Partager cet article

Que cachent les politiques de confidentialité en ligne?

Privacy par  g4ll4is, via Flickr

Privacy par g4ll4is, via Flickr

Qui lit vraiment les textes en petits caractères? Peu de monde, les grands groupes le savent bien. Au-delà d’être plus transparents sur leurs pratiques, il est temps pour eux de mieux respecter la vie privée.

A l’automne dernier, j’ai ouvert sur mon navigateur 16 onglets affichant chacun la politique de confidentialité d’une multinationale spécialisée dans le Web ou les télécommunications. Au cours d’une recherche que je menais sur le Corporate Accountability Index (indice de responsabilité des entreprises) dans le cadre du projet Ranking Digital Rights, j’ai lu et relu chacune de ces déclarations en essayant de cerner ce que ces entreprises disaient de ce qu’elles faisaient des énormes réserves d’informations d'utilisateurs sauvegardées sur leurs serveurs.

Résultat? Alors que ces déclarations étaient extrêmement longues, elles passaient souvent sous silence la quantité d’informations collectées et les modalités de leur utilisation. Bien sûr, Google et Facebook précisent toutes deux qu’elles collectent des informations d'utilisateurs grâce à des systèmes de suivi tiers. Mais cela ne donne pas la moindre idée de la portée de ces systèmes tiers: selon Ibrahim Altaweel –un chercheur de l’université de Californie à Berkeley– et son équipe, les trackers de Google couvrent 85% des sites Web les plus fréquentés, et ceux de Facebook atteignent 55% des sites Web les plus populaires, ce qui donne à ces deux entreprises une capacité d’observation extraordinaire des habitudes de navigation de millions d’internautes. Du coup, même ceux qui lisent vraiment les politiques de ces entreprises n’ont pas de vue d’ensemble de ce qui se passe. Il leur est donc difficile de protéger leurs données à caractère personnel.

De nombreuses constatations, y compris celles d’Ibrahim Altaweel, ont fait l’objet de discussions le 14 janvier dernier à la PrivacyCon (Conférence sur la protection de la vie privée) de la Federal Trade Commission et, la veille, au cours du Forum sur l’avenir de la confidentialité, dans le cadre des Communications sur la confidentialité à l’intention des décideurs (Privacy Papers for Policymakers). Ces deux événements ont mis en lumière le fossé entre les attentes des internautes et les pratiques des entreprises en ce qui concerne la collecte et l’utilisation des données à caractère personnel, reflétant ainsi les conclusions du Corporate Accountability Index.

On vous le dit, à vous de voir

Des chercheurs ont contesté l’approche «notification et choix» qui prévaut aux Etats-Unis en matière de protection de la vie privée. Ils ont souligné qu’effectivement, il faut accroître la transparence des pratiques des entreprises concernant les informations utilisateur. Mais la simple compréhension de ce que font les entreprises ne suffit pas en l’absence d’autres solutions significatives ou de mécanismes de recours pour les internautes.

Les historiens nous apprennent qu’aux Etats-Unis, on traite traditionnellement la vie privée comme une question commerciale, alors qu’en Europe et ailleurs, on considère généralement la vie privée comme un droit fondamental des citoyens. C’est pourquoi, afin de respecter la vie privée des individus, les entreprises américaines les informent de leurs pratiques de confidentialité (comme leur politique de protection des données à caractère personnel) et leur laissent le choix de donner ou non à l’entreprise des informations les concernant (comme le bouton «J’accepte» sur lequel tout le monde clique sans réfléchir), alors que d’autres pays ont tendance à passer des lois sur la protection des données, auxquelles les entreprises sont tenues de se conformer.

Personne ne lit les politiques de confidentialité, et personne n’a vraiment l’impression d’opérer un choix en cliquant sur «J’accepte»

Les problèmes que pose cette approche «notification et choix» sont évidents pour n’importe quel internaute: personne ne lit les politiques de confidentialité, et personne n’a vraiment l’impression d’opérer un choix en cliquant sur «J’accepte». En outre, les politiques de confidentialité sont rédigées de manière à satisfaire les organismes de régulation, et non les internautes. On n’y trouve pas d’explication claire des pratiques de l’entreprise, sans compter qu’elle peut d’ailleurs modifier à tout moment sa politique.

Comme l’utilisation d’applications mobiles, d’objets connectés et d’appareils intelligents chez soi et à l’extérieur continue à se répandre, le modèle «notification et choix» deviendra encore plus obsolète étant donné que les informations utilisateur circulent presque en permanence entre de tels appareils et les serveurs de l’entreprise. Rendez-vous compte: Serge Egelman, un chercheur de l’Université de Californie à Berkeley, et son équipe ont établi que les applications d’un téléphone Android envoient chaque jour près de 100.000 demandes d’accès aux données sensibles d’un particulier. Personne ne voudrait être informé de chacune de ces demandes. Et pourtant, 80% des personnes interrogées au cours de l’étude dirigée par Serge Egelman auraient rejeté au moins une de ces demandes si on leur avait donné la possibilité de le faire.

Faux compromis

L’argument selon lequel les individus pèsent rationnellement le pour et le contre avant de mettre leurs données personnelles à la disposition des entreprises ne reflète pas la réalité quand on sait la masse de données que génèrent les utilisateurs et le nombre d’entreprises qui ont accès à ces données. C’est ce que Joseph Turow, professeur à l’Université de Pennsylvanie, appelle le faux compromis («tradeoff fallacy»). Avec son équipe, il a constaté que plus de la moitié des Américains veulent exercer un contrôle sur leurs données à caractère personnel, mais qu’ils se sentent impuissants quand il s’agit de les contrôler.

Au moment d’interagir avec un produit ou un service en ligne, nous faisons au plus vite. La chercheuse Ashwini Rao et ses collaborateurs de l’université Carnegie Mellon (Pennsylvanie) révèlent que les internautes utilisent tel ou tel site Web sur la base de leurs attentes concernant l’usage que fait l’entreprise de leurs informations personnelles. Et non pas de ce qu’énoncent les politiques de confidentialité sur ce point. Par exemple, on s’attend à ce que le site d’une banque collecte des informations financières, pas des données liées à la santé. Ashwini Rao nous apprend pourtant que, conformément à la politique de la Bank of America, l’établissement collecte et partage les informations sanitaires des utilisateurs inscrits. Autrement dit, les internautes qui utilisent ce site Web peuvent se tromper à propos de la protection du secret d’une certaine catégorie d’informations.

Par ailleurs, les professeurs Heather Shoenberger, de l’université d’Oregon, et Jasmine McNealy, de l’université de Floride, ont observé que le public a davantage tendance à accepter les conditions d’utilisation d’un site Web si celui-ci dispose d’une politique de confidentialité (quel qu’en soit le contenu). Et aussi si l’esthétique du site leur inspire confiance. Ces comportements signalent que les gens utilisent parfois des sites Internet en se faisant de fausses idées sur l’utilisation de leurs informations personnelles par les entreprises.

Une plus grande transparence améliorerait la situation, mais pour défaire le nœud du problème, les entreprises doivent prendre des dispositions pour mieux respecter la vie privée des utilisateurs.

Roxana Geambasu, professeure à l’université Columbia, et son équipe ont prouvé qu’un outil publicitaire exploité par Gmail jusqu’à novembre 2014 affichait des annonces qui reposaient sur des données personnelles sensibles. Alors que les politiques de Google, aussi bien celles qui étaient en vigueur en 2014 que celles qui le sont actuellement, excluent une telle pratique. (Bien que Google se soit refusé à tout commentaire sur les recherches menées par Roxana Geambasu, un porte-parole du groupe a déclaré: «Nous disposons d’un très grand ensemble de politiques régissant l’affichage des publicités. Dans Gmail, nous passons en revue manuellement toutes les publicités qui s’affichent».) Cette chercheuse et certains de ses homologues soulignent le fait que ces résultats n’impliquent pas nécessairement un ciblage intentionnel. Mais ces travaux mettent en évidence une chose: nous devons mieux comprendre le fonctionnement de systèmes tels que les algorithmes de Google. Comment déterminent-ils qui voit quoi?

Quels recours en cas de violation?

A l’heure actuelle, les utilisateurs disposent de peu de recours s’ils estiment qu’une entreprise a violé leur droit au respect de la vie privée. exte de la citation

A l’heure actuelle, les utilisateurs disposent de peu de recours s’ils estiment qu’une entreprise a violé leur droit au respect de la vie privée. Le Corporate Accountability Index recense bien peu de procédures de recours claires mises à disposition par les entreprises. La société indienne Bharti Airtel affiche le meilleur score en matière de recours parmi les entreprises de télécommunications. Chez les acteurs du Web, le grand gagnant est le groupe sud-coréen Kakao. Ces deux entreprises ont leur siège dans des pays dont la loi est relativement exigeante en ce qui concerne les recours. D’où ces très bons résultats.

Joel Reidenberg, professeur de droit à l’université de Fordham (New York), laisse entendre qu’il sera nécessaire de conclure un traité international pour protéger la vie privée des individus à l’heure où le monde est éminemment connecté. Faute de quoi nous risquons de laisser les Etats s’immiscer dans la vie des citoyens avec des pratiques d’utilisation des données personnelles de plus en plus opaques. En effet, alors qu’une part importante des données des utilisateurs demeure sur les serveurs des entreprises, les politiques de confidentialité précisent en général que ces informations peuvent être transmises à l’administration –même si, bien sûr, le détail des cas concrets fait cruellement défaut.

Quels autres leviers pour faire évoluer la situation? Joseph Turow a encouragé les organisations d’intérêt général à examiner les politiques des entreprises et à évaluer leur efficacité. C’est exactement le but de l’indice de responsabilité des entreprises dont je parle au début. Il évalue un groupe de sociétés spécialisées dans le Web et les télécommunications au regard de législations relatives à la liberté d’expression et à la confidentialité des données. Selon cet indice, globalement, les déclarations des entreprises sur la collecte, l’utilisation, le partage et la conservation des informations personnelles sont bien maigres. Les entreprises pourraient prendre des mesures dans le bon sens en proposant, par exemple, une liste des tiers auxquels ils communiquent des informations utilisateur, comme le fait Yahoo! Ou en précisant la durée de conservation de telles informations personnelles après la suppression d’un compte par un utilisateur. Comme Twitter. Tout progrès dans ce domaine se fera petit à petit, mais à en juger par les discussions qui ont sérieusement animé la PrivacyCon, de nombreux défenseurs du respect de la vie privée œuvrent en faveur d’un changement.

Vous devez être membre de Slate+ et connecté pour pouvoir commenter.
Pour devenir membre ou vous connecter, rendez-vous sur Slate+.
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte