Nouvelle alerte Big Brother : New York fait retirer des centaines de Beacons cachés dans ses cabines téléphoniques

Atlantico : Alors qu’aucune notice publique et qu’aucun marché public n’avaient été passés dans le cas New-Yorkais, a révélé BuzzFeed (voir ici), qu’est-ce que cette affaire révèle en matière d’absence de transparence ? Ce genre d’affaire pourrait-il arriver en France ?

Christophe Benavent : Normalement non, le droit et la CNIL spécifient des mesures censées empêcher ce type d'utilisation abusive. Ces applications sont soumises au consentement préalable, les données doivent être utilisées à la volée et non stockées. L'installation dans le domaine publique est soumise à la CNIL, pour rappeler quelques une des mesures. Mais naturellement, il peut y avoir des incitations économiques à flirter avec la ligne jaune, même dans les affaires digitales il peut y avoir des délinquants ! Cette affaire enseigne que les technologies du digital reposent constamment la question de l'identité et des frontières de l'intimité. Les balises (ou beacons) qui vont prendre une importance croissante sont l'une des technologies qui la questionne, comme le font les Google glass ou les caméras de surveillance. Ces technologies qui colonisent l'espace public peuvent potentiellement le privatiser. Elles créent aussi des conflits de territoire : on a pas envie d'être pisté dans nos déplacements, pas envie d'être filmé à son insu. 

Fabrice Epelboin :Bien sûr que les beacons pourraient arriver en France. C’est le genre de choses que l’on pourrait voir arriver dans les publicités sur écran LCD du métro, par exemple. Ca permettrait de personnaliser la pub qui s’y affiche, et même de proposer une véritable interaction entre les passants et la pub. Sur le fond, si cela choque, c’est parce que c’est dans la vie réelle que cela se passe et non en ligne, parce que sur le web, tout ce que vous faites est pisté, traqué, enregistré - aussi bien par les régies publicitaires que par diverses agences de renseignement -, de façon à affiner un profil sur chacun d’entre nous, et à comprendre qui nous sommes et de quelle façon nous sommes reliés les uns aux autres. Le problème du pistage des individus, qu’il soit à but commercial ou à des fins de sécurité, est un problème global. Il va falloir poser des limites et exiger plus de transparence, mais il va aussi falloir changer ses usages et son comportement.

S’il est si facile de nous surveiller, c’est avant tout parce que nous ne prêtons aucune importance aux données personnelles que nous déversons ça et là, le plus souvent sans en être conscient. Nous n’avons pas non plus conscience de ce que l’on peut déduire des données que nous confions à des tiers. On peut déduire votre préférence politique de votre consommation au supermarché, par exemple. On peut aussi connaitre votre orientation sexuelle à partir de la liste de vos amis sur Facebook. Pour couronner le tout, nous n’appréhendons pas le risque lié à cette dispersion de nos données personnelles de la bonne façon. Nous raisonnons à environnement politique et économique constant. Or c’est loin d’être une évidence, et des données personnelles qui semblent bien anodines aujourd’hui pourraient tout à fait se retourner contre nous demain, si les fondamentaux politiques ou économique venait à changer brusquement.

A New York, la documentation technique de la société Gimbal, dont les Beacons sont mis en cause, mentionnait que "la société reçoit des interactions de données entre les Beacons et les téléphones" qui sont envoyées vers les serveurs de la société, mais aussi vers des serveurs tiers. Que deviennent les informations personnelles des utilisateurs récoltées par les applications et les opérateurs ?

Christophe Benavent : C'est un point à expliciter. Les balises en elles-mêmes ne font pas peser de menace. Elle n'acquièrent pas de donnée à proprement dit mais émettent un signal qui permet à des mobiles de se localiser dans un espace de quelques dizaines de mètres, un peu comme un bateau se repère à l'arrivée d'un port avec les phares et les balises maritimes. Ceci permet d'avoir un positionnement très fin que le mobile peut confier à un appli qui gère alors en fonction de cette position les messages à adresser : une invitation à entrer dans un point de vente, des informations complémentaires sur un produit quand le client est devant le rayon. Une infinité de services seront inventés.

Le problème ici est d'une part que les consommateurs ne sont pas informés de l’existence des balises quand leur application est activée. Le noeud du problème est en réalité dans l'appli et la politique de données de l'entreprise. Pour peu que la confidentialité ne soit pas respectée on est dans une situation où non seulement notre position géographique est exploitée, mais aussi les actions que l'on effectue à un endroit précis : accepter un coupon de réduction, rechercher une information... C'est extrêmement gênant.

Fabrice Epelboin :Snowden a montré que la NSA piochait largement dans ce genre de données privées - parfois à l’insu de ces sociétés commerciales, et la NSA n’est certainement pas la seule agence à avoir de telles pratiques. Ces données ont une valeur marchande, et sont souvent revendues (lisez les conditions d’utilisation de la plupart des services en ligne, vous verrez qu’une clause est prévue à cet effet). Qui plus est, ces données sont régulièrement volées. Bref, imaginer que l’on va contenir ces données et en maitriser la diffusion, c’est vraiment faire abstraction de la nature même du numérique. Ces derniers temps, en France, l’opérateur Orange a, à deux reprises, été victime d’importants vols de données personnelles que l’entreprise avait accumulé à propos de ses clients, mais aussi sur des citoyens ordinaires. De tels vols sont courants.

En août dernier, la CNIL recommandait aux opérateurs téléphoniques de mettre en place des mesures fortes de garantie de la vie privée, préconisant notamment la suppression des données dès la sortie du magasin ou encore un consentement des usagers et des informations claires concernant ce dispositif. Quelles sont les garanties à prendre afin de limiter les risques de surveillance généralisée ? Les opérateurs téléphoniques français prennent-ils les précautions nécessaires ?

Christophe Benavent : Je ne pense pas que ce soit aux opérateurs de prendre les précautions : ce serait agir en fonction du flux de données, donc clairement ne pas respecter la neutralité d'Internet! La responsabilité appartient à ceux qui fournissent ces applications. Le droit leur impose de respecter les limites déjà fixées par la CNIL qui semble être extrêmement raisonnable. Sa philosophie est de limiter les interactions à l'instant et au lieu d'utilisation. C'est l'idée du traitement à la volée. Ce principe introduit aussi l'idée que si l'on peut tout mesurer, on ne doit pas forcément tout enregistrer. De la même manière que s'il n'est pas interdit que l'on regarde tout ce qui nous entoure, on est pas du tout obligé de tout photographier et pire encore de tout rediffuser! Ce principe est la garantie principale, pourvu qu'on puisse contrôler qu'il est effectivement appliqué.

Fabrice Epelboin :En l’état de la législation, maintenant que la Loi de Programmation Militaire est passée et à l’heure où nous nous apprêtons à voter la loi antiterroriste, il n’y a pas la moindre garantie contre un risque de surveillance généralisée. Au regard de la situation où nous sommes - le pays est tout de même en guerre - la surveillance généralisée semble même assez inévitable. Cependant, il convient de distinguer la surveillance effectuée par l’Etat et celle mise en place par des entreprises privées. Leur encadrement législatif n’est pas le même - si tant est que l’on puisse parler d’encadrement en ce qui concerne la surveillance d’Etat. Le numérique complique ceci dit les choses et brouille la frontière entre surveillance d’Etat et surveillance privée, c’est ce qu’a mis en lumière l’affaire Prism - le premier volet des révélations d’Edward Snowden. En se servant directement chez les entreprises privées, telles que Google ou Facebook, l’Etat américain montre que la distinction n’est pas si évidente que cela. Au final, il appartient à chacun d’entre nous de reconquérir une vie privée. La préserver totalement revient à revenir à la bougie ou - au choix - à vivre comme un hacker, ce qui n’est pas évident du tout pour la plupart d’entre nous.

Par contre, se préserver un moment d’intimité ou d’anonymat, c’est tout à fait possible, et il est temps pour chacun d’entre nous d’apprendre à faire cela. Pour ceux qui sont journalistes d’investigation, juges ou avocats, comme pour tous ceux qui exercent une profession où le secret est indispensable, alors c’est devenu une urgence, une condition sine qua non pour survivre dans les temps à venir.

Alors que les Beacons se démocratisent à vitesse grand V outre-Atlantique et qu’Orange a annoncé récemment les commercialiser, cet outil de géo-marketing peut-il permettre de doper les ventes du commerce traditionnel ?

Christophe Benavent : Doper les ventes, beaucoup l'espère! Ce qui est certain c'est qu'il offre une solution relativement peu couteuse pour développer de nouveaux services pour des magasins connectés. Maintenant le succès viendra de l'invention de nouveaux services utiles, faciles à utiliser et digne de confiance en matière de gestion des données. Si les innovations apportent une véritable valeur aux clients alors oui le marché peut formidablement se développer. Pas seulement dans le commerce mais aussi dans les services publics, les transports, le tourisme ou la culture...

Fabrice Epelboin : Le monde du retail a pris énormément de retard dans son appropriation des technologies, on l’a vu avec l’eCommerce, où aucune enseigne ‘brick n’ mortar’ n’a réussi à rivaliser avec Amazon. Les beacons ouvrent la voie à une transformation assez radicale du lieu de vente, quelque chose dont Amazon ne dispose pas, et l’enjeu désormais est d’en faire un avantage stratégique. On peut imaginer faire mille choses à partir du moment où, dans un espace que l’on maitrise - le lieu de vente - on peut ajouter une couche de virtuel et interagir avec les visiteurs. Personnaliser une offre en temps réel, faire du cross-selling adapté aux besoins du client, personnaliser les écrans publicitaires que l’on trouve sur des affichages LCD partout dans les magasins, voire même préparer la visite d’un magasin à l’avance pour optimiser le trajet du client et lui permettre d’entrer en interaction, sur place, aussi bien avec des informations qu’avec des vendeurs. Si la législation laisse faire et que les distributeurs jouent la transparence et affichent une démarche éthique quant à l’utilisation qu’ils font des données personnelles, c’est un monde d’expérimentations et d’innovation qui s’ouvre au retail. Quant à savoir si cela aura un impact sur les ventes, à terme, c’est certain, mais il faudra passer par une longue période d’expérimentation avant de mettre le doigt sur ce qui marche. L’équivalent du moteur de recommandation social et du one-clic-order qui a fait le succès d’Amazon reste à inventer, et les beacons sont la brique de base d’une interaction riche en magasin qui reste à imaginer. Réenchanter le lieu de vente, en quelque sorte. Un sacré challenge.