Ça n’arrive pas qu’aux autres

Les fuites de données personnelles sur internet sont légions et personne n’y échappe, même pas les chefs d’état. C’est ce que vient de révéler le Guardian dans un article publié le 30 mars. Les informations personnelles des dirigeants ayant assisté au dernier G20, organisé à Brisbane en novembre dernier, ont été envoyé par mail aux organisateurs de la Coupe de football d’Asie. Le fautif est un employé de l’agence qui a envoyé par mégarde un mail contenant ces données. Parmi les victimes, trente et une en tout, le président des Etats Unis Barack Obama, le président russe Vladimir Putin, la chancelière allemande Angela Merkel, le président chinois Xi Jinping, le premier ministre indien Narendra Modi, le premier ministre japonais Shinzo Abe, le président indonésien Joko Widodo ou encore le premier ministre britannique David Cameron.

Les données qui se sont ainsi promenées ne sont pas anodines. Il s’agit de leur nom, date de naissance, titre, fonction, nationalité, numéros de passeports et de visas. A l’origine de l’erreur, l’utilisation de Microsoft Outlook et sa fonction de remplissage automatique du champ « destinataire ». L’employé qui devait vouloir envoyer cette liste à un autre interlocuteur n’a pas vérifié et le mail est parti vers la mauvaise adresse mail. Lorsqu’il a pris conscience de son erreur, il a immédiatement prévenu le directeur du service des visas, une division du Ministère de l’immigration, qui a lui-même sollicité un avis urgent du commissaire australien à la protection de la vie privée. L’affaire n’aurait sans doute pas été plus loin si celui-ci n’avait jugé urgent … de ne rien faire. « Il est improbable que l’information soit dans le domaine public » a-t-il écrit. Selon lui le risque de fuite était « significativement limité » dans la mesure où les données ne contenaient pas d’autres identifiants personnels et le destinataire avait effacé le mail. Le commissaire n’a donc pas jugé utile de prévenir les chefs d’état de cette erreur d’aiguillage. La responsable de l’opposition au parlement australien Tanya Plibersek a interpellé le premier ministre Tony Abbott : « Le Premier ministre et le ministre de l’Immigration doivent expliquer ce sérieux incident et la décision de ne pas informer ceux qui étaient impliqués ».

Une autre actualité vient de braquer les projecteurs sur un problème de données personnelles autrement plus massif. Une étude réalisée par une équipe de chercheurs de l’université de Leuwen (Belgique) à la demande de l’équivalent belge de la CNIL révèle l’ampleur des données collectées par Facebook en totale infraction avec les textes européens.
A peine les internautes arrivent-ils sur une page où apparaît son bouton « Like », et le réseau social leur envoie des cookies traçant leur navigation. Cela vaut pour les pages Facebook et les autres et cela vaut pour les membres du réseau comme pour tous les autres, qu’ils cliquent sur le « Like » ou pas. Les données ainsi récoltées lui permettent de vendre aux publicitaires des profils ciblés et détaillés. Ce bouton « Like » figurant sur quelque treize millions de sites, y compris des médias et des sites publics, on mesure l’étendue des dégats. Or, les règlement européens stipulent que le consentement doit être obtenu avant l’envoi d’un cookie. Chaque site doit avertir a priori les internautes qu’il en utilise. Non seulement Facebook ne le fait pas mais il fait pire. Lorsque les internautes usent de leur droit à refuser les cookies, il leur en réserve un spécial ! « Si les gens qui ne sont pas suivis par Facebook utilisent le mécanisme d’opt-out proposé par l’Europe, expliquent les chercheurs, Facebook place un cookie longue durée, un identifiant unique, qui peut être utilisé pour les tracer pendant les deux années suivantes ».
Des pratiques qui déplaisent fortement au G29 (Groupe des CNIL européennes) mais risquent de durer encore longtemps.