Applis et Web : comment vous vous laissez voler

Les applications et le Web pillent allègrement vos données et épient méthodiquement vos faits et vos gestes. Avec votre consentement. En toute légalité, donc ?

Il sait où vous êtes. Ce que vous faites. Avec qui et pendant combien de temps vous discutez. Ce que vous dites. Mot pour mot. Un conjoint jaloux serait conspué. Mais un géant du Web ? Tout est pardonné. Facebook, Google, Instagram et compagnie nous espionnent. Tout le monde le sait. Tout le monde semble s’en ficher. Peut-être parce que rares sont ceux qui imaginent l’ampleur du flicage. Que celui qui a lu les conditions d’utilisation d’une application lève le doigt !

En 2016, le Conseil norvégien des consommateurs s’est plongé dans ces masses indigestes. D’abord sur Tinder (un truc de drague) puis sur Runkeeper (un truc de course). Il y a déniché quelques couleuvres, que le droit européen avale péniblement. Ainsi la première appli conserve et utilise les données personnelles même une fois le compte désactivé. Tandis que la seconde emmagasine des informations (géolocalisation…) même lorsqu’elle est éteinte. Et ça, ce n’était stipulé nulle part.

Cet été, l’eurodéputé socialiste Marc Tarabella a repris ces découvertes à son compte, réclamant une enquête européenne. Ajoutant sa touche personnelle : Pokémon Go et ses clauses supposées abusives. Il aurait pu en cibler un tas d’autres. A quelques variantes près, toutes les politiques de confidentialité sont coulées dans le même moule.

Première confirmation : les applis savent tout. Nom, adresse e-mail, date de naissance, genre, langue, lieu de résidence. Logique. Mais les applications doivent nourrir leurs partenaires publicitaires, très friands de détails bien plus précis. Dès lors, pour traquer les centres d’intérêt (et servir des annonces ciblées), les conversations virtuelles sont passées au crible. Google (Gmail) analyse le contenu des e-mails. Tinder, Facebook ou Pokémon Go scrutent les discussions entre utilisateurs. Idem pour Snapchat qui précise : « Bien sûr, vous nous fournissez toutes les données que vous envoyez à vos amis, tels que les Snaps et les Chats, la manière dont vous interagissez avec d’autres Snapchatters, tels que leurs noms, l’heure et la date de vos échanges, le nombre de messages que vous échangez avec vos amis […]. » Bien sûr.

Ce réseau social, pro des photos autodestructibles, observe également les pages visitées « avant ou après avoir accédé à (n)otre site Internet ». Tout comme Instagram, qui archive les URL consultés et « le nombre de clics » effectués. Le temps passé sur les pages n’est pas un secret pour Pokémon Go. Facebook va jusqu’à repérer les paramètres de l’appareil utilisé et même son niveau de batterie !

Ce que les applis ignorent, elles le déduisent. LinkedIn, le « bottin » des CV, confesse « utiliser l’intitulé de poste pour tirer des conclusions quant à l’âge, au secteur, à l’ancienneté et à la rémunération ». Google ne base pas ses annonces personnalisées sur des « données sensibles, telles que la race, la religion, l’orientation sexuelles ou l’état de santé ». Ce serait sans doute illégal. Pas infaisable.

Car les applis utilisent tout. Repérage des adresses IP, du type de navigateur utilisé, de l’emplacement géographique via gps, wi-fi, bluetooth et autres  » gyroscopes, accéléromètres et boussoles », glisse même Snapchat. Elles enregistrent aussi les « mobile device IDs », ces identifiants uniques de l’appareil assignés par les fabricants, qui ne peuvent être effacés, contrairement aux cookies. Ah, qu’est-ce qu’elles en consomment, de ces petits fichiers espions placés sur les disques durs ! Il y a les cookies de session, digérés une fois la fenêtre de navigation fermée. Puis les cookies persistants, qui se maintiennent sur l’ordinateur et le smartphone au fil du temps. Moins connus, les « Web beacons » pullulent tout autant. Aussi appelés pixels espions ou invisibles, ils réunissent des infos sur le comportement des utilisateurs de sites Web.

Bien entendu, ce pistage est confortable. Informations et publicités censées nous intéresser affluent sans effort. Il suffit de comparer Google et DuckDuckGo, qui refuse de stocker toute donnée personnelle : une même recherche, des résultats bien différents. Pas étonnant que nombre d’applications (à l’exception notoire de Twitter) refusent le signal « Do not track », sorte « Ne m’appelez plus » du Net, qui devrait permettre de surfer sans être pisté.

Pour justifier leurs intrusions, les applications brandissent leur premier argument : un service sans cesse amélioré car toujours plus personnalisé. Evidemment, ce n’est pas ainsi qu’elles amoncellent les dollars. Le fruit de cette traque est revendu à des tiers, lorsque ceux-ci n’épient pas eux-mêmes. Les réseaux sociaux leur « sous-louent » leur poste d’observation. « L’internaute n’est pas directement en contact avec ces intermédiaires, ces data brokers. Là, il n’y a même pas de conditions générales à signer », pointe Alain Strowel, professeur à l’UCL et spécialiste du droit des nouvelles technologies. Allez savoir ce que cette nébuleuse de courtiers fabrique avec nos bouts de vie privée…

Aussi, les applis gardent tout. Longtemps. Tinder n’est pas l’exception. Twitter précise que la suppression peut prendre « jusqu’à plusieurs semaines ». Instagram, LinkedIn et Pokémon Go écrivent conserver certaines données « pendant une durée raisonnable commercialement parlant, à des fins de sauvegarde, d’archivage ou d’audit ». Un mois ? Une semaine ? Une décennie ? Le droit européen reste flou, recommandant une limitation « au strict minimum » dans son nouveau règlement. Une brique (62 610 mots !) votée en avril dernier, que chaque Etat membre devra avoir adoptée en mai 2018. La précédente directive en matière de protection des données datait de 1995. La préhistoire.

Droit européen vs droit américain

Les lobbyistes dépêchés par l’industrie américaine ont veillé à préserver leurs intérêts. Un journaliste allemand, Richard Gutjahr, a révélé que des eurodéputés avaient déposé des amendements… rédigés par l’American Chamber of Commerce, Amazon ou eBay. Un eurodéputé allemand, Jan Philipp Albrecht, membre de la commission des libertés civiles, confiait en 2013 au Monde que « plus de 80% des propositions d’amendements arrivant de l’extérieur proviennent […] principalement des géants de la Silicon Valley. Ils sont si nombreux et si actifs que le même message semble arriver de partout à la fois ».

Jamais un dossier législatif traité au Parlement européen n’avait autant déchaîné les amendements : 3 999 au total. Le texte renforce le droit à l’oubli, celui d’être informé dans un langage simple, la limitation du recours au profilage… L’utilisateur devra donner un consentement « clair et explicite ». « La question du consentement est importante, observe Alain Strowel. Dans les circonstances actuelles, est-il valable ? Eclairé ? Qui lit les conditions d’utilisation, qui les comprend, qui en saisit les conséquences ? »

La future loi clarifie au moins une chose : « Les règles sont applicables à toutes les entreprises ciblant les consommateurs de l’UE. » Car jusqu’à présent, les applis se réfugient souvent derrière le droit américain, plus permissif. Ou derrière un pays « où les lois sur la confidentialité pourraient ne pas être aussi protectrices que celles de votre juridiction », comme l’indique Pokémon Go. A commencer par l’Irlande, dont les charmes ne sont manifestement pas uniquement fiscaux (n’est-ce pas, Apple ?)

Chaque pays lutte comme il peut. En France, en février, la Cnil (commission nationale de l’informatique et des libertés) a mis en demeure Facebook, le sommant de mettre fin à une liste de manquements longue comme le bras. Elle se penche actuellement sur la nouvelle politique de confidentialité de Whatsapp, qui depuis fin août autorise sa société-mère (… Facebook) à récupérer les numéros de téléphone de ses utilisateurs.

Chez nous, la commission Vie privée pensait avoir remporté un fameux bras de fer face à la firme de Mark Zuckerberg. Constatant que le réseau social pistait, grâce à des cookies, la navigation des internautes non membres (et sans les en informer), elle avait intenté et gagné, en 2015, une action en référé. Facebook avait répliqué en bloquant l’accès de ses pages publiques aux Belges non-inscrits. Et en interjetant appel. Bingo. « Nous étudions la possibilité d’aller en cassation », confie Sarah Boulerhcha, porte-parole de la commision Vie privée. Celle-ci collabore avec ses homologues européennes au sein du « groupe de travail article 29 ». Mais aucune ne peut attaquer un géant du Web s’il n’est pas basé sur son territoire national…

Marc Tarabella voudrait la création d’une plateforme d’alerte, à la manière de Rapex, un système d’échange rapide en matière de sécurité des consommateurs, qui permet par exemple d’informer lorsqu’un produit nocif débarque sur le marché européen. « Si la communication était plus importante, ces sociétés seraient sans doute plus enclines à respecter les lois », avance son porte-parole. « Le sujet devrait davantage être suivi par les associations de défense des consommateurs, qui s’intéressent surtout aux questions de prix, même si c’est en train de changer », propose Alain Strowel.

L’utilisateur ne peut que tout accepter. Ou tout refuser. « Et se sentir alors exclu de la société », constate Sarah Boulerhcha. Le prix à payer dans un monde où il faut toujours mieux communiquer, échanger, étaler ? « Le Web vole des données personnelles, mais ça ne tracasse pas grand monde, ironisait récemment un professeur d’université. Par contre, interdisez-leur Facebook, et vous verrez que les gens n’ont pas perdu la capacité à se révolter. »