Nataliia Bielova, chercheuse au sein de l’équipe INDES (CR1) à l’Inria Sophia Antipolis, examine les technologies de traçage et de surveillance du web. Elle contribue à développer des outils respectueux de la vie privée des utilisateurs, destinés aux développeurs de services en ligne. Une excellente source d’inspiration pour entrer en conformité, dès mai 2018, avec les règlements européens ePrivacy et GDPR.
Vous épinglez les services web et les réseaux sociaux qui peuvent nous tracer sur Internet. Qui exploitent ces mouchards électroniques ?
Nataliia Bielova: L’utilisateur d’un navigateur web peux être tracé par ses connexions aux différents sites web, à sa messagerie gmail ou au réseau social Facebook. Les plug-ins de filtrage eux-mêmes, Adblock ou Ghostery, et les réseaux de partage de photos comme Pinterest offrent des extensions pour navigateurs web qui pourraient être utilisés pour tracer l’internaute. Nous avons mis au point un site révélant les techniques de traçabilité et les menaces qui pèsent sur la vie privée de l’utilisateur (https://extensions.inrialpes.fr/). Ces techniques peuvent être mises à profit par les agences publicitaires ou des tiers pour reconnaître l’utilisateur sur différents sites et lui associer un profil d’informations plus riche.
Avez-vous une estimation du nombre d’extensions web concernées ?
NB: Nous étudions un tiers des plugins disponibles, ce qui représente 13 000 extensions pour browsers web qui sont détectables par notre méthode. Et nous avons détecté que, dès leur installation, une forme d’identification de l’utilisateur est possible. Le simple fait d’avoir deux ou trois extensions activées sur son navigateur aide à reconnaître un internaute ou un groupe d’utilisateurs au profil semblable.
Quelles sont les conséquences pour l’entreprise et pour l’éditeur de logiciels de communication ?
NB: En janvier 2017, la Commission Européenne a publié un projet de règlement ePrivacy sur la vie privée dans les communications électroniques, qui doit s’aligner sur le règlement général sur la protection des données (GDPR) centré sur les transferts inter-entreprises. Les deux règlements devraient entrer en vigueur ensemble, en mai 2018. Tous les fournisseurs de services et de contenus par contournement sont concernés. Toute entreprise qui met en place un service web ou un service de messagerie pour des utilisateurs en Europe devra satisfaire à ces règles. Il faudra donc changer le mode de gestion des informations privées, obtenir l’accord explicite des utilisateurs, tout comme, lors de la précédente loi, les éditeurs de site web ont dû afficher une bannière sur leur usage des cookies et demander le consentement de l’utilisateur.
Vous venez d’être consultée par le Parlement Européen. Où en est le règlement ePrivacy ?
NB: Il est toujours en cours de discussion. Son objectif consiste à procurer plus de contrôle, plus de choix et de consentement de la part de l’utilisateur qui doit être mieux informé de ce que l’on fait réellement de ses données numériques. C’est un préalable indispensable pour être en mesure de donner, ou pas, son autorisation pour un traitement informatique. Les sanctions prévues, en cas de non conformité, sont très lourdes puisqu’elles pourront atteindre 20 millions d’Euros ou 4% du chiffre d’affaires mondial du contrevenant. Cela devrait inciter les entreprises à recruter des personnes conscientes de ces règles. Ces personnes devront être capables de rendre le système d’information de leur entreprise conforme aux deux règlements ePrivacy et GDPR.
Les outils de surveillance des visites en ligne requièrent-ils des précautions particulières ?
NB: Les services d’analyse proposés par des éditeurs tiers recueillent continuellement les données de navigation sur leurs propres serveurs, non seulement pour un site web, mais pour de nombreux sites. Ils peuvent donc tracer l’internaute tout au long de son parcours en ligne. Une conception plus éthique consisterait à stocker ces informations plutôt sur le serveur du responsable de la publication principale. L’entreprise sous-traitant l’analyse de ses visites en ligne devrait s’assurer que le prestataire à qui elle confie cette tâche ne collecte que les données strictement nécessaires pour y parvenir et pas davantage. J’espère qu’un futur règlement encadrera ce type de pratiques.
Pensez-vous que des logiciels open source pourront améliorer la situation actuelle ?
NB: Je crois que les gens font davantage confiance aux technologies des logiciels open source, lorsque tout le monde peut inspecter le code. Mais, en tant que scientifique, j’ai toujours des doutes. Idéalement, je souhaiterais des garanties sur chaque logiciel utilisé, des outils de vérification et des certificats proclamant le respect de la vie privée. Encore faudrait-il que toutes les règles pour obtenir ce label de confiance soient transparentes.
Au niveau de la conception de sites web, nous essayons d’apporter un logiciel de filtrage destiné aux développeurs intégrant des services tiers et des outils d’analyse afin qu’ils soient en mesure de contrôler ce qui est réellement transmis aux partenaires et de filtrer ce qui n’est pas indispensable à communiquer (https://www-sop.inria.fr/members/Doliere.Some/essos/index.html).
