Liste des liens
L'annonce sème le doute sur la sécurité des données génétiques.
Avec les tests d'ADN effectués chez soi, une nouvelle opportunité se présente pour les enquêteurs de police. Aux États-Unis, le FBI est récemment entré en collaboration avec Family Tree DNA, une entreprise qui propose à tout un chacun de prélever son propre ADN pour le faire analyser. Ces kits prêts à l'emploi se composent de deux bâtonnets pour prélever l'ADN à l'intérieur de la joue. Le kit est ensuite renvoyé à l'entreprise pour être analysé et établir l'arbre généalogique ainsi que l'origine du volontaire.
Pour la première fois, une société privée de ce secteur a accepté de mettre volontairement à disposition des forces de l'ordre une partie de ses données. Néanmoins, le FBI ne peut pas parcourir librement la base de Family Tree. Dans un communiqué, l'entreprise détaille sa relation avec le Bureau d'investigation en précisant n'avoir signé aucun contrat et dit travailler au cas par cas pour comparer des échantillons à sa bibliothèque de données. Elle revendique avoir contribué à moins de dix enquêtes.
Depuis deux ans déjà, la police et le FBI ont utilisé des données généalogiques publiques pour élucider des affaires non résolues. Le «Golden State Killer», un tueur en série soupçonné de douze meurtres et cinquante et un viols entre 1974 et 1986, a pu être arrêté en avril 2018. L'ADN collecté sur les scènes de crime a pu être confondu avec celui d'un membre de sa famille.
À LIRE AUSSI La maltraitance des enfants pourrait bien laisser des traces sur l'ADN
Enjeu de sécurité
Le rapprochement entre les deux organismes a engendré beaucoup de doutes sur la privatisation des données. «Globalement, je me sens abusée, je sens que ma confiance en tant que client a été trahie», a déclaré Leah Larkin, une généalogiste génétique de Livermore, en Californie, à BuzzFeed News. Le site offre à ses adeptes la possibilité de refuser d'apparaître dans les résultats dont peut se servir le FBI, mais cela implique que la fonctionnalité phare du test –retrouver des proches– n'est plus disponible.
Un généalogiste a relevé d'après un sondage informel réalisé aux États-Unis et en Europe que 85% des personnes interrogées sont à l'aise avec l'idée que les forces de l'ordre utilisent leur ADN.
Family Tree annonce recenser 1.021.774 entrées dans sa banque de données. À titre de comparaison, ses deux principaux concurrents dans le monde, Ancestry.com et 23andMe en possèdent respectivement dix millions et cinq millions.
« S’agissant de notre profil numérique, les données que nous choisissons de partager ne sont que la pointe de l’iceberg. Nous ne voyons pas le reste, cachés sous la surface des interfaces conviviales des applications mobiles et des services en ligne. Les données les plus précieuses sur nous sont inférées hors de notre contrôle et sans notre consentement. Or, ce sont ces couches plus profondes et que nous ne pouvons pas contrôler qui prennent réellement les décisions qui nous affectent, pas nous », explique Katarzyna Szymielewicz (@szymielewicz), cofondatrice et présidente de la Fondation Panoptykon, une association polonaise de défense des libertés individuelles et des droits de l’homme dans la société de surveillance (qu’on pourrait considérer comme l’équivalent de la Quadrature du Net en France) – dans une tribune pour Quartz.
Dans un graphique particulièrement parlant (à consulter en haute définition), la Fondation Panoptykon détaille les 3 couches d’information qui composent nos identités en ligne.
La première couche d’information est la seule sur laquelle nous avons le contrôle. Elle se compose des données que nous insérons dans les médias sociaux ou les applications (informations de profil, publications, requêtes, photos, événements, déplacements…).
La seconde couche est constituée d’observations comportementales et de métadonnées qui donnent un contexte à ces choix : position en temps réel, graphe de nos relations intimes et professionnelles, le temps que nous passons, les habitudes d’achat, les mouvements de nos souris ou de nos doigts…
La troisième couche est composée des interprétations de la première et de la seconde couche. Nos données sont analysées et comparées en permanence à d’autres profils pour inférer des corrélations statistiques significatives… Ce qu’on appelle souvent la personnalisation, mais qui vise plus à nous catégoriser qu’à nous distinguer.
Le problème est que si l’utilisateur contrôle la première couche, ce n’est pas le cas des deux autres. Or ces inférences permettent de déterminer beaucoup de nos comportements : profil psychométrique, QI, situation familiale, maladies, obsessions, engagements… Or, nombre de décisions contraignantes sont prises depuis ces interprétations et corrélations. Le problème est que le « double » numérique que le traitement de ces données produit ne nous est pas accessible… et que si nous y avions accès, nous pourrions ne pas nous y reconnaître. « Que diriez-vous si vous découvriez que votre « double de données » est malade ou émotionnellement instable, sans possibilité de crédit, ou plus simplement pas assez cool, et tout cela à cause de la façon dont vous faites vos requêtes en ligne ou de vos relations en ligne ? »
Les algorithmes prennent des décisions basées sur des corrélations statistiques. Et il est possible – même fréquent – qu’un algorithme interprète mal votre comportement… Le problème, souligne Katarzyna Szymielewicz est que si le résultat de cette analyse est discriminatoire ou injuste – « par exemple que votre demande de crédit est refusée parce que vous vivez dans le « mauvais » quartier, ou que votre demande d’emploi ne parvient pas à aboutir parce que votre réseau de relation n’est pas « suffisamment robuste » » – il n’y a aucune incitation du marché à le corriger. Pour la présidente de Panoptykon, nous ne sommes pas si loin du Score de crédit social chinois ! Nous devons reprendre le contrôle du traitement dont nous sommes l’objet.
Pour cela, il nous faut d’abord mieux contrôler la première couche de notre profil. Nous pouvons chiffrer nos communications, désactiver les métadonnées de nos images, veiller à ce que nos téléphones n’aient pas accès par défaut à nos emplacements, réfléchir à ce que nous partageons… Mais même en faisant ces efforts, nous ne pouvons pas contrôler ce qui est observé et interprété par les algorithmes dans les deuxièmes et troisièmes couches de nos profils. Pour Katarzyna Szymielewicz, il nous faut agir collectivement pour convaincre ceux qui font du profilage de modifier leur approche, de nous montrer leurs calculs, de nous demander notre consentement et de le respecter. Le RGPD accorde aux utilisateurs le droit de vérifier leurs données, y compris les profils marketing générés par-devers eux. « Tant que nous traitons les courtiers en données et les spécialistes du marketing comme des ennemis et qu’ils nous traitent comme une ressource exploitation, il n’y aura pas de place pour une conversation constructive ».
« Dans les faits, la vie privée se réduit comme peau de chagrin, il faut en avoir conscience » selon Alexandre Lazarègue, avocat spécialiste du droit numérique. « Et le droit concernant les données personnelles n’en est qu’aux prémices, les problématiques ne vont que se multiplier. »
Il est « impossible de protéger à 100 % » les données personnelles sur internet, constate Alexandre Lazarègue, avocat spécialiste du droit numérique, alors que Facebook est secoué par de nouvelles révélations sur l’accès d’autres géants du web aux informations privées collectées par la plateforme.
Serait-il possible de mieux protéger les données personnelles sur internet ?
Du point de vue de la sécurité informatique, même si le RGPD (Règlement général de protection des données, entré en vigueur au niveau européen en mai dernier) par exemple impose des obligations en termes d’architecture de réseau pour mieux protéger les données stockées, tout le monde sait qu’en réalité il est impossible de protéger à 100 % d’un piratage ou d’une perte de données.
Ceux qui transmettent leurs données aux plateformes et grandes entreprises doivent avoir pleinement conscience qu’il n’existe aucune assurance totale de ne pas voir demain ces données perdues.
Du point de vue du droit, les entreprises font en sorte qu’il est très difficile à chacun d’assumer pleinement ses droits, les contrats sont tellement déséquilibrés que le consentement est dans les faits imposé. Et leur puissance économique est telle que les sanctions uniquement économiques, même quand il s’agit de 4 % du chiffre d’affaires mondial comme le prévoit le RGPD a un faible impact au final, quand on se souvient que Facebook par exemple gagne 500 000 dollars toutes les 7 minutes.
Le RGPD est toutefois venu donner plus de droits aux utilisateurs de grandes plateformes, voit-on une évolution des usages depuis son entrée en vigueur ?
En tant qu’avocat, j’ai pu constater un intérêt des citoyens quant à la question de la protection de leurs données personnelles, qui s’est matérialisé notamment par une multiplication des recours auprès de la CNIL (Commission nationale informatique et libertés, NDLR), en particulier en ce qui concerne le droit à l’oubli. Il y a globalement une prise de conscience que les données sont précieuses et ne peuvent être vendues.
Mais dans le même temps, après six mois d’exercice du RGPD, on constate qu’il y a de quoi l’améliorer. S’il s’applique tant aux petites qu’aux grandes entreprises, on voit que dans les faits il est très contraignant pour les petites alors que les plus grosses peuvent trouver le moyen de s’y soustraire.
La philosophie du règlement permet normalement une relation immédiate entre utilisateurs et entreprises, avec la possibilité du choix laissé dans l’usage des données mais dans les faits, on en est très loin et il y a encore beaucoup à améliorer en la matière pour que ce soit effectif.
Quelles sont les limites du RGPD dont profitent les grandes plateformes du net selon vous ?
La problématique est dans l’exercice réel des droits, du fait du déséquilibre existant entre utilisateurs et fournisseurs de service. Le RGPD octroie des droits mais en réalité les utilisateurs sont pris au piège de ces plateformes qui, de fait, imposent le consentement.
Dès lors que l’utilisateur consent à donner accès à ses données, même s’il en a le droit, dans les faits il n’a pas la possibilité de vérifier comment elles sont utilisées ni qui y a accès et souvent il n’a pas conscience d’avoir accordé un accès aussi large, parce que personne ne lit les dizaines de pages de conditions d’utilisation.
Pourtant il faut que les individus aient conscience de leur responsabilité et qu’ils comprennent que ces données qu’ils publient, même en privé, elles sont diffusées pour l’éternité, quand bien même il y a le droit à l’oubli.Mais dans le contexte de révolution numérique il est difficile d’échapper à ces services, qui pourtant se basent sur le traitement des données. Vouloir y échapper ce serait désormais se mettre en marge de la société.
De nombreux enfants allemands se verraient privés cette année de la magie de Noël en vertu du règlement général sur la protection des données de l’Union européenne: désormais, ils n’auraient plus le droit d’envoyer leur liste de souhaits au Père Noël.
En Allemagne, le Père Noël pourrait avoir de la difficulté à exaucer les souhaits des enfants à cause du nouveau règlement général sur la protection des données de l'UE, relatent les médias allemands.
Dans la ville de Roth, située en Bavière, les enfants peuvent en fait depuis des années écrire sur un petit billet leurs souhaits, tels que «je voudrais devenir un jour pompier», et l'accrocher sur le sapin de Noël installé sur le marché de Noël local. Et la ville, épaulée par des organisations caritatives, fait de son mieux pour réaliser ces souhaits. Cette année toutefois, poursuit le magazine Focus, la municipalité a dû annuler l'action pour ne pas enfreindre le règlement.
La chaîne de radio Antenne Bayern a décidé de prendre les choses en main et a créé sans hésiter un nouveau billet de souhait, qui serait conforme au nouveau règlement. «L'ancien formulaire n'était plus conforme à la protection des données», a expliqué jeudi une porte-parole de la chaîne. Selon elle, il n'y avait pas sur l'ancien billet l'indication qu'il serait transmis à des tierces personnes, comme par exemple des sponsors.
Ainsi, après avoir consulté des experts en la matière, Antenne a mis au point un nouveau prototype de billet précisant cette indication, que les parents sont tenus de confirmer par l'apposition de leur signature. «Nous sommes ravis d'avoir sauvé l'action et de redonner de la joie aux enfants», a souligné la porte-parole.
La municipalité a de son côté assuré travailler sur «une solution pratique orientée vers l'avenir», qui ne serait toutefois réalisée que l'année prochaine.
La suppléance de la Commission européenne à Munich a souligné que le nouveau règlement sur la protection des données n'interdisait «en aucun cas de telles actions de Noël». Seulement dans le cas où les parents consentiraient pleinement, les données de contacts de la famille pourraient être utilisées. «C'est un règlement qui est en vigueur depuis déjà 20 ans. Le nouveau règlement n'y a rien changé», a assuré la suppléance dans un communiqué.
Joie, bonheur et saucisses industrielles : l’Europe s’occupe encore et toujours des interwebs. Joie, bonheur et fourchette en plastique : elle le fait pour les mauvaises raisons, s’y prend mal et obtient le contraire de ce qu’elle espérait. Tout se déroule donc comme prévu.
Afin de préciser ma pensée, point n’est besoin de revenir fort en arrière : il suffira de remonter il y a cinq mois de cela. On se rappellera en effet que fin mai entrait en application le fameux Règlement général sur la protection des données (RGPD).
Pour ceux qui n’auraient pas suivi, l’idée était au départ d’enfin limiter l’usage abusif par les sociétés commerciales des données récoltées auprès des internautes lors de leurs visites sur les sites web et autres applications diverses, variées et mobiles. Pour ce faire, le Règlement entendait imposer un certain nombre d’enquiquinements administratifs et techniques aux sociétés en question, et ce afin de garantir à l’internaute que ses données personnelles ne seraient pas sauvagement abusées au détour d’une ruelle internet sombre.
Comme d’habitude, le règlement ainsi imposé partait d’un bon sentiment aussi idiot que mal défini par les députés européens, frétillants d’aise lorsqu’il s’est agi de voter ce nouvel embarras, mais complètement inconséquents lorsqu’il s’agira d’en mesurer les effets délétères. Au départ, les cibles étaient claires : il était temps de mettre un frein décisif à Google, Facebook et ces autres grosses entreprises américaines venues, jusque dans nos bras, piller les données de nos filles et nos compagnes.
Et sans surprise, lors de l’application de ce règlement, en mai dernier, je notais (plus ou moins goguenard) déjà des petits effets de bords indésirables : diminution drastique des revenus publicitaires de certains sites (très majoritairement européens) qui ont, depuis, dû largement revoir leurs méthodes de travail, accès devenu impossible pour des Européens à des sites Nord-Américains par simple refus d’appliquer ce règlement coûteux, et surtout, absence totale de toute application de ce règlement aux données captées par les États et leurs administrations.
Bref, tout montrait déjà que ce RGPD était une fausse bonne idée.
Depuis, quelques mois se sont écoulés et des signes supplémentaires d’un ratage complet de la cible s’amoncellent : non seulement, les données des individus ne semblent pas plus protégées, mais en plus et au contraire même du but affiché, ce règlement semble avoir augmenté l’hégémonie des principales entreprises américaines sur les réseaux.
On apprend ainsi que, loin d’avoir donné des armes aux utilisateurs contre les éventuels abus de Google et d’autres concernant leurs données, ce règlement semble bel et bien avoir accru la part de marché de Google dans la gestion des pisteurs publicitaires. Et si le nombre de ces pisteurs a bien diminué (et pour cause, leur existence pouvant contrevenir à ce RGPD), seuls ont survécu ceux de sociétés ayant les capacités de coller à la nouvelle règlementation en vigueur.
Autrement dit, le RGPD a tout simplement aidé Google à se débarrasser de ses concurrents européens en leur rendant plus délicate la tâche de conformité aux normes imposées. Et si le nombre de ces pisteurs a effectivement diminué sur pas mal de sites, il a en revanche progressé pour Google et sa régie publicitaire.
En somme, tout se passe comme si le règlement, pondu par nos futés députés, avait aidé Google au lieu de lui mettre des bâtons dans les roues. Bien joué.
Cette petite odeur de moisi qui pourrit l’atmosphère européenne et ses règlements à la con pourrait n’être que passagère et seulement le résultat d’une mauvaise décision alors que, le reste du temps, tout se passe finalement bien dans le monde merveilleux de la Normalisation Forcenée du continent européen.
Il n’en est rien : ce qui s’est passé avec le RGPD n’est que l’une des occurrences de ces idioties auxquels nos parlementaires nous habituent avec une constance qui frise l’abnégation. Se tirer des balles dans le pied n’est ni un accident, ni un sport extrême rarement pratiqué, mais bien une véritable tradition soigneusement entretenue et exécutée avec une régularité quasi-monomaniaque.
C’est ainsi que, depuis des années, les politiciens européens entendent briser des monopoles comme Don Quichotte entendait briser des géants (avec du même le même résultat pitoyable). Il en est allé ainsi de Microsoft qui devait, à tout prix (et avec forte amende) séparer son système d’exploitation informatique de son navigateur internet, ce qui fut aussi grotesquement inutile que coûteux avec l’apparition de navigateurs bien plus performants et heureusement indépendants de la volonté du législateur (sans quoi nous aurions écopé d’une infâme usine à gaz subventionnée).
De la même façon, cela fait des années que l’Union Européenne et ses fins politiciens entendent briser l’affreux « monopole » de Google, soit sur les moteurs de recherche, soit sur la publicité, soit sur les systèmes d’exploitation pour téléphones portables, soit (introduire ici un marché juteux difficile à taxer encore plus sans se faire repérer).
À force d’essayer, les instances européennes y sont parvenues : Google a récemment écopé d’une amende, évidemment record (d’un peu plus de 4 milliards d’euros), pour avoir méchamment profité de sa position dominante dans le domaine des systèmes d’exploitation et dans les outils de recherches sur téléphones mobiles (ici, Android donc). Et quand bien même la firme américaine a dernièrement fait appel, elle a dû débourser ces milliards dont on sait déjà qu’ils seront forcément employés pour de beaux objectifs et de saines aventures.
Manque de bol, Google n’entend cependant pas se laisser faire : puisqu’on lui impose de proposer des systèmes d’exploitations totalement libérés de tout lien avec ses outils de recherche et de marketing publicitaire, la firme américaine propose donc de fournir Android, ou bien « packagé » gratuitement avec ses outils traditionnels, ou bien libre de toutes ces offres et, dans ce cas, à des prix savamment étudiés.
Autrement dit, un fabricant de téléphone pourra, conformément aux demandes européennes, disposer d’un système Android nettoyé de toute influence de Google, mais à un prix allant de quelques euros à plus de 30. Ce qui revient à augmenter mécaniquement de ce coût le prix des téléphones mobiles Android « sans Google ».
Selon toute vraisemblance, les fabricants et les consommateurs ne verront donc aucune différence : Google conservera l’intégralité de son hégémonie, et l’Union Européenne se sera une nouvelle fois ridiculisée tant l’impact effectif sera parfaitement invisible. Et puis, réussir à faire payer par le consommateur un produit au départ intégralement pris en charge par une société privée, c’est tout de même une belle réussite pour le politicien moyen, non ?
Quant aux 4 milliards encaissés pour le moment, il est plus que probable que les Américains les récupèreront amplement en répondant du berger à la bergère via l’une ou l’autre loi arbitraire sur les productions européennes (nombreuses, dodues et très exposées).
De ces guégerres minables, de ces réglementations idiotes, les consommateurs et contribuables de ces deux continents seront les grands perdants, comme d’habitude.