Nous sommes aujourd’hui bien loin de la micro-informatique des années 1980. Les ordinateurs ont été miniaturisés au point qu’on peut en avoir un dans la poche (un smartphone) ou dans un sac à main (une tablette de type iPad) ou dans un cartable (un ordinateur portable).

On oublie souvent à quel point les choses ont progressé ces 4 dernières décennies. Voici deux exemples :

Au-delà de cette miniaturisation et de ce gain de puissance, l’informatique a changé de nature dans la mesure où il est devenu très rare d’utiliser un ordinateur qui ne soit pas connecté à d’autres ordinateurs via un réseau (un réseau est ce qui permet de connecter un ordinateur à d’autres pour échanger de données. Cette connexion peut se faire par un fil mais aussi par ondes radio, le plus souvent par la norme Wifi).

Via le réseau, on se retrouve à utiliser des ordinateurs à distance. Ainsi, quand on fait une recherche Google sur un mot-clé, on fait un appel à des ordinateurs situés dans un centre de données (datacenter), une sorte de hangar climatisé où se trouvent des centaines d’ordinateurs (les serveurs) qui reçoivent les recherches des utilisateurs et renvoient des résultats. Notre ordinateur (ou notre tablette ou smartphone) ne fait qu’afficher les résultats de notre demande.

Un PC connecté à des services sur Internet

Quel contrôle sur nos données et nos ordinateurs avons-nous à l’heure d’Internet ?

Prenons un peu de recul un court instant et revenons-en aux premiers pas de la micro-informatique.

Au début, l’utilisateur avait le contrôle des logiciels utilisés, car il avait dû les écrire lui-même, à moins qu’il n’ait récupéré du code source venant d’un autre hobbyiste. Les données de l’utilisateur sont stockées localement, donc on en a aussi le contrôle.

Si nous revenons à l’époque présente, correspondant au schéma ci-dessus, on peut certes faire plus de choses qu’avant, et c’est tant mieux, mais en termes de contrôle de nos logiciels et nos données c’est la descente aux enfers… Dorénavant, le logiciel qui tourne sur nos ordinateurs est presque toujours propriétaire, c’est à dire écrit par un tiers et dont le fonctionnement est quasiment invérifiable. Comment avoir confiance dans ces boîtes noires ? Mais il y a pire : nos PC nous servent surtout à utiliser du logiciel qui fonctionne en fait sur des serveurs, lesquels sont dans des datacenters distants. Là aussi il s’agit le plus souvent d’applications propriétaires, écrites par des tiers. Et le comble, c’est que nos données sont là-bas, dans les mêmes datacenters !

C’est une totale aberration : l’informatique est chaque jour plus indispensable à nos vies, et pourtant nous en avons chaque jour moins le contrôle !

Auparavant, les ordinateurs nous appartenaient, utilisaient du logiciel que nous pouvions auditer et modifier et nos données étaient stockées localement. 

Maintenant, les ordinateurs sont dans des datacenters dont on ignore jusqu’à la localisation, avec des logiciels écrits par des tiers et qu’on ne peut pas auditer, et nos données sont détenues par des tiers ! Ces mêmes tiers en profitent pour accumuler des données sur la façon dont nous utilisons ces logiciels, mais aussi nos propres données…

Quand je pense à ça, je me dis que le monde marche sur la tête.

Revenons sur l’impossibilité de savoir ce qui est fait de nos données. Quelles informations personnelles sont collectées ? Quelles informations à propos de mes proches sont récupérées via mes échanges avec eux ? Combien de temps sont-elles conservées ? Avec qui sont-elles partagées ? Comment sont-elles recoupées ?

Nous n’avons aucun contrôle sur les logiciels qui tournent sur les machines des services Internet auxquels nous avons recours. Sans aucune possibilité de contrôle, comment peut-on avoir confiance ? Il ne nous reste plus qu’à nous fier aux promesses des services que nous utilisons, sans avoir aucune certitude qu’elles seront tenues.

Pire : quand on analyse ces promesses, qui sont contenues dans des documents appelés « politiques d’utilisation des données » ou « règles de confidentialité » (Privacy policies en anglais), on se rend compte que tout cela est incompréhensible pour l’utilisateur ordinaire car trop long et beaucoup trop complexe.

Je vous propose de voir ce que Facebook et Google, à titre d’exemple, disent faire de nos données. Ça n’est guère rassurant…

Quelles données sont collectées par Facebook ?

Prenons la politique d’utilisation des données de Facebook. Il suffit de passer un peu de temps à analyser ces documents pour voir que « pour fournir un meilleur service », l’entreprise collecte des données, beaucoup de données, toutes sortes de données. Extrait du document de Facebook :

Nous utilisons les informations que nous recevons pour les services et les fonctions que nous vous fournissons, à vous et à d’autres utilisateurs, tels que vos amis, nos partenaires, les annonceurs qui achètent des publicités sur le site,.

Quelles informations, plus précisément ?

  • Information d’inscription
  • Informations que vous choisissez de communiquer
  • Informations que d’autres communiquent à votre propos
  • Autres informations que nous recevons à votre sujet

Cette dernière section du document Facebook est particulièrement intéressante, parce que nous n’en n’avons que rarement conscience : de nombreuses données sont collectées sur notre comportement, sans que nous ne les partagions sciemment. Quelques extraits :

Nous recevons également d’autres types d’informations vous concernant :

  • Nous recevons des données à votre sujet à chaque fois que vous entreprenez une action dans Facebook,(…)
  • Lorsque vous publiez des informations telles que des photos ou des vidéos sur Facebook, nous pouvons recevoir des données supplémentaires (ou métadonnées), comme l’heure, la date et l’endroit où vous avez pris la photo ou la vidéo.
  • Nous recevons des données provenant de, ou concernant, l’ordinateur, le téléphone mobile ou les autres équipements dont vous vous servez pour installer les applications Facebook ou pour accéder à Facebook (…). Cela peut comprendre des informations sur (…) le type (y compris les numéros d’identification) de l’appareil ou du navigateur que vous utilisez ou les pages que vous visitez. Par exemple, nous pouvons obtenir vos coordonnées GPS ou d’autres informations de géolocalisation (…)

(…) nous recueillons également les données provenant d’informations que nous possédons déjà à votre sujet et à propos de vos amis et de tiers(…) Nous pouvons associer votre ville actuelle, vos coordonnées GPS (…)

Quelles données sont collectées par Google ?

En ce qui concerne Google, même si le type de service rendu est différent, la collecte de données est elle aussi généralisée. Il faut dire que la mission que s’est choisie l’entreprise est « (d’)organiser l’information du monde, de la rendre utile et accessible de partout ». Et pour cela, il faut collecter toutes les données possibles, comme nous l’avons vu au chapitre 3.

Passons donc en revue les règles de confidentialité de Google :

Au-delà des données que nous communiquons volontairement à Google, la société collecte :

  • (…) des données relatives à l’appareil que vous utilisez, par exemple, le modèle, la version du système d’exploitation, les identifiants uniques de l’appareil et les informations relatives au réseau mobile, y compris votre numéro de téléphone. (…)
  • la façon dont vous avez utilisé le service concerné, telles que vos requêtes de recherche.
  • des données relatives aux communications téléphoniques, comme votre numéro de téléphone, celui de l’appelant, les numéros de transfert, l’heure et la date des appels, leur durée, les données de routage des SMS et les types d’appels.
  • votre adresse IP.
  • des données relatives aux événements liés à l’appareil que vous utilisez, tels que plantages, activité du système, paramètres du matériel, type et langue de votre navigateur, date et heure de la requête et URL de provenance.
  • (…) Nous utilisons différentes technologies pour vous localiser, y compris l’adresse IP, les signaux GPS et d’autres capteurs nous permettant notamment d’identifier les appareils, les points d’accès WiFi et les antennes-relais se trouvant à proximité.
  • (…) utilisons les informations fournies par les cookies et d’autres technologies, comme les balises pixel (…)
  • Nos systèmes automatisés analysent vos contenus (y compris les e-mails) (…)
  • Les informations personnelles que vous fournissez pour l’un de nos services sont susceptibles d’être recoupées avec celles issues d’autres services Google (y compris des informations personnelles), (…)
  • (…) même lorsque vous supprimez des données utilisées par nos services, nous ne supprimons pas immédiatement les copies résiduelles se trouvant sur nos serveurs actifs ni celles stockées dans nos systèmes de sauvegarde.

J’ai décidé de me limiter aux aspects les plus frappants de deux des acteurs les plus utilisés, mais il faut savoir deux choses :

  1. La plupart des services en ligne (mais pas tous, heureusement) ont des conditions d’utilisation qui sont comparables ;
  2. En les utilisant, nous acceptons ces conditions d’utilisation et reconnaissons les avoir lues.

Voyons voir pourquoi la plupart des services en ligne sont aussi voraces dès qu’il s’agit de nos données personnelles…