Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

C’est lundi, c’est privacy

[bulletin à parution irrégulière]

Du côté de la régulation

  • Le Groupe de travail de l’Article 29 a réaffirmé – auprès des indutriels de la publicité comportementale en ligne – son souhait de changer les modalités d’adhésion des internautes auprès des services web. Une opinion finale devrait être publiée d’ici à la fin de l’année : l’opt-in actif devra être implémenté dans les processus d’inscription et de traitement des données personnelles par les entreprises web (y compris extérieures à la Communauté européenne).
  • Le groupe de recherche Consent (dans le cadre du 7ème programme de la Communauté européenne) organise un questionnaire en ligne sur notre perception du traitement des données personnelles dans les situations de commerce électronique et de réseaux sociaux numériques. Les résultats seront communiqués aux décideurs politiques européens et experts juridiques dans le but d’encourager le renforcement de la protection des consommateurs et internautes.
  • [Ajout de dernière minute] Comme indiqué par Karl Dubost [merci ;-)], je signale la naissance au sein du W3C du Tracking Protection Working Group : dans la lignée du Do-Not-Track, ce groupe de travail doit livrer des recommandations (Juin 2012) sur des mécanismes techniques de signalement (HTTP Header, DOM), des best practices et le processus de constitution collaborative de white/black lists.

Du côté technique

  • La lente adoption d’IPv6 (les spécifications de l’IETF datent quand même de 1998) s’expliquerait – en partie – par les atteintes à la vie privée que contient le protocole. En effet, plusieurs risques (déjà signalés par l’IETF, et dans cet article) sont à connaitre : comme il n’y a plus besoin de NAT, IPv6 (en adresse statique) va être en lien direct avec l’adresse MAC des composants réseaux. L’adresse IP risque alors de devenir une données personnelle (cf. la jurisprudence, et le marketing). Idem, avec DHCP, désormais obsolète : or, de nombreuses organisations ont développé des stratégies de contrôle du réseau basé sur ce mécanisme d’allocation dynamique. Dans l’entre-deux de la migration, il risque d’y avoir de nombreuses failles et attaques.

Du côté des éditeurs

  • Lobbying à tous les étages chez Facebook : les chasseurs de têtes ont fait leur boulot ! Mission Washington et Capitol Hill pour l’ancienne assistante personnelle de Barack Obama aux affaires législatives ; et direction Bruxelles pour une lobbyiste confirmée (groupement industriel, ICANN, ancienne député européenne). C’est ça aussi le networking !

Ça bouge dans le domaine de la certification d’identité

  • AirBnB est une start-up proposant une plateforme sociale de couchsurfing : suite au bad buzz d’une blogueuse qui a retrouvé son appart’ complètement dévasté, l’entreprise a décidé de renforcer son système de certification d’identité (real name policy et profilage plus dense, vérification du n° de téléphone, interconnexion avec Facebook et Twitter). Sur ce dernier point, cela signifie la confiance, et la croyance en la capacité des deux réseaux sociaux numériques à authentifier l’identité des internautes. Posture intéressante : à voir si les risques d’usurpation, ou de fake, vont se réduire par ce système (via BlogoErgoSum).
  • Lancement de SquareUp, un service créé par Jack Dorsey (co-fondateur de Twitter) pour faciliter le paiement électronique via mobile + lecteur de carte de crédit. Une start-up dans laquelle on  retrouve Marissa Mayer (Google VP), Kevin Rose (fondateur de Digg), Joshua Schachter (fond. de Delicious), Shawn Fanning (fond. de Napster), Dennis Crowley (fond. de Foursquare), des business angels comme First Round Capital ou Sequoia Capital, et … Alyssa Milano (la sorcière de Charmed). La Société VISA est aussi entrée au capital. A noter enfin la présence de Xavier Niel (Iliad/Free) : une adoption de service et des usages à surveiller, avant sa venue en France… (voir d’ailleurs comment les concurrents s’organisent)
  • Une analyse condensée et intéressante de la stratégie de Google sur ces derniers mois (via les Échos) : le passage d’un business model d’indexation algorithmique des documents à celui d’authentification de l’identité des internautes, via une meilleure considération du social. Les usagers vont-ils suivre, et accepter de confier à Google (et à sa real name policy) un processus qui est au cœur de l’interaction sociale ? L’État qui détient encore ce processus via le registre civil va-t-il laisser faire ? Et les concurrents (cf. Facebook Connect, Twitter) ?
  • Pour compléter l’analyse, je renvois à l’article de Doc Searls sur Project VRM : tout l’écosystème de Google (de + à Wallet en passant par Checkout, Latitude, etc.) tend en effet à s’orienter sur la certification d’identité (IdP : Identity Provider, cf. NSTIC). Or les seuls à disposer de ce pouvoir dans le secteur privé sont les banques (Square l’a bien compris, et Google aussi qui a signé un partenariat avec Citigroup et Mastercard), et la seule information qui manque à Google, c’est l’identité civile.

To Google, Twitter and Facebook, pseudonyms, handles and nicknames are for users. Real names, or common names, are for customers. And real names tend to be what we have on our credit cards and government-issued identification cards and documents, such as drivers licenses and passports. When a seller wishes to authenticate us, that’s what they ask for.
Note carefully: Most users don’t pay. All customers pay: that’s what makes them customers.

  • L’entreprise ne se situe plus dans une économie documentaire (le search) ou éditoriale (Blogger, même Google+ n’est pas destiné à étaler sa vie ou ses opinions) : c’est cette volonté de se situer dans l’économie de l’intention (l’acte d’achat) qui motive la real name policy de Google. L’envie d’être where the demand chain meets the supply chain. Doc Searls ajoute que le porte-monnaie (wallet) est un agent de notre autonomie individuelle : c’est une vision très moderne du capitalisme, qui veut nous faire croire que la consommation est seule capable de nous faire sentir exister (cf. Boltanski ou Illouz).
#nymwars Mobile phone and credit card own 1 thing that websites and browser (and Google) don't have : they own our real name
@artxtra
Julien PIERRE

Du côté de chez LOL

  • Une confrontation d’articles instructive sur LDH-Toulon : MetaMorpho® est un ABIS qui a reçu l’aval du NIST, du FBI, d’Interpol. On applaudit à deux mains (vous allez voir pourquoi…) : c’est une technologie française ! Le dispositif créé par Morpho (groupe Safran, j’en avais parlé à propos d’Aadhaar) permet non seulement de capturer les empreintes digitales, mais aussi le contour de la main. Comme c’est une technologie sans trace (à la différence des empreintes pour ceux qui auraient les doigts sales), la CNIL est moins exigeante : il n’y a qu’un pas à franchir pour considérer qu’elle fermera les yeux si l’on opte pour le contour palmaire. C’est ce qu’a dû penser le gestionnaire de la piscine de Nogent-sur-Marne, qui non content de dissuader les resquilleurs, a tamponné de partout que son matériel était agréé CNIL : le constructeur (Zalix Biométrie, propriété du groupe Tranchant : les casinos) précise bien que le contour de la main requiert quand même une demande d’autorisation (cette dernière portant non sur la technique ou le matériel mais sur la finalité déclarée). Ainsi, il est intéressant de comparer selon quelle approche les organismes gèrent leur agrément : par la technique pour le NIST, Interpol, le FBI ; par les usages côté CNIL. Ainsi, à défaut d’avoir (demandé) celui de ce dernier, les acteurs socioéconomiques (gestionnaire, constructeur) mettent en avant l’agrément et la performance techniques. Comme MetaMorpho® est aussi utilisé par la Police Nationale et la Gendarmerie, et que le FAED intègre aussi le contour palmaire, et que les finalités de ce fichage se sont depuis longtemps éloignées de la délinquance sexuelle, on peut une fois de plus craindre que face au faible respect ou contrôle ou à la confusion des finalités associées à ce genre de dispositif (du ludique au carcéral), les usages liberticides se banalisent (dans le genre craintif, on pourra aussi s’intéresser à l’adoption de la plateforme d’écoutes judiciaires développée par Thalès).

Littérature scientifique

  • Sur InternetActu, un article à propos d’Alessandro Acquisti sur la performativité de la fouille de donnéesle plus gros problème ne repose pas tant sur la violation de la vie privée que sur l’inexactitude des données extraites des techniques d’extraction. Tout traitement algorithmique, sur des données personnelles commensurant des actes humains (a priori irrationnels, mais en fait hautement complexes à modéliser), peut avoir comme effet perlocutoire une perception fausse de la réalité : publicité mal ciblée dans le cas du marketing, et par extension présomption de culpabilité et interdiction d’accès dans celui de la certification d’identité.

Laisser un commentaire