|
|
| (16 versions intermédiaires par 3 utilisateurs non affichées) |
| Ligne 1 : |
Ligne 1 : |
| | [[Catégorie:Transcriptions]] | | [[Catégorie:Transcriptions]] |
| | | | |
| − | '''Titre :''' Privacy by Design
| + | Publié [https://www.april.org/privacy-design-matthias-dugue ici] - Septembre 2018 |
| − | | |
| − | '''Intervenant :''' Matthias Dugué
| |
| − | | |
| − | '''Lieu :''' Web2day - Nantes
| |
| − | | |
| − | '''Date :''' juin 2018
| |
| − | | |
| − | '''Durée :''' 1 h 04 min 38
| |
| − | | |
| − | '''[https://www.youtube.com/watch?time_continue=5&v=GLE6v_QA7u8 Visualiser la vidéo]'''
| |
| − | | |
| − | '''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim]
| |
| − | | |
| − | '''NB :''' <em>transcription réalisée par nos soins. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas forcément celles de l'April.</em>
| |
| − | | |
| − | '''Statut :''' Transcrit MO
| |
| − | | |
| − | ==Description==
| |
| − | | |
| − | Surgissant du passé, le concept de Privacy by Design devient populaire auprès des startups qui s’empressent de s’estampiller « Privacy compliant ». Mais protéger les données des utilisateurs, ça signifie quoi concrètement ? Quelles sont les mesures et les concepts nécessaires à la mise en place d’un service réellement Privacy by Design ? Quels sont les conséquences techniques et les pièges à éviter pour ne pas sombrer dans une formule creuse ? Comment l’écosystème Open Source peut-il, par nature, fournir les éléments essentiels à la protection de la vie privée de nos utilisateurs ?
| |
| − | | |
| − | De 1978 à aujourd’hui, voyons comment mettre en place une stratégie Privacy by Design, basée sur des solutions Open Source, réellement efficace.
| |
| − | | |
| − | ==Transcription==
| |
| − | | |
| − | L’idée ça va être de parler de <em>Privacy by Design</em> pendant la demi-heure qui vient, à peu près. L’idée c’est de vous expliquer un peu le concept, pourquoi <em>Privacy by Design</em>, d’où ça vient quels sont les enjeux, techniquement qu’est-ce que ça implique.
| |
| − | | |
| − | Il y a des développeurs dans la salle ? Des concepteurs dans la salle ? OK ! Développeurs, architectes techniques, designers UX, des gens qui arrivent encore ; c’est génial ! Il y a de la place encore devant si vous voulez. OK ! Ça marche !
| |
| − | | |
| − | Qui a déjà entendu parler du concept de <em>Privacy by Design</em> ? OK ? J’ai une vingtaine de mains qui se lèvent dans la salle. Qui a déjà entendu parler du RGPD ou GDPR ? La salle entière lève la main. Qui n’en a jamais entendu parler ? OK ! Visiblement les médias font leur boulot. C’est plutôt une bonne chose.
| |
| − | | |
| − | L’idée c’est que ce règlement européen sur la protection des données personnelles, RGPD, GDPR, tout ça, prône <em>Privacy by Design</em> comme un <em>core concept</em>, concept essentiel à la protection de la donnée personnelle dans nos services et dans notre espace numérique. Le problème c’est que c’est un concept qui n’est pas forcément nouveau mais c’est un concept qui est quand même assez nébuleux. Ça fait un joli petit bruit, ça fait pong ; c’est donc le moment où je n’ai pas de slide et où je vais tout faire à la voix si ça continue ; ça va être formidable. J’invoque donc la régie pour faire un petit miracle ; en même temps je continue de vous parler un peu.
| |
| − | | |
| − | Je ne sais pas si vous avez vu le <em>talk</em> en Maxi [Salle Maxi, NdT] qui s’appelait « Homo Deus » [Homo Deus ou le syndrome Peter Pan, NdT] un tout petit peu avant. L’idée qui était présentée dans ce <em>talk</em> qui était extrêmement intéressante et qui parlait d’intelligence artificielle et des progrès technologiques vers lesquels on se rend à l’heure actuelle, c’est qu’on est dans un environnement où, concrètement, on a une technologie qui avance à toute vitesse, qui va très vite, qui amène plein de nouveautés, mais on n’est pas forcément matures pour réussir à faire face à cette technologie qu’on fait monter et qui est un gain de puissance délirant. Donc il va falloir, à un moment ou à un autre, faire en sorte qu’on fasse un peu attention à ce qu’on fait et, notamment, attention à la donnée personnelle.
| |
| − | | |
| − | Là, mine de rien, j’essaie de vous amener sur des concepts un peu neufs à savoir qu’un grand pouvoir implique de grandes responsabilités – je pense que je vous apprends rien, celui-là vous l’avez déjà entendu quelque part ; vous en connaissez même la source ; l’idée c’est que les données personnelles des utilisateurs avec lesquelles on va jouer il va falloir en prendre soin. Déjà parce que ce ne sont pas les nôtres, les utilisateurs nous les confient et puis parce que, à terme, il va falloir les exploiter de façon intelligente et éthique.
| |
| − | | |
| − | La <em>privacy</em> aujourd’hui concrètement on en est où ? Aujourd’hui en 2018 on a la data, on a beaucoup dit que c’était le pétrole du 21e siècle, que c’était quelque chose d’assez majeur, c’est ça qui nourrit nos algorithmes, ce qui est important ce n’est pas l’algo, c’est la data, etc. Dans les faits c’est vrai. La data est le cœur essentiel de nos métiers, de nos business. Le problème c’est que ce n’est pas que du pétrole c’est aussi que c’est une bulle économique délirante. Parce qu’on se retrouve dans un écosystème où on a des business qui sont financés par des investisseurs, qui injectent une quantité de fric massive dans des start-ups, dans des nouvelles technos, dans des nouveaux concepts, etc., en espérant parier sur le bon cheval et qu’à la fin ça rapporte, et le cœur même de ce business, grosso modo, c’est la donnée personnelle qui va être collectée, analysée, monétisée, etc.
| |
| − | Donc on a des grosses boîtes qui pompent de la donnée parce que c’est leur modèle économique, parce que c’est comme ça qu’elles font rentrer du cash derrière et ce sont ces données-là qu’elles monétisent derrière. On a des petites boîtes qui collectent de la donnée et qui n’ont même conscience qu’elles collectent de la donnée. Je ne sais pas si vous avez déjà monté un PrestaShop ; je parle de PrestaShop parce que la majorité des tout petits business qui vendent en ligne généralement c’est le petit truc de base qu’elles utilisent, même si PrestaShop n’est pas si petit, mais si vous utilisez les <em>templates</em> de base de PrestaShop par défaut vous demandez à votre utilisateur, votre client, sa date de naissance, même si c’est pour lui vendre des stickers ; là il y a un problème, vous collectez trop de données, et souvent vous n’avez même pas conscience que vous collectez trop de données.
| |
| − | Vous avez des start-ups qui pompent de la donnée parce qu’elles voudraient faire comme les grands, parce que Facebook le fait donc c’est bien, il faut le faire, il faut faire pareil et on a quantités d’étudiants en école de commerce qui montent des business où ils se disent qu’ils vont pomper de la donnée comme Facebook. Le problème c’est que Facebook aujourd’hui, eux leur modèle c’est de faire de la régie publicitaire donc c’est monétiser de la donnée personnelle de leurs utilisateurs et c’est tout ce qu’ils détestent faire. C’est-à-dire concrètement, dans les études de Facebook aujourd’hui ils disent explicitement que s’ils pouvaient faire autrement que de la régie pub ils le feraient. Même Facebook n’a pas envie d’être Facebook ! Donc vouloir être comme Facebook à un moment il y a comme un non-sens.
| |
| − | | |
| − | Donc on en est là. Ça pompe à tout-va, on récupère de la donnée, on récupère de la donnée, on se l’échange ça circule dans tous les sens on ne sait même plus où ça va.
| |
| − | | |
| − | Il y a des gens à qui ça parle cette image ? Il y a des gens qui savent ce que c’est ou pas ? Souvent les gens ne savent pas ce que c’est ; c’est cool ! Vous, derrière le streaming, je vous le dis tout de suite, personne n’a levé la main. Cette image c’est le logo de Cambridge Analytica en 2016 pendant la campagne de Trump.
| |
| − | Je vous rappelle le scandale de Cambridge Analytica. Cambridge Analyctica est une filiale d’une plus grosse structure qui est un armateur et qui fait notamment de l’arme numérique, entre autres, des dispositifs de surveillance et tout ; l’idée c’est donc qu’ils se disent qu’ils vont mettre en place un dispositif qui va permettre un, de faire de la prédiction sur les tendances, notamment les tendances géopolitiques et deux, essayer de faire de la manipulation de masse pour essayer d’orienter les résultats et voir si ça peut fonctionner ou pas. Pour faire ça ils mettent en place un petit jeu sur Facebook, un quiz comme on en voit plein et comme on est nombreux à jouer dessus, quand vous jouez sur des quiz. Donc, par que ce biais-là, ils vont récupérer les données des gens qui installent le jeu et qu’autorise le jeu sur la plateforme, mais ils vont aussi pomper les données des amis de ces gens-là. Et par ce biais-là – au début on a essayé de minimiser un peu l’impact puis petit à petit on s’est rendu compte que ça grossissait, ça grossissait – visiblement ils auraient récupéré la quasi-totalité des contenus ; la quasi-totalité ! C’est ce qu’ont tendance à révéler les dernières enquêtes sur le sujet.
| |
| − | C’est massif ; c’est énorme. Et pour ça, ça utilise un trou de permission dans Facebook où on dit « à partir du moment où on autorise l’application on peut aussi récupérer les données des comptes amis, etc. » On a beaucoup blâmé Facebook en disant « oui, il y a un trou dans les systèmes de permission, etc. » Sans doute que Facebook est parfaitement coupable dans l’histoire et que Facebook a sa part de responsabilité, ils ont beaucoup communiqué sur le sujet certes, le problème c’est qu’à un moment les permissions étaient demandées à l’utilisateur. On demandait aux gens :« Voulez-vous aussi partager les données de vos amis ? » Les gens ont dit oui ; les gens disent oui ! Parce qu’on a éduqué nos utilisateurs à ne pas lire nos permissions ; on leur a appris que c’était chiant, qu’il ne fallait pas lire, si on avait des conditions générales d’utilisation de dingue, qu’il fallait signer avec son sang en bas de la feuille et après on s’en foutait ! Donc les gens ne lisent pas. Ils cliquent ! Et le problème aujourd’hui c’est que votre utilisateur et votre utilisatrice s’en foutent de savoir comment ça fonctionne, quelle est la permission, quel est le droit d’utilisation, qu’est-ce qu’on va en faire. Ça ne les concerne pas ; ils s’en tapent !
| |
| − | Ils s’en tapent parce que si vous leur donnez trop de pouvoir eh bien c’est trop compliqué à comprendre ; il y a des pages de permission énormes ; vous êtes déjà allé dans les pages de permission Facebook ? Vous êtes déjà allé dans les pages de permission Facebook ; vous avez déjà vu à quoi ça ressemble ? Personne n’a vomi ? Sérieusement ! C’est impossible à comprendre ; c’est délirant ! Et tous les systèmes de permission avancée, tout, tout fonctionne comme ça ; c’est dingue ! Donc ça rend les choses trop complexes. Et en plus, ça a un effet pervers, c’est que vous donnez l’impression à votre utilisateur que vous le protégez bien parce que vous lui donnez la possibilité de régler plein de choses, alors qu’en fait ce n’est pas le cas. Peut-être que vous n’allez pas le protéger correctement à un endroit donné et ça votre utilisateur n’en a pas conscience. Et quand il découvre ça et quand les données sortent, type Cambridge Analytica, tout le monde râle, en même temps tout le monde a cliqué. Parce que ce n’est pas un enjeu public ; les gens s’en foutent en fait. Les gens, il va falloir les protéger d’eux-mêmes parce que les gens ne peuvent pas se protéger tout seuls. Encore une fois, c’est ce qu’on disait dans ce fameux <em>talk</em> « Homo Deus », on n’est pas matures, donc il va falloir prendre des décisions pour les gens.
| |
| − | | |
| − | ==9’26==
| |
| − | | |
| − | En 99
| |
