Quand la poursuite de la conformité légale aboutit au résultat inverse de celui recherché par la loi.
Il y a quelques années, sur ce blogue, je m’étais ému qu’un spécialiste de la sécurité de l’information considérât la conformité en sécurité comme plus sécuritaire que la sécurité elle-même. Dans le domaine de la protection de la vie privée, on a pu lire récemment un article du même tonneau, sur le site officiel de l’International Association of Privacy Professionals (IAPP). Son auteure, Lisa Nee, nous y gratifie en effet de quelques saillies navrantes.
Je ne m’attarderai pas sur :
« Even if an IP address is anonymized, it would likely still be considered personal data if the anonymization process can be reversed with reasonable effort.»
Où la malencontreuse tournure de phrase laisse croire que la professionnelle de la protection de la vie privée ignore la différence entre anonymisation, dépersonnalisation et désidentification. Un comble pour une senior privacy counsel certifiée CIPP/E, CIPP/US, CIPM, CIPT, FIP…
Les propos aberrants arrivent ensuite.
Le VPN, ce dévoreur d’intimité
Ainsi, dans la section intitulée How IP obfuscation undermines privacy, l’auteure nous apprend qu’un internaute qui utilise TOR ou un réseau privé virtuel (VPN) compromet son intimité/sa vie privée !
On pourrait penser de prime abord que Lisa Nee envisage ici le cas des VPN gratuits qui présentent des vulnérabilités. Mais non. Elle parle de tous les VPN ; même les plus robustes. Et l’explication qu’elle donne est lunaire : quand on utilise un VPN, on risque de se faire servir un formulaire d’acceptation des témoins de navigation ou une politique de confidentialité qui ne correspondent pas à ceux qui s’appliquent sur son territoire de résidence…
Autrement dit, si vous habitez aux États-Unis, et si vous utilisez un VPN, c’est dangereux pour votre intimité, car vous risquez de vous prendre des cookies norvégiens – au lieu de cookies américains !
L’auteure semble complètement ignorer pourquoi et comment on utilise un VPN. Aussi, quand elle précise :
« Both the rise of IP addresses as personal data and the popularity of VPNs undermine privacy compliance strategies »,
on a envie de lui hurler : « It’s no a bug, it’s a feature ! »
En effet, quand on utilise un (bon) VPN, on protège sa vie privée de façon efficiente. Et ce n’est pas le fait de consentir au dépôt sur son navigateur d’un témoin de navigation norvégien au lieu d’un américain qui va mettre à mal cette protection. Et on se moque bien de la politique de confidentialité rédigée dans la langue d’Henrik Ibsen.
Si un internaute utilise un VPN pour dissimuler son adresse IP, un spécialiste de la protection de la vie privée devrait s’en réjouir. Mais l’auteure de l’article s’en désole, car cela rend obsolète les belles politiques de confidentialité des sites web consultés par l’internaute…
Protéger la vie privée de l’internaute… en le surveillant
La bêtise du propos ne se suffisant apparemment pas à elle-même, Lisa Nee nous achève avec sa proposition de recourir, sur tout site web, à des systèmes de vérification de l’utilisateur. À l’image des solutions techniques de vérification de l’âge des internautes sur les sites pornographiques…
On rappellera qu’un tel système a pour objectif est de protéger les enfants contre l’accès à des contenus inappropriés. En effet, si un internaute (mineur) habite dans un pays où les sites web olé olé sont légalement contraints de vérifier l’âge de leurs utilisateurs, passer par un VPN (via un serveur situé hors de son pays de résidence) lui permet de contourner la page de vérification de l’âge.
On ne peut certes pas être contre la vertu. Mais ce que propose ici Lisa Nee, c’est de mettre en place de tels systèmes de vérification sur tous les sites web, rien que pour s’assurer… que l’internaute verra la bonne politique de confidentialité du site et qu’il récoltera les bons cookies…
« Instead of automatically collecting IP addresses and other personal information for dynamic content management, website operators and service providers could launch a user verification system, like launching an initial landing page. This would first inform users of personal data collection and allow them to actively and selectively share data, such as location or age before being able to access the appropriate website or content, including a geo-specific privacy notice and applicable opt-in/opt-out mechanism.»
L’auteure regrette toutefois que certains systèmes de vérification soient facilement contournables. C’est notamment le cas lorsqu’un site web se fie uniquement aux informations que l’internaute fournit volontairement au site.
Ainsi dans les derniers paragraphes de l’article, l’auteure suggère implicitement que les sites web recourent à des techniques plus invasives pour obtenir automatiquement des informations exactes sur leurs visiteurs.
Lisa Nee pense certainement à des solutions utilisant les « inferred signals », c’est à dire des informations déduites à partir de l’analyse de comportements, d’interactions ou d’autres données non fournies par la personne concernée. Ces « inferred signals » permettent ainsi de tirer des conclusions sur les préférences, les caractéristiques ou les intentions d’un individu. C’est ce que propose par exemple la société Ketch.
Autrement dit, pour assurer la conformité légale en protection de la vie privée, Lisa Nee recommande… d’espionner les internautes!
Madame, si les internautes utilisent TOR ou des VPN, c’est précisément pour contourner ces techniques de flicage que vous appelez de vos voeux!
Je trouve désolant que des “spécialistes de la spécialité” se fassent ainsi aspirer par la conformité légale, au point de perdre de vue le sens même de leur profession.
Crédits photo
Retouche et recadrage d’une photo de BoliviaInteligente sur Unsplash
À propos de Arnaud Palisson
Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.