Données personnelles : la CNIL bondit sur l’affaire Snapchat

Le bilan annoncé dimanche dernier est lourd : 13 Go de photos et vidéos échangées par des centaines de milliers d’utilisateurs de Snapchat sont tombés aux mains de pirates informatiques.

La start-up californienne a rejeté la faute sur l’un des partenaires exploitant son API. Le service de sauvegarde SnapSaved a effectivement fini par endosser la responsabilité de l’incident en reconnaissant une faiblesse dans la sécurisation de ses serveurs.

Quelques semaines après le vol massif de photos de célébrités sur la plate-forme de stockage en ligne iCloud d’Apple, ce nouveau coup porté à la vie privée des internautes fait réagir la CNIL (Commission nationale de l’informatique et des libertés). L’autorité administrative indépendante vient d’émettre une série de recommandations à l’attention de ceux qui publient des photos sur les sites Web et les réseaux sociaux.

Au-delà du simple partage, son guide de bonnes pratiques aborde, en dix points, la question de l’identification de personnes, les problématiques de synchronisation automatique… mais aussi l’enjeu économique pour les acteurs d’Internet.

Premier conseil : cerner le type de site sur lequel on compte publier des photos. Seront-elles publiques ? Y aura-t-il moyen d’en restreindre facilement la visibilité ? Dans ce dernier cas, il conviendra d’éplucher les paramètres de confidentialité disponibles et leur « granularité » : le réglage s’effectue-t-il au niveau des photos ou uniquement des albums ? La diffusion peut-elle être limitée à une liste précise de contacts ?

La CNIL préconise plus globalement de « réfléchir avant de publier une photo » : il peut être difficile, voir impossible de la supprimer par la suite, notamment si elle a été copiée ou partagée sur d’autres services.

Autre élément sensible : la publication de photos d’autres personnes. Il est impératif de demander systématiquement l’autorisation, plus encore en cas d’identification. Ce type de tag peut enclencher une fonctionnalité de reconnaissance faciale susceptible d’associer le nom du contact à l’ensemble des photos sur lesquelles il apparaît au sein du site ou du réseau social. Dans cette lignée, tout un chacun aura soin à contrôler la façon dont les autres l’identifient, pourquoi pas en paramétrant des alertes et en demandant une approbation.

Une fois les photos publiées, il est important de faire le tri. « Les photos qui semblaient anodines dans un certain contexte il y a plusieurs années peuvent s’avérer gênantes aujourd’hui selon les contacts auxquelles elles sont accessibles », explique la CNIL. Pour en faire supprimer une, la meilleure solution est de s’adresser à la personne qui l’a publiée. Si cette dernière n’accède pas – ou que partiellement – à la demande, il est possède de solliciter la CNIL.

Avec la multiplication des appareils numériques connectés, la gestion des photos devient un casse-tête, d’autant plus que certains logiciels procèdent par défaut à une synchronisation automatique. Ce type de fonction (« Flux de photos » chez Apple ; « Photo Sync » sur Facebook ; « Instant Upload » pour Google+…) n’est « pas nécessairement adapté à [la] sauvegarde et à la protection des photos » : il faut plutôt les considérer comme des espaces de partage et de publication. « Même si ces photos ne sont pas automatiquement rendues publiques, elles sont accessibles à l’éditeur du site ou service et pourraient être utilisées par lui pour affiner votre profil, par exemple à des fins publicitaires« , ajoute la CNIL.

Et de conclure, à propos des services d’envoi de fichiers « éphémères » comme Blink, Snapchat et Wickr : « Non seulement le destinataire peut facilement conserver une capture d’écran, mais surtout, aucune application n’est à l’abri d’un piratage, d’un défaut de sécurité ou d’une application tierce malicieuse. »

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos données personnelles sur Internet ?

Crédit photo : scyther5 – Shutterstock.com