Continuons à présenter quelques détails relatifs au Règlement Général sur la Protection des Données. Aujourd’hui, nous allons parler des postes de CIL et de DPO. Le sujet est abordé suite à des choses trop fréquemment entendues, exemple : « le DPO c’est l’exact copie du CIL, mais pour le RGPD ».

Vrai ou faux ?

CIL, DPO, RGPD, c’est à dire ?

Il y a plus d’abréviations que de texte dans les premières lignes de ce billet, quelques définitions s’imposent.

RGPD, comme DPO, sont déjà présentés dans le précédent billet, CIL en revanche, vous ne connaissez peut-être pas.

Le CIL, ou Correspondant Informatique et Libertés, est le référent des questions relatives à la protection des données à caractère personnel (ou DCP).

Ses missions sont de garantir la conformité de l’organisme à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus communément appelée loi Informatique et Libertés.

Cette loi sert de référence à tout ce qui touche, de près comme de loin, à la collecte, l’usage et la protection des données personnelles (collecte, analyse, traitement, définitions des collectes licites, modalités de collecte, sécurisation, anonymisation, etc.).

D’une certaine façon, le CIL est l’interlocuteur entre la CNIL et l’entreprise. Il est l’acteur incontournable entre le responsable de traitements de l’entreprise et l’autorité de contrôle.

Pour information, la loi Informatique et Libertés a évolué au fil du temps pour tenir compte de l’évolution des technologies et des nouveaux usages. Sa dernière modification remonte au 20 janvier 2017. La prochaine date à noter, pour ladite loi, sera le 25 mai 2018, moment à partir duquel le RGPD sera applicable.

Les points communs entre le CIL et le DPO

Le CIL et le DPO sont indirectement des représentants des réglementations, l’un pour Informatique et Libertés, l’autre pour le RGPD. Ils sont tous deux attachés à la protection des données personnelles et aux usages qui sont faits de ces dernières au sein des entreprises et administrations.

Les deux doivent être hors de tout conflit d’intérêt et ne peuvent donc pas exercer d’autres fonctions qui entreraient en conflit avec leurs rôles de CIL ou de DPO.

Ils doivent globalement être informés des traitements effectués sur les données personnelles et tenir des registres relatifs à ces derniers, même si les missions diffèrent sur ce point.

Le point numéro 3 de l’article 38 du RGPD confère au DPO le même type de protection que le CIL. Ainsi, le DPO « ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions ». Il va de soi que si le DPO est complice d’activités illicites menées par le responsable de traitement, cela ne tient pas.

Enfin, l’article 39 (son point 1), confèrent au DPO des missions similaires à certaines du CIL : coopérer avec l’autorité de contrôle et faire office de point de contact pour l’autorité de contrôle.

Globalement, les similarités s’arrêtent là.

Les différences entre le CIL et le DPO

Les qualifications requises

En soi, il n’existe pas de réelles obligations de compétences dans le poste de CIL, même si la logique fait qu’on ne place pas n’importe qui à ce poste. Dans la loi Informatique et Libertés, tout au mieux, le CIL doit « avoir les compétences nécessaires pour exercer ses missions ».

L’article 37 du RGPD, et plus particulièrement son point 5, explique la chose suivante :
« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Alors oui, cela peut sembler logique voire évident, mais c’est une différence assez importante. Cela signifie que si le CIL peut avoir le profil qui lui permet d’exercer ses missions, le DPO doit avoir les compétences nécessaires pour ses missions. Le considérant 97 du texte va dans ce sens également, considérant que vous pouvez retrouver ici (non référencé directement par la CNIL).

Obligation de formation continue

Le point 2 de l’article 38 explique que « le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ».

Cette obligation de maintien des compétences dans le temps n’est pas présente dans la loi Informatique et Libertés, elle permet au DPO de pouvoir bénéficier de parcours de formation continue afin de maintenir ses compétences à jour.

Si les entreprises permettent aux CIL d’accéder à la formation, elles n’en ont pas l’obligation actuellement, ce qui ne sera plus vrai avec le DPO. Il faut y voir l’opportunité de maintenir un niveau d’expertise à jour,  plutôt qu’une contrainte de formation pour les entreprises.

Obligation de confidentialité

L’article 38, via son point 5, souligne le caractère de confidentialité des missions du DPO, qui est soumis au secret professionnel ou à une obligation de confidentialité. Il me semble évident que les missions du CIL sont, elles aussi, sensibles et confidentielles… mais il n’existe pas d’obligation de confidentialité dans la loi Informatique et Libertés.

L’article 39 du règlement confère des missions étendues au DPO, dont celles de la répartition des responsabilités ainsi que la formation et la sensibilisation du personnel qui participe aux opérations de traitement.

Obligation de nommer un DPO

Si le poste de CIL n’est pas une obligation, il reste fortement recommandé pour de nombreuses entreprises. Il permet, au passage, de « s’affranchir » d’un certain nombre de déclarations auprès de l’autorité de contrôle.

Dans certains cas, la nomination d’un DPO est obligatoire. L’article 37 précise les cas où la nomination d’un DPO est nécessaire :

• le responsable de traitement est un organisme public,
• les différentes activités du responsable de traitement le conduisent à avoir un suivi régulier et systématique des personnes, et ce, à grande échelle,
• si les activités du responsable de traitement portent sur des catégories de données « sensibles » (conviction religieuses, origine raciale ou ethnique, opinions politiques, données génétiques, etc.) ou si elles sont relatives à des infractions ou des condamnations pénales.

Par exemple, les banques, les opérateurs téléphoniques ou les grosses agences publicitaires sont, selon le règlement, dans l’obligation de nommer un DPO, là où cette nomination n’est pas obligatoire avec le CIL.

Revenons à la question de ce billet : est-ce que le CIL et le DPO font le même métier et ont les mêmes obligations ? La réponse est manifestement non.

S’il existe forcément des points communs aux deux postes, ils diffèrent, tant dans les missions que dans les obligations relatives au poste. L’évolution « logique » du CIL est effectivement le poste de DPO, mais cela ne signifie pas pour autant que c’est le même poste, le même périmètre d’intervention, ni même qu’une personne au poste de CIL passera obligatoirement DPO.

J’espère, avec ce billet, que vous aurez compris que non, avoir un CIL, ce n’est pas la même chose qu’avoir un DPO et que cela ne signifie pas « être conforme ».

Si vous suivez ce blog depuis longtemps, vous savez une chose : je m’intéresse tout particulièrement à la protection des données à caractère personnel et à tout ce qui touche au domaine de la vie privée en ligne. Que cela soit via la publicité, les applications ou les projets de loi présentés et détaillés ici.

Aujourd’hui,  nous allons nous intéresser à un métier en pleine création, en lien avec la loi européenne 2016/679, plus connue sous le nom de « Règlement Général sur la Protection des Données », ou RGPD (GDPR en anglais). 

C’est quoi, le RGPD ?

Vous l’avez déjà vu ailleurs mais un rappel est toujours bon. Le Règlement Général sur la Protection des Données est une loi supranationale, adoptée en 2016 et qui entrera en vigueur en mai 2018. Cela signifie que la loi est déjà effective, en soi.

Ce règlement devrait, à long terme, permettre d’homogénéiser les différentes lois des pays États Membres relatives à la protection des données à caractère personnel, abrégées en DCP dans la suite de l’article.

Point important : il ne concerne pas les entreprise européennes, mais les entreprises qui travaillent avec les données des citoyens de l’union. Cela signifie donc qu’une entreprise américaine, par exemple, devra être conforme dès lors qu’elle collecte, traite, analyse ou plus globalement, travaille avec des DCP.

L’objet de cet article n’est pas de rentrer dans le détail du règlement mais de parler d’un métier qui arrive en même temps que le règlement, le Data Protection Officer, ou DPO. Entrons donc dans le vif du sujet.

Quelles sont les missions d’un DPO ?

Nous pourrions vulgariser en disant que le DPO a pour objectif de s’assurer de la conformité de l’entreprise au RGPD mais, en pratique, c’est un peu plus que ça.

Un DPO doit mettre en place un environnement de travail qui soit en phase avec le RGPD. Pour cela, il doit être en capacité d’identifier les traitements, applications, flux de données, sites internet et autres qui nécessitent l’utilisation de DCP.

Il doit également être en capacité d’expliquer des choses compliquées de façon simple. Avant d’attaquer la phase d’audit nécessaire à l’exécution de ses missions, il doit d’abord expliquer le règlement, identifier et sensibiliser les différents acteurs qui sont concernés. Les personnes du service informatique, le marketing ou encore les ressources humaines, toutes ces personnes sont différentes, elles ne parlent pas forcément le même langage… au DPO de faire en sorte que ces derniers soient capables de se comprendre pour travailler ensemble.

Une fois cette phase de sensibilisation faite, le DPO peut commencer par faire un état des lieux de ce qui existe, des bonnes et des mauvaises pratiques, ceci afin de prioriser ses missions à venir. S’il ne fait pas cette distinction, il y a fort à parier qu’il passera du temps sur des points éventuellement importants, mais pas critiques.

Le DPO, en soi, ne décide pas directement. Il forme, informe, conseille, fait l’état des lieux, conduit les audits, produit les analyses, des rapports et des constats relatifs aux façons qu’a l’entreprise de travailler avec les DCP puis il coopère avec les administrations, comme la CNIL. Il doit, à mes yeux, être rattaché aux postes de direction, voire à la direction générale de l’entreprise, dans la mesure où c’est à elle que revient la tâche de mettre les moyens nécessaires (temps, budget, outils, etc.) en place.

Une fois ces moyens alloués et mis en place, le DPO suit et accompagne la mise en oeuvre des plans d’actions, il est le point de référence des autres métiers, des compétences et des directions reliées à ces plans. Il joue, ici, autant le rôle de chef de projet que celui de facilitateur.

Le règlement impose aux entreprises de tenir un registre des traitements relatifs aux DCP (qui est le responsable de traitement, quelles données sont collectées, pour quelles finalités, combien de temps, etc.). C’est au DPO de créer et maintenir ces registres. Cela permet à l’entreprise de savoir ce qui est fait, par qui, quand, comment et pourquoi et ce à tout moment. Cela permet également, en cas de contrôle, de mettre à disposition une cartographie complète des traitements relatifs aux DCP.

D’une façon simple et résumée, voici les différentes missions du DPO.

Quelles sont les compétences requises pour être DPO ?

C’est une question qui mérite qu’on s’y attarde. Comme vous allez le voir, la réponse n’est pas si évidente que ça.

Le RGPD, en soi, ne nous donne que très peu d’informations quant aux compétences requises pour le poste, tout au plus il nous dit que le profil doit être adapté, doté d’une sensibilité à la protection des données, à la complexité des traitements et à la masse d’informations qui seront traitées. C’est une définition assez vague.

De son côté, la CNIL française est un peu plus précise :

• le profil doit avoir une composante juridique, informatique, technique, adaptée aux nouvelles technologies et doit comprendre le fonctionnement de l’entreprise.
• Il doit être neutre et impartial. Ce point est extrêmement important, il ne doit pas exister de conflits d’intérêts dans les fonctions du DPO. Un membre de la direction ne peut donc pas, en toute logique, être DPO.
• Il doit être en capacité de communiquer efficacement. On attend donc du DPO qu’il soit andragogue, pédagogue, patient et qu’il soit, d’une certaine façon, l’interface entre les différents métiers. Il doit savoir parler avec des fonctions IT comme avec des fonctions RH. Il doit comprendre les dimensions et les environnements métiers de ces fonctions. Cela nécessite, à mes yeux, une certaine forme d’intelligence et une logique particulière. Il faut penser  à l’échelle de l’entreprise tout en agissant à l’échelle de l’individu, en s’invitant dans son cadre de référence.

En résumé : il faut être un peu touche à tout, comprendre la philosophie du texte, de la loi, savoir conduire des projets, être indépendant, patient, technique, pédagogique, curieux, savoir s’adapter, se remettre en question et être capable de penser en 3, 4, 5 ou 42 dimensions différentes en même temps.

J’ajoute à cela ma petite touche : pour moi, le DPO est d’abord un accompagnateur. Il doit guider l’entreprise vers la mise en application du règlement, mais cette mise en application traduit de nombreuses choses :

• il doit être capable de faire évoluer des points de vue, des façons de faire,
• il doit savoir écouter, parler et convaincre, notamment lorsqu’il fait face à sa direction,
• il doit être capable de tenir compte des problèmes rencontrés, pour s’adapter et aider ses interlocuteurs à s’adapter également,
• il doit être assertif, c’est à dire qu’il doit savoir écouter les autres sans pour autant négliger leurs avis, s’ils ces derniers diffèrent du sien,
• enfin, il doit être à jour, savoir s’informer, se former, remettre en question ses propres pratiques au fil du temps.

On ne parle pas simplement d’un règlement, à mes yeux. On parle d’une transformation des entreprises, de leurs procédures, de leurs façons de faire, on peut parler d’un profond changement pour certains et… le changement, en entreprise, c’est souvent compliqué.

A mes yeux, le DPO doit être passionné par la protection des données personnelles, on dépasse le simple cadre d’un contrat de travail, il faut, pour être DPO, avoir « la philosophie qui va bien ». Si vous vous moquez de vos propres données, si pour vous, ce n’est « qu’un métier comme un autre », alors vous échouerez.

C’est une définition plus précise que celle donnée par le règlement, non ?

Et vous, qu’en pensez-vous ? Est-ce que vous partagez cet avis ? Un peu, beaucoup, à la folie ou pas du tout ?

Enfin, si vous cherchez un DPO et que vous vous dites « mais oui, c’est exactement cela qu’il me faut, saperlipopette », j’ai deux choses à vous dire :

• vous faites partie du 1% à utiliser saperlipopette et je me sens moins seul
• il faut qu’on parle, ici, ici ou dans les commentaires de cet article.

L’article C’est quoi, un DPO ? est apparu en premier sur Pixellibre.net.

« Vous achetez votre baguette et, pendant ce temps là, votre boulanger fouille dans vos affaires pour mieux vous connaitre. »

C’est la question que j’ai posé via la fonction de sondage Twitter, il est temps de passer aux explications.

Partie 1, remise en contexte et données

Comme expliqué précédemment, j’ai posé, via Twitter, la question suivante :

« Vous achetez votre baguette et, pendant ce temps là, votre boulanger fouille dans vos affaires pour mieux vous connaitre. »

A cette question était attachée une batterie que quatre réponses possibles :

• Ça me dérange.
• Ça ne me dérange pas.
• S’il fait des réduc, Ok.
• Sans avis

La fonction de sondage de Twitter permet de poser une question et de proposer plusieurs réponses, le tout sur une durée allant de 5 minutes à sept jours maximum. Cela permet de récupérer l’avis des personnes qui voient le sondage et potentiellement, de récupérer une fraction d’opinion.

Attention cependant, on ne peut pas parler de sondage représentatif, même si beaucoup de personnes répondent. Les personnes qui répondent ne sont pas triées, les premières à répondre sont celles qui vous suivent, qui partagent sans doute des intérêts communs avec vous et il en est de même avec leurs abonnés et ainsi de suite. Il n’en reste pas moins que plus de personnes répondent, plus c’est pertinent pour obtenir un avis.

Dans mon « sondage », 1532 personnes se sont prononcées, voici leurs réponses.

84% des personnes seraient dérangées par cette pratique, soit environ 1286 personnes. 12% des personnes n’y seraient pas opposées si, en échange, elles ont quelque chose à gagner, gain manifesté ici par l’éventuelle réduction appliquée par le boulanger. Les deux autres chiffres sont assez anecdotiques et ne feront pas l’objet d’une analyse ici.

Même si, je le rappelle, ce sondage n’est pas totalement représentatif (puisque la population interrogée n’est pas connue) on constate deux tendances : globalement, les gens refusent que le boulanger fouille leurs affaires personnelles, mais certains y consentent en échange d’une faveur.

Le commerce physique a ses propres règles, la quasi totalité des gens s’opposent à ce qu’on fouille dans leurs affaires ou leurs vies respectives dans cette configuration. Imaginons que votre boulanger regarde ce que vous avez dans votre sac, vous demande qui sont les cinq dernières personnes contactées, vous demande où vous étiez hier, à huit heures du matin ou vous demande ce que vous avez envoyé comme message à votre sœur, hier soir. Inconcevable n’est-ce pas ? J’imagine que certains, en lisant ces lignes, imaginent la scène et ressentent une forme de malaise, non ?

J’ai une question. Pourquoi autorisez-vous cela avec votre smartphone ?

Les autorisations des applications, la publicité et le tracking mobile

La vidéo que vous venez de visionner est à l’origine de mon sondage. Je suis tombé dessus par hasard et je trouve que c’est un très bon exemple du problème que je souhaitais souligner : nous donnons, volontairement ou non, beaucoup de données à des plateformes ou à des vendeurs… chose que nous refuserions pourtant de faire si le vendeur était en face de nous, à nous les demander.

A titre d’exemple, prenons les autorisations demandées par l’application Facebook, sur Android (source Facebook).

• Lire vos textos (SMS ou MMS)
• Télécharger des fichiers sans notification
• Lire/modifier vos contacts
• Ajouter ou modifier des événements de calendrier, et envoyer des e-mails aux invités à l’insu du propriétaire
• Lire les événements du calendrier et des informations confidentielles

Prenons maintenant la version complète, détaillée dans les autorisations requises par l’application, toujours sur Android.

Je ne sais pas pour vous, mais personnellement, la liste des autorisations m’effraie, tant par sa longueur que par son contenu. L’application est en droit de savoir où vous êtes, ce que vous faites, de voir les messages, SMS comme MMS, de voir avec qui vous parlez, quand, comment, combien de fois… tout ça pour, grosso-modo, une application pour poster des messages, réagir à des publications et discuter avec vos contacts… données qui sont, au passage, également collectées par Facebook.

Vous imaginez votre boulanger vous en demander autant ?

Twitter n’est pas en reste, même si l’application est bien moins gourmande, elle n’en reste pas moins intrusive.

Il existe d’autres choses plus étranges, comme des réveils qui demandent votre localisation GPS approximative ou fine. Des applications de modification de fond d’écran qui demandent l’accès en lecture et en écriture à votre agenda et à vos contacts. Des applications de suivi de consommation, proposées par des fournisseurs d’accès à Internet, qui demandent l’accès à vos contacts, votre position précise, l’accès à vos SMS, MMS et bien d’autres choses encore, sans qu’on sache vraiment pourquoi.

La situation est moins dramatique qu’il y a des années, Google ayant fait quelques efforts pour repenser sa gestion des autorisations, mais le constat reste insatisfaisant.

Notre approche du monde numérique

Nous sommes plus que méfiants face à une personne qui nous demande des informations privées, comme expliqué au début de ce billet. Rarement, ou jamais, vous n’irez confier des informations privées à votre boulanger, et encore moins des informations privées qui ne sont pas les vôtres. Pourtant, dans le monde numérique, cette hygiène et ces réflexes n’existent pas, ou très peu.

Pourquoi ?

Il existe, pour moi, deux raisons qui expliquent ce problème. La première raison est que, fondamentalement, l’Humain est un fainéant. Ce n’est ni une critique, ni un reproche, c’est humain. Nous cherchons toujours à dépenser le moins d’énergie possible, à faire le moins d’efforts, c’est en partie pour cela qu’un ensemble de services existent, services que nous pourrions faire directement… mais vu qu’on propose, autant accepter. Résultats des courses, lire les conditions d’utilisation d’une application, vérifier les autorisations requises par cette dernière, « c’est chiant. Je veux utiliser mon application, c’est tout. » Beaucoup se sentent concernés par la sécurité de leurs données, mais peu prennent le temps de lire des documents indigestes ou des pages d’autorisations (pour information, les autorisations requises sont visibles tout en bas du bas de la page d’une application, sur le play store d’Android, autant dire que c’est rarement ouvert). Le problème est d’autant plus présent si le mécanisme est basé sur une récompense (nos 12% de tout à l’heure, nous y reviendrons).

La seconde, c’est que c’est « magique », comme Internet. Nous n’avons pas le même comportement dans le monde physique car nous voyons nos interlocuteurs, nous savons ce qu’ils demandent, nous avons conscience de certaines techniques de communications, nous savons globalement nous protéger, etc.

Tout ceci nous amène à être plus vigilants que sur Internet. Un exemple simple pour illustrer mon propos : dans le monde physique, si une personne vous demande votre numéro de téléphone, vous lui demandez « Pourquoi ? », la plupart du temps.

Dans ce monde numérique, nous appuyons sur un bouton, nous tapons une adresse et « paf », juste ça marche. Beaucoup ne savent pas comment fonctionne ce monde et même les plus experts du sujet ne savent pas tout, tant il est riche et évolue rapidement.

Dans le monde numérique, non seulement on ne vous demande pas votre accord pour récupérer votre numéro de téléphone, mais en plus, vous le donnez plus facilement si jamais on vient à vous le demander, rares sont ceux qui cherchent à savoir pourquoi.

Nous accusons un manque de connaissances et de culture de la protection des données personnelles, manque qui sied parfaitement aux éditeurs et sociétés qui font un marché de nos données.

Très modestement, j’essaye d’expliquer simplement, de vulgariser et de transmettre cette culture, j’espère donc que la prochaine fois que vous irez acheter une baguette de pain, vous repenserez à ce paradoxe.

Le bonus

12% des personnes seraient d’accord, en échange d’une réduction, souvenez-vous.

C’est une technique marketing relativement vieille, la carte de fidélité est par exemple une excellente représentation du principe. En échange de quelques faveurs, un programme fidélité, un cadeau, des points ou des réductions, nous sommes plus enclins à donner des informations personnelles. Une étude de 2017 aborde d’ailleurs le problème (en anglais, accès payant, 5$, résumé de l’étude fait par Numérama, en français). Cette tendance qui existe aussi bien dans le monde physique que numérique est peut-être liée au fait que nous n’estimons pas correctement la valeur de nos données personnelles.

A l’heure où tout est connecté, partout, tout le temps, que nous sommes pistés jusque dans nos maisons par des objets connectés, l’heure est peut-être venue de travailler sur ce point, qu’en pensez-vous ?

L’article Vie privée, smartphones et applications est apparu en premier sur Pixellibre.net.

Amazon vient d’annoncer le lancement d’un nouveau produit : Amazon Key. Le principe ? Permettre, entre autres, au livreur de pouvoir entrer directement chez vous pour déposer le colis commandé chez Amazon.

Qu’est-ce Amazon Key ?

Dans son communiqué, la société entre dans le vif du sujet, d’emblée : « Pas à la maison ? Pas un problème.»

Le principe du service est de permettre de livrer votre colis directement chez vous, que vous soyez là ou non. Ceci dans le but d’éviter les colis perdus pendant la livraison, toujours selon Amazon.

Le service en question permettra également de donner des accès, durables ou temporaires, à un certain nombre de personnes : des accès durables pour les membres de la famille, des accès temporaires pour le personnel de ménage, ou pour la personne qui s’occupe de vos animaux en votre absence, pour le voisin qui viendra arroser la plante pendant vos vacances, bref vous avez compris le principe.

Comment ça fonctionne ?

Pour pouvoir utiliser ce service, il faudra attendre encore un peu, ce dernier n’étant pas disponible dans nos contrées. Il faudra également être un « Prime », un abonné au service premium d’Amazon si vous préférez.

Enfin, il faudra s’équiper d’un « Amazon Key In-Home kit », comprenant une serrure et une caméra connectée à Internet.

Après avoir passé commande sur le site d’Amazon, il vous sera possible de demander la livraison directement chez vous. A son arrivée, le livreur sonnera ou frappera à votre porte et, si vous êtes absent, il préviendra Amazon, qui pourra alors déclencher l’ouverture de la serrure connectée via le programme Amazon Key.

Vous serez notifiés, à cet instant, via votre smartphone, que le livreur va entrer chez vous. Vous aurez la possibilité de voir à distance la caméra installée dans le programme, pour voir le livreur effectuer son travail et partir. Il vous sera également possible de visionner en différé la livraison, si vous n’étiez pas disponible pour le voir en direct.

Une fois la livraison effectuée, le livreur enverra une requête à Amazon pour que ce dernier verrouille votre porte.

Du côté des conditions d’utilisation

Les conditions d’utilisations d’Amazon Key, disponibles ici, comportent les mentions suivantes (traduites par votre serviteur, la mise en gras est de mon fait également) :

3.1 Informations fournies à Amazon.

Le programme fournit à Amazon des informations sur vos usages et sur les performances d’Amazon Key, le logiciel et ses produits compatibles, ainsi que des informations relatives aux équipements sur lesquels vous avez téléchargé et sur lesquels vous utilisez Amazon Key. Par exemple, ceci peut inclure des informations relatives aux produits compatibles et sur la façon dont ils sont utilisés ; les autorisations pour les invités pour les fournisseurs de services tiers, quand et quels invités ou fournisseurs ont utilisé le service ; ainsi que les éventuelles erreurs techniques. Nous collectons toute information que nous recevons, en accord avec notre politique de confidentialité.

3.2 Vos enregistrements.

Si vous utilisez un produit capable de générer des enregistrements, nous traiterons et collecterons ces derniers dans le cloud pour renseigner et améliorer nos services. Vous nous accordez l’ensemble des permissions requises pour effectuer ces opérations. Apprenez-en plus sur les enregistrements, incluant la façon d’effacer ces derniers.

On résume donc : via son service, Amazon collecte qui fait quoi, quand, avec qui, le tout appuyé par des captations vidéo, si le matériel le permet… dans la mesure où il est nécessaire d’avoir une caméra spécifique liée au programme Amazon Key, ce point est discutable, puisque cela sera évidemment compatible.

Les risques.

Vous devez vous en douter, le principe de mon blog étant la protection de la vie privée et des données à caractère personnel, je ne vois pas d’un bon œil cette nouvelle.

Amazon est déjà un géant du commerce en ligne, il est également présent dans le commerce « offline » (le monde physique), dans le secteur de la publicité via Amazon Ads / Ad Exchange, voici maintenant qu’il demande à accéder directement à qui entre ou sort de votre maison bref, de disposer littéralement des clefs de chez vous.

D’un point de vue technique

Le principe d’une serrure, c’est de sécuriser un accès et, en soi, la serrure la plus sécurisée est une serrure qui n’est pas connectée à Internet. Qui dit serrure connectée dit forcément programme informatique, programme qui un jour pourra poser un problème, si une faille de sécurité est trouvée dedans.

Nous le voyons chaque jour ou presque, le « web des objets » est très vulnérable, la sécurité de ces derniers n’étant pas une priorité pour les constructeurs, qui sont plus occupés à sortir des produits avant leurs concurrents. Deuxième raison qui ne me donne pas confiance dans un tel système.

Enfin, toujours d’un point de vue technique : confier votre ouverture de serrure à un tiers, c’est potentiellement la confier à beaucoup d’autres. Ni vous, ni Amazon, n’êtes en mesure de garantir que cette serrure ne pourra être déverrouillée par vous deux et uniquement vous deux.

Autre point, même si j’imagine qu’il est déjà prise en compte par Amazon : comment est contrôlé le code barre du colis ?

Si j’ai bien compris, lors de la livraison, le livreur devra scanner le code barre du colis, qui sera transmis à Amazon, qui déverrouillera alors la porte. L’accès semble donc conditionné par le code barre du colis.

Qu’est-ce qui arrive si le code est scanné à nouveau ? Imaginons que je jette mon emballage carton à la poubelle, avec le code barre dessus, est-ce qu’un attaquant peut l’utiliser pour obtenir l’accès à mon domicile ? Je pense, j’espère du moins, que ces points évidents sont traités, mais la question se doit d’être posée.

Enfin, et cette question mérite d’être posée également : ces équipements ont besoin d’une connexion Internet pour fonctionner. Que faire si la connexion Internet tombe en panne, si elle est temporairement coupée ? Le système est alors coupé du monde, comment l’équipement va réagir ?

D’un point de vue « privacy »

N’ayant toujours pas trouvé de terme français pour tout ce qui est englobé dans « privacy », j’utilise l’anglais.

Est-ce que c’est une bonne chose que de confier, littéralement, les clefs de votre porte d’entrée à une entreprise tierce ? Certains me répondront qu’on le fait bien avec des sociétés de sécurité, c’est vrai…

… mais ces sociétés sont spécialisés dans la sécurité, avec un personnel formé et sensibilisé, qui ne rentre pas nécessairement chez vous.

Ici, nous parlons d’Amazon, et des livreurs d’Amazon. A ce titre d’ailleurs, Amazon indique que les livreurs qui auront accès au programme sont les livreur « classiques » d’Amazon, donc ceux d’Amazon Logistitcs et les autres, UPS & Co.

Je dis peut-être une ânerie ici, n’ayant pas regardé les spécificités techniques du produit mais : qu’est-ce qui me prouve que la caméra installée dans le cadre d’Amazon Key ne va pas filmer et/ou capter du son en permanence de l’entrée de ma maison et ainsi voir qui vient, part, quand, à quelle fréquence, entendre ce qui se dit, etc. ?

Dans le domaine de la vie privée, il n’y a qu’une très faible marge de concessions envisageables et, à mes yeux, autoriser quelque chose comme ça, c’est faire de trop grandes concessions face au gain dudit service.

Sans surprise, pour moi, il est inimaginable d’avoir recours à un tel service, et vous ?

(image : Amazon)

L’article Amazon Key, ou quand le livreur Amazon rentre chez vous pour déposer un colis est apparu en premier sur Pixellibre.net.

Après avoir vu ensemble comment fonctionne une partie des systèmes de publicité puis abordé le sujet des données récoltées ainsi que les raisons de cette récolte, attaquons-nous maintenant aux problèmes liés à la publicité.

Le chargement des pages

Certaines personnes y pensent, d’autres non : avoir de la publicité ralentit considérablement le temps de chargement des pages visitées, ainsi que le poids de ces pages. Nous allons revenir à notre exemple de BFMTV pour avoir des mesures plus parlantes.

Voici ce qu’il se passe lorsque vous chargez « uniquement » le contenu de BFMTV. Pas de trackers externes, pas de chargement de publicité, pas de scripts tiers qui récupèrent de la donnée, le contenu ici est uniquement celui du site.

Informations : tests réalisés avec Firefox 56, sur une ligne ADSL à 16 mégas. Informations récupérées via la console réseau de Firefox, sans être en mode privé, avec uBlock Origin, uMatrix et HTTPS Everywhere (cliquez pour agrandir)

Le temps de chargement, dans l’ensemble, est relativement correct, avec ou sans mise en cache. On charge quand-même un peu plus de 2Mo pour obtenir la page, mais ça reste correct.

Observons maintenant un second test, dans les mêmes conditions de test, mais avec uBlock Origin, uMatrix et HTTPS Everywhere désactivés. (cliquez pour agrandir)

Clairement, ça pique. Plus de 17 secondes de chargement avec une mise en cache, plus de 20 sans la mise en cache, et plus de la moitié des éléments à charger sont des js, ou javascripts.

Si la page « n’est que » deux fois plus lourde, 4.5Mo, le temps de chargement est, lui, environ 11.6 fois plus élevé.

Pourquoi ?

Si vous avez lu les deux premiers billets, de dont je ne doute pas (ils sont ici et là, sinon), vous l’aurez compris : d’un côté, votre navigateur doit aller se connecter çà et là pour récupérer du contenu publicitaire. De l’autre, des enchères sont réalisés, via le RTB, pour vendre certains espaces publicitaires du site. Le temps qu’ils soient mis en vente, vendus, que votre navigateur se connecte au site tiers, récupère le contenu, le charge, ça prend du temps, et de la bande passante.

Dans notre pays, sur nos lignes qui sont majoritairement en haut débit, pas de problème. Mais en mobilité ? Sur une connexion chancelante ? Dans un autre pays si vous êtes en voyage ? De la même façon, charger ces ressources, c’est un coût en bande passante, en stockage, en énergie…

Je chipote peut-être, ou peut-être pas après tout, lorsqu’on voit la différence phénoménale entre ce site avec et sans pub, ces questions arrivent très rapidement. On parle de plus de 50% du chargement consacré à la publicité, excusez-moi du peu.

Une dernière remarque sur ce point : j’ai pris le site de BFMTV, mais le test est valable avec bien d’autres sites : plus de la moitié de la donnée chargée et du temps consacré à charger tout ceci est pris par la publicité…

Un problème de vie privée

La principale problématique de la publicité, c’est le risque qu’elle fait peser sur l’intimité et la vie privée des internautes. Nous l’avons vu dans le second billet, les acteurs de la publicité en ligne cherchent à récupérer le plus de données sur nous. D’un côté pour alimenter leurs bases, de l’autre pour segmenter plus finalement, disposer de plus de variables et donc, de capacités de présentation de la bonne publicité, sur la bonne impression, pour maximiser son retour sur investissement.

Qu’est-ce qui est collecté ? Comment ? Est-ce que cette récupération est sécurisée (a minima, est-ce que la connexion est sécurisée) ? Où sont stockées ces données ? Sont-elles revendues ? A qui ?

Il faut voir ce secteur comme n’importe quelle grande entreprise : elle dispose de données, elle effectue des opérations et obtenir le détail de ces opérations relève parfois de l’impossible.

Si certaines mentions légales, comme celles de BFMTV, sont relativement claires, d’autres sont au moins autant claires qu’un jour de brouillard épais en Angleterre.

Et mêmes dans celles de BFMTV, un problème subsiste et est parfaitement mis en avant :

La liste ci-dessus n’est pas une liste exhaustive car elle ne comprend pas les cookies déposés par des tiers dans le cadre de la publicité issue d’achats programmatiques (enchères en temps réel ou real time bidding « RTB »). En effet, l’identification du dépôt de cookies dans ce cadre ne peut techniquement être constatée qu’à postériori du dépôt et uniquement pendant la durée de vie de la campagne programmatique.

Dans le cadre du RTB, il n’est pas directement possible d’interdire le dépôt du cookie depuis le site de l’éditeur. D’autant plus qu’en fonction de qui remporte l’enchère, le cookie ne sera pas le même, pas émis par la même source.

On se retrouve, à cet instant de la réflexion, face à un problème de taille : impossible d’interdire entièrement le ciblage et la collecte de nos faits et gestes à des fins publicitaires. Il existe évidemment des solutions, mais nous y viendrons à la fin de ce billet.

La surveillance

C’est un problème connu des activistes de la vie privée, dont votre serviteur estime faire partie : la publicité contribue massivement à la surveillance en ligne. Comprenons-nous bien : avec les deux précédents billets, vous avez compris et les mécanismes de la publicité, et le spectre des données collectées, qui est tout simplement phénoménal.

La base de données de Facebook est capable, à l’utilisateur près, de dire qui a tel ou tel âge, qui est intéressé par telle ou telle chose, qui fait quoi, travaille où … et c’est bien plus massif que ça : grâce aux applications mobiles, il est également possible de connaître vos déplacements et indirectement, les lieux où vous êtes toute la journée. Ainsi, Facebook sait où vous vivez, où vous travaillez, qui vous voyez, etc. Google est capable d’en savoir au moins autant, si ce n’est plus.

Un outil de rêve, avec des données disponibles sur énormément de personnes, que demander de plus ?

Les sites internet, les BFMTV, les Youtube et les autres, existent et se financent majoritairement ou exclusivement sur des systèmes qui gravitent autour de la publicité et, sauf erreur de ma part, ce sont les pionniers de la surveillance en ligne. Certes de la surveillance à des fins publicitaires, mais de la surveillance.

D’ailleurs, les éléments qui démontrent qu’il est possible de surveiller quelqu’un avec la publicité ne manquent pas. Récemment, une étude publiée par trois chercheurs de l’Université de Washington démontrait qu’il était capable de traquer les déplacements d’un individu, pour une somme négligeable pour des services de renseignement. L’étude, disponible ici (en anglais)[PDF] est une belle démonstration des liens qui peuvent exister entre surveillance et publicité. Si la surveillance est capable d’exister sans la publicité, l’inverse n’est pas réciproque et les techniques développées par le monde de la publicité servent, sans aucun doute, les finalités de la surveillance en ligne.

Alors, que faire ?

La publicité en ligne peut se contrer, avec des méthodes plus ou moins efficaces. La plupart des personnes qui me lisent ont déjà entendu parler de uBlock, uMatrix et des autres outils disponibles pour bloquer à peu près tout ce qu’on souhaite, mais est-ce que quelqu’un s’est déjà intéressé à ce qui était bloqué ? A ce que c’était ? Si d’autres solutions existaient ?

Le cookie de blocage

De nombreux sites publicitaires proposent de déposer un « opt-out » de leur publicité ciblée, cela permet de ne plus avoir de publicité ciblée basée sur les cookies de tracking du site…mais :

• Cela ne fonctionne que si vous acceptez les cookies tiers du site
• Cela ne fonctionne que si vous n’avez pas effacé vos cookies
• Cela ne fonctionne que pour l’usage du cookie publicitaire
• Cela ne fonctionne que dans le navigateur où vous avez le cookie déposé
• Les données sont toujours collectées
• Les autres données, comme le contenu de la page web, sont toujours pris en compte

En résumé : cela permet juste de ne plus avoir de publicité ciblée, cela n’empêche pas la collecte des données et cela ne fonctionne que dans un type de publicité, dans un cadre bien précis, sur une fraction du problème, dans une fraction de cas. Une bien mince solution pour un si gros problème.

L’acceptation (ou le refus) des cookies

Bien que de nombreuses choses risquent de changer d’ici peu, tant avec le RGPD qu’avec e-privacy, les éditeurs de sites sont actuellement légalement tenus de vous demander votre consentement pour accepter le tracking des sites tiers… mais si, vous savez, le bandeau d’information que vous avez déjà pu voir, çà et là :

Sur le sujet, la CNIL est relativement claire. Les cookies regroupent :

• les cookies http (ceux que vous connaissez),
• les cookies flash,
• le calcul d’un identifiant unique (basé sur des paramètres de votre machine),
• les pixels invisibles,
• tout autre identifiant généré par un logiciel, qui vous est rattaché,

et qu’ils collectent ou non des données personnelles, ce sont des cookies.

La loi, sur le sujet, est également très claire via la directive 2002/58/CE [PDF] et la directive 2009/139/CE, extrait :

Les  États  membres  garantissent  que  l’utilisation  des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans  le  respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

On résume : normalement, un éditeur de site doit vous demander votre accord pour déposer des cookies, et doit avoir fait le nécessaire pour qu’il ne soit pas possible de déposer des cookies tiers sans votre consentement.

Or, comme vous l’avez déjà remarqué, la plupart des bandeaux d’information ne vous permettent pas d’interdire le dépôt des cookies tiers et, malheureusement, la majorité des privacy policies des éditeurs ne permettent pas d’interdire l’ensemble des outils de surveillance en ligne. Rajoutez à cela ce que nous avons vu tout à l’heure : le RTB ne permet pas d’anticiper le blocage d’un cookie tiers.

On résumera donc de la façon suivante : la politique d’acceptation des cookies, au mieux elle est partiellement appliquée et applicable, au pire les éditeurs de sites s’en fichent complètement et vous laissent vous débrouiller si vous voulez vous protéger… ce qui est pourtant considéré comme déconseillé, voire interdit, par les lois relatives à ces sujets.

Il existe bien des sites, comme http://www.youronlinechoices.com/fr/controler-ses-cookies/, pour gérer de façon globale l’acceptation ou le refus des cookies… mais c’est, au mieux, une grosse plaisanterie : on dépose un cookie de blocage… oui, le cookie de blocage dont je parlais quelques lignes plus haut, c’est cela même.

Donc les mêmes problèmes, les mêmes limitations, la même inefficacité.

Ainsi… il ne reste plus qu’une seule solution durable et efficace pour bloquer l’ensemble de la surveillance en ligne : les bloqueurs comme uBlock ou uMatrix par exemple. Ici, on bloque la connexion au site tiers, l’exécution des scripts en provenance des connexions tierces, le dépôt d’un ou plusieurs cookies, bref, il est possible d’absolument tout bloquer, y compris ce qui ne devrait pas l’être, comme les vidéos internes ou encore le CSS.

Vous l’aurez compris, via ces trois billets, la publicité en ligne est partout et n’est pas sans impacts, tant sur Internet que dans le monde de la surveillance. Nous sommes en face de deux mondes qui s’affrontent. Le premier ayant besoin de nos données pour exister, le second ayant décidé de reprendre le contrôle sur ces dernières. Il n’existe pas de solution douce ou de compromis face à cela, soit vous acceptez d’être pistés, soit vous vous opposez à ce monde dans son ensemble.

Reste à voir comment les choses évolueront, tant sur le plan législatif que sur le plan technique…

L’article La publicité en ligne, épisode 3 : les problèmes liés à la publicité est apparu en premier sur Pixellibre.net.