based on those categories.  However, you could make the argument that by having developer rules in place, FB has some responsibility for enforcing those rules, even absent consumer-facing disclosures.»

____

Despite my repeated requests since May 16, 2012, Facebook has not answered my questions about this targeting based on sensitive categories.

Jacques Henno

____

Sources:

* Page 50 of audit report available on the ODPC website at
http://dataprotection.ie/viewdoc.asp?DocID=1182&m=f

**www.facebook.com/ad_guidelines.php

“Publicités Facebook et Sexualité/Drogue” – Episode 2


Les suites de mon enquête sur les publicités Facebook qui permettent de cibler l’intérêt des internautes pour certaines pratiques sexuelles ou pour la drogue.


Il y a onze jours, j’ai publié ici même un article relatant l’étrange découverte que j’avais faite : Facebook permet aux annonceurs de cibler les internautes en fonction de leurs centres d’intérêt – déclarés ou supposés – pour certaines pratiques sexuelles ou pour la drogue.


J’avais transmis ces informations à la CNIL (Commission Nationale de l’Informatique et des Libertés) qui a confirmé mes inquiétudes. «Il s’agit d’une utilisation de données sensibles à des fins publicitaires, constate Sophie Nerbonne, directeur adjoint des affaires juridiques de la CNIL. L’accord préalable des internautes à l’utilisation de ces données aurait dû être recueilli par Facebook. Et le réseau social ne peut pas s’abriter derrière les conditions générales d’utilisation que doit approuver tout nouvel internaute qui s’inscrit à ses services : ce document ne peut pas suffire pour recueillir le consentement préalable à l’utilisation de données sensibles.» La CNIL insiste sur le fait que le G 29, un groupe de travail qui rassemble les CNIL européennes, voudrait aller encore plus loin : «Il recommande tout simplement l’interdiction des publicités utilisant des données sensibles», cite Sophie Nerbonne.

J’ai également contacté l’équivalent irlandais de la CNIL, the Office of the Data Protection Commissioner. Au sein du G 29, cet organisme est plus particulièrement chargé du dossier Facebook, puisque le siège social du réseau social, est, en Europe, installé à Dublin. «Le problème de la façon dont Facebook-Ireland utilise les informations fournies par ses utilisateurs pour cibler les publicités, a été soulevé lors de notre audit de l’entreprise, rappelle Catriona Holohan, du service communication du Office of the Data Protection Commissioner. […] Voici ce qu’en dit notre rapport : “Facebook a accepté de clarifier sa politique en ce sens, c’est-à-dire de permettre de cibler les publicités en fonction de mots-clés entrés par l’annonceur, mais de ne pas permettre le ciblage en fonction de catégories de données sensibles [définies par la CNIL irlandaise].”*»

Or, en Irlande, sont, entre autres, considérées comme données personnelles sensibles : «la santé ou la condition physique ou mentale de la personne ou sa vie sexuelle». Normalement, Facebook-Ireland a jusqu’en juillet pour se conformer à la demande du Office of the Data Protection Commissioner.

Enfin, j’ai soumis mes recherches au CDT (Center for Democracy & Technology) une ONG de Washington, qui milite pour le respect de la liberté d’expression et de la vie privée par les nouvelles technologies. Pour le CDT, le comportement de Facebook n’est pas clair. «Nous n’avons pas, aux Etats-Unis, beaucoup de lois de fond sur la confidentialité des données, déclare Justin Brookman, responsable, au sein du CDT, de la vie privée des consommateurs. Ce qui fait que, à moins que Facebook affirme qu’il s’engage à ne pas faire de ciblage à partir de ces catégories sensibles, c’est probablement légal, en tout cas du point de vue de la vie privée.»

Or, les règles de Facebook stipulent bien** :

«Le texte publicitaire ne doit pas faire valoir ou impliquer, directement ou indirectement, dans le contenu de la publicité ou en les ciblant, les caractéristiques personnelles d’un utilisateur entrant dans les catégories suivantes :

i. race ou origine ethnique ;

ii. religion ou croyances philosophiques ;

iii. âge ;

iv. orientation sexuelle ou vie sexuelle ;

v. identité sexuelle ;

vi. handicap ou état médical (notamment la santé physique ou mentale) ;

vii. état financier ou informations financières ;

viii. appartenance à un syndicat ; et

ix. casier judiciaire»

Pour l’instant, et malgré mes demandes répétées depuis le 16 mai 2012, Facebook n’a pas répondu à mes questions.

Sources :


Google étend sa mainmise sur nos données

Dans un billet publié hier sur son blog officiel, le moteur de recherche Google a annoncé qu’il se réservait désormais le droit de nous pister à travers tous les sites qu’il gère (YouTube, Gmail, Google +, Google Documents, Google News…), afin de nous proposer des publicités toujours plus ciblées.


A la page 37 de mon livre « Silicon Valley /Prédateurs Vallée ? », je rappelle qu’«un document interne [à Google] estime que toutes les données que [Google] accumule sur nous constituent « la meilleure source d’informations sur les centre d’intérêts des utilisateurs que l’on puisse trouver sur Internet. Aucune autre entreprise ne peut faire aussi bien »*.»

Et, toujours dans mon livre, je demande «combien de temps Larry Page et Sergey Brin [les deux patrons de Google] vont-ils résister à la tentation d’utiliser toutes ces données –  ce que nous faisons sur le moteur de recherche et ce que nous faisons en utilisant les services personnalisés de Google (Gmail, Picasa, Google Documents, Google Maps…) – pour nous envoyer des publicités extrêmement ciblées ?»

La réponse est tombée hier : à partir du 1er mars 2012, Google pourra suivre, au cours de leurs pérégrinations à travers tous les sites (YouTube, Gmail, Google +, Google Documents, Google News…) qu’il gère, les internautes inscrits à un de ces services. Et pourra leur proposer une publicité « ciblée » (personnalisée) en fonction des informations que l’entreprise aura ainsi acquises sur chacun d’entre nous : «We can provide more relevant ads too. For example, it’s January, but maybe you’re not a gym person, so fitness ads aren’t that useful to you». 

Voilà en effet ce que l’on peut lire dans un billet publié sur le blog officiel de Google. Alma Whitten, Director of Privacy, Product and Engineering, y présente les grandes lignes des nouvelles règles de confidentialité, qui entreront en vigueur à partir du 1er mars 2012.

Ces nouvelles règles précisent que Google peut collecter sur nous : 

les données personnelles que nous lui fournissons lorsque nous nous inscrivons à un de ses services. Ces données personelles comprennent  «votre nom, votre adresse e-mail, votre numéro de téléphone ou votre carte de paiement. Pour pouvoir profiter de toutes les fonctionnalités de partage que nous proposons, vous pouvez également être amené(e) à créer un Profil Google public, qui peut comprendre votre nom et votre photo.»

l’utilisation que nous faisons de ses servicespar exemple lorsque vous visitez un site Web qui utilise nos services publicitaires ou lorsque vous visionnez nos annonces et nos contenus et interagissez avec ces éléments.»). Google peut ainsi enregistrer  :

– des données relatives à l’appareil que nous utilisons ex : modèle, version du système d’exploitation, identifiants uniques de l’appareil et données relatives au réseau mobile, y compris votre numéro de téléphone»). 

– des fichiers journaux, c’est-à-dire des données que Google stocke sur ses serveurs lorsque nous utilisons ses services («vos requêtes de recherche», «données relatives aux communications téléphoniques, comme votre numéro de téléphone, celui de l’appelant, les numéros de transfert, l’heure et la date des appels, leur durée, les données de routage des SMS et les types d’appels», «votre adresse IP» – l’adresse IP est un numéro unique qui permet de savoir que c’est votre ordinateur, et non un autre, qui est connecté à Internet

– des données de localisation («comme par exemple des signaux GPS envoyés par un appareil mobile. Nous pouvons également être amenés à utiliser différentes technologies permettant de vous localiser, telles que les données du capteur de votre appareil permettant par exemple d’identifier les points d’accès Wi-Fi et les antennes-relais se trouvant à proximité»)

– des cookies et identifiants anonymes.

Un peu plus loin, on y apprend que «ces donnée permettent [à Google] de vous proposer des contenus adaptés, tels que des annonces et des résultats de recherche plus pertinents

Voici un petit schéma, résumant ce qui nous attend à partir du 1er mars prochain.

Jacques Henno


*Jessica E. Vascellaro, Google Agonizes on Privacy as Ad World Vaults Ahead, Wall Stret Journal, August 10, 2010 http://online.wsj.com/article/SB10001424052748703309704575413553851854026.html


Comment faire flouter une photo de sa maison sur Google Street View ?

Des lecteurs de mon livre « Silicon Valley / Prédateurs Vallée ?« , inquiets de l’utilisation qui pouvait être faite de la photo de leur domicile,  m’ont demandé comment faire flouter ces clichés.

Pour l’instant, il n’est pas possible de faire flouter les photos satellite que Google publie sur Google Maps ou Google Earth.

En revanche, Google a prévu une procédure permettant à n’importe quel habitant d’une maison ou d’un appartement de faire flouter la façade de son domicile dans Google Street View, le service de Google qui permet de naviguer virtuellement dans les villes et les villages.

• Le plus simple est de se rendre sur Google Maps et d’entrer dans la barre de recherche, en haut de l’écran, l’adresse de son domicile (dans les saisies d’écrans suivantes, pour des raisons légales, l’exemple du Palais de l’Elysée, a été pris – avertissement aux petits plaisantins qui souhaiteraient faire flouter la façade de l’Elysée : seuls les occupants d’un logement peuvent le faire flouter). 
Il faut ensuite faire glisser sur le plan, le petit bonhomme « Google Street View » orange qui apparaît sur l’échelle de zoom, à gauche de la photo ou du plan. Déplacez-vous dans la rue jusqu’à voir apparaître la façade de votre domicile. Cliquez sur le lien « Signaler un problème », en bas à gauche de la photo.

• Une nouvelle page apparaît. Cliquez sur le lien « Problèmes de respect de la vie privée ».

• Cliquez sur le lien « ma maison »


• Cliquez sur le bouton en face de « J’ai trouvé une photo de ma maison et je souhaiterais qu’elle soit floutée ». Dans le cadre  en dessous, précisez que vous occupez ce logement (encore une fois, inutile de vouloir faire une mauvaise plaisanterie en prétendant que vous habitez le Palais de l’Elysée) et que vous souhaitez, pour des raisons personnelles, que la photo en soit floutée. Dans le cartouche en dessous, indiquez votre adresse e-mail. Puis, juste en dessous, ajustez la vue pour la centrer sur votre habitation. Attention, si vous habitez un immeuble collectif, c’est tout le bâtiment qui sera flouté.

Quelques heures plus tard, vous recevrez un message confirmant la prise en compte de votre demande par Google.


Enfin, quelques jours plus tard, vous recevrez un message de Google vous annonçant que l’opération a été effectuée.