Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Derrière le cas Unroll.Me, la question de la revente peu transparente de données personnelles

Le moment Politique de vie privée

Derrière le cas Unroll.Me, la question de la revente peu transparente de données personnelles

Le 25 avril 2017 à 10h01

Le service « gratuit » Unroll.Me est au cœur d'une tourmente, après avoir vendu des informations issues des boites emails de ses utilisateurs. Ce cas souligne la difficulté de connaître l'utilisation concrète de nos données personnelles, anonymisées ou non, alors que la législation se renforce bientôt sur le sujet en Europe.

Il y a quelques jours, le New York Times a révélé qu'Uber a exploité des reçus anonymisés de son concurrent Lyft pour analyser sa santé financière. Les reçus en question ont été piochés dans les boites email d'utilisateurs du service Unroll.Me, détenu par la société d'analyse Slice Intelligence.

La nouvelle a courroucé les utilisateurs en question, qui comptent sur Unroll.Me pour se désinscrire simplement de newsletters et obtenir un résumé des restantes. Des alternatives existent, comme un script open source développé suite à cet épisode, cataloguant automatiquement les liens « Se désinscrire » dans une feuille de calcul dédiée.

Dans un billet de blog du 23 avril, le cofondateur du service juge cette colère des internautes « déchirante », mais rappelle qu'ils ont accepté la commercialisation de leurs données à l'inscription. Pour faire bonne figure, il affirme vouloir désormais être plus clair à ce sujet, comprenant que la plupart des internautes ne lisent pas sa politique de vie privée. Autrement dit, le tort leur revient bien.

Cet épisode est le dernier d'une longue série, qui rappelle que la transparence reste souvent le parent pauvre dans l'exploitation des données par des services « gratuits ».

Le business de la revente de données

Concrètement, Slice Intelligence a aidé Uber dans sa veille concurrentielle, sans avertir les internautes que leurs données étaient fournies à la plateforme de VTC. Le propriétaire d'Unroll.Me a agi comme un « data-broker », exploitant discrètement les données des internautes utilisant un service associé.

Ces outils sont utilisés dans bien des domaines, notamment la politique, où constituer des profils d'internautes peut s'avérer très utiles. En janvier, Vox Pop avait par exemple enquêté sur Cambridge Analytica, la société dont le service d'analyse avait été utilisé lors de la campagne présidentielle de Donald Trump, sur la base de données à propos de 230 millions d'Américains. Ces derniers ont une visibilité très limitée sur les « milliers d'informations » que la société se vante de détenir sur chacun d'eux.

Fin 2015, c'était Cash Investigation qui se penchait sur des sociétés françaises revendant les données de leurs clients, sans qu'ils le sachent. Certaines, à l'image de Profils Seniors, n'étaient d'ailleurs pas déclarées auprès du gardien des données personnelles, la CNIL. D'autres, comme l'Unicef, commercialisaient ces données tout en prétendant s'en abstenir, révélait l'émission.

Sur le sujet, rappelons aussi le cas de Change.org, épinglé en juillet 2016 sur la commercialisation de certaines données liées à des pétitions. Le journal italien L'Espresso révélait que le service revend des adresses email collectées dans le cadre de certaines pétitions, de 85 centimes à 1,5 euro pièce selon le volume obtenu.

En réponse, Change.org a précisé que les campagnes « sponsorisées » en question sont marquées comme telles, nécessitant de consentir à « rester en contact » si l'internaute le veut.

Des télécoms plus « libres » outre-Atlantique

Comme le rappelle le New York Times, les autorités américaines enquêtent sur ces entreprises depuis plusieurs années, la Commission du commerce demandant une meilleure protection des données personnelles. Pourtant, la situation est loin de s'améliorer en ligne. Il y a trois semaines, le Congrès et le président américains revenaient sur des règles mises en place l'an dernier par le régulateur des télécoms, la FCC.

Celles-ci imposaient des mesures de protection des données personnelles aux opérateurs, qui devaient obtenir un consentement explicite à la commercialisation de ces informations, et les prévenir lors de leur partage avec d'autres entités. Parmi ces données figurent potentiellement l'historique de navigation, que ces sociétés se sont empressées d'affirmer ne pas revendre.

Pourtant, les groupes télécoms étaient vent debout contre les règles de la FCC, qualifiées d'entrave à l'innovation commerciale, alors que les fournisseurs de services en ligne (dont les GAFA) sont jugés bien plus libres. Opérateurs et publicitaires marchaient main dans la main pour réclamer une réglementation flexible, obtenue à la faveur de l'élection de Donald Trump.

Les internautes américains ont perdu une opportunité de transparence dans la revente de leurs données par les opérateurs.

Des lois qui se renforcent en Europe

Dans l'Union européenne, la règlementation doit se renforcer dans les mois à venir, avec l'entrée en vigueur du Règlement général sur la protection des données (RGPD) et ePrivacy (voir notre analyse). Les deux textes imposent, entre autres, un consentement via le navigateur pour le dépôt de cookies, une meilleure protection des métadonnées ainsi que plus de transparence de la part des sociétés, notamment en cas de fuite.

Y préparer les entreprises françaises est la grande mission de la CNIL pour 2017, en parallèle de grands enjeux comme la collecte discrète de données par les TV connectées. Le sujet n'est pas nouveau, les CNIL européennes s'étant battues avec Google sur le croisement (sans consentement) des données des internautes européens, avant d'ouvrir un autre front sur le droit à l'oubli.

La commission française s'est déjà montrée active sur le contrôle des données en 2016, avec près de 8 000 vérifications et 13 sanctions financières. Elle a par exemple mis en demeure Facebook de mieux demander le consentement des internautes, alors que le groupement des autorités européennes (G29) a épinglé le groupe pour le partage des données entre son réseau et WhatsApp.

La commission s'est aussi exprimée sur l'exploitation des emails à des fins publicitaires. Désormais, il faut un consentement annuel explicite pour exploiter les courriels pour en tirer de la publicité. Pour rappel, en France, chaque citoyen a un droit de regard et de rectification sur les données personnelles détenues par les entreprises. La CNIL propose d'ailleurs des modèles de lettres pour obtenir l'accès ou la révision des données.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pourquoi ils ne peuvent s’en prendre qu’à eux même? Ce n’est pas parce qu’ils n’ont pas eu la patience de lire toutes les CGU qu’ils doivent être considérés comme fautifs. C’est pour cela que les “clauses abusives” sont interdites en France, de façon à ne pas cacher des petites clauses comme celles-ci dans des contrats/CGV/CGU…

votre avatar

Achetez vous un petit NUC, fouttez un BSD/Linux dessus, configurez votre domaine et recevez vos mails. Et la foire se termine.

votre avatar







Le Tatoo a écrit :



Pourquoi ils ne peuvent s’en prendre qu’à eux même? Ce n’est pas parce qu’ils n’ont pas eu la patience de lire toutes les CGU qu’ils doivent être considérés comme fautifs. C’est pour cela que les “clauses abusives” sont interdites en France, de façon à ne pas cacher des petites clauses comme celles-ci dans des contrats/CGV/CGU…





C’est pas français, et d’une… Et si ils n’ont pas lu, c’est LEUR faute. Et de deux.


votre avatar







Fyr a écrit :



Achetez vous un petit NUC, fouttez un BSD/Linux dessus, configurez votre domaine et recevez vos mails. Et la foire se termine.





Ou utilisez GPG, ou Tutanota. Ou Protonmail.


votre avatar

c’est sûr que c’est à la portée de tout le monde <img data-src=" />



Sinon pour ceux qui crachent sur l’UE : entre ce renforcement de la protection des données personnelles et la fin du roaming (pour ne citer que 2 parmi tant d’autres), l’UE fait quand même de bonnes chosent.

votre avatar

GPG c’est de base sur votre Linuc/BSD. &nbsp;Le reste vous serez mieux servit par vous même. Faut être fada pour confier sa sécurité et ses données persos à des tiers même propre sur eux.

votre avatar

Même s’ils ont mis la pilule, c’est un peu facile de se plaindre du contenu d’un contrat que l’on a signé…

votre avatar

Tout a fait. Même gmail vous signez pour leur donner vos mails qui ne sont même plus à vous.

votre avatar







Fyr a écrit :



GPG c’est de base sur votre Linuc/BSD. &nbsp;Le reste vous serez mieux servit par vous même. Faut être fada pour confier sa sécurité et ses données persos à des tiers même propre sur eux.





Mme Michu fait chauffer son Core i7 pour se compiler un kernel Grsecurity pour mettre sur sa LSF, afin de pouvoir héberger ses mails en toute sécurité. <img data-src=" />


votre avatar

Mme Michu sait lire les magnifiques documentations que lui ont préparé des générations de libristes. Serieux fouttez la paix à cette pauvre Mme Michu pour justifier nawak à l’utilisation de services tiers.&nbsp;

votre avatar







Fyr a écrit :



Mme Michu sait lire les magnifiques documentations que lui ont préparé des générations de libristes. Serieux fouttez la paix à cette pauvre Mme Michu pour justifier nawak à l’utilisation de services tiers.&nbsp;





Mmle Michu à autre chose à foutre qu’à lire tes docs libristes pour pouvoir lire ses mails. Arrête d’essayer de masquer ton pseudo-élitisme derrière la soi-disant mauvaise qualité des services tiers. Certains sont de très bonne qualité. Bien meilleure qu’un serveur mail auto-hébergé mal sécurisé.


votre avatar

+1&nbsp;<img data-src=" />



Le jour ou ma mère me dira qu’elle a décidé d’héberger ses données elle mêmes, c’est pas demain la veille !&nbsp;



&nbsp;

Par contre je pense qu’elle n’a JAMAIS lu une seule CGU. &nbsp;

votre avatar







spidy a écrit :



c’est sûr que c’est à la portée de tout le monde <img data-src=" />





C’est un des problèmes. Effectivement ce n’est pas à la portée de tout le monde d’héberger un serveur mail.

Mais de toute façon, l’autre gros problème c’est que l’écrasante majorité des gens s’en foutent de leurs données personnelles. Je parle bien évidemment pas des lecteurs de NI mais des gens en général.

Le modèle économique de Facebook et consort à encore de très très beau jour devant lui…


votre avatar



le cofondateur du service juge cette colère des internautes « déchirante », mais rappelle qu’ils ont accepté la commercialisation de leurs données à l’inscription.





Oui, on vous a arnaqué… mais c’était écrit qu’on avait le droit !



<img data-src=" />

votre avatar

Bah justement Mme Michu elle a justement un fils/fille comme toi pour le faire. ET voilà. CQFD

votre avatar

Heu oui sauf que je le fais pas.&nbsp;<img data-src=" />

&nbsp;

Déjà que je dois me taper presque tous les mois un ordinateur à réparer pour un proche, ca me fait déjà bien chier comme ça. Alors si ils veulent un serveur perso avec assistance incluse, bin il la paye a quelqu’un dont c’est le métier.&nbsp;



Mais comme l’a dis Fate1, aucune chance qu’on me demande ça…&nbsp;

votre avatar

euh non, les clauses abusives ne sont pas interdites. Elles sont considérées comme nulles. Ce qui veut dire que tu ne peux pas poursuivre quelqu’un parce qu’il a mis une clause abusive, mais tu as le droit de ne pas l’appliquer ou attaquer si quelqu’un l’applique …si tu arrives à être sure qu’elle est bien abusive..

votre avatar







briaeros007 a écrit :



euh non, les clauses abusives ne sont pas interdites. Elles sont considérées comme nulles. Ce qui veut dire que tu ne peux pas poursuivre quelqu’un parce qu’il a mis une clause abusive, mais tu as le droit de ne pas l’appliquer ou attaquer si quelqu’un l’applique …si tu arrives à être sure qu’elle est bien abusive..





Merci pour la précision<img data-src=" />


votre avatar

Merci pour ce moment message… Ca devient lassant ces posts de nerdogeek qui pense que parce qu’eux savent le faire, tout le monde sait le faire. Perso ça m’intéresse mais je n’ai jamais réussi à faire de l’auto-hébergement. Et comme tu le signales, arriver à le faire n’est pas une garantie que cela tienne, si c’est pour qu’un simple script kiddie arrive à lire mes mails parce que je les aurai mal sécurisé, c’est pas la peine. Et je n’ai pas envie d’intégrer ne école d’ingé pendant 5 ans pour héberger mes mails (je viens juste de passer aux mails payants, et déjà c’est la galère pour la migration, donc le faire moi-même c’est utopique).

votre avatar







Jarodd a écrit :



Merci pour ce moment message… Ca devient lassant ces posts de nerdogeek qui pense que parce qu’eux savent le faire, tout le monde sait le faire. Perso ça m’intéresse mais je n’ai jamais réussi à faire de l’auto-hébergement. Et comme tu le signales, arriver à le faire n’est pas une garantie que cela tienne, si c’est pour qu’un simple script kiddie arrive à lire mes mails parce que je les aurai mal sécurisé, c’est pas la peine. Et je n’ai pas envie d’intégrer ne école d’ingé pendant 5 ans pour héberger mes mails (je viens juste de passer aux mails payants, et déjà c’est la galère pour la migration, donc le faire moi-même c’est utopique).





Et pourtant, j’héberge moi-même mes services. Mais je suis réaliste.<img data-src=" />


votre avatar

Ah… le “tout tout de suite sans effort”.



Ca n’a rien à voir avec le “nerdo geek”.&nbsp; Ce n’est pas si compliqué, et pas besoin d’être ingé.

Par contre oui , ça demande du temps.



Comme tout, il faut s’intéresser au sujet et prendre le temps nécessaire pour comprendre ce que l’on fait. J’ai le même “problème” si je veux faire du tir à l’arc ou je ne sais quelle domaine que je ne maitrise pas.



Je comprends tout à fait que l’on préfère utiliser des services assurés par d’autres hein, (mais pour les mails, regarder caliopen et les services de framasoft me semble pas mal aussi).

&nbsp;

votre avatar







t0FF a écrit :



Mais comme l’a dis Fate1, aucune chance qu’on me demande ça…&nbsp;







faut être un peu moteur sur le sujet :P Les mecs en face ont des millions/milliards en marketing pour vendre leur soupe


votre avatar

Pas de soucis, c’est les agences de renseignement qui liront tes mails à la place, et les boites de pubs.

votre avatar







Ricard a écrit :



Et pourtant, j’héberge moi-même mes services. Mais je suis réaliste.<img data-src=" />







Tu vois que ca à rien à voir avec du pseudo-élitisme. C’est juste une question de volonté.


votre avatar

Pas la peine d’être condescendant… Je connais les avantages de l’auto-hébergement, merci.

votre avatar

Tu as sauté les 3 lignes d’au dessus ou je dis que ça me ferais chier de me taper des installes et maintenances ?&nbsp;<img data-src=" />



Sans déconner, j’accepte de réparer de temps en temps des PC gratuitement, mais faut pas non plus me prendre pour un admin système bénévole…&nbsp;Donc non, aucune chance que je leur propose ça de moi-même.&nbsp;<img data-src=" />



Franchement des fois les gens abuse quand tu leurs dis que tu bosses dans l’informatique… J’veux dire on m’a quand même demandé de réparer un réveils HS, sérieusement… J’ai que ça à foutre de sortir un voltmètre pour tester tous les composants sur un truc qui coûte 15€ neuf… Ça ou quand les gens me demande de revendre leurs ordinateurs qui ont 10 ans et qui valent pas 30€… Ca vaut même pas le temps que je vais passer à réinstaller windows quoi…&nbsp;<img data-src=" />

votre avatar







Fyr a écrit :



Tu vois que ca à rien à voir avec du pseudo-élitisme. C’est juste une question de volonté.





T’en fais de trop là. Pourquoi tu ne t’opères pas toi-même de l’appendicite ? T’as qu’à lire un bouquin de médecine, et avec de la bonne volonté, ça va le faire. <img data-src=" />


votre avatar

Voilà pourquoi je n’autorise aucun service tiers à accéder à ma boite mail.

&nbsp;Et le gentil service de désincription devient un service à la morale bien sale…

votre avatar

Pour un service permettant de se désinscrire de boitAspam , c’est quand même un sacré coup de poignard dans le dos.

Lisez les CGU.

votre avatar







Vorphalax a écrit :



Lisez les CGU.





Justement. Les “clients” qui se sont fait avoir n’ont a s’en prendre qu’à eux-même.


Derrière le cas Unroll.Me, la question de la revente peu transparente de données personnelles

  • Le business de la revente de données

  • Des télécoms plus « libres » outre-Atlantique

  • Des lois qui se renforcent en Europe

Fermer