Actualité 23 mai 2014

Pourquoi l’opacité de gestion des données personnelles des acteurs d’écosystème web altère-t-elle la confiance des internautes ?

AUTEUR

  • Luc Bretones, Vic-président de l'Institut G9+
et Administrateur de Renaissance Numérique

Selon une étude CSA/Orange publiée en février 2014, 85% des français se déclarent inquiets de la protection de leurs données personnelles. L’étude montre également que le phénomène s’est considérablement accentué ces deux dernières années. Sur les 12 derniers mois, nous pouvons identifier au moins 3 facteurs qui sont susceptibles d’expliquer l’érosion de la confiance de la part des internautes.

Une gestion des données personnelles volontairement obscure

Tout d’abord, les services internet majeurs mènent des politiques de gestion des données personnelles très peu transparentes vis-à-vis de leurs utilisateurs. C’est ce que rappelle l’UFC que choisir en saisissant en mars dernier le tribunal de grande instance, demandant à Facebook, Twitter et Google+ de clarifier les conditions d’utilisation des données personnelles. L’UFC reproche notamment à ces différents réseaux sociaux de tracer les usages internet des utilisateurs, sans leur consentement explicite, via la fonction de partage d’une page ou d’un article. Sur ce terrain, Google n’en est pas à sa première expérience. En janvier dernier, Google a été condamné à verser  150.000€ d’amendes par la CNIL. Suite à la fusion en mars 2012 d’une soixantaine de règles relatives aux différents services de Google, la CNIL avait demandé à Google de clarifier les durées de conservation et finalités des traitements des données collectées par ces différents services. En Espagne, une action similaire s’est terminée en décembre dernier avec une condamnation à 900.000€ d’amende. Des actions sont également engagées en Allemagne, au Royaume-Uni, en Italie et aux Pays-Bas.

Ce phénomène de collecte obscure s’est considérablement accentué avec la mise à disposition par Apple et Google d’une collection importante d’APIs liées aux systèmes d’exploitation iOS et Android sur mobile. Avec ces APIs, les éditeurs d’applications peuvent demander l’accès à la géolocalisation du téléphone, au contenu des SMS et MMS, au journal d’appel, à l’utilisation des applications, etc. Une fois que l’utilisateur a accepté, il n’a plus de contrôle sur la récurrence de la collecte de ce type d’information, sur la durée de stockage de la part de l’éditeur de l’application, ni sur l’exploitation qui en est faite. C’est comme cela qu’en février 2014, Facebook a suscité l’émoi des internautes en ajoutant à ses CGU l’autorisation de lire le contenu des SMS et MMS des utilisateurs de l’application mobile. Facebook se défend en indiquant que ce droit d’accès permet de faciliter les procédures d’authentification au service. Le problème étant que le système est ainsi fait que les utilisateurs ne peuvent savoir comment sont traités les contenus de leurs SMS par Facebook.

Une surveillance accrue de la part des autorités

Par ailleurs ces services font l’objet de réquisitions et d’interceptions de la part de nombreuses autorités sur le plan international (états, courts pénales, etc). L’affaire Snowden a révélé par exemple les liens étroits qui existent entre ces sociétés et les autorités américaines. Ces dernières demandent des accès à différentes données et documents : e-mail, chat audio et vidéo, logs d’activité, etc. Depuis des rapports de transparence sont publiés par GoogleFacebook et Twitter, indiquant le nombre et la provenance de ces demandes. La France a par exemple formulé 2 750 demandes d’informations sur 3 378 comptes  d’utilisateurs Google entre juin et décembre 2013. On observe globalement une hausse de 26% du nombre de demandes entre 2012 et 2013. Ces pratiques affaiblissent considérablement la confiance des utilisateurs dans ces services. C’est ce que tend à montrer la réaction de Mark Zuckerberg à l’adresse de Barak Obama. En mars dernier, sur sa page Facebook, le PDG de Facebook dénonçait les pratiques de sécurités du gouvernement américain qui deviennent une menace pour Internet.

Des brèches dans la sécurité des données

Enfin, ces services font l’objet de pertes récurrentes de données sur leurs utilisateurs. Ils sont très attractifs pour les pirates, et inévitablement des fuites de données sont à déplorer. La dernière en date remonte à décembre 2013. Les chercheurs du blog Trustwave’s SpiderLab ont révélés que 2 millions de mots de passes avaient été dérobés dont ceux relatifs aux comptes Facebook (318 121), Yahoo (59 549), Google (54 437) ou encore Twitter (21 708). En juin 2012, Facebook était victime d’un bug technique, exposant les données relatives à 6M d’utilisateurs du réseau social. En février 2013, un groupe de hacker anonyme a compromis les mails et mots de passe de 250 000 comptes Twitter. Dernière en date, la faille de sécurité « heartblead » sur la couche sécurisée d’internet (https). On ne connait toujours pas à date les conséquences de cette découverte, dans la mesure où les clés de chiffrement sont susceptibles d’avoir été exposées, permettant à leur détenteur de lire les échanges chiffrés entre serveurs.

Une confiance qui s’érode dans les services internet

Ces différents éléments contribuent indiscutablement à la perte de confiance dont témoignent les internautes vis-à-vis de la protection qui est faite de leurs données personnelles. Au-delà de cette perte de confiance, on peut se demander s’il est sain qu’une poignée d’entreprises collecte chaque jour plus d’informations sur la vie de centaines de millions d’utilisateurs. Il est, en tout cas, plus que temps de revenir aux fondamentaux des droits concernant les données personnelles :

  • Le droit d’être informé des données collectées
  • Le droit d’opposition aux traitements qui peuvent en être fait
  • Le droit d’accès et de communication de ces données
  • Le droit de rectification et d’effacement

La mobilisation « bottom up »

La bonne nouvelle est que ce sujet fait désormais l’objet d’une puissante prise de conscience collective. Il faut dire que la « mise en données » de nos vies avance par sauts quantiques et que la maitrise du phénomène, c’est-à-dire de l’exploitation de ces données, devient pour chaque individu une question fondamentale, un droit fondamental, potentiellement mis en danger. Nous pouvons parier, qu’à l’image des class actions et autres mouvements communautaires spontanés aux divers noms d’oiseaux, la reprise en main de leurs droits par les internautes, et plus largement les citoyens, participera au remodelage du paysage des services en ligne et de l’équilibre des acteurs dominants actuels de ce marché tant convoité.