Les identités numériques

carnet de recherche vie privée données personnelles identité numérique dispositif identitaire sciences de l'information et de la communication facebook google réseaux socionumériques

C’est vendredi, c’est privacy

[Bulletin à parution trètrès irrégulière ]

Reprise en main

  • Facebook retreats on Privacy (Wall Street Journal) : la Commission fédérale américaine du commerce (FTC) a placé en tête de ses priorités le respect de la vie privée des cyber-consommateurs (cf. les initiatives  Do Not Track présentées dans les épisodes précédents). Dans ce sens, la Commission est en train de valider un nouveau règlement pour Facebook afin que celui-ci signale (ce qui est déjà le cas) et surtout obtienne de ses abonnés leur consentement avant l’application de nouvelles règles de traitement de leurs données à caractère personnel. La méthode pour obtenir ce consentement n’est pas signalée (opt-in ? opt-out ?).
    Google a signé cet accord l’an passé, lui interdisant d’utiliser les données de GMail avec Google Buzz : l’accord ne prévoyait pas l’existence de Google+, et c’est peut-être bien parce que Buzz s’est fait retoqué par la FTC que G+ a vu le jour, et que la plateforme logicielle s’est inversée : désormais ce n’est pas un service comme GMail qui donne accès à d’autres services comme Buzz (auquel cas il y aurait interconnexion des traitements, ce que refuse la FTC), mais le compte Google (Profile) qui donne accès à tous les services logiciels.
    Pour revenir à Facebook, l’accord stipule aussi que l’entreprise devra faire auditer régulièrement ses règles de confidentialité par une autorité indépendante pour les  20 années qui suivront la signature de l’accord.  Google a la même obligation, quant à Twitter il devra le faire tous les 10 ans. Zuckerberg aurait aimé qu’il ne dure que 5 ans…
    Ce règlement Facebook-FTC devrait intervenir avant l’entrée en bourse de l’entreprise (dont les rumeurs disent qu’elle devrait avoir lieu avant avril 2012, en raison du calendrier de la finance américaine).
    L’adoption d’un tel règlement va impacter les relations de Facebook avec les développeurs d’applications-tierces, et forcer un peu plus en prendre en considération le modèle du privacy by design.
    Parallèlement, alors que de nombreux chercheurs tentent de lever l’opacité sur les mécanismes de traçabilité déployés par Facebook (comme passé un temps le retro-engineering sur l’algorithme de Google), l’entreprise vient de déposer un brevet relatif à la corrélation entre données collectées (y compris hors domaine) et publicité ciblée. Un porte-parole de Zuckerberg jure que Facebook does not track people over the Internet
  • Google va proposer un opt-out pour les routeurs wifi (NYTimes) : on se souvient que la Google Car avait sniffé les routeurs wifi dans les rues où elle passait. Se cachant derrière le désormais classique argument du Oops ! It was a bug, Google en profitait pour construire un système GPS au sol servant à  trianguler plus facilement la position des mobiles Androïd (Apple fait pareil, mais sans voiture), et leur fournir moult services de géolocalisation et publicités pour des commerces de proximité . Aux Pays-bas, on a trouvé que c’était particulièrement intrusif en termes de vie privée pour les propriétaires des routeurs wifi. Du coup, un accord a été signé entre le gouvernement néerlandais et Google : les propriétaires de box pourront rajouter _nomap à la fin du nom de leur routeur. C’est de l’opt-out [a bad farce comme me le glisse Karl Dubost hors antenne], ça fonctionne seulement pour Google, mais ce mécanisme est valable partout où la Google Car est passée !

Du côté des régulateurs

  • Mise à jour de la Directive 95/46/CE : prévue pour janvier 2012, la nouvelle directive devrait s’atteler à une protection très forte des données personnelles des citoyens européens, et ce de manière transnationale. En effet, Viviane Reding a été très claire sur le fait que les entreprises fournissant aux citoyens européens des services web pour lesquels sont collectées des données à caractère personnel  devraient se soumettre au droit européen, même si ces entreprises (ou leurs serveurs) ne se situent pas sur le territoire de la Communauté européenne. De même, cette collecte devra être soumise au consentement explicite des titulaires (opt-in).

Du côté business

  • Le NSTIC avance petit à petit (des entreprises françaises se demandent — et me demandent —  si elles doivent l’intégrer à leur business model) : le projet vient de se voir allouer une enveloppe de 16,5 milliards. Même si c’est moins que les 24 milliards réclamés par son organisme de tutelle (le NIST), il faut resituer cette attribution dans le contexte de crise, et signaler que même la NASA s’est vue amputée une partie de son budget.
  • Une critique intéressante compare le NSTIC à un digital totalitarianism : Christine Schachinger trouve séduisant le discours d’accompagnement du NSTIC, mais son application peut s’avérer extrêmement dangereuse (comme la bombe A, souligne-t-elle). Un peu comme avec la tendance à vouloir remplacer la carte bleue par un téléphone NFC (alors que tout le monde est content des moyens de paiement existants), l’auteur s’insurge contre l’idée de nous faire croire que nos mots de passe sont obsolètes alors que — selon elle — ils fonctionnent très bien. Cela reste à prouver, je constate au contraire que les usagers commencent à s’inquiéter de cet élément de sécurité et d’identité, ils bricolent petit à petit des moyens de blinder leurs mots de passe. Dans les échanges que j’ai avec des — jeunes — utilisateurs de Facebook, la question de la sécurité et des réglages de confidentialité arrive toujours en premier. Ce bricolage devrait peut-être s’accompagner ou laisser place à une couche plus forte de sensibilisation ou d’éducation, mais en aucune manière disparaitre au profit d’une solution exclusivement technique, qui générera à terme d’autres problèmes.
  • Par ailleurs, les commentaires du billet montrent à quel point l’auteure semble paranoïaque vis-à-vis du NSTIC. Elle défend l’idée (sur la base d’une vidéo des responsables du projet) que l’anonymat vanté au départ se réduit considérablement : les porte-paroles utilisent d’ailleurs le terme de pseudo-anonymat. En effet, C. Schachinger explique que l’anonymat est possible dans certaines transactions (commenter sur un forum) car le fournisseur d’identité joue le rôle de cache : il est dépositaire de notre identité réelle mais n’affiche qu’un pseudo (voire un laconique Anonymous). Les allocutaires du forum ont donc affaire à un anonyme. Mais, et c’est là que le bas blesse pour l’auteure, le fournisseur d’identité possède notre véritable identité, par laquelle il peut savoir aussi quelle transaction nous avons nouée (et quels messages nous avons postés, etc.). Dès lors, cet anonymat, effectif au niveau interactionnel, est un leurre au niveau industriel. Cet argument, à mon sens, est valable. Surtout qu’il est corroboré par le fait que les 4 premiers fournisseurs certifiés sont Equifax (acteur en intelligence économique), Paypal (c-a-d- eBay), Symantec (et donc VeriSign) et …Google !  Schachinger s’étonne que la FTC enquête sur le caractère monopolistique de Google (cf. le règlement signalé plus haut), et par ailleurs lui ouvre les portes d’un autre monopole. Sans verser dans la théorie du complot, on peut s’étonner avec elle de ce double discours.

Du côté des chercheurs

  • Je signale la sortie d’un n° d’Économie et Management (CNDP) consacré à Réseaux sociaux et identités numériques. Avec Stenger et Coutant, J.-P. Pinte et C. Balagué.
  • Le Power of Big Data a encore frappé : en partenariat avec l’université de Milan, Facebook dévoile qu’il n’y a plus que 4,6 degrés de séparation (et non plus 6 comme dans la théorie du petit monde de Milgram). Toutefois, l’enquête réaffirme que les connexions interindividuelles sont surdéterminées par 2 critères : l’âge et la localisation géographique. On est principalement ami avec des gens de notre âge et qui habitent au même endroit que nous.

Du côté des LOL

  • Je signale l’initiative de Max Schremm (étudiant autrichien en droit) qui en cherchant à obtenir TOUT ce que Facebook disposait à son endroit, s’est retrouvé avec 1200 pages de fichiers : « Même la CIA et le KGB n’en savent pas autant sur les gens », à partir desquels il a pu déposer 22 plaintes auprès de la Commission irlandaise de Protection des Données (le siège de Facebook Europe est en Irlande). J’en avais déjà parlé avant, mais Kim Cameron lui a consacré un billet. Entre le règlement de la FTC, la stratégie NSTIC de Google et la nouvelle directive européenne qui s’annonce, l’approche de Facebook sur l’industrialisation de la vie privée se trouve fortement mise à mal.

Laisser un commentaire