La stratégie du choc qu'elle disait, Naomi... On y est et on veut nous faire croire que c'est le temps de la "crise"... A qui profite cette panique était ma question d'il y a quelques jours, et voilà encore une réponse de plus...
Virus : surveillance de masse, des USA Ã la France
Huit opérateurs vont envoyer des données de géolocalisation à la Commission européenne
Le Washington Post et le New York Times publient coup sur coup deux enquêtes sur le respect de la distanciation sociale par les Américains... basées sur leurs données de géolocalisation. Et on apprenait ce jeudi que la Commission européenne allait recevoir des données de géolocalisation de huit opérateurs, dont Orange.
Vous nous lisez depuis le sol américain ? Souriez, vous avez été géolocalisé. Non, pas (encore) par le gouvernement Trump, qui n'a encore dévoilé aucun plan (officiel, du moins) de backtracking - ce dispositif de suivi GPS des infecté.e.s au Covid-19 qui a déjà fait ses preuves à Singapour, Taïwan et en Corée du Sud-, mais par vos journaux de référence. Lundi 23 et mardi 24 mars, les deux poids lourds de la presse nationale américaine, le Washington Post et le New York Times, ont publié coup sur coup deux enquêtes sous forme de visualisation de données, qui montrent l'évolution du respect des mesures de "distanciation sociale" par les Américains, Etat par Etat et jour après jour.
La méthode utilisée est la suivante : "Des analystes ont regardé la distance moyenne que parcourent les gens chaque jour à partir de données GPS de smartphones", détaille le New York Times. Dans les deux cas, les graphiques et les cartes qui en résultent sont précis à l'échelle du comté, la division territoriale en-dessous de l'Etat et au-dessus de la municipalité. On constate clairement l'impact des conseils des autorités sur les déplacements de la population, et l'on peut y comparer à loisir les "bons" et "mauvais" élèves du pays. Reste une question : comment est-il possible de générer des analyses de données d'une telle précision et d'une telle magnitude sans contrevenir à la vie privée ?
Les données de géolocalisation, marché de l'ombre
Concrètement, ni le Washington Post ni le New York Times n'ont d'équipes dédiées à la collecte de données de géolocalisation. Les cartes utilisées dans les articles proviennent de deux entreprises américaines, Descartes Labs pour le New York Times et Unacast pour le Washington Post - en plus des cartes, cette dernière a lancé un "barème de respect des distances sociales", qui lui permet d'attribuer des notes à chaque comté, puis à chaque Etat, de A à F (F signifiant que cette région ne respecte absolument pas les consignes). Basée à New York et fondée par les créateurs de Tidal (le site de streaming musical racheté par Jay-Z en 2015), Unacast propose le "Real World Graph", un outil d'analyse de données de localisation. Idem chez Descartes Labs, qui se veut une plateforme combinant "les meilleures données géospatiales et outils de modélisation en un seul package" - autrement dit, de gros volumes de données, et les algorithmes ad hoc pour faire parler.
Lorsqu'on s'intéresse aux sources de leurs données, on retrouve beaucoup d'ensembles accessibles publiquement (ce que l'on qualifie d'open source intelligence), comme les images satellites des différents programmes de la Nasa et de l'Esa, ou encore les relevés de l'Agence américaine d'observation océanique et atmosphérique (NOAA). Bref, rien que du public et du transparent. Lorsqu'on cherche à savoir comment ces entreprises obtiennent les données de géolocalisation des téléphones, en revanche, le langage se fait plus nébuleux : chez Descartes Labs, les données sont "récoltées par des applications internes ou des vendeurs tiers"; chez Unacast, un peu plus de précisions : "En plus des données reçus par nos partenaires, nous récoltons des données grâce à notre kit de développement (SDK) inclus dans certaines applications partenaires".
Les "partenaires" en question, ce sont des applications de jeu, d'achats en ligne ou d'autres services, qui récoltent des données sur les téléphones des utilisateurs qui les installent avant de les revendre. La liste de ces données est longue comme le bras. En temps normal, des firmes comme Unacast ou Descartes Labs proposent leurs analyses à des agences marketing, des agences immobilières ou des enseignes de vente au détail. La crise sanitaire réaffecte leurs ressources algorithmiques... et met en lumière une économie ténébreuse, celle des données de géolocalisation.
5400 mouchards dans l'App Store
Le 19 décembre dernier, le pays découvrait avec horreur le fonctionnement de ce marché de l'ombre à la faveur d'une enquête retentissante du New York Times. Le quotidien avait alors mis la main sur un seul fichier de données (un dataset) contenant 50 milliards de pings (une localisation précise, à un instant donné) de 12 millions de téléphones portables, sur une période de quelques mois entre 2016 et 2017. Des données permettant de suivre à la trace des employés du Pentagone ou de la Maison-Blanche, collectées de manière parfaitement légale par des dizaines d'entreprises en-dehors de toute régulation gouvernementale. Le truc? Les utilisateurs donnent leur consentement à la collecte et à la vente de leurs données à des tiers (et notamment, découvrait Vice, à des "chasseurs de primes" payés quelques centaines de dollars pour retrouver la trace d'un individu via son téléphone) lorsqu'ils acceptent -distraitement-les conditions générales d'utilisation (CGU) d'une application qui embarque un mouchard (quelques lignes de code intégrées à l'application, souvent contre rémunération). En mai 2019, le Washington Post déterrait ainsi près de 5400 mouchards enfouis dans les applications présentes sur l'App Store d'Apple.
Aujourd'hui, la majeure partie de la population américaine embarque donc dans son téléphone un dispositif de pistage en temps réel. Pire : les gros opérateurs de téléphonie mobile américains, comme Verizon ou AT&T, vendent également les données de leurs clients, rappelle le New York Times. Et c'est sans compter Google Maps, qui garde en mémoire un historique de nos déplacements et permet de connaître l'affluence d'un lieu en temps réel, ou Instagram, qui permet de savoir facilement où se trouve un utilisateur. Tout est réuni pour que les Etats-Unis deviennent le douzième pays à exploiter les données de géolocalisation de ses habitants pour tenter de contenir l'épidémie de Covid-19... et pourtant, à l'heure actuelle, rien n'est prévu en ce sens même si des discussions ont lieu entre l'administration Trump et les géants du web comme Facebook et Google, note le Washington Post. D'autres acteurs moins recommandables de la cyberguerre et du renseignement, comme l'israélien NSO ou l'américain Palantir, ont également proposé leur "expertise"aux autorités.
Envoi de données de géolocalisation à la commission européenne
Étonnamment, c'est en Europe, pourtant protégée d'un tel marché de la géolocalisation par une législation plus forte en termes d'exploitation de données personnelles, que le débat est le plus ouvert. Thierry Breton, commissaire européen (et ex-président de France Télécom), a rencontré les opérateurs mobiles du continent en début de semaine pour les convaincre de partager les données de géolocalisation avec Bruxelles. Mission accomplie ce 26 mars : dans le cadre de la lutte contre l'épidémie, la Commission européenne va bientôt recevoir des données de géolocalisation en provenance de huit opérateurs continentaux (Orange pour la France)... avec toutes les inquiétudes que soulève le futur dispositif. Et le Règlement général sur la protection des données (RGPD) dans tout ça ? Dans une lettre, le Contrôleur européen de la protection des données (CEPD) assure que les textes sont assez "flexibles" pour contenir un dispositif aussi invasif, pourvu qu'il reste éphémère. La Commission assure que les informations seront détruites sitôt la crise finie, et le PDG d'Orange promet de son côté qu' "il n'y aura pas de traçage individuel", rien que des données agrégées et anonymisées (ce qui ne signifie pas grand-chose, comme le démontrait l'enquête du New York Times).
En France, le Comité analyse recherche et expertise (CARE), nommé le 24 mars, pourrait lui aussi faire pencher la balance en faveur de la surveillance généralisée des malades. Ca tombe bien : on sait depuis le 20 mars qu'Orange travaille avec l'Inserm sur la meilleure manière d'analyser les données dans le contexte épidémique. Et les exemples internationaux aiguisent l'appétit de nos opérateurs : dès l'annonce du partenariat entre le suisse Swisscom et les autorités pour détecter un attroupement de plus de 20 personnes (désormais interdit sur le territoire), Grégory Rabuel, directeur général de SFR, se précipitait dans la matinale de Jean-Jacques Bourdin pour affirmer non seulement que son entreprise s'apprêtait à "fournir à des dizaines de milliers de Français les plus démunis, des téléphones gratuitement, des cartes sim et de la data" mais également qu'elle "pourrait faire la même chose avec des données anonymisées, mais on n’en est pas là en France". Et les garde-fous, alors ? La CNIL, révélait Mediapart le 25 mars, est déjà en train d'échafauder plusieurs "scénarios envisageables" pour l'implémentation du backtracking, en conseillant du bout des lèvres au gouvernement de "privilégier le traitement de données anonymisées et non de données individuelles". Textes européens, lois françaises... tout est en place. Impensable il y a encore deux jours (à en croire les dénégations d'Olivier Véran ou Frédérique Vidal), le traçage des malades par GPS semble aujourd'hui suspendu à un feu vert gouvernemental.
source avec les illustrations : https://www.arretsur...usa-a-la-france
