Privacy in practice : le trackeur d’activités

Parler du (manque de) respect de la vie privée des nouveaux joujoux électroniques c’est bien, mais le constater en pratique c’est mieux !

J’ai récemment découvert que les assurances françaises se lançaient dans la surveillance de leurs assurés par trackeur interposé (Axa, par exemple). Et comme les assurances anglo-saxonnes visent aussi les entreprises, ce n’est qu’une question de temps avant que les entreprises françaises se voient proposé le deal suivant :

On vous fait une remise de 20% si vous équipez vos salariés du dernier BigBro Tracker ™ et que ceux-ci ont un mode de vie sain et équilibré.

Je ne m’étendrais pas sur l’aspect juridique du sujet, vu que de toute façon le code du travail est optionnel en France (note : humour noir).

Donc, pour vérifier l’utilité concrète de ce type de joujou, j’ai décidé de m’en acheter un. Histoire de voir, en vrai, ce que ça vaut. Il s’agit du trackeur MiBand, de la marque Xiaomi (la même que mon téléphone), qui a en plus l’avantage de ne pas être vendu à un tarif exorbitant.

Voici donc mes impressions au bout de 2 jours d’utilisation, sachant que je passe sur les fonctions annexes pour me concentrer sur le trackeur :

Screenshot_2014-12-19-17-47-11

 Le mode JOUR.

On définit un objectif de pas à atteindre (8000 pas étant le chiffre recommandé), et le trackeur calcule combien on en fait dans la journée. C’est approximatif (marge d’erreur de 10% chez moi), et le trackeur vibre quand on atteint l’objectif journalier.

Un graphique à barres indique, heure par heure, combien de pas ont été effectués (entre 9h et 12h, ce chiffre est proche du zéro … ).

Le mode NUIT.

Screenshot_2014-12-19-17-47-19

Il trace l’heure d’endormissement et de réveil, les phases de sommeil léger et profond (quand on ne bouge plus du tout).

Il vibre à l’heure du réveil. Vous avez ci-contre la nuit typique d’un parent dont l’enfant est malade et pleure la nuit ^^.

Donc, au bout de deux jours d’utilisation, mon sentiment est que les salariés n’ont RIEN à gagner en se faisant équiper de ce genre de gadget :

  • Le sentiment d’être badgé comme un pigeon est fort (et pourtant, je m’en suis équipé volontairement)
  • Être traqué 24h/24 par son entreprise, ça ne se justifie que très rarement, et en aucun cas pour économiser quelques euros de cotisations à une mutuelle
  • Qui dans l’entreprise aurait accès à ces données, et dans quelles conditions ? (tout le monde connait le décalage entre les postures de principe et la réalité)
  • Quel usage de ces données aura la mutuelle ? Qu’est-ce que l’employé va en retirer (en dehors d’un rabais de quelques euros sur sa mutuelle) ?
  • Si ces bracelets embarquent la fonction GPS, c’est le jackpot pour l’employeur…
  • Quelles sont les sanctions si un employé ne respecte pas le deal ? Hausse de sa cotisation (et donc doublement perdant ) ? Sans parler des erreurs de mesure des trackeurs…

Bref, affaire à suivre…

#EDGF14 : ça a causé surveillance massive

Ce lundi se tenait le congrès annuel des autorités de contrôle européennes (les CNIL, quoi), à Paris au Palais de l’UNSECO.

La vue depuis le Palais de L'UNSECO

La vue depuis le Palais de l’UNSECO.

Étant invité, j’y suis allé bien volontiers pour troller sur Twitter.

Je retiendrais deux choses de cet évènement : les discussions sur la surveillance massive, et le régime juridique des données.

  • La surveillance des citoyens

Le leitmotiv de quasiment toutes les interventions était, bien évidemment, les révélations d’E. SNOWDEN. Que personne n’avait pris la peine d’inviter, of course.

L’intervention la plus remarquée sur le sujet sera celle du député URVOAS,  qui est membre de la délégation parlementaire du renseignement (le comité supposé surveiller l’emploi des services de renseignement par le Gouvernement).

En mode troll, celui-ci nous assènera deux énormités :

* Si l’action des services de renseignement s’inscrit dans un cadre légal, il n’y a rien à y redire.

Encore un qui confond légal et juste… S’il n’était pas aussi président de la commission des lois, ce genre d’argumentation « café du commerce » ferait sourire ; mais là….

* Si on se balade à poil sur les autoroutes de l’information, on ne peut pas se plaindre qu’on ne respecte pas sa vie privée.

Je n’ai même pas envie d’analyser cet argument tellement il est grotesque.

Aussi, l’occasion était trop belle pour les autorités de contrôle de marquer leur incapacité à agir, en rendant public une déclaration commune dénonçant la surveillance massive (consultable ici). Un point m’a littéralement sauté au visage, c’est le point 6 :

La surveillance secrète, massive et indiscriminée de personnes en Europe, que ce soit pas des acteurs publics ou privés, qu’ils agissent au sein des Etats membres de l’Union ou ailleurs, n’est pas conforme aux Traités et législation européens. Elle est inacceptable sur le plan éthique.

Le juriste qui est en moi défaille à ces mots… Une lecture restrictive du texte, que ne manquera pas de faire le troll mentionné plus haut, permet de faire de la surveillance secrète et massive, du moment qu’elle vise une catégorie particulière de population (à tout hasard, les musulmans). Bref, j’arrête là sur ce sujet, sinon on va dire que je fais du mauvais esprit.

Passons au point suivant : le régime juridique des données.

  • Une donnée à caractère personnel, c’est quoi ?

Le régime juridique de la donnée à caractère personnel, cet éternel serpent de mer…

Lundi, nous avons eu le droit à trois visions différentes, toutes portées par des acteurs privés.

* Atos, représentée par Thierry BRETON, ex-ministre de l’Economie. La vision est simple, la donnée à caractère personnel en tant que bien ou morceau de l’identité de la personne, OSEF. Tout ce qu’Atos veut, c’est un régime bien défini pour savoir quels services développer. Au passage, j’ai croisé leur futur CIL ; bon courage à lui (et un peu de lecture pour lui, histoire qu’il sache où il met les pieds).

* CozyCloud, représenté par Benjamin ANDRE son fondateur. Il veut absolument sécuriser le droit à la portabilité, pour assoir son business model consistant à rapatrier toutes les données d’une personne chez elle (ou sur un serveur loué). Ceci afin de  mettre en place un écosystème lié à la valorisation de ces données regroupées en un endroit.

* Skyrock, représenté par Pierre BELLANGER, son PDG. De loin la vision la plus rafraichissante  et innovante des trois, à savoir que les données à caractère personnel sont un bien commun (au même titre que l’eau, par exemple). Tout le monde peut donc se servir dedans, sans se gêner. La justification théorique avancée est que l’analyse des données d’une personne A permet de déduire le comportement d’une personne B. Donc open bar sur les données. #Mwarf

Guerre de plate-bandes (bis)

J’ai déjà parlé de la guerre que se livrent les Gouvernements des 28 à propos du one-stop-shop mechanism (OSSM).

Si si, vous vous en souvenez, la discussion concernant le fait de savoir qui pourra condamner les GAFAs.

 

Et ben les discussions continuent.

 

Mais il faut reconnaitre que des progrès ont été réalisés, la procédure commence à devenir compréhensible. D’ailleurs, je vous laisse ici un schéma réalisé par @CarloPiltz.

one stop shop

Original : @CarloPiltz -25 Nov 2014

 

  • Si l’affaire reste purement interne à un pays, l’autorité national de contrôle de votre pays (la CNIL en France) sera compétente. Rien de neuf sous le soleil.
  • Si l’entreprise en cause a des établissements dans plusieurs pays (une grosse société d’assurance, par exemple), ou si elle intervient depuis un seul pays vers plusieurs autres (ex :depuis l’Irlande vers le reste de l’UE), l’OSSM entre en jeu :
    1. Co-décision si les différents pays se mettent d’accord, l’autorité chef de file propose une sanction que les autorités locales vont formellement prononcer. Si un désaccord intervient, on passe au règlement des conflits
    2. Règlement des conflits, ou consistency mechanism. En cas de désaccord sur l’autorité chef de file (coucou CNIL, coucou ICO, coucou Facebook), sur la coopération pendant l’instruction de la procédure, ou sur la sanction. L’organisme de coopération européen (EDPB, qui viendrait en remplacement du G29) tranche le cas, et la décision s’impose aux autorités nationales.

 

Les décisions de l’EDPB seraient attaquables devant la CJUE, et celles des autorités nationale devant les juridictions nationales.

 

Ce mécanisme n’est pas encore la panacée (pourquoi ne pas faire intervenir directement l’EDPB ?), mais c’est clairement un pas en avant. Je suis curieux de voir les réactions des délégations nationales.