Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

[bulletin à parution épisodique]

Dans cette nouvelle livraison, on retrouvera :

  1. encore et toujours l’actualité du NSTIC
  2. la proposition de règlement sur la protection des données personnelles
  3. l’introduction en bourse de Facebook
  4. les nouvelles règles de confidentialité de Google

1. Du côté du NSTIC

Dans le cadre du dossier sur l’identité numérique, publié par Flavien Chantrel sur Regionsjob, je suis tombé sur l’article d’Antoine Dupin : Google et le contrôle de votre identité, où l’on parle d’une plausible association entre Google et le NSTIC (dont je vous rabâche les oreilles depuis plusieurs mois). J’avais indiqué dans un article (chapitre d’ouvrage à paraître) comment Google passait d’un modèle de front-end documentaire (le search) à un back-end identitaire (Google+, sa certification comme ID provider pour le NSTIC, etc..). Des notions en référence à celles développées par Richard Rogers et à celle d’infrastructure informationnelle qu’on doit à Susan Leigh Star). L’article de A. Dupin rajoute quelques initiatives allant dans ce sens :

  • l’Agent Rank, une signature électronique portable valant indicateur réputationnel (voir aussi Authorship)
  • Google Ripples, qui trace la réplication d’un contenu en ligne (apparemment Google+ US uniquement)

Pour l’instant, ces fonctionnalités sont associées à notre statut d’auteur (qui poste via G+), mais si l’on se rappelle la distribution des rôles sur Internet (1% d’auteur, 10% de contributeurs-commentateurs et 89% de lecteurs anonymes), on pourrait croire la capture des identités largement insuffisante. Sauf si l’on considère que ce modèle fonctionne pour l’éditorialisation (billets de blog/contributions wikipédia), et non pour la publicisation (du privé : les statuts) ou l’exploitation du service (Circles). Sauf si l’on rajoute d’autres technologies (comme +1 ou Analytics). Quand enfin on agrège à cet écosystème Androïd ou Wallet (qui utilise aussi Analytics), et qu’on plonge tout ça dans un écosystème comme le NSTIC, alors on est fichu fiché fichu (à vous de choisir)

Le responsable du Jericho Forum (une entité dédiée à l’identity management au sein de l’OpenGroup, un consortium rassemblant SAP, Oracle, IBM, la NASA, CapGemini, et encore plein d’autres et ayant pour mission de establish open, vendor-neutral IT standards and certifications), ce monsieur donc, Paul Simmonds recommande au Royaume-uni et à l’Europe d’adopter le modèle du NSTIC !
Le Jericho Forum tient une posture intéressante en termes de gestion des identités numériques : réunis dans les Identity Commandments v. 1.0 (IDEA : IDentity, Entitlement and Access management), on trouve plusieurs principes comme par exemple : un identifiant peut supporter une réputation, peut être attaché de manière contextuelle à des attributs, une entité peut avoir plusieurs identités (un principe, est-il écrit, qui devrait être inscrit dans les lois nationales ou dans la déclaration universelle des droits de l’homme !), plus d’autres choses relatives à la permanence des identités, la responsabilité des fournisseurs d’attributs, etc. Je renvoie à la conclusion du document :

There is also a major infrastructure investment required to create the next generation “Identity” Management approach. This investment in turn requires a shift in the business model and the enthusiastic uptake of the services that will encourage a cultural shift that will value Transparency as much as it does Privacy. Open access to the reputation of entities will go a long way to raising the e-Trust barrier.

Bref, les principes du Jericho Forum convergent explicitement avec ceux du NSTIC. Pourtant, l’invitation de P. Simmonds est toute autre : d’une part, il pense effectivement que le NSTIC est un bon système, s’il est bien construit. Et s’il est bien construit, n’importe quel pays pourra l’adopter : on imagine sans mal la propagation d’un tel écosystème identitaire entre mondialisation et world wide web. Ce qui l’effraie le plus dans ce scénario est le monopole US, ce que confirme l’absence de réaction en Europe ou en Angleterre (Simmonds est lui-même anglais) : en effet, les projets sont inexistants de ce côté de l’Atlantique. Et si l’on ne fait, on devra bientôt, en France et en Europe, devoir s’identifier avec des terminaux branchés sur le NSTIC.
Jeremy Grant, du NSTIC, rappelle que ce n’est pas le but pour les États-Unis de constituer une gigantesque base de données personnelles mondiale. D’autre part, un autre monopole inquiète le membre du Jericho Forum, un oligopole plus précisément, qui serait animé par la logique marchande de quelques grandes entreprises. Celles-ci pourraient profiter du NSTIC pour s’assurer une rente confortable en plaçant leurs terminaux ou leurs logiciels.

2. Du côté de l’Europe

WTF! J’avais annoncé, dans la précédente édition, que la mise à jour de la directive 95/46/CE était reportée. Me basant sur plusieurs annonces (mises à jour depuis), et sur les discussions de professionnels, j’avais cru effectivement que la nouvelle version peinait à se construire. Il n’en est rien : à la date initialement prévue, voilà que sort le document tant attendu. On peut s’interroger sur la stratégie de Viviane Reding à ce propos, et surtout se pencher sur le contenu du futur cadre réglementaire.
Une analyse très intéressante chez Thiebault Devergranne, du site donneespersonnelles.fr. Je reprends ses 6 points :

  • Il s’agit d’un règlement (qu’on doit respecter dans son entièreté), et non plus d’une directive (vers laquelle on doit tendre). Une règle de 80 pages qu’il sera surement difficile d’appliquer (ce qui inquiète le Financial Times), notamment pour les organisations de petite taille (du pain béni pour les juristes et autres consultants).
  • Une règle qui va concerner n’importe quel traitement de données (y compris IP, MAC, GPS) de n’importe quel citoyen européen (art. 3). Une règle que devront donc respecter Google et Facebook, dont on parle plus bas, mais aussi les grands marchands du web (eBay, Amazon), mais aussi toutes les parties prenantes des transactions électroniques (banques, publicitaires, fournisseurs d’accès, entrepôts de données, gestionnaire de serveurs et autres routeurs, etc.).
  • Art. 17 : Droit à l’oubli, autrement dit le fournisseur de service doit effacer les données personnelles, et s’assurer également de la destruction de toutes leurs réplications (via RSS, le streaming, les caches et toute la viralité du web, ça va être coton !)
  • Art. 31 : Notification immédiate des failles de sécurité sous 24h auprès de l’autorité nationale (chez nous la CNIL)
  • Art. 36 : création d’un Data Protection Officer, indépendant, obligatoire dans de nombreuses organisations (taille, activité, statut), sans besoin de notification à l’autorité nationale. Cela signifie d’une part une nouvelle place accordée aux Correspondants Informatique et Libertés dans le SI des entreprises, mais aussi, pour la CNIL, la fin d’un contact entre les citoyens et leur Autorité. En cas de problème avec une organisation traitant des DCP et située à l’étranger, le citoyen (un internaute sur un réseau social ou un salarié d’une multinationale, ou un prospect d’un call center) devra signifier son droit à l’oubli auprès du responsable de cette entreprise, et non plus de son Autorité. Débrouillez-vous donc pour porter plainte contre une boîte située au Penjab ou en Californie !
  • Art. 79 : les autorités nationales disposeront d’un arsenal de sanction auprès des entreprises contrevenant au nouveau règlement, dont la possibilité de réclamer une amende s’élevant à 2% du CA (soit, dans l’exemple cité, $1,2MM pour Microsoft). On est loin des 1,5 millions qu’a payé EDF dans l’affaire d’espionnage de Greenpeace. On est loin aussi des 5% que réclamait Viviane Reding encore quelques jours avant la publication du document (statut actuel : Official draft), et c’est peut-être bien ça qui a provoqué ce cafouillage au lancement…
  • On rajoutera une notification explicite du consentement pour la collecte des données personnelles de l’utilisateur (mécanisme d’opt-in).

Au final, on peut s’interroger sur l’opportunité que cela représente en termes de business : certes il y a des difficultés évidentes en termes d’application du texte (tout ce qui relève de l’économie du consentement par exemple, i.e. l’opt-in généralisé), du coût généré par certaines règles (la destruction des répliques dans le cas du droit à l’oubli)  et des risques élevés côté sanction (ce qui inquiète les US et même jusqu’au forum économique mondial de Davos, où le Data Deluge était à l’ordre du jour. A voir cependant si cette sanction des 2% sera appliquée par les autorités nationales : est-ce que ces sanctions ne devraient pas plutôt être prise par Bruxelles ?). Cependant, il y a l’avantage d’avoir un cadre homogène pour l’ensemble du territoire européen, et un seul texte à consulter et appliquer quand on est une entreprise de taille internationale qui collecte des données personnelles en Europe. Sans parler des opportunités que cela engendre du fait de nouveaux métiers ou de processus à modifier.

PS : du coup, le groupe de travail de l’article 29 (de la directive 95/46) devrait être renommé European Data Protection Board.

3. Du côté des éditeurs

Facebook va entrer en bourse, c’est à son tour de devenir transparent ! Dès lors que les chiffres sont rendus publics (ici et : augmentation de capital de $5Milliards pour une valorisation globale de $100MM), l’estimation des risques et des opportunités peut démarrer. Un point d’entrée facile se trouve dans l’analyse faite par CNN ou LePoint. Plus riche d’informations, les échanges qui ont lieu sur Quora. L’ensemble est assez circonspect : alors que CNN compare Facebook à Yahoo!, et lui promet un avenir similaire (j’en connais chez Yahoo! qui vont apprécier), les contributeurs de Quora sont plus circonspects (via leurs billets sur ReadWriteWeb ou SocialBeat). Fred Cavazza s’interroge également : faut-il investir ?.

Côté opportunité

  • chaque utilisateur coûte $1/an (en coût de structure : serveurs, etc.). Le bénéfice net de la dernière année = $1MM : je vous laisse calculer combien coûte 800M. de membres, et donc combien rapporte un inscrit… . 1$, c’est le salaire mensuel que se versera Zuckerberg à compter du 01/01/2013, contre les 500.000 actuels : je vous rassure, la compensation se trouve dans les dividendes !

Côté risque

  • la gouvernance de l’entreprise réside toujours autant entre les mains de Zuckerberg (24% du capital, 56,9% des droits de vote) et c’est une première dans l’histoire des entreprises d’une telle taille. La question de sa délégation, ou de sa succession, commence à se poser. On parle beaucoup de Sheryl Sandberg à ce sujet ;
  • la part des revenus publicitaires, certes énormes, a baissé de 98% à 85% (dont 12% assurés par Zynga), dévoilant les besoins de diversification (monnaie virtuelle par exemple). Dans le même temps, le budget marketing a dépassé celui de la R&D : dès lors, on peut se demander sur quel levier va reposer la diversification ;
  • 57% des utilisateurs ont un usage quotidien (soit 800 millions x 57% = 456M). Facebook estime que ce chiffre va stagner, il compte travailler du coup sur un meilleur engagement des utilisateurs dans la plateforme ;
  • Google est le concurrent le plus sérieux identifié (notamment à cause de Androïd sur les smartphones), viennent ensuite les réseaux socionumériques locaux (Inde, Chine). Effectivement, Facebook n’est pas une application mobile-native, et il pourrait lui en coûter ;
  • la mise en conformité des règles de confidentialité avec le cadre réglementaire européen pourrait s’avérer problématique. Même si ce dernier s’est homogénéiser, le consentement explicite, l’extra-territorialité et les 2% de CA comme sanction vont peser lourd !

Tant qu’on y est…

Après la publication de l’audit sur Facebook par la Commission de contrôle des Données personnelles (Irlande) qui avait minoré les failles pointées par Max Schremm (étudiant en droit autrichien), ce dernier devrait rencontrer un responsable de Facebook prochainement. Même si le régulateur irlandais semble timide aux yeux de l’étudiant (et du collectif Europe vs. Facebook), l’entreprise a quand même admis qu’elle allait réduire certains niveaux de collecte ou de conservation (via PCWorld).

Au tour de Google

Google met à jour ses règles de confidentialité (valable à partir du 1er mars). Plus exactement : il les unifie (de 70 versions à 1 seule !), il n’y a pas de réel changement substantiel (quoique…). Il s’agit ainsi de se mettre en conformité avec le règlement de la FTC (au départ pour Google Buzz) en simplifiant la compréhension de ces règles par les utilisateurs (Facebook doit faire de même). Une étude a montré qu’il nous faudrait 300 heures (7 semaines et demi) pour lire intégralement toutes les règles de confidentialité des services web que nous utilisons chaque année (on en parle ici, et l’article est là : MacDonald A. et Cranor L. F. Cost of Reading Privacy Policies, I/S Journal, vol. 4, numéro 3, 2008 – accès réservé).

Du coup Microsoft, taxé il n’y a pas si longtemps d’être le Big Brother des PC, s’offre un petit tacle à l’encontre de son concurrent.

Publicité de Microsoft sur la nouvelle Privacy Policy de Google

Publicité de Microsoft sur la nouvelle Privacy Policy de Google

L’argument est qu’en uniformisant les règles de confidentialité en vigueur sur tous ses services, Google agrège du coup les utilisateurs dans un fichier unique. Il y a fort à parier que cette convergence existe depuis longtemps chez Google (via les identifiants de cookie), mais cela prouve une fois de plus le recentrement de Google au profit de son service Google+ (et sa traduction dans le social search). Toutefois, de la même manière que les Cercles ne peuvent reproduire la singularité des cadres expérienciels que nous vivons dans les interactions quotidiennes en face à face, on peut s’interroger sur l’opportunité d’uniformiser des règles au regard de la diversité des services proposés. Ainsi, je cite : Nous pouvons également être amenés à remplacer d’anciens noms associés à votre Compte Google, afin que vous soyez présenté de manière cohérente à travers l’ensemble de nos services. Or, entre un pseudo que j’utilise sur Blogspot, une identité que j’utilise avec mes étudiants sur GoogleGroups, celle que j’utilise quand je mets sur Picasa des photos de famille, celles de mes adresses dans GMail, et ainsi de suite : on voit la pluralité, et la nécessité de maintenir plusieurs facettes. C’est justement cette capacité à gérer nos multiples identités qui nous rend compétent pour la socialisation (Simmel) : vouloir réduire nos rapports individuels à une seule identité est – à mes yeux – fortement préjudiciable (c’est ce que j’entends dans mon titre de thèse par enjeux sociopolitiques).

Pour en revenir à la compagne de pub de Microsoft, il faut souligner qu’ils ne sont pas exempts de défauts : leur politique de confidentialité est exactement la même (Microsoft Advertising Policy Supplement) ; et les instruments de régulation offerts aux utilisateurs sont les mêmes : ils vont ainsi bientôt sortir un dashboard à la façon de Google. La gueguerre est donc partie : Google vs. Microsoft ce coup-ci, notamment dans la réponse suivante (Busting Myths about our Approach to Privacy). S’ajoute à cela nombre d’autres fronts : contre l’EPIC (pour qui le social search est en contradiction avec le règlement imposé par la FTC), contre les Représentants du Sénat américain (qui s’étonnent de ne pas voir d’opt-out). Bref, ces nouvelles règles semblent plus complexes que la simplification souhaitée au départ. Mais est-il possible/souhaitable d’envisager une modélisation/implémentation simpliste des interactions sociales pour une meilleure régulation de la vie privée ?

Laisser un commentaire