Parcours EMI | Les traces

Votre double numérique De plus en plus souvent, l'on vous propose de vous authentifier via Facebook, Twitter, Google... Mais si cette authentification via un tiersfacilite la gestion des comptes, elle n'est pas pour autant sans conséquences...
Quelles sont les données que l'on récolte sur vous, qu'en fait le service qui les enregistre ?

Et les moyens de récupérer données numériques, traces, geolocalisation, le plus souvent par devers vous sont on ne peu plus nombreux.Si le téléphone portable reste le premier des mouchards, les applis jogging, enceinte connectée, carte de fidélité, traqueurs d’activité, caméra enregistrées ou autres traqueurs nous surveillent et nous connaissent bien mieux que nos amis les plus intimes.

Mais le droit évolue et la Règlementation Générale de Protection des données (RGPD) applicable depuis mai 2018 organise quelque peula collecte de données

Données numériques

Des traces par gigaoctets

L'Obs Boris Manenti, journaliste à l'Obs, a voulu faire le point sur les données collectées sur lui. A sa grande surprise, outre la quantité absolument sidérante en taille récoltée-62 giga oktets, autrement dit l'équivalent de 37 000 pages- c'est aussi son intimité profonde qui est stockée : Ex-amies, géoposition des terminaux d'accès, trajets,requêtes saisies dans Google, tous les messsages echangés sur FB, les twitts...

Même les trajets effectués via Uber sont scrupuleusement consignés : date, parcours, chauffeur, montant de la course tout est là...

Pour le journaliste, c'est bien plus qu'une simple identité numérique qui est conservée et commercialisée, c'est son intimité.

Son intention ? Faire une gros ménage numérique de printemps

62 000 000 000 000 000 000 000

Fb, tw, gg, snap... vos meilleures amis

Kosinski

Michal Kosinski a commencé ses études de personnalités sur Facebook en 2008. Le psychologue du Centre de psychométrie de l’Université de Cambridge (GB) a créé une méthode d’analyse des traces numériques que nous laissons. En obtenant l’accès à six millions de comptes les équie du professeur Kosinski ont ainsi pu corréler les résultats des tests traditionnels avec les préférences exprimées sur Facebook.

D'après le résultat de ses recherches, on peut déterminer par exemple la préférence sexuelle,l'apparence physique, les centres d’intérêt, le Q.I., l'origine et la couleur de peau, la religion, le sexe, les opinions politiques et bien d’autres choses...

300 like suffisent

La façon dont nous nous comportons ne doit rien au hasard. Si on ne connaît que quelques informations sur une personne, ce n’est pas suffisant pour créer son profil psychologique intime. Mais si, comme l’ordinateur, on a accès à des milliers d’informations, ces données permettent de façonner son profil psychologique très complexe et très précis.

Un algorithme découvrira facilement si vous avez une dépression.

Les travaux de Kosinski ont été ensuite librement mis à disposition du public.

Cambridge Analytica, une société privée, s'en est ensuite servi pour influencer les votes en faveur de Donald Trump ou du Brexit et créer le scandale Cambridge Analytica (lire).

Vie privée, vie publique

L'article 12 de la Déclaration universelle des droits de l’homme précise que « Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteinte ». Autrement dit chacun a droit au respect de sa vie privée

Pourtant, pour certains, la guerre pour garder notre intimité semble perdue. Même si les droits sur la protection de la vie privée sont renforcés ( voir GRPD plus loin ) il est probable qu’il y aura, dans l'avenir, encore moins d’intimité qu’aujourd’hui.

L'hypothèse de la « fin de la vie privée » est souvent été présentée comme une évolution spontanée et inéluctable. Et certains voudraient même nous apprendre à vivre sans vie privée.

"La vie privée n'existe pas sur Facebook ! Facebook est fait pour avoir une vie publique ! Vous vous affichez sur le Net avec nos outils, donc vous ne voulez pas de vie privée !"

Le piquant de l'affaire, c'est qu'interrrogé par le Sénat américain, le patron de Facebook a refusé de répondre aux questions personnelles que lui posait un sénateur... Faites ce que je dit !

Kosinski

KosinskiLe juriste Louis Brandeis donnait dès 1890 une définition du droit au respect de l'intimité, à savoir, pour toute information ne revêtant pas un intérêt public, « le droit du particulier à être laissé tranquille  » [Brandeis & Warren 1890]. Cette définition incarne l’approche traditionnelle de la "privacy as penetration".

Ceuw qui font commerce des données, souhaitenet faire évoluer la vie privée en tant qu'entité négociable, contractuelle. Si vos données ont une valeur marchande pour ceux qui les commercialisent, pourquoi ne pas les monnayer ?

La notion de "privacy as negotiation" permettrait ainsi de prendre en compte les motivations des utilisateurs individuels -il faudrait aussi interroger les motivations de telles diffusions d'informations sur soi-, leur articulation avec les intérêts du secteur privé et les pouvoirs étatiques. La négociation de la vie privée se vit avant tout comme une négociation collective, conflictuelle et itérative, visant à adapter les règles et les termes d'un service aux besoins de ses utilisateurs.

Pour aller plus loin !

image lien https://www.gdpr-expert.eu/#articles

Mais dans un pays non démocratique ?

Dans de nombreux pays votre orientation sexuelle peut vous mettre en danger de mort. Vos préférences politiques peuvent vous conduire en prison ailleurs.

Si tout le monde accepte, fut-ce à contrecœur un service gratuit en échange de publicités ciblées (du coup aussi moins nombreuses et envahissantes), cela n'implique pas forcément la revente à des fins de manipulation.

Et l'importance de la vie privée n'est pas limitée aux risques des pays non démocratiques.

Le Conseil de prud'hommes a considéré des licenciements suite à propos critiquant leur hiérarchie par le biais d'une discussion publiée sur un mur et sur des profils non publics ensuite rapportés à leur employeur comme licites.

La sécurisation même des données n'est pas sans faille, cela a été démontré à de nombreuses reprises par des vols de comptes en massse. Vol d'identité, chantage.

S'authentifier avec Facebook, Google, Twitter...

Login ?

Lorsque vous vous connectez à un site, il vous est quelquefois demandé de vous authentifier. Pour cela, vous créez généralement un compte. Ou encore, de plus en plus souvent, l'on vous propose souvent de vous authentifier via Facebook, Twitter, Google...

Mais si cette authentification via un tiers facilite la gestion des comptes, elle n'est pas pour autant sans conséquences...
Quelles sont les données que l'on récolte ? Qu'en fait Facebook ?

authentification

Processus de la demande de connexion

Processus de connexion

Ce que Facebook collecte…

Memoclic en dresse une liste un peu plus précise.

vos photos et les noms des personnes qui s’y trouvent

vos vidéos, vos humeurs et vos avis (comprenez vos statuts)

la liste de vos amis, ceux dont vous consultez le plus le profil
(même si Facebook ne le communique pas, le réseau le sait)

vos cercles d’amis et les membres de votre famille

vos échanges avec vos amis (messagerie et conversations instantanées)

votre adresse électronique, l’adresse électronique de vos amis

ce que vous pensez des publications de vos amis (likes et commentaires)

vos avis sur des produits et des marques (likes et commentaires)

vos goûts musicaux (depuis le rapprochement avec certains acteurs du streaming
musical comme Deezeret Spotify)

votre agenda les événements auxquels vous vous rendez

les invitations à des événements que vous déclinez

vos centres d’intérêt (groupes, likes, applications installées, abonnements,
clics sur lespublicités…)

vos déplacements dans le monde (avec les check-ins ou les endroits que vous indiquez sur la carte)

votre littérature (avec les articles)

votre parcours scolaire

votre parcours professionnel

vos lieux de résidence

votre situation familiale

votre sexe, les langues que vous parlez

vos croyances religieuses

vos opinions politiques

vos coordonnées téléphoniques

votre adresse postale

l’adresse de votre site web

vos pseudos de messagerie instantanée

vos citations favorites

votre préférence sexuelle

votre date de naissance

vos destinations de voyage

le changement de votre emploi

la publication d’un livre ou d’un papier

votre mise en retraite

un changement d‘école

des études à l‘étranger

un travail bénévole

votre service militaire

une première rencontre avec un tiers

une nouvelle relation amoureuse

vos fiançailles, votre mariage

l’arrivée d’un nouvel enfant

votre grossesse

un nouveau membre dans votre famille

un nouvel animal de compagnie

la fin d’une relation amoureuse

la perte d’un être cherun déménagement

l’arrivée dans une nouvelle maison

la rénovation de votre habitat

l’arrivée d’un nouveau colocataire

l’utilisation d’un nouveau véhicule

le rétablissement après une maladie

la perte d’une habitude (tabac…)

de nouvelles habitudes alimentaires

une perte de poids

le fait que vous portiez des lunettes ou des lentilles

une fracture

le retrait d’un appareil dentaire (ça va loin)

un nouveau passe-temps

vous vous mettez à un nouvel instrument

vous apprenez une nouvelle langue

vous avez un nouveau tatouage ou un nouveau piercing

vous venez d’obtenir votre permis de conduire

vous partez d'être récompensé

vous changez de religion

premier mot, premier baiser…

vous pratiquez un nouveau sport…

revoir

Une liste encore plus complète (en anglais) sur ce que collecte FB collecte sur le https://www.washingtonpost.com/

Facabook a récemment été condamné pour ses pratiques : https://www.lemonde.fr

Ce que Google collecte

Quelles sont les informations que vous transmettez en vous authentifant ?

Google

Mais pour en savoir plus, il faut cliquer sur le lien "autorisations associées à votre compte."

Google

Pour chaque compte, vous aurez ainsi le détail des autorisations données.

De rien à une autorisation complète, autrement dit " l'application peut accéder à la quasi-totalité des informations de votre compte Google et les modifier ".
Seule restriction, elle ne peut pas modifier votre mot de passe, supprimer votre compte ni effectuer un paiement en votre nom...

Encore heureux !

Google

Ne pas hésiter à révoquer l'accès si vous estimez qu'il n'est pas nécessaire, en cliquant sur le bouton.

Twitter, flipboard...

twitter

Ici encore, est-ce bien utile de pouvoir poster des tweets pour vous ? De mettre votre profil à jour ?

On est loin d'une simple authentification.

Testez par vous-même

Des identités multiples

Identité sociale et identité numérique

Dans le réel, le corps donne d’emblée existence à la personne, lui permettant de se manifester aux yeux des autres et ainsi de construire son identité par différenciation. À l’écran, la personne doit prendre existence : si elle n’agit pas et ne laisse pas de traces d’elle-même, elle est invisible pour un autre.

Cette nécessité de prendre existence en laissant des traces est un changement radical du paradigme de l’identité.

Différents type d'identité

L’identité déclarative

Ce type d’identité numérique correspond aux différentes informations qui ont été déclinées par la personne ou l’entité concernée, avec des renseignements variés, portant sur la nature de l’utilisateur, sur son état civil et sur d’autres éléments très objectifs.

L’identité agissante

L’identité agissante est déterminée par les différentes actions menées sur le web par l’utilisateur. Ainsi, on pourra analyser cedernier en observant ses attitudes et ses habitudes sur Internet. Ces informations sont une vraie mine d’or pour certaines entreprises,qui utilisent des données de masse en tant que statistiques très instructives au niveau commercial.

L’identité calculée

Celle-ci résulte justement des différentes analyses menées à propos de cette identité agissante. Les conclusions permettent ainsi d’établirun profil de la personne ou de l’entité concernée.

identité

E-réputation : ce que les autres disent de nous, cela comprend tous les articles, publications qui mentionnent notre nom. Il s’agit par exempledes résultats d’une recherche Google sur notre nom.

Publications : ce que nous publions sur les différents sites sociaux. Par exemple nos publications sur Facebook, Instagram ou Twitter.C’est ce que nous rendons délibérément public.

Activités : ce que nous faisons sans que les autres internautes soient au courant. Cela comprend notre historique de navigations, nos cookies,nos recherches sur les moteurs, les messages écrits non envoyés.

Logs-in : assimilables à l’identité juridique, ce sont nos identifiants, nos mots de passes, il s’agit du processus d’identification.

Moi : le Moi est l’identité intrinsèque à l’être humain.

Des traces ?

Comment ?

traceur Qu'ils soient connectés ou pas, tous nos appareils életroniques laissent des traces...
Et pas que de pollution...

Tous les téléphones appareils photos, voitures ou presque possèdent des puces GPS qui peuvent être autant de traceurs.

Et côté données numériques, c'est pas mieux : géolocalisation, conservation des données, stockées partout dans le monde, historiques des recherches, les possibilités laisser et conserver des traces sont on en peut plus nombreuses

Connaître son adresse MAC

C'est l'adresse physique de votre ordinateur.
Elle est stockée physiquement dans votre carte réseau, est unique et spécifique au périphérique en question ( un ordinateur, une tablette, un téléphone, mais aussi une caméra de surveillance aussi bien qu'une console de jeu...).
Elle se présente sous la forme d'une suite de lettres et chiffres sous la forme FF:FF:FF:FF:FF:FF.

Cliquez sur Démarrer => Exécuter

MAC

Dans le champ de texte, tapez cmd, pour lancer l'invite de commande MS-DOS.
Une fenêtre noire s'ouvre, dans laquelle vous pouvez saisir vos lignes de commandes.

MAC

Saisir la commande ipconfig /all et appuyez sur Entrée

MAC

MAC

1 - L'adresse MAC

2 - L'adresse IP de votre machine sur le réseau

3 - L'adresse IP du serveur DNS (celui qui vous a attribué votre adresse à vous)

Sur un iphone, allez sur "Réglages", "Général" puis "Informations"

L'adresse MAC est inscrite sur la ligne "Adresse Wi-Fi"

mac iphone Quelquefois l'adresse MAC est une simple étiquette collée sur l'appareil.

Et si vous n'avez toujours pas trouvé, un petit utilitaire à télécharger ici et qui fonctionne sans installation vous permet d'analyser votre réseau et tout ce qui y est connecté.

L'historique de navigation : Que contient-t-il ?

Votre activité de recherche et de navigation est stockée.
L'Historique d'un navigateur permet de conserver la liste des sites récemment visités, celui des recherches les mots que vous avez saisis...

Ainsi, pour peu que vous ayez un compte google et que vous soyez connecté, l'ensemble des historiques est conservé...

Pour connaître l'historique de son navigateur

Avec Chrome, saisir chrome://history/ dans le champ adresses

historic chrome

Si vous êtes connecté avec un compte Google, c'est non seulement l'historique de votre machine qui est conservé, mais aussi celui de vos autres terminaux, ici un MacBook- Air et un Ipad...

Et pour connaître la durée exacte de conservation, ce n'est pas si simple...
De nombreuses mises en garde de la part de la CNIL à ce sujet.

Avec Firefox, cliquez sur "Afficher l'historique" dans les paramètres

historic-firefox

Toutes les adresses de l'historique peuvent être supprimées une à une, un règlage permet de ne pas conserver d'historique ou de limiter sa taille ...

Avec Internet Explorer, l'étoile (favoris) permet également d'accèder à l'historique


historic-IE
historique
historique

Dans les paramètres du navigateur, vous pouvez règler le nombre de jours pendant lesquels l'hsitorique est conservé et / ou l'effacer entièrement.

Ce sont des fichiers, typiquement des pages Web, des images, sont scripts etc. stockés sur votre ordinateur au furs et à mesure de vos navigations. Le dossier Temporary Internet Files est également connu sous le nom de « Cache ».

Ils permettent d'accélerer le chargement des fichiers ou d’accéder, hors connexion, à une page récemment visitée.

Mais s'il est très pratique, le « Cache » est aussi un excellent mouchard.

Les fichiers Internet temporaires

Si les opérations de nettoyage peuvent se faire navigateur par navigateur, des logiciels peuvent aussi se charger utilement de cette tâche.

ccleaner CCLeaner, pour n'en citer qu'un, permet d'optimiser et de nettoyer votre système.
Le logiciel retire les fichiers inutilisés de vos disques durs, les raccourcis sans cible, les contrôles ActiveX,les fichiers d’aide, les entrées dans le registre, etc. afin de libérer de l’espace et améliorer le chargement de Windows.

Cliquez ici pour le télécharger

GDPR

La quoi ?

La GDPR (General Data Protection Regulation, en français RGPD) est l’acronyme de la nouvelle réglementation européenne qui concerne la protection des personnes physiques vis-à-vis du traitement des données à caractère personnel ainsi que la libre circulation de celles-ci.

Ce règlement européen a été publié le 4 mai 2016. La GDPR sera applicable et obligatoire dans l’ensemble des États membres de l’Union Européenne dès le 25 mai 2018.

Absolument toutes les entreprises qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union Européenne sont concernées. Et ce, sans tenir compte du lieu de traitement de ces données. Par ailleurs, cela ne se limite pas aux responsables directs du traitement: les sous-traitants sont également concernés par la réglementation.

Du nouveau ?

Même si les principes de base de la réglementation initiale persistent, de nouveaux éléments font leur apparition :

Une réglementation unique

En plus de s’appliquer à tous les états membres de l’Union Européenne, la réglementation passe les frontières de l’Europe. Les entreprises établies en dehors de l’Union Européenne qui traitent des données relatives aux organisations et/ou aux résidents de celle-ci doivent également appliquer la GDPR.

L’individu reprend le contrôle de ses données personnelles

Par le biais de cette réforme, les individus bénéficient de 3 droits majeurs sur leurs données personnelles:

  • Le droit d'accéder à ses données

Ainsi, chaque personne a le droit de savoir si ses données sont analysées, où elles le sont et pourquoi elles le sont (finalité poursuivie). De plus, le responsable du traitement est tenu de fournir une copie des données, gratuitement, dans un format électronique.

  • Le droit à l'oubli

Chaque personne peut exiger que ses données soient supprimées mais aussi, à ce qu’elles ne soient plus diffusées et traitées. Cette demande pouvant être justifiée par le simple fait que l’on retire son consentement ou encore que les données soient obsolètes ou non-pertinentes. Par exemple : La suppression d’un contenu, d’un commentaire ou d’un profil sur un site internet.

  • Le droit à la portabilité des données

Enfin, chaque individu peut demander à recevoir l’ensemble de ses données personnelles dans un format informatique lisible par tous afin de les transmettre à un autre responsable de traitement. Par exemple : Le transfert de données personnelles lors d’un changement de banque, de réseau social, d’opérateur téléphonique, de commerçant,…

Vous l’aurez compris, l’ensemble de ces droits ne doit pas être oublié dans le cadre de démarches marketing ou de toute relation commerciale.

Un niveau de sécurité renforcé

Et cela en amont de la récupération.

  • La protection des données dès la conception

Cette notion impose aux organisations de répondre à certaines exigences relatives à la protection des données personnelles et ce, dès la conception des produits, services et systèmes exploitant ces données.

  • La sécurité par défaut

Quant à cette notion, elle impose à toute organisation de disposer d’un système d’information sécurisé.

Notification en cas de fuite de données

L’autorité nationale de protection (en Belgique, la Commission de Protection de la Vie Privée ) CPVP) doit être avertie en cas de fuite grave de données.

Nomination d’un délégué à la protection des données

Un délégué à la protection des données (DPO) doit être nommé au sein des organismes publics ou privés dont les activités de base nécessitent un suivi régulier et systématique à grande échelles des personnes.

De lourdes sanctions pour les fraudeurs

Toutes les entreprises ou organismes qui ne respectent pas les règles de la GDPR s’exposent à des sanctions pouvant aller du simple avertissement à l’amende jusqu’à 20 000 000€ ou, pour les entreprises dépassant 500 m€ de CA, jusqu’à de 4% du chiffre d’affaire annuel.

Le comité européen de la protection des données

Création d’un comité européen. Celui-ci fait figure d’autorité dans tout ce qui concerne l’interprétation de la réglementation.

Pour aller plus loin !

Un site proposant le texte du Règlement, le texte correspondant de (l'ancienne) Directive, le texte correspondant de la loi française, le texte correspondant de la loi belge, le(s) considérant(s) pertinents du règlement, les versions intermédiaires du règlement.

image lien https://www.gdpr-expert.eu/#articles

Le texte au complet

image lien https://eur-lex.europa.eu/

Modélisation

image lien https://i1.wp.com/sheo-tech.fr/

Une FAQ proposée par la DANE de Lyon

image lien https://dane.ac-lyon.fr/

RGPD expliqué en emojis

Le texte en dataviz par la CNIL

Mon Ombre et Moi

Le projet de Tactical Tech Mon Ombre et Moi vous aide à contrôler vos traces numériques, comprendre comment vous êtes suivis, et comprendre comment fonctionne l'industrie des données.

Lien https://myshadow.org/fr/tracking-data-traces

traces.jpg

Il propose également un outil qui vous donne un aperçu des traces numériques que vous laissez derrière vous -de combien, de quel type, et depuis quel appareil. Trace my shadow est l'outil lancé par le site Me and My Shadow en 2012, et a été depuis mis à jour plusieurs fois et traduit dans différentes langues.

Lien Trace my shadow (Tracer mon ombre)

traces.jpg