Dans cette édition du Digest AdGuard : Facebook est accusé de stocker des données médicales sensibles, Telegram s'associe à Google et peut-être à la police, Mozilla lutte contre les traqueurs, les applications scolaires espionnent les enfants, Twitter utilise mal les données des utilisateurs alors que les États-Unis se rapprochent de l'adoption d'une loi fédérale sur la protection de la vie privée.

Un outil de Facebook récupère des données médicales sur les sites web des hôpitaux

Dans une nouvelle qui ne devrait surprendre personne, on a découvert que l'outil de suivi des publicités de Facebook envoyait des données médicales sensibles collectées sur les sites web des hôpitaux à... Facebook. L'enquête de Markup a révélé que l'outil Meta Pixel, également connu sous le nom de Facebook Pixel, a été intégré dans des dizaines de sites web d'hôpitaux américains, dont celui d'un important réseau d'hôpitaux pour enfants. Lorsqu'un patient ou un parent clique sur un bouton pour prendre un rendez-vous, Meta Pixel envoie au géant de la technologie le nom de la pathologie, le nom du médecin, le mot de recherche utilisé pour trouver ce médecin et d'autres données. Dans le cas de l'hôpital pour enfants, Facebook pouvait même obtenir le nom complet de l'enfant ainsi que son adresse d'identification. Le traceur a également été trouvé dans des portails de patients censés être sécurisés, ce qui signifie que Facebook pouvait savoir quels médicaments les visiteurs prenaient et quelles étaient leurs réactions allergiques.

Meta, propriétaire de Facebook, a nié avoir étendu ses tentacules aux données sensibles des patients, affirmant avoir mis en place des filtres spéciaux pour empêcher leur envoi. Depuis, plusieurs hôpitaux ont retiré le code de leurs sites web et une action collective a été intentée en Californie, accusant Facebook de violer les lois sur la confidentialité des données médicales. Les plaignants affirment avoir identifié jusqu'à "664 systèmes hospitaliers ou sites web de prestataires médicaux où Facebook a reçu des données de patients via le pixel Facebook ".

L'appétit de Facebook pour la collecte de données semble ne pas connaître de limites, et il semble que le géant de la technologie soit prêt à faire de gros efforts pour avoir accès aux données des utilisateurs. Il est difficile de prendre pour argent comptant les affirmations de Facebook selon lesquelles il n'obtient pas réellement les données des patients, car l'entreprise a déjà été prise en flagrant délit de violation de la vie privée des utilisateurs trop souvent.

Telegram partage des données avec Google et probablement avec la police

Rompant avec sa politique consistant à ne pas partager les données de ses utilisateurs avec des tiers, Telegram aurait fourni à la police allemande des informations sur des enfants maltraités et des personnes soupçonnées de terrorisme, signale Spiegel. La messagerie aurait également mis en place un compte de spécial pour que la police puisse y envoyer ses demandes. Il a été rapporté l'année dernière que Telegram pourrait être condamné à une amende de 5,5 millions d'euros si elle ne parvenait pas à créer un tel canal secondaire.

Telegram n'a pas encore commenté son aide présumée à la police allemande. Si cela s'avère exact, cela montre que même les entreprises qui appliquent des politiques strictes en matière de partage des données ne sont pas à l'abri de pressions, surtout si celles-ci sont exercées au nom de la protection des innocents. L'Union européenne a proposé une législation visant à analyser les messages texte à la recherche d'indicateurs d'abus sexuels sur des enfants - nous avons écrit à ce sujet dans le condensé précédent. Malheureusement, il semble que la protection des enfants devienne un outil pour contraindre les plateformes en ligne à révéler les données des utilisateurs.

Sur son site web, Telegram déclare qu'elle n'a pas encore divulgué un octet de données à des tiers, que ce soit à des gouvernements ou à qui que ce soit.

Et bien qu'elle n'ait ni confirmé ni démenti sa coopération avec la police, la société Telegram a ouvertement annoncé qu'elle partagerait des données avec Google dans le cadre de son plan premium. La nouvelle fonctionnalité premium de Telegram s'appuie sur la technologie de Google pour transcrire les messages audio. Selon l'accord entre Telegram et Google, ce dernier n'a pas le droit d'enregistrer les transcriptions et les données audio et ne peut pas les utiliser à d'autres fins, notamment publicitaires. Cependant, le fait même que Telegram ait confié les données de ses utilisateurs à Google est préoccupant en soi.

Miam! Firefox limite le suivi intersite en mettant les cookies dans des "boîtes"

Mozilla a entrepris d'organiser les armoires de cuisine de l'Internet, en confinant les cookies tiers dans des "boîtes à cookies" cachées de tous, sauf du site web qui les a déposés. La nouvelle fonctionnalité est devenue une valeur par défaut pour tous les utilisateurs du navigateur Firefox sur leurs ordinateurs de bureau, et doit encore être introduite sur les mobiles. Les cookies tiers sont de petits fichiers texte placés dans votre navigateur par des annonceurs afin qu'ils puissent vous suivre sur le web. Mozilla veut maintenant empêcher les traqueurs d'accéder aux cookies des autres.

Aucun autre site web ne peut accéder aux cookies qui ne lui appartiennent pas et découvrir ce que les cookies des autres sites web savent sur vous - ce qui vous libère des publicités envahissantes et réduit la quantité d'informations que les entreprises recueillent sur vous ", Mozilla.

Mozilla, contrairement à d'autres entreprises technologiques (que nous ne pointerons pas du doigt), semble joindre le geste à la parole en matière de protection de la vie privée. Il faut noter que Mozilla a également décidé de permettre aux bloqueurs de publicité d'exister dans Firefox sous leur forme originale et puissante en choisissant des parties du Manifeste 3 à mettre en œuvre : nous en avons parlé plus en détail ici.

Les logiciels EdTech dénoncent les enfants aux annonceurs

Environ 90 % des plateformes EdTech soutenues par l'État dans 49 pays ont bafoué les droits des enfants pendant la pandémie en les suivant sur le web et en dehors des cours. Nombre d'entre elles permettaient aux annonceurs d'utiliser les données personnelles des élèves. C'est ce que révèle Human Rights Watch, qui a examiné 164 outils en ligne utilisés pour l'enseignement à distance.

Human Rights Watch a trouvé que 146 produits EdTech envoyaient directement ou donnaient accès à des données personnelles d'enfants à 196 sociétés tierces, en grande majorité des AdTech, indique le rapport. Les données étaient principalement envoyées aux géants de l'AdTech - Google et Facebook. De plus, huit sites web ont utilisé une méthode de suivi sophistiquée, connue sous le nom de "canvas fingerprinting", qui ne nécessite pas de cookies.

Les enfants et les parents n'étaient généralement pas informés des habitudes de collecte de données des applications. Dans la plupart des cas, l'enfant était confronté à un choix impossible : soit continuer à apprendre, soit refuser la surveillance.

Chez AdGuard, nous pensons que la vie privée des enfants, tout comme celle des adultes, devrait être protégée par défaut. Un enfant ne devrait pas sacrifier sa vie privée pour son éducation et vice versa. La pratique consistant à cibler des enfants qui peuvent être aussi jeunes que 9 ans avec des publicités personnalisées n'est rien de moins que prédatrice.

La nouvelle elle-même n'est guère choquante, cependant, car les méthodes de collecte de données deviennent de plus en plus clandestines et intrusives...

Copier-coller c'est MAL, mais ce n'est pas ce que vous pensez...

...comme en témoigne le cas de 11 applications Android, téléchargées à plus de 45 millions d'exemplaires, qui ont secrètement transmis les données GPS, les adresses e-mail et les numéros de téléphone des utilisateurs via un kit de développement logiciel tiers appelé Coelib. AppCencus a signalé plus tôt cette année que le kit de développement logiciel (SDK) en question faisait partie de plusieurs applications sur le thème du Coran, d'un scanner de codes-barres et d'une souris WiFi, entre autres. L'une des applications, Simple Weather & Clock Widget, téléchargeait sur les serveurs du vendeur du SDK tout ce qu'un utilisateur copiait et collait. Google a retiré les applications de son Play Store l'année dernière, et elles sont toutes revenues depuis, mais sans le SDK incriminé.

Nous recommandons vivement aux utilisateurs d'installer uniquement des applications provenant de développeurs de confiance et de ne leur donner que les autorisations les plus nécessaires.

Le cauchemar des farceurs et des défenseurs de la vie privée : les Indiens pourraient bientôt voir les noms des appelants par défaut

L'autorité indienne de régulation des télécommunications a travaillé sur un nouveau mécanisme qui obligerait les fournisseurs à afficher le nom complet de l'appelant sur un écran chaque fois qu'un téléphone sonne. Les fournisseurs devront extraire les données relatives à l'appelant de leurs registres KYC (Know Your Customer). Lorsqu'un client achète une carte SIM, l'opérateur vérifie son identité et introduit les informations dans la base de données.

Le gouvernement indien veut mettre un frein aux appels de spam qui irritent de plus en plus les citoyens. Deux tiers de la population de l'Inde reçoivent trois appels de spam ou plus par jour, et plus de 220 millions utilisent l'application d'identification de l'appelant Truecaller. Cette dernière collecte des données sur les appelants, ce qui signifie qu'elles peuvent ne pas être à jour. Bien que les enregistrements KYC constituent une source de données beaucoup plus précise, le principal problème demeure : aucun consentement de l'utilisateur n'est requis dans les deux cas.

Les détails de la proposition doivent encore être précisés, mais il semble que le gouvernement indien s'en prenne aux mauvais payeurs au détriment de la vie privée des citoyens. Les avantages de cette politique sont discutables : on ne voit pas en quoi le fait de voir un nom aléatoire au lieu d'un numéro aléatoire fera une grande différence. Cette nouvelle initiative risque de porter un nouveau coup aux protections déjà faibles de la vie privée dans le pays. Au début de l'année, nous avons écrit sur une nouvelle loi indienne qui obligerait tous les fournisseurs de VPN et d'autres services en ligne à conserver les journaux des utilisateurs pendant au moins cinq ans.

Twitter : Nous collectons vos données à des fins de sécurité uniquement.* Euh, non, on plaisante

Twitter a payé 150 millions de dollars pour régler une affaire avec le gouvernement américain, qui accusait le géant de la technologie d'avoir trompé ses utilisateurs sur ce qu'il peut faire avec leurs données personnelles. De 2013 à 2019, Twitter a affirmé avoir besoin des numéros de téléphone et des adresses électroniques des utilisateurs uniquement pour sécuriser leurs comptes. Cependant, le ministère américain de la Justice a déclaré que le mastodonte social partagerait ensuite ces données avec des annonceurs. 140 millions d'utilisateurs ont été affectés par cette pratique, qui a vraisemblablement contribué à gonfler les caisses de Twitter puisque sa principale source de revenus est constituée par les recettes publicitaires.

De son côté, Twitter a admis que les données "pourraient avoir été " utilisées pour la publicité "par inadvertance ".

La nouvelle n'a pas plu à l'acheteur potentiel de Twitter, Elon Musk. "Si Twitter n'a pas été honnête, qu'est-ce qui ne l'est pas non plus ? " le milliardaire a écrit. Musk avait précédemment mis en pause un accord avec la plateforme, l'accusant de ne pas avoir divulgué le nombre de robots de spam.

Nous partageons ces préoccupations. Bien que Twitter ait récemment indiqué qu'il était prêt à s'orienter davantage vers la protection de la vie privée et qu'il ait clarifié sa politique de confidentialité et de sécurité (consultez notre précédent digest pour en savoir plus), la nouvelle de l'accord nous rappelle une dure réalité : les grandes entreprises technologiques peuvent se présenter comme respectueuses de la vie privée, mais tant que la publicité reste leur principale source de revenus, tout cela pourrait n'être que poudre aux yeux.

Les États-Unis se rapprochent de l'adoption d'une loi nationale sur la protection de la vie privée

Un groupe bipartisan de législateurs démocrates et républicains a dévoilé un projet de loi fédérale sur la confidentialité des données, intitulé "The American Data Privacy and Protection Act" (ADPPA) après des années d'échanges. Le projet est maintenant soumis à un débat. Le projet de loi vise à priver les États de leurs lois sur la protection de la vie privée, mais avec une longue liste d'exemptions notables pour la loi de l'Illinois sur la confidentialité des informations biométriques, certaines parties de la loi californienne sur les droits à la vie privée, ainsi que pour la reconnaissance faciale et les lois de protection des consommateurs. Le projet de loi exige des entreprises technologiques qu'elles obtiennent le consentement exprès de la personne concernée avant de collecter ou de traiter des données personnelles sensibles, telles que les données biométriques, les communications privées, la géolocalisation précise, les données financières et de santé, les identifiants de connexion, l'historique de navigation et l'orientation sexuelle. Les entreprises seront également tenues de publier des politiques de confidentialité, tandis que les particuliers auront le droit de refuser le transfert de leurs données à des tiers à des fins de publicité ciblée. Les annonceurs ne pourront pas du tout proposer aux mineurs de moins de 17 ans des publicités ciblées.

Les utilisateurs pourront également poursuivre les entreprises devant un tribunal fédéral pour obtenir des dommages et intérêts, mais seulement quatre ans après l'entrée en vigueur du projet de loi.

Le projet a fait l'objet de critiques mitigées de la part des experts de la protection de la vie privée et des législateurs : si certains y voient une première étape bienvenue, d'autres estiment qu'il est "truffé de lacunes en matière d'application ". Si la loi est adoptée par le Congrès, les États-Unis se rapprocheront théoriquement des normes européennes de protection de la vie privée consacrées par le GDPR. Le diable, cependant, est dans les détails et la mise en œuvre.