Vie privée : l’Electronic Frontier Foundation fait les comptes
L’EFF (défense des libertés à l’ère numérique) constate des disparités entre les fournisseurs de services en ligne sur le respect de la vie privée des utilisateurs.
Dans quelle mesure les principaux fournisseurs de services en ligne respectent-ils la vie privée de leurs utilisateurs, tout particulièrement en matière de gestion des données personnelles et de transparence concernant leurs relations avec les gouvernements ?
C’est l’objet du rapport annuel Who Has Your Back, dont la 5e édition – document PDF, 74 pages – vient d’être publiée par l’Electronic Frontier Foundation, association américaine de défense des libertés civiles à l’ère numérique.
Principal constat : en quatre ans, les pratiques des grands groupes ont évolué positivement. Les critères d’évaluation retenus pour le premier rapport sont aujourd’hui « quasi universellement » adoptés.
Il convient donc, selon l’EFF, de se porter sur des enjeux plus complexes de type « Quels sont les contenus bloqués ou censuré en réponse aux demandes des autorités ? » ou « Dans quelle mesure des données supprimées sont-elles conservées pour d’éventuelles inspections par les gouvernements ? ».
Cinq critères
Premier critère retenu cette année : l’adoption des bonnes pratiques de l’industrie (critère que nous appellerons C1 pour plus de lisibilité). L’entreprise demande-t-elle bien un mandat à quiconque souhaite accéder à des informations personnelles d’utilisateurs ? Publie-t-elle régulièrement un rapport « de transparence » traitant des demandes gouvernementales ? Explique-t-elle clairement comment elle répond à ces requêtes ?
Le bilan est positif : sur les 24 sociétés examinées, toutes ont adopté tous ces principes… à l’exception de WhatsApp. L’application de messagerie instantanée figure d’ailleurs en queue de classement sur l’ensemble des critères étudiés, n’obtenant qu’une étoile grâce à sa maison mère Facebook, qui s’est publiquement prononcée contre la mise en place de portes dérobées (backdoors) dans les services de communication en ligne (C5).
21 sociétés satisfont à ce dernier critère. Elles sont moins nombreuses à satisfaire aux exigences de l’EFF en matière de communication au public des demandes formulées par les gouvernements (C2).
Le critère a été durci d’une année sur l’autre : pour obtenir une étoile, les entreprises doivent désormais notifier leurs utilisateurs a posteriori, c’est-à-dire avant d’accéder aux requêtes des autorités. Celles qui n’y sont pas autorisées doivent impérativement notifier l’utilisateur dès la fin de l’incident. Ce n’est pas le cas de Google, ni de Twitter, qui perdent chacun leur étoile de 2014.
Les résultats sont similaires sur les troisième et quatrième critères : la disponibilité d’une politique publique de rétention des données (lesquelles, combien de temps et pourquoi ; C3) et la communication du nombre de demandes gouvernementales portant sur la suppression de contenus… et le nombre de requêtes acceptées (C4).
Les premiers restent les premiers
Sur les 24 sociétés passées au crible, un tiers obtiennent la note maximale. Adobe l’atteint grâce à la publication d’un rapport de transparence ; Wikimedia également. Les autres persistent dans l’excellence : Apple (pour sa 5e année), Credo (télécoms), Dropbox (salué pour la clarté de sa politique sur le C2), Sonic.net (télécoms) et Yahoo.
A quatre étoiles, on retrouve notamment Facebook, qui ne satisfait pas au C4. Même constat pour LinkedIn et Wickr (messagerie instantanée). Chez Pinterest, il manque une étoile au C4 ; chez reddit (dont c’est la première année dans le classement EFF), au C5. Salué sur le C4 avec sa carte interactive des demandes de retraits de contenus, Twitter perd en revanche son étoile de 2014 sur le C2.
A trois étoiles, on trouve Amazon. L’année 2015 aura été un tournant pour le groupe e-commerce, qui a publié son premier rapport de transparence et manifesté son opposition formelle aux backdoors.
Non noté sur le C4, Comcast progresse pour sa 5e année au classement, notamment sur la question des mandats. L’EFF applaudit la clarté de sa politique de rétention des données.
Google aussi obtient 3 étoiles. Il lui manque les critères C2 et C3, tout comme pour Slack (outil de collaboration). Le C3 fait aussi défaut chez Microsoft et Tumblr, lesquels ne satisfont pas non plus au C4. Snapchat n’est pas noté sur ce dernier point et ne répond pas non plus au C2.
En queue de classement, Verizon (C1 et C4 O.K.) devance WhatsApp (C5)… et AT&T (C1), qui « a adopté les standards… mais de 2011 », selon l’EFF.
Paul Matthew Photography – Shutterstock.com