Pourquoi lopacit de gestion des donnes personnelles des acteurs dcosystme web (les fameux OTT[footnoteRef:1]) altre-t-elle la confiance des internautes? [1: OTT signifie Over The Top, ou acteur purement Internet, pure play Internet, sans infrastructure]

Luc Bretones VP Institut G9+Administrateur Renaissance Numrique

Selon une tude CSA / Orange publie en fvrier 2014, 85% des franais se dclarent inquiets de la protection de leurs donnes personnelles. Ltude montre galement que le phnomne sest considrablement accentu ces deux dernires annes. Sur les 12 derniers mois, nous pouvons identifier au moins 3 facteurs qui sont susceptibles dexpliquer lrosion de la confiance de la part des internautes.

Une gestion des donnes personnelles volontairement obscureTout dabord, les services internet majeurs mnent des politiques de gestion des donnes personnelles trs peu transparentes vis--vis de leurs utilisateurs. Cest ce que rappelle lUFC que choisir en saisissant en mars dernier le tribunal de grande instance, demandant Facebook, Twitter et Google+ de clarifier les conditions dutilisation des donnes personnelles. LUFC reproche notamment ces diffrents rseaux sociaux de tracer les usages internet des utilisateurs, sans leur consentement explicite, via la fonction de partage dune page ou dun article. Sur ce terrain, Google nen est pas sa premire exprience. En janvier dernier, Google a t condamn verser 150.000 damendes par la CNIL. Suite la fusion en mars 2012 dune soixantaine de rgles relatives aux diffrents services de Google, la CNIL avait demand Google de clarifier les dures de conservation et finalits des traitements des donnes collectes par ces diffrents services. En Espagne, une action similaire sest termine en dcembre dernier avec une condamnation 900.000 damende. Des actions sont galement engages en Allemagne, au Royaume-Uni, en Italie et aux Pays-Bas.

Ce phnomne de collecte obscure sest considrablement accentu avec la mise disposition par Apple et Google dune collection importante dAPIs lies aux systmes dexploitation iOS et Android sur mobile. Avec ces APIs, les diteurs dapplications peuvent demander laccs la golocalisation du tlphone, au contenu des SMS et MMS, au journal dappel, lutilisation des applications, etc. Une fois que lutilisateur a accept, il na plus de contrle sur la rcurrence de la collecte de ce type dinformation, sur la dure de stockage de la part de lditeur de lapplication, ni sur lexploitation qui en est faite. Cest comme cela quen fvrier 2014, Facebook a suscit lmoi des internautes en ajoutant ses CGU lautorisation de lire le contenu des SMS et MMS des utilisateurs de lapplication mobile. Facebook se dfend en indiquant que ce droit daccs permet de faciliter les procdures dauthentification au service. Le problme tant que le systme est ainsi fait que les utilisateurs ne peuvent savoir comment sont traits les contenus de leurs SMS par Facebook.

Une surveillance accrue de la part des autoritsPar ailleurs ces services font lobjet de rquisitions et dinterceptions de la part de nombreuses autorits sur le plan international (tats, courts pnales, etc). Laffaire Snowden a rvl par exemple les liens troits qui existent entre ces socits et les autorits amricaines. Ces dernires demandent des accs diffrentes donnes et documents: e-mail, chat audio et vido, logs dactivit, etc. Depuis des rapports de transparence sont publis par Google, Facebook et Twitter, indiquant le nombre et la provenance de ces demandes. La France a par exemple formul 2750 demandes dinformations sur 3378 comptes dutilisateurs Google entre juin et dcembre 2013. On observe globalement une hausse de 26% du nombre de demandes entre 2012 et 2013. Ces pratiques affaiblissent considrablement la confiance des utilisateurs dans ces services. Cest ce que tend montrer la raction de Mark Zuckerberg ladresse de Barak Obama. En mars dernier, sur sa page Facebook, le PDG de Facebook dnonait les pratiques de scurits du gouvernement amricain qui deviennent une menace pour Internet.

Des brches dans la scurit des donnesEnfin, ces services font lobjet de pertes rcurrentes de donnes sur leurs utilisateurs. Ils sont trs attractifs pour les pirates, et invitablement des fuites de donnes sont dplorer. La dernire en date remonte dcembre 2013. Les chercheurs du blog Trustwave's SpiderLab ont rvls que 2 millions de mots de passes avaient t drobs dont ceux relatifs aux comptes Facebook (318121), Yahoo (59549), Google (54437) ou encore Twitter (21708). En juin 2012, Facebook tait victime dun bug technique, exposant les donnes relatives 6M dutilisateurs du rseau social. En fvrier 2013, un groupe de hacker anonyme a compromis les mails et mots de passe de 250000 comptes Twitter. Dernire en date, la faille de scurit heartblead sur la couche scurise dinternet (https). On ne connait toujours pas date les consquences de cette dcouverte, dans la mesure o les cls de chiffrement sont susceptibles davoir t exposes, permettant leur dtenteur de lire les changes chiffrs entre serveurs.

Une confiance qui srode dans les services internetCes diffrents lments contribuent indiscutablement la perte de confiance dont tmoignent les internautes vis--vis de la protection qui est faite de leurs donnes personnelles. Au-del de cette perte de confiance, on peut se demander sil est sain quune poigne dentreprises collecte chaque jour plus dinformation sur la vie de centaines de millions dutilisateurs. Il est, en tout cas, plus que temps de revenir aux fondamentaux des droits concernant les donnes personnelles: Le droit dtre inform des donnes collectes Le droit dopposition aux traitements qui peuvent en tre fait Le droit daccs et de communication de ces donnes Le droit de rectification et deffacement

La mobilisation bottom up[footnoteRef:2] [2: Terrain, du bas vers le haut]

La bonne nouvelle est que ce sujet fait dsormais lobjet dune puissante prise de conscience collective. Il faut dire que la mise en donnes de nos vies avance par sauts quantiques et que la maitrise du phnomne, cest--dire de lexploitation de ces donnes, devient pour chaque individu une question fondamentale, un droit fondamental, potentiellement mis en danger. Nous pouvons parier, qu limage des class actions et autres mouvements communautaires spontans aux divers noms doiseaux, la reprise en main de leurs droits par les internautes, et plus largement les citoyens, participera au remodelage du paysage des services en ligne et de lquilibre des acteurs dominants actuels de ce march tant convoit.