Il faut changer la CNIL !

J’avais de l’amour pour la CNIL, la Commission Nationale Informatique et Liberté. En 2003, je leur avais même proposé de refaire leur site gratuitement (totalement obsolète à l’époque), c’est dire comme je les aimais. Hélas, aujourd’hui, force est de constater que la CNIL est devenu un prétexte pour faire croire aux Français que l’Etat se soucie de leur vie privée. Démonstration.

Depuis, 1978, l’informatique a bien changé, les usages aussi

logo-cnilL’histoire, vous la connaissez certainement. La CNIL, née en 1978 en réaction au projet SAFARI (un gros fichier avec toutes les données des Français dedans, accessible par n’importe quel fonctionnaire zélé), avait comme objectif de “veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.” (définition Wikipédia).

C’est beau, c’est noble, et c’était une idée très très intelligente pour l’époque. Hélas, il aura fallu 20 ans pour démontrer aux entrepreneurs de tous bords qu’on pouvait gagner plein d’argent avec les données privées des gens. La société s’est transformée, les usages et comportements des gens ne sont plus les mêmes, les réseaux et outils informatiques n’ont plus rien à voir avec ceux de 1978 (sauf au RSI). Et la CNIL ?

1- La CNIL a raté la mondialisation (des spywares)

not-sure-if-spyware-or-just-adware

En fait, on s’en fout, c’est la même chose

Durant les 80’s et 90’s, il s’est passé plein de trucs dans le monde, notamment la libéralisation des échanges économiques. Et notamment le fait de pouvoir facilement acheter un truc dans un pays étranger avec sa CB (ça n’a l’air de rien, mais fut une époque, c’était plus dur). Du coup, le marketing anglo-saxon a débarqué dans notre informatique personnel et les premiers spywares se sont introduits en douce sur nos PC et MAC.

Pour ceux qui savent pas, le but d’un spyware est de récupérer des datas vous concernant et les envoyer à des serveurs externes pour des raisons diverses (profiling publicitaire, fidélisation forcée, espionnage, etc.). Quelques exemples de spywares célèbres :

  • Certains antivirus qui, sous prétexte de sécuriser votre ordi, passent leur temps à balancer des tonnes de datas à leur serveur.
  • Les barres de navigateur à la noix que vous ne vous rappelez pas avoir installé. Bizarrement, c’est apparu la dernière fois que vous avez mis à jour FlashPlayer.

    mauvaise pratique adobe

    Adobe va décider pour vous de vous installer McAfee SSPlus pour scanner votre PC. C’est sympa hein ?

  • Votre mobile, donc la fonction même est de favoriser l’espionnage par les applis tellement il n’a aucune sécurité pour éviter ça.
  • Sur vos navigateurs, on peut considérer certains Cookies comme DoubleClick comme des spywares. Je vous conseille en passant de les virer immédiatement grâce à l’utilisation de Ghostery.
  • et bien d’autres encore…

On peut affirmer que les données qui transitent en douce sont bien des données personnelles (vos consultations de sites web sont très privées, et permettent de vous identifier). donc ces spywares sont illégaux (lisez CNIL et cookies : tous hors la loi ? et Quasiment tous les sites Web français sont dans l’illégalité, même pour des sites du gouvernement).

Et pourtant la CNIL n’a jamais mis son nez dans la mafia des spywares. Et le corollaire à ce manque de réactivité, c’est la professionnalisation des softwares dédiés à la captation de vos données. Il suffit de regarder les autorisations des applications présentes sur vos mobiles pour en être convaincu. Et là aussi, la CNIL regarde ailleurs, alors qu’il s’agit d’un sujet capital.

Alors pourquoi la CNIL n’a pas agit et n’agit toujours pas contre ces spywares fourbes ? Peut-être parce que ces méthodes sont utilisées par tous les acteurs économiques majeurs (Français ou pas). Du coup, la CNIL fait des recommandations et c’est tout. Facile de taper sur le phénomène Google, plus dur de changer les pratiques des entreprises.

2- La CNIL est larguée par le temps réel

La réactivité est un problème majeur de la CNIL. Comment peut-elle assurer sa mission quand la revente de données privées devient un enjeux économique majeur et  que tous les startupers imaginent des modèles économiques basés dessus ?

Ca me rappelle les années tristes du renouveau du piratage (vers 2004), où pour un informaticien français qui tentait de coder un système de sécurité inviolable, il y avait 1000 pirates de l’Est qui tentaient de le craquer. Là c’est la même chose. Le temps pour la CNIL de vérifier un site web, il y a 10 applis qui sortent et qui ne seront jamais contrôlées.

Des Xperia de Sony envoient vs données en Chine via un spyware

Un spyware caché dans des Xperia de Sony envoient vos données en Chine. Et c’est pas Sony qui va vous le dire.

Petit exemple bien Français : l’application smartphone du CIC demande d’accéder à tous les comptes utilisateur (on peut s’interroger sur la raison d’accéder à vos compte Gmail pour une appli bancaire). Et quand l’auteur de l’article interroge la CNIL sur l’existence d’une déclaration de cette application, la CNIL ne répond pas. Ca signifie soit que la CNIL ne sait même pas ce qu’elle a contrôlé, soit que chaque décision de contrôle est pesée politiquement. Un désastre annoncé.

Et cela devient catastrophique quand ces devices sont utilisés par les publics “fragiles et crédules” comme les enfants ou les seniors. Aux US, la FTC (Federal Trade Commission) a lancé une enquête sur les applis destinées aux enfants. On y apprend (sans trop de surprise), que :

  1. les parents ne lisent pas les “demandes d’autorisation” demandées lors de l’installation des applications
  2. les applications pour gamins sont de véritables logiciels espions

Et face à ça que peut réellement faire la CNIL ? Rien. Ah si, j’apprends qu’elle travaille depuis 3 ans avec l’Inria pour comprendre l’écosystème des smartphones. J’imagine que quand ils auront enfin terminés de comprendre, plus personne n’utilisera de smartphones. Ils pourront enfin se mettre à réfléchir sur l’écosystème de l’Internet des Objets.

3- la CNIL se couche devant l’Etat et ses représentants

La CNIL est une autorité administrative dont le collège est composé de “représentants”, parlementaires, conseillers, et “personnalités” désignés par des politiques. Son budget en 2013 était de 16,9 millions d’€ dont 11,6 millions d’€ consacrés au personnel (178 agents). Je vous laisse faire le calcul, mais soit ils sont tous merveilleusement bien payés à la CNIL, soit certains se sucrent bien dans l’histoire (d’après le rapport annuel 2013 de la CNIL elle-même)

quel-pays-va-installer-des-boites-noires-sur-internetDans ce contexte, le collège et les salariés de la CNIL n’ont aucun intérêt à faire chier l’Etat et ses représentants.

Par exemple en 2007, quand l’UMP et le PS laissent filer 200 000 fiches d’adhérents, ils ne sont pas sanctionné par la CNIL (alors qu’aucune des recommandations n’est suivie). Mais c’est encore plus vrai aujourd’hui. De la loi PJL Renseignement aux pouvoirs des agents de Pole Emploi. La CNIL est relativement discrète face aux dérapages des politiques. Et pire, quand la CNIL réagit, en critiquant par exemple Hadopi, l’Etat (via la ministre de la Culture Albanel à l’époque) n’en a absolument rien à faire.

Idem pour la loi renseignement. Où l’on peut tout de même admirer Isabelle Falque-Pierrotin, qui risque de changer de job bientôt.

Cela veut-il dire que l’Etat et ses représentants n’ont plus à subir ou écouter la CNIL, alors même qu’elle a été conçue initialement pour éviter les dérapages de l’Etat (le projet Safari)?

4- La CNIL facteur bloquant de l'”innovation Française”

Le dernier problème insolvable est la comparaison entre l’écosystème numérique Français et étranger (notamment Américain). Sachez qu’aux USA, les datas récupérés sont la propriété de la boite qui les a récupéré, et elle peut en faire ce qu’elle veut (en gros). Dites vous aussi que c’est un pays où le métier de “data broker” existe (une personne qui vend vos datas personnelles). Vous imaginez le décalage avec la France ?

Or, les internautes (vous) utilisent en majorité des sites et applications étrangères, qui ne tombent pas sous l’autorité de la CNIL. Car la CNIL ne peut rien faire contre une boite américaine qui a son siège social aux US. Et pendant ce temps là, les entreprises Françaises doivent suivre les recommandations de la CNIL.

fitbit

Fitbit : tu paies où tu ne retrouveras jamais tes data. Paf ! Dans Ta Cnil !

Alors, même si le protocole de déclaration des bases a été nettement simplifié depuis 10 ans (vous n’imaginez pas la plaie que c’était de déclarer une base à l’époque), le principe reste injuste. Les acteurs Français du digital se retrouvent limités dans leur capacité de récupérer des données, et de les monétiser alors que leurs concurrents étrangers non. Résultat : des services forcément réduits, des modèles économiques moins vivables. Comment voulez-vous favoriser l’innovation “à la française” dont se gargarisent les ministres du numérique. C’est aussi la cause du départ de beaucoup de startups vers les USA, le pays où l’on ne te fait pas chier avec la data que tu as volé aux gens.

Un petit exemple, avec ce site, Poster, qui vend des photos de vous trouvées sur Google Image sans votre autorisation. C’est pas en France qu’on verrait ça… Sauf que ce site est accessible par n’importe qui en France. Du coup, elle sert à quoi la CNIL là ?

poster2

Si tu veux vraiment une photo de Cyroul pour décorer tes toilettes, paie lui plutôt une bière.

Et pour finir d’enfoncer le clou, lisez la vision de l’ex-CNN et représentant représentant numérique de la France à Bruxelles, Gilles Babinet (j’adore ce gars), qui compare la CNIL à un “ennemi de la Nation”.

Conclusions : il faut changer la CNIL !

De façon rationnelle, la CNIL en l’état ne peut plus exister ! Il faut que ce soit dit. Seuls les salariés de cette institution et leurs partenaires, politiques et prestataires, peuvent assurer le contraire. Une instance qui ne peut rationnellement pas faire son travail, travail qui, en plus, ne sert à rien à part bloquer l’innovation Française.

L’autre aspect à prendre en compte, c’est que les gouvernements successifs se foutent de la CNIL. La volonté initiale de Safari de protéger les vies privées n’est plus du tout soutenue par ces gouvernements de droite ou gauche (ils sont pour une fois tous d’accord pour surveiller les citoyens, en dehors de quelques députés sérieux). Alors à quoi peut servir une instance qui n’est pas soutenu par l’état, qui fait ce qu’il veut dans son coin ?

Et pourtant le rôle de la CNIL n’a jamais été aussi important.

showmethedatamemeC’est maintenant que le commerce de nos données devient franchement dangereux. Car c’est maintenant que les utilisateurs (internautes) sont en train d’apprendre – par l’usage – à dévaloriser leurs données personnelles. Ces utilisateurs pensent que leurs datas privées ne valent rien, alors qu’au contraire c’est maintenant qu’elles ont le plus de valeur.

Quand Google montre l’exemple en faisant entrer l’assureur dans la maison via un device connecté et que les assureurs Français mettent des spywares dans vos voitures, c’est maintenant que la CNIL doit agir. Vite et fort !

En 1985, dans son manifeste, Richard Stallman, dit “with software, either the users control the program, or the program controls the users.” Nous sommes au moment où l’on peut constater de visu l’influence des programmes sur le comportement des populations. La CNIL doit être un rempart pour lutter  contre cette perte de libre arbitre humain. 

Comment faire ? Réinventer la CNIL. Aussi, pour l’aider et parce que j’aime pas que des boites piquent leurs datas aux gens, voilà ma vision idyllique d’une CNIL du 21e siecle.

La CNIL rêvée du 21e siecle

1- La nouvelle CNIL ne serait pas hypocrite

La CNIL du 21e siècle ne ferait pas comme si les applications américaines (ou chinoises) n’existaient pas. Elle choisirait de travailler en priorité sur les services, applications et OS les plus utilisés par les publics français, que ce soit des sites e-commerce, des sites de rencontre, ou des sites institutionnels (ou des sites de boules). Ce serait assez honnête je trouve de taper sur les gros au lieu d’emmerder les petits.

Seulement, il est inimaginable de croire que cette CNIL aurait les moyens de contrôler/verbaliser tous ces sites (problème de localisation géographique, problèmes politiques, juridictions éloignées, langage, etc.). Sa mission serait donc modifiée et consisterait en 3 points :

  1. d’identifier les sites qui piquent les datas
  2. de leur demander des comptes sur les datas récupérées
  3. de diffuser cette information de façon publique et transparente.

spywareComment faire ? Il y a plein de possibilités. L’une d’elle consisterait à imaginer que la CNIL impose l’usage d’un gros plugin/extension natif sur tous les systèmes d’exploitation (de la smartTV à votre phablette, en passant par votre bracelet connecté) vendus en France. Cette extension afficherait un avertissement dés qu’un composant non signé discute avec l’extérieur : “Attention ! Votre smartwatch envoie des informations à apple.com !“. L’utilisateur prévenu, ce sera à lui de voir si il accepte ce risque ou non. Pour les navigateurs, il existe déjà des plugins qui font ça, comme WOT sur Firefox.

Alors évidemment, pour obliger tous les OS à utiliser ce plugin, ce serait une guerre incroyable (l’Assemblée verra débarquer 200 lobbyistes de Microsoft et Apple du jour au lendemain). Cette guerre ne pourra donc être remportée que par des dirigeants politiquement indépendants (mais puisque c’est du rêve on vous dit).

2- Corollaire : la CNIL serait informée et compétente

Pour ne pas être hypocrite, il faut déjà maîtriser son sujet. Cette CNIL rêvée devrait donc être informée de ce qui se passe vraiment sur Internet, loin des buzzwords qu’on peut lire sur la plupart des médias citant des présentations de consultants ayant récupéré leur matière sur des blogs douteux résumant des blogs de vulgarisation.

Mais cela imposerait à la CNIL d’avoir une véritable compétence technologique, mais aussi une compétence de compréhension des comportements des utilisateurs, mais – et c’est ce qui manque le plus – la capacité d’anticiper les comportements et les technos. Je ne vous parle pas là de prospective évidente (“je vois …je vois dans ma boule magique… je vois des imprimantes 3D partout dans le futur de demain“), mais de véritables projections des comportements dans les années proches qui arrivent à croiser les influences entre usages et technos.

cnil profil

Car honnêtement, il est très douloureux de voir une instance gouvernementale soit disant de pointe qui a toujours au moins 2 ans de retard de réflexion sur les sujets digitaux et qui pond des lois débiles (les cookies… non mais vraiment…).

3- La nouvelle CNIL apprendrait vraiment aux Français la valeur de leur données

Quel la CNIL joue ou pas son rôle rêvé de dénonciateur, on va de toutes façons se retrouver avec de plus en plus d’acteurs qui vont vous voler/emprunter/recevoir des données privées pour se faire de l’argent. La CNIL aurait alors pleinement son rôle à jouer dans la prise de conscience de la valeur de ses propres datas pour un individu, et également dans le contrôle de ces datas.

Non, je ne parle pas là de sortir un joli PDF disant “faites attention à vos données, svp“ou encore un portail web qui est censé faire le job (mais vraiment, comment peut-on croire qu’un jeune d’aujourd’hui va lire ça ?) avec une grosse campagne de RP censée faire croire que tout le monde va le lire.

Non, je parle de véritables sessions nationales d’information auprès de toute la population : des enfants aux vieux (pardon, seniors) accompagnée par de véritables campagnes de pubs. Certes ça coûte cher, mais bon, avec 16 millions d’€, tu peux bien craquer 1 million sur une campagne nationale si tu t’arrêtes de passer par des agences qui te facturent 15 directeurs qui ne servent à rien pour te produire un portail jeune qui ressemble à ce qu’on faisait en 1999.

Alors voilà ma vision de la CNIL rêvée. Je pense que c’est faisable, avec beaucoup de taff, de courage, et surtout une réelle volonté de faire bouger les choses. Et c’est vraiment ce dernier point qui pèche finalement. Mais imaginez que la CNIL fasse vraiment son boulot et que toute la France soit pleinement consciente de la richesse de ses données privées !

Là ce sont Facebook, Google, Apple, Amazone et les autres qui viendraient nous manger dans la main, plutôt que l’inverse. Vous ne croyez pas ?