Catégories
Vie privée

Usage des données person­­­nelles par France Info et France Télé­vi­sion

En pour­sui­vant votre navi­ga­tion sur ce site, vous accep­tez l’uti­li­sa­tion de cookies pour vous permettre de parta­ger du contenu via les boutons de partage de réseaux sociaux, pour vous propo­ser des publi­ci­tés ciblées adap­tées à vos centres d’in­té­rêts et pour nous permettre de mesu­rer l’au­dience.

Bandeau en haut de page sur meta-media.fr

Pardon ? Ai-je bien lu ?

Alors j’ai fouillé et ce n’est pas beau à voir. Chaque point est à ma connais­sance une viola­tion du RGPD.

Les fautes sont graves et massives. Elles néces­sitent proba­ble­ment au moins de suppri­mer toutes les données dont on ne peut pas prou­ver qu’elles ont été obte­nues sans vice de consen­te­ment. Il est aussi possible que consi­dé­rant l’am­pleur des données concer­nées, un signa­le­ment offi­ciel de l’ano­ma­lie à la CNIL soit néces­saire de la part du respon­sable de trai­te­ment.

Ce qui suit concerne France Info et France Tele­vi­sion, et proba­ble­ment une majo­rité des sites du même groupe.

1/ Manque de consen­te­ment préa­lable

Lors de l’ac­cès à la page d’ac­cueil de France Info, sans réali­ser aucune inter­ac­tion clavier ni aucune inter­ac­tion souris (pas de clic, pas de dépla­ce­ment de souris au dessus d’élé­ments, pas de défi­le­ment de la page), le site fait des appels à xiti, chart­beat, urba­nair, et face­book avec des iden­ti­fiants uniques.

Cela veut dire qu’ils opèrent au mini­mum des collectes et trai­te­ments de mesures d’au­dience (et proba­ble­ment des collectes en vue de person­na­li­sa­tion futures) avant d’avoir un quel­conque consen­te­ment, qu’il soit impli­cite ou expli­cite.

Depuis mai 2018, le RGPD impose pour­tant un consen­te­ment préa­lable avant tout trai­te­ment de données person­nelles, hors certains cas légi­times qui ne peuvent pas inclure la mesure d’au­dience ou la person­na­li­sa­tion de conte­nus, ni la parti­ci­pa­tion à du pistage par des tiers (Face­book).

Je ne prends pas en compte ici les appels aux régies de publi­cité et autres bases de données de rela­tion client. Il est possible (voire probable) que ces services fassent du pistage et/ou de la person­na­li­sa­tion mais je ne peux pas m’en assu­rer.

2/ Manque de consen­te­ment expli­cite

Un bandeau appa­rait à la première visite avec l’in­for­ma­tion suivante :

« En pour­sui­vant votre navi­ga­tion sur ce site de France Télé­vi­sions, vous accep­tez l’uti­li­sa­tion de cookies et traceurs servant à mesu­rer l’au­dience, à person­na­li­ser votre expé­rience et vous consen­tez à rece­voir de la publi­cité et des offres adap­tées à votre profil. »

Sur meta-media.fr j’ai un message simi­laire :

« En pour­sui­vant votre navi­ga­tion sur ce site, vous accep­tez l’uti­li­sa­tion de cookies pour vous permettre de parta­ger du contenu via les boutons de partage de réseaux sociaux, pour vous propo­ser des publi­ci­tés ciblées adap­tées à vos centres d’in­té­rêts et pour nous permettre de mesu­rer l’au­dience. »

Tout ou partie des usages décrits néces­sitent un consen­te­ment expli­cite et éclairé de la part des personnes concer­nées depuis la mise en place du RGPD en mai 2018.

La pour­suite de navi­ga­tion ne peut être consi­dé­rée comme un consen­te­ment expli­cite et éclairé suivant les termes du RGPD. Les collectes corres­pon­dantes sont donc viciées.

3/ Impos­si­bi­lité de refus de consen­te­ment

Quand on souhaite confi­gu­rer ses consen­te­ments, l’ou­til proposé n’offre pas de refus possible pour la caté­go­rie « réseaux sociaux », quand bien même ils sont « suscep­tibles d’iden­ti­fier les données de connexion et de navi­ga­tion de l’in­ter­naute ».

Cette infor­ma­tion a été confir­mée par les conseillers gérant le compte twit­ter :

Cette impos­si­bi­lité de refu­ser des trai­te­ments annexes les met là aussi très certai­ne­ment en viola­tion du RGPD mais ce n’est pas tout :

4/ Faux à l’en­re­gis­tre­ment des consen­te­ments

Si l’uti­li­sa­teur ne se voit pas propo­ser d’op­tion pour refu­ser le consen­te­ment, cette option est bien présente. Elle est juste cachée.

Comme elle est acti­vée par défaut, la vali­da­tion de la page de consen­te­ment, même pour ceux qui ont conscien­cieu­se­ment tout désac­tivé, enverra un consen­te­ment posi­tif expli­cite au registre des consen­te­ment.

Plus qu’une absence de choix expli­cite, France Tele­vi­sion produit un faux consen­te­ment posi­tif. On dépasse à mon sens les erreurs d’im­plé­men­ta­tions. Il y a là trom­pe­rie et produc­tion de faux.

5/ Absence d’in­for­ma­tion

Vous ne pouvez pas vous oppo­ser au trai­te­ment des réseaux sociaux dans l’ou­til, il enre­gis­trera tout de même un consen­te­ment posi­tif expli­cite alors que vous ne l’avez pas donné, mais il y a une infor­ma­tion qu’on pour­rait s’op­po­ser à certains de ces cookies sur la page « poli­tique de gestion des cookies et sdk ».

Sur cette longue page, on voit effec­ti­ve­ment en défi­lant qu’il existe un « sdk » pour Twit­ter. Aucun lien ou procé­dure n’est toute­fois donné pour s’y oppo­ser.

Ce défaut d’in­for­ma­tion est d’au­tant plus gênant que les équipes connaissent ces liens et savent les donner quand une personne sait que c’est un problème et le signale :

6/ Collecte et trai­te­ment malgré refus de consen­te­ment

Après avoir refusé expli­ci­te­ment tous les consen­te­ments sur les inter­faces, France Info et France Tele­vi­sion conti­nuent pour­tant la collecte et le trai­te­ment des données.

Ainsi, bien que les mesures d’au­dience soient expli­ci­te­ment refu­sées, des appels partent encore à Xiti, New Relic (la partie audience et mesures), Global Stats coun­ter, Outbrain et Google Tag.

Ici encore, je ne prétends pas faire une liste exhaus­tive et je ne prends pas en compte plusieurs pres­ta­taires du domaine publi­ci­taire dont il m’est impos­sible de confir­mer s’ils font ou pas du pistage par iden­ti­fiant unique et/ou de la person­na­li­sa­tion (même si c’est probable).


Le DPO de France Tele­vi­sion a été informé par email.

Mouais… Pauvre Benoît Pelle­tier… Il y a un peu de diffé­rence entre l’au­to­pro­mo­tion et la réalité.

Réponse de France Tele­vi­sion

J’ai eu une réponse le 14 février. Je ne vais pas dire que c’est rapide, mais j’ai telle­ment de réponses qui prennent parfois 2 mois quand je parle données person­nelles, que j’en viens presque à trou­ver ça posi­tif.

La réponse l’est moins. Extrait :

Les déca­lages obser­vés dans la gestion des cookies et autres traceurs sur les sites visés (meta-media.frfran­cet­vinfo.frfran­ce­te­le­vi­sions.fr) par rapport aux nouvelles lignes direc­trices de la CNIL en la matière ont bien été iden­ti­fiés, et les correc­tions néces­saires inté­grées à notre plan de mise en confor­mité dans les délais requis par la CNIL.

Lors de la présen­ta­tion de son plan d’ac­tion sur le ciblage publi­ci­taire pour l’an­née 2019–2020, la CNIL a en effet indiqué que son ancienne recom­man­da­tion du 5 décembre 2013 rela­tive aux cookies et autres traceurs était deve­nue obso­lète suite à l’en­trée en appli­ca­tion du RGPD, en ce qu’elle permet­tait le recueil du consen­te­ment de l’uti­li­sa­teur via la simple pour­suite de sa navi­ga­tion. Sa déli­bé­ra­tion du 4 juillet 2019 prévoit ainsi la fin de la pour­suite de la navi­ga­tion comme moyen d’ex­pres­sion du consen­te­ment. Afin toute­fois de lais­ser aux éditeurs de sites le temps néces­saire à l’adap­ta­tion tech­nique de leurs sites, la CNIL prévoit une période de mise en confor­mité à ses nouvelles règles, qui pren­dra fin à l’ex­pi­ra­tion d’un délai de six mois suivant l’adop­tion défi­ni­tive de sa recom­man­da­tion sur les moda­li­tés pratiques de recueil du consen­te­ment, dont le projet est actuel­le­ment soumis à consul­ta­tion publique jusqu’au 25 février 2020.

Cette posi­tion de la CNIL est un vrai problème. Elle n’a aucun pouvoir ni légis­la­tif ni judi­ciaire et son pouvoir admi­nis­tra­tif ne l’au­to­rise en rien à donner un sauf-conduit sur l’ap­pli­ca­tion de la loi française ou euro­péenne (et donc du RGPD qui est appli­cable depuis mai 2018 au niveau euro­péen et enté­riné dans la loi française en juin 2018).

Ce qui est en viola­tion du RGPD reste illé­gal et punis­sable auprès des tribu­naux, quand bien même la CNIL renon­ce­rait à faire dili­gence sur sa propre mission admi­nis­tra­tive.

Malheu­reu­se­ment les éditeurs se servent des lenteurs de la CNIL et d’un texte de 2013, pré-RGPD, comme paravent pour s’exo­né­rer de leurs obli­ga­tions. Ces fumis­te­ries doivent prendre fin très rapi­de­ment !

Je ne compte même pas la mauvaise foi :

Dans cet inter­valle, nous conti­nuons à travailler sur l’amé­lio­ra­tion de la gestion des traceurs utili­sés sur nos sites. Celle-ci se heurte à certaines contraintes tech­niques impo­sées par des tiers comme Face­book, dont les cookies font l’objet d’une infor­ma­tion des utili­sa­teurs sur les moyens de s’op­po­ser à leur utili­sa­tion via les liens présents dans notre poli­tique de gestion des cookies, et non direc­te­ment dans notre gestion­naire de cookies.

Je tiens aussi à vous infor­mer que pour remé­dier à certaines de ces diffi­cul­tés, et proté­ger davan­tage les données person­nelles de nos utili­sa­teurs, nous avons pris la déci­sion de mettre un terme à l’usage du « social login » (le dispo­si­tif permet­tant de créer un compte utili­sa­teur via son compte de réseau social) avec Face­book et Google sur les sites fran­cet­vinfo.fr et france.tv.

Il y a peu de chances que le retrait des créa­tion de compte via un four­nis­seur d’iden­tité tiers (Face­book, Google) ait été motivé pour limi­ter la collecte de données person­nelles. En tout cas reti­rer une fonc­tion­na­lité qui ne peut être que ponc­tuelle, volon­taire et expli­cite de la part du visi­teur et en paral­lèle lais­ser les traceurs invi­sibles de la même source sans donner de moyen simple de s’y oppo­ser… j’ap­pelle ça être hypo­crite.

Catégories
Geek Vie privée

Vie privée : Chif­fre­ment des disques

On parle tant des mots de passe qu’on en oublie l’es­sen­tiel.

Quiconque a accès à votre disque dur a accès à toute votre vie numé­rique, vos logi­ciels et vos docu­ments.

Il peut relire votre l’at­tes­ta­tion de sécu télé­char­gée le mois dernier, votre feuille de calcul avec votre compta, vos photos de vacances mais aussi celles que vous gardez privées, la lettre à mamie, le testa­ment de grand père, votre carnet d’adresse complet.

Il a accès aussi à votre histo­rique de navi­ga­tion inter­net des 30 ou 90 derniers jours, votre compte face­book, votre compte email avec l’in­té­gra­lité de vos échanges passés.

Si vous êtes enre­gis­tré sous Google et que vous avez un Android, il y a toutes les chances qu’il puisse accé­dez à tout l’his­to­rique de géolo­ca­li­sa­tion et retra­cer dans le détail tous vos dépla­ce­ments depuis plusieurs mois.

Via le navi­ga­teur il a aussi accès à tous les sites sur lesquels vous êtes enre­gis­tré, ceux pour lesquels vous avez enre­gis­tré le mot de passe. Vu qu’il a accès à vos emails, il pourra de toutes façons réini­tia­li­ser les mots de passe qu’il lui manque.

Si on parle de votre télé­phone, ça inclut aussi tous vos SMS, votre histo­rique d’ap­pel, vos conver­sa­tions snap­chat, what­sapp et autres outils de commu­ni­ca­tion.

Ça fait peur, non ?

Ça arri­vera si quelqu’un de malveillant vous en veut person­nel­le­ment, mais aussi vous êtes la cible aléa­toire d’un cambrio­lage, que ce soit par le cambrio­leur ou par la personne chez qui se retrouve avec votre disque une fois remis en circu­la­tion.

Non, il n’y a pas besoin de votre mot de passe de session windows ou mac pour cela. Il suffit d’ac­cé­der au disque direc­te­ment. Tout est dessus, en clair.

Ok, comment on chiffre le disque alors ?

Sous Windows ça s’ap­pelle BitLo­cker. Sous Mac ça s’ap­pelle FileVault. Sous Android ça s’ap­pelle simple­ment « Chif­frer l’ap­pa­reil » ou « Chif­frez vos données » quand ce n’est pas activé par défaut, et vous avez en plus un « Cryp­tage de la carte SD » pour la carte SD si vous en avez ajouté une.

Vous trou­ve­rez ça à chaque fois dans la section « sécu­rité » des préfé­rences de votre système.

La procé­dure est norma­le­ment assez simple (windows, mac). Assu­rez-vous simple­ment de ne pas oublier votre mot de passe.

Voilà, c’est fait. Toutes vos données sont chif­frées, illi­sibles par un tiers.

Bien entendu ça ne fonc­tionne que si vous avez aussi activé un déver­rouillage manuel obli­ga­toire au réveil de votre PC et de votre télé­phone, et que vous n’avez pas laissé le mot de passe sur un post-it juste à côté. Il ne sert à rien d’avoir une porte qui ferme à clef si vous lais­sez la clef sous le paillas­son ou si vous la lais­sez toujours ouverte.

C’est quoi le piège ?

Désor­mais votre cambrio­leur ne peut pas accé­der à vos données sans le mot de passe. Votre voisin ne peut pas accé­der à vos données sans le mot de passe.

Vous non plus… Le piège est là. Sans le mot de passe vos données sont perdues, même pour vous.

Apple vous propose de rete­nir une clef chez lui et de la sécu­ri­ser avec votre compte Apple. Je crois que Micro­soft fait pareil. Sur Android à ma connais­sance il n’y a rien de tout cela.

En réalité ça n’est qu’un (mauvais) filet de sécu­rité.

1/ N’ou­bliez pas le mot de passe.

2/ Faites de sauve­gardes (même si vous avez le mot de passe, le disque lui-même peut casser, et au pire vous pour­rez récu­pé­rer vos données sur la sauve­garde)

3/ Donnez un moyen à vos proches d’ac­cé­der aux données qui les concernent (photos de famille par exemple) si jamais il vous arrive quelque chose.

Catégories
Banques Vie privée

Société Géné­rale et données person­nelles

Ma banque m’a forcé la commu­ni­ca­tion de certaines infor­ma­tions person­nelles que j’ai trouvé forte­ment intru­sives et à priori inutiles à l’exé­cu­tion du contrat ou des méca­nismes anti-blan­chi­ment (entre autres détail de mes employeurs et de mes rému­né­ra­tions, alors que mes salaires et comptes actifs sont gérés par une autre banque). Cette demande était accom­pa­gnée par une réfé­rence à des articles de loi qui n’im­po­saient nulle­ment cette commu­ni­ca­tion.

8 novembre 2019 : J’ai me suis donc fendu d’une demande d’in­for­ma­tion formelle au titre du RGPD (oui, je suis ainsi).

Je l’ai fait de bonne foi, pour avoir l’in­for­ma­tion, la fouiller et la comprendre. Je pensais les banques carrées sur la gestion des données person­nelles et ne doutais pas qu’ils aient un fonde­ment à toute demande et tout stockage. Je cher­chais lequel. J’en ai été pour mes frais.


J’ai un accusé de récep­tion de ma demande le 12 novembre. Ils me font suivre un extrait des condi­tions géné­rales qui parle des données person­nelles, me signalent la possi­bi­lité d’ac­cé­der à certaines données depuis l’es­pace person­nel en ligne, et me confirment qu’ils me répon­dront sous un mois (le délai légal) à ma demande expli­cite.

En atten­dant cette réponse promise, je véri­fie les deux éléments reçus :

L’ex­trait des condi­tions géné­rales semble volon­tai­re­ment noyer le pois­son. Un premier article liste toute une série de données person­nelles, de l’iden­tité civile jusqu’à l’en­re­gis­tre­ment des appels et mes habi­tudes de vie (!!). Un second article liste toutes les fina­li­tés possibles et leur durée de vie maxi­mum. Aucun moyen de savoir quelle fina­lité est asso­ciée à quelle donnée, ce qu’ils stockent vrai­ment combien de temps et pourquoi.

L’ex­trait est tout de même éclai­rant puisque les données person­nelles auxquelles je fais réfé­rence n’y sont pas listées, ou alors sous un des multiples « etc. » très vagues. Gênant.

Je vais aussi véri­fier la rubrique adéquate de l’es­pace person­nel en ligne. Ce qu’on m’y présente est incom­plet et ne répond pas à ma demande. On ne m’y liste par exemple pas les infor­ma­tions person­nelle qu’on m’a forcé de remplir début novembre et sur lesquels portent expli­ci­te­ment ma demande. Je vois au moins deux autres manques flagrants dans les données (maigres) auxquelles on me donne accès. Malai­sant.

La réponse semble avoir été rédi­gée par un humain et non par un robot, ils me confirment que j’au­rai une réponse plus tard. J’at­tends donc avec confiance.


Et… rien.

Un mois après, aucune réponse malgré leur accusé de récep­tion.

  • Données incom­plètes dans leurs méca­nismes d’ac­cès ;
  • Mentions légales d’in­for­ma­tion incom­plètes et inutiles en ce qu’elles ne permettent pas d’at­ta­cher une fina­lité et une durée de conser­va­tion à une donnée, ni de connaitre exac­te­ment l’ex­haus­ti­vité des données récol­tées ;
  • Refus impli­cite de commu­ni­ca­tion à ma requête.

Moi qui pensais les banques carrées…

Je relance donc le 9 novembre 2019 expli­ci­tant leur refus de réponse et deman­dant à être contacté dans les quelques jours pour régler la situa­tion. Je n’au­rai aucune réponse, ni par télé­phone ni par email.


Après le presque double­ment du délai légal, le 6 janvier 2020, je tente un autre canal de commu­ni­ca­tion et j’in­ter­pelle la société sur Twit­ter

Bon @Socie­teGe­ne­rale @SG_etvous après deux mois j’ai attendu assez long­temps. Comment se fait-ce que vous refu­siez de répondre aux requêtes RGPD dont vous accu­sez pour­tant récep­tion ?

https://twit­ter.com/edasfr/status/1213427075769655297

J’ob­tiens là un humain en quelques heures. Ne pas respec­ter la loi est une chose, lais­ser un message public sans réponse en est une autre.

Après confir­ma­tion de mon iden­tité et rappel des échanges : « Nous rappro­chons de nos inter­lo­cu­teurs en interne afin qu’un point soit fait au plus vite à ce sujet ».

J’at­tends donc de nouveau


Une semaine après, le 13 janvier 2020, rien de neuf. Ni par télé­phone, ni par email, ni par twit­ter. Je relance donc le compte Twit­ter vu que c’est le seul canal sur lequel j’ai des réponses.

Bonjour Eric, nous sommes navrés de cette situa­tion et des complexi­tés tech­niques rencon­trées pour appor­ter une réponse à vos demandes. Les équipes en charge nous ont bien confirmé les avoir prises en charge. Nous faisons le point avec elles et vous tenons informé.

Message privé twit­ter par @SG_etvous

S’il y a une complexité tech­nique telle qu’il faille plus de deux mois pour répondre à une simple demande d’in­for­ma­tion pour laquelle ils ont léga­le­ment un mois pour répon­dre… C’est inquié­tant.

Échaudé par les absences de réponse répé­tées, j’in­siste pour avoir un délai. Je l’ob­tiens le lende­main, mardi 14 janvier 2020 :

Bonjour Eric, les équipes en charge nous ont assuré vous appor­ter une réponse d’ici la fin de cette semaine au plus tard.

J’at­tends donc (de nouveau)


Nous sommes désor­mais le jeudi 23 janvier (je mets à jour le billet ce jour), presque 10 jours plus tard, et je n’ai rien de neuf.

Au moins je sais que ma demande a été reçue et prise en trai­te­ment, plusieurs fois. Je ne peux pas consi­dé­rer autre chose qu’un refus de réponse volon­taire, illé­gal. Pire, j’ai l’im­pres­sion qu’on me prend pour un imbé­cile.

Je ne sais pas pourquoi j’ai temps attendu avant de rédi­ger une plainte offi­cielle pour non respect de mes droits. Je vais corri­ger ça cette semaine et cette fois ci je ne remet­trai pas la chose à plus tard sur la base d’un énième « on vous répon­dra plus tard ». Soit j’ai une réponse adéquate et écrite à ma requête initiale, soit je ne l’ai pas. Le reste ne m’in­té­resse plus.


Tout ça n’a pas l’air clair et très propre du côté de la Société Géné­rale. Je vous incite donc à faire la même procé­dure auprès de votre banque.

Catégories
Surveillance Vie privée

Du contrôle perma­nent

Nous refu­se­rions certai­ne­ment une loi qui oblige notre boulan­ger à nous deman­der notre carte d’iden­tité et à noter qui achète quoi sur un carnet à desti­na­tion des auto­ri­tés.

Et pour­tant aujourd’­hui nous payons tout par carte bancaire. L’État dimi­nue peu à peu les plafonds qui nous auto­risent à payer en monnaie et supprime en même temps tous les moyens de paie­ment un mini­mum anonymes. Les paie­ments en ligne sont eux tous expli­ci­te­ment nomi­na­tif sous prétexte d’éta­blir des factures systé­ma­tiques.


Nous refu­se­rions un fonc­tion­naire qui nous connait dans notre rue, qui note systé­ma­tique­ment qui entre ou sort de chez nous et à quelle heure, au cas où un jour il y a un vol ou une agres­sion.

Et pour­tant nous accep­tons les camé­ras de surveillance et la majo­rité voit d’un bon œil l’ar­ri­vée de la recon­nais­sance faciale sur ces camé­ras.


Il y a encore quelques années nous aurions été horri­fiés de devoir donner notre iden­tité pour voya­ger autre­ment qu’à pieds.

Et pour­tant aujourd’­hui nous avons un contrôle d’iden­tité fort pour prendre l’avion. Il est prévu que les billets de TGV ne soient plus anonymes. Même l’au­tos­top est devenu nomi­na­tif via son rempla­ce­ment par le covoi­tu­rage sur des plate­formes en ligne.


Désor­mais l’es­pace public est devenu une terre de surveillance. La vie privée se réduit au domi­cile, et à condi­tion de ne pas inter­agir par télé­phone ou par inter­net.

On en est au point où nos élus trouvent dange­reux qu’on puisse commu­niquer entre nous de façon sécu­ri­sée sans qu’ils ne puissent inter­cep­ter nos messages en clair.

On en est au point où on nous a fait acter que montrer son visage dans l’es­pace public était une mesure de vivre ensemble et pas de surveillance.

Tout ce que nous lisons, tous les gens que nous rencon­trons, tout ce que nous ache­tons ou échan­geons, toutes les conver­sa­tions que nous avons en dehors de chez nous, tous les trajets que nous faisons, … tout ça est enre­gis­tré, nomi­na­ti­ve­ment, et peut être acces­sible à un État.


De l’autre côté du globe, on voit des piles de vête­ments à diffé­rents endroits de la ville et des photos de mani­fes­ta­tions bardées de lasers verts comme un spec­tacle de disco­thèque. Les lasers mettent en défaite la recon­nais­sance faciale. Les piles de vête­ments permettent de se chan­ger pour mettre en défaite le suivi et l’iden­ti­fi­ca­tion par vidéo­sur­veillance après les mani­fes­ta­tions.

De quoi donner à réflé­chir.


Alors quand je vois San Fran­cisco — ville proba­ble­ment la plus à la pointe et compo­sée des gens les plus au fait de ces tech­no­lo­gies — s’in­ter­dire d’uti­li­ser la recon­nais­sance faciale, ça fait peut-être sourire certains mais pour moi ça veut encore dire quelque chose.

Il serait peut-être temps de se rappe­ler pourquoi donner trop de pouvoir à l’État est dange­reux, pourquoi c’est au citoyen de contrô­ler son État et pas l’op­posé, pourquoi la vie privée et le secret des corres­pon­dances sont essen­tiels à la vie démo­cra­tique.

Catégories
Vie privée

SPAM from Loca­lize.co and GDPR discus­sion

(french below)I recei­ved an email from Loca­lize.co a few days ago. I am used to SPAM but this times small lines did catch my atten­tion:

Follo­wing the GDPR, you are hereby infor­med that your perso­nal data was found on your Linke­din profile (full name and job title) and your email address was gues­sed based on your compa­ny’s email struc­ture which was publi­cly avai­lable. Your perso­nal data was manually proces­sed in our CRM for direct marke­ting purpose. Accor­ding to the GDPR, you have the right to lodge a complaint to a super­vi­sory autho­rity, howe­ver, direct marke­ting purpose may be regar­ded as a legi­ti­mate inter­est which doesn’t require the consent of the data subject. Your perso­nal data is stored in our CRM and will not be proces­sed for any other purpose than direct marke­ting. […]

Loca­lize.co is scrap­ping Linke­din to collect perso­nal data without autho­ri­za­tion. They do store this data on a long term basis on their own systems, still without any consent. Then they do use this data for unso­li­ci­ted marke­ting (ie SPAM), with a message asser­ting they are in agree­ment with the law.

That’s not my inter­pre­ta­tion, that is their own words.

I did request more details, here the response I had:

[…]

In regards to the GDPR, if you look at Article 14 you can see that you can actually contact data subject without their consent on the base of a legi­ti­mate inter­est. Reci­tal #47 of the GDPR indi­cates that direct marke­ting may be regar­ded as a legi­ti­mate inter­est.

Our legi­ti­mate inter­est was based on the fact that your company looks simi­lar to our other custo­mers since you have seve­ral languages avai­lable on your app and, the users of our tool often work in the tech­no­logy depart­ment hence we though our services could be rele­vant to you and your company. Once again, if this is not the case and my email did bother you, I since­rely apolo­gize.

As you can see in the disclai­mer that I inclu­ded in my initial and previous emails, we follow and respect all the points from the article 14.

As per your request, I’m sending a copy of all the data we have at the end of the email that our inter­nal team has collec­ted from Linke­din and your email was gues­sed based on [your company] email struc­ture. We did not buy data from any third-party tools

[…]

What is worst than a spam­mer which collect and process unlaw­fully my data, is a spam­mer that tells me he’s legally entit­led to do it.


J’ai reçu un email de Loca­lize.co il y a quelques jours. Je suis habi­tué aux SPAM mais les petites lignes ont retenu mon atten­tion :

Suivant le RGPD, nous vous infor­mons que vos données person­nelles ont été trouées sur votre profil Linke­din (nom complet et fonc­tion) et que votre adresse email a été devi­née à partir du format de votre société qui est acces­sible publique­ment. Vos données person­nelles ont été entrées manuel­le­ment dans notre logi­ciel de rela­tion client à des fins de marke­ting. Selon le RGPD, vous avez le droit de porter plainte auprès de l’au­to­rité de super­vi­sion, toute­fois, la pros­pec­tion commer­ciale directe peut être vue comme un inté­rêt légi­time qui ne requiert par le consen­te­ment de la personne objet des données. Vos données person­nelles sont stockées dans notre logi­ciel de rela­tion client et ne seront pas utili­sées à une autre fin que la pros­pec­tion commer­ciale directe. […]

(traduit par mes soins)

Loca­lize.co extrait des données person­nelles de Linke­din sans auto­ri­sa­tion. Ils stockent ces données dura­ble­ment dans leur logi­ciel de rela­tion client, toujours sans consen­te­ment. Ensuite ils utilisent ces données pour de la pros­pec­tion commer­ciale non solli­ci­tée (c’est à dire du SPAM).

Ce n’est pas mon inter­pré­ta­tion, ce sont leurs propres mots.

J’ai demandé plus de détails, voici la réponse obte­nue :

[…]
Selon le RGPD, vous pouvez voir à l’article 14 qu’il est possible de contac­ter la personnes objet des données sans son consen­te­ment, sur la base d’un inté­rêt légi­time. Le Reci­tal #47 du RGPD indique que la pros­pec­tion commer­ciale directe peut être vue comme un inté­rêt légi­time.

Notre inté­rêt légi­time est basé sur le fait que votre entre­prise ressemble à nos clients étant donné que vous avez plusieurs langues acces­sibles dans vos appli­ca­tions, et que les utili­sa­teurs de notre outil travaillent souvent dans les dépar­te­ments tech­niques, d’où le fait que nous pensions que nos services pour­raient être perti­nents pour vous et votre entre­prise. Encore une fois, si ce n’est pas le cas et que mon email vous a dérangé, je vous présente mes excuses sincères.

Comme vous pouvez le voir dans le commu­niqué que j’ai inclu dans le message initial, nous suivant et respec­tons tous les points de l’ar­ticle 14.

Suivant votre demande, je vous envoie à la fin de de cet email une copie de toutes les données que nous avons et que notre équipe interne a collecté depuis Linke­din, votre email a été deviné sur la base de la struc­ture des emails de [votre société]. Nous n’avons acheté aucune donnée depuis des outils tiers.

S’il y a une chose pire qu’un spam­mer, c’est un spam­mer qui me dit être léga­le­ment en droit de le faire.

Catégories
Publicité Vie privée

Respect de la vie privée chez lesnu­me­riques

Dites lesnu­me­riques, quand je viens chez vous j’ai le droit à un superbe cadre pour deman­der mon consen­te­ment à plusieurs usages de mes données person­nelles.

Nos parte­naires et nous-mêmes utili­sons diffé­rentes tech­no­lo­gies, telles que les cookies, pour person­na­li­ser les conte­nus et les publi­ci­tés, propo­ser des fonc­tion­na­li­tés sur les réseaux sociaux et analy­ser le trafic. Merci de cliquer sur le bouton ci-dessous pour donner votre accord. Vous pouvez chan­ger d’avis et modi­fier vos choix à tout moment.

https://www.lesnu­me­riques.com

Ça pour­rait donner confiance dans votre respect de la loi mais…

J’ai soulevé le capot

Accès au site
La conservation d’informations ou l’accès à des informations déjà conservées sur votre appareil, par exemple des identifiants publicitaires, des identifiants de l’appareil, des cookies et des technologies similaires.

Pour­tant avant même que je consente, me voilà avec pile 139 cookies tous neufs (j’ai compté). La plupart contiennent des iden­ti­fiants uniques de pistage publi­ci­taires ou de mesure d’au­dience. Hallu­ci­nant !

Je ne compte pas là ceux qui exploitent des « tech­no­lo­gies simi­laires ». Certains ont utilisé le localS­to­rage du navi­ga­teur. Je serais étonné qu’au­cun ne m’iden­ti­fie via mon adresse IP, l’ex­ploi­ta­tion du cache du navi­ga­teur ou d’autres arti­fices. Pas vu pas pris, conten­tons-nous du certain.

Si je n’étais pas poli je dirais que vous vous foutez de ma gueule. D’au­tant qu’au­cun de ces iden­ti­fiants n’est supprimé si je refuse mon consen­te­ment par la suite. Une fois placés, ils seront utili­sés pour recou­per avec mes visites sur d’autres sites.

Mesure d'audience
La collecte d’informations relatives à votre utilisation du contenu et association desdites informations avec celles précédemment collectées afin d’évaluer, de comprendre et de rendre compte de la façon dont vous utilisez le service. Cela ne comprend pas la Personnalisation, la collecte d’informations relatives à votre utilisation de ce service afin de vous adresser ultérieurement du contenu et/ou des publicités personnalisés dans d’autres contextes, c’est-à-dire sur d’autres services, tels que des sites ou des applications.

Et pour­tant, avant même que je n’ac­cepte ou ne refuse, me voilà déjà pisté par Estat (Media­mé­trie), avec un iden­ti­fiant unique qui expire en 2020. J’ai aussi du Google Analy­tics et du Webo­rama.

Rien que ça.

Ces services ne se contentent pas de m’iden­ti­fier. Je n’ai pas encore pu accé­der au contenu de lesnu­me­riques que j’ai déjà des actions de collecte dans mon audit réseau. Si je visite d’autres sites plus tard, tout ça sera relié sur mon profil chez eux.

J’ai compté, ce fut long. Je suis pisté par au moins 44 services publi­ci­taires ou de profi­lage suite à mon accès initial à lesnu­me­riques. Je n’ai compté que ceux dont je suis certain qu’ils m’iden­ti­fient pour me pister.

À ce stade je n’ai pour­tant toujours consenti à rien, accédé à rien. Je suis encore sur la page qui me demande si j’ac­cepte avant d’al­ler plus loin.


Ça ne s’ar­rête pas là.

Non seule­ment tout ça va relier ma visite sur lesnu­me­riques avec celles que je fais ailleurs, mais dans ces pisteurs j’ai aussi des centres d’échanges.

Il en existe plusieurs mais je peux au moins parler de celui d’App­nexus. Sur lesnu­me­riques il me relie direc­te­ment aux iden­ti­fiants et méthodes de pistages d’au moins 28 services parmi les 44, sachant que eux-même se relient souvent aux autres ensuite. Il ne doit y en avoir qu’une poignée qui refusent d’échan­ger des infor­ma­tions.

Appnexus est présent sur un tiers des sites majeurs sur le web, sachant que même là où il n’est pas, il suffit qu’un seul pisteur parte­naire soit présent pour pouvoir ensuite tout relier. Il y avait une tren­taine de parte­naires directs rien que sur lesnu­me­riques.

À côté j’ai de toutes façons désor­mais un iden­ti­fiant Google Analy­tics. Ce dernier est partagé avec Google Syndi­ca­tion, Google Ad Services, Google Tag Services / Mana­ger, Double­click, Trade­lab et Everst­tech. Rien qu’a­vec ça ma visite sur lesnu­me­riques est relié à 80% des sites majeurs.

Comme ce n’est jamais assez, lors de ma visite sur lesnu­me­riques, mon iden­ti­fiant Appnexus a été partagé à Google Syndi­ca­tion et Everst­tech, eux-même liés à Google Analy­tics.

Tout ça alors que je n’ai toujours consenti à rien. Et me voilà irré­mé­dia­ble­ment relié à toutes mes visites ailleurs sur le web.


Lesnu­me­riques je t’en veux

Je t’en veux parce que tout ça tu le décides toi. Il y a pas mal de choses qui viennent des régies publi­ci­taires mais Appnexus et Google Analy­tics ont été char­gés direc­te­ment par tes pages, avant que j’aie consenti à quoi que ce soit.

Tu es respon­sable de tout ça. J’es­père juste me trom­per, avoir des expli­ca­tions, ou au moins voire des chan­ge­ments rapides.


Et après le refus ?

Après le refus c’est de toutes façons trop tard mais je suis allé jusqu’au bout des tests : J’ai refusé mon consen­te­ment, en bloc, sur toutes les options, avant de navi­guer plus loin.

Lors de mes premiers tests j’ai simple­ment cliqué sur « tout refu­ser ». L’en­semble des coches de la page sont passées au rouge, tout va bien.

Plus tard je suis revenu pour voir les parte­naires et j’en découvre un bon tiers au vert, auto­ri­sés !?!

Je refais le test avec un profil neuf et je suis capable de confir­mer : Quand je clique « tout refu­ser » le lien tout en bas qui mène vers la page des parte­naires me laisse encore actifs un bon tiers des parte­naires.

Là on n’est plus dans une mauvaise inter­face, on est carré­ment dans la trom­pe­rie !

Je décoche tout ça et je conti­nue. Les iden­ti­fiants posés sont restés. Aucune requête réseau n’a été envoyée aux diffé­rents services pour leur dire que je refu­sais le pistage.

Lors des inter­ac­tions suivantes les outils de mesure d’au­dience comme le profi­lage à visée publi­ci­taire ont conti­nué à envoyer des jour­naux de collecte, avec les mêmes iden­ti­fiants de pistage. La plupart en tout cas.


Quelque part c’est le moins grave mais l’ou­til qui permet de choi­sir si je consens envoie lui-même des jour­naux d’au­dit iden­ti­fiants à un tiers, avant et après mon choix, quel qu’il soit.

Ça montre juste à quel point tout ceci est une farce.


Peut-être qu’en interne j’ai eu de la publi­cité non-ciblée au lieu de la publi­cité ciblée. Peut-être que les trai­te­ments réali­sés par les divers services se permettent des choses diffé­rentes. Je n’en sais rien. Ça ne chan­ge­rait pas tous les problèmes déjà rele­vés.

Catégories
Vie privée

Et mes données person­nelles ?

Spotify accé­dant d’une part à tes données et d’autre part à la météo, il ajuste ses play­lists au temps qu’il fait. (Je vais vomir, je reviens.)

C’est la grande contra­dic­tion des données person­nelles.

Bien sûr que je veux que mes appli­ca­tions utilisent mes données person­nelles. Elles sont là pour auto­ma­ti­ser ou me simpli­fier la vie et tout ce que je fais avec est person­nel, donc touche par défi­ni­tion des données person­nelles.

Je choi­sis effec­ti­ve­ment mes listes de lecture en fonc­tion du temps qu’il fait, de l’heure de la jour­née, de si je suis au travail ou pas. Je peux limi­ter mon lecteur audio au contenu de mes diffé­rentes listes de lecture (c’est déjà sacré­ment person­nel) et inter­ve­nir à la main pour choi­sir la bonne liste en fonc­tion du temps mais pourquoi refu­se­rais-je une auto­ma­ti­sa­tion du mode par défaut ?

Au contraire, j’ai­me­rais même qu’il tente de regar­der quelles appli­ca­tions j’uti­lise et à quelle vitesse je frappe au clavier pour me lancer quelque chose de repo­sant (réflexion) ou de dyna­mi­sant (exécu­tion) suivant les cas. J’ai­me­rais qu’il détecte si je suis chez moi ou à l’ex­té­rieur, en dépla­ce­ment ponc­tuel ou en congés, etc.

Plus mes logi­ciels prennent en compte de données, plus ils pour­ront me propo­ser quelque chose d’éla­boré et m’épar­gner du boulot. Tant mieux.

J’ai l’im­pres­sion qu’en se battant contre ça on se trompe de combat.


L’enjeu pour moi n’est pas que mes logi­ciels ou des services en ligne utilisent mes données person­nelles, c’est de comprendre ce qu’ils font pour éviter d’être assujetti à un algo­rithme.

Oui je mets une musique diffé­rente en plein soleil et par jour de pluie, mais je ne veux pas non plus que le logi­ciel finisse par me faire dépri­mer chaque fois qu’il pleut. Oui j’ai­me­rais bien que mon lecteur d’ac­tua­lité me montre le plus impor­tant en premier mais ce qu’il va choi­sir ou non va forcé­ment impac­ter mon atten­tion et ma compré­hen­sion du monde.

Les auto­ma­ti­sa­tions ont une influence énorme. J’ai besoin que les auto­ma­ti­sa­tions faites soient expli­ci­tées et expliquées, idéa­le­ment désac­ti­vable. C’est vrai de façon géné­rale mais encore plus si ça met en jeu mes données person­nelles.


La vraie diffi­culté elle est surtout au niveau de la confiance. Si j’au­to­rise Spotify à utili­ser ma géolo­ca­li­sa­tion ils risquent aussi de stocker un histo­rique chez eux. Là c’est poten­tiel­le­ment une donnée plus sensible, surtout si elle fuite. Ils risquent d’uti­li­ser tout ça pour de la publi­cité, pour complé­ter mon profil auprès de tiers, ou pour je ne sais quoi d’autre.

Résul­tat : Je ne partage pas. Ni ma géolo­ca­li­sa­tion, ni (surtout pas) mes contacts. Je refuse quasi­ment tout ce que je peux sur les auto­ri­sa­tions de mon Android. Manque de confiance.

Mon problème n’est pas dans l’uti­li­sa­tion des données person­nelle, il est dans leur contrôle. Si j’avais un moyen d’avoir un enga­ge­ment raison­nable du type « j’uti­lise tes données person­nelles mais elles sont stockées en local chez toi, je ne les exporte jamais à des tiers et je ne les croise jamais avec celles de tiers » je signe­rais la plupart du temps.

Bref, une ques­tion de confiance. Ma confiance en Spotify est limi­tée — comment en n’im­porte quelle société basée au moins partiel­le­ment sur l’af­fi­chage de publi­cité ciblée et donc sur le profi­lage des utili­sa­teurs — mais je peux diffi­ci­le­ment repro­cher à Spotify le manque de confiance que moi-même je lui porte.

Catégories
Geek Humeur Hygiène numérique Inclassable Marketing Vie personnelle Vie privée

Luttons contre les moulins

J’aime bien les combats impos­sibles.

Alors en ce moment je prends choi­sis chaque jour un SPAM reçu, si possible un d’une société connue et sérieuse, et je demande accès aux infor­ma­tions qu’ils ont sur moi, à l’ori­gine de ces infor­ma­tions, et la preuve du consen­te­ment pour m’en­voyer leur cour­rier.

Je prends donc l’email de SPAM et je réponds dessus. Ça me donne l’adresse de retour mais en géné­ral elle ne mène à rien ou ne sera pas lue. J’ajoute l’adresse de contact sur je trouve sur le site web, et s’il y en a une l’adresse de contact pour les demandes sur les données person­nelles. S’il m’en manque une, j’ajoute aussi contact@ qui existe très souvent

En géné­ral ça passe par des pres­ta­taires. Dans le meilleur des cas le fichier est le leur et c’est un tiers qui fait l’en­voi et le routage, et qui a donc accès aux données. Si c’est du SPAM c’est que juste­ment je n’ai jamais donné mon accord, et souvent ils utilisent un fichier d’un tiers. Parfois c’est même un tiers qui fait la pros­pec­tion à leur place et est réméré à l’ap­port de clien­tèle donc ils ne savent même pas ce que ça se passe ainsi.

Si j’ar­rive à voir mention du pres­ta­taire ou de loueur de fichier, je fais les mêmes opéra­tions : L’adresse de contact ou service client, celle du RGPD s’il y en a une, et contact@. On y fait parfois mention en bas de l’email, ou on en voit les domaine dans les URLs des liens avant redi­rec­tion. Parfois il faut cher­cher un peu, d’au­tant que souvent les domaines direc­te­ment visibles ne sont que des façades vides et il faut trou­ver la vraie société derrière le nom commer­cial.

Enfin, quand j’ai ces diffé­rentes adresses, en géné­ral cinq ou six, je change le sujet. Si je garde le sujet de la news­let­ter, j’ai toutes les chances que le mail ne soit pas lu ou pas pris avec sérieux. J’ai choisi « Infor­ma­tions RGPD » pour allu­mer quelques lumières chez les gens, mais ça pour­rait être autre chose.

Enfin l’email :

Bonjour,

En appli­ca­tion de l’ar­ticle 15 du Règle­ment géné­ral sur la protec­tion des données (RGPD) je souhai­te­rai avoir copie de l’en­semble des données (*) me concer­nant dans vos fichiers, les fichiers de vos pres­ta­taires.

Pour cela vous pouvez opérer une recherche à partir de l’adresse email que vous avez utilisé: [email xxxxxx@xxxxx]

Si vous ne déte­nez pas direc­te­ment ces données mais êtes passés par un pres­ta­taire qui opère un fichier en propre, merci de lui trans­mettre cette requête au titre du RGPD.

Par la même occa­sion, je vous demande d’y joindre l’ori­gine de la collecte de ces infor­ma­tions ainsi que la source de mon consen­te­ment pour la récep­tion de ces cour­riers publi­ci­taires par email. En cas de diffi­cul­tés, je vous deman­de­rai de me mettre en contact avec votre délé­gué à la protec­tion des données (DPO).

Enfin, je vous deman­de­rai de faire suivre cette demande d’in­for­ma­tion à tout pres­ta­taire, parte­naire ou client avec lesquels vous auriez pu parta­ger les données mention­nées au premier para­graphe.

Je vous remer­cie de me faire parve­nir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à comp­ter de la récep­tion de ma demande (article 12.3 du RGPD).


Cordia­le­ment,
— 
[Prénom Nom]

Je laisse le SPAM initial en cita­tion en dessous histoire d’avoir une réfé­rence et qu’on ne puisse pas me dire « ce n’est pas nous » ou « on n’a rien ».

Autre astuce : Ne *pas* deman­der la suppres­sion des données. Pas à cette étape, sinon les petits malins ou ceux qui liront trop vite suppri­me­ront les données ou l’abon­ne­ment à la liste de diffu­sion et pour­ront ensuite dire « ah ben on ne peut pas vous donner plus d’in­for­ma­tions, c’est supprimé désor­mais ».

Note : On me signale aussi la version d’Ae­ris, plus formelle.

Catégories
Geek navigateurs et API Vie privée

Fire­fox, « anonyme par défaut »

J’ai­me­rais avoir un Fire­fox confi­guré en « anonyme par défaut ». Ça veut dire deux choses :

  1. Un site ne doit pas pouvoir parta­ger ou croi­ser les données avec un autre ;
  2. Un site ne doit pas pouvoir faire persis­ter des données plus long­temps que la session en cours.

Si je veux garder une authen­ti­fi­ca­tion perma­nente ou auto­ri­ser des croi­se­ments (par exemple pour des SSO), c’est à moi de le deman­der expli­ci­te­ment.

Ça pour­rait être fait par une double préfé­rence liée à chaque domaine, quelque chose du type « auto­ri­ser le domaine X à stocker des données persis­tantes dans ce contexte » et « ne pas isoler le domaine X en fonc­tion de l’ori­gine de la page prin­ci­pale ».


Un site ne doit pas pouvoir parta­ger ou croi­ser les données avec un autre

Ce premier point est rela­ti­ve­ment bien couvert. L’ex­ten­sion first party isola­tion fait exac­te­ment ça. En gros tout le stockage (cookies, local­sto­rage, indexeddb) est segmenté par l’ori­gine de la page prin­ci­pale dans l’on­glet.

Le compo­sant Face­book inclut dans les pages de LeMonde ne parta­gera aucune données avec celui inclut dans les pages du Figaro. Il restera l’adresse IP et diverses tech­niques de finger­prin­ting, mais ça va un peu limi­ter.

Je navigue avec depuis des mois, plutôt avec succès. Il y a encore du boulot. Il faut le désac­ti­ver tempo­rai­re­ment pour faire la confi­gu­ra­tion initiale de Pocket dans Fire­fox, ou pour le SSO « se connec­ter avec google » de quelques sites (pas tous, d’autres fontionnent bien) mais globa­le­ment ça passe très bien.

Une fois corri­gées les anoma­lies et ajou­tée une façon de désac­ti­ver l’iso­la­tion site par site, ça sera parfait.


Un site ne doit pas pouvoir faire persis­ter des données plus long­temps que la session en cours

Ce second point est plus compliqué.

J’ai tenté initia­le­ment d’uti­li­ser les conte­neurs de Fire­fox pour ça mais tout ce que je peux faire c’est isoler des sites les uns des autres. Au final je me retrouve avec un conte­neur par défaut qui contient la majo­rité du trafic et qui conti­nue à garder mes traces de session en session.

Il y a peu j’ai trouvé l’ex­ten­sion tempo­rary contai­ners. L’idée c’est que, par défaut, le navi­ga­teur charge un nouveau conte­neur tempo­raire dédié à chaque fois qu’on navigue vers un nouveau domaine. Ce conte­neur et ses données sont détruits dès qu’on ferme l’on­glet.

Globa­le­ment ça fonc­tionne mais il y a quelques soucis de perfor­mance ressen­tie (au moins des ferme­ture/réou­ver­ture visibles d’on­glet lors des navi­ga­tions) et si on affecte un site à un conte­neur fixe pour éviter de se retrou­ver à chaque fois sur une page non authen­ti­fiée, on perd la capa­cité de l’uti­li­ser en paral­lèle dans plusieurs conte­neurs diffé­rents.

J’ai globa­le­ment l’im­pres­sion d’abu­ser des conte­neurs pour quelque chose qui n’est pas fait pour.

L’ex­ten­sion cookie auto­de­lete a une autre approche. On garde le fonc­tion­ne­ment normal des conte­neurs mais, par défaut, l’ex­ten­sion supprime les cookies d’un site dès qu’on ferme tous les onglets qui y mènent. Charge à l’uti­li­sa­teur de faire des excep­tions expli­cites site par site. Globa­le­ment ça fait le job mais ça n’ef­face ni le local­sto­rage ni l’in­dexeddb, ne parlons même pas du tracking par cache HTTP.

Je trouve ça dommage. Intui­ti­ve­ment j’au­rais pensé que suppri­mer des données était plus facile à faire pour le navi­ga­teur que créer une isola­tion supplé­men­taire entre les sites.

Suis-je le seul à cher­cher un tel niveau d’iso­la­tion ?

Catégories
Hygiène numérique Sécurité informatique Vie privée

Un serveur email chif­fré

J’amorce mon départ de Gmail, dans la lignée de la reprise de contrôle sur mes données. Le problème avec les emails c’est qu’on est dans un écosys­tème où tout est échangé en clair.

J’ai aban­donné l’idée de conver­tir tout le monde à GPG. En fait j’ai même aban­donné l’idée de m’y conver­tir moi-même. J’ai long­temps eu des clefs expo­sées sur mes profils en ligne et malgré un réseau très geek sensible à ces ques­tions, je crois que je n’ai jamais reçu un seul email chif­fré.

Bref, vous échan­gez les emails en clair avec l’ex­té­rieur et vous ne pour­rez rien faire contre ça. Vous pouvez cepen­dant chif­frer vos archives et tout email dès sa récep­tion. C’est ce que font Proton­mail, Tuta­nota et Mail­den.

Mail­den ce sont des versions modi­fiés de Post­fix et Dove­cot qui chiffrent et déchiffrent les emails à la volée pour vous. Le serveur a donc accès à vos clefs quand vous vous y connec­tez mais promet de les oublier dès que la connexion prend fin. L’avan­tage c’est que de votre point de vue vous avez un serveur email tout ce qu’il y a de plus clas­sique.

Proton­mail et Tuta­nota gèrent eux un vrai chif­fre­ment de bout en bout. Le serveur ne voit jamais passer votre clef de déchif­fre­ment. Seul vous pour­rez lire vos email une fois qu’ils ont été chif­frés. En échange il vous faudra des appli­ca­tions email spéci­fiques ou un proxy de déchif­fre­ment inter­mé­diaire.

Aucun des deux modèles n’est parfait. Tuta­nota me tente mais ça reste assez spar­tiate et j’ai peur que leur approche de la recherche m’em­pêche d’y indexer toutes mes archives. Disons que ça sera à tester avant de s’en­ga­ger.

Mail­den pour­rait être une option mais si c’est pour faire confiance au serveur lors de la récep­tion des emails, lors de l’en­voi des email, lors de chaque accès, et que contacts comme calen­driers devront être gérés tota­le­ment en clair chez un autre héber­geur…

… Je commence à me deman­der si tout ça vaut le coup et si je ne devrais pas juste sous­crire à la gamme complète chez Fast­mail. Ce ne sera pas chif­fré mais c’est un bon choix et je leur fais confiance pour ne pas exploi­ter mes données privées. Ce pour­rait être un compro­mis perti­nent le temps que Tuta­nota et les offres simi­laires soient un peu plus abou­ties.


Pourquoi pas Proton­mail plutôt que Tuta­nota ?

Sécu­rité : Tuta­nota chiffre les contacts et le sujet des emails, pas Proton­mail. Tuta­nota propose aussi ses appli­ca­tions clientes en open source, ce qui apporte un peu plus de garan­tie ou permet d’hé­ber­ger soi-même le webmail.

Utili­sa­tion : Proton­mail a la bonne idée d’of­frir un proxy pour utili­ser un vrai client email sur le poste fixe mais en échange l’app mobile ne saura pas faire de recherche dans le contenu des emails, ce qui me parait un défaut très sérieux.

Prix : Au delà de 5 Go, Proton­mail est prohi­bi­tif. On parle de 1€ le Go par mois.

Pour mon usage, avec un gros quota et un usage mobile complet, le choix est vite fait.