Roomba est-il vraiment en mesure de conserver l’anonymat de vos données ?
Fin juillet, le fabricant de Roomba (iRobot) a dévoilé à Reuters le second talent de son appareil. Les versions connectées du robot ménager Roomba n’aspirent pas seulement votre saleté : elles cartographient également votre espace pour mieux nettoyer.
Des versions anonymisées de ces cartes seront sans doute bientôt disponibles à la vente sur Amazon, Google ou Apple — avec le « consentement éclairé » des utilisateurs, insiste l’entreprise. L’acquéreur de ces données pourra les utiliser pour proposer de nouveaux objets connectés ou pour améliorer l’expérience-utilisateur d’appareils connectés existants.
Les marchés financiers semblent apprécier la nouvelle orientation d’iRobot en matière d’extraction de données. Le prix de l’action a tripé en près d’un an.
Oui, vos données représentent beaucoup d’argent pour iRobot. Mais que signifie ce reciblage du business des objets connectés en matière de vie privée ?
« Peut-on blâmer iRobot ? », se demande Erka Koivunen, Chief Information Officer chez F-Secure. « Il ne s’agit que d’un fabricant de plus qui constate lui aussi qu’il peut collecter des données potentiellement utiles et lucratives ».
Les modalités d’acceptation éclairée d’iRobot et les autres assurances relatives à la protection de la vie privée peuvent-elles vraiment convaincre les consommateurs que leurs données resteront privées ?
« Même pour eux, il est presque impossible de savoir si leurs données seront utilisées et à quelles fins » explique Erka.
« iRobot fera sans doute son possible pour pseudo-anonymiser ou anonymiser vos données » ajoute-t-il. « Le problème est que la plupart des entités qui acquerront ces données n’en auront que faire : elles feront leur possible pour désanonymiser ces données en les corrélant à d’autres bases de données et aux données collectées par d’autres appareils. »
Conclusion : même si une entreprise tente de protéger vos données, elle ne sera peut-être pas en mesure de tenir sa promesse.
« Le problème, avec l’anonymisation des données, est que si une entité dispose d’assez de données et de moyens permettant de les corréler, il lui sera possible de repérer certains types de comportements et signes révélateurs pour retrouver l’identité des individus à qui correspondent ces données. »
Roomba est déjà compatible avec l’assistant connecté Alexa proposé par Amazon.
« Il sera facile pour Alexa de connaître la taille et l’aménagement de la pièce dans laquelle l’appareil se trouve. Alexa entendra également lorsque Roomba se déplace dans la pièce. Ajoutez à ces deux fonctionnalités la capacité à dater les évènements dans le temps, et vous pourrez cibler l’utilisateur Roomba avec une précision étonnante. »
Pensez à ce que pourrait faire Roomba si vos données étaient corrélées à celles collectées par Alexa, dans une maison où presque tout, même votre matelas, est connecté.
Une fois votre identité associée à vos données, ces dernières acquièrent bien plus de valeurs. C’est d’ailleurs sans doute pour cette raison que Twitter et Facebook cherchent absolument à avoir votre numéro de téléphone.
Aux États-Unis, une récente intrusion a abouti à la violation de 1,1 terabytes de données. Il s’est avéré que la victime, une importante entreprise d’analyses de données, avait pu établir le profil de 198 millions de votants. Ces profils comportaient le numéro de carte d’identité, l’adresse e-mail, les numéros de téléphone et l’historique reddit.com. Le préjudice de l’intrusion en matière de protection de la vie privée atteindrait 5 millions de dollars, selon une plainte.
Les données privées identifiant un individu peuvent également intéresser les pirates et rendre une éventuelle intrusion encore plus grave. Pour les entreprises européennes, qui devront se conformer au Règlement général sur la protection des données dès l’année prochaine, les coûts pourraient s’avérer d’autant plus importants. Ce règlement prévoit notamment le « consentement éclairé » des utilisateurs dont les données sont exploitées.
Erka déclare : « Le réel danger est l’utilisation de ces données à d’autres fins », c’est-à-dire que « les informations personnelles collectées dans le cadre d’un objectif spécifique seront réutilisées/partagées/combinées pour répondre à un nouvel objectif ».
Lorsqu’un utilisateur autorise iRobot à cartographier son espace, est-il en mesure de savoir vraiment ce qui sera fait de ces données ? Il y a un an, l’entreprise elle-même ignorait qu’elle se lancerait un jour dans la vente de ces cartes.
De quel « consentement informé » parlons-nous au juste lorsque les données dont nous avons autorisé l’utilisation des années auparavant et dans un objectif précis, sont utilisées à d’autres fins, totalement différentes, par une entité, elle-même différente ? » s’interroge Erka.
Hannes Saarinen — Chief Privacy Officer chez F-Secure — fait remarquer que les réponses à cette question pourraient bien dépendre de chaque pays.
« Aux États-Unis, le « consentement éclairé » pourrait très bien protéger l’entreprise au cas où ces données étaient réutilisées et partagées à d’autres fins que celles initialement fixées », ajoute Hannes.
Cela ne serait pas valable de l’autre côté de l’Atlantique.
« Dans l’Union européenne, tout cela serait totalement illégal », ajoute-t-il, en pointant cet extrait de la législation européenne (RGPD) :
*) Les données à caractère personnel doivent être … (b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
Les données deviennent le nouveau pétrole. L’anonymat fait désormais partie du passé. Vous devez penser à ce qui arrive à vos données lorsque les entreprises s’en emparent et les vendent. Parce qu’elles le font déjà.
Catégories