Hygiène Numérique

Vers une hygiène numérique — Les bons réflexes

Booteille

12 min read

Dans cette note de blog, j'ai essayé d'employer une forme d'écriture inclusive. (D'où les points médians « · » et l'emploi de « iels » pour « ils ou elles »)
C'est une des premières fois que je me prête à l'exercice donc ne m'en voulez pas si il y a des erreurs.

Il y a quelque temps, j'ai passé plusieurs journées à vadrouiller en Allemagne et Suisse. J'ai eu l'occasion de discuter avec des dizaines de personnes différentes et notamment de leur présenter mes idées autour de l'éthique numérique.
Après plusieurs discussions, une rencontre, devenue désormais une amie, me dit alors : « Tu pourrais pas faire ça, toi ? Un guide pour le débutant. Qui explique les gestes de base ! »
L'idée m'a séduit.

Voici donc un premier article-guide, traitant des bons réflexes à avoir lorsque l'on souhaite utiliser un outil ou service numérique.

Les bons réflexes

Il existe quelques bons réflexes à avoir lorsque l'on utilise un outil numérique, surtout s'ils sont connectés à internet. Un outil numérique peut être un ordinateur, un objet connecté (comme une montre connectée) mais aussi n'importe quel outil virtuel que nous utilisons. Notre navigateur, les logiciels de notre suite bureautique, notre moteur de recherche, notre service de cloud, etc. Nous essaierons de décrire quelques-uns de ces réflexes. Mais d'abord, faisons un point sur ce qu'est une donnée personnelle.

Légalement, une donnée personnelle est n'importe quelle information permettant d'identifier directement (nom et prénom, par exemple) ou indirectement (par exemple, en croisant votre date de naissance et votre lieu de naissance) une personne physique.[1]

Directement ou indirectement, une donnée personnelle est donc tout ce qui permet de nous identifier. Sur internet, les méthodes indirectes sont extrêmement variées : Cookies, traqueurs publicitaires, recherches faites sur Google, Bing, et autres, historique de navigation, version du navigateur utilisé, extensions de navigateur installées, etc.

Dans les faits, toute action que nous faisons entraîne la génération de données qui, en fonction des services que nous utilisons, pourront être utilisées pour nous identifier de manière unique. On parle parfois d'empreinte numérique.
Gardons donc en mémoire ceci : toute action sur internet (et souvent, aussi, hors d'internet[2]) entraîne une trace numérique. Nous pouvons être identifié·e·s via ces traces.

Avant d'utiliser un outil ou service, quelles questions se poser

  • Qui a construit l'outil ?
    Cette question est primordiale. Savoir qui a fabriqué l'outil permet déjà de savoir si nous adhérons à l'éthique de l'entité créatrice. Est-ce que c'est une entreprise cotée en bourse, une fondation à but non lucratif ? Cette simple question est déjà primordiale car elle va définir à qui doit rendre des comptes l'entité qui nous propose l'outil. Si elle est cotée en bourse, ne nous attendons pas à passer avant les intérêts des actionnaires.
  • Pourquoi cet outil a-t-il été créé ?
    Cette question est importante. La réponse n'est pas toujours aussi évidente qu'elle n'y parait en premier lieu, particulièrement si nous enquêtons sur l'entité qui a construit l'outil.
    Par exemple, le jeu Pokémon Go a été construit par l'ancien vice-président de Google Maps et responsable de Street View. Ce jeu, qui pousse les joueuses et joueurs à aller capturer des animaux fantastiques nommés Pokémon dans les rues, permet à des entreprises de payer pour orienter les personnes vers des « lieux sponsorisés », souvent des zones commerciales, incitant celles-ci à consommer.[3]
    Ainsi, nous avons ici un exemple parfait où ce qui ne semble à priori n'être qu'un jeu a en réalité des effets et des enjeux bien plus importants que cela.
  • D'où provient l'argent ?
    Internet coûte de l'argent. Les outils que nous utilisons aussi. Se questionner sur la manière dont l'entité qui créé l'outil se procure l'argent nécessaire est essentiel. Si nous n'arrivons pas à comprendre comment le financement de l'outil est possible, il y a de fortes chances à ce que nous soyons le produit vendu. En effet, la donnée personnelle est aujourd'hui la marchandise la plus prisée au monde, devant le pétrole.[4]
    En guise d'exemple, questionnons-nous sur le cas Facebook.
    Si nous souhaitons utiliser Facebook, nous pouvons le faire gratuitement. Il ne nous faudra pas débourser un euro pour nous inscrire, publier des images ou vidéos ni même pour discuter avec nos proches. Pour compenser le coût que tout cela a, le modèle économique de Facebook repose sur l'exploitation de toutes les données que nous lui fournissons et sur la diffusion massive de contenus sponsorisés à des entreprises qui paient des fortunes pour influencer le fil d'actualités.[5]
  • De quelle juridiction dépend mes données ?
    Cette question est très importante. Si nous hébergeons nos données sur un serveur situé aux États-Unis d'Amérique, nos données sont alors sous la juridiction états-unienne. Cela signifie qu'elles sont soumises au PATRIOT Act[6], au CLOUD Act[7] et à toutes les lois états-uniennes en vigueur.
    Pour nous protéger, nous devrions toujours choisir des services situés dans des pays dépendant d'une juridiction dont nous sommes d'accord.
  • Quelles sont les conditions d'utilisation ?
    C'est le point chiant de l'histoire. Nous ne pouvons faire aveuglément confiance à n'importe quel outil sans que cela ne nous nuise. Nous devons lire les conditions légales d'utilisation mais plus particulièrement les clauses concernant la gestion de nos données personnelles.
    Légalement, le Règlement Général sur la Protection des Données oblige toute entité à indiquer de quelle manière elle utilise les données des ressortissant·e·s européen·ne·s, ainsi que le droit de réclamer la liste de toutes les données utilisées nous concernant, sans contrepartie.
    Cependant, toute entreprise ne se plie pas aux règles de bon coeur alors nous devons rester méfiants.
    Ainsi, faisons attention particulièrement à quelques points :
    • Quelles données sont collectées ?
    • Doivent-elles vraiment être collectées ?
    • Combien de temps sont-elles conservées ?
      • Doit-on vraiment les conserver si longtemps ?
    • Avec qui ces données sont-elles partagées ?
      • Pour chaque entité, ré-itérer la même analyse. Qui est l'entité, quel est son but, d'où vient son argent, pourquoi collecte-t-elle des données et comment, etc.

Si nous visitons un site collectant des données sur notre santé, nous ne voulons pas que celui-ci les partage avec notre assurance. En effet, ceci afin d'éviter d'être sur-facturé·e en fonction de notre dossier médical.[8]

  • En ai-je réellement besoin ?
    C'est une question que l'on pourrait appliquer à chaque moment de notre vie. Pour moi, elle est essentielle. En marche ultra-légère, c'est une question que l'on se pose continuellement et surtout lorsque l'on doit préparer notre sac à dos. Chaque objet est un poids. Se demander quel poids l'on souhaite porter est très important pour pouvoir marcher des jours, des semaines, des mois sans souffrir. « Le poids, c'est de la peur » est un des crédos de ce mouvement.'
    En ce qui concerne le numérique, cette question est là aussi primordiale.
    Comme expliqué dans un autre article de ce blog[9], nous savons que l'impact du numérique est grand. Avec une extension comme Carbonalyzer, nous pouvons en mesurer une partie de l'impact à travers notre navigation : en quelques minutes de navigation, nous constatons un impact similaire à l'utilisation d'une voiture sur plusieurs kilomètres.
    Outre l'impact écologique, et je l'ai déjà évoqué plus haut : nous laissons des traces en utilisant un outil ou un service numérique. Ces traces permettent de nous identifier. Se questionner sur le réel besoin de l'utilisation du service permet de limiter le dépôt de traces sur internet.
    Moins nous utilisons le numérique, moins nous laissons de traces numériques, moins nous sommes facilement identifiable.
    Enfin, c'est aussi d'un point de vue psychologique qu'il faudra aborder la question. Réfléchissons une seconde à notre comportement : comment, dès que nous recevons une notification de mail, de Messenger, ou n'importe quel autre service, il peut nous être difficile de résister à la tentation de chercher à connaître son contenu ?
    Nous nous jetons sur ces notifications et cela peut nous couper pendant notre travail, notre lecture, ou un moment privilégié avec nos amis. Ce n'est pas un comportement anormal, les services sont pour la plupart conçus pour nous faire réagir de cette manière.
    En agissant sur différentes actions cognitives, dont notamment la sécrétion de dopamine, de nombreux services sont conçus pour créer de l'addiction.[10]
    Se poser la question sur le réel besoin d'ouvrir une page web, d'utiliser un service ou un outil, nous permet de reprendre un peu possession du contrôle de notre vie. Se poser, quelques secondes, prendre le temps de réfléchir à ce que l'on veut faire sur notre ordinateur avant de l'allumer, permet de rester concentré sur les tâches que nous nous fixons plutôt que de voir notre attention sapée de tous les côtés.
    J'écrirai, dans un avenir plus ou moins proche, un article sur l'impact du numérique sur notre psyché afin d'expliquer à quel point celui-ci influence nos comportements.

Les règles à retenir

  • Internet n'oublie pas.
    Cette règle est essentielle à retenir. Internet n'oublie pas. Jamais. Toutes les traces que nous laissons sur internet peuvent potentiellement être retrouvées, archivées, et ce pour une durée indéterminée. Tout ce que nous laissons sur internet a de fortes chances de rester Ad vitam æternam sur internet. Ce que nous postons légalement sur internet aujourd'hui peut, demain, devenir illégal et être retourné contre nous.
    Avant de poster quoi que ce soit sur internet (et particulièrement les photos et vidéo de nos enfants ou de personnes à qui nous n'avons pas demandé la permission), souvenons-nous de cette règle.
  • N'acceptons que ce que nous voulons.
    Lorsque nous installons un logiciel (ou souscrivons à un service), celui-ci demandera souvent si nous souhaitons installer tel autre logiciel. Cette option sera souvent recommandée par l'installateur. Il faut refuser. Il faut toujours refuser, sauf si nous souhaitons réellement l'installer. Si nous ne savons pas ce que c'est, il nous faut refuser. Il ne nous faut rien installer que nous ne connaissons pas, rien accepter à quoi nous n'adhérons pas.
    C'est le fléau de la plupart des informaticien·ne·s : Devoir nettoyer l'ordinateur de celles et ceux qui n'y connaissent peu ou rien et qui acceptent (sous l'énorme pression des fournisseur·se·s de logiciels et services) tonnes de logiciels ralentissant leur ordinateur.
    C'est aussi parce que la majorité des utilisateur·ice·s acceptent d'installer, sur leur smartphone, des applications qui exploitent des permissions dont iels ne veulent pas, qu'il est possible à celles-ci, par exemple, de collecter la liste des contacts et les noms associés et de les revendre à des entreprises... qui vont derrière harceler des personnes qui parfois n'ont jamais donné leur numéro à une quelconque entité. Nous avons ici un exemple de conséquence directe d'une mauvaise hygiène numérique qui nuit à autre que soi.
    Cette règle est à graver en or sur la liste des bonnes résolutions pour la nouvelle année. Elle pourra aussi être tatouée sur la main si nous prenons peur de l'oublier car celle-ci est essentielle. Je l'écris donc encore une fois : N'acceptons que ce que nous voulons.
  • Si le service est gratuit, nous sommes probablement le produit.
    Il nous faut nous méfier des services gratuits et nous devrons toujours nous poser les questions listées plus haut avant d'utiliser un tel service. Encore une fois, le modèle économique d'un service que l'on nous propose est essentiel à comprendre pour savoir si l'on peut ou non lui faire confiance.
  • L'Open Source, c'est bien
    Nous devons privilégier des outils dont le code source est accessible aux yeux de tous. Cela parce qu'un code dont la source est ouverte a plus de chances d'être correctement sécurisé et de respecter l'utilisateur·ice. Si il y a une faille de sécurité, la communauté pourra plus rapidement la trouver et la résoudre. Plus il y a d'yeux qui regardent un code et plus il y a de chances de trouver des failles et de pouvoir les corriger.
    Un outil sécurisé est supposé être « mathématiquement » sécurisé. Sa sécurité ne devrait pas dépendre d'un facteur humain. Cela signifie qu'avoir accès au code source de cet outil ne devrait avoir aucune incidence sur la sécurité de celui-ci.
    L'Open Source, ça permet ainsi de faire plus facilement confiance en un outil. Si un outil est populaire, son code sera certainement observé régulièrement et tout changement non-souhaité sera alors plus rapidement connu du grand public.
  • Ce n'est pas parce que c'est une grosse entreprise que c'est sécurisé
    Ce point est d'ailleurs largement lié à la problématique du code fermé. Même si l'outil appartient à une entreprise richissime (comme Facebook ou Google, par exemple), cela ne signifie pas forcément que celui-ci est plus sécurisé. C'est d'autant plus vrai quand l'outil en question a ses sources fermées. Les GAFAM (Google, Amazon, Facebook, Apple, Micosoft) ont vu leurs différents services se faire pirater de nombreuses fois. Un des nombreux scandales récents de Facebook[11][12][13][14] a, par exemple, montré que Facebook conservait des millions de mots de passe d'utilisateur·ice·s sans les chiffrer[15]. Le chiffrement est une opération qui consiste à rendre impossible la lecture d'un document pour ceux qui n'en connaissent pas la clé de déchiffrement, comme pour un coffre-fort.
    Ici, Facebook n'utilisait pas de coffre-fort pour les mots de passe de cette base de données. C'est à dire que si votre mot de passe était « Mot2passe! » et que vous étiez dans cette base de données, n'importe qui (des employé·e·s, des pirates, etc.) ouvrant le fichier pouvait voir clairement votre mot de passe. C'est une pratique absolument inimaginable pour n'importe quel·le professionnel·le du développement et pourtant, c'est ici l'œuvre d'une des entreprises les plus riches et influentes du monde.
  • Ne jamais sous-estimer les algorithmes
    Il existe une erreur extrêmement courante quand on aborde le numérique. Je l'ai entendue des dizaines de fois. Cette erreur est de sous-estimer les algorithmes, de penser que « ce n'est pas possible ».
    Si, c'est possible.
    Gardons-le bien en tête car c'est extrêmement important.

Si, DeepFace, l'algorithme de reconnaissance faciale de Facebook, peut reconnaitre un visage avec une précision similaire aux humains.[16]
Si, il est possible de nous identifier sur une photo ou vidéo même sans voir notre visage.[17][18]
Si, il est possible de nous identifier en analysant notre manière de taper au clavier et déplacer la souris.[19]
Si, il est possible de créer des photos et vidéos fictives à partir des visages des personnes que l'on souhaite.[20]
Si, il est possible de détecter des personnes et objets à travers les murs, en analysant les ondes WiFi omniprésentes.[21]
Si, les algorithmes des réseaux sociaux influencent nos émotions et nos comportements.[22][23][24]

Les algorithmes sont puissants. Mais ils ne sont pas parfaits. Ils sont à l'image de celles et ceux qui les créent. Ainsi, il ne faut pas leur accorder une confiance aveugle car cela peut avoir des effets dangereux.[25]

En se basant sur ces quelques principes, il nous sera plus facile de mieux savoir quelle confiance accorder en tel ou tel acteur. Au début cela prendra du temps mais au fur et à mesure, il sera de plus ne plus aisé et rapide de repérer les entourloupes.

Comme je l'ai déjà évoqué, il ne faut pas s'en faire si vous avez du mal à appliquer tous ces principes d'un coup. Procédez par étape. Remettez déjà en question les logiciels que vous utilisez, un à un, petit à petit. Une transition n'a pas forcément besoin d'être procédée de manière immédiate. Vous pouvez prendre votre temps pour le faire, du moment que vous vous y attelez...

Si vous avez des remarques, n'hésitez pas à me contacter par mail ou sur mastodon. Tout est dans la partie contact.

  1. https://www.cnil.fr/fr/definition/donnee-personnelle — Donnée Personnelle (cnil.fr [fr]) ↩︎

  2. https://www.cbsnews.com/news/digital-photocopiers-loaded-with-secrets/ — Des photocopieuses chargées avec des secrets (cbsnews.com [en]) ↩︎

  3. https://www.monde-diplomatique.fr/2019/01/ZUBOFF/59443 — Un capitalisme de surveillance (monde-diplomatique.fr [fr]) ↩︎

  4. https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data — La ressource la plus précieuse n'est plus le pétrôle mais la donnée (economist.com [en]) ↩︎

  5. https://cdn2.nextinpact.com/medias/surveillance-giants-report.pdf — Rapport sur la surveillance des géants - Amnesty International (nextimpact.com [en]) ↩︎

  6. https://fr.wikipedia.org/wiki/USA_PATRIOT_Act — PATRIOT Act (wikipedia.org [fr]) ↩︎

  7. https://fr.wikipedia.org/wiki/CLOUD_Act — CLOUD Act (wikipedia.org [fr]) ↩︎

  8. https://www.propublica.org/article/you-snooze-you-lose-insurers-make-the-old-adage-literally-true — Tu roupilles, tu perds : Les assurreurs rendent de viel adage littéralement vrai (propublica.org [en]) ↩︎

  9. https://blog.dreads-unlock.frhttps://blog.dreads-unlock.frhttps://blog.dreads-unlock.fr/limpact-ecologique-du-numerique/ — L'impact écologique du numérique (blog.dreads-unlock.fr [fr]) ↩︎

  10. https://www.arte.tv/fr/videos/085801-002-A/dopamine-2-8/ — Dopamine (arte.tv [fr]) ↩︎

  11. https://siecledigital.fr/2019/09/05/facebook-fuite-numero-telephone-utilisateurs/ — Facebook : plus de 400 millions de numéros de téléphone d'utilisateurs ont fuité (siecledigital.fr [fr]) ↩︎

  12. https://www.nytimes.com/2018/10/06/opinion/sunday/facebook-privacy-breach-zuckerberg.html — Opinion | Did Facebook Learn Anything From the Cambridge Analytica Debacle? (nytimes.com [en]) ↩︎

  13. https://medium.com/@karolian/facebooks-ad-tool-leaks-private-user-data-b3035aba846f — Des données privées fuitent à travers l'outil de publicités de Facebook (medium.com [en]) ↩︎

  14. https://dayssincelastfacebookscandal.com/ — Nombre de jours depuis le dernier scandale Facebook (dayssincelastfacebookscandal.com [en]) ↩︎

  15. https://www.01net.com/actualites/facebook-a-stocke-durant-des-annees-des-centaines-de-millions-de-mots-de-passe-en-clair-1657107.html — Facebook a stocké durant des années des centaines de millions de mots de passe en clair (01net.com [fr]) ↩︎

  16. https://www.numerama.com/magazine/28807-facebook-deepface-reconnaissance-faciale.html — Facebook reconnaît les visages presque aussi bien qu'un humain (numerama.com [fr]) ↩︎

  17. https://www.numerama.com/magazine/33026-meme-de-dos-facebook-sait-vous-reconnaitre-sur-les-photos.html — Même de dos, Facebook sait vous reconnaître sur les photos (numerama.com [fr]) ↩︎

  18. https://www.bfmtv.com/tech/chine-apres-la-reconnaissance-faciale-la-reconnaissance-de-la-demarche-1561160.html — Chine - Après la reconnaissance faciale, la reconnaissance de la démarche (bfmtv.com [fr]) ↩︎

  19. [https://web.archive.org/web/20181123184017/https://www.reddit.com/r/privacy/comments/9y65h6/how_microsoft_uses_biometric_profiles_to_track/] — Comment Microsoft utilise les profils biométriques pour traquer (web.archive.org [en]) ↩︎

  20. https://intelligence-artificielle.developpez.com/actu/262789/Des-chercheurs-creent-une-IA-qui-rend-facile-la-creation-de-deepfakes-a-partir-d-une-seule-image-et-les-resultats-sont-dangereusement-realistes/ — Des chercheurs créent une IA qui rend facile la création de DeepFakes à partir d'une seule image, et les résultats sont dangereusement réalistes (intelligence-artificielle.developpez.com [fr]) ↩︎

  21. https://www.extremetech.com/extreme/133936-using-wifi-to-see-through-walls — Utiliser le WiFi pour voir à travers les murs (extremetech.com [en]) ↩︎

  22. https://www.theguardian.com/technology/2014/jun/30/facebook-emotion-study-breached-ethical-guidelines-researchers-say — Des chercheurs indiquent que l'étude sur les émotions de Facebook dépasse les limites éthiques (theguardian.com [en]) ↩︎

  23. https://www.lexpress.fr/actualite/medias/l-etude-qui-va-vous-faire-decrocher-de-facebook_1556511.html — L'étude qui va vous faire décrocher de Facebook (lexpress.fr [fr]) ↩︎

  24. https://fr.wikipedia.org/wiki/Scandale_Facebook-Cambridge_Analytica — Scandale Facebook - Cambridge Analytica (wikipedia.org [fr]) ↩︎

  25. https://www.cnet.com/news/facial-recognition-software-inaccurate-in-98-of-metropolitan-police-cases-reports/#ftag=CAD590a51e — Le logiciel de reconnaissance faciale de la police métropolitaine est imprécis dans 98% des cas (cnet.com [en]) ↩︎