Download_on_the_App_Store_Badge_FR_RGB_blk_100517

Pourquoi les géants du web sécurisent mal vos données personnelles

  • Recevoir tous les articles sur ce sujet.

    Vous suivez désormais les articles en lien avec ce sujet.

    Ce thème a bien été retiré de votre compte

Pourquoi les géants du web sécurisent mal vos données personnelles
En un mois, Facebook, LinkedIn et Clubhouse ont tous fait l'objet d'une fuite d'informations concernant leurs utilisateurs © LoboStudioHamburg / 404 images

Il y a trois ans maintenant, le 24 mai 2018, le règlement général sur la protection des données (RGPD) entrait en vigueur et obligeait toutes les entreprises à signaler sur leur site qu’elles collectaient les données de leurs utilisateurs. Au-delà de la simple communication, cette règle européenne contraint les sociétés à s’assurer que les informations de leurs clients soient bien sécurisées pour ne pas finir entre les mains d’un hacker.

Pourtant, il ne se passe pas une semaine sans que les médias révèlent une fuite de données sensibles depuis les serveurs d’une multinationale. En avril, les infos de 533 millions de comptes Facebook – dont les numéros de téléphone – ont été diffusées sur un forum de cybercriminels. Le réseau social professionnel LinkedIn et la dernière plateforme audio en vogue, Clubhouse, ont tous les deux fait l’objet d’une récupération frauduleuse des données d’utilisateurs le mois dernier. On ne parle pas ici d’un piratage, mais d’une simple manœuvre informatique – le web scraping – traduisible en français par «grattage d’Internet» – consistant à piocher des renseignements en exploitant une faille dans le code du site.

À lire aussi — Le numéro de téléphone de Mark Zuckerberg fait partie des données personnelles volées sur Facebook

Des pays plus sévères que d'autres

Aucune sanction n'a été infligée pour l'instant. Doit-on en conclure que le RGPD n’est qu’un texte illusoire et que les GAFA sont incapables de respecter la loi ? Cela dépend des pays.

D’après le site d’information financières Finbold, les pays de l’Union européenne ont condamné au total pour 33,61 millions d’euros d’amendes au premier trimestre 2021. L’Espagne est pour l’instant en tête des sanctions avec 15,7 millions d’euros infligés, l’Allemagne arrive en deuxième position avec des amendes s’élevant à 10,7 millions d’euros. La France fait plutôt figure de bon élève, se classant sixième avec un total de 245 000 euros de sanctions.

En 2020, les régulateurs avaient déjà délivré 306,3 millions d'euros d'amendes, la France étant la championne des amendes avec 8 sanctions pour un montant total de 138,3 millions, suivie par l'Italie (58 millions d'euros) et le Royaume-Uni (44 millions d'euros). En dernière position, se trouvait l'Irlande, alors même que Dublin est la capitale des sièges des géants du web : Google, Facebook, LinkedIn, Microsoft, Airbnb, Dropbox, IBM et bien d'autres y sont installés.

Cela explique aussi le manque de sanctions contre ces mêmes entreprises, le gouvernement irlandais préfèrent encore fermer les yeux que de se priver du potentiel attractif des groupes américains. Ce laxisme n'est pas apprécié par les députés européens qui ont fait part de leur inquiétude dans une résolution votée en mars dernier. Contre Facebook, le gendarme irlandais des données, la DPC (ou Data Protection Commission) s'est réveillée et, après une première enquête, l'institution estime que si le groupe de Palo Alto a enfreint les règles européennes, le réseau social risquerait une amende qui pourrait atteindre jusqu’à 4 % de son chiffre d’affaires mondial (70 milliards d'euros dans le monde en 2020), selon Business Insider.

À lire aussi — Voici quelques conseils simples pour empêcher que vos données en ligne soient utilisées contre vous

Prochaine étape : la régulation de l'algorithme

"Les données, c'est l'or du XXIeme siècle. Leur valeur économique est très importante pour les entreprises qui veulent cibler leur produit, nous décrit Alexandre Lazarègue, avocat spécialisé en droit du numérique. Maintenant que la population est consciente qu'un site est susceptible de récupérer des informations, il faut encore lui expliquer de quelle manière fonctionne l'algorithme qui cible les internautes".

La prochaine étape du RGPD devrait être la régulation de l'intelligence artificielle. Le 21 avril dernier, Bruxelles a présenté une première ébauche d’un texte visant à mieux encadrer ces technologies, en particulier pour les systèmes de «surveillance généralisée» de la population et ceux «utilisés pour manipuler le comportement, les opinions ou les décisions» des citoyens.

"Imaginez une personne qui habite au bord de la mer et consulte des sites pour des produits susceptible d'intéresser les habitants de stations balnéaires. Le citoyen en question peut demander à ce que l'entreprise efface toutes les données qu'elle a récupéré sur lui. Entre temps, l'algorithme est parvenu à développer un moyen de cibler les personnes habitant près de la mer et va pouvoir le reproduire désormais sur tous les autres utilisateurs qui auront accepté de transmettre leurs données", nous explique Nicolas Gaude, co-fondateur de Prevision.io, une start-up spécialisée dans l'IA.

Encore faut t-il que les entreprises communiquent mieux sur la manière de stopper la récupération d'informations. Dernièrement, le groupe Facebook a tout simplement refusé de communiquer le changement des conditions générales de son appli Whatsapp.

À lire aussi — WhatsApp : ce qu'il va se passer si vous n'acceptez pas ses nouvelles conditions d'ici le 15 mai

Découvrir plus d'articles sur :