Ces derniers jours, plusieurs “faits divers” concernant le non respect des données à caractère personnel ont par exemple émaillé l’actualité outre-Manche.

A commencer par ces étonnantes “poubelles intelligentes”, installées- pour certaines- dès l’année dernière dans les rues de Londres, qui sont de véritables attrape-données.

Côté face, l’idée est de rendre service aux passants et innocents déambulateurs qui se voient proposer des informations (météo, places boursières, actus…) mais aussi des publicités les intéressant directement. Par exemple, en leur vantant les attraits de tel ou tel commerce à proximité immédiate. En fonction, potentiellement, de leurs préférences et habitudes.

Côté pile, ce genre de personnalisation n’est évidemment possible que par la captation de leurs identifiants et de certaines données figurant sur leurs mobiles.

Le “truc”? Une capture systématique des identifiants de mobiles (en l’occurrence, leur adresse MAC- media access control) et le croisement de données que les comportements de leurs détenteurs révèle. Sans que ces propriétaires en aient conscience.

L’adresse MAC est certes anonyme mais étudier le trajet suivi par l’individu X, qui se balade avec cette adresse accrochée comme un fanion, permet assez rapidement de cerner ses habitudes, préférences, activités, etc. Quoi de plus simple par exemple, en disséminant largement des micro-hotspots [qui, par leur faible rayon d’action, permettent de “capter” des signatures et traces parfaitement individualisées], que de savoir que telle adresse MAC correspond à un portable d’une femme ou d’un homme? Il suffit d’un micro-hotspot dans un endroit mono-sexe, du genre cabines d’essayage de rayons lingerie, toilettes… Voilà déjà un mystère résolu!

Le même équipement mobile se retrouve fréquemment dans telle librairie, devant tel rayon, dans tel type de restaurant (cuisine française, fast food, exotique…), dans tel magasin? Désormais, lorsque son détenteur passera devant une vitrine interactive ou un simple panneau publicitaire actif, une publicité personnalisée sera diffusée, l’espace d’une poignée de secondes, lors de son passage. C’est tout l’art- et la finalité- du marketing de proximité. C’est à cela que sert la revente d’adresses et de données, captées par nos portables et leurs multiples applis aux conditions contractuelles si peu vérifiées.

Et ce n’est là qu’un premier exemple de ce qui peut être imaginé. Pour des usages et à des finalités multiples- de la plus anodine à la plus intrusive, voire pernicieuse.

Circulez, il n’y a plus rien à voir

C’est en tout cas à ce genre de scénario d’hyper-ciblage publicitaire que les “smart trash cans” de Londres pouvaient potentiellement servir. Des poubelles publiques, installées par la société Renew London, bardées de connexions WiFi et Bluetooth, affublées d’écrans d’informations. Et, nouveauté dans le test de cette année, un logiciel analytique embarqué (Presence Orb) qui capte les adresses MAC à vitesse v-v’ (un 50ème de seconde) et “observe” l’équipement mobile, captant des informations telles que le type d’appareil jusqu’à la vitesse de déambulation de son détenteur (s’il s’arrête ou ralentit autant lui fournir du contenu…). Assemblez les données captées par les différentes poubelles et vous obtenez le trajet d’une personne, ses arrêts, les choses (magasins etc) qui retiennent son intérêt et, donc, ses modes et préférences de consommation… “To cookie the street”, pour reprendre l’expression de Kaveh Memari, CEO de Renew London.

A Londres, les défenseurs du droit à la vie privée n’ont pas manqué de réagir. Entre-temps, les poubelles “Renew Orb” ont été désactivées – mais est-ce là un retrait stratégique prudent de la part de Renew London ou simplement la fin pré-planifiée du projet-test?

Kaveh Memari s’est fendu d’un communiqué dans lequel il affirme que les scénarios d’utilisation qui ont été évoqués ne sont pas d’applications, que les collectes de données ne permettraient pas encore actuellement de faire des recoupements poussés (vraiment?)… En tout cas, un texte “instructif”, intéressant à lire, surtout entre les lignes !

Les habitudes ne sont pas personnelles (sic!)

Restons outre-Manche pour nous pencher sur une petite prise de becs entre Google et une poignée d’internautes grand-bretons qui a été ponctuée d’une fin de non recevoir, formulée dans des termes on ne peut plus explicites. C’est ainsi que l’on doit interpréter la réponse faite par Google à trois citoyens britanniques, soutenus par le groupe de pression Safari Users Against Google’s Secret Tracking, qui voulaient lui intenter un procès pour violation de leur vie privée.

Le litige? Ces 3 citoyens voulaient citer Google devant les tribunaux britanniques pour avoir installé des ‘cookies’ sur leurs ordinateurs et équipements mobiles alors même qu’ils avaient expressément indiqué, via leur navigateur Safari, qu’ils désiraient les bloquer. Google avait déjà été attaqué en justice outre-Atlantique pour les mêmes raisons et avait opté pour le règlement à l’amiable (avec la Federal Trade Commission).

Source: Consumer Watchdog

La réponse de Google aux internautes britanniques fut nettement moins conciliante. Ils se sont en effet vu déclarer que “les habitudes de navigation des internautes ne sont pas protégées en tant qu’informations personnelles, même lorsque ces habitudes concernent potentiellement leur santé ou leur sexualité.”

Google rejette en outre la plainte pour des raisons de validité de procédure. Si le trio de Britanniques veut intenter un procès, il doit le faire devant une cour… californienne. Classique et malheureusement couvert par les clauses contractuelles. Ce qui n’empêche pas les plaignants de s’insurger contre ce qu’ils considèrent être une manière pour Google – mais cela s’appliquerait à une quelconque société dans pareille situation – d’échapper à des poursuites et de snober les réglementations nationales en vigueur.

“Pourquoi”, s’interrogent les plaignants britanniques, “devrions-nous financer un déplacement en Californie pour intenter un procès à une société qui propose des services dans notre pays, sur un site .co.uk?” Et qui y investit lourdement, ajoute l’un d’eux, faisant référence à l’établissement d’un nouveau QG “coûtant 1 milliard de dollars”.

Les trois Britanniques se sentent en outre bien seuls dans leur opposition au géant californien, ne pouvant espérer un quelconque appui de la part des autorités de leur pays, en l’occurrence celui de l’Information Commissioner’s Office.

Sollicité par l’avocat des plaignants, cet organe a préféré ne pas intervenir, jugeant la requête “simpliste et difficile à mettre en oeuvre” et estimant que si “Google enfreint la loi, il devra payer une amende.” Ce qui serait dérisoire, rétorquent les plaignants, Google gagnant plus que l’amende maximale en moins de deux heures…”

Le règlement à l’amiable intervenu en Californie confirme cette vision des choses. Il n’a coûté que… 22,5 millions de dollars à Google. Une broutille pour lui.

L’avocat britannique regrette par ailleurs que le régulateur national ne tente même pas de peser plus lourd dans la balance. Pour prouver que la chose est pourtant possible, il évoque les positions nettement plus affirmées et volontaristes de la CNIL française (Commission Nationale de l’Informatique et des Libertés) “qui a lancé un ultimatum à Google, l’enjoignant de respecter les réglementations européennes.”

Et de conclure en disant: « Google is one of the largest companies in the world with huge financial resources and access to the most expensive lawyers around the world. Regulators must rise to this challenge and rein in Google. If they fail, every internet user in this country will suffer and the right to online privacy could be lost forever. »

Google encore…

… cette fois aux Etats-Unis. L’association Consumer Watchdog s’étonnait tout récemment du double langage- contradictoire- tenu par Google.

D’une part, la société rassure les utilisateurs Gmail en affirmant qu’elle prend leurs droits à la vie privée et leur sécurité très au sérieux et que la solution d’e-mail met en oeuvre les “protections nécessaires”.

Le groupe de pression américain Consumer Watchdog n’a guère confiance dans les affirmations de Google…

De l’autre, rappelle ironiquement l’association, Google a déclaré, dans un document déposé devant un tribunal américain, que “there is no legitimate expectation of privacy when emails are sent to our system.”

Suite au dépôt d’une plainte en recours collectif [pour violation des lois fédérales américaines sur les écoutes électroniques], Google a en effet répliqué par une motion de rejet, indiquant dans son dossier: “De même que l’expéditeur d’une lettre qui l’envoie à un collègue ne peut s’étonner que l’assistante du destinataire ouvre cette lettre, les personnes qui utilisent une solution de courriel hébergée sur Internet ne sauraient être étonnées si leurs courriels sont traités par le prestataire [e-mail provider] du destinataire lors du processus d’acheminement. En effet, une personne ne peut entretenir d’attente légitime de confidentialité pour des informations qu’il confie volontairement à des tiers.”

Voilà qui nous permet, une bonne fois pour toutes, de surfer l’esprit tranquille!