Qui lancent un débat sur nos responsabilités d’utilisateurs à l’ère de l’IoT
Les voitures modernes sont des ordinateurs sur roues connectés à Internet. Pour cette raison, ils n’échappent pas aux tendances en matière d’Internet des objets : collecte massive des données, dangers pour la vie privée, etc. Depuis les caméras intégrées à ces véhicules jusqu’au capteurs de poids des sièges, tout est utile au sein de ces derniers pour amasser des données sensibles. Le tableau ravive le débat sur nos responsabilités d’utilisateurs à l’ère de l’Internet des objets annoncé par certains experts depuis plusieurs années comme Internet des menaces.
Une récente étude de Mozilla révèle l’ampleur de la collecte des données au sein de ces véhicules
L’organisation à but non lucratif a constaté que toutes les grandes marques automobiles ne respectent pas les normes de confidentialité et de sécurité les plus élémentaires dans les nouveaux modèles connectés à Internet, et les 25 marques examinées par Mozilla ont échoué au test de l’organisation. Mozilla a découvert que des marques telles que BMW, Ford, Toyota, Tesla et Subaru collectent des données sur les conducteurs, notamment l’origine ethnique, les expressions faciales, le poids, les informations sur la santé et l’endroit où l’on conduit. Certaines des voitures testées collectent même des détails sur l’activité sexuelle, l’origine ethnique et le statut d’immigration, selon Mozilla.
« Nous avons examiné 25 marques de voitures dans le cadre de notre recherche et nous avons distribué 25 « dings » sur la manière dont ces entreprises collectent et utilisent les données et les informations personnelles. C’est vrai : chaque marque de voiture que nous avons examinée collecte plus de données personnelles que nécessaire et utilise ces informations à des fins autres que l’utilisation de votre véhicule et la gestion de sa relation avec vous. Pour le contexte, 63 % des applications de santé mentale (une autre catégorie de produits qui s’en sort mal en termes de respect de la vie privée) que nous avons examinées cette année ont reçu ce « ding ».
Et les constructeurs automobiles disposent de bien plus d’opportunités de collecte de données que les autres produits et applications que nous utilisons – plus que même les appareils intelligents dans nos maisons ou les téléphones portables que nous emportons partout où nous allons. Ils peuvent collecter des informations personnelles sur la façon dont vous interagissez avec votre voiture, les services connectés que vous utilisez dans votre voiture, l’application de la voiture (qui fournit une passerelle vers les informations sur votre téléphone), et peuvent recueillir encore plus d’informations sur vous à partir de sources tierces comme SiriusXM ou Google Maps. C’est le bordel. Les façons dont les constructeurs automobiles collectent et partagent vos données sont si vastes et compliquées que nous avons écrit un article entier sur la façon dont cela fonctionne. L’essentiel est le suivant : ils peuvent collecter des informations très intimes sur vous – depuis vos informations médicales, vos informations génétiques, jusqu’à votre “vie sexuelle” (sérieusement), jusqu’à la vitesse à laquelle vous conduisez, où vous conduisez et quelles chansons vous jouez dans votre voiture – en quantités énormes. Ils l’utilisent ensuite pour inventer davantage de données sur vous grâce à des « déductions » sur des éléments tels que votre intelligence, vos capacités et vos intérêts », déclare Mozilla.
Selon Mozilla, les voitures peuvent collecter au moins certaines de ces informations sur les conducteurs et les passagers à l’aide de capteurs, de microphones, de caméras, de téléphones et d’autres appareils que les gens connectent à leurs voitures connectées au réseau. Et ils collectent encore plus d’informations auprès des applications automobiles – telles que Sirius XM ou Google Maps – ainsi que des concessionnaires et de la télématique des véhicules.
Certaines marques automobiles peuvent alors partager ou vendre ces informations à des tiers. Mozilla a découvert que 21 des 25 constructeurs automobiles examinés déclarent pouvoir partager des informations sur leurs clients avec des fournisseurs de services, des courtiers en données, etc., et 19 sur 25 déclarent pouvoir vendre des données personnelles.
Et certains, comme Nissan, peuvent également utiliser ces données privées pour développer des profils de clients décrivant « les préférences, les caractéristiques, les tendances psychologiques, les prédispositions, le comportement, les attitudes, l’intelligence, les capacités et les aptitudes » des conducteurs. Oui, vous avez bien lu. Selon les chercheurs de Mozilla en matière de protection de la vie privée, Nissan affirme pouvoir déduire votre intelligence, puis vendre cette évaluation à des tiers.
Les autres marques ne s’en sortent pas beaucoup mieux. Volkswagen, par exemple, collecte vos comportements de conduite tels que votre ceinture de sécurité et vos habitudes de freinage et les associe à des détails tels que l’âge et le sexe pour une publicité ciblée. La politique de confidentialité de Kia se réserve le droit de surveiller votre « vie sexuelle » et Mercedes-Benz expédie des voitures avec TikTok préinstallé sur le système d’infodivertissement, une application qui a son propre lot de problèmes de confidentialité.
« C’est déjà assez grave pour les sociétés géantes qui possèdent les marques automobiles d’avoir toutes ces informations personnelles en leur possession, pour les utiliser à des fins de recherche, de marketing ou à des « fins commerciales » ultra vagues. Mais la plupart (84 %) des marques automobiles que nous avons étudiées déclarent pouvoir partager vos données personnelles – avec des fournisseurs de services, des courtiers en données et d’autres entreprises que nous connaissons peu ou pas du tout. Pire encore, dix-neuf (76 %) déclarent pouvoir vendre vos données personnelles.
Un nombre surprenant (56 %) déclarent également pouvoir partager vos informations avec le gouvernement ou les forces de l’ordre en réponse à une « demande ». Il ne s’agit pas d’une ordonnance d’un tribunal de grande instance, mais de quelque chose d’aussi simple qu’une « demande informelle ». Aïe, c’est une barre très basse ! Une réécriture de Thelma & Louise en 2023 placerait les dames en détention avant que vous ayez eu la chance de manger votre pop-corn. Mais sérieusement, la volonté des constructeurs automobiles de partager vos données est plus qu’effrayante. Cela a le potentiel de causer de réels dommages et a inspiré nos pires cauchemars en matière de voitures et de vie privée.
Et gardez à l’esprit que nous ne savons ce que les entreprises font avec les données personnelles qu’en raison des lois sur la confidentialité qui interdisent de ne pas divulguer ces informations (allez au California Consumer Privacy Act !). Les données dites anonymisées et agrégées peuvent être (et sont probablement) également partagées avec les centres de données des véhicules (les courtiers en données de l’industrie automobile) et d’autres. Ainsi, pendant que vous vous déplacez d’un point A à un point B, vous financez également l’activité parallèle florissante de votre voiture dans le secteur des données de plusieurs manières », ajoute Mozilla.
L’étude de Mozilla arrive dans un contexte où des sociétés de marketing confirment qu’elles écoutent les appareils connectés à Internet pour du ciblage publicitaire
En effet, CMG s’est vanté de sa capacité à identifier les « conversations pertinentes via les smartphones, les téléviseurs intelligents et d’autres appareils » en mettant à contribution l’intelligence artificielle pour permettre aux entreprises locales de cibler leurs publicités sur ces personnes. Néanmoins, dans une société où certains experts en sécurité informatique ont déjà prévenu que l’Internet des objets pourrait devenir l’Internet des menaces, la sortie de la société de marketing n’a pas manqué de susciter étonnement et indignation.
Prendre au maximum connaissance des conditions d’utilisation des produits relève de la responsabilité des utilisateurs
Surtout que certains constructeurs disent jouer la carte de la transparence avec les clients.
« Par souci de transparence, BMW NA fournit à nos clients des avis complets sur la confidentialité des données concernant la collecte de leurs informations personnelles. Pour un contrôle individuel, BMW NA permet aux conducteurs de véhicules de faire des choix précis concernant la collecte et le traitement de leurs informations personnelles. Nous nous conformons volontairement aux demandes de confidentialité des données d’un client (par exemple, demande d’accès, de suppression, de correction) même dans les États où nous ne sommes pas tenus de le faire. De plus, nous permettons à nos clients de supprimer leurs données que ce soit sur leurs applications, leurs véhicules ou en ligne.
BMW NA ne vend pas les informations personnelles de nos clients à bord du véhicule.
BMW NA offre à nos clients la possibilité de se désinscrire de la publicité comportementale ciblée BMW sur Internet. En ce qui concerne la sécurité des données, nous prenons des mesures complètes pour protéger les données de nos clients. Veuillez comprendre que nous ne pouvons pas commenter davantage sans avoir vu l’enquête ou ses résultats », déclare BMW en réponse à l’enquête de Mozilla.
Mais le fait est que les utilisateurs n’en prennent pas connaissance.
Selon Statista, environ 97 % des personnes âgées de 18 à 34 ans ne lisent pas ces conditions. Néanmoins, la raison de cette situation a peut-être moins à voir avec la paresse qu’avec la longueur de ces documents.
Il faut souvent beaucoup de temps pour parcourir l’ensemble du document. L’une des conditions générales les plus courtes appartient à Instagram, et elle contient 2451 mots au total. À une vitesse de lecture moyenne d’environ 240 mots par minute, il faudrait à un internaute environ dix minutes pour parcourir l’ensemble du document. Ce n’est pas beaucoup, mais cela peut le paraître lorsqu’on essaie simplement de créer un compte sur le réseau social.
De plus, Instagram est un peu une exception à cet égard. Facebook, par exemple, a une page de conditions générales d’environ 4100 mots, ce qui prendrait au moins dix-sept minutes à lire à une vitesse de lecture moyenne. C’est beaucoup de temps à passer sur un tel document, mais une fois encore, il s’agit d’une valeur basse, car de nombreuses autres entreprises exigent des temps de lecture beaucoup plus longs.
Le pire exemple en la matière est sans doute Microsoft. L’entreprise possède une page de conditions générales absolument gigantesque qui contient plus de 15 000 mots, soit la taille d’un petit roman. Il faudrait bien plus d’une heure pour lire ces conditions générales, et il est inutile de préciser que personne n’a l’intention de passer une heure à faire quelque chose de ce genre.
Réduire la surface d’intrusion des entreprises ne relève-t-il pas de notre responsabilité en tant qu’utilisateurs ?
A l’ère du tout connecté, un véhicule pose les mêmes soucis en lien avec la collecte des données et la vie privée qu’un smartphone. C’est donc à l’utilisateur d’aller de plus en plus à la recherche de solutions susceptibles de diminuer son empreinte numérique via ces appareils. De solutions sont disponibles pour l’atteinte de cet objectif.
On a par exemple beaucoup parlé des smartphones Linux orientés sécurité et vie privée. On peut en sus citer le Murena One X2. Il s’agit du premier téléphone Android haut de gamme utilisant la bifurcation open-source /e/OS Android à être commercialisé. Le cœur de la confidentialité du Murena One est /e/OS V1. /e/ est un système d’exploitation open source basé sur Android, exempt des produits Google et doté de ses propres services Web (non obligatoires), créé par le développeur de logiciels français et fondateur de la distribution Linux Mandrake, Gaël Duval. Grosso modo, le contexte impose aux utilisateurs de produits et services en ligne de s’intéresser aux solutions respectueuses de leur vie privée.
Et à cet effet, le dépôt GitHub Awesome Privacy liste une panoplie d’alternatives gratuites et open source. « Lorsque vous utilisez des services d’IA dans le nuage, les données que vous saisissez sont souvent collectées et stockées par le fournisseur de services. Il peut s’agir non seulement du contenu de vos demandes, mais aussi de métadonnées, telles que les horodatages ou les adresses IP. Les serveurs tiers peuvent donner accès à vos données à leurs employés, partenaires ou même à d’autres utilisateurs, en fonction de leur politique de confidentialité. Les données peuvent être utilisées à diverses fins, notamment pour la formation des modèles, la recherche ou même les activités de marketing. Vos demandes auprès d’un service d’IA tiers peuvent être liées à vos informations d’utilisateur et à vos détails de paiement, ce qui permet de relier vos données à votre identité », indiquent les mainteneurs qui proposent donc des alternatives au cas par cas.
source : developpez