Mamori'nsight - Décembre 2024

Si vous avez des enfants ou si vous vous intéressez à l’actualité IT, vous savez peut-être déjà que Meta a annoncé en septembre l’institution de comptes Instagram “Teen”, avec des fonctionnalités limitant l’usage de l’application. Et bien, en novembre, Bloomberg a publié un article à propos des mesures prises pour s’assurer que les utilisateurs ne pourraient pas dissimuler leur jeune âge pour échaper à ces “Teen” accounts.

Il s’agirait d’analyser le contenu du profil, mais aussi le comportement de l’utilisateur sur le réseau social pour le classifier automatiquement comme adolescent ou adulte.

Cela apporte d’un côté des réponses aux demandes de plus en plus urgentes de protéger les jeunes utilisateurs de l’usage intensif de ce réseau, mais pose d’un autre côté des questions sur l’analyse de quantités massives de données personnelles de mineurs, et sur les prises de décision automatisées qui en suivront.

De plus, Meta en a profité pour rappeler que son souhait serait tout simplement de se débarrasser de ce problème, en le renvoyant aux magasins d’applications (chez Apple et Google) : d’après Meta, il serait plus approprié que ces derniers s’occupent eux-mêmes de vérifier l’âge des utilisateurs.

Sur ce dernier point, on peut le voir comme un simple déplacement du problème (de Meta vers Apple ou Google), mais on peut aussi apprécier la volonté de limiter le nombre d’acteurs qui réaliseraient ces traitements de données personnelles comportementales de mineurs, dans le seul but de vérifier l’âge de l’utilisateur. Affaire à suivre…

Est-ce que vous vous souvenez de cette affaire, à l’époque où Meta s’appelait encore Facebook ? Si non, je vous résume tout ci-dessous.

En 2018, un scandale a exposé le fait qu’une entreprise de communication stratégique du nom de Cambridge Analytica avait été engagée par le parti Républicain pour les besoins de la campagne présidentielle de 2016. Pour réaliser sa mission, l’entreprise a traité de façon détournée et opaque les données de dizaines de millions d’utilisateurs Facebook pour créer des profils détaillés servant à distribuer de la publicité politique ciblée. Le problème était que les utilisateurs ciblés ne savaient pas que leurs données d’utilisation de Facebook allaient être traitées de la sorte, c’est-à-dire pour leur adresser de la publicité politique ciblée (si ce sujet est aujourd’hui, notamment suite à ce scandale, beaucoup plus connu, c’était nettement moins le cas en 2016. Imaginez, le RGPD était tout juste en train d’être voté !)

Côté utilisateurs, il y a déjà eu des retombées judiciaires puisqu’une class-action a abouti à un accord de 725 millions de dollars l’année dernière.

C’est maintenant côté investisseurs que ça se passe, puisque la Cour Suprême des Etats-Unis a examiné ce dossier en novembre. Et la Cour a décidé de rejeter l’appel de Meta, et de laisser le procès se poursuivre devant les juridictions de fond, afin de décider si Facebook aurait dû prévenir ses investisseurs du fait que Cambridge Analytica avait eu accès aux données de millions d’utilisateurs à leur insu.

• Le nouveau modèle de publicité : Meta a annoncé une forte réduction du coût de l’abonnement pour enlever les publicités de ses réseaux Facebook et Instagram, passant de 10€ à 6€ pour le web et de 13€ à 8€ pour le mobile. En complément, une nouvelle possibilité permet, sans avoir à payer d’abonnement, de choisir de la publicité “moins ciblée” qui traitera donc moins de données personnelles de l’utilisateur.
• Amendes : environ 25 millions d’euros en Inde et près de 800 millions d’euros par la Commission Européenne, pour des pratiques anticoncurrentielles de partage de données personnelles d’une part, et de préférence pour son propre service d’annonces publicitaires.
• Un professeur prévoit de créer un outil permettant à un utilisateur de se désabonner de tous leurs contacts ; il a tenté de faire protéger juridiquement son outil de Meta, avant-même de l’avoir créé, mais son action en justice a été rejetée en novembre (justement parce que l’outil n’existe pas encore).
• Enfin, Meta a annoncé avoir supprimé plus de 2 millions de comptes liés à la propagation d’escroqueries à l’investissement, dites de “pig-butchering”.

En Europe, c’est la directive ePrivacy, adoptée en 2002 et toujours en vigueur, qui règle tout ce qui est relatif aux cookies et autres traceurs. Et justement, il y a peu, des lignes directrices ont été adoptées en version définitive (le draft était disponible depuis un an), pour aider à identifier quels traceurs sont soumis à cette directive, afin de s’adapter aux nouvelles technologies déployées ces dernières années.

Pourquoi c’est important ? Et bien, il faut savoir que les traceurs les plus utilisés (les cookies) sont de plus en plus contrôlés, et il est interdit de les utiliser pour réaliser de la publicité ciblée sans l’accord spécifique et explicite de l’utilisateur. Donc, pour continuer de fournir de la publicité ciblée efficace, les prestataires se sont mis à utiliser des technologies de suivi et de ciblage alternatives. Etant donné que ces cas se présentaient peu avant, on a peu de recul sur l’application possible de cette ancienne directive à ces nouvelles technologies de tracking.

Ces nouvelles lignes directrices sont un signe que les institutions se coordonnent pour avoir une approche cohérente et essayer de ne pas se faire dépasser par l’évolution des usages.

La Commission Européenne ne voit pas d’un bon œil les pratiques d’Apple, qui utilise la géolocalisation de l’appareil des utilisateurs en Europe pour limiter leur accès à différents services en fonction du pays dans lequel ils sont. Une illustration intéressante des problèmes liés au tracking, qui ne sont pas directement du ressort des lois sur la vie privée.

En effet, ce qui pose problème avec cette pratique, c’est la contravention au Règlement sur le Geo-blocking de 2018 : en vertu de la libre-circulation au sein du marché unique, il n’est pas possible de discriminer des utilisateurs s’ils se trouvent dans l’Etat-membre A plutôt que B. Et pourtant, c’est exactement ce que fait Apple avec sa fonction de limitation basée sur la géolocalisation.

Apple a jusqu’au 12 décembre 2024 pour répondre à cette communication de la Commission Européenne et proposer un plan d’action pour se conformer aux règles sur le marché unique.

On voyage un peu… jusqu’en Australie ! Le gouvernement vient de publier un guide adressé aux professionnels, pour qu’ils puissent en pratique se conformer à l’Australian Privacy Act concernant les pixels de tracking.

Les pixels de tracking sont des bouts de code insérés dans des pages web qui, quand la page en question est chargée, envoient un message à leur fournisseur, pour lui permettre d’analyser des éléments variés, allant de la simple fréquentation de la page à l’établissement de profils afin de cibler les utilisateurs.

Ces pixels peuvent donc traiter des données personnelles (voire même des données sensibles, dans certains cas) et doivent alors se conformer à la loi australienne à ce sujet. Bien que les obligations soient différentes de ce que nous pratiquons en Europe, les recommandations pratiques restent intéressantes et pourraient être en partie adaptées chez nous par les entreprises souhaitant réaliser du tracking dans le respect de la loi.

Et voilà, la directive NIS2 entre en vigueur ! Cette nouvelle norme européenne a pour objectif de tirer vers le haut le niveau de sécurité informatique du plus d’entités possible, en partant certes des secteurs et tailles les plus critiques, mais en couvrant cette fois-ci (contrairement à la première directive NIS) un champ d’application beaucoup plus large. Des obligations techniques et organisationnelles sont créées, de la prévention jusqu’à la gestion de crise.

Le CRA, quant à lui, vient d’être publié au journal officiel de l’UE et ne sera pas applicable avant 2026-2027, ce qui laisse un peu plus de temps pour s’y préparer. Ce règlement touchera les éditeurs, importateurs et distributeurs de produits numériques ou de produits intégrant des composantes numériques, pour imposer une sécurité dès la conception. Des amendes allant jusqu’à 15 millions d’euros ou 2,5% du CA annuel pourront être prononcées en cas de manquement.