Vie privée : l'Electronic Frontier Foundation fait les comptes

L’EFF (défense des libertés à l’ère numérique) constate des disparités entre les fournisseurs de services en ligne sur le respect de la vie privée des utilisateurs.

Dans quelle mesure les principaux fournisseurs de services en ligne respectent-ils la vie privée de leurs utilisateurs, tout particulièrement en matière de gestion des données personnelles et de transparence concernant leurs relations avec les gouvernements ?

C’est l’objet du rapport annuel Who Has Your Back, dont la 5^e édition – document PDF, 74 pages – vient d’être publiée par l’Electronic Frontier Foundation, association américaine de défense des libertés civiles à l’ère numérique.

Principal constat : en quatre ans, les pratiques des grands groupes ont évolué positivement. Les critères d’évaluation retenus pour le premier rapport sont aujourd’hui « quasi universellement » adoptés.

Il convient donc, selon l’EFF, de se porter sur des enjeux plus complexes de type « Quels sont les contenus bloqués ou censuré en réponse aux demandes des autorités ? » ou « Dans quelle mesure des données supprimées sont-elles conservées pour d’éventuelles inspections par les gouvernements ? ».

Cinq critères

Premier critère retenu cette année : l’adoption des bonnes pratiques de l’industrie (critère que nous appellerons C1 pour plus de lisibilité). L’entreprise demande-t-elle bien un mandat à quiconque souhaite accéder à des informations personnelles d’utilisateurs ? Publie-t-elle régulièrement un rapport « de transparence » traitant des demandes gouvernementales ? Explique-t-elle clairement comment elle répond à ces requêtes ?

Le bilan est positif : sur les 24 sociétés examinées, toutes ont adopté tous ces principes… à l’exception de WhatsApp. L’application de messagerie instantanée figure d’ailleurs en queue de classement sur l’ensemble des critères étudiés, n’obtenant qu’une étoile grâce à sa maison mère Facebook, qui s’est publiquement prononcée contre la mise en place de portes dérobées (backdoors) dans les services de communication en ligne (C5).

21 sociétés satisfont à ce dernier critère. Elles sont moins nombreuses à satisfaire aux exigences de l’EFF en matière de communication au public des demandes formulées par les gouvernements (C2).

Le critère a été durci d’une année sur l’autre : pour obtenir une étoile, les entreprises doivent désormais notifier leurs utilisateurs a posteriori, c’est-à-dire avant d’accéder aux requêtes des autorités. Celles qui n’y sont pas autorisées doivent impérativement notifier l’utilisateur dès la fin de l’incident. Ce n’est pas le cas de Google, ni de Twitter, qui perdent chacun leur étoile de 2014.

Les résultats sont similaires sur les troisième et quatrième critères : la disponibilité d’une politique publique de rétention des données (lesquelles, combien de temps et pourquoi ; C3) et la communication du nombre de demandes gouvernementales portant sur la suppression de contenus… et le nombre de requêtes acceptées (C4).

Les premiers restent les premiers

Sur les 24 sociétés passées au crible, un tiers obtiennent la note maximale. Adobe l’atteint grâce à la publication d’un rapport de transparence ; Wikimedia également. Les autres persistent dans l’excellence : Apple (pour sa 5^e année), Credo (télécoms), Dropbox (salué pour la clarté de sa politique sur le C2), Sonic.net (télécoms) et Yahoo.

A quatre étoiles, on retrouve notamment Facebook, qui ne satisfait pas au C4. Même constat pour LinkedIn et Wickr (messagerie instantanée). Chez Pinterest, il manque une étoile au C4 ; chez reddit (dont c’est la première année dans le classement EFF), au C5. Salué sur le C4 avec sa carte interactive des demandes de retraits de contenus, Twitter perd en revanche son étoile de 2014 sur le C2.

A trois étoiles, on trouve Amazon. L’année 2015 aura été un tournant pour le groupe e-commerce, qui a publié son premier rapport de transparence et manifesté son opposition formelle aux backdoors.

Non noté sur le C4, Comcast progresse pour sa 5^e année au classement, notamment sur la question des mandats. L’EFF applaudit la clarté de sa politique de rétention des données.

Google aussi obtient 3 étoiles. Il lui manque les critères C2 et C3, tout comme pour Slack (outil de collaboration). Le C3 fait aussi défaut chez Microsoft et Tumblr, lesquels ne satisfont pas non plus au C4. Snapchat n’est pas noté sur ce dernier point et ne répond pas non plus au C2.

En queue de classement, Verizon (C1 et C4 O.K.) devance WhatsApp (C5)… et AT&T (C1), qui « a adopté les standards… mais de 2011 », selon l’EFF.

Paul Matthew Photography – Shutterstock.com

Vie privée : l’Electronic Frontier Foundation fait les comptes

Cinq critères

Les premiers restent les premiers

Données privées : Microsoft défie les États-Unis à la Cour suprême

Facebook n’échappe pas aux poursuites devant la justice autrichienne

Données privées : l’UE intervient dans la bataille Microsoft – États-Unis

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu