C'est un grand classique que chacun a pu expérimenter sur Internet. Vous regardez le prix d'un billet d'avion, par exemple, mais vous ne l'achetez pas. Malheur ! Immédiatement après et pendant plusieurs jours, "on" vous "traque". Des offres commerciales pour la même destination apparaissent sur une bannière criarde dès que vous atterrissez sur un site. Un service de comparatifs de prix s'insère entre deux publications d'amis sur Facebook. Pire : une fenêtre "pop-up" vous saute dessus en pleine lecture d'un article. Exaspéré, vous cliquez à côté de la croix et vous voilà sur un site qui installe à la vitesse de l'éclair des cookies, ou traceurs, dans votre ordinateur.
Sans que vous vous en rendiez compte
Bienvenue dans l'ère du retargeting, ou reciblage publicitaire. Cette technique de marketing comportemental dont le champion mondial est le français Criteo, consiste à pister votre activité en ligne pour vous proposer des produits ou des services que vous aimez ou qui seraient susceptibles de vous plaire. Comme pour le pourriel (spam) qui pollue nos messageries, il est quasiment impossible d'y échapper. Car la publicité ciblée est le coeur du modèle économique d'Internet. Si votre messagerie, vos réseaux sociaux, votre moteur de recherche et les sites que vous consultez sont gratuits, c'est parce que le produit, c'est vous. Vos données, précisément, valent de l'or. Les conditions générales d'utilisation, que vous acceptez sans même lire, autorisent ces entreprises à récupérer de plus en plus d'informations, souvent sensibles comme vos contacts, vos identifiants et vos photos. Les géants du Net, les Gafa (Google, Apple, Facebook, Amazon) et les nouveaux disrupteurs, les Natu (Netflix, Airbnb, Tesla, Uber), tous valorisés à des milliards de dollars, bâtissent leur empire sur l'utilisation des données, le pétrole du XXIe siècle.
Et on n'a encore rien vu. L'essor récent des smartphones, de la géolocalisation et, demain, des objets connectés comme les traqueurs d'activités que l'on porte sur soi (bracelets, montres connectées...), démultiplient ces flux de données.
Selon le Commissariat général à la stratégie et à la prospective, 90 % de l'ensemble des données aujourd'hui disponibles ont été créées ces deux dernières années. L'institut Gartner prévoit même 50 milliards d'objets connectés en circulation dans le monde en 2020, contre 15 milliards aujourd'hui. Du thermostat intelligent à la table qui recharge le smartphone, en passant par la voiture connectée, la plupart des objets du quotidien de demain pourront récolter de nouvelles données.
Et développer ainsi le big data, le traitement des mégadonnées, qui transforme tous les secteurs grâce au traitement automatisé d'énormes flux d'informations, et trouve des applications, à la fois excitantes et angoissantes, dans des domaines aussi variés que les sciences, la ville intelligente, la santé, l'éducation ou le développement durable. Grâce à la variété de leurs services - autant de sources de données à croiser -, les géants du Net disposent d'un indéniable avantage concurrentiel. Ce n'est pas un hasard s'ils se positionnent déjà sur les services du futur, comme la voiture autonome ou la santé connectée.
"Big data" et "cloud", des mots qui font peur
Problème : la confiance est le pilier du développement de l'économie. Le numérique ne fait pas exception. Or, non seulement les citoyens comprennent de plus en plus la valeur de leurs données personnelles, mais ils estiment qu'ils n'en ont pas suffisamment le contrôle. Le baromètre 2015 de l'Idate sur la confiance des Français dans le numérique révèle que neuf Français sur dix utilisent Internet pour effectuer des démarches administratives, des opérations bancaires, acheter et vendre des produits. Mais 60% estiment que son usage est risqué, et 70% n'ont pas confiance dans le cloud (informatique en nuage).
"Avec la maturité des usages viennent la fin des illusions et d'énormes craintes sur la sécurité des données personnelles", explique Cyril Zimmermann, le président de l'Association pour le commerce et les services en ligne (ACSEL).
Le manque de transparence des entreprises pose problème. Selon un sondage du Pew Research Center de 2014, 91% des internautes américains considèrent qu'ils ont perdu le contrôle de leurs données. Ainsi, les mots "big data" et "cloud" font peur, car ils incarnent de possibles dérives. Si mon traqueur d'activité peut mesurer le nombre de pas que j'effectue chaque jour, mon rythme cardiaque, le taux d'oxygène dans mon sang et la qualité de mon sommeil, puis transmet ces données dans le nuage informatique, comment m'assurer qu'elles ne se retrouveront pas sur le bureau de mon assureur, qui pourrait gonfler le prix de ses contrats si je suis en mauvaise santé ?
À ces craintes s'ajoutent celles concernant la surveillance par les États et les cyberattaques. La révélation, en 2013, par le lanceur d'alerte Edward Snowden, de l'ampleur de la surveillance de masse pratiquée par la NSA, y compris en Europe, a fait office de détonateur. Récemment, un autre lanceur d'alerte, anonyme pour l'instant, a révélé que la NSA espionne tous les contrats supérieurs à 200.000 dollars pour le compte des entreprises américaines... Ces informations ont de quoi inquiéter. D'autant plus que le Dark Net (l'Internet caché), regorge de cybercriminels à l'affût des mots de passe, données bancaires et autres informations sensibles qu'ils revendent à prix d'or dans un effrayant marché noir de la donnée.
Adrienne Charmet, la responsable des campagnes de l'association de défense des libertés La Quadrature du Net, résume le problème :
"On sait déjà que la NSA espionne le monde entier et que le gouvernement français, via la loi Renseignement, s'est donné les moyens de pratiquer une surveillance de masse. Puis, on télécharge, par exemple, une application de réveille-matin, mais celle-ci exige l'accès aux identifiants de l'appareil, aux contacts et aux photos. Cela crée forcément un malaise."
La loi inadaptée aux enjeux du XXIe siècle
Pourtant, une législation existe pour protéger la vie privée de chacun. L'article 6 de la loi Informatique et Libertés, votée en 1978 et modernisée en 2004, précise que les données personnelles doivent être collectées et traitées pour des finalités "déterminées, explicites et légitimes", et que seules les informations "nécessaires et pertinentes" doivent être utilisées pour atteindre ces finalités.
Mais cette loi ne satisfait pas les entreprises françaises, qui la trouvent trop rigide. Effectivement, elle apparaît en totale contradiction avec le big data, eldorado de l'économie numérique, dont le but est justement de découvrir des finalités nouvelles au fur et à mesure de l'analyse d'une masse toujours plus importante de données anonymisées.
L'analyse des Mooc (les cours en ligne ouverts), par exemple, permet d'améliorer en permanence la pédagogie et, en analysant la manière dont les élèves suivent les cours, à quel moment ils vont faire des recherches parallèles sur Internet ou s'ils se repassent plusieurs fois une vidéo pédagogique. "La loi est inadaptée et représente un frein pour les entreprises françaises, car il est quasi impossible d'anticiper les usages futurs des mégadonnées", estime Yann-Maël Larher, doctorant en droit social à l'université Panthéon-Assas et spécialiste des technologies de l'information et de la communication (TIC) en entreprise.
La loi ne satisfait pas non plus les citoyens, car elle n'empêche visiblement pas les abus, surtout lorsqu'ils viennent de sociétés étrangères. La faiblesse du pouvoir de sanction de la CNIL, le régulateur des données, et le manque de moyens d'action pour reprendre le contrôle de ses données empêchent une véritable maîtrise des citoyens.
Défi européen
En réalité, la France et l'Europe se débattent entre deux impératifs difficilement conciliables. D'un côté, il faut lever les freins à l'innovation pour développer l'économie numérique et réduire la dépendance du Vieux Continent aux géants numériques américains. Mais la réalisation de cet objectif impose d'exploiter toujours plus les données privées des citoyens... tout en sachant que plus le volume d'informations personnelles est important, plus leur anonymisation devient difficile en raison des possibilités de recoupement, tout comme leur protection.
De l'autre, l'Europe doit protéger les données de ses citoyens, à la fois pour établir l'indispensable confiance, mais aussi pour garantir sa souveraineté. Dans ce domaine, la France donne une impulsion avec la loi Lemaire, qui créé de nouveaux droits comme celui de "mort numérique". De son côté, la Commission européenne finalise le Règlement général de protection des données (RGPD), qui vise à doter les 28 pays de l'Union européenne d'un cadre unique, plus strict, pour protéger la vie privée. L'annulation de l'accord transatlantique Safe Harbor montre aussi que l'UE considère la question des données comme un enjeu stratégique majeur.
>> Lire : Safe Harbor : l'Europe hausse (un peu) le ton face aux Etats-Unis
Désormais, des services "sécurisés" à foison
Bien conscientes de cet impératif de confiance, les entreprises font de la protection de la vie privée une priorité. On ne compte plus les nouveaux services "sécurisés". Même les géants du Net, qui ont pourtant participé au programme de surveillance de masse Prism de la NSA, s'y mettent pour redorer leur image. Apple a supprimé le 20 octobre des dizaines d'applications de son App Store, car elles collectaient des données personnelles sans l'autorisation des utilisateurs. Alors que Windows 10 est critiqué pour aspirer énormément de données, Microsoft France a réagi en s'associant avec Thales pour intégrer sa solution de chiffrement Cyris à ses logiciels Office 2016. De son côté, Facebook pousse le zèle jusqu'à dévoiler une nouvelle notification qui prévient l'utilisateur si le réseau social estime qu'il fait l'objet d'une surveillance d'État !
Enfin, Apple et Google se sont convertis au chiffrement par défaut des messages de leurs smartphones. L'initiative a même agacé le procureur de Paris, François Molins. Selon lui, cette sécurisation complique la tâche des forces de police dans leur lutte contre le terrorisme et la cybercriminalité, au point de "rendre la justice aveugle". Une telle publicité pour iOS et Android, cela ne s'achète pas...
En réalité, ce marketing bien calibré ne redonne pas au consommateur la maîtrise de ses données. Il lui assure simplement davantage de protection contre les cybercriminels. "Le vrai problème, c'est que le modèle économique de la publicité comportementale basée sur l'exploitation des données n'est jamais remis en question. Sans solution alternative adaptée pour le grand public, reprendre le contrôle de ses données sur Internet est une illusion", déplore Adrienne Charmet, de La Quadrature du Net.
Le logiciel libre a le vent en poupe
Les pourfendeurs des Gafa et plus généralement les défenseurs de la vie privée partagent volontiers, sur Internet, une image humoristique pour vulgariser leur combat (voir le dessin ci-contre). On y voit deux cochons vantant la gratuité de leur porcherie, analogie évidente du modèle économique de Google, Facebook et consorts.
"C'est génial, on ne nous demande même pas de payer le loyer !", s'exclame le premier.
"Oui, et en plus la nourriture est gratuite !", réplique le second.
Les deux animaux, éblouis par la gratuité (apparente), ne se doutent pas que le produit, c'est eux, et qu'ils finiront en saucissons...
Pour ne pas devenir les jambons du monde numérique, de plus en plus de solutions "alternatives" voient le jour. Lassés par le "flicage" permanent de la publicité en ligne, de plus en plus de personnes se convertissent aux adblockers, ces logiciels qui empêchent l'irruption de la publicité lorsqu'on navigue sur Internet. En juin 2015, une étude américaine estimait qu'un milliard d'appareils (PC, tablettes, smartphones) seraient équipés d'un logiciel antipublicité. Mais ces bloqueurs de publicité sont eux-mêmes déjà contournés par les webmestres, dans un jeu du chat et de la souris technologique sans fin.
Des entreprises se spécialisent même dans des services "anti-Gafa". Avec de jolies success stories à la clé, comme les français Qwant et Gandi, une messagerie payante qui repose sur la location d'un nom de domaine. La plupart de ces nouveaux acteurs, à l'image de l'association française Framasoft, qui a lancé l'initiative "Dégooglisons Internet", ou du site Prism Break, proposent des services respectueux de la vie privée à partir d'un logiciel libre. Leur particularité ? La transparence. Contrairement aux logiciels dits propriétaires (les systèmes d'exploitation Windows, Mac OS, iOS et Android, les logiciels de type Word ou Excel, ceux qui font tourner des services comme Netflix et Uber...), leur code source est ouvert. Ce qui permet aux programmeurs et aux experts en sécurité de l'examiner en permanence et dans le détail.
"On sait exactement de quoi se compose un logiciel libre. Cette ouverture le protège des programmes espions ou malveillants, car cela va se voir", explique Tristan Nitot, le fondateur et ex-président de la fondation Mozilla Europe.
Longtemps, le logiciel libre est resté cantonné aux mouvements militants situés à l'extrême gauche de l'échiquier politique. Mais depuis quelques années, ses vertus commencent à s'imposer, y compris au sommet de l'État. Le gouvernement veut même promouvoir son développement dans le cadre de sa stratégie numérique, dévoilée l'été dernier et mise en application avec la loi Lemaire, la loi Valter sur les données ouvertes et la future loi Macron II.
En plus du recours aux logiciels libres, les stakhanovistes de la protection ne jurent que par la cryptographie, une technique qui permet de chiffrer le contenu de textes et de messages grâce à une clé (un code). Sans ce sésame, le contenu est indéchiffrable. Enfin, ils complètent leur arsenal en s'auto-hébergeant. L'idée est de ne plus stocker ses documents dans le nuage informatique (Gmail, Dropbox, iCloud, OneDrive, Evernote...) mais dans des serveurs personnels situés chez soi. Problème : ces solutions nécessitent des compétences techniques minimales et un investissement financier. Autrement dit, elles conviennent surtout aux amateurs d'informatique et aux citoyens politiquement engagés contre les Gafa, pas au grand public biberonné à la gratuité et habitué à des services simples d'utilisation et pratiques.
Le "cloud" personnel, la solution ?
« Pour que le grand public se convertisse à des solutions alternatives à celles des géants du Net, il ne faut pas simplement fournir la protection des données qui lui leur manque, mais rivaliser avec la qualité et la simplicité de leurs services", résume Tristan Nitot.
Plus facile à dire qu'à faire. L'ingénieur a pourtant une solution qu'il pense révolutionnaire : le cloud personnel, qu'il développe pour la startup française Cozy. Finis les serveurs physiques complexes et les solutions de cloud privé en logiciel propriétaire, place à une interface simple et sécurisée sur laquelle l'utilisateur peut stocker toutes ses données sans craindre que le service les revende ou les utilise à son insu.
Concrètement, il s'agit de louer un serveur chargé d'exécuter des logiciels libres pour stocker ses fichiers, synchroniser ses contacts, son agenda et accéder à de nombreuses applications sur tous ses appareils (PC, smartphone, tablette...). Cozy répond, selon Tristan Nitot, à la philosophie Sircus, un acronyme de son invention signifiant "système informatique redonnant le contrôle aux utilisateurs". Ce concept se fonde sur sept principes: le logiciel libre, le chiffrement, un modèle économique par abonnement sans publicité ciblée, une ergonomie soignée, le respect des standards du Web et une "valeur ajoutée" que n'ont pas les géants du Net. Selon Tristan Nitot, Cozy et d'autres solutions de ce type, qui pourraient inciter le grand public à rompre avec les Gafa, seront prêtes dans les années à venir. Sauront-elles s'imposer ?
________
>>> REPÈRES
3,3 milliards...
C'est le nombre de requêtes traitées chaque jour par le moteur de recherche de Google. La firme californienne détient environ 65 % du marché américain et plus de 90% % du marché européen.
Données personnelles:
Selon l'article 2 de la loi Informatique et Libertés, la donnée personnelle concerne "toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres". Une définition large qui couvre aussi les informations comme la géolocalisation d'une personne ou son adresse IP.
CGU:
Les conditions générales d'utilisation sont le contrat qu'un éditeur (site Web, application mobile, logiciel, service Internet...) soumet à l'utilisateur. Celui-ci doit l'accepter en intégralité pour accéder au service. Selon des chercheurs américains de l'université de Pittsburg, les CGU des 75 sites les plus visités au monde comportent en moyenne 2 500 mots.
Peu claires car écrites en jargon juridique, les CGU servent surtout de bouclier aux entreprises contre d'éventuelles plaintes. S'il lisait toutes les CGU des logiciels et services qu'il utilise, un internaute lambda consacrerait en moyenne soixante-seize jours par an, à raison de huit heures par jour, à cette activité.
RGPD:
Le Règlement général de protection des données, actuellement en négociations à Bruxelles jusqu'à la fin de l'année, vise à établir un cadre et des règles communes à l'ensemble des pays européens sur la protection des données personnelles. Il prévaudra sur le droit national.
Retraités : la volte-face des favorisés d'Emmanuel Macron (45)
Sujets les + commentés