L’heure est à l’inquiétude face à la reconnaissance faciale. La Chine nous inquiète par ses pratiques de contrôle permanent, l’Europe et la France suggèrent de l’interdire pour quelques années, le temps de bien poser la réflexion et les enjeux, et pourtant les applications se multiplient.
Forcément, l’idée de ne plus pouvoir être anonyme, d’être tracké dans la moindre de nos actions peut inquiéter. Sans être un dissident, je n’ai pas forcément envie qu’un gouvernement, ou une entreprise transnationale, puisse tout savoir de moi.
Sauf que, il est déjà trop tard.
Pas pour la reconnaissance faciale, mais une technologie bien plus simple et déjà très établie vous tracke en permanence : votre smartphone. Le pire, c’est qu’il le fait à votre demande, ou en tout cas avec votre accord.
Nous avons pour la plupart activé le GPS de notre téléphone, et accepté que notre position soit partagée avec certaines applications. Mais savez-vous lesquelles à un moment précis ? Et savez-vous ce que les entreprises qui collectent ces données en font ? Et savez-vous ce que ces données indiquent ?
Petit tour d’horizon d’un monde digne de 1984.
Commençons simplement : vous avez sûrement installé Google Maps, et accepté de partager votre position avec cette application. Cela semble une évidence pour son utilisation correcte. Avez-vous déjà vérifié ce que l’application enregistre à propos de vous sur le Cloud de Google ?
Rendez-vous, via leur site web, sur votre historique de cartographie. Vous pourrez ainsi constater que la firme californienne possède parfois un historique de vos déplacements remontant à plusieurs années. A priori, Google est une société en qui nous devrions pouvoir avoir confiance, et qui ne devrait pas partager ces données avec n’importe qui. Ces données ne servent en principe qu’à vous aider lors de vos recherches ou de vos déplacements, et à « améliorer » les services Google. Qu’est-ce qui se cache derrière ce terme, Améliorer ? Bonne question.
Pour le moment, il s’agit surtout de mieux cibler les publicités qui vous sont présentées.
Seulement rappelez-vous Cambdrige Analytica. Pour résumer, cette société a acheté des jeux de données similaires à Facebook, et les a utilisés pour définir des profils d’électeurs. En fonction de leur lieu de vie, de leurs relations, des groupes qu’ils suivent etc, Cambridge a ensuite défini avec son client (un certain M. Donald T.) quelles étaient les meilleures communications à envoyer pour inciter ces personnes à voter pour eux, ou bien à ne pas aller voter du tout. Si l’on en croit les résultats de cette élection, ou bien ceux du référendum du Brexit en 2016, il semble que la méthode soit efficace.
Seulement, vous allez me dire : pas de ça chez moi, je suis attentif et éclairé et je garde mon objectivité.
Alors rendons-nous à l’étape numéro deux. Avez-vous déjà vérifié quelles applications ont accès à votre position sur votre smartphone ? Il est si vite fait d’accepter des conditions lorsque l’on veut utiliser sa nouvelle application.
Je vous invite à le faire. En fonction de votre téléphone, le menu est différent mais vous devriez rapidement trouver une liste des applications qui possèdent cette autorisation. Vérifiez dans la liste si chacune des applications est bien légitime à collecter votre position, et sous quelles conditions.
Cela peut sembler un peu extrémiste, surtout dans notre métier de s’inquiéter de cela.
Je ne peux que vous conseiller la lecture d’un excellent dossier du NY Times dédié à cette problématique : https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html
Comme nous ne sommes pas reporter, je vous propose de rester dans le domaine de la théorie.
Vous avez installé des applications, dont certaines vous réclament l’accès à votre position, d’une manière qui semble légitime.
Vous êtes vous demandé ce que les entreprises qui publient ces applications font de ces données ? La loi n’est d’aucune aide, pour le moment, car vous avez accepté le partage et la société a sûrement écrit de belles conditions d’utilisation. Conditions que vous n’avez pas lu, comme tout le monde. Et quand bien même, le texte doit contenir une vague référence à un usage sécurisé et raisonnable de vos données, pour l’amélioration de vos services. Bon, inutile de pleurer sur le lait renversé, ce qui est fait est fait. Vous vous dites sûrement : mais qui peut bien s’intéresser à mon parcours quotidien, et se passionner pour ma visite hebdomadaire au club de gym ? Soit dit en passant, il est étonnant que chaque visite au club de gym ne dure que 30 minutes, alors que vous aviez dit à votre cher.e et tendre que vous feriez une heure de sport par semaine. D’autant plus que chaque visite à la salle est suivie d’un arrêt à la boulangerie. Mais cela ne nous regarde pas.
Prenons le problème dans l’autre sens : si je suis quelqu’un de mal intentionné, je peux acquérir des fichiers contenant les données de positionnement de milliers de personnes, moyennant quelques centaines ou milliers de dollars.
Il existe quelques dizaines de sociétés qui vendent ces données de manière tout à fait légale. Etonnamment, ce sont elles qui fournissent des services d’applications gratuites, ou des kits de développement permettant aux auteurs d’application de mieux monétiser leurs propres services.
Rappelez-vous : si le produit est gratuit, c’est que vous êtes le produit.
Nous pouvons rester rassurés malgré tout, ces données sont dites anonymisées. C’est-à-dire que le collecteur en a retiré votre email, votre nom… pour ne laisser qu’un identifiant unique mais anonyme. Personne n’a de moyen de savoir que Charles Dupont est derrière le numéro 4256-4532-9876-2345. Tout va bien.
Atteignons maintenant le moment angoissant de l’histoire. J’ai donc acquis un bon lot de données me permettant d’afficher sur une carte un ensemble de points. Chacun de ces points représente la position d’un utilisateur à un instant donné.
Je peux bien évidemment afficher l’ensemble des points sur une zone donnée à un instant précis, ou bien choisir un utilisateur particulier et tracer son parcours individuel.
Commençons par le collectif. Disons que je suis quelqu’un d’engagé politiquement, et que je suis réfractaire à un mouvement particulier. A une certaine date, une manifestation a eu lieu, en soutien à cette cause. Disons qu’il s’agit de la création d’un nouveau système de retraites.
Donc le jour dit, je peux voir l’ensemble des manifestants représentés sur la carte et suivre a posteriori leurs mouvements en groupe.
Ce jour-là a aussi eu lieu un regroupement en soutien aux anarchistes révoltés. Manifestation elle aussi très légale, mais avec des manifestant ayant tendance à se masquer le visage.
En regardant les mouvements des points sur ma carte, je constate qu’une grande partie des opposants au régime de retraites a aussi participé à l’autre manifestation.
Si j’étais dans le domaine du renseignement, ou de l’information, cela pourrait m’être utile, de pouvoir croiser ce genre d’informations, et même de le relier à des bases de données concernant les partis politiques, ou des groupes Facebook. Je pourrais cibler des « publicités » en fonction des groupes identifiés, pour décourager certains de venir manifester, en encourager d’autres à venir etc.
Pas assez inquiétant ?
Soit. Dernière étape.
Je reprends mes points de données. Je suis une puissance étrangère. Je voudrais savoir ce qu’il se passe au ministère de la Défense à mon propos. Difficile, n’est-ce pas ? Je vais supposer que les réseaux à l’intérieur des sites sensibles sont sécurisés, y compris les accès. Voir même que les portables y sont interdits.
Mais pas sur le parking. Je peux voir tout un lot de points qui viennent chaque matin et s’arrêtent sur le parking, puis en repartent le soir. Et si je m’intéresse à un point individuel, je peux le suivre dans son parcours quotidien.
En étudiant ses habitudes, je vais rapidement trouver, dans ces données anonymes rappelons-le, où cette personne habite, quel est son supermarché préféré. Je vais trouver qu’elle va à la salle de sport tous les mardis (et à la boulangerie juste après !), qu’elle se rend une fois par semaine chez un thérapeute…
Il deviens alors assez facile de trouver l’identité de cette personne. Ne serait-ce qu’en allant voir le lieu de résidence (par Google Street View, pour être discret. Si je n’ai pas de chance, cette personne sera irréprochable.
Si j’en ai un peu, je découvrirais un petit faible : une addiction au PMU, une visite récurrente chez un avocat spécialisé dans les divorces, ou bien en suivant de plus près son activité en ligne, des habitudes pas très saines de stockage de données etc.
Et voilà, j’aurais ma porte d’entrée au ministère. Ou bien j’aurais identifié l’un des membres de la sécurité présidentielle.
Bon, j’avoue, j’ai cherché l’angoisse. Nous en sommes pas tous la cible de James Bond, ni des anarchistes révoltés.
Simplement la facilité avec laquelle nous pouvons être identifiés et suivis en ligne par n’importe qui possédant un peu de temps et d’argent semble être un sujet de réflexion important.
En Europe, le règlement RGPD nous protège en partie de ces usages, mais pas entièrement. LA France avec la CNIL a une base solide pour pouvoir identifier les collecteurs de données non fiables, et surtout pouvoir enquêter et rendre transparents les usages de ces données.
Le profilage par groupes entiers peut rapidement porter des torts, surtout si nous n’avons pas accès aux données nous concernant.
Pour un dernier exemple, certaines banques anglaises, dès 2010, utilisaient un système nommé Phoenix. Ce système était sensé pouvoir identifier si un particulier était fiable ou non.
Et les banques se basaient sur ces recommandations pour accepter ou non l’ouverture d’un compte bancaire.
Le problème est que vous n’aviez aucun accès possible, ni aux données ni aux critères de décision. Vous n’aviez que le résultat de la décision, et aucun moyen de contestation.
Et petit bonus, comme pour le credit score américain, si vous subissiez un refus d’ouverture de compte, cela s’ajoutait dans votre balance négative. Un joli cercle vicieux en perspective…
Moralité de l’histoire : vérifiez ce que vous partagez, déjà sur votre smartphone, et avec qui vous le partagez. Est-ce que le dernier jeu installé pour occuper junior dans une file d’attente nécessite réellement votre position en permanence ? Est-ce que Facebook en a réellement besoin ?