C’est un sujet qui m’est cher et qui est aussi consubstantiel de mon engagement pour le #souveraineténumérique. Il semble qu’enfin il y ait un frémissement, et que le sujet de nos données personnelles et de leurs usages devient une préoccupation un peu plus large que le seul cercle des experts.
Le meilleur exemple est le dernier reportage de Cash Investigation de France2. Je l’ai trouvé bien construit et vulgarisant sans édulcorer les problématiques de cette thématique que je juge critique.
Nos données quels enjeux ?
Je sais que pour beaucoup encore, il y a une difficulté à comprendre le risque inhérent à semer nos données, sous prétexte que telle application, ou tel site tellement pratique est gratuit.
De mon point de vue, c’est l’erreur stratégique des pouvoirs publics au démarrage d’internet. Il aurait fallu imposer dès le départ la non-gratuité des services.
Vous allez me dire que je pousse le bouchon loin. Cependant dans l’économie classique trouve-t-on des services de qualité ou de moins bonne qualité gratuit ? En dehors de campagne promotionnelle, comment justifier que la production d’un produit ou d’un service demandant le travail d’une personne ou d’une équipe de personnes ne soit pas rémunéré ?
Comme pour la plupart des internautes, moi inclus, internet a été et est encore majoritairement un espace de liberté ou payer était/est impensable…
Une des conséquences, mais ce n’est pas la seule raison, est que les grands groupes qui sont des entreprises et ont donc vocation à être rentables, ont utilisé et monétisé ce que vous leur donniez, vos données personnelles comme votre nom, prénom coordonnées physiques ou électroniques, vos habitudes de navigation, et vos habitudes de consommation, vos opinions politiques, votre religion….
Et ces données sont échangées, consolidées au travers de base de données détenues par des entreprises du numérique, pour certaines peu connues du grand publique, pour d’autre des géants à la notoriété énorme, les #gafams.
L’enjeu majeur de nos données est que leur utilisation à votre insu peut avoir des impacts sur votre vie sociale, professionnelle ou encore sur votre capacité à vous assurer ou à emprunter… N’oubliez pas que vos données sont conservées et non effacées, leur agrégation peut être utilisée contre vos intérêts, afin de vous extorquer des informations confidentielles professionnelles, vous faire chanter pour de l’argent ou tout autre objectif malveillant…
Il est donc impératif de reprendre un minimum de contrôle sur les données que vous partagez et sur vos possibilités de les amender ou même de les détruire.
Pour nous protéger quelles armes ?
Dans notre malheur, en Europe, nous sommes un peu plus chanceux, car le législateur malgré les oppositions a renforcé les dispositions légales existantes avec le RGPD (Règlement Général de Protection des Données), et il est à noter que l’on parle de protection des données et pas seulement des données personnelles, ce qui en élargit le champ d’action.
Mais cette protection juridique qui a changé beaucoup de choses, comme la nécessité pour les sites de demander votre accord sur l’utilisation des cookies. Cette fameuse fenêtre qui est fastidieuse, mais où je vous recommande de refuser systématiquement l’ensemble des cookies non essentiels au fonctionnement du site. On notera que nombre de sites, ne sont pas encore en conformité.
Il est aussi important de se former aux bonnes pratiques de sécurité, l’ANSSI qui est l’Agence Nationale de Sécurité des Systèmes d’Information propose des formations de vulgarisation que je vous recommande (SecNumAcadémie). Vous avez aussi la CNIL qui propose un MOOC sur la RGPD ce qui peut vous être utile en tant que citoyen et/ou entrepreneur (l’atelier RGPD).
On ne saurait rappeler que sur votre téléphone, il est important de faire attention aux applications que vous téléchargez et surtout aux autorisations que vous leur donnez. Une bonne pratique est de faire un nettoyage régulier sur les applications que vous n’utilisez plus en les supprimant et en supprimant l’ensemble des données associées. N’activez votre géolocalisation que lorsque vous en avez réellement besoin.
Le cas particulier des données de santé…
Combien de fois n’aies je entendu le fameux « Je n’ai rien à cacher » ; Vraiment ? Penchons-nous plus longuement sur vos données de santé …
Nous allons tout d’abord procéder en séparant vos données de santé en deux groupes distincts :
- Données de Santé et de Bien-être (Signe vitaux, sommeil, un suivi personnalisé et personnel en dehors du parcours de soin)
- Données Médicales (Consultations, Imageries médicales, analyses biologiques, examens divers, hospitalisation et prescription)
Données de Santé et de Bien-être
Il s’agit de toutes ses applications, ou plateformes qui à l’aide d’objets connectés : montres, pèse-personne, tensiomètre, suivi du rythme cardiaque, GPS, détecteur de sommeil, vous permettent de suivre votre état de forme.
Tout cela permet de collecter, analyser et comprendre votre état de santé, de vous proposer des stratégies d’hygiène de vie ou même vous encourager à consulter en cas de signes inquiétants…
Nous avons les acteurs comme #Apple, #FitBit (Google) ou encore Samsung pour les plus connus qui à travers leurs montres connectées vous offrent ce type de services. Mais il y a bien d’autres acteurs… Sur ces acteurs deux questions, les capteurs sont-ils qualifiés pour un usage quasi-médical ? Et êtes-vous maitre de vos données ? Cette question est légitime comme le montre la décision des autorités européennes qui ont validé l’acquisition de Fit bit par Google à la condition qu’il y ait étanchéité entre données Fit Bit et Google…. Mais peut-on faire confiance au géant américain ?Il est vrai cependant que ces applications sont bien utiles, et je ne suis pas le dernier à les utiliser, mais j’ai choisi un acteur qui à mes yeux à aujourd’hui me semble le plus sérieux sur le traitement de mes données personnelles : #Withings, qui est de plus un acteur français et donc de droit français (autre critère important).
Nos données médicales
Il s’agit là de l’ensemble de nos données de santé collectées lors de notre parcours de santé que cela soit chez le médecin, le pharmacien, le kinésithérapeute, l’hôpital, etc…
Normalement ces données sont confidentielles et ne sont pas destinées à être divulguées.
Or on sait qu’il n’y a pas de vraie anonymisation des données pour une raison simple : pour anonymiser les données nombres d’informations y compris médicales devraient être supprimées pour prévenir toute identification, ce diminuerait considérablement l’intérêt des données.
On peut ajouter que notre consentement sur l’utilisation de nos données ne nous a pas été explicitement demandé.
Deux affaires retentissantes viennent mettre à mal le principe de confidentialité.
Il s’agit tout d’abord du Data Hub Santé, outil destiné à collecter l’ensemble des données de Santé des Français. Conçu initialement pour faciliter des projets de recherche et de Big Data précis, son objectif est d dorénavant d’être d’intérêt public, notion vague …
De plus le prestataire choisi sans appel d’offre est #Microsoft Azure, entreprise de droit américain, alors que nous possédons des acteurs français tout à fait capable comme #ovhcloud ou #3DSoutscale.
L’affaire Data Hub Santé, a fait grand bruit et a entrainé la mobilisation des acteurs du numériques français (PlayFrance.digital), j’ai eu l’occasion d’indiquer quelques solutions pour réagir à ce hold-up (article précédent)
Devant cette mobilisation et ces réactions, l’état s’est vu obligé de réagir, et a signalé qu’on quitterait l’offre #Microsoft, mais croyez-vous que cela sera le cas ? Je me permets de douter de cet effet d’annonce. Il n’est en effet plus question de parler de Cloud Souverain, mais de cloud de « confiance », où les #gafam auraient leur place (Développez.com) ! On marche sur la tête, et on peut se demander s’il n’y aurait pas de nouveaux conflits d’intérêts dans cette manœuvre ! Je ne peux l’affirmer, mais je pose toutefois la question !
Autre point d’alerte soulevé dans le reportage de Cash Investigation, c’est le coup de Jarnac, avec l’autorisation donné à #IQVIA, une société américaine de collecter nos données de prescription via des logiciels installés chez des pharmacies partenaires. Bien que la CNIL demandât l’information des patients/clients, le reportage ne pouvait que constater que cela n’avait été fait. J’encourage tous ceux qui se sentent concerné à écrire au chargé de la protection des données d’IQVIA : PrivacyOfficer@IQVIA.com, pour demander à la récupération de l’ensemble de ses données et leur suppression de leurs bases de données, ainsi que des bases de données auxquelles elles ont été transmises (Modèle-DPO-IQVIA). En cas de non-réponse de leur part sous un mois ne pas hésiter à porter plainte auprès de la CNIL, démarche en ligne (plainte en ligne).
Quels risques ?
Les risques de cette OPA sur nos données privées sont multiples, et nous avons pu en deviner une partie lors de notre parcours des paragraphes précédents. Mais j’aimerais ici, essayer de faire toucher du doigt quelques-uns de ces risques, afin de ne pas rester sur la réaction facile, « je n’ai rien à cacher ». En effet le problème n’est pas là en soi.
Lorsque vos données sont collectées, elles sont stockées et agrégées afin de constituer l’image la plus fine possible sur vos habitudes. Et surtout elles ne sont jamais supprimées…
Il s’agit tout d’abord de toutes vos données de navigation, toutes les recherches que vous avez effectuées, les sites que vous avez visités. Ensuite, il y a toutes vos données de consommation, par le biais de vos achats en lignes, mais aussi par vos cartes de fidélité diverses et variées. Puis comme nous l’avons vu vos données de santé.
L’accumulation de ces données par les « data brokers » leur permet d’effectuer des profilages précis de vos comportements, et ensuite ils peuvent revendre vos données à différents clients : Banques, Assureur, Etats qui pourront en faire des usages variés.
Un banquier ne vous prêtera pas d’argent en raison de votre situation financière, ou vos habitudes. Ou il vous prêtera à un taux qui sera plus élevé que la moyenne. L’assureur lui vous augmentera vos montants, car vous présentez tel profil qu’il considère à risques…
Pour un état, cela peut permettre de collecter des informations pour orienter votre vote (Cambridge Analytica)
On peut imaginer des acteurs malveillants utilisant certaines informations, vos navigations sur des sites pornos par exemple, ou la publication d’images ou contenus sur les réseaux sociaux et les utiliser pour vous faire « chanter ». Ne pas oublier les chasseurs de têtes et vos futurs employeurs qui explorerons les réseaux sociaux pour décider de votre recrutement…
Quelles actions pour limiter les risques ?
Il faut là aussi, avoir recours aux gestes barrières. Ils en existent de plusieurs sortes. Le premier et le plus facile, c’est lors de votre navigation, refuser systématiquement tous les cookies ou traceurs qui peuvent l’être. Utiliser des navigateurs internet qui vous permettent d’effacer systématiquement ces traceurs lorsque vous fermez la session (Firefox par exemple).
Prenez le temps de réfléchir à ce que vous publiez, comme si tout devait se retrouver publié dans un journal, si vous n’en renierez pas le contenu, c’est plutôt un bon signe.
Choisissez des solutions qui par essence n’utilisent pas vos données personnelles : pour les messageries instantanées je vous recommande #Olvid, pour les messageries courriel, pensez à des acteurs comme #mailo ou #protonmail. Certes ces solutions pour les fonctionnalités évoluées proposent des formules payantes, mais c’est aussi le prix à payer pour que vous ne soyez pas le produit !
Sur les réseaux sociaux, préférez un réseau éthique dans son approche. Certes, il est toujours fastidieux de basculer sur un nouvel acteur, et l’effort peut paraître insurmontable, mais la maîtrise de vos données n’en vaut-elle pas la peine ? Je vous propose d’étudier l’offre #smartrezo.
N’hésitez pas non plus à adopter les bonnes pratiques comme l’utilisation systématique d’un VPN, ce qui permet de masquer votre adresse IP, et d’augmenter la difficulté à vous tracer. Il est bien entendu important d’avoir un bon antivirus, et de privilégier une solution payante, hélas les versions gratuites peuvent réserver de mauvaises surprises. En effet, les entreprises doivent générer du Chiffre d’Affaire (CA), et donc si vous ne payez pas le service, c’est que ce sont vos données qui sont vendues avec votre consentement implicite et sans savoir qu’elle sera l’utilisation de vos données. Par exemple les photos que vous publiez ou les contenus que vous publiez sur Facebook ne sont plus votre propriété (lisez bien les conditions d’utilisation…
Enfin utiliser le module complémentaire #disconnect sur votre navigateur, ce , qui permet de voir pour chacun des sites que vous visitez les traceurs à l’œuvre…
Enfin, la dernière arme, pour nous protéger, c’est l’éducation et la formation, retrouver notre esprit critique, prendre de la mesure et éviter de réagir sur l’émotion. Ce n’est hélas pas tâche aisée compte tenu de toutes les manœuvres qui sont mises en place pour vous faire réagir sous le coup de l’émotion, et non en utilisant votre raison…
Conclusion
L’OPA sur nos données est en cours, il s’agit bien d’une OPA hostile. Si nous n’y prenons pas garde nous ne serons plus maître ni de nos envies, ni de nos idées. Mais il existe un ensemble de dispositions plus ou moins simples à utiliser. Je n’ai fait qu’aborder certaines solutions, ce ne sont pas les seules. Ce sujet, est un sujet vaste, nous n’avons fait que l’effleurer. Gardons à l’esprit qu’il a des répercussions sur notre vie personnelle, mais qu’il s’agit aussi d’enjeux géostratégiques et économiques majeurs, des aspects que je n’ai pu aborder, tant il y avait déjà à aborder…
Relire 1984 de George Orwell, vous permettra de vous ouvrir l’esprit aux questions que vous devez-vous poser…
