C’est lundi, c’est privacy

Publié le par Julien PIERRE
Publié dans : Veille | Mots-clés : , , , , , , , , | Laisser un commentaire

[bulletin à parution irrégulière, d’autant plus que j’ai commencé l’écriture de la thèse]

Comme je ne sais pas si je publierai un nouveau bulletin d’ici là, je signale tout de suite que le 28 janvier, c’est le Data Privacy Day! (C’est anglo-​saxon, le Conseil de l’Europe est engagé dedans, mais apparemment pas la CNIL)

DATA PRIVACY DAY LOGO
DATA PRIVACY DAY LOGO

J’en profite aussi pour souhaiter une bonne année 2012 à tout le monde ! Tradition oblige : un tour de table des prédictions pour l’année à venir (sans oublier que le 21 décembre…)

  • 2012 : c’est l’année sans contact ! Je ne parle pas socialisation (quoique), mais terminaux avec puce NFC. UN exemple (de taille) : désormais on peut payer son sandwich avec un téléphone NFC chez Subway ! C’est aux US et c’est en partenariat avec MasterCard. Si cette annonce parait futile, il y a néanmoins fort à parier que d’autres initiatives similaires vont émerger dans les mois qui viennent, aussi bien côté constructeurs que côté commerçants. Ainsi, les Jeux Olympiques 2012 de Londres semblent être le terrain adéquat pour expérimenter et essaimer ces nouvelles pratiques de micro-​paiement (Samsung est dans les starting-​blocks, Coca-​Cola aussi, et même les athlètes se verront proposés des smartphones NFC en partenariat avec la Lloyd’s : Visa est partenaire sur les 3 opérations). Google est sur les rangs avec son service Wallet (même si il y a des progrès à faire en termes de sécurité et de confidentialité…) : pour avoir vu à NY le nombre de terminaux de paiement avec le sticker Google Wallet, je pense en effet que ce mode de transaction va s’ancrer dans le paysage 2012. En France, le déploiement du paiement-​sans-​contact est encore en phase expérimental (à Reims ou à Rennes). A signaler que Gartner ne met pas le NFC dans son Top 10 des technos 2012…

  • 2012, c’est aussi l’année d’une plus intensive législation sur la protection de la vie privée et des données personnelles ! C’est en tout cas ce qu’affirme Peter Hustinx, le Superviseur européen à la Protection des Données (EDPS) en publiant sa feuille de route 2012 :
    • construire un cadre européen pour l’identification et l’authentification, mettre en place des services autour de l’eSanté, renforcer les dispositifs techniques de contrôle aux frontières, construire un PNR européen (une bonne idée US…), et améliorer la surveillance des transactions sur les marchés financiers (fastoche !).
    • Ah oui ! Et la priorité number one : mettre à jour la directive européenne 95/​46/​CE , sauf que…

Du côté de la régulation

The Personal Ecosystem
The Personal Ecosystem

Du côté des éditeurs

  • 4 responsables de systèmes de gestion des identités s’expriment sur la définition des identités numériques (interview en 5 parties : 1 — 2 — 3 — 4 — 5). Ces responsables provenant d’organisations différentes (NSTIC, Santé, Administration et Éducation), les questions portent essentiellement sur l’interopérabilité des systèmes, et, en termes de vulgarisation, sur les rapprochements entre identité et certificat numérique et leurs équivalents IRL.
  • IBM vient se sortir son nouveau logiciel sur la gestion des identités en entreprise : en analysant les données relatives au personnel, le logiciel peut déterminer quel rôle (droits) attribuer à chaque employé. L’idée est de mettre à jour les droits au rythme des changements de statut des employés, et de leur accorder un accès à des applications/​données relativement aux services dans lequel ils travaillent (ex. un employé du service financier n’aura accès qu’aux données financières). Du modèle user-​centric pur jus ! Les modèles de gestion par rôle ne sont pas nouveau (ni très performant apparemment) : en tout cas, si l’on suit le transfert de compétences professionnelles dans le secteur de la vie privée (ce qu’on fait déjà en gérant ses paramètres de confidentialité dans Facebook, ou en faisant des listes d’amis), les modèles de contrôle d’accès (discrétionnaire, OrBac, par rôle ou ad hoc) dans les SI pourraient être une façon pertinente d’appréhender des alternatives dans la régulation de la vie privée. A creuser…

Du côté de la recherche

Du côté de chez LOL

  • Un hôpital s’est fait volé quantité de disques durs (déstockés mais non formatés), qui ont ensuite été remis en vente sur eBay : au final, les données de santés de dizaines milliers de patients se sont retrouvé accessibles ! Le voleur n’a pas été poursuivi, et l’hôpital se retrouve avec une amende de £375.000 à payer.
  • De Facebook au fessebook, il n’y a qu’un pas. Alors que le premier met en avant la reconnaissance faciale (Apple propose aussi de garantir l’accès à ses appareils par cette techno), un chercheur japonais a proposé un système de déverrouillage des voitures par reconnaissance des… fesses !

Du côté (auto-)promo

C’est mardi, c’est privacy

Publié le par Julien PIERRE
Publié dans : Veille | Mots-clés : , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Laisser un commentaire

[bulletin à parution irrégulière]

Du côté des héros

  • Times fait du Protester le personnage de l’année : après le chantre de l’identité en 2010 (aka Mark Zuckerberg) et les foules intelligentes de 2003 (aka Vous), ce sont les indignés, ceux d”#OccupyWallStreet, les manifestants de Londres, aujourd’hui de Moscou, tout ceux du printemps arabe qui sont à l’honneur. Cela pose bien évidemment la question de leur identité : alors que la couverture représente une femme voilée, l’article affiche le portrait de Mohammed Bouazizi, par qui tout est arrivé. Dans l’article des Cahiers du numérique, je posais la question de savoir si l’Histoire retiendrait l’identité des blogueurs tunisiens ou libyens.
    Dans une conférence récente sur l’e-​science et les réseaux sociaux de chercheurs, on mentionnait des cas de crowdsourcing, je l’ai fait moi-​même dans d’autres formations. Systématiquement, c’est le nom du blogueur scientifique qui est mis en avant (ici, Tim Gowers), et les contributeurs, trop nombreux, sont réduits à l’anonymat. Faut dire que le gars est récipiendaire de la médaille Fields… Ah la célébrité !
    Néanmoins, cet anonymat est une force, à relativiser tout de même, mais quand même : on l’a vu avec les Anonymous (dont le flop du 15 novembre et de leur annonce d’une attaque contre Facebook : sans doute est-​ce inhérent à leur structure cellulaire et à des problèmes de concertation/​concentration entre ceux qui se revendiquent du mouvement), les Indignés (et le flop de leur ancrage en France, voire aux US, sans doute à cause de l’omnipotence du modèle socioéconomique, et de la satisfaction qu’il procure aux foules, ou du défaut de lecture d’un modèle alternatif). Mais ces récents mouvements populaires peuvent aussi être appréhendés comme les prémisses d’une structuration ascendante : les processus d’identification au sein de l’espace public politique semblent en effet s’inverser. Alors qu’auparavant les mouvements de foule donnaient lieu au déploiement de techniques d’identification (caméras, drones, agents infiltrés, etc), aujourd’hui, le copwatching (interdit aux USA) est un outil au service de la sousveillance (la tendance principale pour 2012 identifiée dans la dernière livraison de Wired UK).

    $10.000 reward
    $10.000 reward sur le pare-​choc d’une voiture du NYPD

Du côté de Big Brother et des technologies associées

  • Opération SpyFiles : Wikileaks publie plus de 1000 documents (techniques ou commerciaux) des entreprises de surveillance (les marchands d’armes 2.0). Voir le papier sur OWNI, où l’on parle d’Amesys, cette entreprise française qui a vendu à la Libye un système d’écoute du web. Quand on sait combien coûte Big Brother, on a raison de ne pas se priver… Mais quand on sait que les technologies (Deep Packet Inspection), mises en avant par les entreprises dénoncées sont mises en avant par Orange, et promues par la CNIL, doit-​on s’inquiéter ? De même, quand on sait qu’il suffit de 20 députés pour créer un nouveau fichier, celui des , et de la future carte d’identité électronique (CNIE), on a raison de pas essayer de généraliser le déploiement des dispositifs automatisés de collecte, traitement et consultation des données à caractère personnel. Par contre, quand une entreprise (Thalès) pointée du doigt dans les spyfiles fait du lobbying pour promouvoir la future CNIE, doit-​on s’inquiéter ?
  • Carrier IQ ou le nouveau scandale de l’appli qui surveille votre téléphone mobile : pléthore d’articles sur le sujet (Figaro, Libé/​Écrans, L’Express/L’Expansion, Le NouvelObs)
  • La vidéosurveillance des communes françaises, dans une enquête (et une cartographie) signée Owni.

Du côté des acteurs dominants le marché (mais lequel…)

  • L’audit de Facebook réalisé par l’autorité irlandaise chargée de la protection des données personnelles s’est révélé globalement positif : il est simplement conseillé à l’entreprise de faire preuve de plus de simplicité dans les réglages de confidentialité (du genre « best practices », voir l’article sur SiliconRepublic). Le métier de privacy designer pourrait être une spécialisation dans les filières des études en ergonomie des interfaces.
  • Quelle option d’adhésion pour la reconnaissance faciale ? Slate se demande à cet égard s’il est possible de mettre en place un système d’opt-​in/​opt-​out. Cela renvoie à la question posée précédemment à propos des routeurs wifi aspirés par la Google Car. Sur la liste public-​privacy@​w3​.​org, Jules Polonetsky estimait que certains services ne pouvaient souffrir d’être sous le régime de l’opt-in, et il prenait pour exemple les dons d’organe. Consider organ donation, a very valuable need to society and indirectly to the individual (will there be an organ available if you or your loved one is in need). Spain and Austria have opt-​out systems and very high donor rates. Germany and Greece have opt-​in systems and very low donor rates. Effectivement, si l’on attend de chaque citoyen qu’il manifeste explicitement son accord pour le prélèvement d’organes, les banques d’organes seraient très pauvres, et la survie de nombreux patients serait engagée. Au contraire, un opt-​out serait plus indiqué : on manifesterait son opposition au prélèvement, et par défaut chaque corps serait susceptible d’être exploité, améliorant ainsi le service. Sauf que, bien évidemment, la santé publique et les intérêts d’une entreprise privée ne doivent pas être placés sur le même niveau, de même qu’on ne peut comparer les services de soins et de géolocalisation, d’autant plus que ces derniers, propulsés par Apple, Google, Microsoft, etc., servent uniquement à améliorer la mise en relation avec des régies publicitaires ou des places de marché.
  • Verizon l’annonce : it is the first ever identity provider to achieve a Level 3 US Government certification in providing identity credentials and access management to relying parties. Un leader de plus dans la traine du NSTIC, l’écosystème identitaire que les Canadiens veulent copier (et nommer i​-canada​.me)

Du côté de la régulation

  • Le Royaume-​uni est en marche vers une nouvelle régulation des cookies, comme l’Union européenne. Le Mexique vient de publier de nouvelles règles sur la protection des données personnelles.
  • La Commission européenne n’est pas compétente pour veiller au respect par les responsables du traitement des données, pour enquêter en cas d’infraction, ni pour infliger des sanctions. En réponse à la question posée par l’eurodéputée Françoise Castex, Vivianne Reding estime d’une part que les autorités locales ont cette compétence, et d’autre part que la révision de la directive 95/​46/​CE pourra donner plus de pouvoir à la Commission.
  • Nouveau guide : la CNIL aide les avocats à faire respecter la Loi de 1978 !

Du côté de chez LOL

  • La FTC (le régulateur du marché US) porte plainte contre le Père Noël : il n’aurait pas respecté la COPPA, la loi protégeant la vie privée des enfants en ligne : Mr. Claus has flagrantly violated children’s privacy, collecting their consumer preferences for toys and also tracking their behavior so as to judge and maintain a data base of naughtiness and niceness. S’il veut de l’aide pour espionner les gamins, Père Noël peut toujours demander aux entreprises françaises !

Sur ces bonnes nouvelles, tous mes vœux pour 2012 !

Les enjeux de l’identité numérique

Publié le par Julien PIERRE
Publié dans : J'ai fait ça | Mots-clés : , , | Laisser un commentaire

J’ai réalisé une petite présentation de 15 minutes (et on me glisse à l’oreille que j’ai largement dépassé) sur les enjeux de l’identité numérique.

Cette “keynote” s’est déroulée à l’invitation des masters info-​com de Paris XIII lors de la rencontre Réseaux sociaux : des connectés ou déconnectés (voir le fil twitter)

Les enjeux de l’identité numérique

<teasing>Si j’ai le temps, j’en ferais peut-​être une présentation plus… animée !</​teasing>