Journal d'investigation en ligne et d'information‑hacking
Édito
par bluetouff

Réponse à Jacques Crémer sur sa conception de la protection de la vie privée

J'en suis tombé de ma chaise. Dans un billet publié sur le site les Echos, Jacques Crémer se lance dans un incroyable plaidoyer anti protection de la vie privée. Pas au bénéfice de la sécurité du territoire, de la lutte anti-terroriste ou de la protection de l'enfance... mais au nom du droit, pour certains publicitaires, à faire plus de profit avec votre vie privée et vos données personnelles. Incroyable !

J'en suis tombé de ma chaise. Dans un billet publié sur le site les Echos, Jacques Crémer se lancedans un incroyable plaidoyer anti protection de la vie privée. Pas au bénéfice de la sécurité du territoire, de la lutte anti-terroriste ou de la protection de l'enfance... mais au nom du droit, pour certains publicitaires, à faire plus de profit avec votre vie privée et vos données personnelles. Incroyable ! J'ai du mal à m'en remettre tellement cet article m'a choqué de par son manque d'inspiration et de maîtrise du sujet. Les Échos ne m'avaient pas habitué à ça. Ne pouvant rester sans réponse face à une telle démonstration par l'absurde, je me permets d'y répondre sous forme de tribune, en m'adressant à vous monsieur Crémer.

Quelques bases juridiques

Avant de rentrer dans de la prospective législative sur d'éventuelles transpositions de directives européennes, nous allons simplement nous attacher à relire ce que dit la loi française :

* Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Journal Officiel du 7 janvier 1978 ). Article 34« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »* Article 226-17 du Code Pénal:« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »

Voilà pour l'état du droit français sur la protection des données personnelles. Examinons maintenant les faits.

L'autorité administrative en charge de ces questions, la CNIL, n'a, à ma connaissance, jamais entamé de poursuites à l'encontre d'entreprises qui font souvent n'importe quoi avec les données personnelles de leurs clients. Je vous mets au défi de trouver une entreprise du Net, en France, qui a été condamnée pour un défaut de sécurisation des données personnelles de ses clients.

Notez au passage que l'HADOPI, elle, automatise le processus de riposte graduée incluant  un système de surveillance (monitoré par une société privée), d'avertissements, de contraventions, allant jusqu'à la sanction consistant en la coupure de l'accès à Internet... et pour les particuliers ! Il en découle donc pour le particulier une obligation de sécuriser son accès à Internet.

Et pendant ce temps, d'autres ne se pressent pas... je vais être plus précis, ne répondent même pas aux mails qu'on leur envoie pour leur signifier une vulnérabilité sur leur site... et une fuite des données personnelles de leurs clients.

Un peu de pratique

Dans l'exemple du lien précédent, les données personnelles des clients ont été rendues publiques depuis bientôt un an. Il va de soi que les clients en question n'ont pas été prévenus, ceci veut dire qu'à l'heure où je rédige ces lignes, c'est toute leur vie qui est disponible en quelques clics puisque leurs mots de passe n'ont probablement pas été changés. Je vous laisse imaginer le coût de ce manquement pour nos pauvres amis des banques et autres assurances.

Pire, et c'est bien là tout le sens d'un durcissement de la législation, cette attitude irresponsable met en danger d'autres entreprises et des administrations publiques. Regardez bien cette liste, vous allez par exemple y trouver une adresse email du ministère des finances... ça ne vous rappelle rien d'ailleurs Bercy ? Un accès à une boite mail professionnelle et c'est dans 90% des cas tout le système d'information de l'organisation qui s'ouvre à des tiers.

Et la CNIL alors ?

On peut légitimement s'interroger sur le rôle de la CNIL, Kitetoa ne se gêne pas pour le faire et j'ai tendance à croire qu'il sait de quoi il parle. Pourquoi n'agit-elle pas ? Quelques dossiers transmis au procureur ces 20 dernières années, quelques sanctions financières d'un montant ridicule. Nous l'avons vu très récemment à l'encontre de Google, condamné à 7 minutes d'amende pour la captation illicite de données sur des réseaux sans fils du monde entier. Pourtant, les dossiers de fuites de données personnelles se multiplient. La CNIL promet maintenant de s'intéresser au cas de Sony, multirécidiviste de la compromission de données personnelles, et en plus ce n'est pas nouveau. On est curieux de voir ce que cette recherche donnera.

Étrangement, pour la CNIL, rien concernant des entreprises françaises... On est vraiment si forts que ça à votre avis ?

Et maintenant le plat de résistance : de la vie privée sur Internet

Monsieur Crémer, vous semblez dire qu'un durcissement de la loi dans le sens de la préservation de nos données personnelles, dont je me permets de préciser de manière non exhaustive quelques formes :

  • captation par des tiers non habilités,
  • constitution de bases de données,
  • revente des données collectées à des tiers, sans en avertir les concernés,
  • fuites de ces données toujours sans en avertir les concernés...

... serait un frein au développement du chiffres d'affaire de Google AdSense (faut-il rappeler que le géant américain est en situation de quasi monopole mondial dans ce secteur et qu'un polémique est toujours ouverte sur le lieu paradisiaque où il est imposé ?). Ceci justifierait donc selon vous des lois plus laxistes.

Quand on parle de vie privée sur Internet, il faut déjà commencer par la base, c'est à dire savoir de quoi on parle. La protection de la vie privée comprend plusieurs notions. La première, intelligible de tous, correspond à ce que nous appelons la sphère privée et la sphère publique. La protection de la sphère privée fait appel à deux autres notions :

  • la protection du contenu,
  • la protection du contexte.

C'est un sujet que j'avais plus largement développé dans ce billet exposant les notions de base, puis dans celui ci, un peu plus technique. Pour résumer, on dira que l'on protège un contenu par le biais de techniques de chiffrement et que l'on protège le contexte par un ensemble de mesures techniques adaptées, dont la première est l'anonymisation des flux.

Maintenant que nous savons de quoi nous parlons, nous allons pouvoir nous concentrer sur le déroulé du reste de votre argumentaire. Une première phrase me pique les yeux :

"ces restrictions rendent très difficiles l'utilisation de ces techniques et limitent fortement les possibilités de collecte de données sur leurs utilisateurs par les sites Internet ».

Cette affirmation mérite qu'on lève le voile sur un volet purement technique, je vous prie de bien vouloir m'en excuser, mais il est capital pour la bonne compréhension de la suite.

  • Premier point : les publicitaires sérieux utilisent des techniques d'anonymisation des données collectées (et donc des flux). Ce point invalide à lui seul une bonne partie de votre argumentaire.
  • Second point :  si la Commission Européenne a décidé d'agir sur le sujet de la protection de la vie privée, ce n'est pas pour  empêcher les publicitaires de faire leur travail. C'est avant tout pour éviter que des mésaventures comme celle(s) qu'a connu Sony ces derniers jours ne pourrissent la vie à des millions d'européens (5 millions rien que pour la France et 100 millions à travers le monde dans le cas du piratage de Sony). Car pour qui sait où et comment chercher, ces données volées sont parfaitement publiques et exploitables par des tiers mal intentionnés.
  • Troisième point : l'analyse faite dans votre article ne prend en compte qu'une considération. La considération économique d'une corporation sur Internet, celle des publicitaires. Sans même sûrement savoir que les outils qui sont utilisés par les publicitaires sont les mêmes que ceux qui servent à certains régimes pour surveiller, censurer, et réprimer des populations. Ça s'appelle du Deep Packet Inspection et c'est ce genre d'outils qui permet, entre autres, aux publicitaires de vous proposer des promotions sur des packs séjours en Tunisie quand vous annoncez à vos proches que vous partez prochainement en vacances.

Le Deep Packet Inspection, ou l'analyse en profondeur de paquets (c'est à dire de TOUTES vos communications qui transitent en IP) a une faculté assez spéciale que vous n'accepteriez surement pas dans la vie réelle. Cette faculté, c'est celle de lire le "payload". Pour comprendre ce que je viens de vous exposer, imaginez que la Poste :

  • ouvre votre courrier,
  • lise ce courrier,
  • constitue une base de données de vos correspondances et de vos contacts,
  • transmette ces données (le contenu de vos mails, votre nom et votre adresse, ainsi que ceux de l'expéditeur) à ses partenaires commerciaux pour que ces derniers soient en mesure de remplir quotidiennement votre boite aux lettres de courriers indésirables.

Dans la vie réelle, si on suit cet exemple, votre femme recevrait, à votre domicile, de la publicité personnalisée émanant d'un sex shop sous prétexte que vous êtes passés devant (et j'exagère à peine dans le cas de la revente de données à des tiers).

Vous apprécieriez ? Même au nom du droit des entreprises de publipostage à faire plus de profit ?

Maintenant que vous avez connaissance de ces outils et du caractère intrusif qu'ils peuvent revêtir entre certaines mains, vous comprendrez que la technique évoquée dans votre billet, celle des pixels invisibles, est anachronique et incomplète. Elle omet par exemple tout le processus de traitement en aval (constitution de base de données, traitement et revente) qui est pourtant le problème de fond. En outre vous seriez surement surpris des informations que l'on peut collecter avec un pixel invisible, un cookie et un peu de corrélation de logs (journaux de connexion).

Très vite, à la lecture de votre billet, je me demandais sur quoi reposait votre analyse (quelle mouche a bien pu vous piquer ?)... et voici le chiffre : 65% ... sans lien sur l'étude en question, sans contexte... juste un chiffre sorti du chapeau :

"Dans un document de travail récent, Avi Goldfarb de l'université de Toronto et Catherine Tucker du MIT ont mesuré l'effet des restrictions imposées aux sites européens. Grâce à des données collectées par une agence spécialisée, ils montrent que la directive de 2002 a fait diminuer l'efficacité de la publicité en ligne de 65 % !"

Donc je ne suis pas spécialement doué en statistiques, mais vu d'ici, ce chiffre ne veut rien dire :

  • on parle de taux de clic ?
  • on parle de taux de clic sans rebond  ?
  • on parle d'acte d'achat ?
  • Qui est cette mystérieuse agence spécialisée ?
  • Quels outils et techniques a-t-elle utilisés pour cibler son panel ?

En outre, il me semble qu'en 2002, nous étions bien moins nombreux sur Internet et que la publicité en ligne était de fait plus ciblée, ce, même avec des moyens technologiques que l'on juge aujourd'hui dépassés. Dans mon souvenir, sur Internet en 2002, on ne voyait pas de publicité pour le dernier disque de René la Taupe ou pour des pilules bleues destinées aux hommes victimes de troubles de l'érection. Les annonceurs étaient (un peu encore) des geeks, qui vendaient à d'autres geeks.

La loi du marché sur Internet, c'est Internet avant le marché, sinon il n'y a plus de marché

Allons plus loin dans nos comparaisons de mauvais goût :

  • "les mines anti-personnelles ça fait vivre des familles",
  • "le trafic de cocaïne ça fait vivre des villages entiers".

... Je pense qu'il n'est pas nécessaire de développer plus avant ces deux derniers exemples pour démontrer qu'une analyse exclusivement "wallet centric" mène à des énormités. Nous pouvons certes spéculer sur les effets de transpositions de directives européennes sur le marché de la publicité en France, mais j'espère vous avoir convaincu sur le fait que ceci est bien secondaire face aux enjeux de cette problématique.

Internet est un espace public qui a été créé par des gens qui ne se sont jamais posés de questions de business model. Vous devriez les en remercier, les comprendre, écouter leurs mises en gardes sur ces concepts dont ils ont une vision globale... et vous rappeler que sans eux, les entreprises que vous défendez (et ça c'est tout à votre honneur), n'existeraient même pas.

La transposition dans notre droit des directives européennes allant dans le sens de la protection de la vie privée est non seulement nécessaire, mais elle devra également être accompagnée de mesures visant à (re)doter la CNIL des outils juridiques nécessaires à l'accomplissement de sa mission.

Sans protection de la vie privée, le marché que vous défendez maladroitement dans votre article n'existerait même pas. Et pour ça, l'équation est particulièrement simple :

Si l'internaute à confiance, il achète, s'il achète, c'est qu'il y a un marché, s'il y a un marché, il y a de la concurrence et inexorablement, s'il y a de la concurrence, il y a, ou aura, un marché de la publicité.

Privez l'internaute de cette confiance et vous condamnez de fait le marché à une mort certaine.

Monsieur Crémer, nous ne nous connaissons pas, vous fabriquez de l'économie, je fabrique de l'Internet. Mon monde à moi survivra à tous les krachs boursiers, pas le vôtre.

Si vous voulez que l'on construise un écosystème qui tienne la route, je vous invite à commencer par lire l'ouvrage de Jean Marc Manach intituléLa vie privée, un problème de vieux cons ? N'y voyez pas de malice, il s'agit là d'une lecture incontournable. Ne vous dispensez pas non plus de la lecture de ce billet de Cédric Blancher qui ajoutera quelques importants éclairages à ces questions que l'on ne peut aborder avec autant de légèreté.

Internet est bien trop précieux pour notre économie pour être laissé entre les mains d'économistes. N'évitez pas sa complexité en vous accrochant à des raisonnements simplistes, vous aurez tout à y gagner... nos enfants surtout.

Rappelons-nous enfin que si on ne transige pas avec le droit à la protection de la vie privée, c'est qu'il est garant de l'ensemble de nos libertés fondamentales.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée