Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

Ce billet est l’occasion de reprendre la rubrique de veille, délaissée pendant la rédaction de la thèse. En ce qui concerne mon travail de recherche, je publierai dans quelques temps plus d’info sur Le cadre privatif : des données aux contextes (au jour d’aujourd’hui, la soutenance devrait se tenir courant avril 2013, selon les disponibilités des membres du jury).

Du côté des éditeurs

  • On commence léger avec Google, qui réfléchit à de nouveaux procédés d’authentification, notamment par des tokens de type clé USB, smartphone, voire même bijou annulaire, (via wired.com).
  • Marissa Mayer (Yahoo!), après avoir reçu un courrier de l’EFF, propose le HTTPS dans les sessions de Yahoo!Mail. C’est en option, ça arrive après des années de réclamation (c’est par défaut chez Gmail depuis 2010 et depuis peu dans Outlook.com), mais on va quand même dire que ça augure de bonnes résolutions 😉 [source : InfoWorld]
  • Facebook met en place ce qu’il avait annoncé dans son mail de novembre 2012 : le système de gouvernance pour la confidentialité des données est réformé (Facebook Site Governance). Le milliard d’inscrits n’aura plus qu’une seule interlocutrice, Erin Egan, et un formulaire, pour manifester son intérêt, son doute ou son mécontentement à l’égard du traitement des données personnelles réalisé par Facebook. La Chief Privacy Officer répondra une fois par mois ! Dans le même temps, Facebook réintroduit l’automatisation de la reconnaissance faciale sur les photos [c’est Génération NT qui l’affirme, mais je n’ai rien vu ailleurs…] et met en ligne l’arme de destruction massive qu’est Graph Search ! Il va être temps d’assumer ces likes : les inférences produites par croisement des anecdotes vont construire du sens qui risque d’être très fortement préjudiciable aux individus, et très rentables au commerce (petite revue de littérature : l’annonce de Facebook, les 1ères expériences chez Tom Scott, et les opinions partagées entre opportunités de business et risques majeurs).
  • ad_choices_moduleAprès avoir tardé à adopter l’initiative AdChoices, Facebook va finalement embarqué le petit logo dans ces pubs (via AdAge). Le mécanisme est le suivant (j’en parlais déjà ici) : TRUSTe (prestataire de la Digital Ad Alliance) enrichit les publicités comportementales avec un traceur permettant de suivre les traitements des données personnelles collectées à partir des encarts publicitaires. A partir de là, il est possible au titulaire de signifier son rejet du traçage comportemental (opt-out). Cette nouvelle politique va simplifier la tâche des partenaires de Facebook, comme Vivaki (filiale de Publicis spécialisé dans l’achat d’espace numérique). Ayant constaté que de nombreux annonceurs, sous la houlette de la FTC, réclamaient des campagnes avec notification éclairée, Vivaki  enjoignait les régies de Facebook et Amazon de franchir le rubicond de la transparence. Du coup, Amazon est le dernier des géants à l’heure actuelle à ne pas avoir adopté cette initiative (un article de janvier 2013, toujours dans AdAge). Toutefois, le design du dispositif ne sera pas le même, le logo d’AdChoice apparaitra au survol d’une pub (comme le petit X situé actuellement en haut à droite). En procédant ainsi, Facebook ne fait pas preuve d’une notification éclairée sur le traitement embarqué dans ses encarts. C’est une illustration des hiatus entre front-end et back-end politics que je développe dans la thèse, en reprenant à Richard Rogers des outils que j’applique aux Industries de la Certification d’Identité et de la Réputation (ICIR) et à Google (cf. les NymWars).

Du côté des législateurs

  • Suite de la mise à jour (directive 95/46/CE) : le Parlement approuve le rapport présenté à propos du futur cadre réglementaire de protection des données personnelles en Europe, et met en avant le besoin de construire une autorité transnationale indépendante, une CNIL européenne [source : europa.eu]
  • Nym Wars, épisode 2. L’Allemagne veut du pseudo, et demande à Facebook d’autoriser ses membres à se présenter sous une fausse identité [source : datenschutzzentrum.de]. Pendant ce temps, en Chine, avec plus d’un milliard d’utilisateurs de téléphone mobile (dont 20% en 3G), les fraudes identitaires se multiplient : le gouvernement vient donc de faire adopter une loi à double tranchant. D’un côté, consentement éclairé des usagers (pour éviter spam et autres joyeusetés), de l’autre identification obligatoire en nom propre et collaboration forcée des FAI placée sous la surveillance d’une Haute autorité. Comme le dit un commentateur :

The Internet needs not only self-purification, but also outside discipline
[source : china.org.cn]

On appréciera l’association entre discipline et purification : comme disait Confucius (…à moins que ce soit le grand Mao ?), « Web sucks ! »

  • Pendant ce temps, en France, on réfléchit à taxer la chaine de valeur des données personnelles. Ainsi, Colin & Collin, les deux rapporteurs, estiment que les internautes fournissent un travail gratuit en livrant des données personnelles sur le web (saisie endogène). A l’autre bout de la chaîne, les entreprises excellent dans l’optimisation fiscale. Il y a un jeu d’externalités au détriment du titulaire qui se renforce au fur et à mesure que se développe l’économie numérique : son business model repose ainsi intégralement sur le traitement de ces données personnelles (traitement qui permet de réduire les aléas dans la commercialisation des biens, autre point de la thèse). Cette taxe serait proportionnelle au cadre privatif appareillé par les opérateurs de la chaîne de valorisation, sur le principe du pollueur-payeur. Elle requiert donc d’une part un déploiement à l’international (dans la mesure où l’on peut fixer un « établissement stable » de ces acteurs économiques), d’autre part une explicitation du cadre privatif. Cette deuxième partie pourrait d’ailleurs donner lieu à de nouvelles activités économiques : gardiens du temple des données personnelles d’un côté, meilleurs services d’analyse de l’autre. On va en voir quelques exemples pas plus tard que tout de suite…

Du côté des écosystèmes nationaux

  • IdéNum : Fleur Pellerin remet à l’ordre du jour le projet initié par NKM, afin de réduire la même inquiétude que la taxe précédente. Les systèmes d’IDaaS sont pour l’instant des offres étrangères (cf. le premier point de ce billet, à propos du futur token de Google) : il s’agirait alors de nationaliser ce secteur (au profit d’acteurs publics et privés : Euro Information – Crédit mutuel et CIC -, Pages Jaunes, SFR et La Poste). L’annonce a d’ailleurs été faire lors du Forum internationale de la Cybersécurité (à Lille), avec des références à Morpho, EADS, Thales et toute la bande… [source : Le Monde]
  • IdA : dans le cadre de la réforme du système de prestations sociales au Royaume-Uni, le gouvernement conservateur a mis en place un système appelé Universal Credit (prestation unique)  par lequel toutes les allocations (chomage, logment, etc.) sont regroupées et gérées par l’individu via un portail en ligne (GOV.UK). La connexion au site se fera par un tiers de confiance certifiant l’identité de l’allocataire. Ces tiers ne seront plus des agents publics, mais des entreprises privées ayant répondu à un appel d’offre. Voilà pour ce qui avait été publié à l’automne 2012. A cette époque, et reprenant le discours officiel, Facebook, Google ou PayPal avaient été annoncés comme des tiers plausibles (ou à tout le moins, l’une des mentions dans le cahier des charges stipulait que le tiers devait permettre l’interconnexion entre le compte gov.uk et ceux de Facebook ou Google). Tout le monde y était allé de son laïus pro libéral ou dénonçant la privatisation du bien public (et des prérogatives royales), pire : la crainte de voir revenir par la fenêtre la carte d’identité nationale détruite à grand bruit précédemment. mais comme l’affirmait alors Andrea di Maio (gartner research), il n’y aura pas de base de données centralisée (je précise : au niveau national; elle sera en fait distribuée à travers les différents prestatataires). Et les nominés sont… The Post Office, Cassidian (ex EADS Défense), Digidentity (des tiers-de confiance hollandais), Experian (entreprise française leader dans la gestion du risque financier), Ingeus (groupe australien spécialisé dans les RH et la réinsertion), Mydex (start-up anglaise surfant sur la tendance MiData) et Verizon (géant américain des télécom et de l’identité numérique). Bon la liste date de novembre 2012, mais PayPal (et donc eBay) a été rajouté récemment… Plusieurs remarques à propos de cette liste : peu d’acteurs nationaux, des tailles et des activités très variés (de la start-up à la multinationale), des origines liées au risque financier et au savoir-faire militaire, et surtout l’absence de Facebook et Google, pourtant donnés comme exemple au lancement du projet. Ça confirme la structuration des Industries de la certification d’identité et de la réputation (ICIR) évoquée dans la thèse.

Du côté des pratiques sociales

  • Un sondage EMC/IFOP compare les représentations entre parents et enfants (11-17 ans) de l’usage des TIC numériques, et principalement du web [version PDF complète]. A part quelques écarts significatifs sur lesquels je vais revenir, l’un des indicateurs intéressants est la méfiance à l’égard du traitement des données personnelles, et les pratiques qui s’en suivent. 59% des enfants et 58% de leurs parents considèrent l’Internet comme étant dangereux. Cette méfiance viendrait de la sensibilisation opérée d’abord par les parents (68%), puis par l’école (45%). Sans surprise, c’est dans la sphère privée qu’on apprend ce que veut dire la vie privée, et la délégation de surveillance aux parents s’estompe avec l’âge (on ne donne plus son mot de passe, on n’utilise plus de solution de contrôle parental, mais reste-t-on encore amis sur Facebook ?). Dans les usages, l’enfant ne donnerait pas d’éléments identifiants, encore moins aux inconnus. Et c’est là que s’opère une différenciation avec les représentations des parents, qui imaginent leurs chères têtes blondes complètement immergées dans la toile, et prisonnières des dangereux narco-pédo-serial-terroriste dont on parle ci-dessous.

Big Brother aussi aime le LOL

  • Je n’en dirais pas plus, Michel Guillou a très bien résumé le site E-Reputation de la Mairie de Paris : du gros LOL ! Pour preuve du discours de la peur que véhicule ce projet (y a que des super-vilains sur Internet), on trouve parmi les 5 sites proposés en lien la CNIL (OK, jusque là tout va bien) puis le Ministère de l’Intérieur, le Portail de la Sécurité informatique, la Préfecture de Paris et la Police Nationale. Ne crains plus rien, jeune internaute, le RAID viendra bientôt débusquer les dangereux anonymes qui se moquent de toi !
  • Vive le Royaume enchanté ! Puisque le web, c’est mâââl, tous les bambins (et leurs parents) qui iront s’amuser chez Mickey porteront dorénavant un ma-gni-fique ruban avec des super-pouvoirs magiques inside ! Niché à l’intérieur d’une boucle en latex, une puce RFID remplacera le ticket de parking, le billet d’entrée, les FastPass et même la carte de crédit. Reliée à un site web et une appli mobile, MyMagic+ pourrait bien être l’innovation majeure pour tout ce qui concerne les parc d’attraction et autres grands complexes touristiques (et bientôt dans les hypermarchés, les parcs régionaux et les cours d’école). Coût estimé : entre 800 millions et 1 milliard de dollars. Quant on sait que Disney accueille 12 millions de personnes par an, et génère 13 milliards de revenus, le développement et surtout le ROI semblent judicieux. De même que l’est la remarque du sous-traitant du dispositif :
When Disney makes a move, it moves the culture
  • C’est aussi un formidable vecteur d’adoption sociale sur un équipement à priori anodin, quasi ludique. Pourtant, avec son ruban magique, Disney va s’offrir l’un des meilleurs outils de traçage et d’analyse comportementale. Mais tout ça, c’est pour le fun, einh ?

MagicBands can also be encoded with all sorts of personal details, allowing for more personalized interaction with Disney employees. Before, the employee playing Cinderella could say hello only in a general way. Now — if parents opt in — hidden sensors will read MagicBand data, providing information needed for a personalized greeting: “Hi, Angie,” the character might say without prompting. “I understand it’s your birthday.”

[source : New York Times]

  • Anticipation toujours ! Après l’internet du frigo, la voiture connectée : il s’agit d’un essai mené à Ann Arbor, où quelques 3000 voitures communiquent entre elles. Et qu’est-ce qu’une voiture peut bien raconter à une autre voiture ? Sa vitesse, son trajet, et surtout les incidents qu’elles rencontrent (obstacle, ralentissement, etc.). Les signaux émis par un véhicule sont perçus dans une sphère de 400 mètres (Digital Short Range Communications ou DSRC, du 802.11p), et traduits sur un écran vidéo dans l’habitacle (Ne pas dépasser, Ralentir, etc.). Si les avantages paraissent évidents en termes de sécurité routière, des questions se posent néanmoins  : au niveau du dispositif, si l’interfaçage entre les contrôleurs de la voiture et ceux du DSRC  est indépendant, la réception des certificats est problématique. Il suffirait qu’un composant soit en panne (la pression des pneus par exemple) pour que tout le dispositif soit mis hors service. Dès lors, un véhicule deviendrait muet et ne serait plus pris en compte par ses voisins (son certificat serait blacklisté). Encore plus dangereux que l’angle mort…
    Du point de vue des données personnelles, Christie Dudley, une experte de l’IEEE mandatée pour l’audit du dispositif, présente au cours d’une conférence du Computer Chaos Club les risques d’un tel dispositif : publicité géolocalisée, partenariat entre le DSRC et des opérateurs de service type TomTom, traçabilité encore plus forte des véhicules et de leurs occupants, possibilité d’accès aux données du véhicule par la police, ou pire encore, par des pirates !!! [source : computerworld]

Et pour finir, une bande-annonce d’un documentaire présenté au Sundance Film Festival : Terms And Conditions May Apply (via IAPP Daily Dashboard).

TACMA Preview from Hyrax Films Private on Vimeo.

[EDIT : Grrr… les TACMA de Vimeo (et du producteur de la vidéo) nous conduisent à regarder cette bande-annonce à la source !]

6 commentaires pour C’est lundi, c’est privacy

  1. Gabriel dit :

    Avez-vous regardé de côté théorisé par Fernando Pessoa en littérature ? Il parle d’hétéronymat, c’est à l’origine une figure qui consiste à faire vivre des pseudonymes en leur donnant les attributs d’une vie réelle …

    Cette notion d’hétéronymat définit d’autres pratiques du numérique, comme la potentielle discontinuité entre personne physique et personne numérique, due à la liberté créative du ou des pseudo mais aussi à l’inévitable incomplétude engendrée par l’outil de communication.

    Elle permet notamment de définir des moyens juridiques et techniques de protection de l’individu.

    La FING publiait en 2009 : http://www.internetactu.net/2009/07/15/lhomonyme-dheteronyme/

    Qu’en pensez-vous ?

    • Julien PIERRE dit :

      Bonjour,
      La littérature regorge de questions relatives à l’identité (ne serait-ce que par le biais du nom de plume) : dit autrement, non je n’ai pas regardé du côté de Fernando Pessoa, je le mets dans ma liste des tâches.
      Quant à la question de l’hétéronymat, je la resitue à la fois dans l’institution du nom (le pouvoir d’attribuer une identité à un tiers, pouvoir régalien séculier) et dans les pratiques sociales. S’attribuer son propre nom nous permet de prendre de la distance avec l’institution (c’est le cas du pseudonyme), d’affirmer sa singularité (et une part de créativité), mais reste toujours dépendant des cercles sociaux dans lesquels on va user de notre hétéronyme : ce sont d’ailleurs souvent les autres qui nous nomment, en usant de conventions établies dans l’espace social (même dans les canaux d’IRC/salons des MOORPG où la créativité était grande, le nom reste empreint d’un cadre de référence sociotechnique).
      Les sujets vont certes chercher à communiquer leur singularité, et les espaces numériques seront pour eux un laboratoire intéressant, mais pour l’essentiel, il y a souvent une quête de congruence, de cohérence entre les différentes identités qu’on pourrait déployer : parce que justement les interactions sont rarement monomédiatiques (l’identité est multi-située). Ricoeur parlerait quant à lui de cette identité narrative qu’on essaye de construire sur le long terme. Ça rejoint le projet Pessoa/FING/Detraigne&Escoffier, mais ça reste à la marge des pratiques. De plus, la certification des hétéronymes requière toujours un rapport de proximité avec l’institution (même si celle-ci délègue à des tiers privés).
      Les projets (NSTIC, Idénum) proposent des hétéronymes certifiés institutionnellement, on verra à l’usage…

      • Gabriel dit :

        La référence à Paul Ricoeur est très juste. Il a pensé l »identité en la diffractant : ipséité et mêmeté. La première est lieu de risque car d’exposition, la seconde est lieu de sécurité, dans le groupe où sont les mêmes. Cette dichotomie est très éclairante. En observant comment un réseau social organise l’espace pour ses membres, il crée quoi qu’il fasse des situations où l’ipséité s’articule avec des risques rarement explicités. Cliquer sur « j’aime », cela reste de la mêmeté, j’aime comme les autres, il n’y a pas de grand danger à cela. Je saisis un statut et m’exprime librement, et je suis dans l’ipséité la plus nette avec tous les risques d’une parole autonome…

        • Julien PIERRE dit :

          Il y a – selon moi – un risque énorme avec la mêmeté (ce que Ricoeur nomme d’ailleurs identité numérique) : celui de la discrimination, quid si je n’aime pas comme les autres ? Si je ne suis pas comme eux ?. Le noyau de mêmeté est ce qui sert d’identifiant dans de nombreux dispositifs identitaires (ADN, N°INSEE, badges et tokens, couleur de peau). Un risque d’autant plus grand que les espaces de publicisation de l’identité narrative prennent ce noyau de mêmeté pour clé d’authentification : dire qu’on aime quelque chose (ou cliquer sur le bouton) relève de l’identité narrative (je peux ne plus aimer quelque chose / quelqu’un, mais cette expérience contribuera à construire ce que je suis : on est bien dans le registre de l’ipséité), mais 1), l’identifiant requis 2), le système d’écriture (RDF) rangent cette expression de soi dans la mêmeté : l’oubli de cette expérience n’est plus possible (alors que notre cerveau va faire le tri : se souvient-on de tous les boutons J’aime sur lesquels on a cliqué ?), nous sommes complètement aliéné par ce triplet, cela devient de la mêmeté.

          • Gabriel dit :

            Vous dites à propos de la mêmeté « ce que Ricoeur nomme d’ailleurs identité numérique », auriez-vous la référence ?

            Je me suis lancé, il y a quelques temps, dans une philosophie-fiction : une étude (7 posts dans mon blog) pour interroger la question de l’« homme en relation » telle qu’Hannah Arendt la pense au sein de son œuvre sur la Condition de l’homme moderne, avec une attention particulière à sa deuxième partie consacrée au domaine public et au domaine privé. Avez-vous croisé la pensée d’Hannah sur votre sujet ? Je crois que ce serait riche.

            Le web réifie notre identité en la numérisant.

          • Julien PIERRE dit :

            Pour Ricoeur, la référence est « L’identité narrative », un texte publié par la revue Esprit, 1988, http://www.esprit.presse.fr/archive/review/article.php?code=12865
            Pour Arendt, j’utilise la même référence que vous, sur l’opposition entre privé et public, et du coup celle entre le corps et l’esprit. J’insiste notamment sur l’idée que la sphère privée apporte les conditions de participation à l’espace public (être identifié comme maitre de l’oïkos : avoir réussi à se débarrasser des choses matérielles pour s’occuper des choses spirituelles) tout en étant à la fois le refuge pour le corps après cet usage public de la raison.
            Vous avez raison en parlant de réification : elle opère à plusieurs niveaux. Numérique, marchand, ontologique (dans tous les sens du terme).

Laisser un commentaire