Ce que Facebook et Google savent sur VOUS
Google, Facebook et nos données personnelles. L’histoire nous est à présent familière, et je ne vous spoilerai pas en dévoilant qu’au final tout, ou presque, de ce que l’on peut imaginer est récupéré par ces services en ligne (et si ce n’était qu’eux).
Le Réglement Général sur la Protection des Données (RGPD) renforce et unifie la protection des données personnelles pour les internautes de toute l’Union Européenne.
Et à l’occasion de la mise en place de celui-ci, je vous propose de faire un tour d’horizon des données personnelles que les géants du net récupèrent sur nos activités. Le but est de prendre conscience ainsi que de découvrir comment télécharger et supprimer les données vous concernant.
Cet article fait suite à la récente découverte de Dylan Curran, un développeur web médiatisé depuis son annonce sur Twitter de la découverte de l’enregistrement de ses appels téléphoniques que l’application Facebook aurait espionné depuis son smartphone.
https://twitter.com/iamdylancurran/status/977559925680467968
Avant de continuer, il faut savoir que plusieurs de ces découvertes ne sont pas très nouvelles. Le fait que Google nous permet d’afficher l’historique de nos recherches par exemple existe depuis longtemps. Quoi qu’il arrive, préparez-vous à ce qui va suivre !
Avant de commencer, je vous propose de télécharger les archives de vos données personnelles.
Télécharger vos données personnelles sur Facebook
1. Connectez-vous à votre compte Facebook puis cliquez sur le lien suivant :
https://www.facebook.com/settings
2. Cliquez sur le lien « Télécharger une copie de vos données sur Facebook« .
3. Facebook vous alertera par e-mail lorsque votre archive sera prête, il vous restera à la télécharger.
Télécharger vos données personnelles sur Google
1. Rendez-vous sur le lien suivant :
https://takeout.google.com/settings/takeout
2. Sélectionnez les données à exporter ou laisser tout par défaut et cliquez sur SUIVANT en bas de la page.
3. Cliquez sur CRÉER UNE ARCHIVE et attendez l’e-mail de Google pour télécharger votre archive.
Que contient l’archive Facebook ?
Pour vous aider à y voir plus clair, voici quelques détails sur l’archive téléchargée.
L’archive de Facebook se présente sous la forme de pages web. Vous pouvez extraire tout le contenu de l’archive .ZIP dans un dossier et cliquer sur le fichier index.html.
Vous y trouverez tout d’abord votre date et heure exacte d’inscription à Facebook. Vous y trouverez également vos relations précédentes, autrement dit vos « ex ». Et vous y trouverez également vos adresses e-mail utilisées sur Facebook.
Premier point important :
Notez bien les adresses e-mail précédemment utilisées et vérifiez qu’elles existent encore. Ces adresses vous serviront à récupérer l’accès à votre compte s’il venait à être piraté. En effet, il vous faudra communiquer des informations à Facebook pour prouver que vous êtes le propriétaire du compte, et cela peut servir de preuve, surtout si vous avez accès à l’adresse en question.
Et c’est dans l’onglet « Coordonnées » que vous y verrez votre carnet de contact présent sur votre Smartphone…avec en prime des informations sur le dernier appel téléphonique du contact en question… Une information que je ne pense pas pouvoir récupérer directement via le smartphone :
À priori, j’ai contacté 2 fois le service commercial Bouygues et le dernier contact remonte au 1463771115846. Cela ne signifie rien pour vous ? Il s’agit en fait d’un timestamp que l’on peut convertir en date. Il faut retirer les 3 derniers chiffres (qui ajoutent un niveau de précision à la milliseconde non utile), et la date convertie est le 20/5/2016 à 21:05:15.
Y a-t-il d’autres données que je n’ai pas pu récupérer dans cette archive ?
De toute évidence la réponse est OUI. Vous apercevrez notamment certaines dates clés enregistrées dans la liste, mais qui ne correspondent à aucune donnée…Probablement des données effacées depuis votre compte, mais qui nous dit que Facebook les a vraiment effacées ? Et c’est sans parler des éventuelles surveillances (légitimes ou non) dont vous avez pu faire objet ainsi que des messages transmis à l’assistance Facebook non retrouvé dans les données téléchargées.
Que contient l’archive Google ?
Google vous propose également un format facile à lire sous forme de pages web. Une fois l’archive extraite, rendez-vous dans le fichier index.html.
Note : certains fichiers devront être visionnés en passant par les dossiers de l’archive directement et uniquement.
De là vous pouvez commencer l’exploration de vos données personnelles.
Quelques points intrigants à noter :
L’historique complet des vidéos visionnées et des termes de recherche Youtube est disponible. Tenez, pour l’occasion, je vais revisionner cette vidéo que j’ai visiblement visionnée le 3 juillet 2013 à 7h 40 :
https://www.youtube.com/watch?v=Fn_dcljvPuY
Dédicace à Monsieur Eric Filiol qui m’avait par ailleurs accordé une interview.
J’ai également un peu de mal à comprendre pourquoi Google a obtenu un historique des applications Android lancées sur mon smartphone :
La liste s’arrête subitement 2 ans auparavant, soit suite à un changement des paramètres de confidentialité, soit suite à un changement de politique de traitement des données…
Et pour faire référence à Facebook, Google note également tous les contacts du smartphone, disponible dans la rubrique « Contacts ». Cela reste sans trop de surprises, je vous expliquerai pourquoi plus bas dans cet article.
Et c’est sans compter votre profil publicitaire que je vous laisse le soin de découvrir.
J’ai également pu trouver que Google essaie de déterminer si je suis en voiture, à vélo, en train de marcher ou de courir, avec un indice de probabilité :
Ces données sont utilisées pour les tracés de parcours visibles en cliquant sur les détails des positions notées sur la carte qu’on va voir ci-dessous.
Y a-t-il d’autres données que je n’ai pas pu récupérer dans cette archive ?
Même réponse que pour Facebook, oui et sans doute plus que vous ne le croyez. Vous pouvez également passer par des liens web pour observer votre activité sans télécharger votre archive.
Voici quelques liens :
Votre historique de position sur la carte : https://www.google.com/maps/timeline?pb
Vos recherches Google : https://myactivity.google.com/myactivity
Les sujets qui vous intéressent (ou pas) pour vos préférences publicitaires : https://adssettings.google.com/authenticated
Votre historique de recherche sur Youtube directement : https://www.youtube.com/feed/history/search_history
EDIT :
pour récupérer vos données de LinkedIn c’est par ici : https://www.linkedin.com/help/linkedin/answer/50191/accessing-your-account-data?lang=fr
Pour récupérer vos données de Twitter c’est par là : https://help.twitter.com/fr/managing-your-account/how-to-download-your-twitter-archive
« Scandale ! Comment ont-ils pu oser ?? »
Si cette question vous vient immédiatement à l’esprit, sachez tout d’abord que je ne suis pas expert en protection des données personnelles, mais d’un point de vue juridique ces données sont censées être récoltées de manière légitime et suite à une autorisation de notre part.
Il s’agit notamment des fameuses boîtes de dialogue nous demandant des autorisations spécifiques pour utiliser des fonctionnalités sur notre smartphone :
Quel(s) risque(s) y a-t-il ?
Je pense qu’avant de paniquer, il est plus prudent de prendre un peu de recul et de se demander quel(s) risque(s) il y a avec le fait d’avoir partagé (parfois automatiquement) nos données personnelles.
La version théorique (utopique ?) :
Ces données sont strictement sécurisées sur les serveurs des prestataires et seuls vous y avez accès (ainsi que Google ou Facebook pour leurs services et les officiers de police judiciaire, sur réquisition judiciaire).
Ces données ont été récupérées de manière loyale et licite avec une demande d’autorisation préalable (que vous pouvez avoir donnée en continuant simplement d’utiliser le service).
Ces données sont utiles pour accélérer vos tâches quotidiennes et vous offrir des services adaptés (publicités qui vous intéressent, services personnalisés, interaction avec les objets connectés…etc)
La version catastrophique :
Ces données sont récupérées sans aucun avertissement et sont revendues à des tiers en toute impunité (théorie du complot, surveillance de masse, etc…)
Ces données ne servent qu’à épier nos moindres faits et gestes pour nous en vendre toujours plus et pour contrôler nos vies.
Il y a des tonnes d’informations qu’on ne nous montre pas et ne nous montrera jamais.
La solution ?
Selon votre propre jugement, il y a plusieurs façons de réagir. Personnellement, je suis plutôt optimiste et je crois aux évolutions technologiques et à l’avenir tout connecté. Mais à la seule condition qu’on puisse à tout moment contrôler nos données personnelles ou empêcher leur récolte. Et étant un éditeur de site, je comprends que les entreprises ont besoin de ces données pour délivrer leurs services, mais ce qui est dérangeant c’est surtout le traitement fait sur ces données. Comme le fait d’établir des niveaux de probabilité sur le fait que je suis en voiture ou à vélo.
Le RGPD dont je parlais au début de cet article va permettre aux utilisateurs d’obtenir plus de droits d’action sur leurs données personnelles. Mais au lieu de se baser sur des dispositions européennes, je vous propose comme toujours l’alternative idéale en sécurité informatique : les connaissances et la vigilance.
Vous pouvez très bien définir deux types de profils en ligne : l’un public dont vous autorisez explicitement le traitement de vos données et dont vous vous dites par défaut que tout sera observé.
Par exemple pour mon profil public :
- si je souhaite accéder à une formation en sécurité informatique et que je me retrouve avec des publicités intéressantes à ce sujet (avec pourquoi pas un code promo), j’en serai ravi.
- si je souhaite obtenir un rappel de mes rendez-vous même si je dois partager ma position à Google afin d’obtenir de l’aide sur les bouchons et la météo, j’en serai ravi.
- si je souhaite enregistrer mon historique de navigation pour lire mes musiques préférées en un clic (voire même sur ma TV grâce aux objets connectés), j’en serai ravi.
Et pour mon profil privé :
- si je souhaite temporairement empêcher quiconque de savoir où je vais, je coupe l’accès aux données mobiles ainsi que le GPS, où j’utilise un téléphone portable dépourvu de ces fonctionnalités.
- si je souhaite temporairement empêcher quiconque de savoir ce que je cherche ou les sites que je visite, je passe par un logiciel VPN et un mode de navigation privé afin d’empêcher la liaison des données avec mon profil public.
- je renforce mon anonymat avec des bonnes pratiques : adresses e-mail alias, comptes différents, adresses IP différentes, machines différentes et surtout je ne communique pas volontairement mes données personnelles, etc…
Qu’en est-il en dehors du monde connecté ?
C’est une question légitime qui concerne tout autant nos données personnelles : acceptez-vous d’être filmé(e) à la banque ou dans le centre commercial ? qui tout deux peuvent suivre non seulement votre position mais aussi vos finances ou vos achats ? Ne serait-ce pas au final qu’une question de confiance ou de proximité physique ? Je laisse le débat ouvert…
Comment effacer mes données ?
Les données que vous avez visionnées vous font peur et vous souhaitez les supprimer ? C’est faisable, et la loi vous permet de le faire. Vous pouvez commencer par vous rendre sur les sites web concernés et utiliser les outils à votre disposition, ou contacter le webmaster le cas échéant. N’oubliez pas de mentionner le RGPD ou la loi informatique et libertés pour faire valoir vos droits.
Pour vous accélérer la tâche, voici déjà certains liens pour vous aider :
Activer ou désactiver des historiques Google
Vous pourrez facilement tomber sur les pages d’aide vous donnant les détails (à jour) concernant la suppression de ces données : https://support.google.com/accounts/answer/3118687?visit_id=1-636578364856852859-2387769452&p=location_history&hl=fr&rd=1
N’hésitez pas à rechercher dans le champ en haut de l’écran le mot « supprimer » pour tomber sur les pages concernées : https://support.google.com/accounts/answer/465?hl=fr
Même chose avec Facebook, voici le lien vers diverses pages d’aide concernant la suppression de vos données : https://www.facebook.com/help/www/search/?query=supprimer
Et une dernière recommandation avant de finir : on dit souvent que ce qui est sur Internet appartient à Internet. Cela signifie qu’à partir du moment où vous avez partagé des données publiques, n’importe qui d’autre peut les avoir sauvegardées et peut les rendre accessibles.
En savoir plus : Être anonyme sur Internet