Lorsque vous téléchargez un logiciel sur votre ordinateur, une image, une typographie, de la musique, etc. vous vous retrouvez souvent nez à nez avec les fameux textes de “politique de confidentialité”. Je ne sais pas qui prend le temps de lire tout ceci mais les clauses de confidentialité sont en général bien complexes et écrites en corps 9 et en gris sur fond blanc.

Nous avons donc tendance à cliquer sur “oui j’accepte” sans avoir lu. Problème donc. Mais la longueur du texte, la présentation graphique et la complexité des conditions d’utilisations et des politiques de confidentialité n’est pas une excuse à notre laxisme et à notre laisser-aller. Ainsi, des designers, des citoyens et des experts en droit se préoccupent aujourd’hui de poser des questions autour de l’accessibilité de ces politiques de confidentialité et de trouver des réponses simples, adéquates, rapides et visuelles.

Des icônes

Parmi ces idées, voici les icônes du projet réalisé avec Mozilla, Ocupop et “Disconnect”.

Ces icônes ont été développées en partenariat avec un groupe de travail dirigé par Mozilla. L’idée ? Les icônes, c’est un travail en cours que vous pouvez améliorer, modifier et utiliser sur votre site. Cette iconographie de la vie privée en ligne est donc soutenue par une collection d’emblèmes destinés à informer les utilisateurs.

Informer / rassurer / partager

Les questions de confidentialité et de protection des données personnelles sur Internet étant très vastes, c’est un sujet qui continue de croître. Comment ces icônes peuvent rester accessibles, simples et limitées en nombre ? Evidemment, elles ne doivent pas être un jugement de valeur sur le site concerné mais une information supplémentaire. Difficile à faire passer mais si la simplicité de ces icônes est à la mesure de leur limpidité, l’internaute devrait pouvoir s’y retrouver.

Signification

Pour préserver cette simplicité, des flèches, des cercles et des pictogrammes ont été utilisés. La couleur joue elle aussi un rôle important. Pour finir, toutes les icônes prennent la forme d’un document, signifiant ainsi leur relation avec les données de l’utilisateur dans un sens plus large. Leur emplacement sera situé dans la barre d’adresse du navigateur en 16 pixels par 16 pixels.

Voici de quoi réviser vos fondamentaux :

Une image ne résoudra jamais les soucis d’exploitation des données et de confidentialité mais elle pourra être un excellent indicateur de la politique d’un site Internet et alors sensibiliser le grand public à ces questions. Ces icônes, vous les retrouverez peut-être à l’avenir sur de grands sites comme c’est déjà le cas sur cette liste dans laquelle on retrouve par exemple 01Net, Alexa, Paypal ou encore les différents services de Google.

Pour en savoir plus

Depuis quatre ans, les projets européens de recherche en matière de reconnaissance des comportements “suspects“ se multiplient. Parmi la centaine de projets du volet sécurité du FP7, le programme de recherche et développement de la Commission européenne, une demi-douzaine sortis tout droit d’un bouquin de science-fiction sont destinés à développer des technologies permettant de repérer un “comportement anormal“. Tout ceci se chiffre en dizaines de millions d’euros.

Ce concept de vidéosurveillance intelligente (VSI), qui rencontre un certain succès en France, a un seul objectif : prévenir les crimes et les attentats. Plan le plus connu, le projet INDECT. Les recherches sont financées à hauteur de 10,9 millions d’euros par la Commission européenne. Objectifs : détecter les comportements “suspects” sur Internet (forums, groupes Usenet, serveurs FTP, Peer-to-Peer) et dans la “vraie vie“, via la VSI.

L’objectif de la VSI est de “simplifier les procédures de recherche et de contrôle“, dans le sens où les opérateurs de vidéosurveillance ne sont pas capables de surveiller plus d’une dizaine d’écrans à la fois. En facilitant leur travail, on pourrait “réduire le nombre d’erreurs“. Grâce à cette technologie en gestation, “Scotland Yard aurait pu retrouver deux fois plus rapidement” les coupables des attentats du métro de Londres en 2005, remarque Christoph Castex, de la direction générale Entreprises et Industries à la Commission européenne.

Parmi les 17 partenaires d’INDECT, l’université des Sciences et Technologies de Cracovie (AGH) et l’université polytechnique de Gdańsk conçoivent des algorithmes permettant de détecter des “situations dangereuses“. Des capteurs sonores permettent de détecter des appels à l’aide, des hurlements, des bris de vitre, des coups de feu, tandis que les caméras peuvent détecter une personne gisant sur le sol, ou un individu brandissant un couteau ou un revolver.

Cliquer ici pour voir la vidéo.

De leur côté, les polices d’Irlande du Nord (PSNI) et de Pologne (MSWIA) testent les prototypes (collection d’algorithmes et de logiciels) et participent à l’élaboration d’une “compilation” de comportements suspects et de silhouettes, sur laquelle le système s’appuie pour détecter un mouvement “anormal“, défini comme un “comportement criminel“, ou comme un “comportement lié à un acte terroriste ou une activité criminelle grave (meurtre, braquage de banque) “. INDECT s’achèvera fin 2013.

Un « répertoire » de comportements suspects

Dans le même état d’esprit, le projet ADABTS a pour objectif de développer des modèles-types de “comportements suspects”. L’enveloppe de l’Union européenne est de 3,2 millions d’euros. Une fois finalisée, la technologie d’ADABTS devrait permettre d’analyser la voix d’un individu, sa démarche et ses mouvements. Elle permettra aussi de compter le nombre d’individus présents, par exemple lors d’une manifestation.

Parmi les partenaires de ce projet censé se terminer en août 2013, on compte l’Institut de psychologie du ministère de l’intérieur bulgare (IPMI), expert en criminologie, le ministère de l’intérieur britannique et le groupe d’armement BAE Systems, fournisseur principal du ministère de la défense britannique. ADABTS compte aussi dans ses rangs l’agence de recherche de la défense suédoise (FOI), récemment au coeur d’un projet controversé de vente d’armes à l’Arabie Saoudite.

Aux commandes des recherches scientifiques, l’université d’Amsterdam. L’équipe du professeur Dariu Gavrila, qui planchait déjà entre 2005 et 2009 sur un système de détection des comportements agressifs, met au point une batterie d’algorithmes basés sur des modèles statistiques. Concrètement, les silhouettes en mouvement sont isolées du reste de l’image après une opération de “soustraction” de l’arrière-plan. Ensuite, la silhouette se voit superposée un squelette 3D. Ses mouvements sont comparés à un “répertoire de gestes“. En analysant également les sons, comme le timbre de la voix ou son intensité, un comportement peut être analysé.

Afin de définir un comportement “anormal”, Dariu Gavrila a concocté, avec l’aide “d’experts” une base de données de comportements. Elle consiste en une liste d’actions, qui combinées forment un scénario :

Un “cri puissant” combiné avec “des poings brandis” et une “personne chutant” constitue un scénario permettant de prédire une agression. Des “gesticulations excessives” et des “regards alentour permanents” peuvent indiquer un comportement nerveux, qui, conjugué avec “porter des lunettes de soleil ou une capuche par un temps inapproprié” peut signifier un vol ou un scénario terroriste.

Les scénarios d’ADABTS vont de l’”agression” à l’”acte terroriste” en passant par la “bagarre à grande échelle”, le “vol” et la “foule paniquée”. En juin 2012, des acteurs ont simulé ces scénarios au Kyocera Stadion, le stade de football de La Haye. Parmi ces mouvements ou ces sons pouvant indiquer un “comportement anormal”, des cris, des hurlements, des moulinets avec les bras, des gestes de la main.

Dans la liste figure aussi le port d’une capuche, le fait pour un groupe de marcher dans le sens opposé à la foule, le fait pour un individu de marcher à une vitesse différente des autres, ou encore le fait de rester debout quand la majorité des personnes est assise. Un spectateur ne regardant pas le match de foot ou regardant autour de lui peut aussi être considéré comme suspect.

Comment différencier un comportement normal d’un comportement anormal, quand les mouvements ne parlent pas ? Comment faire la différence entre un couple s’embrassant et une agression ? Interrogé par Owni, Dariu Gavrila insiste sur l’importance de la vérification humaine :

Le système peut très bien détecter une personne nouant ses laçets dans un magasin ou prenant des photos dans un hall d’aéroport, et considérer cela comme un comportement “anormal”. En réalité, le système ne sait pas s’il s’agit d’un comportement indésirable. Il détecte simplement un comportement qui s’écarte des comportements normaux que nous lui avons appris.

Terminé en 2011, le projet SAMURAI a coûté 3,8 millions d’euros, dont 2,5 millions en provenance de l’Union européenne. SAMURAI utilisait lui aussi une liste de comportements “anormaux“, par exemple un individu semblant tenter de cacher son visage, ou une personne marchant contre le “flot régulier” d’une foule. Des algorithmes permettent au futur système de retenir les comportements “habituels” des individus, par exemple le trajet emprunté par des voyageurs au moment de s’enregistrer à l’aéroport. D’autres permettent de détecter un visage et de se focaliser dessus.

Les mouvements que sont une poignée de main, un baiser, un coup de fil ou le fait de s’asseoir sont aussi analysés. Les algorithmes ont été développés par les universités de Queen Mary (Londres) et de Vérone, mais aussi par la société Selex Elsag. Une filiale du groupe italien Finmecannica, connue depuis cet été pour avoir vendu à la Syrie un système de transmission de données.

Très proche de SAMURAI et également terminé depuis 2011, le projet SUBITO devait quant à lui permettre d’identifier un bagage abandonné, de retrouver son propriétaire, et de le suivre à la trace de caméra en caméra. Pour cela, il utilise des algorithmes de détection et de traçage développés par l’université de Leeds, l’Institut de recherche du Commissariat à l’énergie atomique (CEA) de Saclay et l’Office national d’études et recherches aérospatiales (Onera) de Châtillon.

Les comportements suspects sont détectés à une moindre échelle : ici, il ne s’agit que des propriétaires de bagages. Si un voyageur distrait oublie son sac et reste loin de celui-ci trop longtemps, il pourra être considéré comme suspect. Pour l’instant, les technologies développées par SAMURAI et SUBITO n’ont pas encore été intégrées à un système opérationnel, et sont susceptibles d’être à nouveau l’objet de recherches.

Cliquer ici pour voir la vidéo.

Une technologie pas encore mature

Les chercheurs en VSI sont unanimes : pour l’instant, la détection n’est efficace que lorsqu’il s’agit de “scènes simples“. Les partenaires d’ADABTS espèrent pouvoir à terme commercialiser un produit fini utilisant un matériel “low cost”, et le proposer aux autorités européennes, aux forces de police et aux sociétés de services de sécurité. Un enthousiasme que ne partage pas Dariu Gavrila :

Pour l’instant, la détection automatique comportementale n’en est qu’à ses débuts. Nous avons fait de très grands progrès, mais nous sommes encore loin d’un système intelligent capable de détecter automatiquement des comportements anormaux. Il est facile de détecter un comportement visible comme une bagarre, mais quand il s’agit d’un “comportement camouflé”, c’est une autre paire de manche !

Même constat en ce qui concerne le “vidéo tracking”, ou “pistage” d’une personne de caméra en caméra :

Pour l’instant, nous sommes capables de détecter un individu quand il y a peu de monde et quand le fond est statique, mais quand il y a foule et que les gens interagissent entre eux, la situation est bien plus complexe.

Pour les chercheurs, malgré l’avancée des recherches, il faudra attendre encore cinq ou six ans avant de voir apparaître une caméra véritablement “intelligente”.

“L’effet Big Brother”

Quid des questions éthiques ? À l’université de Kingston, des chercheurs planchent sur le projet ADDPRIV. Quand un comportement suspect est détecté, le système imaginé collecterait les vidéos précédant et suivant la détection, afin de pouvoir suivre à la trace la personne suspectée. Financé à hauteur de 2,8 millions d’euros par la Commission européenne, ADDPRIV veut assurer un “juste milieu” entre “sécurité et protection de la vie privée“. L’idée est de ne garder que les images et les sons “pertinents“, ayant trait à un évènement suspect, grâce à des algorithmes de “tri” des données.

Pour Daniel Neyland, de l’université de Lancaster et membre du bureau éthique d’ADDPRIV, les expériences menées, “avec l’autorisation des personnes filmées et en vase clos” sont “l’occasion de tester la façon dont nous pourrions renforcer à la fois la sécurité et la vie privée”. Pour cela, les données pourraient notamment être “anonymisées” grâce au “hachage” et au chiffrage des images stockées, et à une application conçue pour flouter les visages. Cela suffit à transporter de joie les concepteurs du projet :

Grâce à sa technologie de surveillance ciblée, ADDPRIV permettra une meilleure acceptation sociale de la vidéosurveillance en réduisant l’effet Big Brother, notamment en collectant le minimum de données possible.

Cliquer ici pour voir la vidéo.

Concernant le projet ADABTS, l’un de ses coordinateurs à l’agence de recherche de la défense suédoise (FOI), Henrik Allberg, affirme à Owni :

ADABTS n’identifie personne, il détecte des corps, une représentation de ce qui se passe. La reconnaissance de comportements couvre une zone restreinte, et se centre sur une activité nocive potentielle, indépendamment de l’identité d’une personne ou de son histoire.

Pour Dariu Gavrila, la détection automatique est même plus “objective” que l’oeil humain :

L’opérateur humain est plus subjectif, il a tendance à classer les individus observés dans des catégories, selon leur âge ou leur apparence, par exemple. Un système intelligent automatisé demeurera bien plus objectif et moins discriminant.

À la Commission européenne, Christoph Castex affirme de son côté que les différents projets respectent un “code de déontologie“, ainsi que les législations nationales et internationales en vigueur, comme la Charte des droits fondamentaux de l’UE et la Convention européenne des droits de l’homme. Pour Castex, une fois la technologie arrivée à maturité, la balle sera dans le camp des États :

Le prototype est destiné aux forces de police des pays européens, et elles seront obligées de se conformer aux lois existantes. Tout système basé sur INDECT sera forcé de respecter les données privées.

Tout comme ADABTS, le projet INDECT possède un “bureau éthique” indépendant, composé d’experts de la protection des données, d’universitaires et de membres de la police nord-irlandaise. Ce bureau est chargé de surveiller les outils développés et d’évaluer leur respect de la vie privée. À noter que si ce bureau diffuse l’ensemble des documents ayant trait à INDECT sur le site du projet, cette transparence est surtout due à la pression exercée par 177 députés européens, en 2010. À l’origine, le bureau éthique avait ainsi décidé de “garder confidentielles les informations susceptibles d’avoir un effet négatif sur la réputation du projet” , selon le Parlement européen.

Aujourd’hui, Christoph Castex constate que “INDECT a retenu la leçon”, après avoir été la cible de nombreuses critiques, notamment de la part des Anonymous. “Tous nos projets se posent des questions éthiques“, affirme-t-il. Un projet de recherche a même pour but de “réfléchir aux limites de ce que la société peut accepter” : le projet DETECTER.

Selon différents membres des “groupes éthiques” rattachés aux projets de VSI, des conseils devraient être adressés aux “futurs utilisateurs” des technologies développées. Parmi ces conseils, la minimisation des données, c’est-à-dire l’utilisation du minimum de données personnelles possible et le floutage des visages, qui rendrait impossible tout “profilage“.

Reste à espérer que ces conseils seront pris en compte. Car si l’on en croit Rosamunde Van Brakel, chercheuse spécialisée dans les relations entre vidéosurveillance et société au Law Science Technology & Society (LSTS) de l’Université libre de Bruxelles, interrogée par Owni, ces technologies nous emmènent tout droit vers une société de type “Pré-crime” :

Le risque d’erreurs et de fausses accusations est élevé. Cela peut mener à une culture de la peur, à une société où le principe de présomption d’innocence serait perdu au profit de la méfiance généralisée. Certains “indicateurs de méfiance” pourraient être basés sur des hypothèses erronées et sur des préjugés. Dans ce cas, cela pourrait conduire à une catégorisation sociale et à une “discrimination algorithmique”.

Et de conclure : “Si le contrôle de ces technologies n’est pas béton, alors il faudra s’inquiéter, notamment de ce qui arriverait si elles étaient détournées de leur objectif initial.”

Dans les années 90, Philip Zimmermann s’était attiré les foudres des autorités américaines parce qu’il avait rendu public un logiciel permettant de chiffrer ses données, “Pretty Good Privacy“, et donc de communiquer en toute confidentialité. Désormais considéré avec Tim Berners-Lee, Vint Cerf et Linus Torvalds comme membre majeur de l’Internet hall of fames, Zimmermann s’est embarqué dans une nouvelle aventure : Silent Circle.

Son principe : permettre à quiconque, grâce au protocole ZRTP, le chiffrement de ses mails, de ses appels, de ses SMS et de tout ce qui transite globalement en VOIP sur son smartphone pour 20 dollars par mois. Et qui autorise y compris le “paiement anonyme”, grâce à ce qu’ils appellent la “Dark Card” : une carte métallique noire de 6 ou 12 mois, dont chacun peut acquérir le nombre qu’il souhaite, entièrement anonyme – sans nom ni adresse – avec un identifiant unique à 16 caractères. Le tout accompagné de mentions légales d’une grande transparence.

I wish more companies posted law enforcement policies like this. Bravo @silent_circle: silentcircle.com/web/law-compli…

— Christopher Soghoian (@csoghoian) Novembre 1, 2012

“This is designed for the citizens of the world”

“Conçu pour les citoyens du monde”, clame le PDG de Silent Circle, Mike Janke – ancien Navy SEAL – qui se défend de ne pouvoir être à la fois juge et juré, conscient que ce nouveau produit pourrait très bien être utilisé par des individus malveillants. Mais Janke assène également l’adage selon lequel “tout ce que vous faites ou dites – mail, SMS, téléphone – est surveillé à un niveau ou à un autre”. Et il refuse donc l’idée d’en priver les 99% de citoyens qui en feront un usage correct pour protéger leur vie privée.

Pour l’heure, la firme prétend avoir déjà reçu une commande en provenance d’une multinationale pour 18 000 de ses employés, et suscité de l’intérêt d’unités d’opérations spéciales et d’agences gouvernementales de plusieurs pays. Et le célèbre pure player spécialisé en journalisme d’enquête d’intérêt public ProPublica a confirmé avoir entamé des “discussions préliminaires” avec Silent Circle, sans doute avec pour objectif de protéger à la fois ses journalistes ainsi que leurs sources. A priori destinée à un public restreint – celui cité, plus quelques activistes, des diplomates, voire des stars qui se font voler leur mobile contenant des données sensibles – Silent Circle pourrait finalement toucher un public plus large. C’est ce que souhaiterait sans doute Philip Zimmermann.

Philip Zimmermann, portrait by Matt Crypto (CC-by-sa)

Silent Circle sécurise les télécommunications de ses utilisateurs. Nous ne vendons pas nos produits aux institutions, mais aux utilisateurs finaux, qui peuvent cela dit travailler pour des institutions, et se faire rembourser l’abonnement.

J’ai été contacté à la fin de 2011, par Mike Janke, qui voulait lancer Silent Circle, au sujet duquel il pensait depuis des mois, peut-être des années, afin de développer des outils de chiffrement des télécommunications. L’un des premiers marchés qu’il voulait approcher, ce sont les militaires américains déployés à l’étranger, afin de leur permettre de pouvoir parler à leurs familles, parce qu’ils n’ont pas le droit d’utiliser Skype, de dire où ils sont, parce qu’ils doivent utiliser un langage codé pour communiquer… ils ont tellement de restrictions, et comme ils ne peuvent pas non plus utiliser les réseaux de communication sécurisés du Pentagone…

On peut aussi penser aux employés des sociétés militaires privées qui sont, eux aussi, déployés à l’étranger, aux professionnels envoyés dans des pays où ils pourraient être espionnés, comme la Chine par exemple… Et j’ai trouvé que c’était une formidable marché tout trouvé qui pourrait s’élargir au fur et à mesure. En créant des outils censés servir dans des environnements très hostiles, afin d’aider des agences gouvernementales à s’en servir, il deviendrait d’autant plus difficile de nous stopper, en particulier en matière de téléphonie par IP, où nous allons probablement devoir mener des combats juridiques assez controversés dans les prochaines années. Et cette start-up nous facilitera ces combats législatifs ou judiciaires, du simple fait que nous aurons beaucoup de clients au sein des agences gouvernementales…

Je passe de très bons moments à travailler avec les Navy SEAL dans cette start-up. J’ai toujours été ravi de voir comment PGP a été adopté, dans le monde entier, par les forces de l’ordre et de sécurité, et les services de renseignement, ceux-là même qui, initialement, voulaient pourtant me mettre en prison : on a gagné, la preuve ! Silent Circle suscite beaucoup d’intérêt de la part d’organisations militaires, services secrets, l’OTAN, le département d’État américain, qui veulent utiliser notre technologie, et protéger leurs appels téléphoniques avec nos technologies. Et c’est très satisfaisant de voir qu’ils s’en serviront probablement encore plus que PGP parce que mes partenaires sont d’anciens militaires, et qu’ils m’aident à pénétrer ces marchés.

Au début, les agences gouvernementales exprimaient des réticences à utiliser PGP, à cause de l’investigation criminelle dont j’avais fait l’objet, et du côté anti-establishment qui lui avait donc été associé. Quand le FBI est venu toquer à notre bureau, je me suis dit : “Oh non, c’est reparti !”, mais non, ils venaient nous voir parce qu’ils voulaient s’en servir ! Et ça, c’est très satisfaisant, je n’y serais jamais parvenu tout seul. En travaillant avec ces anciens commandos de marine, je parviens à toucher des clients que je n’aurais jamais pu toucher tout seul. Et cela va également rendre beaucoup plus difficile aux gouvernements de tenter de nous empêcher de protéger les communications de nos clients, puisqu’ils s’en servent ! Il y aurait trop de dommages collatéraux.

Le prochain champ de bataille de la cryptographie est la téléphonie.

Historiquement, les interceptions légales des télécommunications ont été utilisées par les forces de l’ordre pour résoudre des crimes, et elles en sont devenues dépendantes. Mais si vous regardez le nombre de crimes résolus au regard du nombre d’écoutes téléphoniques, ça ne représente qu’un pourcentage infime. La majeure partie des crimes sont résolus par d’autres modes d’enquête. Les crimes laissent des traces dans le monde physique.

Rendre les écoutes téléphoniques plus difficiles n’aura pas beaucoup d’impact dans la lutte contre la criminalité. Les choses changent, avec la migration de la téléphonie du réseau analogique vers l’Internet, parce qu’il devient possible, pour le crime organisé, d’espionner tout un chacun. Mais les dommages collatéraux qu’entraîneront l’impossibilité de mettre des individus sur écoute seront bien moins dommageables que la possibilité offerte au crime organisé de mettre tout le monde sur écoute.

Google avait installé une porte dérobée, et les Chinois s’en sont servis pour espionner des activistes ! Si vous installez une porte dérobée dans un logiciel, elle sera utilisée par les “bad guys“. Et puis je suis aussi contre les portes dérobées parce qu’elles vont à l’encontre de nos libertés ! Et tous ceux qui travaillent dans cette entreprise le font parce qu’ils partagent eux aussi ce à quoi je crois. Mike Janke, mon partenaire, a les mêmes opinions que moi en matière de vie privée et de libertés. Il a vu le pouvoir des services de renseignement, et il en a peur : il n’a pas envie de voir nos libertés mises à mal parce qu’elles seraient capables d’espionner leurs concitoyens. Et il est d’accord avec moi.

À ma connaissance, c’est la première fois qu’une telle masse de données, avec une telle précision, a été utilisée en prévalence de maladies infectieuses pour cartographier ces facteurs de risque et de mobilité. – Caroline Buckee

C’est sans doute, en effet, la première fois : la totalité des appels et des SMS générés par 15 millions de Kényans entre juin 2008 et juin 2009 a été analysée pour faire progresser la science. Quitte à semer le trouble sur l’épineuse question de la vie privée des utilisateurs.

Les migrations humaines contribuent à la propagation du paludisme, bien au-delà du rayon d’action du moustique Anopheles, son principal agent de transmission. Il s’agit d’un véritable casse-tête, notamment sur de vastes zones géographiques lorsque les ressources sont limitées – tant pour les soins que pour le contrôle des insectes.

Partant de l’observation selon laquelle il est impossible de cerner la façon dont cette maladie se propage sans des informations précises sur l’endroit où vivent les populations, une équipe de chercheurs américano-kényans a donc démontré, à travers cette étude menée en Afrique sub-saharienne, que les données enregistrées sur des téléphones portables pouvaient être utilisées dans le but d’identifier les régions à cibler en priorité dans le combat contre la maladie. L’étude a été publiée dans la revue Science parue le 12 octobre dernier.

L’Afrique piquée au vif

Selon le Rapport 2011 sur le paludisme dans le monde publié par l’OMS, les décès associés en 2010 au paludisme – sont encore estimés à près de 700 000, soit l’équivalent, pour cette année, de la disparition des habitants des communes de Lyon et de Lille réunies. Plus de 90% des décès se situent en Afrique, et 86% des victimes à travers le monde sont des enfants de moins de 5 ans. En guise d’espoir, des réductions de plus de 50% des cas signalés ont été enregistrées dans la moitié des 99 pays touchés par la transmission au cours de la première décennie de ce siècle. Principale raison : le nombre de moustiquaires imprégnées d’insecticide livrées par les fabricants dans cette région de l’Afrique a considérablement augmenté et est passé, entre 2004 et 2010, de 5,6 millions à 145 millions d’unités.

Toutefois, ces mesures sanitaires sont loin d’être suffisantes. Raison pour laquelle la recherche se penche aujourd’hui sur des voies alternatives pour endiguer le fléau. “Les programmes de lutte contre le paludisme ont des outils très efficaces pour prévenir la transmission aujourd’hui, mais malheureusement, les ressources pour leur mise en oeuvre sont très limitées”, selon Justin Cohen, conseiller technique principal de l’équipe de contrôle du paludisme du Clinton Health Access Initiative. La technique utilisée dans cette étude nous donne un moyen d’optimiser l’impact de nos ressources limitées.

Plus de 30 pays à travers le monde ont déclaré un objectif national d’élimination du paludisme, mais il est difficile d’éliminer la maladie quand de nouveaux cas sont constamment importés. – Andy Tatem

Exploration à la carte

Andy Tatem est professeur agrégé de géographie à l’Institut des Pathogènes Emergents de l’Université de Floride et co-auteur de l’étude. Il a fourni des cartes de population indispensables grâce à son projet AfriPop, qui utilise de l’imagerie satellitaire, des données de recensement et des cartes d’occupation du sol pour créer une cartographie détaillée de la répartition de la population de l’Afrique sub-saharienne.

Représentation en 3D d'une résolution spatiale à 100 mètres, version alpha, population d'Afrique de l'Est 2009 - afripop.org

Son équipe a ensuite utilisé les données fournies par une compagnie kényane de téléphonie mobile pour identifier les itinéraires les plus empruntés entre les différents coeurs de population, données où figurait une année pleine d’informations sur la localisation, les déplacements, la destination ou même les transferts d’argent de 14 816 521 utilisateurs de téléphones portables à travers le Kenya.

Professeur assistante en épidémiologie à Harvard et co-auteur de l’étude, Caroline Buckee s’est évidemment réjouie des perspectives offertes par la réunion du “big data” et de la cartographie des populations :

Déterminer où les gens vivent peut paraître trivial, mais c’est en fait une chose très difficile à faire en Afrique sub-saharienne. Des chercheurs avaient utilisé des GPS, des sondages et des flux de circulation sur les routes principales pour essayer de comprendre comment les gens se déplaçaient, mais ça nous fournissait des informations sur quelques centaines de personnes, tout au plus. Notre utilisation des informations issues de téléphones portables a apporté des milliards de données.

Carte de la pression clinique du Plasmodium falciparum en 2007 au Kenya - Malaria Atlas Project

Et c’est bien grâce à ces données et à son travail de cartographie que les chercheurs d’Afripop ont réalisé un modèle de transmission du paludisme qui, appliqué à la population et ses mouvements, prédit les risques d’infection grâce à l’utilisation de la théorie mathématique des probabilités. Les résultats ont clairement montré que l’éruption du paludisme durant la période d’étude avait eu lieu dans la région du Lac Victoria et que la maladie s’était étendue vers l’est, en direction de la mégapole de Nairobi. Une cartographie qui démontre comment le paludisme est susceptible de se déplacer entre les différentes régions du Kenya. Et quelles régions, précisément ciblées par les équipes de lutte contre la maladie, produiraient le meilleur résultat au niveau national.

La question qui fâche

Reste une question – sinon la question qui taraude y compris les professionnels du mHealth. L’opérateur kényan Safaricom – qui appartient pour 60% à l’Etat et pour 40% à Vodafone – a-t-il demandé l’autorisation à ses 15 millions de clients pour permettre aux chercheurs majoritairement américains de fouiller, scruter, analyser un si grand nombre de données les concernant ? Rien n’est moins sûr. Contactée par Owni, la Fédération des Consommateurs Kényans (Cofek) dit avoir approché Safaricom à ce sujet sans jamais avoir reçu de réponse. “Du point de vue de la loi kényane, de telles études – qu’elles soient à but commercial ou de charité – utilisant des données de possesseurs de téléphones mobiles, sont inacceptablement intrusives”, nous a déclaré Stephen Mutoro, son secrétaire général. En ajoutant, fermement :

Nous espérons que ceux qui ont conduit cette étude, s’ils souhaitent être pris au sérieux, ressentiront le besoin d’éclaircir certains points mystérieux concernant la méthodologie employée, notamment si une autorisation en bonne et due forme de Safaricom et de la Commission des Communications du Kenya a été délivrée. Si, comme on le redoute grandement, il existe une brèche sur les questions de vie privée, alors les coupables se feront certainement taper sur les doigts, avec une énorme compensation financière pour les consommateurs. Nous attendons également que la Commission des Communications du Kenya [CCK] agira de manière proactive et demandera les informations nécessaires au sujet de la méthodologie employée pour cette étude.

Au Kenya, où 84% de la population est couverte par les réseaux mobiles, la pénétration du téléphone portable atteignait 42% en 2008 (source ITU), et les abonnés étaient plus de 18,5 millions (selon la CCK) en 2009 pour une population totale de 40 millions – soit plus de 46%. Les prévisions de l’époque indiquaient que ces chiffres seraient susceptibles de doubler en cinq ans ; plus de 25 millions en 2011, comme le montre le graphique ci-dessous.

Le Kenya est l’un des pays d’Afrique pionnier en matière de téléphonie mobile, ce qui s’explique notamment par la pauvreté du réseau cuivré. À titre d’exemple, le pays s’est doté depuis 2007 d’un système de paiement électronique innovant, M-Pesa, prévu au départ pour les transferts d’argent depuis l’international et devenu en quelques années un véritable système monétaire quasi-privé aux allures de potentielle monnaie parallèle. Ce qui rend la question de l’analyse des données de Safaricom d’autant plus sensible, vu que ces transactions financières sécurisées faisaient partie du lot de la “big data” passée entre les mains des chercheurs.

Dans ce contexte de baisse des revenus et de part de marché drastique, nous avons interrogé Safaricom afin de savoir dans quelles conditions ce “big data” (une année des données de 15 millions d’utilisateurs) avait été cédé à l’étude. Contrepartie financière ? Open Data ? Les clients “cobayes” ont-ils été prévenus ? Nous n’avons pas reçu de réponse à ce jour. Et nous espérons que l’opérateur ne se soit pas tout simplement endormi sur ses principes.

Le bénéfice du doute

Au centre de la modélisation de cette masse colossale de données, Amy Wesolowski, jeune étudiante de l’Université Carnegie Mellon, travaille avec Caroline Buckee. Elle a déjà été interpellé sur cette question [pdf, page 15] de vie privée au sujet des données traitées au Kenya. Sa position de chercheur est sensée, polie, de bon aloi, mais pas forcément très claire sur la méthodologie employée par l’étude s’agissant de la récupération des données. Nous avons cherché à la joindre, elle est restée muette à nos questionnements, et nous en resterons donc à cette réponse de 2010 :

Ces données peuvent être utilisées pour de mauvaises choses, mais nous essayons de rester du côté du bien.

Professeur au département de médecine préventive de l’Université Vanderbilt, William Schaffner ne dit pas autre chose :

Je me doute bien que certains seront nerveux à l’idée d’un “big brother” qui nous suivrait partout. Pour ma part, je suis bien plus excité par les possibilités de nous prévenir d’une sérieuse affection.

Au vu des différents éléments que nous avons en notre possession et du mutisme appliqué de l’opérateur, il est donc probable que les 15 millions de clients de Safaricom aient été des cobayes à leur insu. Mais que ces innombrables données étudiées, manipulées pour la science, l’aient été dans un état d’esprit qui laisse peu de place à la paranoïa. Pour preuve, sans doute, ce document de travail “Du fair use de données comportementales, agrégées et anonymes” [pdf] réalisé par Nathan Eagle, doux-dingue ingénieur-informaticien passionné de béhaviorisme et de bien commun, PDG de txteagle qui pige de temps à autre pour le MIT et Harvard. Il a participé à la rédaction de l’étude parue dans Nature. Il est marié à la ville à… Caroline Buckee. Et qui, en évoquant son travail à Harvard, le résume ainsi :

En fin de compte, notre programme de recherche consiste à déterminer comment nous pouvons utiliser ces données pour améliorer activement la vie de milliards de personnes qui génèrent ces données et améliorer les sociétés dans lesquelles ils vivent.

C’est beau comme une keynote de Google.

La représentation en 3D d’une résolution spatiale à 100 mètres, version alpha, population d’Afrique de l’Est 2009 est issue du site afripop.org. Les régions zoomées sont celles de Bujumbura (a), Kigali (b), Kampala(c), Nairobi (d) et Dar Es Salaam (e) ; la carte de la pression clinique du Plasmodium falciparum (parasite qui cause le paludisme) en 2007 au Kenya est issue du site Malaria Atlas Project.

C’était prévu et ça n’a pas loupé : ce matin, la Cnil n’a pas été tendre envers Google, et sa nouvelle politique de confidentialité.

La Cnil veut faire payer sa maldonne à Google

Selon le Guardian, les Cnil européennes s'apprêteraient à dégainer contre Google dans les tous prochains jours. ...

Lancée en mars dernier, ces nouvelles règles d’utilisation sont dans le collimateur des 27 gardiennes de la vie privée en Europe, qui exigent une “mise en conformité” du géant américain.

Claque

Il s’agit donc d’une demande d’ajustement, et non d’une demande de rétropédalage. Qui porte concrètement sur trois points précis repérés par les Cnil européennes, à la suite d’une longue enquête débutée en janvier dernier.

Google est d’abord sommé d’améliorer l’information qu’il met à disposition de ses utilisateurs. Isabelle Falque-Pierrotin, à la tête de la Cnil française qui a été chargée de mener l’audit, regrette un “déficit” en la matière :

Les utilisateurs ne savent pas quelles données sont collectées et quel usage sera fait de cette collecte.

Qu’ils détiennent un compte chez Google ou non : tous les internautes susceptibles d’utiliser les services de la boîte sont concernés, précise encore la présidente de la Cnil. Google est donc invité à les éclairer de façon plus claire et ergonomique, en prévoyant notamment un service d’informations “à la demande”. Les Cnil suggèrent également que les données ne soient pas toutes mises dans le même panier, proposant une différenciation des données sensibles (bancaires, de géolocalisation ou encore biométriques).

Deuxième pierre d’achoppement : la combinaison des données opérée par Google, jugée “excessive” par les Cnil européennes. “Il faut redonner la maîtrise à l’utilisateur”, a martelé Isabelle Falque-Perrotin, qui déplore :

Toutes les données peuvent être utilisées pour la publicité ciblée. Y compris par exemple celles de Google Docs.

Google rigole avec l’Europe

Visé depuis deux ans par une enquête d'abus de position dominante en Europe qui pourrait lui coûter un joli pactole, ...

Pour régler ce problème, une simplification du système d’opt-out, qui permet à l’utilisateur de choisir de ne pas participer au service, est exigée. “Aujourd’hui, six actions sont demandées aux utilisateurs pour qu’ils puissent se désengager”, a expliqué Gwendal Le Grand, chef du service expertise informatique de la Cnil.

Dernier point chaud, et non des moindres, la durée de conservation des données. “Google a refusé d’y apporter une réponse” a signalé sans détours la présidente de la Cnil. Un flou inacceptable que la firme de Mountain View est appelée à lever.

Fessée

Reste à savoir sous quels délais. Et là encore, Isabelle Falque-Pierrotin ne mâche pas ses mots :

Google ne dispose pas de sept mois [la durée de la procédure, ndlr]. Mais plutôt de trois, quatre mois. S’ils n’agissent pas, on rentrera alors dans une phase contentieuse. Mais il est trop tôt pour en parler.

Concrètement, les gendarmes de la vie privée en Europe pourraient disposer de leur pouvoir de sanction. Dans le passé, a rappelé la présidente de l’autorité française, elles n’ont pas hésité à infliger une amende de ce géant du web. Ainsi, 100 000 euros en France pour l’affaire Google Street View.

Elles pourraient également envisager de ponctionner à hauteur de 2% le chiffre d’affaire réalisé par Google au niveau mondial. Une éventualité abordée, comme l’a relevé un journaliste présent dans la salle, dans le projet d’un nouveau cadre de régulation européenne, présenté en janvier dernier [PDF]. Mais selon Isabelle Falque-Pierrotin, “cette discussion n’est pas opportune à ce stade.”

Ambiance

C’est la Cnil française qui a encore été désignée pour assurer “le service après-vente” de l’enquête, en “se rapprochant de Google”.

Ce dernier serait au courant de son sort depuis mi-septembre, indique encore la présidente de la Cnil. “Mais nous avons envoyé la lettre officielle aujourd’hui” [PDF].

Du côté de Google, comme d’habitude, seul un communiqué laconique prévaut. Mais le géant américain semble être décidé à ne pas se laisser faire. Peter Fleischer, du Global Privacy Counsel de la boîte n’en démord pas :

Notre nouvelle politique de confidentialité démontre notre engagement continu pour protéger les informations de nos utilisateurs et créer des produits de qualité. Nous sommes confiants dans le fait que nos politiques de confidentialité respectent la loi européenne.

Yahoo et Gmail lisent vos mails

Avec son application Visualizing, Yahoo! montre que tout ce que partagent ses utilisateurs par mails est non seulement ...

Le bras de fer est donc loin d’être terminé. Et l’ambiance pas vraiment au beau fixe. “La collaboration avec Google a été d’un niveau moyen” concède la présidente de la Cnil, qui assure néanmoins échanger en permanence avec la boîte.

Preuve de cette bonne entente, le lobbyiste attitré de la firme en France, Benoit Tabaka, laissait entendre ce matin qu’il ne pouvait pas assister à la conférence de presse. Fin de non recevoir confirmée dans la foulée par le service communication de Google France qui dit “regretter ne pas avoir eu l’autorisation de participer” au raout de ce matin.

Interrogée par Owni sur cette interdiction, Isabelle Falque-Pierrotin a botté en touche, indiquant qu’il s’agissait d’une réunion “pour la presse et pas pour Google”. Effectivement, la collaboration est au top.

CCTV Google on Fourth Avenue - Photo CC by-nd Hrag Vartanian

Google pourrait bien se faire prochainement taper sur les doigts par les gardiennes de la vie privée en Europe ! C’est en tout cas ce que croit savoir le Guardian, qui avançait il y a deux jours :

Le changement unilatéral de la politique de confidentialité de Google en mars dernier devrait subir dans les jours qui viennent les foudres des commissions européennes en charge de la protection des données.

Conditions générales de mystification

Écrites en petits caractères et dans un jargon peu accessible : ce sont les magnifiques "conditions générales ...

Dans le viseur : la drôle de tambouille opérée il y a quelques mois sur ses comptes utilisateurs. Google avait alors décidé de réunir en un bloc allégé les conditions d’utilisation (CGU) de ses différents services : YouTube, Gmail, Google+ et compagnie. Unifiant au passage les informations laissées par un même utilisateur sur les sites en question : historique de navigation, mails ou bien encore vidéos et chaînes favorites. Bref, tout.

À en croire l’argumentaire d’alors, cette rénovation permettait d’offrir plus de lisibilité aux utilisateurs, en instaurant une “expérience magnifiquement simple” à travers l’univers magique de Google.

Mais la Cnil ne croit pas vraiment au monde merveilleux des Googlenours, et levait déjà un sourcil circonspect face à ces changements, qui apparaissent surtout “magnifiquement simples” pour une utilisation bien plus fine et ciblée des données personnelles. Elle n’a pas hésité à tacler l’opération de Google dès son lancement, en mars dernier, évoquant son “inquiétude” et allant jusqu’à réclamer au géant américain de mettre ce chantier en pause :

[...] Au lieu d’améliorer la transparence, la formulation des nouvelles règles et la possibilité de combiner des données issues de différents services soulèvent des inquiétudes et des interrogations sur les pratiques réelles de Google. Avec les nouvelles règles, Google pourra suivre et associer une grande partie des activités des internautes, grâce à des produits comme Android, Analytics ou ses services de publicité.
[...]
La CNIL a envoyé une lettre à Google pour lui faire part de ces inquiétudes. Au regard des premières conclusions de cette enquête, la CNIL a réitéré, pour le compte du groupe des CNIL européennes, sa demande à Google d’un report de la mise en œuvre des nouvelles règles.

Face à ces inquiétudes partagées dans différents pays de l’Union, la Cnil annonçait dans le même temps avoir “été désignée par les CNIL européennes pour mener l’analyse des nouvelles règles de confidentialité de Google”. Réunis au sein d’un groupe de travail baptisé “Article 29″, ces gendarmes de la vie privée ont en effet pour ambition d’orienter la Commission européenne en matière de protection des données personnelles.

Toujours selon la Cnil, les premiers examens n’étaient pas bons et laissaient croire que Google ne respectait “pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en termes d’information des personnes concernée.” Une position alors vivement partagée par Viviane Reding, commissaire européenne en charge de la justice, qui lançait dans un entretien au Guardian :

Nous ne sommes pas en train de jouer à un jeu ici !

S’en était suivie une véritable partie de ping-pong institutionnel, fait de rencontres, de lettres [PDF] et d’envois de questionnaires, visant à élucider l’utilisation que fait Google de nos données. Et qui n’a pas permis à la Cnil de lever ses inquiétudes. En clair, c’était mal barré pour Google en Europe et la situation ne semble pas s’être arrangée avec le temps…

Toujours selon le Guardian, les Cnil européennes peuvent exiger de Google qu’il annule ces changements, bien que le scénario soit peu probable. “Ce serait comme vouloir ‘retirer les œufs de l’omelette’”, estime un avocat conseil du groupe de pression Icomp, présenté par le journal anglais comme “critique des politiques de Google”.

Contactée hier par Owni, la Cnil n’a pas souhaité faire de déclarations dans l’immédiat, précisant qu’une communication sur la question était prévue dans une semaine. Rendez-vous est donné le mardi 16 octobre 2012 à 10h30. De son côté, Google indique ne pas avoir reçu de “notification ou de message en ce sens”, et déclare ne pas avoir “de commentaire a partager.”

Mini-pizzas, vin rouge et Fifa (un beau Chelsea-Bayern de Munich). On était tranquilles quand tout s’est emballé. Le bug Facebook a pris le contrôle de nos esprits. Et accessoirement, m’a fait perdre la partie.

Pourtant, c’est pas comme si on était pas au courant. Plus tôt dans la journée, tout l’Internet français avait été alerté. Pour ma part, c’est vers 16 heures que j’apprends que Facebook aurait rendu publics par erreur des messages privés envoyés aux alentours de 2009. Affiché des conversations sur la timeline qui nous sert depuis fin 2011 de profil.

Immédiatement, je me rue sur le mien afin de vérifier la fameuse “rumeur” (à prononcer l’air grave avec un tremblement dans la voix). Là, je tombe sur une boîte louche, au début des contenus publiés chaque année depuis mon inscription sur le réseau social. Intitulée, par exemple “Friends 2009″ :

x friends posted on Andrea’s timeline.
[NDLR : oui, je ne sais pour quelle raison, mon profil est toujours en anglais. Ce qui donne en bon français : "x amis ont posté sur le journal d'Andréa"]

Et qui figure juste à côté d’une boîte similaire, consacrée aux messages d’anniversaire de la même année.

Dans cette boîte, j’aperçois des messages de ma sœur, de mon père (“j’ai envoyé un mail, tu l’as vu?!”), d’amis qui me demandent les plans pour le Nouvel an, de commentaires du petit ami de l’époque. Mais rien de croustillant. Enfin, de ce que j’ai pu apercevoir. Paniquée à l’idée que quoi que ce soit d’intime puisse tomber entre les mains d’amis stalkers, je décide de tout cacher (“Hide”) et de vite aller lorgner sur les comptes des copains. Sans prendre de captures d’écran du mien. Erreur fatale.

Capture or it didn’t happen

Pourtant j’ai hésité. Sur Internet, tout le monde le sait : la capture d’écran est reine. Parce que si le fail (de la faute d’orthographe à l’insulte regrettable, en passant par le DM rendu public) peut vite être publié, sa disparition est tout aussi rapide. Dans ces cas là, seule la capture fait foi. Et on ne s’est pas privé de me le rappeler. Faisant basculer ma soirée dans un véritable cauchemar.

Car ce qui était une bonne occasion de rire et, avouons-le, d’aller fureter dans les comptes des uns et des autres, a tourné à l’affaire d’État. Vers 20 heures, Facebook déclare :

Nos ingénieurs ont étudié ces cas et constaté que ces messages étaient en réalité d’anciens messages postés sur les murs qui ont toujours été visibles sur les profils des utilisateurs. Facebook affirme qu’il n’y a aucune atteinte à la vie privée des utilisateurs.

Pour Facebook vous êtes soit des noobs, soit victimes d’ #hallu si je résume leur plan com.

— Johan Hufnagel (@johanhufnagel) Septembre 24, 2012

Y’a pas à dire, l’explication de Facebook est juste magique. #Hallu #MediaBug #DanseDesCerveaux

— Nicolas – Onigiri (@Nico_Oni) Septembre 25, 2012

Deux camps se sont alors faits face. La team #bug, persuadée d’avoir vu des messages trop prosaïques, trop évocateurs ou trop répréhensibles pour avoir été volontairement ouverts au grand public ; et la team #hallu, voyant dans cette agitation la manifestation d’une hallucination collective.

Là, les messages pleuvent. Facebook, évidemment : captures, commentaires. “Si ça n’est pas un bug, alors j’étais vraiment très con de publier ce genre de choses sur le wall”. Twitter aussi. Le doute s’installe. ”C’est pas possible de pouvoir penser ça !” On s’écharpe, on essaie de prouver que ce qu’on a vu, ou non, est la preuve d’une ou l’autre théorie.

Équivalent Petit-gris du point Godwin, la théorie du complot rapplique vite. Jusqu’à en venir aux SMS :

Prouve moi que le 11 septembre n’est pas arrivé !

Pour se chambrer d’abord, plus sérieusement ensuite. Dans mon coin, je tape des pieds : je tiens à prouver ce qui me semble être vrai. Avec la même obsession que le camp d’en face.

Je consulte l’”activity log” de mon compte (sur votre profil, en haut à droite), supposée archiver tous mes faits et gestes depuis mon inscription. Je télécharge, grande première, l’intégralité de mon profil en .zip. Et me retrouve très vite dans l’impasse : la seule façon de prouver avec certitude que des messages privés se sont retrouvés à l’air libre, sur mon profil, est d’en retrouver la trace dans une autre boîte aux lettres que celle proposée par Facebook. Il est en effet possible de recevoir une notification à chaque nouvel envoi de message privé… Encore faut-il retrouver celles qui datent de 2009. Et à cette date, mon adresse actuelle n’existait pas. Il faut s’en retourner vers les limbes. Hotmail. Pire : wanadoo.

Et surtout, retrouver les mots de passe qui pourraient à eux seuls tout résoudre. Deux, trois, quatre tentatives : sans succès. Il est minuit, je n’en peux plus : il est temps de cliquer sur le fameux ”j’ai oublié mon mot de passe”. ”Quel est le nom de mon premier animal de compagnie ?” Fuck. Je les ai pourtant tous aimés, impossible de s’en souvenir avec certitude. Finalement, “Melchior” l’emporte (oui, Melchior). Enfin, je vais savoir si oui ou non Facebook déploie une communication éhontée dans toute cette histoire. Ou pas. Après toutes ces épreuves, je découvre que MSN a supprimé tous mes mails. Sans préavis. Rien, nada, dans cette boîte souffle un vent glacial. Et ce n’est pas mieux sur wanadoo, qui demande que l’utilisateur principal de la ligne change lui même mon mot de passe d’utilisateur secondaire. A l’époque, mon père certainement. Qui depuis longtemps a fermé son abonnement. Désespoir.

Moi, cette nuit, vers 1h30 du matin

Je vois des messages qui sont morts

Oui, Facebook m’a rendue zinzin. Jusqu’à venir me hanter la nuit et à en faire des cauchemars :

Toi aussi tu vois les messages qui viennent de la porte ?

L’intérêt de cette histoire réside précisément dans ce drôle d’intérêt qu’elle a su susciter.

Partout, l’affaire du bug a provoqué une déferlante de réactions et d’interrogations, médiatiques ou non, sur son éventuelle véracité et les preuves qui seraient susceptibles de l’appuyer. Jusqu’au coeur du gouvernement, en poussant les services presse d’Arnaud Montebourg (ministre du redressement productif) et Fleur Pellerin (économie numérique) à envoyer un communiqué à 2 heures du matin ! Les deux ministres exigeant ”des explications claires et transparentes” du site américain, convoqué illico devant la Cnil.

Du côté de chez Owni, notre Jean-Marc Manach national est harcelé de questions de confrères et les articles que nous avons déjà publiés sur Facebook sont pris d’assaut, faisant exploser notre courbe d’audience.

L’affaire du bug Facebook a généré une attente indéniable. Un suspense, dont l’intimité serait l’actrice principale.

Il faut dire que le site croise nos moments de vie brandis et ceux qu’il vaut mieux taire. Quelque part entre l’interaction publique et l’illusion du privé : car quoiqu’il arrive, ces données que l’on souhaite secrètes, ne le restent qu’à condition du bon vouloir du site. Réalité à laquelle les plus de 900 millions d’utilisateurs se sont déjà confrontés : Facebook est réputé pour avoir trop souvent fait joujou avec la confidentialité des profils. Le voilà à tout jamais frappé du sceau de la culpabilité.

Les utilisateurs font donc de fait confiance au géant américain tout en se sachant vulnérables. Sur la brèche, à deux doigts de basculer à poil sur Internet. C’est peut-être pour cette raison que les utilisateurs sont si prompts à vouloir voir dans ce remue-ménage une erreur manifeste de la part du géant américain. Ou peut-être aussi par amour des reptiliens, illuminati, petits-gris et autres contes complotistes…

Illustration © Bojan Kontrec (Istock)

Eric E. Schmidt Président exécutif, Larry Page PDG et Sergey Brin co-fondateur, dans la Google self-driving car en janvier 2011

Une association californienne de défense des consommateurs a mis le turbo pour interdire la voiture sans conducteur élaborée par Google, au titre — comme souvent — de la protection de la vie privée des utilisateurs. Et joue clairement la carte de David contre Goliath.

C’est en effet seule contre tous que l’association Consumer Watchdog a contacté très officiellement [pdf] la semaine dernière le gouverneur de Californie Jerry Brown pour lui demander d’apposer son veto sur le projet de loi “SB 1298“. La loi, si elle devait être adoptée, permettrait à l’État de tracer, sur le long terme, sa première autoroute automatisée remplie de véhicules-robots. Mais surtout, sur un plus court terme, de laisser rouler des voitures sans pilote sur les routes californiennes.

Dit comme ça, le projet paraît sortir d’un bouquin de science-fiction, mais il est pourtant sur le point d’aboutir. Déjà, des constructeurs comme Toyota, Audi, BMW, Lexus, Volvo ou encore Cadillac sont sur les dents pour produire des véhicules “autonomes” d’ici cinq ans. Le projet de loi, soumis par le sénateur démocrate Alex Padilla, est appuyé par certaines associations de promotion de la sécurité routière — mais pas toutes.

En tout état de cause, Google communique largement sur les statistiques de sa voiture sans conducteur (VSC) qui aurait quasiment atteint les 500 000 kilomètres sans incident, tandis que celles du conducteur étasunien sont moins bonnes : en moyenne, Average Joe fait face à un accident de la route tous les 250 000 kilomètres.

Situation enjolivée

Pourquoi Consumer Watchdog souhaite envoyer dans le décor un projet en apparence si futuriste et prometteur, réclamé par les statistiques donc, mais aussi par les lecteurs de SF, le gouvernement californien et le Sénat de l’État ? “Parce qu’un loi qui régule des véhicules autonomes doit s’assurer que les voitures sans conducteur rassembleront uniquement les données nécessaires à faire fonctionner l’automobile, et ne mémoriseront pas les données davantage que nécessaire”, clame John Simpson, directeur de la branche “vie privée” de l’association. Selon lui, le business model de Google :

c’est de monter des dossiers numériques sur nos comportements personnels et de les vendre aux annonceurs. Vous n’êtes pas le client de Google ; vous êtes son produit, qu’il vend aux entreprises désireuses de payer n’importe quel prix pour vous atteindre. (…) La technologie sans conducteur se contentera-t-elle de nous mener d’un point à un autre, ou traquera-t-elle comment nous y sommes allés et ce que nous avons fait durant le trajet ?

Dans le rétroviseur

Consumer Watchdog pense avoir des raisons de s’en faire au vu de la relative légèreté affichée par le géant du web en matière de vie privée. Et de rappeler deux évènements particulièrement fâcheux qui ont fait récemment déraper Google.

La première affaire est Wi-Fi Spy : il a été établi que les voitures qui circulent autour du globe pour photographier chaque rue et (re)constituer la fabuleuse base de données “Street View” ont été également conçues pour récolter des données personnelles sans aucun rapport avec leur mission. Ce que Google a voulu initialement faire passer pour le logiciel expérimental d’un ingénieur isolé était en fait — telle que l’a découvert la Commission fédérale des communications (FCC) — une fonctionnalité parfaitement intégrée au système.

L’Homme “augmenté” selon Google

Le discours de la firme de Moutain View se rapproche furieusement de celui prôné par le transhumanisme. Un programme qui ne ...

Résultat : en passant à proximité des habitations, ces Google cars se connectaient aux réseaux Wi-Fi ouverts qu’elles rencontraient et sauvegardaient toutes les infos qu’elles y trouvaient — y compris les mots de passe ou les e-mails.

Deux affaires de détournement des données privées, avérées et répréhensibles, en contrepoint de l’image lissée d’une entreprise dont le slogan (don’t be evil — “ne fais pas le mal”) résonne comme celui d’un parangon de probité. C’est pourquoi Consumer Watchdog réclame, de la part du Goliath et des autorités qui filent à tombeau ouvert avec lui, que le prochain joujou soit surveillé de (beaucoup plus) près.

Apprenti maître-de-l’univers enthousiaste et maladroit, ange et démon, carburant aux passions humaines, slalomant entre l’absolue volonté de nous rendre à la fois libres de nos entraves et esclaves de nos petites libertés quotidiennes, Google titille encore son monde, avec cet air innocent et enfantin de ceux qui jouent à faire briller les chromes de la Buick pour parader dans Main Street. Bref, rien de nouveau sous le soleil californien : on lui passera sans doute cette facétie-là.

Mitt Romney est un gars heureux. Le candidat républicain à l’investiture suprême face à Barack Obama est plutôt du genre à récolter facilement des fonds pour sa campagne. Des centaines de millions de dollars récoltés, entre autres, grâce à un projet très secret d’exploration de données (data mining) comprenant des informations personnelles telles que des actes d’achat ou une présence à l’église – comme l’a appris et rapporté l’Associated Press. Dans une enquête fouillée, mise en ligne par sa cellule investigation de Washington.

Afin de cibler ses potentiels donateurs, Romney passe discrètement par les services d’une entreprise texane spécialisée dans l’analyse de données, Buxton Company, une société qui se vante d’agréger des informations sur 120 millions de foyers américains. Et qui bossait déjà pour le candidat républicain à l’époque où celui-ci dirigeait le cabinet de consulting Bain & Company, qui a confirmé filer un coup de main pour détecter, parmi les sympatisants du parti à l’éléphant, les riches concitoyens n’ayant pas encore mis la main au portefeuille.

Point troublant : la loi interdit aux entreprises l’analyse de données propriétaires à des fins de contribution “en nature” à la campagne d’un candidat. Mais il n’existe aucune trace comptable parmi les rapports financiers soumis à la Commission électorale fédérale (FEC) d’une relation financière entre Buxton Company et Romney. Dont l’équipe reste sagement muette sur le sujet. Mutisme que n’observeront ni le patron de la société Tom Buxton, qui a confirmé vouloir s’afficher aux côtés “des gagnants”, ni par un leveur de fonds du candidat, qui a, lui aussi, décrit le projet à AP sous couvert d’anonymat.

Il est beau il est frais mon candidat

“Le projet montre que les statégies d’entreprise utilisées pour influencer nos décisions d’achat et nos façons de penser sont désormais appliquées pour influencer les élections présidentielles”, indique l’AP, qui précise : “les mêmes données personnelles que nous donnons, souvent sans le savoir, en utilisant nos cartes de paiement ou en nous connectant à Facebook, sont maintenant collectées par des gens qui pourraient un jour occuper la Maison Blanche.”

Le projet repose ainsi sur une analyse sophistiquée et dûment informatisée de centaines de bases de données commerciales très coûteuses, achetées et vendues en toute légalité – mais dans la plus grande discrétion – par les boîtes de marketing. Informations bancaires, fiscales, immobilières, civiques, familiales, réponses à des enquêtes d’opinion : tout ce que le secteur sait des Américains et de leur profil psychographique s’y retrouve.

DR – capture d'écran du site Buxtonco.com

Et permet, par exemple, de mettre la main sur plus de 2 millions de foyers de la région de San Francisco passés par le “détecteur Romney” et identifiés comme ayant la capacité de participer à la campagne du candidat pour (au moins) 2 500 dollars. Bingo. Cet été, selon une analyse de l’AP, les Républicains ont progressé significativement dans les quartiers traditionnellement démocrates en levant plus de 350 000 dollars autour de la Baie avec une contribution moyenne de 400 dollars par donateur – loin des montants auxquels son parti est habitué dans ce genre d’exercice où les plus riches sont habituellement ciblés. En bref : Romney chasse sur les terres d’Obama.

“Je peux regarder n’importe quelle donnée et dire ‘Je veux savoir qui pourraient être les donateurs à 100 dollars’. Nous travaillons sur n’importe quelle donnée.” – Tom Buxton

Enclin à fouiller, scruter, détailler et rendre parfaitement transparents les profils de ses concitoyens pour que la fête à plusieurs milliards de dollars puisse continuer, Romney est beaucoup plus opaque pour justifier de l’origine des fonds qui le propulsent aujourd’hui au niveau du Président sortant.

Le 26 mai 2012, le gouvernement britannique devait mettre en application la transposition dans le droit anglais de la législation européenne sur la protection des données. Mais contre toute attente, le parlement a pourtant fait modifier le texte onze heures avant la date limite livrant une version qui devient beaucoup moins contraignante pour les éditeurs de sites web.

Alors que le texte précédent était basé sur de l’opt-in (le site devait obtenir le consentement préalable de l’internaute sur les cookies transitant par sa plateforme avant que les cookies ne puissent recueillir des informations) le texte remanié exige des sites qu’ils fassent des efforts en matière de clarté sur la nature des cookies transitant par leur plateforme. Il implique également que les internautes aient un “niveau de compréhension général” de ce qui est fait de leurs données personnelles lorsqu’ils arrivent sur une page.

Les systèmes existants auront donc simplement à “faire les changements qu’ils estiment être les plus pratiques” pour se mettre à niveau et être transparents sur leur politique en matière de confidentialité des données. Il pourra s’agir d’une icône sur laquelle cliquer, d’un e-mail envoyé, ou d’un service auquel l’internaute pourrait souscrire.

Dure loi des cookies

En Grande-Bretagne, les sites web affichant des bandeaux publicitaires encourent une amende de 500 000 livres. En France, ...

Le texte insiste par ailleurs sur l’importance de l’information procurée à l’utilisateur. Il indique que ce dernier doit être pleinement informé du fait qu’une simple lecture des informations sur la politique de gestion des cookies par le site peut valoir consentement.

En d’autres termes, un site peut au minimum afficher une note d’information renvoyant vers une explication précise des buts de chaque cookie en activité. Cette note d’information censée être visible agit comme un faire valoir et suppose que l’internaute anglais accepte les conditions du site en matière de vie privée même s’il ne l’a pas lue.

Dans le meilleur des cas, le site demandera explicitement à l’internaute s’il accepte ou refuse les cookies. La loi n’est cependant pas claire sur cet accord potentiel de l’utilisateur. On peine à savoir si le consentement concernera les cookies dans leur intégralité ou si l’utilisateur pourra ou non refuser des cookies selon leurs fonctions.

Si la loi, avant modification, donnait la responsabilité de la gestion des cookies aux sites, la nouvelle version transfère la responsabilité aux internautes à qui il appartiendra désormais de paramétrer leurs navigateurs ou d’utiliser les logiciels nécessaires pour gérer au mieux ces cookies. Problème, les moyens techniques permettant de gérer les cookies en opt-in sont encore peu nombreux et souvent d’une efficacité relative.

En outre, en remplaçant le terme de consentement préalable par le terme de consentement implicite il crée une large faille. L’internaute pourrait “accepter” (lire les informations sur les cookies opérant sur le site qu’il visite) la charte du site en matière de vie privée alors même que certains cookies pourraient déjà avoir été envoyés sur son ordinateur.

Comme le souligne le commissaire à l’information du gouvernement anglais sur le sujet, certains sites envoient des cookis dès que l’internaute accède à la page d’accueil. Dans ce cas, le texte encourage les sites à

prendre des mesures pour réduire au maximum le délai temporel avant lequel l’utilisateur est informé de la nature des cookies présents et de leurs buts.

Par ce revirement soudain, le gouvernement anglais pond un texte probablement plus pragmatique dans sa mise en application mais beaucoup moins performant en matière de protection des données. Non seulement la loi pose comme base le consentement implicite de l’internaute , mais le gouvernement se dédouane par la même occasion de toute responsabilité en matière de moyens techniques de gestion des cookies. À l’utilisateur et aux éditeurs de sites de trouver les moyens de protéger leur données.

Enfin, en raison de l’impossibilité de faire une chasse aux dizaine de milliers de sites de facto considérés comme illégaux, la loi demeure quasi inapplicable…