TwitterFil Twitter

La nouvelle version d' #UnivMobile l’appli officielle des universités de Paris et d’IDF est sur #ProximaMobile
https://t.co/VxTqJOjjQY
#mEdu

Félicitations à l’astronaute Thomas Pesquet qui se rapproche de l’ #ISS: sa mission s’appellera PROXIMA ;) via
https://t.co/gjIZqDJXl7

Big Data et exploitation des données mobiles au service du développement
http://t.co/AY6PqdpYVP
#mSciences #mData

Sciences participatives: des applis mobiles collaboratives pour l’observation et le suivi des oiseaux
http://t.co/zTjakSVFTQ
#MobileDurable

Innovation


Protection de la vie privée et mobile : échec de l’autorégulation aux États-Unis… et perspectives d’évolutions « post Snowden »

<p>Mobile et vie privée</p>
<p>échec de l’autorégulation</p>
<p>aux États-Unis</p>

Le recueil des données personnelles issues des mobiles, ainsi que leur utilisation et leur commercialisation donnent lieu à des débats de plus en plus en vifs aux États-Unis. Alors que les projets de réglementation visant à mieux protéger la vie privée des utilisateurs de terminaux mobiles ont tourné court, les principaux opérateurs et des éditeurs d’applications mobiles tardent à mettre en œuvre les recommandations de l’autorité de protection des consommateurs (FTC). Les codes de conduite et les politiques de confidentialité affichés par les opérateurs et les éditeurs d’application n’apportent que de très modestes avancées pour la protection de la vie privée.
 

Des projets de réglementation enterrés…

En juin 2011, le sénateur Rockefeller proposait un texte (« Do Not Track bill ») visant à contraindre les acteurs de l’internet à informer les consommateurs sur le type de données qu’ils collectent et à permettre aux internautes qui le souhaitent de se soustraire à cette collecte.

En juillet 2011, un juge Californien estimait que Google pourrait être tenu juridiquement responsable de la collecte des données privées d’internautes (e-mails, mots de passe, historiques de navigation) dans le cadre de son service Street View.

En septembre 2011, neuf Sénateurs demandaient au Département de la Justice et à la FTC de se pencher sur les applications espionnes (« stalking apps »), qui permettent de suivre à l’insu des utilisateurs leurs déplacements et leurs communications.

En décembre 2011, la présence du logiciel Carrier IQ pré-installé sur plusieurs millions de smartphones Android, Blackberry et Nokia donnait lieu à une demande d’enquête. Carrier IQ, était suspecté de collecter les numéros utilisés par leurs utilisateurs, ainsi que leurs SMS, leurs historiques de navigation, et certaines données de géolocalisation.

En décembre 2012, une commission judiciaire du Sénat approuvait un projet de loi « Location Privacy Protection Act » qui interdisait de suivre systématiquement les allées et venues d’une personne sans la prévenir : il contraindrait les éditeurs d'applications à recueillir le consentement des utilisateurs pour pouvoir partager ces données avec des tierces parties.

Aucune de ces propositions de lois n’est jusqu’ici parvenue à dégager une majorité.
 

Une « déclaration des droits à la vie privée » sans traduction législative

Le Président Obama avait, pour sa part, proposé en février 2012 une "Déclaration des droits des consommateurs » (Consumers Privacy Bill of Rights) visant à protéger la vie privée des internautes.

Cette déclaration énonçait sept protections de base que les acteurs industriels de l’Internet devraient fournir aux internautes.
Les consommateurs devraient ainsi pouvoir contrôler le type de données collectées, les entreprises devraient être transparentes sur l'usage qu'elles en font et respecter le contexte dans lequel elles ont été publiées – et demander l'autorisation de l'utilisateur si elles souhaitent utiliser leurs informations pour un usage non prévu initialement. Un accent particulier y était mis sur l’ergonomie des moyens techniques qui doivent être mis à disposition des utilisateurs pour leur permettre de contrôler leurs données personnelles.

Le Président Obama attendait du Congrès qu’il rende cette Déclaration des droits applicable aux secteurs commerciaux jusqu’alors non soumis à des lois fédérales sur la protection de la vie privée. En parallèle, il demandait à la National Telecommunications and Information Administration (NTIA) d’élaborer avec les parties prenantes un code de bonne de conduite (Source : FierceMobileGovernment)


Les principaux acteurs industriels américains prennent des engagements

En février 2012, les entreprises qui dirigent les six principales boutiques d’applications sur mobiles (Apple, Google, Microsoft, Amazon, Hewlett-Packard et RIM) concluaient un accord avec le procureur général de l’État de Californie sur des mesures de protection de la vie privée.
Elles s’engageaient, à cette occasion, à se doter d’une politique de confidentialité et à se conformer aux obligations de respect de la vie privée prévues par la législation californienne.  Les applications mobiles qu’elles développent et celles qu’ils distribuent devront ainsi informer explicitement les utilisateurs sur le devenir des données collectées. Ces mesures d’autorégulation volontaires faisaient suite à une série de plaintes et d’enquêtes des autorités américaines. Elles avaient pour objectif d’éviter que le Congrès n’adopte une législation plus restrictive sur la collecte et la gestion des données personnelles. (Source : Cnet).

Les lignes directrices de la FTC

L’autorité de protection des consommateurs (Federal Trade Commission, FTC) a publié en février 2013 des lignes directrices (Mobile Privacy Disclosures – Building Trust Through Transparency) destinées aux trois principales familles d’acteurs des services mobiles : constructeurs, éditeurs d’applications, régies de publicité mobiles. 

Ces lignes directrices rappellent le principe du consentement préalable pour autoriser le recueil et l’exploitation des données personnelles, notamment les plus sensibles. Elles mettent tout particulièrement l’accent sur les conditions (simplicité, lisibilité, ergonomie) qui permettent aux utilisateurs d’exercer leurs droits. La FTC souhaite que les engagements des trois familles d’acteurs mobiles en matière de protection de la vie privée soient exposés clairement et soient affichés de telle manière que les utilisateurs puissent aisément en prendre connaissance. Ainsi, les longues conditions d’utilisation pourraient être remplacées, au moins partiellement, par un système d’icônes regroupées de manière visuelle. (Source : FTC) 
La FTC recommandait, par ailleurs, l’adoption du principe « Do Not Track » (désactivation du suivi publicitaire) pour les smartphones. 

Des associations exhortent l’administration et le Congrès à agir

Le 24 février, plus de trente associations dédiées à la protection des citoyens (parmi lesquelles Public Knowledge, l’American Civil Liberties Union, l’Electronic Privacy Information Center, l’Electronic Frontier Foundation) ont adressé au Président Obama une lettre réclamant la mise en place d’un cadre légal général pour la protection des données personnelles. Deux ans jour pour jour après la publication par la Maison Blanche du Consumer Privacy Bill of Rights, canevas proposant des principes pour la protection des données mais sans valeur juridique, les signataires estiment que l’autorégulation et le modèle de l’« opt-out » ont échoué à protéger le consommateur. Le vol d’informations bancaires recueillies par des détaillants, la diffusion d’informations médicales par des data brokers ou encore la collecte de données téléphoniques par des agences de renseignement sont cités comme des exemples courants de violation des principes de protection des données personnelles.

Les auteurs de la lettre appellent la Maison Blanche et le Congrès à légiférer, soit en adoptant une loi-cadre fixant des principes de protection des données, soit en donnant à la FTC l’autorité pour imposer au secteur privé les principes énoncés dans la Déclaration des droits à la vie privée.

Échec de l’autorégulation

Dans un rapport transmis au Sénat, le Government Accountability Office (GAO), l'organisme d'audit, d'évaluation et d'investigation du Congrès, tire un bilan sévère de la mise en œuvre des démarches d’autorégulation et des codes de conduite « volontaires » (Source : FierceMobileGovernment).

Après une enquête menée auprès des principaux opérateurs et des éditeurs d’applications mobiles, le GAO observe que ces entreprises tardent à mettre en œuvre les recommandations de la FTC. « Les entreprises ont certes adopté des politiques de confidentialité qui prévoient l’information des consommateurs sur les données qu’elles collectent. Toutefois, note le GAO, ces entreprises n’ont pas clairement informé les consommateurs sur l’usage qu’elles font de ces données ou ni sur les tiers avec lesquels elles pourraient partager les données, laissant les consommateurs dans l’incapacité de juger efficacement si ces utilisations de leurs données de localisation peuvent violer leur vie privée ». Le GAO conclut en rappelant que « si les lois actuelles protègent la vie privée dans des secteurs spécifiques et pour des usages spécifiques, les consommateurs ont peu de contrôle sur la façon dont leurs informations sont collectées, utilisées et communiquées à des tiers ». (Source : GAO).
 

Limiter les nouvelles formes de suivi des usagers mobiles

De nouvelles formes de suivi des usages mobiles commencent aussi à être utilisées par les spécialistes du marketing en particulier lors des déplacements des usagers dans des locaux commerciaux. Il est en effet possible de suivre un terminal mobile à partir de son identifiant unique lorsqu’il se connecte à des réseaux wi-fi extérieurs. En effet, « cette technique est parfois utilisée pour personnaliser les services commerciaux en utilisant l'adresse MAC comme identifiant unique du client, pour savoir par exemple s'il vient pour la première fois ou s'il s'agit d'un client régulier. Elle permet aussi de suivre à la trace les consommateurs à l'intérieur de centres commerciaux, en disposant des points d'accès Wi-fi qui permettent de suivre les déplacements des clients par triangulation. » En lieu et place de l’adresse unique véritable, les terminaux sous iOS8 (la nouvelle version de l’OS mobile d’Apple) devraient bientôt transmettre une adresse MAC temporaire à chaque fois différente pour éviter ces nouvelles formes de suivi Source : Numérama).

Inquiétudes sur le recours aux empreintes digitales pour l’authentification des smartphones …

Le Sénateur Al Franken, qui préside la sous-commission du Sénat sur la vie privée et la technologie, vient récemment s’exprimer ses préoccupations concernant l’utilisation des empreintes digitales afin de déverrouiller l’accès à un smartphone ou une tablette. « Contrairement à des mots de passe, les empreintes digitales ne peuvent être modifiées. Les gens laissent leurs empreintes sur la plupart des objets qu'ils touchent dans leur vie quotidienne. Des pirates s'emparent d'une copie numérique de ces empreintes et s'en servir pour usurper votre identité pour le reste de votre vie ». Il vient d’adresser publiquement à la société Samsung une série de questions portant sur la sécurité des données relatives aux empreintes digitales et leur utilisation par des applications tierces. Il souhaite également savoir si la société envisage de partager les empreintes digitales avec les autorités publiques. (Source : Sénateur Franken). 


et concernant la reconnaissance faciale

Le sénateur Franken a ouvert aux États-Unis le débat sur l’encadrement des logiciels de reconnaissance faciale et notamment quand ils sont associés à des lunettes connectées. Dans une lettre ouverte aux créateurs de NameTag, une application permettant de faire correspondre les visages de personnes avec les photos issues de réseaux sociaux et autres ressources en ligne, le sénateur souligne que « contrairement aux autres systèmes biométriques comme les scanners d'iris ou d'empreintes digitales, la reconnaissance faciale est conçue pour être effectuée à distance… Les individus ne peuvent pas se prémunir contre ce type d'identification quand elles sont réalisées à partir de caméras susceptibles de se trouver partout, qu'il s'agisse d'une caméra fixée sur un lampadaire au bout d'une rue, attachée à un drone et maintenant dans les lunettes d'un étranger » (Source : Sénateur Franken). 

 

Ces débats qui jusqu’ici étaient centrés sur les seules pratiques commerciales des acteurs industriels pourraient aussi rebondir avec la volonté affichée par les acteurs de l’Internet de rendre plus complexe et plus coûteuse la surveillance de masse à la suite des révélations d’Edward Snowden sur les pratiques de la NSA (Source : Infoworld).

 

Voir aussi :

De nouvelles inquiétudes liées au ciblage sur les différents terminaux mobiles

États-Unis : de nouvelles règles pour protéger les données personnelles des enfants sur les mobiles

La FTC va enquêter sur les pratiques tarifaires de l’App Store vis-à-vis des enfants

États-Unis : vers une réglementation de la réutilisation des données de géolocalisation ?

Des sanctions pour les applications mobiles intrusives

Protection de la vie privée : accord entre les principaux acteurs industriels américains

États-Unis : demande d’enquête sur la protection des données personnelles dans les smartphones

États-Unis : des lignes directrices pour protéger la vie privée dans les services mobiles

États-Unis : de nouvelles règles pour protéger les données personnelles des enfants sur les mobiles

Internet Sweep day : la CNIL audite les 100 applications mobiles les plus utilisées par les Français

 

Photo : Kris Krüg