Récemment, le rapport de Bloomberg a fait grand bruit, révélant que des employés d’Amazon écoutent les enregistrements vocaux générés lorsque vous interagissez avec Alexa. Cependant, Amazon est loin d’être la seule entreprise à pratiquer ce type de surveillance. Voyons comment les géants de la technologie peuvent – et ont – examiné les informations privées que vous leur confiez.
Des employés lisant vos notes à la filature de mineurs
Prenons quelques exemples concrets. Des employés d’Evernote qui consultent vos notes privées aux collaborateurs de Google et Facebook qui suivent les utilisateurs à la trace, la liste est longue.
En janvier 2017, Evernote a modifié sa politique de confidentialité, autorisant ses employés à consulter vos notes privées dans le but d' »améliorer votre expérience ». Face à la grogne des utilisateurs, Evernote a rétropédalé, promettant que les employés demanderaient désormais une autorisation préalable. Cet épisode illustre un problème majeur : il est facile pour Evernote de donner accès à vos données à ses employés. Et même si vous partagiez des informations avec l’espoir que la politique de l’entreprise les protège, celle-ci peut la modifier à tout moment. De son côté, Google a déjà licencié un ingénieur de fiabilité qui a abusé de son accès aux serveurs pour espionner et traquer plusieurs mineurs, consultant leurs journaux d’appels Google Voice, leurs historiques de chat et s’infiltrant dans la liste d’amis d’une adolescente. Les ingénieurs de fiabilité ont un accès quasi-total afin de mener à bien leurs missions. Malheureusement, certains peuvent abuser de cet accès, comme cela a été le cas en 2010. Quant à Facebook, un ingénieur de sécurité a été renvoyé pour avoir utilisé son accès afin de traquer plusieurs femmes en 2018. Motherboard a également révélé que d’autres employés ont été limogés pour avoir espionné leurs ex et commis d’autres actes similaires. Nous vous recommandons de ne pas donner accès à votre messagerie à des applications. Si vous le faites, des personnes peuvent potentiellement lire vos emails, qu’ils proviennent de Gmail, Outlook.com, ou tout autre fournisseur. Le Wall Street Journal a révélé que des ingénieurs travaillant pour certaines entreprises de messagerie parcouraient des centaines de milliers d’e-mails pour entraîner leurs algorithmes.
Cette liste n’est pas exhaustive. Un bug de Facebook a déjà exposé des photos privées à des développeurs d’applications. De plus, votre employeur peut lire vos messages privés sur Slack : ils ne sont donc pas si privés. Même la NSA a dû licencier des employés pour avoir détourné les systèmes de surveillance gouvernementaux afin d’espionner leurs ex. Enfin, chaque entreprise détentrice de vos données les transmettra aux autorités compétentes sur présentation d’un mandat, comme Amazon l’a fait lorsque Alexa a enregistré un double meurtre.
Le « cloud », c’est juste l’ordinateur de quelqu’un d’autre
Lorsque vous utilisez un service qui télécharge vos données vers un service « cloud », il ne fait que stocker ces données sur les serveurs d’une entreprise. Et cette entreprise peut consulter vos données si elle le souhaite.
Cela semble évident, pourtant, l’idée que des employés écoutent nos conversations vocales nous choque toujours. Peut-être imaginons-nous que le volume de données est tel qu’il est impossible de les examiner individuellement, ou que des lois interdisent aux entreprises de technologie de scruter vos informations privées. Or, du moins aux États-Unis, il n’existe pas de loi qui empêche les entreprises d’analyser vos données – à condition d’être honnêtes à ce sujet, en le mentionnant par exemple dans un contrat de conditions d’utilisation que personne ne lit.
Ce phénomène ne se limite pas à Amazon et aux assistants vocaux. Comme le rapporte Bloomberg, même Apple, pourtant réputé pour son engagement en matière de confidentialité, emploie des personnes qui écoutent les enregistrements Siri pour améliorer les algorithmes de l’assistant. De même, des collaborateurs de Google sont chargés d’écouter les enregistrements générés par les appareils Google Home.
Justifications légitimes pour consulter vos données
Outre les cas de harcèlement et d’abus, voici quelques raisons valables qui peuvent justifier la consultation de vos données par un employé :
| Requêtes gouvernementales | Un mandat peut contraindre une entreprise à examiner vos données et à les transmettre aux autorités. |
| Entraînement des algorithmes | L’apprentissage automatique nécessite une intervention humaine durant le processus d’entraînement. C’est la raison pour laquelle des employés écoutent les enregistrements d’Alexa et de Siri, et qu’Evernote voulait consulter vos notes. |
| Assurance qualité | Les entreprises peuvent examiner des enregistrements ou d’autres données pour évaluer le fonctionnement de leurs services. Même si vous interagissez avec un robot, quelqu’un peut écouter l’enregistrement a posteriori pour contrôler la qualité de l’échange. |
| Assistance client | Une entreprise peut vous demander l’autorisation d’accéder à vos données afin de vous apporter une assistance personnalisée. Nous espérons que cela ne se fait qu’avec votre accord, comme cela a pu être le cas pour Google Photos, où un simple tweet suffisait. |
| Signalements d’abus | Une entreprise peut consulter vos données suite à un signalement d’abus. Par exemple, si une conversation privée sur Facebook est signalée pour harcèlement, Facebook l’examinera. |
La solution : le chiffrement de bout en bout
Cette situation est une conséquence de la façon dont fonctionne Internet. Malgré les promesses de « chiffrement » pour sécuriser vos données, elles ne sont généralement cryptées que lors de leur transfert entre vos appareils et les serveurs de l’entreprise. Bien qu’elles puissent être stockées chiffrées sur les serveurs, l’entreprise conserve la capacité de les déchiffrer afin de pouvoir vous les transmettre.
La seule véritable solution est d’utiliser le chiffrement de bout en bout, ou chiffrement côté client. Dans ce cas, le logiciel que vous utilisez crypte les données sur votre appareil, de sorte que les informations stockées sur les serveurs de l’entreprise restent inaccessibles à cette dernière. Vos données seraient alors réellement les vôtres.
Cependant, cette solution est moins pratique. Des services comme Google Photos ne seraient plus possibles, car le traitement automatique des images sur les serveurs serait impossible. Les entreprises ne pourraient pas « dédupliquer » les données, et devraient investir davantage dans le stockage. Pour les assistants vocaux, tout le traitement devrait être effectué localement, et les entreprises ne pourraient plus utiliser les données vocales pour améliorer leurs algorithmes.
Si vous perdez votre clé de chiffrement, vous perdrez irrémédiablement l’accès à vos données. Après tout, si l’entreprise pouvait vous redonner l’accès à vos fichiers, cela signifierait qu’elle aurait un moyen de les déchiffrer.