Nous sommes aujourd’hui bien loin de la micro-informatique des années 1980. Les ordinateurs ont été miniaturisés au point qu’on peut en avoir un dans la poche (un smartphone) ou dans un sac à main (une tablette de type iPad) ou dans un cartable (un ordinateur portable).
On oublie souvent à quel point les choses ont progressé ces 4 dernières décennies. Voici deux exemples :
- l’iPad 2 est aussi puissant qu’un Cray 2 (supercalculateur) de 1985
- Chacune de nos recherches sur le moteur Google utilise la puissance de calcul équivalente à celle utilisée par le programme spatial Apollo dans les années 1960.
Au-delà de cette miniaturisation et de ce gain de puissance, l’informatique a changé de nature dans la mesure où il est devenu très rare d’utiliser un ordinateur qui ne soit pas connecté à d’autres ordinateurs via un réseau (un réseau est ce qui permet de connecter un ordinateur à d’autres pour échanger de données. Cette connexion peut se faire par un fil mais aussi par ondes radio, le plus souvent par la norme Wifi).
Via le réseau, on se retrouve à utiliser des ordinateurs à distance. Ainsi, quand on fait une recherche Google sur un mot-clé, on fait un appel à des ordinateurs situés dans un centre de données (datacenter), une sorte de hangar climatisé où se trouvent des centaines d’ordinateurs (les serveurs) qui reçoivent les recherches des utilisateurs et renvoient des résultats. Notre ordinateur (ou notre tablette ou smartphone) ne fait qu’afficher les résultats de notre demande.
Quel contrôle sur nos données et nos ordinateurs avons-nous à l’heure d’Internet ?
Prenons un peu de recul un court instant et revenons-en aux premiers pas de la micro-informatique.
Au début, l’utilisateur avait le contrôle des logiciels utilisés, car il avait dû les écrire lui-même, à moins qu’il n’ait récupéré du code source venant d’un autre hobbyiste. Les données de l’utilisateur sont stockées localement, donc on en a aussi le contrôle.
Si nous revenons à l’époque présente, correspondant au schéma ci-dessus, on peut certes faire plus de choses qu’avant, et c’est tant mieux, mais en termes de contrôle de nos logiciels et nos données c’est la descente aux enfers… Dorénavant, le logiciel qui tourne sur nos ordinateurs est presque toujours propriétaire, c’est à dire écrit par un tiers et dont le fonctionnement est quasiment invérifiable. Comment avoir confiance dans ces boîtes noires ? Mais il y a pire : nos PC nous servent surtout à utiliser du logiciel qui fonctionne en fait sur des serveurs, lesquels sont dans des datacenters distants. Là aussi il s’agit le plus souvent d’applications propriétaires, écrites par des tiers. Et le comble, c’est que nos données sont là-bas, dans les mêmes datacenters !
C’est une totale aberration : l’informatique est chaque jour plus indispensable à nos vies, et pourtant nous en avons chaque jour moins le contrôle !
Auparavant, les ordinateurs nous appartenaient, utilisaient du logiciel que nous pouvions auditer et modifier et nos données étaient stockées localement.
Maintenant, les ordinateurs sont dans des datacenters dont on ignore jusqu’à la localisation, avec des logiciels écrits par des tiers et qu’on ne peut pas auditer, et nos données sont détenues par des tiers ! Ces mêmes tiers en profitent pour accumuler des données sur la façon dont nous utilisons ces logiciels, mais aussi nos propres données…
Quand je pense à ça, je me dis que le monde marche sur la tête.
Revenons sur l’impossibilité de savoir ce qui est fait de nos données. Quelles informations personnelles sont collectées ? Quelles informations à propos de mes proches sont récupérées via mes échanges avec eux ? Combien de temps sont-elles conservées ? Avec qui sont-elles partagées ? Comment sont-elles recoupées ?
Nous n’avons aucun contrôle sur les logiciels qui tournent sur les machines des services Internet auxquels nous avons recours. Sans aucune possibilité de contrôle, comment peut-on avoir confiance ? Il ne nous reste plus qu’à nous fier aux promesses des services que nous utilisons, sans avoir aucune certitude qu’elles seront tenues.
Pire : quand on analyse ces promesses, qui sont contenues dans des documents appelés « politiques d’utilisation des données » ou « règles de confidentialité » (Privacy policies en anglais), on se rend compte que tout cela est incompréhensible pour l’utilisateur ordinaire car trop long et beaucoup trop complexe.
Je vous propose de voir ce que Facebook et Google, à titre d’exemple, disent faire de nos données. Ça n’est guère rassurant…
Quelles données sont collectées par Facebook ?
Prenons la politique d’utilisation des données de Facebook. Il suffit de passer un peu de temps à analyser ces documents pour voir que « pour fournir un meilleur service », l’entreprise collecte des données, beaucoup de données, toutes sortes de données. Extrait du document de Facebook :
Nous utilisons les informations que nous recevons pour les services et les fonctions que nous vous fournissons, à vous et à d’autres utilisateurs, tels que vos amis, nos partenaires, les annonceurs qui achètent des publicités sur le site,.
Quelles informations, plus précisément ?
- Information d’inscription
- Informations que vous choisissez de communiquer
- Informations que d’autres communiquent à votre propos
- Autres informations que nous recevons à votre sujet
Cette dernière section du document Facebook est particulièrement intéressante, parce que nous n’en n’avons que rarement conscience : de nombreuses données sont collectées sur notre comportement, sans que nous ne les partagions sciemment. Quelques extraits :
Nous recevons également d’autres types d’informations vous concernant :
- Nous recevons des données à votre sujet à chaque fois que vous entreprenez une action dans Facebook,(…)
- Lorsque vous publiez des informations telles que des photos ou des vidéos sur Facebook, nous pouvons recevoir des données supplémentaires (ou métadonnées), comme l’heure, la date et l’endroit où vous avez pris la photo ou la vidéo.
- Nous recevons des données provenant de, ou concernant, l’ordinateur, le téléphone mobile ou les autres équipements dont vous vous servez pour installer les applications Facebook ou pour accéder à Facebook (…). Cela peut comprendre des informations sur (…) le type (y compris les numéros d’identification) de l’appareil ou du navigateur que vous utilisez ou les pages que vous visitez. Par exemple, nous pouvons obtenir vos coordonnées GPS ou d’autres informations de géolocalisation (…)
(…) nous recueillons également les données provenant d’informations que nous possédons déjà à votre sujet et à propos de vos amis et de tiers(…) Nous pouvons associer votre ville actuelle, vos coordonnées GPS (…)
Quelles données sont collectées par Google ?
En ce qui concerne Google, même si le type de service rendu est différent, la collecte de données est elle aussi généralisée. Il faut dire que la mission que s’est choisie l’entreprise est « (d’)organiser l’information du monde, de la rendre utile et accessible de partout ». Et pour cela, il faut collecter toutes les données possibles, comme nous l’avons vu au chapitre 3.
Passons donc en revue les règles de confidentialité de Google :
Au-delà des données que nous communiquons volontairement à Google, la société collecte :
- (…) des données relatives à l’appareil que vous utilisez, par exemple, le modèle, la version du système d’exploitation, les identifiants uniques de l’appareil et les informations relatives au réseau mobile, y compris votre numéro de téléphone. (…)
- la façon dont vous avez utilisé le service concerné, telles que vos requêtes de recherche.
- des données relatives aux communications téléphoniques, comme votre numéro de téléphone, celui de l’appelant, les numéros de transfert, l’heure et la date des appels, leur durée, les données de routage des SMS et les types d’appels.
- votre adresse IP.
- des données relatives aux événements liés à l’appareil que vous utilisez, tels que plantages, activité du système, paramètres du matériel, type et langue de votre navigateur, date et heure de la requête et URL de provenance.
- (…) Nous utilisons différentes technologies pour vous localiser, y compris l’adresse IP, les signaux GPS et d’autres capteurs nous permettant notamment d’identifier les appareils, les points d’accès WiFi et les antennes-relais se trouvant à proximité.
- (…) utilisons les informations fournies par les cookies et d’autres technologies, comme les balises pixel (…)
- Nos systèmes automatisés analysent vos contenus (y compris les e-mails) (…)
- Les informations personnelles que vous fournissez pour l’un de nos services sont susceptibles d’être recoupées avec celles issues d’autres services Google (y compris des informations personnelles), (…)
- (…) même lorsque vous supprimez des données utilisées par nos services, nous ne supprimons pas immédiatement les copies résiduelles se trouvant sur nos serveurs actifs ni celles stockées dans nos systèmes de sauvegarde.
J’ai décidé de me limiter aux aspects les plus frappants de deux des acteurs les plus utilisés, mais il faut savoir deux choses :
- La plupart des services en ligne (mais pas tous, heureusement) ont des conditions d’utilisation qui sont comparables ;
- En les utilisant, nous acceptons ces conditions d’utilisation et reconnaissons les avoir lues.
Voyons voir pourquoi la plupart des services en ligne sont aussi voraces dès qu’il s’agit de nos données personnelles…
9 réactions
1 De Sacrip'Anne - 30/01/2015, 09:44
La mention au Cray me rappelle le temps du Musée de l'Informatique, sur le Toit de l'Arche maintenant fermé. On avait un Cray (1, celui-ci), que les visiteurs prenaient régulièrement... pour une banquette !
Quand on leur expliquait que c'était comparable au téléphone qu'ils avaient dans leur poche, en terme de puissance de calcul, il y a avait un moment de flou.
Bref.
Il faudrait développer un système à synthétiser les CGU pour en sortir les choses vraiment importantes sans tomber dans la torpeur hypnotique que provoque leur lecture.
Mais on finit toujours par accepter, alors quelle alternative (pratique et communicante avec le monde) ?
2 De v_atekor - 30/01/2015, 10:39
Juste une remarque annexe. Je ne sais pas si tu comptes publier ce bouquin sous CCby, mais n'hésites pas à piocher dans mes commentaires si le cœur t'en dit.
3 De v_atekor - 30/01/2015, 10:54
Le pire, c'est que la plupart éléments de la licence sont là, précisément, pour contourner des éléments de la loi.
.
Lire le contenu des mails est illégal. Ce n'est pas un problème de code, mais un problème de loi. Et si google demande licence pour passer outre la loi, c'est précisément parce qu'il serait dans l'illégalité s'il ne le faisait pas. Pour la tartufferie, Google permettrait d'éditer soi même un accord de licence, je doute beaucoup que ça ait une quelconque incidence sur ses activités.
.
Celà étant, l'espoir est permis, puisqu'il me semblait qu'une jurisprudence récente française n'avait pas donné de poids à la licence fournie par un de ces "gros" dans un cas similaire. L'avocat avait argué que la licence spécifiait que seule la juridiction californienne était compétente, et que le tribunal devait se déclarer incompétent, mais ça n'avait entrainé un haussement des épaule du juge. Il faudrait voir précisément ce qu'il en est exactement.
.
Ce qui est très très clair, est qu'il faut différencier clairement la loi du code source. C'est bien parce que la loi existe et qu'il faut la détourner avec l'accord de l'utilisateur que ces licences-que-personne-ne-lis sont faite. La difficulté, pour ces licences, étant précisément qu'elles se réfèrent toutes au code sinon californien, Américain, qui affirme (vraisemblablement) une supériorité du contrat sur la loi, ce qui n'est pas le cas ici (encore faut-il faire valoir la loi, ce qui est une autre affaire, mais enfin il faudrait aussi lire les licences que personne ne lis, ce serait une avancée majeure pour le libre.)
.
Il faut veiller au grain et être attentifs aux traités internationaux signés ces jours ci avec le Canada et les Etats-Unis. Il y a des histoires de juridictions privées qui peuvent impacter sérieusement ce débat.
4 De Nathanael - 30/01/2015, 11:26
Bonjour,
Il y a quelques erreurs :
- revenons à aux premiers pas de la micro-informatique.
-- Revenons-en aux ... ?
- invérifiabl.
-- Il manque le "e"
J'ai hâte de lire la suite !
Merci !
5 De Tristan - 30/01/2015, 18:41
@Nathanael : c'est corrigé, merci !
@V.Atekor : Oui, loi et code source sont différents. Lawrence Lessig dit Code is Law de façon métaphorique, et ça soulève bien le problème : au moins, la loi on la fait voter après débat démocratique par des représentants du peuple.
@Sacrip'Anne : mais mais mais... tu ne connais pas le projet TOS;DR ? https://tosdr.org/ Il faut en parler et les aider !
6 De v_atekor - 30/01/2015, 20:28
@Tristan : oui et non. Malgré toutes les qualité du libre (et j'avais 17 ans, en 1995 lorsque j'ai mis la première fois les mains dans le source de linux) je pense qu'il te faut faire attention à la confusion des genres. Il y a plusieurs éléments à distinguer : le débat parlementaire, la loi, et le code source. Il faut les différencier clairement, car ils Tous ces éléments se disputent un point : le pouvoir. Il y a ce que peut l'utilisateur et ce qu'il ne peut pas. Il y a la liberté que lui offre le Droit, et ce que le développeur lui concède. Le mot clef, c'est POUVOIR, et, précisément, le conflit qui existe entre leS législateurS, les utilisateurs et les développeurs...
7 De Tristan - 31/01/2015, 15:54
@V_atekor : si le sujet t'intéresse, je t'encourage à lire Lawrence Lessig. C'est passionant !
8 De v_atekor - 01/02/2015, 11:16
@Tristan : je le lirai
9 De Sacrip'Anne - 02/02/2015, 15:50
Ah mais j'y COURS !