Sélectionner une page

Données personnelles : Comment votre vie privée est en danger !

Qu’entend-on par « donnée personnelle et sensible » ?

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) a la charge de préserver les libertés individuelles et de protéger les données personnelles. Elle donne une définition simple de la donnée personnelle: « Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement » est une donnée personnelle.

Ainsi, un nom, une adresse mail, postale ou IP, une photo, un numéro de téléphone, un numéro de carte d’identité ou un identifiant informatique sont des données personnelles car elles permettent l’identification d’une personne physique. Ces données personnelles peuvent être objectives ou bien subjectives. Ainsi, un numéro de téléphone ou une adresse IP sera une donnée objective tandis qu’un avis, une préférence sera une donnée subjective. Si la donnée est fausse, elle reste tout de même considérée comme une donnée à caractère personnelle dès lors qu’elle est associée à une personne physique. Enfin, si le croisement de données permet d’identifier une personne unique, alors elles sont considérées comme des données personnelles. Par exemple, une année de naissance, une liste d’écoles fréquentées, une profession et une ville de résidence ne peuvent pas, individuellement, identifier une personne physique unique. Mais par recoupement, l’ensemble de ces informations permet d’isoler un unique individu. Ces données sont donc des données à caractère personnel.

L’anonymisation des données permet de supprimer le caractère personnel de celle-ci. Pour autant, ces procédés d’anonymisation sont de plus en plus décriés. Plusieurs études montrent qu’il reste toujours possible de casser l’anonymisation de données en les croisant avec d’autres données.

Comment ma vie privée est-elle protégée par la loi en France ?

En France, la loi du 6 janvier 1978 dite « Loi Informatique et Liberté » encadre les droits du citoyen. Elle a été revue plusieurs fois en 1991, puis en 2004 et enfin en 2019 pour mettre en conformité le droit français avec le Règlement Général sur la Protection des Données (RGPD) et la Directive « police-justice », applicable aux fichiers de la sphère pénale.

Particulièrement, le RGPD définit, dans ses articles 15 à 20, les droits de la personne face à tout organisme qui détient des données la concernant. Particulièrement, le citoyen a :

  • Un droit d’accès et de rectification : Il s’agit du droit d’obtenir des informations sur la nature des traitements réalisés sur ses données. Mais également du droit d’obtenir une copie des informations subissant un traitement, et de modifier des informations potentiellement inexactes,
  • Un droit à l’effacement ou à l’oubli : Il s’agit du droit donné à la personne de demander l’effacement de données la concernant,
  • Un droit à la limitation du traitement : La personne physique peut demander la limitation de l’utilisation des données le concernant,
  • Un droit à la portabilité des données : Ce droit donne la possibilité à la personne de récupérer une copie de toutes les données récupérées « dans un format structuré, couramment utilisé et lisible par machine »,
  • Un droit d’opposition : Ce droit donne à la personne la possibilité de s’opposer à n’importe quel moment, et pour n’importe quelle raison, à un traitement de données.

Le responsable du traitement des données a par ailleurs une obligation de notification. C’est-à-dire qu’il a obligation de notifier aux organismes tiers à qui des données ont été communiquées, de toute modification, rectification ou effacement.

La vie privée est-elle protégée de la même façon si les données sont sur un site hébergé à l’étranger ?

La vie privée en ligne dépend évidemment de la législation du pays dans lequel l’internaute se trouve.

Cependant, l’entrée en vigueur du RGPD garantit les droits de l’internaute situé en Union-Européenne face à tous les organismes, même s’ils se trouvent hors de l’UE. En effet, toute manipulation de données ciblant des personnes physiques située dans l’UE seront encadrés par le RGPD. Ainsi, un organisme qui n’a aucune infrastructure en Europe mais qui traite des données de personnes située Europe, devra se conformer aux dispositions du RGPD.

Les cookies, ça marche comment ?

Les cookies existent depuis les années 1990. Ils ont été développés pour garder en mémoire des informations sur la navigation de l’internaute. Par exemple, ce sont (bien souvent) des cookies qui permettent de garder en mémoire les articles ajoutés dans un panier d’achat.

Un cookie est un petit fichier texte qui est déposé sur votre ordinateur lorsque vous surfez sur Internet. Il est généré, soit par le serveur du site Web que vous visitez, soit par le serveur d’une application tierce. Il ne sera lisible que par le serveur qui l’a généré. Il peut contenir plusieurs types d’information mais ne peut en aucun cas supprimer des informations, envoyer du spam etc… Ainsi, ils ne sont fondamentalement ni des virus, ni des logiciels espions.

Pourtant, leur utilisation est une des bases du pistage des internautes sur internet.

Pour charger entièrement une page Web, des informations sont téléchargées depuis plusieurs serveurs. Ces serveurs peuvent appartenir au domaine internet visité, mais également à des domaines internet externes. Lors de la récupération d’informations provenant de domaines externes, un cookie peut être déposé : Il s’agit d’un cookie tierce partie. Ce cookie peut contenir diverses informations permettant l’identification de l’internaute.

Si l’utilisateur navigue sur d’autres sites utilisant des informations provenant du même domaine externe, ce dernier en aura connaissance et pourra pister l’internaute.

Concrètement :

  • L’internaute navigue sur le site www.A.com
  • Pour charger la page demandée, le navigateur a besoin d’informations situées sur le serveur de www.A.com mais également sur le serveur de www.Z.com (une image par exemple).
  • Lorsque le navigateur récupère les données de www.Z.com, un cookie tierce partie est généré et déposé sur l’ordinateur de l’internaute.

Imaginons maintenant que l’internaute souhaite visiter le site www.B.com

  • Pour charger cette page, le navigateur a besoin de données provenant de www.B.com mais également www.Z.com (une autre image par exemple).
  • Ainsi, constatant qu’un cookie lui appartenant a déjà été déposé, le site www.Z.com lira le contenu de ce cookie et pourra identifier l’internaute et savoir qu’il a visité le site www.A.com puis www.B.com.

Si on imagine que www.Z.com a une position dominante sur le Web et que la grande majorité des sites internet intègre du contenu provenant de www.Z.com, il devient facile de comprendre que www.Z.com est capable de pister tous les internautes, en quasi-permanence.

Combien valent nos données ?

Une entreprise ne peut prospérer sans gagner de l’argent. Pourtant, les plus grandes entreprises du Web sont devenues des géants en proposant des services gratuits aux internautes. Au premier abord, cela semble particulièrement étonnant.

D’un côté, l’internaute utilise des services gratuits, comme un Webmail, un réseau social, un moteur de recherche, un outil de géolocalisation… Il navigue également sur des sites divers et variés, s’attardant sur des articles de presse, ou des produits qui l’intéressent. Connaitre son activité en ligne permet de dresser son profil numérique : ses préférences, ses centres d’intérêts, ses amis, les lieux qu’il fréquente, son style vestimentaire, ses tendances politiques, ses activités et ses loisirs…

De l’autre côté, des milliers/millions d’entreprises cherchent à mieux connaitre leurs potentiels clients pour mieux les cibler ou pour adapter leurs produits.

Entre le client et l’entreprise, les géants du Web se sont positionnés comme des intermédiaires qui mettent à disposition des entreprises les données qu’ils collectent sur les internautes. En développant des plateformes publicitaires ultra performantes, les géants du Web ont permis aux entreprises :

  • De mieux connaitre leurs clients,
  • De cibler leurs audiences et de développer des messages publicitaires personnalisés,
  • De recibler les prospects ; c’est à dire de proposer des publicités spécifiques à des prospects confirmés qui ne sont pas encore devenus des clients,
  • De fidéliser le client.

Aujourd’hui, il est ainsi possible de cibler des profils en fonction d’une multitude de critères comme l’âge, le sexe, la ville de résidence, le métier, les centres d’intérêts, les comportements d’achats (impulsifs, réfléchis etc…).

Pour l’entreprise, ces possibilités représentent une immense valeur. Et si elles sont prêtes à dépenser pour y avoir accès, c’est parce que ces données permettent d’optimiser la performance marketing/publicitaire en développant des messages spécifiques pour chacun des profils que l’entreprise cible. La valeur qu’elles sont prêtes à y allouer représente des milliards de dollars. De manière (très) simpliste, cela représente la valeur des géants du Web.

La « filter bubble », c’est quoi ?

Les géants du Web utilisent nos données pour adapter le contenu que nous voyons à ce que nous allons apprécier. Ainsi, tout le contenu de nos navigations est bridé en fonction de notre profil numérique, nous privant ainsi de diversité.

La collecte de données personnelles permet de définir, pour chaque internaute, un profil numérique. Ce profil est une agrégation de tout ce que l’internaute fait sur internet : Lecture d’article, consultation de sites Web, achat de produits, liste d’amis, réactions à des publications sur les réseaux sociaux etc…. Grâce à ces données, les algorithmes des géants du Web catégorisent l’internautes en fonction de son activité. Cela permet de personnaliser les résultats des recherches de l’internaute, limitant les résultats aux contenus susceptibles de plaire à l’internaute. En apparence, cela permet de proposer à l’internaute un contenu plus proche de ce qu’il attend.

Mais cela pose un problème plus important. En personnalisant les résultats, les algorithmes des géants du Web enferment les internautes dans une bulle numérique. Celle-ci ne contient que du contenu susceptible de plaire à l’internaute, limitant considérablement son accès à une information diversifiée. Par exemple, une personne visitant des sites Web complotistes se verra proposer des résultats de recherche et du contenu sur les réseaux axés sur les théories du complot. Il deviendra très compliqué pour lui de s’ouvrir à des contenus ayant des points de vue différents. Nous pouvons faire le même exemple avec les opinions politiques. En ciblant des audiences très précises, et en adressant des messages très spécifiques, il est possible d’orienter les opinions. Ce second exemple ne fait que reprendre le scandale Cambridge Analytica qui a orienté le vote de plusieurs milliers d’américains durant la campagne présidentielle de 2016.

En résumé, et en patates

En 5 minutes, Le Monde revient sur les données et nous explique comment elles nous surveillent (le tout déssiné en patates).

ARTICLE BASE

ARTICLE BASE

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

lire plus