LinkedIn : une politique de confidentialité lisible 16 mai 2013
Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée.1 comment so far
LinkedIn vient de réviser sa politique de confidentialité. C’est l’occasion de se pencher sur le rôle joué par ce document et les différentes possibilités de le rendre accessible. Il devrait être clair et concis pour que l’utilisateur s’y retrouve, tout en étant complet car cela reste un document juridique.
Une politique de confidentialité, c’est quoi ?
Une politique de confidentialité (Privacy Policy) est le document par lequel le maître du fichier informe la personne concernée du traitement de ses données. C’est le moyen utilisé, notamment par les sites Internet, pour remplir leur obligation d’information, voire obtenir les consentements nécessaires. La politique de confidentialité est souvent un élément des conditions générales.
Lorsque des données personnelles sont traitées, le traitement de ces données (ce qui inclut la collecte, la conservation, l’utilisation, la communication, etc.) doit être au moins reconnaissable. Si les données traitées sont des données sensibles ou des profils de la personnalité, le doit suisse exige une information. On doit notamment pouvoir reconnaître (ou être informé de) quelles données sont traitées, par qui, dans quel(s) but(s) et si elles sont transmises à des tiers.
La personne dont les données sont traitées doit consentir à ce traitement. Ce consentement peut avoir lieu par acte concluant (en transmettant des données, en acceptant des conditions générales, etc.), mais il doit être éclairé. Cela signifie que pour donner son accord au traitement des données, il faut disposer d’informations claires et compréhensibles sur le sort réservé à ses données.
Un document multicouche
La nouvelle politique de LinkedIn se compose de trois couches. La première est une vidéo qui explique ce que contient la politique de confidentialité et dans les grandes lignes quelles données sont traitées.
Le texte du document principal est divisé en deux colonnes qui représentent les deux dernières couches. Alors que la colonne de droite correspond au format classique et complet, la colonne de gauche résume en une phrase chaque paragraphe.
Cette politique se lit facilement et l’utilisateur peut sans difficulté approfondir un point puisque le paragraphe correspondant est toujours au même niveau. Le texte contient également de nombreux liens directs qui permettent de refuser certains traitements de données. Comme ces «options» sont peu visibles et que le paramétrage du compte n’est pas très intuitif, ces liens sont très utiles. Ils permettent par exemple de:
- se désinscrire de la collecte d’impressions de plug-ins (LinkedIn reçoit des informations lorsque vous visitez un site tiers qui intègre les plug-ins professionnels de LinkedIn);
- ne pas recevoir les publicités LinkedIn diffusées sur des sites tiers;
- choisir les éléments de votre profil qui sont répertoriés par les moteurs de recherche;
- activer/désactiver le partage des données avec les applications tierces;
- renoncer à participer à des enquêtes et sondages; ou
- activer l’accès sécurisé HTTPS ou la connexion en deux temps.
La forme et le contenu
Si la forme est séduisante, le contenu ne réserve pas d’aussi bonnes surprises. Comme c’est le cas pour la plupart des fournisseurs de services, LinkedIn se donne un maximum de droits, par exemple de celui de transmettre les données à des tiers «dans le but de conserver les fonctions et fonctionnalités de LinkedIn», à des sociétés affiliées ou en cas de cession des actifs de la société. La collecte d’informations lors de la synchronisation avec un appareil portable, un calendrier ou une autre application est aussi large.
Ce n’est donc pas parce qu’une politique de confidentialité est compréhensible que son contenu est favorable à l’utilisateur, mais c’est en toute connaissance de cause que le consommateur pourra choisir d’utiliser ou non ces services.
Sur le même sujet
Pourquoi ne pas s’inspirer des étiquettes alimentaires pour protéger la sphère privée?
Les préposés européens unis face à la nouvelle politique de confidentialité de Google
Facebook: enfin une suppression définitive 12 octobre 2012
Posted by Sylvain Métille in Facebook, Liens, Protection des données, Sphère privée, Technique, USA.1 comment so far
C’était un reproche récurrent depuis des années, lorsqu’un utilisateur supprime des photos voire son compte Facebook, le réseau social conservait les informations et ne supprimait que les liens. La justification donnée tenait du confort de l’utilisateur qui changerait d’avis (pour lui donner la possibilité de récupérer ses informations) et d’aspects techniques (les informations sont réparties sur plusieurs serveurs qui ne peuvent pas être effacés simultanément de manière certaine).
Supprimer définitivement son compte
La situation s’est progressivement améliorée puisqu’il est possible de supprimer définitivement son compte à condition de s’avoir comment procéder. Facebook propose en effet de désactiver son compte (et pas de le supprimer): sous l’onglet sécurité de la page paramètres du compte se trouve un lien « désactiver votre compte » en bas de page. Le compte sera seulement désactivé et réapparaîtra lors de la nouvelle connexion au compte Facebook. Cela n’est utile que si vous souhaitez disparaitre momentanément.
L’utilisateur ne peut pas supprimer seul son compte de manière définitive mais il peut demander au réseau social de le faire pour lui en suivant ce lien: www.facebook.com/help/delete_account. Auparavant, il ne sera peut-être pas inutile de télécharger ses données .
Supprimer les photos supprimées
On sait depuis 2009 que les photos supprimées ne l’étaient pas toujours mais qu’elles disparaissaient parfois seulement de la vue des utilisateurs. Elles subsistaient sur les serveurs de la société et il était parfois possible de les voir en utilisant le lien direct (le lien qui apparaît sous la photo que l’on a enregistrée sur le réseau social).
Depuis quelques mois ce n’est heureusement plus le cas et le réseau social promet que les photos disparaîtront au plus tard définitivement après 30 jours. C’est apparemment le temps nécessaire à Facebook pour supprimer tous les liens vers ses différents serveurs.
Ces adresses email @facebook.com dont plus personne ne veut 3 juillet 2012
Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée, Technique.add a comment
A l’automne 2010, les internautes se pressaient pour obtenir leur adresse email du réseau social Facebook (par exemple prenom.nom@facebook.com).
Facebook avait eu la bonne idée de permettre à ses membres de regrouper dans une même «boîte aux lettres» les messages instantanés et différés du réseau social, les messages vidéos et surtout les messages électroniques envoyés par des personnes externes au réseau social. Malheureusement, l’idée n’a pas eu l’écho escompté et très rares sont les personnes qui donnent leur adresse email facebook au lieu de leur adresse de messagerie classique.
Tous les utilisateurs ont une adresse de courrier électronique, qui correspond à leur nom d’utilisateur, à moins qu’ils n’aient fait une demande particulière. L’adresse principale et le nom d’utilisateur peuvent être modifiés via les paramètres généraux.
Depuis quelques jours, les membres attentifs ont pu constater que toutes leurs adresses email avaient été remplacées par leur adresse Facebook, sans qu’ils en soient avertis. Vous pouvez vérifier cela sur votre timeline sous coordonnées. Vous pouvez également modifier ces informations et notamment remettre votre vraie adresse électronique, ainsi que régler les droit d’accès à vos différentes adresses (privée, professionnelle, etc.) en modifiant les paramètres.
Des messages perdus et des adresses supprimées
Ce changement imposé n’a guère été apprécié par les utilisateurs. Mais en plus il y eu des effets collatéraux désagréables pour ceux qui synchronisent leurs carnets d’adresses avec les contacts de leur téléphone mobile en utilisant l’application Facebook. Logiquement, les adresses email de leurs amis ont été mises à jour et automatiquement remplacées par les adresses @facebook.com, même si leurs amis ne les utilisent jamais voire ignorent l’existence de cette nouvelle adresse. De nombreux utilisateurs ont perdu des messages et la fiabilité de l’adresse @facebook semble sujette à caution. Plusieurs envois ne sont jamais parvenus à leur destinataires ou avec des délais anormalement longs.
Facebook a admis avoir imposé l’affichage de l’adresse de son réseau, mais conteste avoir voulu supprimer toutes les autres adresses dans les téléphones mobiles, précisant qu’il s’agit d’un bug en cours de correction.
Vérifier la confidentialité de son profil et celui de ses enfants sur Facebook 5 juin 2012
Posted by Sylvain Métille in Facebook, Logiciel, Protection des données, Sphère privée, Surveillance.4 comments
Secure.me est une application web disponible gratuitement et en français sur Internet, développée par myON-ID Media une société répartie entre Munich et San Francisco. Son but initial est de permettre aux parents de contrôler les informations partagées par leurs enfants sur le réseau social Facebook et les risques qui en découlent, sans avoir besoin d’être présents sur ledit réseau social et encore moins de faire partie des « amis » de leur enfant.
Secure.me permet aussi évidemment de surveiller son propre compte, soit lors d’une analyse, soit en temps réel et automatiquement (on reçoit alors régulièrement un rapport d’analyse dans sa boîte électronique).
Profil, photos, contributions de tiers, etc.
L’application analyse notamment le profil en effectuant des recherches sémantiques (il est possible d’ajouter ses propres mots-clés à surveiller). Se basant sur la reconnaissance faciale, secure.me peut aussi identifier les photos où l’utilisateur n’est pas taggé. Les résultats sont ensuite présentés de manière claire avec une évaluation du degré de confidentialité ou du risque pour votre sphère privée.
La force de l’application est non seulement d’analyser le contenu mis à disposition par l’utilisateur, mais également les contributions de tiers en lien avec l’utilisateur (photos, commentaires sur le mur, interactions, applications tierces, pages « aimées », etc.). Le contenu sensible et les liens potentiellement dangereux sont ensuite signalés et l’impression générale du profil évaluée. » Pendant que secure.me procède à l’analyse, l’utilisateur peut voir défiler éléments examinés. Le volume d’informations accessibles est tout simplement impressionnant!
Facebook condamné par le Landgericht de Berlin 20 avril 2012
Posted by Sylvain Métille in Facebook, Jurisprudence, Protection des données, Sphère privée.2 comments
L’association allemande de consommateurs «Verbraucherzentrale Bundesverbandes» (vzbv) a obtenu le 6 mars 2012 une victoire contre le réseaux social Facebook (représenté par la société irlandaise Facebook Ltd). Le Landgericht de Berlin a constaté (Jugement 16 O 551/10) que l’outil de recherche d’amis (friendsfinder) incite l’utilisateur à importer les noms et coordonnées électroniques de personnes qui ne font pas partie du réseau social Facebook et que ceux-ci reçoivent ensuite une invitation sans avoir donné leur accord. L’utilisateur n’était, selon les constatations de la cour, pas clairement informé que l’ensemble de son carnet d’adresse sera importé par Facebook et utilisé dans le but d’inviter des amis. Facebook a depuis apporté quelques légères modifications, mais probablement de manière insuffisante : le fait que l’intégralité du carnet d’adresse soit enregistrée n’est pas clairement mentionné.
Des reproches en matière protection des données et de droit d’auteur
Le Tribunal allemand a encore reproché d’autres éléments figurant dans les conditions générales d’utilisation du réseau social, parmi lesquels le droit d’utilisation global et gratuit que s’arroge Facebook sur le contenu de l’utilisateur (alors qu’un accord expresse serait nécessaire pour la musique et les photos composées personnellement), le fait que Facebook ne s’assure pas que l’utilisateur soit informé immédiatement de modification des conditions sur la base desquelles l’utilisateur a donné son accord pour utiliser ses données personnes dans un but publicitaire.
Ce jugement ordonne à Facebook de remédier à ces manquements et s’assurer du respect du droit européen de la protection des donnes avant d’introduire de nouveau services. L’association vzbv a déjà annoncé qu’elle s’assurerait de la mise en œuvre de ce jugement dès qu’il serait définitif (Facebook a encore la possibilité de déposer un recours).
En plus de ces éléments, cette décision confirme aussi que Facebook doit s’adapter sur le continent européen aux normes légales en vigueur et que sa succursale irlandaise peut en être tenue pour responsable.
Facebook rachète Instagram (et vos données) pour un milliard de dollars 10 avril 2012
Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée, Suisse, Technique, USA.2 comments
Facebook a annoncé hier le rachat pour un milliard de dollars US du service de partage de photos Instagram. Mark Zuckerberg a promis que la possibilité de poster sur d’autres réseaux sociaux serait conservée, de même que celle de ne pas partager ses images Instagram sur Facebook ou encore de conserver séparément ses contacts Instagram et Facebook. Mais aucune garantie n’a en revanche été donnée sur la protection des données des utilisateurs.
La politique de confidentialité d’Instagram, comme souvent, ne prévoit rien en cas de rachat d’entreprise. Même si les utilisateurs pourront continuer à utiliser leurs compte séparément, rien n’indique pour le moment que Facebook ne va pas simplement cumuler les données concernant les utilisateurs en provenance des deux réseaux afin d’obtenir encore plus d’informations. La tentation pour Facebook de relier automatiquement les données des utilisateurs sera grande, même si illégale dans la plupart des cas.
Pas de fusion des données sans consentement
Un tel mélange des données serait contraire à la loi dans de nombreux pays car lors de leur inscription au service Instagram, les utilisateurs ont donné leur consentement pour un service particulier de partage de photos et non pour un réseau social ou un profil de personnalité étendu. Ce consentement demeure valable (y compris avec ses limites) tant que l’utilisateur ne le modifie pas.
Pour être en conformité avec la loi, Facebook devrait informer clairement les utilisateurs de ses intentions et leur donner la possibilité de retirer définitivement toutes leurs données d’Instagram avant utilisation par Facebook. Idéalement une possibilité d’utiliser d’Instagram de manière complètement indépendante devrait être proposée.
A noter encore que même si la majorité des utilisateurs ne protègent pas leurs photos, celles-ci étant par défaut publiques, le fait d’accepter une publication via Instagram ne permet toutefois pas d’en déduire le droit pour Facebook de les republier sur son réseaux social.
Peut-on demander à celui qui postule pour un emploi le mot de passe de son compte à un site Internet? 27 mars 2012
Posted by Sylvain Métille in Facebook, Protection des données, Sphère privée, Suisse, USA.3 comments
Le blog juridique du World Street Journal se demandait récemment si l’on pouvait demander le mot de passe d’un compte Facebook à celui qui postule pour un emploi ? (« Can Job Applicants Be Asked For Facebook Passwords? ») La réponse est évidemment négative et la question surprend. Pourtant il semble que le cas ne soit pas si improbable que cela. L’Union américaine pour les libertés civiles (ACLU) relatait récemment le cas d’un agent de détention du Maryland sommé de donner ses identifiant et mot de passe lors d’un entretien de renouvellement de son accréditation. D’autres exemples sont également rapportés par l’agence de presse Associated Press.
Premièrement, cela serait contraire aux conditions générales du site Facebook. Mais surtout c’est une atteinte inadmissible à la sphère privée. On peut admettre que l’employeur consulte les profils publics, comme il pourrait avoir accès à n’importe qu’elle autre information publique, mais la création de faux profils pour glaner des informations n’est pas tolérable. La partie privée d’un site Internet (qu’il s’agisse d’un réseau social ou d’un autre site) appartient à la sphère privée d’un candidat, comme l’est également sa messagerie.
La vie privée reste privée
En droit suisse, la récolte de données est en principe exclue lorsqu’elles concernent les relations familiales, les convictions philosophiques ou religieuse, la santé (sauf si cela a un lien direct avec l’emploi) et la vie privée en général du candidat. Le candidat a le droit de refuser de répondre et l’on admet même qu’il a le droit de mentir à une question illégitime si c’est pour lui le seul moyen de bénéficier concrètement du droit de ne pas répondre.
Ainsi non seulement le candidat n’a pas à donner son mot de passe, mais en plus le futur employeur n’a pas le droit de le demander.
Revue de presse 7 novembre 2011
Posted by Sylvain Métille in Divers, Facebook, Liens, Protection des données, Publications, Sphère privée, Suisse, Surveillance, Téléchargement, Technique, USA.4 comments
De retour en Suisse depuis quelques jours, j’ai été sollicité par plusieurs médias. Voici un petit tour d’horizon de la semaine dernière.
Presse écrite
Le journal Le Matin m’a interrogé en lien avec la collaboration de la Haute Ecole d’ingénierie et gestion du canton de Vaud (HEIG-VD) et la police cantonale vaudoise, pour développer des chevaux de Troie pour smartphones. L’article est disponible sur le site du quotidien orange. Il a été repris et adapté en allemand par le journal 20 Minuten et peut également être consulté sur le site du quotidien alémanique.
Télévision
La Télévision Suisse Romande a réalisé un reportage traitant de la protection des données par Facebook, en particulier les données conservées par le réseau social et le droit d’accès à ses propres données. Une version courte du reportage a été diffusée dans le cadre du 19h30 du 3 novembre 2011 et le reportage complet a été programmé dans l’émission Nouvo du lendemain. On peut le revoir sur le site de Nouvo (avec comme d’habitude une interview complémentaire).
Diaspora* prend forme, sera-t-il un concurrent sérieux pour Google+ et Facebook? 12 septembre 2011
Posted by Sylvain Métille in Facebook, Google, Logiciel, Protection des données, Sphère privée, Téléchargement.3 comments
Alors que Facebook et LinkedIn sont largement établis et que Google+ prend sa place, Diaspora* ouvre les portes de sa version alpha (une version test qui n’est pas encore destinée au grand public). Nous avons pu voir à quoi ressemble ce réseau social et à première vue il paraît plutôt stable pour une version de ce type. Les informations disponibles sont toutefois encore assez limitées.
Au début 2010, quatre étudiants de NYU (New York University) ont décidé de révolutionner la notion de réseau social en développant un projet qui doit être décentralisé, open source et respecter la sphère privée des utilisateurs. Depuis, quelques invitations ont été distribuées (et nous en avons encore quelques-unes).
Le projet prend forme
Diaspora* est un projet open source (aGPL), ce qui signifie que le code source est publié et chacun peut l’adapter et l’utiliser. Le projet ne doit pas reposer sur un seul serveur mais chacun devrait pouvoir stocker ses informations sur son propre serveur ou sur un des multiples serveurs proposés s’il ne possède pas son serveur personnel (ce qui sera le cas de la majorité des utilisateurs). Le logiciel Diaspora* peut donc être installé sur un serveur de sorte à créer un nouveau réseau social privé, au sein d’une entreprise par exemple, avec ou sans la possibilité de se connecter à d’autres réseaux Diaspora*.
Diaspora* promet finalement de respecter la sphère privée des utilisateurs et à première vue cela paraît bien parti. Intégrant cette notion dès la conception, Diaspora propose des «aspects», soit des groupes de personnes (dans le même genre que les cercles de Google+). Les données devraient aussi être cryptées et Diaspora* n’intègre pas de publicité.
L’interface est simple et agréable, les paramètres faciles à régler. Le site utilise des mots-clés «hashtags» comme sur Twitter, que ce soit pour compléter son profil ou définir des sujets que l’on veut suivre. Déjà dans sa version alpha, le site offre des fonctions d’exportation qui permettent de reprendre ses données et de les utiliser sur une autre plate-forme.
Il faut maintenant que le logiciel continue à se développer et passe au moins en version beta pour que l’on puisse s’en faire une idée plus précise. A noter encore que le site est déjà accessible dans de nombreuses langues dont le français.
Sphère privée sur les réseaux sociaux: des paramètres trop compliqués? 24 août 2011
Posted by Sylvain Métille in Facebook, Google, Sphère privée, USA.add a comment
Trois chercheurs en informatique de l’Université de Columbia (New York) ont mené une évaluation empirique pour comparer les choix effectués par les utilisateurs d’un réseau social (en l’occurrence Facebook) avec leurs intentions.
L’article publié par Michelle Madejski, Maritza Johnson et Steven M. Bellovin intitulé The Failure of Online Social Network Privacy Settings a montré que la totalité des participants ont partagé des informations qu’ils ne pensaient pas rendre publiques. De manière surprenante, la plupart des utilisateurs n’ont pas pour autant changé après en avoir eu connaissance. La plupart ont également caché des informations qu’ils croyaient partager.
Si les utilisateurs sont généralement inquiets au sujet de la protection de leur sphère privée, 95% avaient confiance dans les réglages qu’ils utilisaient (alors que le résultat ne correspondait pas toujours à ce qu’ils croyaient).
On apprend à la lecture de cet article que la raison principale pour laquelle les participants limitaient l’accès à certaines informations était la protection de leur réputation sociale, suivie d’une protection plus économique (éviter le vol d’identité, la transmission de profils aux publicitaires) et finalement dans une moindre mesure une protection physique (ne pas transmettre son adresse, son visage ou des informations de contact à des inconnus).
Cette étude contient beaucoup d’autres données intéressantes et confirme que les réglages actuellement à disposition sur les réseaux sociaux sont trop compliqués et que l’utilisateur s’y perd. Google plus a intégré dès la conception cette idée (notamment par les cercles) et devrait rendre cela plus accessible, bien qu’il soit actuellement beaucoup trop tôt pour s’exprimer sur le comportement de l’utilisateur dans ce cadre.
Le 23 août 2011 Facebook a également annoncé sur son blog une série de modifications dont le but est de permettre une meilleure maîtrise des informations partagées.
