Pourquoi lopacit de gestion des donnes personnelles des acteurs dcosystme web (les

fameux OTT
1
) altre-t-elle la confiance des internautes ?

Luc Bretones
VP Institut G9+
Administrateur Renaissance Numrique


Selon une tude CSA / Orange publie en fvrier 2014, 85% des franais se dclarent inquiets de la
protection de leurs donnes personnelles. Ltude montre galement que le phnomne sest
considrablement accentu ces deux dernires annes. Sur les 12 derniers mois, nous pouvons
identifier au moins 3 facteurs qui sont susceptibles dexpliquer lrosion de la confiance de la part
des internautes.

Une gestion des donnes personnelles volontairement obscure
Tout dabord, les services internet majeurs mnent des politiques de gestion des donnes
personnelles trs peu transparentes vis--vis de leurs utilisateurs. Cest ce que rappelle lUFC que
choisir en saisissant en mars dernier le tribunal de grande instance, demandant Facebook, Twitter
et Google+ de clarifier les conditions dutilisation des donnes personnelles. LUFC reproche
notamment ces diffrents rseaux sociaux de tracer les usages internet des utilisateurs, sans leur
consentement explicite, via la fonction de partage dune page ou dun article. Sur ce terrain, Google
nen est pas sa premire exprience. En janvier dernier, Google a t condamn verser 150.000
damendes par la CNIL. Suite la fusion en mars 2012 dune soixantaine de rgles relatives aux
diffrents services de Google, la CNIL avait demand Google de clarifier les dures de conservation
et finalits des traitements des donnes collectes par ces diffrents services. En Espagne, une action
similaire sest termine en dcembre dernier avec une condamnation 900.000 damende. Des
actions sont galement engages en Allemagne, au Royaume-Uni, en Italie et aux Pays-Bas.

Ce phnomne de collecte obscure sest considrablement accentu avec la mise disposition par
Apple et Google dune collection importante dAPIs lies aux systmes dexploitation iOS et Android
sur mobile. Avec ces APIs, les diteurs dapplications peuvent demander laccs la golocalisation
du tlphone, au contenu des SMS et MMS, au journal dappel, lutilisation des applications, etc.
Une fois que lutilisateur a accept, il na plus de contrle sur la rcurrence de la collecte de ce type
dinformation, sur la dure de stockage de la part de lditeur de lapplication, ni sur lexploitation qui
en est faite. Cest comme cela quen fvrier 2014, Facebook a suscit lmoi des internautes en
ajoutant ses CGU lautorisation de lire le contenu des SMS et MMS des utilisateurs de lapplication
mobile. Facebook se dfend en indiquant que ce droit daccs permet de faciliter les procdures
dauthentification au service. Le problme tant que le systme est ainsi fait que les utilisateurs ne
peuvent savoir comment sont traits les contenus de leurs SMS par Facebook.

Une surveillance accrue de la part des autorits
Par ailleurs ces services font lobjet de rquisitions et dinterceptions de la part de nombreuses
autorits sur le plan international (tats, courts pnales, etc). Laffaire Snowden a rvl par exemple
les liens troits qui existent entre ces socits et les autorits amricaines. Ces dernires demandent
des accs diffrentes donnes et documents : e-mail, chat audio et vido, logs dactivit, etc.
Depuis des rapports de transparence sont publis par Google, Facebook et Twitter, indiquant le
nombre et la provenance de ces demandes. La France a par exemple formul 2 750 demandes
dinformations sur 3 378 comptes dutilisateurs Google entre juin et dcembre 2013. On observe
globalement une hausse de 26% du nombre de demandes entre 2012 et 2013. Ces pratiques

1
OTT signifie Over The Top, ou acteur purement Internet, pure play Internet , sans infrastructure
affaiblissent considrablement la confiance des utilisateurs dans ces services. Cest ce que tend
montrer la raction de Mark Zuckerberg ladresse de Barak Obama. En mars dernier, sur sa page
Facebook, le PDG de Facebook dnonait les pratiques de scurits du gouvernement amricain qui
deviennent une menace pour Internet.

Des brches dans la scurit des donnes
Enfin, ces services font lobjet de pertes rcurrentes de donnes sur leurs utilisateurs. Ils sont trs
attractifs pour les pirates, et invitablement des fuites de donnes sont dplorer. La dernire en
date remonte dcembre 2013. Les chercheurs du blog Trustwave's SpiderLab ont rvls que 2
millions de mots de passes avaient t drobs dont ceux relatifs aux comptes Facebook (318 121),
Yahoo (59 549), Google (54 437) ou encore Twitter (21 708). En juin 2012, Facebook tait victime
dun bug technique, exposant les donnes relatives 6M dutilisateurs du rseau social. En fvrier
2013, un groupe de hacker anonyme a compromis les mails et mots de passe de 250 000 comptes
Twitter. Dernire en date, la faille de scurit heartblead sur la couche scurise dinternet
(https). On ne connait toujours pas date les consquences de cette dcouverte, dans la mesure o
les cls de chiffrement sont susceptibles davoir t exposes, permettant leur dtenteur de lire les
changes chiffrs entre serveurs.

Une confiance qui srode dans les services internet
Ces diffrents lments contribuent indiscutablement la perte de confiance dont tmoignent les
internautes vis--vis de la protection qui est faite de leurs donnes personnelles. Au-del de cette
perte de confiance, on peut se demander sil est sain quune poigne dentreprises collecte chaque
jour plus dinformation sur la vie de centaines de millions dutilisateurs.
Il est, en tout cas, plus que temps de revenir aux fondamentaux des droits concernant les donnes
personnelles :
- Le droit dtre inform des donnes collectes
- Le droit dopposition aux traitements qui peuvent en tre fait
- Le droit daccs et de communication de ces donnes
- Le droit de rectification et deffacement

La mobilisation bottom up
2

La bonne nouvelle est que ce sujet fait dsormais lobjet dune puissante prise de conscience
collective. Il faut dire que la mise en donnes de nos vies avance par sauts quantiques et que la
maitrise du phnomne, cest--dire de lexploitation de ces donnes, devient pour chaque individu
une question fondamentale, un droit fondamental, potentiellement mis en danger. Nous pouvons
parier, qu limage des class actions et autres mouvements communautaires spontans aux divers
noms doiseaux, la reprise en main de leurs droits par les internautes, et plus largement les citoyens,
participera au remodelage du paysage des services en ligne et de lquilibre des acteurs dominants
actuels de ce march tant convoit.


2
Terrain, du bas vers le haut