Carnet de notes

Catégorie : Vie privée

  • Société Géné­rale et données person­nelles

    Ma banque m’a forcé la commu­ni­ca­tion de certaines infor­ma­tions person­nelles que j’ai trouvé forte­ment intru­sives et à priori inutiles à l’exé­cu­tion du contrat ou des méca­nismes anti-blan­chi­ment (entre autres détail de mes employeurs et de mes rému­né­ra­tions, alors que mes salaires et comptes actifs sont gérés par une autre banque). Cette demande était accom­pa­gnée par une réfé­rence à des articles de loi qui n’im­po­saient nulle­ment cette commu­ni­ca­tion.

    8 novembre 2019 : J’ai me suis donc fendu d’une demande d’in­for­ma­tion formelle au titre du RGPD (oui, je suis ainsi).

    Je l’ai fait de bonne foi, pour avoir l’in­for­ma­tion, la fouiller et la comprendre. Je pensais les banques carrées sur la gestion des données person­nelles et ne doutais pas qu’ils aient un fonde­ment à toute demande et tout stockage. Je cher­chais lequel. J’en ai été pour mes frais.

    J’ai un accusé de récep­tion de ma demande le 12 novembre. Ils me font suivre un extrait des condi­tions géné­rales qui parle des données person­nelles, me signalent la possi­bi­lité d’ac­cé­der à certaines données depuis l’es­pace person­nel en ligne, et me confirment qu’ils me répon­dront sous un mois (le délai légal) à ma demande expli­cite.

    En atten­dant cette réponse promise, je véri­fie les deux éléments reçus :

    L’ex­trait des condi­tions géné­rales semble volon­tai­re­ment noyer le pois­son. Un premier article liste toute une série de données person­nelles, de l’iden­tité civile jusqu’à l’en­re­gis­tre­ment des appels et mes habi­tudes de vie (!!). Un second article liste toutes les fina­li­tés possibles et leur durée de vie maxi­mum. Aucun moyen de savoir quelle fina­lité est asso­ciée à quelle donnée, ce qu’ils stockent vrai­ment combien de temps et pourquoi.

    L’ex­trait est tout de même éclai­rant puisque les données person­nelles auxquelles je fais réfé­rence n’y sont pas listées, ou alors sous un des multiples « etc. » très vagues. Gênant.

    Je vais aussi véri­fier la rubrique adéquate de l’es­pace person­nel en ligne. Ce qu’on m’y présente est incom­plet et ne répond pas à ma demande. On ne m’y liste par exemple pas les infor­ma­tions person­nelle qu’on m’a forcé de remplir début novembre et sur lesquels portent expli­ci­te­ment ma demande. Je vois au moins deux autres manques flagrants dans les données (maigres) auxquelles on me donne accès. Malai­sant.

    La réponse semble avoir été rédi­gée par un humain et non par un robot, ils me confirment que j’au­rai une réponse plus tard. J’at­tends donc avec confiance.

    Et… rien.

    Un mois après, aucune réponse malgré leur accusé de récep­tion.

    • Données incom­plètes dans leurs méca­nismes d’ac­cès ;
    • Mentions légales d’in­for­ma­tion incom­plètes et inutiles en ce qu’elles ne permettent pas d’at­ta­cher une fina­lité et une durée de conser­va­tion à une donnée, ni de connaitre exac­te­ment l’ex­haus­ti­vité des données récol­tées ;
    • Refus impli­cite de commu­ni­ca­tion à ma requête.

    Moi qui pensais les banques carrées…

    Je relance donc le 9 novembre 2019 expli­ci­tant leur refus de réponse et deman­dant à être contacté dans les quelques jours pour régler la situa­tion. Je n’au­rai aucune réponse, ni par télé­phone ni par email.

    Après le presque double­ment du délai légal, le 6 janvier 2020, je tente un autre canal de commu­ni­ca­tion et j’in­ter­pelle la société sur Twit­ter

    Bon @Socie­teGe­ne­rale @SG_etvous après deux mois j’ai attendu assez long­temps. Comment se fait-ce que vous refu­siez de répondre aux requêtes RGPD dont vous accu­sez pour­tant récep­tion ?

    https://twit­ter.com/edasfr/status/1213427075769655297

    J’ob­tiens là un humain en quelques heures. Ne pas respec­ter la loi est une chose, lais­ser un message public sans réponse en est une autre.

    Après confir­ma­tion de mon iden­tité et rappel des échanges : « Nous rappro­chons de nos inter­lo­cu­teurs en interne afin qu’un point soit fait au plus vite à ce sujet ».

    J’at­tends donc de nouveau

    Une semaine après, le 13 janvier 2020, rien de neuf. Ni par télé­phone, ni par email, ni par twit­ter. Je relance donc le compte Twit­ter vu que c’est le seul canal sur lequel j’ai des réponses.

    Bonjour Eric, nous sommes navrés de cette situa­tion et des complexi­tés tech­niques rencon­trées pour appor­ter une réponse à vos demandes. Les équipes en charge nous ont bien confirmé les avoir prises en charge. Nous faisons le point avec elles et vous tenons informé.

    Message privé twit­ter par @SG_etvous

    S’il y a une complexité tech­nique telle qu’il faille plus de deux mois pour répondre à une simple demande d’in­for­ma­tion pour laquelle ils ont léga­le­ment un mois pour répon­dre… C’est inquié­tant.

    Échaudé par les absences de réponse répé­tées, j’in­siste pour avoir un délai. Je l’ob­tiens le lende­main, mardi 14 janvier 2020 :

    Bonjour Eric, les équipes en charge nous ont assuré vous appor­ter une réponse d’ici la fin de cette semaine au plus tard.

    J’at­tends donc (de nouveau)

    Nous sommes désor­mais le jeudi 23 janvier (je mets à jour le billet ce jour), presque 10 jours plus tard, et je n’ai rien de neuf.

    Au moins je sais que ma demande a été reçue et prise en trai­te­ment, plusieurs fois. Je ne peux pas consi­dé­rer autre chose qu’un refus de réponse volon­taire, illé­gal. Pire, j’ai l’im­pres­sion qu’on me prend pour un imbé­cile.

    Je ne sais pas pourquoi j’ai temps attendu avant de rédi­ger une plainte offi­cielle pour non respect de mes droits. Je vais corri­ger ça cette semaine et cette fois ci je ne remet­trai pas la chose à plus tard sur la base d’un énième « on vous répon­dra plus tard ». Soit j’ai une réponse adéquate et écrite à ma requête initiale, soit je ne l’ai pas. Le reste ne m’in­té­resse plus.

    Tout ça n’a pas l’air clair et très propre du côté de la Société Géné­rale. Je vous incite donc à faire la même procé­dure auprès de votre banque.

  • Du contrôle perma­nent

    Nous refu­se­rions certai­ne­ment une loi qui oblige notre boulan­ger à nous deman­der notre carte d’iden­tité et à noter qui achète quoi sur un carnet à desti­na­tion des auto­ri­tés.

    Et pour­tant aujourd’­hui nous payons tout par carte bancaire. L’État dimi­nue peu à peu les plafonds qui nous auto­risent à payer en monnaie et supprime en même temps tous les moyens de paie­ment un mini­mum anonymes. Les paie­ments en ligne sont eux tous expli­ci­te­ment nomi­na­tif sous prétexte d’éta­blir des factures systé­ma­tiques.

    Nous refu­se­rions un fonc­tion­naire qui nous connait dans notre rue, qui note systé­ma­tique­ment qui entre ou sort de chez nous et à quelle heure, au cas où un jour il y a un vol ou une agres­sion.

    Et pour­tant nous accep­tons les camé­ras de surveillance et la majo­rité voit d’un bon œil l’ar­ri­vée de la recon­nais­sance faciale sur ces camé­ras.

    Il y a encore quelques années nous aurions été horri­fiés de devoir donner notre iden­tité pour voya­ger autre­ment qu’à pieds.

    Et pour­tant aujourd’­hui nous avons un contrôle d’iden­tité fort pour prendre l’avion. Il est prévu que les billets de TGV ne soient plus anonymes. Même l’au­tos­top est devenu nomi­na­tif via son rempla­ce­ment par le covoi­tu­rage sur des plate­formes en ligne.

    Désor­mais l’es­pace public est devenu une terre de surveillance. La vie privée se réduit au domi­cile, et à condi­tion de ne pas inter­agir par télé­phone ou par inter­net.

    On en est au point où nos élus trouvent dange­reux qu’on puisse commu­niquer entre nous de façon sécu­ri­sée sans qu’ils ne puissent inter­cep­ter nos messages en clair.

    On en est au point où on nous a fait acter que montrer son visage dans l’es­pace public était une mesure de vivre ensemble et pas de surveillance.

    Tout ce que nous lisons, tous les gens que nous rencon­trons, tout ce que nous ache­tons ou échan­geons, toutes les conver­sa­tions que nous avons en dehors de chez nous, tous les trajets que nous faisons, … tout ça est enre­gis­tré, nomi­na­ti­ve­ment, et peut être acces­sible à un État.

    De l’autre côté du globe, on voit des piles de vête­ments à diffé­rents endroits de la ville et des photos de mani­fes­ta­tions bardées de lasers verts comme un spec­tacle de disco­thèque. Les lasers mettent en défaite la recon­nais­sance faciale. Les piles de vête­ments permettent de se chan­ger pour mettre en défaite le suivi et l’iden­ti­fi­ca­tion par vidéo­sur­veillance après les mani­fes­ta­tions.

    De quoi donner à réflé­chir.

    Alors quand je vois San Fran­cisco — ville proba­ble­ment la plus à la pointe et compo­sée des gens les plus au fait de ces tech­no­lo­gies — s’in­ter­dire d’uti­li­ser la recon­nais­sance faciale, ça fait peut-être sourire certains mais pour moi ça veut encore dire quelque chose.

    Il serait peut-être temps de se rappe­ler pourquoi donner trop de pouvoir à l’État est dange­reux, pourquoi c’est au citoyen de contrô­ler son État et pas l’op­posé, pourquoi la vie privée et le secret des corres­pon­dances sont essen­tiels à la vie démo­cra­tique.

  • SPAM from Loca­lize.co and GDPR discus­sion

    (french below)I recei­ved an email from Loca­lize.co a few days ago. I am used to SPAM but this times small lines did catch my atten­tion:

    Follo­wing the GDPR, you are hereby infor­med that your perso­nal data was found on your Linke­din profile (full name and job title) and your email address was gues­sed based on your compa­ny’s email struc­ture which was publi­cly avai­lable. Your perso­nal data was manually proces­sed in our CRM for direct marke­ting purpose. Accor­ding to the GDPR, you have the right to lodge a complaint to a super­vi­sory autho­rity, howe­ver, direct marke­ting purpose may be regar­ded as a legi­ti­mate inter­est which doesn’t require the consent of the data subject. Your perso­nal data is stored in our CRM and will not be proces­sed for any other purpose than direct marke­ting. […]

    Loca­lize.co is scrap­ping Linke­din to collect perso­nal data without autho­ri­za­tion. They do store this data on a long term basis on their own systems, still without any consent. Then they do use this data for unso­li­ci­ted marke­ting (ie SPAM), with a message asser­ting they are in agree­ment with the law.

    That’s not my inter­pre­ta­tion, that is their own words.

    I did request more details, here the response I had:

    […]

    In regards to the GDPR, if you look at Article 14 you can see that you can actually contact data subject without their consent on the base of a legi­ti­mate inter­est. Reci­tal #47 of the GDPR indi­cates that direct marke­ting may be regar­ded as a legi­ti­mate inter­est.

    Our legi­ti­mate inter­est was based on the fact that your company looks simi­lar to our other custo­mers since you have seve­ral languages avai­lable on your app and, the users of our tool often work in the tech­no­logy depart­ment hence we though our services could be rele­vant to you and your company. Once again, if this is not the case and my email did bother you, I since­rely apolo­gize.

    As you can see in the disclai­mer that I inclu­ded in my initial and previous emails, we follow and respect all the points from the article 14.

    As per your request, I’m sending a copy of all the data we have at the end of the email that our inter­nal team has collec­ted from Linke­din and your email was gues­sed based on [your company] email struc­ture. We did not buy data from any third-party tools

    […]

    What is worst than a spam­mer which collect and process unlaw­fully my data, is a spam­mer that tells me he’s legally entit­led to do it.

    J’ai reçu un email de Loca­lize.co il y a quelques jours. Je suis habi­tué aux SPAM mais les petites lignes ont retenu mon atten­tion :

    Suivant le RGPD, nous vous infor­mons que vos données person­nelles ont été trouées sur votre profil Linke­din (nom complet et fonc­tion) et que votre adresse email a été devi­née à partir du format de votre société qui est acces­sible publique­ment. Vos données person­nelles ont été entrées manuel­le­ment dans notre logi­ciel de rela­tion client à des fins de marke­ting. Selon le RGPD, vous avez le droit de porter plainte auprès de l’au­to­rité de super­vi­sion, toute­fois, la pros­pec­tion commer­ciale directe peut être vue comme un inté­rêt légi­time qui ne requiert par le consen­te­ment de la personne objet des données. Vos données person­nelles sont stockées dans notre logi­ciel de rela­tion client et ne seront pas utili­sées à une autre fin que la pros­pec­tion commer­ciale directe. […]

    (traduit par mes soins)

    Loca­lize.co extrait des données person­nelles de Linke­din sans auto­ri­sa­tion. Ils stockent ces données dura­ble­ment dans leur logi­ciel de rela­tion client, toujours sans consen­te­ment. Ensuite ils utilisent ces données pour de la pros­pec­tion commer­ciale non solli­ci­tée (c’est à dire du SPAM).

    Ce n’est pas mon inter­pré­ta­tion, ce sont leurs propres mots.

    J’ai demandé plus de détails, voici la réponse obte­nue :

    […]
    Selon le RGPD, vous pouvez voir à l’article 14 qu’il est possible de contac­ter la personnes objet des données sans son consen­te­ment, sur la base d’un inté­rêt légi­time. Le Reci­tal #47 du RGPD indique que la pros­pec­tion commer­ciale directe peut être vue comme un inté­rêt légi­time.

    Notre inté­rêt légi­time est basé sur le fait que votre entre­prise ressemble à nos clients étant donné que vous avez plusieurs langues acces­sibles dans vos appli­ca­tions, et que les utili­sa­teurs de notre outil travaillent souvent dans les dépar­te­ments tech­niques, d’où le fait que nous pensions que nos services pour­raient être perti­nents pour vous et votre entre­prise. Encore une fois, si ce n’est pas le cas et que mon email vous a dérangé, je vous présente mes excuses sincères.

    Comme vous pouvez le voir dans le commu­niqué que j’ai inclu dans le message initial, nous suivant et respec­tons tous les points de l’ar­ticle 14.

    Suivant votre demande, je vous envoie à la fin de de cet email une copie de toutes les données que nous avons et que notre équipe interne a collecté depuis Linke­din, votre email a été deviné sur la base de la struc­ture des emails de [votre société]. Nous n’avons acheté aucune donnée depuis des outils tiers.

    S’il y a une chose pire qu’un spam­mer, c’est un spam­mer qui me dit être léga­le­ment en droit de le faire.

  • Respect de la vie privée chez lesnu­me­riques

    Dites lesnu­me­riques, quand je viens chez vous j’ai le droit à un superbe cadre pour deman­der mon consen­te­ment à plusieurs usages de mes données person­nelles.

    Nos parte­naires et nous-mêmes utili­sons diffé­rentes tech­no­lo­gies, telles que les cookies, pour person­na­li­ser les conte­nus et les publi­ci­tés, propo­ser des fonc­tion­na­li­tés sur les réseaux sociaux et analy­ser le trafic. Merci de cliquer sur le bouton ci-dessous pour donner votre accord. Vous pouvez chan­ger d’avis et modi­fier vos choix à tout moment.

    https://www.lesnu­me­riques.com

    Ça pour­rait donner confiance dans votre respect de la loi mais…

    J’ai soulevé le capot

    Accès au site La conservation d’informations ou l’accès à des informations déjà conservées sur votre appareil, par exemple des identifiants publicitaires, des identifiants de l’appareil, des cookies et des technologies similaires.

    Pour­tant avant même que je consente, me voilà avec pile 139 cookies tous neufs (j’ai compté). La plupart contiennent des iden­ti­fiants uniques de pistage publi­ci­taires ou de mesure d’au­dience. Hallu­ci­nant !

    Je ne compte pas là ceux qui exploitent des « tech­no­lo­gies simi­laires ». Certains ont utilisé le localS­to­rage du navi­ga­teur. Je serais étonné qu’au­cun ne m’iden­ti­fie via mon adresse IP, l’ex­ploi­ta­tion du cache du navi­ga­teur ou d’autres arti­fices. Pas vu pas pris, conten­tons-nous du certain.

    Si je n’étais pas poli je dirais que vous vous foutez de ma gueule. D’au­tant qu’au­cun de ces iden­ti­fiants n’est supprimé si je refuse mon consen­te­ment par la suite. Une fois placés, ils seront utili­sés pour recou­per avec mes visites sur d’autres sites.

    Mesure d'audience La collecte d’informations relatives à votre utilisation du contenu et association desdites informations avec celles précédemment collectées afin d’évaluer, de comprendre et de rendre compte de la façon dont vous utilisez le service. Cela ne comprend pas la Personnalisation, la collecte d’informations relatives à votre utilisation de ce service afin de vous adresser ultérieurement du contenu et/ou des publicités personnalisés dans d’autres contextes, c’est-à-dire sur d’autres services, tels que des sites ou des applications.

    Et pour­tant, avant même que je n’ac­cepte ou ne refuse, me voilà déjà pisté par Estat (Media­mé­trie), avec un iden­ti­fiant unique qui expire en 2020. J’ai aussi du Google Analy­tics et du Webo­rama.

    Rien que ça.

    Ces services ne se contentent pas de m’iden­ti­fier. Je n’ai pas encore pu accé­der au contenu de lesnu­me­riques que j’ai déjà des actions de collecte dans mon audit réseau. Si je visite d’autres sites plus tard, tout ça sera relié sur mon profil chez eux.

    J’ai compté, ce fut long. Je suis pisté par au moins 44 services publi­ci­taires ou de profi­lage suite à mon accès initial à lesnu­me­riques. Je n’ai compté que ceux dont je suis certain qu’ils m’iden­ti­fient pour me pister.

    À ce stade je n’ai pour­tant toujours consenti à rien, accédé à rien. Je suis encore sur la page qui me demande si j’ac­cepte avant d’al­ler plus loin.

    Ça ne s’ar­rête pas là.

    Non seule­ment tout ça va relier ma visite sur lesnu­me­riques avec celles que je fais ailleurs, mais dans ces pisteurs j’ai aussi des centres d’échanges.

    Il en existe plusieurs mais je peux au moins parler de celui d’App­nexus. Sur lesnu­me­riques il me relie direc­te­ment aux iden­ti­fiants et méthodes de pistages d’au moins 28 services parmi les 44, sachant que eux-même se relient souvent aux autres ensuite. Il ne doit y en avoir qu’une poignée qui refusent d’échan­ger des infor­ma­tions.

    Appnexus est présent sur un tiers des sites majeurs sur le web, sachant que même là où il n’est pas, il suffit qu’un seul pisteur parte­naire soit présent pour pouvoir ensuite tout relier. Il y avait une tren­taine de parte­naires directs rien que sur lesnu­me­riques.

    À côté j’ai de toutes façons désor­mais un iden­ti­fiant Google Analy­tics. Ce dernier est partagé avec Google Syndi­ca­tion, Google Ad Services, Google Tag Services / Mana­ger, Double­click, Trade­lab et Everst­tech. Rien qu’a­vec ça ma visite sur lesnu­me­riques est relié à 80% des sites majeurs.

    Comme ce n’est jamais assez, lors de ma visite sur lesnu­me­riques, mon iden­ti­fiant Appnexus a été partagé à Google Syndi­ca­tion et Everst­tech, eux-même liés à Google Analy­tics.

    Tout ça alors que je n’ai toujours consenti à rien. Et me voilà irré­mé­dia­ble­ment relié à toutes mes visites ailleurs sur le web.

    Lesnu­me­riques je t’en veux

    Je t’en veux parce que tout ça tu le décides toi. Il y a pas mal de choses qui viennent des régies publi­ci­taires mais Appnexus et Google Analy­tics ont été char­gés direc­te­ment par tes pages, avant que j’aie consenti à quoi que ce soit.

    Tu es respon­sable de tout ça. J’es­père juste me trom­per, avoir des expli­ca­tions, ou au moins voire des chan­ge­ments rapides.

    Et après le refus ?

    Après le refus c’est de toutes façons trop tard mais je suis allé jusqu’au bout des tests : J’ai refusé mon consen­te­ment, en bloc, sur toutes les options, avant de navi­guer plus loin.

    Lors de mes premiers tests j’ai simple­ment cliqué sur « tout refu­ser ». L’en­semble des coches de la page sont passées au rouge, tout va bien.

    Plus tard je suis revenu pour voir les parte­naires et j’en découvre un bon tiers au vert, auto­ri­sés !?!

    Je refais le test avec un profil neuf et je suis capable de confir­mer : Quand je clique « tout refu­ser » le lien tout en bas qui mène vers la page des parte­naires me laisse encore actifs un bon tiers des parte­naires.

    Là on n’est plus dans une mauvaise inter­face, on est carré­ment dans la trom­pe­rie !

    Je décoche tout ça et je conti­nue. Les iden­ti­fiants posés sont restés. Aucune requête réseau n’a été envoyée aux diffé­rents services pour leur dire que je refu­sais le pistage.

    Lors des inter­ac­tions suivantes les outils de mesure d’au­dience comme le profi­lage à visée publi­ci­taire ont conti­nué à envoyer des jour­naux de collecte, avec les mêmes iden­ti­fiants de pistage. La plupart en tout cas.

    Quelque part c’est le moins grave mais l’ou­til qui permet de choi­sir si je consens envoie lui-même des jour­naux d’au­dit iden­ti­fiants à un tiers, avant et après mon choix, quel qu’il soit.

    Ça montre juste à quel point tout ceci est une farce.

    Peut-être qu’en interne j’ai eu de la publi­cité non-ciblée au lieu de la publi­cité ciblée. Peut-être que les trai­te­ments réali­sés par les divers services se permettent des choses diffé­rentes. Je n’en sais rien. Ça ne chan­ge­rait pas tous les problèmes déjà rele­vés.

  • Et mes données person­nelles ?

    Spotify accé­dant d’une part à tes données et d’autre part à la météo, il ajuste ses play­lists au temps qu’il fait. (Je vais vomir, je reviens.)

    C’est la grande contra­dic­tion des données person­nelles.

    Bien sûr que je veux que mes appli­ca­tions utilisent mes données person­nelles. Elles sont là pour auto­ma­ti­ser ou me simpli­fier la vie et tout ce que je fais avec est person­nel, donc touche par défi­ni­tion des données person­nelles.

    Je choi­sis effec­ti­ve­ment mes listes de lecture en fonc­tion du temps qu’il fait, de l’heure de la jour­née, de si je suis au travail ou pas. Je peux limi­ter mon lecteur audio au contenu de mes diffé­rentes listes de lecture (c’est déjà sacré­ment person­nel) et inter­ve­nir à la main pour choi­sir la bonne liste en fonc­tion du temps mais pourquoi refu­se­rais-je une auto­ma­ti­sa­tion du mode par défaut ?

    Au contraire, j’ai­me­rais même qu’il tente de regar­der quelles appli­ca­tions j’uti­lise et à quelle vitesse je frappe au clavier pour me lancer quelque chose de repo­sant (réflexion) ou de dyna­mi­sant (exécu­tion) suivant les cas. J’ai­me­rais qu’il détecte si je suis chez moi ou à l’ex­té­rieur, en dépla­ce­ment ponc­tuel ou en congés, etc.

    Plus mes logi­ciels prennent en compte de données, plus ils pour­ront me propo­ser quelque chose d’éla­boré et m’épar­gner du boulot. Tant mieux.

    J’ai l’im­pres­sion qu’en se battant contre ça on se trompe de combat.

    L’enjeu pour moi n’est pas que mes logi­ciels ou des services en ligne utilisent mes données person­nelles, c’est de comprendre ce qu’ils font pour éviter d’être assujetti à un algo­rithme.

    Oui je mets une musique diffé­rente en plein soleil et par jour de pluie, mais je ne veux pas non plus que le logi­ciel finisse par me faire dépri­mer chaque fois qu’il pleut. Oui j’ai­me­rais bien que mon lecteur d’ac­tua­lité me montre le plus impor­tant en premier mais ce qu’il va choi­sir ou non va forcé­ment impac­ter mon atten­tion et ma compré­hen­sion du monde.

    Les auto­ma­ti­sa­tions ont une influence énorme. J’ai besoin que les auto­ma­ti­sa­tions faites soient expli­ci­tées et expliquées, idéa­le­ment désac­ti­vable. C’est vrai de façon géné­rale mais encore plus si ça met en jeu mes données person­nelles.

    La vraie diffi­culté elle est surtout au niveau de la confiance. Si j’au­to­rise Spotify à utili­ser ma géolo­ca­li­sa­tion ils risquent aussi de stocker un histo­rique chez eux. Là c’est poten­tiel­le­ment une donnée plus sensible, surtout si elle fuite. Ils risquent d’uti­li­ser tout ça pour de la publi­cité, pour complé­ter mon profil auprès de tiers, ou pour je ne sais quoi d’autre.

    Résul­tat : Je ne partage pas. Ni ma géolo­ca­li­sa­tion, ni (surtout pas) mes contacts. Je refuse quasi­ment tout ce que je peux sur les auto­ri­sa­tions de mon Android. Manque de confiance.

    Mon problème n’est pas dans l’uti­li­sa­tion des données person­nelle, il est dans leur contrôle. Si j’avais un moyen d’avoir un enga­ge­ment raison­nable du type « j’uti­lise tes données person­nelles mais elles sont stockées en local chez toi, je ne les exporte jamais à des tiers et je ne les croise jamais avec celles de tiers » je signe­rais la plupart du temps.

    Bref, une ques­tion de confiance. Ma confiance en Spotify est limi­tée — comment en n’im­porte quelle société basée au moins partiel­le­ment sur l’af­fi­chage de publi­cité ciblée et donc sur le profi­lage des utili­sa­teurs — mais je peux diffi­ci­le­ment repro­cher à Spotify le manque de confiance que moi-même je lui porte.

  • Luttons contre les moulins

    J’aime bien les combats impos­sibles.

    Alors en ce moment je prends choi­sis chaque jour un SPAM reçu, si possible un d’une société connue et sérieuse, et je demande accès aux infor­ma­tions qu’ils ont sur moi, à l’ori­gine de ces infor­ma­tions, et la preuve du consen­te­ment pour m’en­voyer leur cour­rier.

    Je prends donc l’email de SPAM et je réponds dessus. Ça me donne l’adresse de retour mais en géné­ral elle ne mène à rien ou ne sera pas lue. J’ajoute l’adresse de contact sur je trouve sur le site web, et s’il y en a une l’adresse de contact pour les demandes sur les données person­nelles. S’il m’en manque une, j’ajoute aussi contact@ qui existe très souvent

    En géné­ral ça passe par des pres­ta­taires. Dans le meilleur des cas le fichier est le leur et c’est un tiers qui fait l’en­voi et le routage, et qui a donc accès aux données. Si c’est du SPAM c’est que juste­ment je n’ai jamais donné mon accord, et souvent ils utilisent un fichier d’un tiers. Parfois c’est même un tiers qui fait la pros­pec­tion à leur place et est réméré à l’ap­port de clien­tèle donc ils ne savent même pas ce que ça se passe ainsi.

    Si j’ar­rive à voir mention du pres­ta­taire ou de loueur de fichier, je fais les mêmes opéra­tions : L’adresse de contact ou service client, celle du RGPD s’il y en a une, et contact@. On y fait parfois mention en bas de l’email, ou on en voit les domaine dans les URLs des liens avant redi­rec­tion. Parfois il faut cher­cher un peu, d’au­tant que souvent les domaines direc­te­ment visibles ne sont que des façades vides et il faut trou­ver la vraie société derrière le nom commer­cial.

    Enfin, quand j’ai ces diffé­rentes adresses, en géné­ral cinq ou six, je change le sujet. Si je garde le sujet de la news­let­ter, j’ai toutes les chances que le mail ne soit pas lu ou pas pris avec sérieux. J’ai choisi « Infor­ma­tions RGPD » pour allu­mer quelques lumières chez les gens, mais ça pour­rait être autre chose.

    Enfin l’email :

    Bonjour,

    En appli­ca­tion de l’ar­ticle 15 du Règle­ment géné­ral sur la protec­tion des données (RGPD) je souhai­te­rai avoir copie de l’en­semble des données (*) me concer­nant dans vos fichiers, les fichiers de vos pres­ta­taires.

    Pour cela vous pouvez opérer une recherche à partir de l’adresse email que vous avez utilisé: [email xxxxxx@xxxxx]

    Si vous ne déte­nez pas direc­te­ment ces données mais êtes passés par un pres­ta­taire qui opère un fichier en propre, merci de lui trans­mettre cette requête au titre du RGPD.

    Par la même occa­sion, je vous demande d’y joindre l’ori­gine de la collecte de ces infor­ma­tions ainsi que la source de mon consen­te­ment pour la récep­tion de ces cour­riers publi­ci­taires par email. En cas de diffi­cul­tés, je vous deman­de­rai de me mettre en contact avec votre délé­gué à la protec­tion des données (DPO).

    Enfin, je vous deman­de­rai de faire suivre cette demande d’in­for­ma­tion à tout pres­ta­taire, parte­naire ou client avec lesquels vous auriez pu parta­ger les données mention­nées au premier para­graphe.

    Je vous remer­cie de me faire parve­nir votre réponse dans les meilleurs délais et au plus tard dans un délai d’un mois à comp­ter de la récep­tion de ma demande (article 12.3 du RGPD).


    Cordia­le­ment,
    — 
    [Prénom Nom]

    Je laisse le SPAM initial en cita­tion en dessous histoire d’avoir une réfé­rence et qu’on ne puisse pas me dire « ce n’est pas nous » ou « on n’a rien ».

    Autre astuce : Ne *pas* deman­der la suppres­sion des données. Pas à cette étape, sinon les petits malins ou ceux qui liront trop vite suppri­me­ront les données ou l’abon­ne­ment à la liste de diffu­sion et pour­ront ensuite dire « ah ben on ne peut pas vous donner plus d’in­for­ma­tions, c’est supprimé désor­mais ».

    Note : On me signale aussi la version d’Ae­ris, plus formelle.

  • Fire­fox, « anonyme par défaut »

    J’ai­me­rais avoir un Fire­fox confi­guré en « anonyme par défaut ». Ça veut dire deux choses :

    1. Un site ne doit pas pouvoir parta­ger ou croi­ser les données avec un autre ;
    2. Un site ne doit pas pouvoir faire persis­ter des données plus long­temps que la session en cours.

    Si je veux garder une authen­ti­fi­ca­tion perma­nente ou auto­ri­ser des croi­se­ments (par exemple pour des SSO), c’est à moi de le deman­der expli­ci­te­ment.

    Ça pour­rait être fait par une double préfé­rence liée à chaque domaine, quelque chose du type « auto­ri­ser le domaine X à stocker des données persis­tantes dans ce contexte » et « ne pas isoler le domaine X en fonc­tion de l’ori­gine de la page prin­ci­pale ».

    Un site ne doit pas pouvoir parta­ger ou croi­ser les données avec un autre

    Ce premier point est rela­ti­ve­ment bien couvert. L’ex­ten­sion first party isola­tion fait exac­te­ment ça. En gros tout le stockage (cookies, local­sto­rage, indexeddb) est segmenté par l’ori­gine de la page prin­ci­pale dans l’on­glet.

    Le compo­sant Face­book inclut dans les pages de LeMonde ne parta­gera aucune données avec celui inclut dans les pages du Figaro. Il restera l’adresse IP et diverses tech­niques de finger­prin­ting, mais ça va un peu limi­ter.

    Je navigue avec depuis des mois, plutôt avec succès. Il y a encore du boulot. Il faut le désac­ti­ver tempo­rai­re­ment pour faire la confi­gu­ra­tion initiale de Pocket dans Fire­fox, ou pour le SSO « se connec­ter avec google » de quelques sites (pas tous, d’autres fontionnent bien) mais globa­le­ment ça passe très bien.

    Une fois corri­gées les anoma­lies et ajou­tée une façon de désac­ti­ver l’iso­la­tion site par site, ça sera parfait.

    Un site ne doit pas pouvoir faire persis­ter des données plus long­temps que la session en cours

    Ce second point est plus compliqué.

    J’ai tenté initia­le­ment d’uti­li­ser les conte­neurs de Fire­fox pour ça mais tout ce que je peux faire c’est isoler des sites les uns des autres. Au final je me retrouve avec un conte­neur par défaut qui contient la majo­rité du trafic et qui conti­nue à garder mes traces de session en session.

    Il y a peu j’ai trouvé l’ex­ten­sion tempo­rary contai­ners. L’idée c’est que, par défaut, le navi­ga­teur charge un nouveau conte­neur tempo­raire dédié à chaque fois qu’on navigue vers un nouveau domaine. Ce conte­neur et ses données sont détruits dès qu’on ferme l’on­glet.

    Globa­le­ment ça fonc­tionne mais il y a quelques soucis de perfor­mance ressen­tie (au moins des ferme­ture/réou­ver­ture visibles d’on­glet lors des navi­ga­tions) et si on affecte un site à un conte­neur fixe pour éviter de se retrou­ver à chaque fois sur une page non authen­ti­fiée, on perd la capa­cité de l’uti­li­ser en paral­lèle dans plusieurs conte­neurs diffé­rents.

    J’ai globa­le­ment l’im­pres­sion d’abu­ser des conte­neurs pour quelque chose qui n’est pas fait pour.

    L’ex­ten­sion cookie auto­de­lete a une autre approche. On garde le fonc­tion­ne­ment normal des conte­neurs mais, par défaut, l’ex­ten­sion supprime les cookies d’un site dès qu’on ferme tous les onglets qui y mènent. Charge à l’uti­li­sa­teur de faire des excep­tions expli­cites site par site. Globa­le­ment ça fait le job mais ça n’ef­face ni le local­sto­rage ni l’in­dexeddb, ne parlons même pas du tracking par cache HTTP.

    Je trouve ça dommage. Intui­ti­ve­ment j’au­rais pensé que suppri­mer des données était plus facile à faire pour le navi­ga­teur que créer une isola­tion supplé­men­taire entre les sites.

    Suis-je le seul à cher­cher un tel niveau d’iso­la­tion ?

  • Un serveur email chif­fré

    J’amorce mon départ de Gmail, dans la lignée de la reprise de contrôle sur mes données. Le problème avec les emails c’est qu’on est dans un écosys­tème où tout est échangé en clair.

    J’ai aban­donné l’idée de conver­tir tout le monde à GPG. En fait j’ai même aban­donné l’idée de m’y conver­tir moi-même. J’ai long­temps eu des clefs expo­sées sur mes profils en ligne et malgré un réseau très geek sensible à ces ques­tions, je crois que je n’ai jamais reçu un seul email chif­fré.

    Bref, vous échan­gez les emails en clair avec l’ex­té­rieur et vous ne pour­rez rien faire contre ça. Vous pouvez cepen­dant chif­frer vos archives et tout email dès sa récep­tion. C’est ce que font Proton­mail, Tuta­nota et Mail­den.

    Mail­den ce sont des versions modi­fiés de Post­fix et Dove­cot qui chiffrent et déchiffrent les emails à la volée pour vous. Le serveur a donc accès à vos clefs quand vous vous y connec­tez mais promet de les oublier dès que la connexion prend fin. L’avan­tage c’est que de votre point de vue vous avez un serveur email tout ce qu’il y a de plus clas­sique.

    Proton­mail et Tuta­nota gèrent eux un vrai chif­fre­ment de bout en bout. Le serveur ne voit jamais passer votre clef de déchif­fre­ment. Seul vous pour­rez lire vos email une fois qu’ils ont été chif­frés. En échange il vous faudra des appli­ca­tions email spéci­fiques ou un proxy de déchif­fre­ment inter­mé­diaire.

    Aucun des deux modèles n’est parfait. Tuta­nota me tente mais ça reste assez spar­tiate et j’ai peur que leur approche de la recherche m’em­pêche d’y indexer toutes mes archives. Disons que ça sera à tester avant de s’en­ga­ger.

    Mail­den pour­rait être une option mais si c’est pour faire confiance au serveur lors de la récep­tion des emails, lors de l’en­voi des email, lors de chaque accès, et que contacts comme calen­driers devront être gérés tota­le­ment en clair chez un autre héber­geur…

    … Je commence à me deman­der si tout ça vaut le coup et si je ne devrais pas juste sous­crire à la gamme complète chez Fast­mail. Ce ne sera pas chif­fré mais c’est un bon choix et je leur fais confiance pour ne pas exploi­ter mes données privées. Ce pour­rait être un compro­mis perti­nent le temps que Tuta­nota et les offres simi­laires soient un peu plus abou­ties.

    Pourquoi pas Proton­mail plutôt que Tuta­nota ?

    Sécu­rité : Tuta­nota chiffre les contacts et le sujet des emails, pas Proton­mail. Tuta­nota propose aussi ses appli­ca­tions clientes en open source, ce qui apporte un peu plus de garan­tie ou permet d’hé­ber­ger soi-même le webmail.

    Utili­sa­tion : Proton­mail a la bonne idée d’of­frir un proxy pour utili­ser un vrai client email sur le poste fixe mais en échange l’app mobile ne saura pas faire de recherche dans le contenu des emails, ce qui me parait un défaut très sérieux.

    Prix : Au delà de 5 Go, Proton­mail est prohi­bi­tif. On parle de 1€ le Go par mois.

    Pour mon usage, avec un gros quota et un usage mobile complet, le choix est vite fait.

  • L’an­cien CEO WhatsApp en cheva­lier blanc

    Des fois j’ai vrai­ment l’im­pres­sion qu’on nous prend pour des imbé­ciles.

    Notre CEO mont un service en faisant appel à des fonds de capi­tal risque. On parle de dizaines ou centaines de millions d’eu­ros quand même.

    En public il promet un service quasi gratuit, sans publi­cité, sans exploi­ta­tion commer­ciale des données utili­sa­teur, consi­dé­rant que c’est l’ADN même du service.

    C’est beau, c’est blanc, c’est propre, mais il sait pour­tant très bien qu’il va falloir non seule­ment finan­cer l’ex­ploi­ta­tion du service mais en plus rembour­ser les capi­taux risque. En gros il espé­rait juste avoir revendu et quitté le navire avant que quelqu’un ne doive rompre la promesse initiale.

    En reven­dant le service 19 milliards à Face­book, il devait bien se douter qu’il faudrait renta­bi­li­ser un mini­mum l’in­ves­tis­se­ment, que ce n’était pas un don cari­ta­tif. Connais­sant Face­book, il était évident que le service serait gratuit, que ce seraient les promesses liées à la publi­cité et aux données person­nelles qui seraient rompues.

    Sauf à être tota­le­ment naif et un peu idiot (et je ne le crois pas), il savait tout cela. Alors quand il claque publique­ment la porte de Face­book en se posant en cheva­lier blanc qui résiste contre la publi­cité et les problèmes de vie privée, j’ai l’im­pres­sion que c’est un peu nous qu’on prend pour des imbé­ciles.

  • [Retour sur vécu] Casino va permettre aux annon­ceurs de piocher dans ses 50 millions de profils cross-devices

    Plutôt discret jusque-là dans la bataille qui oppose les géants du retail français aux Gafa, le groupe Casino passe à l’of­fen­sive. Le groupe de distri­bu­tion français vient d’an­non­cer le lance­ment d’une plate­forme data bapti­sée rele­vanC dans laquelle les annon­ceurs pour­ront consul­ter « la base de données la plus massive, complète et quali­ta­tive sur les consom­ma­tions des Français, leurs inten­tions et compor­te­ments d’achat ». La plate­forme propo­sera à terme près de 50 millions de profils et 1 100 segments d’au­dience.

    Jour­nal Du Net

    Entre ça et Gravity, C’est un peu la course à « regarde, moi aussi je sais mettre fin en masse à la vie privée des gens ».

    Ça me rappelle des discus­sions avec des entre­pre­neurs dans des solu­tions marke­ting. Naïve­ment j’ai fait remarquer une ou deux fois que les données récol­tées leur permet­traient au mieux une analyse statis­tique sur des visites.

    On m’a répondu, sourire en coin, qu’il existe des services qui complètent les profils à partir de données incom­plètes ou anonymes. Il suffit d’une IP, d’un iden­ti­fiant de tracker web, parfois d’un nom avec une donnée supplé­men­taire. On vous renvoie un profil complet, souvent avec iden­tité et coor­don­nées, mais aussi les habi­tudes, les caté­go­ri­sa­tions, les inté­rêts person­nels.

    C’est visi­ble­ment un secret de poli­chi­nelle, et si j’ima­gine que ce n’est pas parfait, ça semble suffi­sant et assez fiable pour inves­tir dans du marke­ting.

    Parfois les coor­don­nées ne sont pas parta­gées : Il faut deman­der l’en­voi du mailing au déten­teur des données. Sur le papier c’est un peu mieux mais ça n’ap­porte en réalité aucune protec­tion. C’est unique­ment pour rester en inter­mé­diaire et moné­ti­ser plus long­temps vos données person­nelles.

    * * *

    Rien qu’en écri­vant ces souve­nirs, je me rappelle qu’une société pour laquelle je travaillais indi­rec­te­ment reven­dait les coor­don­nées de livrai­son, noms, adresse, âge et email de ses clients. Malaise quand je l’ai appris via une connais­sance et un spam du loueur de la base (coucou Loca­dresses).

    Quand je l’ai fait remon­ter naïve­ment, ils se sont préoc­cu­pés des pratiques de spam de leur loueur. Tel que je l’ai inter­prété, ils voulaient surtout éviter que n’im­porte qui reçoive en spam le fait qu’ils relouent les coor­don­nées de leurs clients. Revendre ces infor­ma­tions ne leur faisait par contre visi­ble­ment ni chaud ni froid.