Alors que les services web et les contenus hébergés à différents endroits se multiplient, la protection des données personnelles est devenue un enjeu majeur pour les utilisateurs et les organisations. Ces datas deviennent de véritables sources de richesse pour les géants du web, de l’or noir comme certains les appellent. Grâce à ces données, les GAFA and co peuvent adresser des publicités précises, personnalisées et cibler avec pertinence les internautes. Cette semaine, nous avons décidé de nous intéresser à cette thématique au sens large et le respect de la vie privée à travers une sélection d’actualités portant sur : l’évolution du cadre législatif encadrant l’utilisation de ces données, la mises à jour des conditions d’utilisation des principaux services, les hacks de services très utilisés ou encore les bras de fer entre états et services web. On s’intéressera enfin à la liberté de nos données, et à la surveillance des différents états sur ces données censées être personnelles. Bonne lecture !
#1 Reconnaissance faciale : plus de données pour plus de surveillance ?
Clearview AI une start-up américaine a récolté et exploité depuis Facebook, YouTube et d’autres sites 3 milliards de photos d’individus afin d’alimenter sa base de données. L’objectif ? Mettre à disposition des autorités et de certaines entreprises sa technologie de reconnaissance faciale, avec les risques de dérives qu’on peut imaginer…
Grâce à sa puissante base de données et l’efficacité de son outil, qui s’appuie sur l’intelligence artificielle, Clearview AI est capable de faire correspondre des photos de personnes inconnues avec leurs images en ligne. L’outil pourrait reconnaître le visage d’une personne, même si celui-ci est en partie masqué.
Clearview AI aurait également conçu un prototype de lunettes de réalité augmentée. Ses utilisateurs pourraient ainsi identifier chaque personne croisée dans la rue, avec un accès à l’ensemble de leurs données personnelles, comme le lieu de vie, leurs activités ou encore leurs relations. Il semble pour l’heure que la société n’ait pas l’intention de le commercialiser.
C’est dans un reportage publié par le New York Times, que les agissements « borderline » de la start-up ont été dévoilé. En effet, Clearview AI aurait collecté ces photos de manière illégale.
À titre de comparaison, le FBI, qui est l’agence disposant de la plus grande collection d’images dédiées à la reconnaissance faciale, en compte seulement 411 millions.
L’enquête menée par le journal soulève plusieurs points inquiétants alors même que les questions sur les libertés individuelles ne cessent de se poser…
Premier point : Clearview AI travaillerait en collaboration avec près de 600 agences gouvernementales américaines, les services des forces de l’ordre ou encore le Département de la Sécurité Intérieure. L’entreprise aurait donné l’accès à son application à quelques entreprises à des fins de sécurité, mais cette liste n’a pas été communiquée. L’objectif : aider les autorités à résoudre des enquêtes criminelles, des problèmes de vol d’identité ou encore de fraude à la carte bancaire.
Deuxième point : les activités de Clearview AI ne sont pas encadrées par la loi. La technologie utilisée par Clearview AI n’est soumise à aucune réglementation et elle n’a fait l’objet d’aucun examen par des experts indépendants. Ce qui pourrait entraîner l’arrestation de personnes innocentes dans le cadre d’une enquête, et, de manière générale, une intrusion abusive dans la vie de milliards d’individus.
Autre point soulevé par l’enquête du journal américain : les serveurs sur lesquels ont été téléchargés les photos et les données personnelles récoltées par Clearview AI n’ont pas été testés. La base de données inédite dont dispose la start up américaine pourrait tomber entre les mains de hackeurs aux intentions malveillantes.
Pour se justifier de toute exploitation frauduleuse de ces données personnelles, l’entreprise affirme que les images récupérées de la toile proviendraient de comptes de médias sociaux publics, ou dont le profil l’a été à un moment donné avant que les paramètres ne soient modifiés par la suite.
Enfin dernière révélation de l’enquête et pas des moindres, Facebook, déjà dans la tourmente pour ses scandales à répétition sur la protection des données de ses utilisateurs, serait au courant des activités de Clearview AI. En effet la start-up serait soutenue financièrement par Peter Thiel, cofondateur de Paypal et investisseur renommé de la Silicon Valley. Il fait notamment partie du conseil d’administration de Facebook, dont il en est l’un des investisseurs historiques.
Face à ce contexte inquiétant en matière de protection des données personnelles, la Commission envisagerait de prendre des mesures en vue d’interdire la reconnaissance faciale pendant 3 à 5 ans. Dans un livre blanc, dont le contenu aurait fuité sur la toile, la Commission Européenne souhaiterait interdire temporairement la reconnaissance faciale. Les législateurs européens se donneraient une période de trois à cinq ans, durant laquelle la technologie ne pourrait être utilisée dans les lieux publics. Ce laps de temps supplémentaire leur permettrait d’étudier et de concevoir des moyens plus efficaces pour évaluer et gérer les risques liés à la reconnaissance faciale et ses possibles débordements sur la vie privée des individus. Un organe de gouvernance pour la surveillance du respect de ces règles pourrait également être créé.
#2 Google simplifie son programme de protection avancée de données
La protection des données personnelles est un véritable enjeu stratégique pour les géants du web, qui face aux nombreux scandales doivent rassurer et montrer patte blanche. À l’approche des prochaines élections américaines, la tension monte d’ailleurs d’un cran.
L’enjeu : assurer un niveau de protection optimale pour la sécurité des comptes de leurs utilisateurs.
Dans ce contexte, Google a décidé de simplifier son programme de protection avancée de données. Le processus d’activation du programme est désormais plus simple et il intègre l’iPhone comme clé de sécurité pour déverrouiller un compte Google.
Via Twitter, le PDG de Google Sundar Pichai a annoncé que le niveau de sécurité de son programme de protection avancée avait atteint un « niveau de sécurité le plus élevé » pour tous les produits et services du géant américain.
Cette méthode d’authentification avec un mobile offre plus de sécurité que la double authentification précédemment en place. Le smartphone devra se situer à proximité de l’ordinateur de l’utilisateur. Google s’appuie sur la connexion Bluetooth de l’iPhone (ou iPad), ou du téléphone Android, pour le transformer en clé de sécurité. Google remplace ainsi la clé de sauvegarde physique qu’il demandait dans la version précédente de son programme..
Le programme de protection avancée de Google vise en particulier les journalistes, les activistes, les chefs d’entreprise, les leaders d’opinion ou encore les équipes de campagnes électorales, qui seraient les plus susceptibles d’être visés par une attaque ciblée en ligne.
Il propose trois fonctionnalités majeures :
– une meilleure défense contre les tentatives de phishing
– un accès tiers limité (seuls les sites et applis autorisés par Google et jugés comme dignes de confiance pourront vous demander de vous authentifier à partir d’un compte Gmail ou Drive)
– le blocage de la récupération de comptes frauduleux pour éviter toute tentative d’usurpation d’identité.
Pour activer le programme de protection avancée de Google à partir de votre mobile, il suffit de télécharger et de s’inscrire au programme Google Smart Lock app. Les versions requises pour y participer sont :
– Android 7 et les versions ultérieures
– iOS 10 et les versions ultérieures
Si elle n’est plus exigée pour se connecter au programme, Google recommande toujours d’enregistrer et sauvegarder ses données personnelles à partir d’une clé physique.
#3 Google : fin des cookies tiers d’ici 2 ans
Dans un autre billet de blog, la firme de Mountain View a annoncé qu’elle souhaitait éliminer progressivement les cookies tiers d’ici à deux ans. Les cookies sont des traceurs, qui s’installent automatiquement lorsque l’on se rend sur un site. Ils permettent aux professionnels de la publicité en ligne de récupérer des informations sur le profil des internautes, leurs préférences, leur comportement, s’ils ont cliqué ou non sur une annonce et à quel endroit de la page. Cette annonce pourrait bien redessiner à terme le marché de la publicité en ligne.
L’objectif derrière cette mesure ? Rendre le web plus sécurisé.
« Notre objectif pour cette initiative en open source est de rendre le web plus privé et sécurisé pour les utilisateurs, tout en soutenant les éditeurs », explique Justin Schuh, Directeur de Chrome Engineering.
Alors que leur utilisation est largement contestée par les défenseurs de la vie privée sur internet, les sites puisent leurs ressources majoritairement dans les revenus publicitaires générés par les clics des internautes.
A travers cette mesure, Google souhaite réconcilier en partie utilisateurs et entreprises. Pourtant en supprimant les cookies tiers, Google prend le risque que les méthodes de traçage des internautes soient encore moins respectueuses de leur vie privée. La firme de Mountain View n’a pas précisé par quel moyen elle envisageait de remplacer ces traceurs. « Nous continuons de travailler activement au sein de cet écosystème pour que les navigateurs, les éditeurs, les développeurs et les publicitaires aient la possibilité de tester de nouveaux mécanismes, s’ils fonctionnent correctement et dans différentes situations », précise Justin Schuh. Google n’abandonne pas le principe du cookie : c’est la manière de faire qui est ici remise en cause, afin de respecter les réglementations juridiques en vigueur, comme le RGPD.
Google avait lancé en août dernier le programme « Privacy Sandbox ». Il s’agit d’une technologie « open web », qui permet aux annonceurs de cibler les internautes en évitant d’utiliser des cookies pour les suivre, sur Chrome mais aussi sur l’ensemble des navigateurs. Le moteur de recherche, leader dans le monde avec 65% des parts de marché selon StatCounter, souhaite ainsi aller plus loin, en bloquant définitivement ces cookies. Leur suppression s’effectuera au fil du temps, avec des phases de tests prévues d’ici la fin de l’année, selon Google.
Quels sont les enjeux pour Google ?
L’enjeu pour Google est multiple. Afin d’éviter tout impact négatif, engendré par une suppression brutale des cookies des sites tiers, à la fois pour les utilisateurs et les professionnels du web, la firme américaine préfère procéder étape par étape. D’un autre côté, le géant du web ne veut pas prendre de retard face à ses concurrents. Les navigateurs comme Safari d’Apple, Mozilla de Firefox ou encore Edge de Microsoft ont pris de l’avance sur Google, en mettant en place des filtres anti-cookies et en continuant de les renforcer au fil des ans.
Quelles conséquences sur le marché de la publicité en ligne ?
Cette nouvelle ne va pas réjouir les annonceurs ni les éditeurs de sites, qui risquent de devenir encore plus dépendants de Google. Car ce dernier pourrait proposer aux acteurs du marché publicitaire d’utiliser ses propres mesures d’audience, réalisées à partir des données collectées sur son moteur de recherche, son service de messagerie Gmail, de sa plateforme de vidéos en ligne YouTube, des téléchargement d’applications et des visites sur des sites diffusant de la publicité via la régie de Google.
A l’annonce de cette nouvelle, Criteo a chuté en bourse, avec un recul de 16% sur le marché américain. L’entreprise française, spécialiste de retargeting est intrinsèquement dépendante de la présence de cookies.
Ainsi de nombreuses entreprises, qui vivent de ce marché, à l’image de Criteo, pourraient en subir lourdement les conséquences.
#4 Apple refuse d’être « l’entreprise qui protège les criminels »
Derrière cette phrase forte se cache une décision prise par Apple concernant le chiffrement des sauvegardes dans l’iCloud. En effet, sous pression du FBI, Apple aurait abandonné depuis deux ans son intention de permettre aux utilisateurs d’iPhone de crypter entièrement les sauvegardes de leur appareil dans l’iCloud, révèle Reuters le 21 janvier 2020.
Cette décision ferait suite à de multiples plaintes émanant du FBI qui assurait que la volonté de la firme technologique entravait considérablement la bonne conduite des enquêtes policières. En effet, le recours au chiffrement de bout-en-bout permet aux personnes seulement qui communiquent de lire les messages échangés.
Plusieurs types de données sont déjà chiffrées de bout-en-bout dans l’iCloud comme les informations de paiement, les mots de passe du trousseau iCloud ou encore les messages. Mais Apple avait imaginé étendre cette fonctionnalité aux sauvegardes d’appareil au moment de l’attentat de San Bernardino, qui a fait 14 morts.
Suite à cette tuerie, le FBI avait demandé à Apple de mettre au point un système d’exploitation iOS ad hoc permettant de contourner les mesures de sécurité qui empêchent l’accès aux données chiffrées sur un iPhone saisi par le FBI. La firme de Cupertino a refusé estimant que créer de toute pièce un « hack » de son propre système d’exploitation était une manipulation dangereuse car rien ne garantissait que cette version ne soit utilisée qu’une seule fois.
Pourtant les pressions du FBI ont fait flancher Apple qui ne souhaite pas être étiquetée comme une entreprise protégeant les criminels, ni pousser les autorités à adopter des mesures radicales pour interdire totalement le chiffrement.
Cette annonce intervient alors qu’Apple est en plein litige avec le FBI qui lui demande de déverrouiller deux iPhones suite à la tuerie survenue dans un aérodrome floridien le 6 janvier 2020. La réponse de la firme est limpide : « aucun accès détourné n’est possible ». Une réponse qui n’a pas du tout plu à Donald Trump qui enjoint Apple de « prendre immédiatement ses responsabilités » sur Twitter. Finalement, le FBI a réussi à déverrouiller les téléphones sans l’aide d’Apple, le 19 janvier 2020. Cette manœuvre aurait été rendue possible grâce au boitier GrayKey développé par Grayshift.
#5 CNIL : lancement d’une consultation publique sur les cookies et les traceurs en ligne
Les internautes et les professionnels du web sont invités à donner leur avis sur le projet de recommandation de la CNIL, qui vise à accompagner les opérateurs dans le traitement du consentement des internautes.
L’objectif de cette consultation publique : proposer un projet de recommandation, à destination des organismes publics et privés, qui reflète l’avis des utilisateurs et des professionnels du web. Ce projet devrait par la suite aboutir à un ensemble de modalités opérationnelles sur le recueil du consentement des internautes pour les opérateurs, qui utilisent les cookies et d’autres types de traceurs sur leur site.
La CNIL propose une série de 10 thèmes, soumis aux commentaires et aux votes des internautes :
– L’exigence d’un consentement éclairé
– L’exigence d’un consentement libre
– Sur la recommandation en général
– Sur le recueil du consentement via les navigateurs
– Sur le périmètre de la recommandation
– L’exigence d’un consentement spécifique
– L’exigence d’un consentement univoque
– Retrait et durée du consentement
– Sur la preuve du consentement
– Sur les modalités d’usage des cookies
Pour chacune de ces 10 thématiques, la CNIL propose de soumettre une contribution aux différentes parties de sa recommandation. Les commentaires, points de vue et autres pistes de réflexions soulevées par les internautes sont soumis au vote.
Cette consultation publique est disponible sur le site de la CNIL pour une durée de 6 semaines, jusqu’au 25 février. Une nouvelle version du projet de recommandation, qui intégrera les éléments de cette consultation, sera ensuite présentée aux membres de la CNIL en séance plénière pour une adoption définitive.
Cette recommandation, une fois aboutie, ne comportera aucun caractère obligatoire. Elle vise simplement à « formuler des recommandations pratiques sur la manière de traduire opérationnellement les exigences des textes dans la présentation des interfaces utilisateurs ». La CNIL précise que le texte présentera des exemples concrets de mise en œuvre de la réglementation en vigueur.
