Vous voulez protéger vos données personnelles, on peut vous y aider ! - Médiathèque Georges-Wolinski

La vie privée sur Internet se définit en fonction de ce qu’on entend par intimité et confidentialité. Cette notion s'articule sur la capacité à contrôler ses données personnelles et qui y a accès et qui en fait quoi. Malheureusement, de nos jours, nos activités en ligne sont surveillées, collectées, enregistrées. Et cette tendance s’est renforcée avec le développement massif des smartphones qui en disent beaucoup sur nous. Avez-vous remarqué le nombre de permissions que demandent certaines applications quand vous les installez ? Si votre smartphone est équipé du système d’exploitation Android, téléchargez l’application Exodus Privacy et vous découvrirez à quel point la majorité des applications que vous avez sont intrusives. En d’autres termes, le respect de la vie privée et le droit à l’intimité ne sont pas réellement garantis avec les outils numériques qu’on utilise au quotidien. Nous laissons des traces en ligne, volontairement ou malgré nous, et cela contribue à faire de la  confidentialité une préoccupation majeure. Quand vous discutez avec vos amis ou votre famille via Facebook Messenger, vous ne souhaitez probablement pas que Facebook ait connaissance des informations que vous échangez. Et pourtant c’est bien ce qui se passe. Quand vous envoyez des mails depuis votre messagerie Yahoo ou Gmail, vous souhaitez certainement conserver un degré de confidentialité. Or, les conditions générales d'utilisation de ces services indiquent que ces services se réservent le droit d'analyser le contenu de vos courriers électroniques afin de vous proposer de la publicité ciblée. Certaines personnes n'y voient pas d'inconvénients et préfèrent même recevoir de la publicité qui correspond à leurs centre d'intérêts. D'autres personnes vont être sensibles à cela et vouloir garantir un certain niveau de confidentialité et éviter que leur utilisation du web ne se retourne contre eux. Il n'y a pas une bonne ou une mauvaise réponse. Mais nous pensons qu'il est important d'avoir connaissance de ces mécanismes pour pouvoir choisir librement d'utiliser tel ou tel outil en ligne. C'est l'objectif que nous nous fixons à travers ce dossier. Nous vous apportons des explications et des solutions pour paramétrer vos outils numériques. 

Peut-on être anonyme et empêcher le tracking sur le web ? C'est une vaste question qui se solde par une réponse négative. En effet, quand on navigue sur le web, cela nécessite d'utiliser les services d'une multitude d'acteurs et d'opérateurs techniques. Pour vous connecter au réseau Internet, vous devez disposer d'un fournisseur d'accès à Internet qui collecte des données sur vous comme votre adresse IP, votre adresse MAC (un identifiant physique stocké dans une carte réseau). A cela, il faut aussi ajouter d'autres types de traces qui sont collectées comme l'empreinte numérique de votre navigateur (appelé canvas fingerprinting), le moteur de recherche que vous utilisez, le site sur lequel vous vous rendez... Ces données constituent votre empreinte numérique personnelle. Toutes ces informations croisées permettent de vous identifier par inférence. Un site web peut tout à fait savoir d'où vous venez avec ce qu'on appelle le referrer. Quand vous cliquez sur un lien, votre navigateur envoie au nouveau site sur lequel vous allez l'origine de l'ancien site. De même, les mots-clés que vous saisissez quand vous effectuez une recherche constituent votre empreinte et permettent de vous catégoriser. Votre empreinte numérique personnelle est également alimentée par les métadonnées. On définit généralement les métadonnées comme les "données autour de la donnée". Par exemple quand vous envoyez un courrier électronique, les métadonnées relatives à ce mail seront l'heure, le destinataire, l'adresse IP, l'appareil utilisée. Tout ce qui est en lien avec le mail sans être le corps du mail. On trouve également des métadonnées autour des photos. Quand vous partagez une photo, vous transmettez également ses métadonnées regroupées sous l'appellation EXIF (l'heure de la prise de vue, l'appareil, la résolution, coordonnées géographiques...). Quand vous surfez sur un site, vous laissez également une empreinte numérique de votre passage. Cela se traduit par votre adresse IP bien évidemment mais aussi le temps passé sur une page, la durée d'immobilisation du curseurs, le positionnement du curseur de la souris. Vous pouvez également être identifiés malgré vous sur des réseaux sociaux avec les dispositifs de reconnaissance faciale quand vous partagez des photos. Votre smartphone peut collecter et stocker l'ensemble de vos déplacements si vous laissez les paramètres par défaut. Récemment Facebook a été épinglé pour collecter des données sur des individus et y compris ceux qui n'ont pas de compte au sein du réseau social. Il est très difficile de cartographier l'ensemble des données que nous laissons à travers notre empreinte numérique tant elles sont vastes. Cependant, en prenant soin de paramétrer vos appareils et en utilisant quelques outils, vous pouvez limiter ces traces.

Et le mode incognito de mon navigateur ?! Détrompez-vous, cette fonctionnalité porte mal son nom. Elle ne vous rend pas anonyme en ligne. Elle permet juste de ne pas stocker l'historique sur *votre* navigateur. Mais les sites que vous avez visités savent très bien que vous êtes venus leur rendre une petite visite. Au mieux, la personne qui utilisera l'ordinateur après vous ne verra pas les sites sur lesquels vous êtes allés.

Enfin, les grands services du web que nous utilisons au quotidien reposent sur des algorithmes. D'un point de vue technique, un "algorithme est une suite d'instructions appliquées méthodiquement pour avoir un résultat". Une recette peut être comparée à un algorithme. Si vous ne respectez pas l'ordre d'exécution des étapes de la recette, vous n'obtiendrez pas un délicieux plat...  Quand vous faîtes une recherche sur Google et que le moteur de recherche vous affiche des résultats, c'est l'algorithme de Google, qui a été conçu par les ingénieurs, qui détermine quels contenus apparaissent. Quand vous êtes sur votre fil d'actualité sur Facebook, c'est l'algorithme de Facebook qui décide pourquoi vous voyez les publications de tels amis plutôt qu'un autre. Quand vous regardez Netflix, c'est l’algorithme de Netflix qui décide quelles séries vous proposer en fonction de ce qu'il pense savoir de vos goûts. Le risque est de se voir enfermer dans des bulles. En effet, si Google collecte des données liées à votre historique de navigation, vos recherches, vos lectures, votre âge, votre situation professionnelle... son algorithme sera plus enclin à vous afficher certains résultats plutôt qu'un autre sur une même thématique.

Tout internaute en a déjà fait l'expérience. Vous consultez un produit sur un site marchand et vous constatez que la publicité pour l'objet en question vous suit sur différents sites. C'est ce qu'on appelle la publicité ciblée. Ce matraquage publicitaire repose en partie sur un petit fichier qui se dépose sur votre navigateur après avoir visité un site web et communément appelé cookie. Ces fichiers stockent différents types d'informations (nom, prénom, adresse mail, numéro de téléphone...) qui auront été saisies dans un formulaire par exemple. Les cookies ne sont pas un problème en soi et permettent d'améliorer l'expérience de navigation. Ce ne sont pas des espions. En revanche, les cookies tiers représentent un problème. En effet, les publicités utilisent ce type de cookie pour pister les internautes à travers les différents sites qu'ils visitent. Ainsi, ils vont s'appuyer sur votre historique de navigation pour établir un profil et afficher de la publicité ciblée. La collecte et la revente des données constituent un modèle économique répandu sur le web. C'est pour cela que la plupart des services des GAFAM (Google, Amazon, Facebook, Apple, Microsoft) sont gratuits.

C'est le jeu du chat et la souris. Il existe des outils qui permettent de limiter le tracking mais des entreprises comme Criteo sont spécialisées dans le développement d'outils de reciblage publicitaire et proposent des solutions innovantes qui rendent caduques les outils de protection. Si le suivi publicitaire vous préoccupe, nous vous invitons à parcourir la boîte à outils de ce dossier. Mais certains de ces outils peuvent devenir obsolètes. Les navigateurs proposent une fonctionnalité "Do not track" (ne pas me pister) qui est censé envoyer un signal aux sites web pour leur dire de ne pas suivre l'internaute. Or, bien souvent les sites ne respectent ce message envoyé par le navigateur.

Sur les réseaux sociaux, vous pouvez également configurer certains paramètres relatifs à votre vie privée. Ce sont des options qui sont modifiables dans les paramètres de confidentialités propres à chaque réseau social. L'objectif de ces paramètres est de vous permettre de définir le degré de diffusion des informations que vous partagez. Généralement, cela vous permet de limiter le partage à vos contacts (amis, followers, abonnés...). Vous pouvez définir soit à vos amis, soit de façon plus large aux amis de vos amis, ou alors en mode public. C'est parfois le paramètre par défaut. Cela signifie que tout le monde peut accéder à vos publications y compris des personnes qui ne font pas partie de vos contacts voire qui ne sont pas inscrites sur le réseau social. Nous vous recommandons de configurer ces paramètres en fonction de ce que vous désirez. 

Pour conclure l'introduction de ce dossier, nous vous invitons à faire un test pour mesurer combien votre navigateur est fragile et vous expose au suivi publicitaire. Cliquez sur ce lien pour voir si votre navigateur vous protège contre le tracking. Panopticlick vous indiquera si:

• votre navigateur vous protège contre le suivi publicitaire
• votre navigateur bloque les trackers invisibles
• si votre bloqueur arrête les trackers qui sont inscrits dans la liste blanche des "annonces acceptables"
• votre navigateur débloque les trackeurs qui indiquent respecter le "Do Not Track"
• si votre navigateur est protégé contre le fingerprinting

Pour compléter ce test, nous vous invitons également à tester le service Am I Unique ? pour apprendre "à quel point votre navigateur est unique". En fonction de la configuration de votre navigateur, du système d'exploitation, de la langue, de la résolution de votre, de votre localisation et d'une multitude d'autres données recoupées, il n'est pas si compliqué d'identifier un internaute.

Il existe différents navigateurs pour surfer sur le web. Certains sont plus respectueux de la vie privée que d'autres qui vont s'appuyer sur votre  historique de navigation pour collecter un certain nombre d'informations sur vous et vous proposer de la publicité ciblée par exemple. Par défaut, les navigateurs sont de véritables passoires mais en paramétrant certaines options vous pouvez limiter légèrement certaines collectes de données. Ces modifications impliquent de "réapprendre" à surfer. Si vous avez besoin d'assistance, n'hésitez pas à venir nous voir à l'@telier numérique.

Dans Paramètres > Moteur de recherche > Remplacer Google par Qwant, DuckDuckGo, StartPage...		Dans Paramètres > Recherche > Moteur de recherche par défaut > Remplacer Google par Qwant, DuckDuckGo, StartPage...
Dans Paramètres avancés > Paramètres de saisie automatique > Désactiver Remplir formulaire automatiquement Dans Paramètres avancés > Paramètres de saisie automatique > Désactiver "Proposer d'enregister les mots de passe" Dans Paramètres avancés > Confidentialité et sécurité > Paramètres du contenu > Cookies > Activer "Ne conserver les données locales que jusqu'à ce que je quitte ma session" Dans Paramètres avancés > Confidentialité et sécurité > Paramètres du contenu > Cookies > Activer "Bloquer les cookies tiers"		Dans Paramètres > Vie privée et sécurité > Décocher les identifiants et les mots de passe pour les sites web Dans Paramètres > Vie privée et sécurité > Historique > Accepter les cookies tiers : Jamais Dans Paramètres > Vie privée et sécurité > Historique > Les conserver jusqu'à : La fermeture de Firefox Dans Paramètres > Vie privée et sécurité > Historique > Cocher la case vider l'historique lors de la fermeture de Firefox Dans Paramètres > Vie privée et sécurité > Protection contre le pistage > Utiliser la protection contre le pistage > Toujours (à compléter avec des plugins) Dans Paramètres > Vie privée et sécurité > Protection contre le pistage > Envoyer aux sites web un signal "Ne pas me pister" : Toujours

Nous vous listons ci-dessous une liste d'outils, non exhaustive, que vous pouvez utiliser au quotidien sur le web pour limiter l'aspiration de vos données et réduire le tracking publicitaire.

L'utilisation des plugins ci-dessous induit certaines contraintes car cela peut bloquer l'affichage de certains éléments d'une page web ou empêcher la lecture du contenu. Mais rassurez-vous pouvez désactiver temporairement ces plugins ou ajouter les sites dans des listes blanches pour accéder aux contenus d'une page.

Ublock Origin est un plugin pour navigateur (Firefox et Chrome) qui bloque certains éléments des pages web notamment les bannières publicitaires.		Privacy Badger est un plugin pour navigateur (Firefox et Chrome) qui bloque les trackeurs qui vous pistent quand vous naviguez sur le web
HTTPS Everywhere est un plugin pour navigateur (Firefox et Chrome) qui chiffre les communications automatiquement sur les sites accessibles en HTTPS.		Facebook Container est un plugin - pour Firefox uniquement - qui a pour objectif d'empêcher Facebook de vous pister sur le Web pour vous envoyer de la publicité ciblée
CanvasBlocker est un plugin pour navigateur (Firefox) qui vise à réduire l'empreinte numérique de votre navigateur qui permet aux sites d'identifier et de suivre les internautes.		TOS-DR est un plugin pour navigateur (Firefox et Chrome) qui vous informe sur les Conditions Générales d'Utilisation et de la politique en matière de collecte de données des sites. Vous pourrez enfin dire "J'ai lu et j'accepte (ou pas) les conditions".

Il existe une multitude de moteurs de recherche. Généralement les navigateurs de nos ordinateurs ou de smartphones nous imposent par défaut Google, Bing ou Yahoo. Mais nous vous l'avons expliqué plus haut, ces moteurs ne sont pas neutres et conservent nos différentes recherches pour dresser des profils d'utilisateurs. Le risque est de se retrouver enfermer dans des bulles de filtres. Autrement dit, les résultats proposés ne sont pas le fruit du hasard mais conditionnés par ce que le moteur de recherche pense savoir de nous. Les algorithmes entretiennent une homophilie en nous suggérant des résultats qui correspondent à nos points de vue et cela rend plus difficile la découverte ou la confrontation d'idées. Heureusement, des alternatives existent. Nous vous les présentons ci-dessous :

Qwant est un moteur de recherche français qui se présente comme une alternative à Google respectueuse de la vie privée.		DuckDuckgo est un moteur de recherche qui s'attache à respecter la vie privée des internautes.Il ne conserve pas les données personnelles.
StartPage est un méta-moteur de recherche. Il s'appuie sur d'autres moteurs de recherche quand saisissez votre requête. StartPage n'enregistre pas votre adresse IP.		Framabee est un moteur de recherche développé par l'association Framasoft. C'est aussi un méta-moteur de recherche. Il ne collecte pas de données sur ses utilisateurs.

Internet est un réseau mondial d'appareils connectés les uns aux autres reposant sur une architecture physique et des protocoles de transmissions de données. Les fournisseurs d'accès à Internet fournissent l'infrastructure qui permettent à nos appareils de consulter les sites web qui sont stockés sur des serveurs. Toute cette architecture prévoit des dispositifs de sécurité afin de maintenir l'accès au réseau et pérenniser les contenus qui sont disponibles sur le web. L'architecture décentralisée d'Internet nécessite la coopération d'une multitude d'acteurs (entreprises, Etats, consortiums...). Cela rend en partie difficile la sécurisation de l'ensemble du réseau. La presse se fait souvent l'écho de fuites de données ou de failles de sécurité qui ont compromis les données personnelles de certains internautes. (Test : vérifiez si votre mail a déjà été compromis à cause d'une fuite de données en cliquant ici). Nous sommes donc souvent exposés à des risques d'attaques qui visent soit des sites web précis ou tout simplement vous-même. En effet, quand vous vous connectez à un réseau wifi public, vous êtes une victime potentielle. En effet, une personne malintentionnée connectée sur le même réseau peut s'interposer entre votre ordinateur et la borne wifi. C'est ce qu'on appelle une attaque "Man in the Middle". Autrement dit, quand vous êtes connecté à un réseau sans fil ouvert et non sécurisé, tout le monde peut voir ce que vous faîtes. 

Fort heureusement, il existe des solutions pour limiter les risques exposés précédemment. Ces solutions reposent sur des techniques de chiffrement que vous pouvez identifier sur de nombreux sites avec le fameux HTTPS. Les sites qui disposent d'un HTTPS intègre une couche de chiffrement qui repose sur SSL et TLS qui sont des protocoles de sécurisation des échanges d'informations sur Internet. Par conséquent, si quelqu'un essaie d'intercepter le trafic, il obtiendra du charabia incompréhensible parce qu'il ne dispose pas de la clé pour pouvoir déchiffrer les informations. Attention, si un site dispose bien d'un accès en HTTPS, cela ne signifie pas que lui n'a pas accès aux informations que vous recherchez ou que vous envoyez. Par conséquent, quand vous envoyez des messages à vos contacts via Facebook Messenger, même si Facebook dispose du HTTPS, il peut lire les messages que vous envoyez. Concernant les points d'accès Wifi, la meilleure solution pour protéger votre confidentialité consiste à utiliser un VPN (virtual private network). 

La sécurité sur Internet repose également sur l'usage des mots de passe. Bannissez toute pratique qui consiste à utiliser le même mot de passe pour tout vos services en ligne ! La sécurité implique de renoncer à la facilité. Il suffit qu'une personne malintentionnée le récupère pour accéder ensuite à votre boîte mail, vos comptes de réseaux sociaux, comptes bancaires... Dans ce cas de figure, vous pouvez être victime d'une terrible usurpation d'identité. C'est la raison pour laquelle vous devez définir des mots de passe uniques et suffisamment robustes pour limiter les tentatives de connexion sur vos comptes, pour empêcher quelqu'un de se faire passer par vous auprès de vos proches en utilisant votre carnet d'adresse ou tout simplement effectuer des achats avec votre carte bancaire.  Un mot de passe ne peut pas être votre date d'anniversaire ni le prénom de votre enfant ou le nom de votre animal de compagnie. Tout simplement parce que ces données peuvent être retrouvées à partir de votre présence en ligne et des informations que vous publiez sur les réseaux sociaux. Un mot de passe ne peut pas être 1231456 ou AZERTY. La CNIL recommande de construire des mots de passe d'au moins 12 caractères (chiffres, lettres, caractères spéciaux). Il ne dit rien sur vous (pas de date anniversaire). Et bien évidemment il doit être unique. Plutôt que de construire un mot de passe, il est de plus en plus recommandé de construire des phrase de passe qui sont plus difficiles à deviner. 

Pour renforcer votre sécurité, vous pouvez également activer la double authentification. De plus en plus de services en ligne proposent cette fonctionnalité qui se déclinent en deux temps. Vous vous connectez à votre réseau social préféré avec votre de mot de passe. Puis un code vous est envoyé par SMS sur votre téléphone portable que vous devez saisir pour finaliser votre authentification. Ainsi, si quelqu'un a réussi à trouver votre mot de passe il sera quand même bloqué car il ne disposera pas de votre code d'accès unique envoyé sur votre téléphone. Cette option s'active dans les paramètres des services que vous utilisez en ligne.

Les smartphones sont devenus la première porte d'accès à Internet. Nos téléphones ont multiplié la possibilité pour nous de communiquer, échanger, rechercher de l'information. En d'autres termes, nos traces produites dans le cadre de notre activité en ligne ont explosé. Nous sommes plus exposés au ciblage publicitaire et par extension nos données personnelles sont de plus en plus vulnérables. Comme pour les ordinateurs, il est tout à fait possible de paramétrer nos téléphones pour reprendre un peu plus la main sur nos données. Découvrez comment faire avec la boîte à outils ci-dessous :

  Vous en avez entendu parler à la radio, dans les JT, dans la presse mais vous êtes incapable de vous souvenir de son nom : le RGPD. 

La législation en matière de protection de la vie privée n'est pas nouvelle. Il y a bien évidemment la loi Informatique et Libertés de 1978 mais ce n'est pas la seule. En effet, il existe aussi la loi du 17 juillet 1990 qui a introduit l'article 9 du Code Civil qui prévoit que "Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée; ces mesures peuvent, s’il y a urgence, être ordonnées en référé". Cette disposition législative a complété la Convention Européenne des Droits de l’homme et des libertés fondamentales qui affirme au travers de l'article 8 que "toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance"

Le RGPD s'apprête à compléter cet arsenal législatif. Le 25 mai prochain entre en application le Règlement Général de la Protection des Données Personnelles et il s'appliquera sur l'ensemble de l'Union européenne. Le règlement vise à renforcer les droits des citoyens européens et à leur donner plus de contrôle sur leurs données personnelles. Pour comprendre rapidement les enjeux de ce nouveau règlement, la Commission Nationale Informatique et Libertés (CNIL) a publié le dessin suivant qui résume les idées fortes du RGPD. Si vous souhaitez lire une synthèse du Règlement, nous vous invitons découvrir l'explication article par article réalisée par les journalises du site Next Inpact.

La loi Informatique et Libertés de 1978 et le RGPD n'interdisent pas le traitement de données personnelles. Ils visent néanmoins à encadrer cette pratique afin de renforcer le droit à la vie privée des internautes en leur donnant des moyens de retrouver une relative maîtrise sur leurs données. Cela se traduit par un renforcement du consentement de l'individu qui doit être exprimé de façon libre, spécifique, éclairée et univoque. De même les finalités du traitement des données collectées par les plateformes doivent être explicitement formulées. Le RGPD introduit le principe de la portabilité des données. A partir du 25 mai, vous devriez pouvoir récupérer les données transmises à une plateforme pour les importer dans une autre. (réseaux sociaux, fournisseurs d'accès à Internet, services de streaming...). L'intérêt de ce principe réside dans l'obligation de fournir les données dans un format exploitable par une machine. Le renforcement des droits induit par le RGPD se traduit par le droit de rectification, le droit à la suppression des données (droit de retirer son consentement à tout moment, droit à l'oubli), le droit d'agir collectivement (inspiré du modèle des "class action" aux Etats-Unis). Enfin, la CNIL devient le guichet unique en cas de problème peu importe la localisation de l'entreprise qui traite les données.