Link list
Un an après l’entrée en vigueur du règlement européen RGPD sur la vie privée, de très nombreux sites ont recours à un service de cette société, pourtant peu connue pour recueillir votre consentement.
Par Damien Leloup Publié le 25 mai 2019 à 14h00 - Mis à jour le 25 mai 2019 à 14h38
Temps de Lecture 3 min.
Partager sur Facebook
Partager sur Twitter
Envoyer par e-mailC’est un sigle qui a pris beaucoup d’importance il y a un an, le 25 mai 2018, lorsque le règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur. CMP, pour Consent Management Platform (« plate-forme de gestion du consentement »). Comme Monsieur Jourdain la prose, quasiment tous les internautes en utilisent quotidiennement sans le savoir : ce sont les services qui affichent les messages désormais bien connus vous demandant d’accepter que vos données soient utilisées pour, selon les cas, « vous proposer une expérience personnalisée », « analyser le trafic », ou « personnaliser les publicités ».
Notre enquête : Que s’est-il passé en un an de RGPD, la loi censée protéger vos données ?
Si la quasi-totalité des sites Web se sont mis à afficher des messages de ce type il y a un an, c’est parce que le RGPD a fortement renforcé la manière dont les sites Internet doivent recueillir le consentement de leurs visiteurs, avant de pouvoir enregistrer ou utiliser des données sur leur navigation. Tous les sites commerciaux « pistent » leurs visiteurs, au mieux pour savoir quelles pages sont les plus visitées, au pire pour suivre de manière très détaillée la navigation des internautes et afficher des publicités ciblées. Le RGPD impose, dans tous les pays européens, de recueillir le consentement des internautes avant de commencer à les pister.
Or, même si la mise en place du RGPD était prévue depuis des années, de très nombreuses entreprises ont été prises de court par son entrée en vigueur ; d’autres ne disposaient pas des outils ou des compétences techniques pour gérer ce « recueil du consentement ». De très nombreux sites ont donc préféré avoir recours à une solution « clés en main », proposée par des sociétés comme Quantcast, qui offrait aux éditeurs de site, avec Quantcast Choice, un outil gratuit, simple d’utilisation et conforme à la réglementation. Les sites américains, souvent pris de court, ont massivement opté pour ces solutions toutes prêtes.
Fenêtre très reconnaissable
Et l’outil de Quantcast a été un succès : installé selon l’entreprise sur plus de 26 000 sites, il devance largement ses concurrents, et l’entreprise a annoncé cette semaine la sortie d’une version « premium » payante. Sa fenêtre très reconnaissable, avec son bouton en général bleu, et parfois son menu permettant de sélectionner les données dont la collecte est autorisée (au choix de l’administrateur du site), accueille les visiteurs sur de très nombreuses pages Web.
La fenêtre pop-up de Quantcast sur le site de Quantcast.
La fenêtre pop-up de Quantcast sur le site de Quantcast. Quantcast
Sauf que Quantcast, comme la plupart de ses concurrents dans ce domaine, n’est pas une entreprise spécialisée dans la vie privée, mais… dans la publicité. Fondée en 2006 aux Etats-Unis, la société s’est fortement développée ces dix dernières années, et a ouvert des bureaux dans une dizaine de pays, dont la France. Les outils qu’elle propose sont utilisés sur « plus de 100 millions de [sites et applications] Web et mobiles », selon Quantcast. Jusqu’à l’an dernier, ses deux principaux produits étaient Quantcast Measure, un outil de suivi de la fréquentation, et Quantcast Advertise, une « place de marché » publicitaire qui collecte et utilise de très importants volumes de données sur les internautes ; son service Choice ne collecte, lui, que les données de consentement de l’utilisateur, qui ne sont pas utilisées à des fins publicitaires, explique l’entreprise sur son site.
Enquête du régulateur irlandais
En revanche, son outil publicitaire a été épinglé, il y a six mois, par l’ONG Privacy International, qui listait Quantcast parmi les sept entreprises « dont vous n’avez jamais entendu parler, mais à propos desquelles nous avons saisi les régulateurs ». « Le RGPD fixe des limites claires à l’utilisation des données personnelles, et pourtant les pratiques de ces entreprises ne respectent pas les standards fixés. Nos documents démontrent l’ampleur et le caractère systématique de ces violations des lois protégeant la vie privée », affirmait à l’époque l’association.
Dans le cas de Quantcast, le régulateur irlandais de la vie privée a jugé les éléments fournis par Privacy International suffisamment solides pour ouvrir une enquête formelle le 2 mai. « L’enquête devra établir si la compilation et l’analyse de données personnelles, en vue de la création de profils destinés à l’affichage de publicités ciblées, sont en conformité avec le RGPD », écrit le régulateur. « Le respect des principes établis par le RGPD sur la conservation des données et la transparence seront également examinés ». Quantcast avait à l’époque affirmé qu’elle « coopérera[it] totalement avec l’enquête ».
Damien Leloup
L'Inria propose une nouvelle version de sa formation en ligne gratuite à la protection des données personnelles dans le monde numérique.
A une époque où le numérique a envahi tous les pans de notre société, et où les scandales relatifs aux abus sur les données personnelles se multiplient, il est essentiel de bien comprendre l'importance des informations que l'on partage via Internet et, surtout, de savoir les protéger si l'on tient à préserver un tant soit peu sa vie privée. C'est précisément dans ce but que l’Institut national de recherche en informatique et en automatique (Inria) a élaboré l'an dernier un cours en ligne gratuit ouvert à tous (un Mooc, pour Massive Open Online Course). Lancé en février 2018, ce Mooc revient aujourd'hui dans une nouvelle édition avec des mises à jour et de nouveaux modules.
Accessible à tous, sans pré-requis, cette formation s'adresse à tous ceux qui souhaitent comprendre les enjeux de la protection de la vie privée sur Internet et maîtriser les outils numériques sur le plan des données personnelles. Réalisé par des enseignants-chercheurs de l'Inria, il se compose de six modules thématiques aux intitulés clairs, qui couvrent les différents aspects du sujet : Données personnelles et législation ; Protéger ses données et son identité numérique ; Smartphones et vie privée ; Protéger ses emails ; Navigation et traçage sur le Web ; et Consommation et vie privée.
Attention : si le cours est diffusé en vidéo, avec une approche résolument pédagogique, il réclame un véritable investissement personnel. Il faut en effet compter une quinzaine d'heures pour le visionnage complet et environ deux heures de travail par semaine pour en tirer réellement parti. Rien à voir donc avec un simple tuto publié sur YouTube. Mais le jeu en vaut clairement la chandelle car, si les experts n'apprendront sans doute pas grand chose, il permet de prendre conscience des mécanismes mis en place par les acteurs du numérique pour récolter des données personnelles et d'apprendre à contrôler les informations partagées, aussi bien sur ordinateur que sur smartphone, sur le Web, sur les réseaux sociaux et dans des applications. Et si le rythme est libre, il convient de ne pas trop traîner pour suivre cette formation ô combien utile, le cours n'étant en ligne que jusqu'au 30 juillet 2019.
Bienvenue sur le MOOC de la CNIL
Vous y trouverez l’ensemble des informations pour vous initier au RGPD et débuter ainsi la mise en conformité de votre organisme.
Ce dispositif gratuit est accessible jusqu’au mois de septembre 2021.
En suivant l’intégralité de ce MOOC, vous pourrez obtenir une attestation.
Si le RGPD est entré en application récemment, en plaçant l’Europe à l’avant-garde de la protection des données à caractère personnel, il ne doit pas nous dissuader de nous interroger en profondeur sur la question des identités, dont les contours se sont redéfinis à l’ère numérique. Il s’agit bel et bien de porter une réflexion critique sur des enjeux éthiques et philosophiques majeurs, au-delà de la seule question de la protection des informations personnelles et de la privacy.
Les politiques actuelles sur la protection des données mettent l’accent sur les droits de la personne. Mais elles ne prennent pas la mesure de la manière dont l’exercice de notre libre arbitre se voit de plus en plus empêché au sein d’environnements technologiques complexes, et encore moins des effets de la métamorphose numérique sur les processus de subjectivation, le devenir-soi de l’individu. On considère le plus souvent, dans ces textes, un sujet déjà constitué, capable d’exercer ses droits, sa propre volonté et ses principes. Or, le propre des technologies numériques – telle est la thèse ici défendue – est de participer à la formation des subjectivités selon un mode nouveau : en redistribuant sans cesse le jeu des contraintes et des incitations, elles créent les conditions d’une plus grande malléabilité des individus. Nous détaillons ces processus dans notre ouvrage Les identités numériques en tension.
Si les moyens mis en place par le RGPD sont clairement nécessaires pour soutenir l’initiative et l’autonomie de l’individu dans la gestion de sa vie numérique, il faut cependant souligner que les notions mêmes de consentement et de contrôle par l’utilisateur vis-à-vis de ses données, et sur lesquels le mouvement actuel repose, restent problématiques. Et cela parce que deux logiques, distinctes mais concordantes, sont aujourd’hui à l’œuvre.
Nouvelle visibilité des individus
Si une certaine sensibilité des utilisateurs aux traces laissées volontairement ou involontairement au cours de leurs activités en ligne, et dont il peut avoir connaissance (comme, par exemple, des métadonnées de connexion), semble s’accroître, et peut servir de support à l’approche basée sur le consentement, cette dynamique rencontre assez vite ses limites.
Tout d’abord, la multiplication des informations récoltées rend irréaliste l’exercice systématique du consentement et le contrôle par l’utilisateur, ne serait-ce qu’en raison de la surcharge cognitive que cet exercice effectif exigerait de sa part. Ensuite, le changement de nature des moyens techniques de collecte, exemplifiée par l’avènement des objets connectés, conduit à la démultiplication des capteurs qui collectent les données sans même que l’utilisateur puisse s’en rendre compte, comme le montre l’exemple, de moins en moins hypothétique, de la vidéo-surveillance couplée à la reconnaissance faciale et, plus amplement, le cas de toutes les connaissances que les opérateurs acquièrent sur la base de ces données. Il s’agit ici d’une couche de l’identité numérique dont le contenu et de nombreuses exploitations possibles sont absolument inconnus de la personne qui en est la source.
Qui plus est, une forte tendance des acteurs, étatiques et privés, consiste à vouloir décrire l’individu de manière exhaustive et totale, en créant le risque de le réduire à un ensemble de plus en plus complet d’attributs. Dans ce nouveau régime de pouvoir, le visible se réduit à ce qui peut être saisi en données, à ce qui relève de la mise à disposition immédiate des êtres, comme s’il s’agissait en fin de compte de simples objets.
Les ambiguïtés du contrôle
La deuxième logique à l’œuvre dans nos sociétés hypermodernes touche à l’inscription de ce paradigme basé sur la protection et le consentement dans les mécanismes de la société néolibérale. La société contemporaine conjugue en effet deux aspects en matière de privacy : il s’agit de considérer l’individu comme étant visible de manière permanente, et comme étant responsable individuellement pour ce qui est vu de lui. Un tel ensemble de normes sociales se consolide à chaque fois que l’utilisateur exerce le consentement – ou l’opposition – à l’utilisation de ses données. En effet, à chaque itération, l’utilisateur renforce sa compréhension de soi-même comme l’auteur et le responsable de la circulation des données. Il endosse aussi l’injonction à la maîtrise des données alors même que cette dernière est le plus souvent illusoire. Surtout, il endosse l’injonction à calculer les bénéfices que le partage des informations peut lui apporter. En ce sens, l’application stricte et croissante du paradigme de consentement peut être considérée comme étant corrélative d’une conception de l’individu qui devient non seulement l’objet d’une visibilité quasi-totale, mais aussi – et surtout – un agent économique rationnel, à même d’analyser son agir en termes de coûts et de bénéfices.
Cette difficulté fondamentale fait que les enjeux futurs des identités numériques ne se réduisent pas à donner plus de contrôle explicite, ou plus de consentement éclairé. Il convient bel et bien de trouver d’autres voies complémentaires, qui se situent sans doute du côté des pratiques (et non simplement des « usages ») des utilisateurs, à condition que de telles pratiques mettent en place des stratégies de résistance pour contourner l’impératif de visibilité absolue et de définition de l’individu comme agent économique rationnel.
De telles pratiques digitales doivent en outre nous inciter à dépasser la compréhension de l’échange social – numérique ou non – sous le régime du calcul des bénéfices que l’on en retire ou des externalités. Ainsi, les enjeux soulevés par les identités numériques dépassent largement les enjeux de protection de l’individu ou les enjeux des « modèles d’affaires », et touchent à la manière même dont la société dans son ensemble conçoit la signification de l’échange social. Dans un tel horizon, il est primordial d’affronter les ambivalences et les jeux de tension qui sont intrinsèques aux technologies numériques, en examinant les nouveaux modes de subjectivation qui sont induits dans ces opérations. C’est à partir d’un tel exercice de discernement que pourra advenir un mode de gouvernance des données plus responsable.
L'annonce sème le doute sur la sécurité des données génétiques.
Avec les tests d'ADN effectués chez soi, une nouvelle opportunité se présente pour les enquêteurs de police. Aux États-Unis, le FBI est récemment entré en collaboration avec Family Tree DNA, une entreprise qui propose à tout un chacun de prélever son propre ADN pour le faire analyser. Ces kits prêts à l'emploi se composent de deux bâtonnets pour prélever l'ADN à l'intérieur de la joue. Le kit est ensuite renvoyé à l'entreprise pour être analysé et établir l'arbre généalogique ainsi que l'origine du volontaire.
Pour la première fois, une société privée de ce secteur a accepté de mettre volontairement à disposition des forces de l'ordre une partie de ses données. Néanmoins, le FBI ne peut pas parcourir librement la base de Family Tree. Dans un communiqué, l'entreprise détaille sa relation avec le Bureau d'investigation en précisant n'avoir signé aucun contrat et dit travailler au cas par cas pour comparer des échantillons à sa bibliothèque de données. Elle revendique avoir contribué à moins de dix enquêtes.
Depuis deux ans déjà, la police et le FBI ont utilisé des données généalogiques publiques pour élucider des affaires non résolues. Le «Golden State Killer», un tueur en série soupçonné de douze meurtres et cinquante et un viols entre 1974 et 1986, a pu être arrêté en avril 2018. L'ADN collecté sur les scènes de crime a pu être confondu avec celui d'un membre de sa famille.
À LIRE AUSSI La maltraitance des enfants pourrait bien laisser des traces sur l'ADN
Enjeu de sécurité
Le rapprochement entre les deux organismes a engendré beaucoup de doutes sur la privatisation des données. «Globalement, je me sens abusée, je sens que ma confiance en tant que client a été trahie», a déclaré Leah Larkin, une généalogiste génétique de Livermore, en Californie, à BuzzFeed News. Le site offre à ses adeptes la possibilité de refuser d'apparaître dans les résultats dont peut se servir le FBI, mais cela implique que la fonctionnalité phare du test –retrouver des proches– n'est plus disponible.
Un généalogiste a relevé d'après un sondage informel réalisé aux États-Unis et en Europe que 85% des personnes interrogées sont à l'aise avec l'idée que les forces de l'ordre utilisent leur ADN.
Family Tree annonce recenser 1.021.774 entrées dans sa banque de données. À titre de comparaison, ses deux principaux concurrents dans le monde, Ancestry.com et 23andMe en possèdent respectivement dix millions et cinq millions.