Business

La cuisine du consentement utilisateur ?

Par le

Internet est-il contaminé par un business modèle toxique, qui forcerait des services à intégrer des chevaux de troie dans leurs applications afin d’optimiser leurs revenus publicitaires ? De plus en plus d’applications mobiles intègrent des SDK étranges, des traceurs sournois.

Des organisations comme Exodus Privacy nous permettent de recenser ces traceurs dans les applications comme ici : https://reports.exodus-privacy.eu.org/trackers/34/

Comment expliquer la différence entre le message de consentement présenté à l’utilisateur, et le message affiché par le traceur sur son site web ?

Message présenté à l’utilisateur :

« L’application utilise votre position pour vous proposer un service plus personnalisé. Merci d’activer la géolocalisation. »

Message présenté sur le site du créateur du SDK intégré :

  • After explicit opt-in we see the complete usage of a mobile device for a given user, including any website browsed, any apps downloaded, all app usage.*
  • Want to know what your users are doing outside of your own website and app on their mobile devices? Which competitors they visit before coming to your site? Which app they use the most each morning?…**

* Après consentement explicite, nous voyons l’utilisation complète d’un appareil mobile pour un utilisateur donné, y compris tout site Web consulté, toutes les applications téléchargées, l’usage de ces applications.

** Vous voulez savoir ce que font vos utilisateurs en dehors de votre site Web et de votre application sur leurs appareils mobiles ? Quels concurrents visitent-ils avant de venir sur votre site ? Quelle application utilise-t-elle le plus chaque matin ? …

Et en consultant les conditions d’utilisation d’un des services concernés, on peut y lire « 

XXX s’interdit de divulguer vos informations personnelles à d’autres sociétés à des fins d’utilisation par celles-ci. »

Alors qui croire ? Il y a un adage que j’aime beaucoup :

S’ils disent qu’ils ne vendent pas vos données, demandez-leur s’ils vendent les leurs.

Mais peut être que les applications mentionnées ci dessus intègrent ces SDK à « l’insu de leur plein gré ».

Bien sur, l’éditeur du SDK expliquera que la collecte des données est effectuée selon les règles, après un consentement explicite (sic), que les données sont anonymisées… Mais qui peut croire que des données comprenant votre historique de positions, vos pages visitées et votre mail peuvent résister aux techniques de ré-identification ?

Au moins pourrions nous espérer un message de ‘opt-in’ plus franc, du type : « Acceptez vous que nous surveillions votre activité sur ce téléphone (site web visités, applications utilisées, où et quand, …) afin de vous proposer des publicités plus pertinentes ».

Ce double discours n’est pas un procédé isolé, d’autres services se sont fait prendre la main dans le sac. UnrollMe est un cas particulièrement parlant. Ce logiciel se présente comme un gentil plugin Gmail permettant de vous désabonner des listes de diffusions qui vous dérangent. Bien sûr pour cela il a besoin de la permission de lire vos mails.  Le scandale a éclaté parce que ce service vendait à Uber, parangon de l’éthique dans le numérique, une vue temps réelle des ventes de son concurrent… et ceci tout simplement en analysant les tickets et les factures trouvées dans les boites mails des utilisateurs. Pour le moins trompeur et malhonnête comme service non ?

Le monde mobile dans lequel historiquement le traçage des utilisateurs était plus compliqué que dans le monde du web, est maintenant menacé par des méthodes aux limites du malware. Et sur le web il existe des contres mesures comme les bloqueurs de scripts, méthodes par ailleurs contestables car mettent en famine des producteurs de contenus qui ont légitimement droit à une rémunération.

Sur mobile ces techniques sont presque invisibles, et ne semble pas connaître de limites dans les intrusions quelles se permettent.  De nouvelles méthodes permettent à des applications d’accéder à vos informations personnelles sans en demander la permission. La technique est simple, une application demande d’accéder a telle ou telle information (position, carnet d’adresse, …) en prétextant un besoin plus ou moins légitime, et va se comporter en receleur en mettant à disposition à d’autres applications complices (ou porteuses du même SDK) ces mêmes données via un mécanisme de communication inter application.

Nous avons lentement glissé d’un business modèle basé sur la publicité non intrusive, de la rémunération légitime d’apporteurs d’affaires vers un modèle basé sur l’analyse de données personnelles acquises par la surveillance afin d’optimiser des revenus publicitaires, en vendant au passage des ‘data products’, du scoring, permettant des pratiques discriminantes. Et tout cela sous le prétexte fallacieux de la personnalisation. Force est de constater que cette personnalisation que l’on nous vend est un leurre et ne sert qu’a légitimer la collecte d’informations.

Dans un modèle de conception Privacy by Design, aucune de ces pratiques ne seraient possible. Nous devons nous diriger vers ce nouveau modèle, vers une économie Privacy by Design.

https://twitter.com/facettsapp/status/935456777235296258

C’est un changement de paradigme, rendu possible par l’évolution des technologies permettant de relocaliser certains traitements des données chez les utilisateurs, par la démocratisation du chiffrement, par la popularisation des architectures décentralisées et les perspectives de monétisations des crypto-monnaies. Le modèle du capitalisme de surveillance va se faire disrupter, les utilisateurs s’en détournent de plus en plus et un autre modèle va apparaître, prenez le bon train.

https://socialcooling.fr