Rechercher

Donnée je t’aime #4 : data d’un enfant du siècle

Les données personnelles sont aujourd’hui collectées dès la naissance. Du berceau à l’adolescence, focus sur les data de nos enfants, leur utilisation et leur protection.

Diffusé pour la première fois en décembre 2017 sur Netflix, le second épisode de la saison 4 de Black Mirror met en scène Marie, une mère élevant seule sa fille Sara. Alors âgée de trois ans, celle-ci disparaît pendant plusieurs heures. Un moment d’angoisse que Marie est décidée à ne plus jamais revivre : Sara devient l’une des cobayes de la société Arkangel, qui lui implantera une minuscule puce dans le cerveau. Un bijou de technologie permettant à Marie de localiser sa fille à tout moment mais pas seulement : elle dispose surtout d’un accès direct à tout ce que voit Sara, en live et sur tablette.

Sara se fait implanter une puce derrière les yeux – source : Netflix

Pucer son enfant : est-ce possible ?

A ce jour, les articles reprenant des histoires de parents ayant fait implanter une puce pour tracer leurs enfants semblent plus proches de fake news que de faits vérifiables. Les seuls exemples d’implants au sein d’êtres humains sont rares et concernent en réalité des adultes, volontaires et curieux de tester ces nouvelles technologies, ou bien, des patients souffrant d’insuffisances cardiaques ou de diabète, équipés de pacemakers et de pompes à insuline nouvelle génération. A noter que dans les cas non reliés à des problèmes médicaux, les puces intégrées n’ont aucune fonction de géolocalisation – encore moins de connexion en temps réel aux cerveaux des intéressés – et sont techniquement plus proches du code barre. Elles ne permettent que l’identification (ouvrir et fermer une porte, régler un achat…). En effet, un équipement autorisant la géolocalisation (ainsi que les propriétés mises en avant dans Black Mirror) requiert en premier lieu l’utilisation d’une batterie, qui, à l’heure actuelle, ne peut être aussi miniaturisée que dans la fiction.

Ces contraintes techniques (mais aussi juridiques et éthiques) n’empêchent pas les plus avant-gardistes de rêver. En 2016, la campagne présidentielle américaine a vu fleurir les idées d’un parti politique né deux ans plus tôt : le parti transhumaniste. Son fondateur, Zoltan Istvan, a ainsi signé une tribune, publiée sur Vice en 2015 qu’il a sobrement intitulée La Technologie que les transhumanistes veulent voir au sein de leurs enfants.

Elle commence ainsi : « En général, quand les adultes se retrouvent face à de nouvelles technologies pour eux-mêmes, ils sont souvent plus curieux que sceptiques. Quand il s’agit de leurs enfants, les parents peuvent devenir carrément défensifs. […] Pourtant, la société est en bonne voie pour accepter un nombre toujours plus important de technologies bizarres conçues pour nous aider à élever nos enfants – incluant certaines situées littéralement à l’intérieur de leur corps ».

Une chose est sûre, Zoltan Istvan est un converti : « Cette technologie m’enthousiasme et j’ai hâte d’avoir accès à ce genre d’implants pour ma fille de quatre ans ». Pour le politicien, ces derniers sont garants de la sécurité des enfants mais pas seulement. Quand la technologie le permettra – si ses prédictions se confirment – les implants permettront de « télécharger des connaissances et compétences directement au sein des esprits » des chérubins, anticipe-t-il. Un scénario qui n’est pas sans rappeler celui de la saga Matrix.

La tribune s’attache également à promouvoir les technologies existantes et notamment les outils de surveillance des nouveaux nés. En premier lieu, les couches connectées.

Les données personnelles collectées dès le berceau

Des capteurs sur les couches culottes

« Et bien sûr, les auto-proclamées couches intelligentes, dont certaines popularisées par Huggies, sont déjà utilisées », explique Zoltan Istvan. Et c’est vrai. Lancées en 2018 sur le marché coréen, les couches connectées du fabricant Huggies sont reliées, via un petit boîtier à positionner sur la culotte jetable, aux smartphones des parents. Le but : les prévenir quand celle-ci doit être changée.

Les couches connectées « tracent la fréquence des mouvements intestinaux du bébé et calculent le nombre de fois où la couche doit être changée chaque jour », via des capteurs de « température et de qualité de l’air », détaille le magazine Vox au sein d’un article publié en mai 2019.

Tony Park, le concepteur des capteurs Bluetooth utilisés par la couche, a expliqué à Vox qu’« Huggies pourrait [les] utiliser pour collecter des données sur [ses] utilisateurs. Quand ils changent les couches, les parents sont sensés placer le capteur Bluetooth au sol, puis le rattacher à une culotte jetable propre ». Le magazine poursuit : « Selon Park, les capteurs comptabilisent le nombre de fois que les couches sont changées par mois et par année ».

Dans quel but ? « Nous pouvons suivre leurs données d’achat à travers l’application », explique encore Tony Park au magazine. Huggies développe également, depuis 2014, des couches personnalisées « qui s’adaptent à chaque bébé » et notamment à leurs « pee points », expression qui pourrait trivialement être traduite par « points de pipi ». Il s’agit d’une notation donnée par les fabricants de couches pour, officiellement, « maximiser l’absorption » de leurs produits. Les données des bébés sont-elles revendues à des tiers ? Impossible de le savoir pour l’instant.

Des baby-phones trop peu sécurisés

Il n’est pas encore possible de voir, comme Marie de l’épisode de Black Mirror, tout ce que voient les nouveau-nés. En revanche, il est très facile de les observer en permanence, notamment via les babyphones nouvelle génération, équipés de caméras.

Si leur utilité n’est plus à prouver pour les parents, il n’en reste pas moins que ces équipements sont souvent pointés du doigt par les chercheurs en cybersécurité pour leur protection encore trop faible des données collectées.

Ainsi, en 2018, un article du site Internet de la chaîne LCI citait le travail des chercheurs en cybersécurité de Kaspersky Lab, qui pointait les failles de sécurité de plus de 2000 modèles de caméras de babyphones.

« Selon les spécialistes, ces vulnérabilités pourraient permettre à des pirates de prendre le contrôle des flux vidéo et audio de ces appareils, de désactiver celles-ci, d’y insérer du code malveillant à volonté et de se livrer à de multiples autres manipulations », détaille le média avant de préciser : « Connectées à votre wifi et dépourvues de système de protection, elles permettaient à n’importe quel hacker de s’en prendre à votre installation globale ».

Ainsi, via le babyphone, c’est en réalité les données personnelles de toute la famille, identifiants et mots de passe en tête, qui peuvent être dérobées ; sans compter l’absence de sécurité qui permet à n’importe qui de regarder et écouter l’enfant (et ses parents s’ils sont présents dans la pièce) à tout moment. « Kaspersky Lab a identifié près de 2 000 caméras vulnérables en ligne car leur adresse IP était facile à trouver », explique encore LCI avant de donner une dernière précision : « Les failles repérées ne servent pas seulement au piratage malveillant, mais aussi au minage de cryptomonnaie ».

Données personnelles : quid des montres connectées pour enfants ?

Quand les poupons grandissent, les babyphones n’ont souvent plus d’utilité. Il en existe pourtant une version plus cool : les montres connectées. Certains modèles disposent en effet d’une fonction babyphone. Le service de fact checking de Libération, appelé CheckNews, répond régulièrement aux questions des internautes. A la suivante « Les montres connectées représentent-elles un danger pour les enfants ? », posée en 2018, le quotidien répond : « La fonction babyphone des modèles destinés aux jeunes de 5 à 12 ans pouvait […] devenir un dispositif d’espionnage. Une étude publiée par Forbrukerrådet, l’organisation de consommateurs norvégienne membre du bureau européen des unions de consommateurs (BEUC), avait révélé que des inconnus pouvaient prendre le contrôle des montres testées afin de les utiliser pour suivre à la trace et mettre sur écoute les enfants ».

Des risques très médiatisés qui ne semblent pas porter atteinte aux ventes des montres connectées pour enfant. Elles représentent, selon le cabinet CCS Insights près de la moitié du marché mondial de la montre connectée. La Commission nationale de l’informatique et des libertés (CNIL) s’alerte, quant à elle, des risques liés à la vie privée des enfants. Dans un article de sensibilisation publié en septembre 2019, elle rappelle que ce type d’équipement peut notamment :

  • « limiter [la] capacité [de l’enfant] à apprendre par lui-même et à mesurer les risques »:

C’est notamment ce qui arrive à Sara dans l’épisode cité en début d’article. Pour les lecteurs qui ne l’ont pas encore vu, l’idéal est de sauter ce paragraphe ainsi que le suivant [spoiler alert]. La puce de Sara permet notamment de flouter les images trop violentes. Ainsi, elle n’a aucune idée de ce qu’est une goutte de sang alors qu’elle se blesse en jouant. Aussi, quand son grand-père fait une crise cardiaque, elle est incapable de comprendre la situation et de l’aider. Il s’agit évidemment d’exemples volontairement extrêmes pour soutenir le propos de la fiction.

  • « s’introduire excessivement dans son intimité sociale ou corporelle » :

Là encore, Marie, la mère de Sara, aura du mal à freiner sa curiosité. Alors que Sara et son premier petit-ami passent du temps ensemble, Marie ne peut s’empêcher de les épier, jusque dans leur intimité. Pourtant, Marie n’est pas présentée comme une mère acariâtre ou fouineuse, elle semble seulement être une maman concernée, trop peut-être, qui ne parvient plus à faire la différence entre la limitation du danger et la privation d’intimité. Des dérives qui peuvent aussi arriver avec les montres connectées :  comment faire la différence entre l’écoute d’une conversation anodine entre amis et un secret précieux pour l’enfant, mais pas vraiment dangereux ? Comme par exemple, son premier béguin.

La CNIL alerte aussi sur les dangers concernant la sécurité des appareils : « La géolocalisation en temps réel est très intrusive et présente des risques importants si des personnes malveillantes la détournent ». Puis, plus loin : « La possibilité de communiquer directement avec l’enfant peut également être détournée par un tiers ». Dans ce second cas de figure, la montre sensée protéger l’enfant peut devenir le centre de tous les dangers.

A noter également que le jouet peut enregistrer tous les sons qu’il capte. Quid de la protection des données personnelles des personnes avec qui l’enfant interagit ? Cette question n’a pas encore de réponse.

Si les montres connectées font fureur chez les enfants, dès qu’ils grandissent leur intérêt se tourne vite vers les smartphones. Selon l’étude #BornSocial 2019, 82% des enfants de 12 ans en possèdent un. Un objet précieux qui leur permet de s’inscrire sur les réseaux sociaux et d’y surfer loin de l’attention de leurs parents. Le taux d’inscription des collégiens de 6ème est de 54,7%. Ce chiffre passe à 74 % pour les 5èmes ; 77,8 % pour les 4èmes et 87,2% pour les 3èmes.

En France, toujours selon la même étude, le réseau préféré des 10-14 ans est Snap (90,4% des inscrits). Viennent ensuite Instagram (66,5%) et le dernier réseau à la mode : TikTok (45,7%).

TikTok, le réseau social phare des adolescents

Ciblant spécifiquement les 10-16 ans, TikTok jouit d’un succès sans précédent. Anciennement appelée Musical.ly, l’application permet de poster des vidéos de play-back, mais aussi échanger avec les autres utilisateurs. TikTok compte 689 millions d’utilisateurs actifs dans le monde en 2020, dont 100 millions en Europe. L’entreprise propriétaire de TikTok est chinoise. Il s’agit de ByteDance, spécialisée dans les nouvelles technologies et notamment le machine-learning. C’est aussi et surtout la société la plus valorisée au monde, à 75 milliards de dollars, devant Uber, qui plafonne à 72.

En février 2019, TikTok a été condamnée par la Federal Trade Commission (FTC), le régulateur américain du commerce, à une amende de 5,7 millions de dollars. En cause : la collecte illégale de données de mineurs de moins de 13 ans sans accord parental et l’impossibilité de supprimer les informations enregistrées par ces mêmes enfants. Pourtant, la loi américaine l’oblige.
Selon Le Monde, « la FTC estime que TikTok ne protégeait pas assez ses jeunes utilisateurs contre d’éventuels prédateurs. Les profils, ainsi que les vidéos, étaient publics par défaut et, même s’ils étaient rendus privés par l’utilisateur, n’importe qui était toujours en mesure de leur envoyer des messages ». Et c’est en effet l’un des plus grands dangers de TikTok, et par extension, de ce genre de plateformes ciblant les enfants et les adolescents. A titre d’illustration, un youtubeur français s’est fait passer pour une préadolescente via un faux-profil et a reçu, en un temps record, un nombre impressionnant de messages de prédateurs. A noter qu’il a fait face à ce même type de désagréments sur Instagram, Snap, Movie Star Planet (jeu en ligne) ou encore Yubo (application de rencontres pour adolescents).

TikTok : quelle utilisation des données personnelles ?

TikTok dispose de cinq politiques de confidentialité différentes : une pour les Etats-Unis, une autre pour l’Union Européenne, une spécifique à l’Allemagne (dont l’âge légal d’accès aux réseaux sociaux est plus élevé que dans les autres pays de l’UE), une pour la Russie et une pour tous les autres pays du monde. Précisons donc que les citations qui vont suivre sont extraites de la version à destination des utilisateurs de l’UE.

L’utilisation des données personnelles à des fins publicitaires est citée presque dix fois au sein de celle-ci. Voici la première : « Nous allons aussi utiliser vos informations personnelles pour vous proposer des publicités ciblées et promouvoir la plateforme »[1].

Plus loin, TikTok écrit : « Nous collectons des informations via les enquêtes, les challenges et les compétitions auxquels vous participez »[2]. Ces challenges sont souvent ouverts aux marques et notamment les “hashtags challenges“. Il s’agit de contenus vidéos originaux que l’utilisateur est amené à reproduire en sous-titrant son contenu d’un hashtag choisi par l’entreprise. TikTok vend ce genre de publicités environ 150 000 dollars pour six jours de promotion selon la Réclame. Les interstitiels (pages de pub qui apparaissent avant une vidéo) coûtent, quant à eux, entre 50 000 et 100 000 dollars.

Parfois, ce sont les enfants eux-mêmes qui négocient les contrats publicitaires. Toujours sur sa politique de confidentialité, TikTok écrit : « Nous traitons des informations sur vos followers, les likes que vous recevez et les réponses aux contenus que vous publiez, dans le but de promouvoir votre contenu à d’autres utilisateurs et pour explorer si votre profil présente des opportunités futures de collaboration ». Des enfants sont en effet devenus de véritables stars sur TikTok. L’une des plus connues à ce jour s’appelle Danielle Cohn, 15 ans, suivie par 14,3 millions d’abonnés et ayant déjà reçu 1 820 800 000 likes (un milliard, huit cent vingt millions, huit cent mille) depuis la création de son compte. Toujours selon la Réclame, elle a signé en 2018 plusieurs partenariats avec des marques dont Live Nation (production de concerts).

Combien de temps les données de Danielle Cohn, comme celles de tous les autres utilisateurs sont-elles conversées ? « Aussi longtemps que nécessaire »[3] dans le cadre de l’utilisation de la plateforme, précise TikTok. Après désabonnement, les informations sont aussi gardées mais seulement « si l’entreprise a un intérêt légitime » pour ce faire. TikTok précise que cet intérêt est à visée « business »[3], sans donner plus d’informations.

TikTok : où sont stockées les données des utilisateurs ?

En novembre 2019, le Committee on Foreign Investment in the United States (CFIUS) – comité des investissements étrangers aux Etats-Unis – a ouvert une enquête sur TikTok. Selon Les Echos, le CFIUS « soupçonne sa maison mère, le chinois ByteDance, d’œuvrer pour le compte de Pékin ». Et le quotidien économique de poursuivre : « Le comité va également chercher à déterminer si la plate-forme transmet à Pékin les données personnelles de ses utilisateurs – et menace, in fine, la sécurité nationale américaine ».

Les données collectées par TikTok sont en effet « transférées et stockées au sein d’une destination extérieure à la zone économique européenne »[4], toujours selon la politique de confidentialité de l’entreprise (sur la version américaine comme européenne, la phrase reste la même). En d’autres termes, les données peuvent être hébergées partout dans le monde et potentiellement au sein de pays ne répondant à aucune obligation de protection des informations personnelles. A noter qu’il n’est mentionné, à aucun moment, que les données des utilisateurs sont “anonymisées”. Peu importe où elles vont, le pays d’accueil aura toutes les informations sur les abonnés.

Début décembre 2019, le site Internet stratégies.fr écrivait qu’une étudiante américaine avait intenté une action en justice contre l’application TikTok. «TikTok aspire clandestinement de vastes quantités de données privées et les transfère sur des serveurs en Chine », déclare-t-elle au sein de sa plainte. Celle-ci a été déposée au nom de tous les Américains ayant téléchargé l’application, soit 110 millions de personnes.

Et côté cyberprotection ? « Nous ne pouvons garantir la sécurité des informations transmises à travers la plateforme. Toute transmission est à votre risque », écrit TikTok[5], qui a au moins le mérite d’être transparent sur ce point.

Enfants et données : comment les protéger ?

« Je pense que la plus belle célébration d’un adolescent ne sera plus son anniversaire ou sa cérémonie de remise de diplôme, mais ses parents, qui lui offriront le droit d’éteindre la puce géolocalisée qu’il a dans son corps – voire même de la voir enlevée complètement », écrit le politicien Zoltan Istvan cité plus haut dans cet article. Lecteurs qui n’ont pas vu l’épisode de Black Mirror cité en référence, une fois de plus, il est préférable de passer au paragraphe suivant car nous allons révéler la fin dans les lignes qui suivent. Sara apprend rapidement que sa mère l’épie sur sa tablette. Trahie, elle s’en prendra violemment à elle avant de fuguer, et de monter dans le premier camion qui voudra bien la prendre en stop. Le pire cauchemar de sa mère, celui qu’elle a tout fait pour éviter, s’est finalement réalisé par sa faute.

Ainsi, face à des questions aussi nouvelles que l’utilisation d’équipements connectés pour les enfants ou leur usage des réseaux sociaux, l’approche la plus pragmatique reste de les sensibiliser sur les dangers qu’ils peuvent représenter et leur apprendre les bons gestes pour se protéger des cybercriminels, des prédateurs et parfois même d’eux-mêmes. La CNIL donne de nombreux conseils sur ce point, notamment sur ce lien.

Dans le prochain épisode de notre série : la santé

Notre série sur les données personnelles touche bientôt à sa fin ! Dans notre ultime épisode, nous nous intéressons à nos informations de santé. Notre enveloppe corporelle semble aussi avoir ses doubles numériques…

Pour (re)découvrir les autres épisodes de Donnée, je t’aime :

#1 : les enceintes connectées

#2 : les bots, nos nouveaux amis et amoureux

#3 : l’immortalité à portée de clic

Notes :

[1]We will also use your personal information to serve you targeted advertising and promote the platform.

[2]We process the content you generate on the Platform, including preferences you set (such as choice of language), photographs and videos you upload and comments you make (“User Content”). We collect information through surveys, challenges and competitions in which you participate. We also collect information regarding your use of the Platform, e.g. how you engage with the Platform, including how you interact with content we show to you, the ads you view, videos you watch and problems encountered, the content you like, the content you save to ‘My Favourites’ and the users you follow. We also infer your preferences, including your interests, gender and age for the purpose of personalising content. We process information about your followers, the likes you receive and responses to content you upload, for the purposes of promoting your content to other users and exploring whether your profile presents further opportunities for collaboration. If you have consented, we will use this information for the purpose of serving personalised advertising. We will also process your personal data in order to tell you about services and opportunities.

[3]We retain your information for as long as it is necessary to provide you with the service so that we can fulfil our contractual obligations and rights in relation to the information involved. Where we do not need your information in order to provide the service to you, we retain it only for so long as we have a legitimate business purpose in keeping such data. However, there are occasions where we are likely to keep this data for longer in accordance with our legal obligations or where it is necessary for the establishment, exercise or defence of legal claims. After you have terminated your use of our Platform, we store your information in an aggregated and anonymised format.

[4]The personal data that we collect from you will be transferred to, and stored at, a destination outside of the European Economic Area (“EEA”)

[5]we cannot guarantee the security of your information transmitted via the Platform; any transmission is at your own risk.